华为交换机常见NAC操作

最新推荐文章于 2024-02-29 09:40:22 发布
最新推荐文章于 2024-02-29 09:40:22 发布
阅读量2.5k 收藏 5
点赞数
分类专栏: 网络设计与配置 文章标签: 华为 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tony_long7483/article/details/120979798
版权
  1. 配置MAC旁路认证:在同时存在PC以及少量哑终端(如打印机)的网络环境中,可配置802.1X认证MAC旁路认证功能保证哑终端同样能够接入802.1X认证网络
    (1)NAC传统模式下配置MAC旁路认证功能
    在系统视图下对多个接口进行批量配置:
    [HUAWEI] dot1x enable
    [HUAWEI] dot1x enable interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
    [HUAWEI] dot1x mac-bypass interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
    在接口视图下对每个接口进行单个配置:
    [HUAWEI] dot1x enable
    [HUAWEI-GigabitEthernet0/0/1] dot1x enable
    [HUAWEI-GigabitEthernet0/0/1] dot1x mac-bypass
    (2)NAC统一模式下配置MAC旁路认证功能
    对于V200R009C00之前的版本,需要在接口下同时配置802.1X和MAC认证,并且802.1X认证配置在前:
    [HUAWEI-GigabitEthernet0/0/1] authentication dot1x mac-authen
    对于V200R009C00及其之后的版本,需要在认证模板下同时绑定802.1X接入模板和MAC接入模板,并且配置命令authentication dot1x-mac-bypass,之后将认证模板绑定到接口上:
    [HUAWEI] mac-access-profile name m1
    [HUAWEI] dot1x-access-profile name d1
    [HUAWEI] authentication-profile name p1
    [HUAWEI-authen-profile-p1]mac-access-profile m1
    [HUAWEI-authen-profile-p1]dot1x-access-profile d1
    [HUAWEI-authen-profile-p1]authentication dot1x-mac-bypass
    [HUAWEI-GigabitEthernet0/0/1]authentication-profile p1
  2. 配置Guest VLAN功能:为了满足用户不进行认证即能访问某些网络资源需求,譬如下载客户端软件、升级客户端、更新病毒库等,可配置Guest VLAN功能。交换机V200R005C00及其之后版本,仅NAC传统模式支持Guest VLAN功能。
    (1)在系统视图下对多个接口进行批量配置
    [HUAWEI] dot1x enable
    [HUAWEI]dot1x enable interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
    [HUAWEI]authentication guest-vlan 10 interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
    (2)接口视图下对每个接口进行单个配置
    [HUAWEI] dot1x enable
    [HUAWEI-GigabitEthernet0/0/1] dot1x enable
    [HUAWEI-GigabitEthernet0/0/1] authentication guest-vlan 10
  3. 配置802.1X认证报文二层透明传输功能:802.1X认证过程中的EAP协议报文,是一种BPDU报文。对于BPDU报文,华为公司的交换机设备当前缺省是不做二层转发的。因此如果使能802.1X的设备和用户之间还存在二层交换机,就必须在其上配置二层透明传输,否则用户发送的EAP报文将无法到达认证设备,用户自然无法通过认证。
    [LAN Switch]l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 //group-mac不能设置为保留的组播MAC地址(0180-C200-0000~0180-C200-002F)以及其他几种特殊MAC地址,其余MAC地址均可。
    [LAN Switch]interface gigabitethernet 0/0/1 //需要在二层交换机连接上行网络以及用户的所有接口上进行配置
    [LAN Switch-GigabitEthernet0/0/1]l2protocol-tunnel user-defined-protocol dot1x enable
    [LAN Switch-GigabitEthernet0/0/1] bpdu enable
  4. 限制802.1X认证接口可以学习的MAC地址数量:由于802.1X认证功能与mac-limit命令以及mac-address learning disable命令冲突,因此当接口使能802.1X认证功能之后,无法再通过执行mac-limit命令和mac-address learning disable命令限制接口可以学习的MAC地址数量
    (1)NAC传统模式
    [HUAWEI-GigabitEthernet0/0/1] dot1x max-user 3
    (适用于V200R012及之后版本)在接口下配置端口安全功能,并限制该接口能够学习的MAC地址数量:
    [HUAWEI-GigabitEthernet0/0/1]port-security enable
    [HUAWEI-GigabitEthernet0/0/1]port-security max-mac-num 3
    (2)NAC统一模式
    适用于V200R005-V200R008版本)通过限制接口下允许接入的用户数量,从而限制该接口可以学习的MAC地址数量:
    [HUAWEI-GigabitEthernet0/0/1] authentication mode multi-authen max-user 3
    (适用于V200R009及之后版本)通过在认证模板下配置允许接入的802.1X认证用户数量并将该模板应用到指定接口,从而限制该接口可以学习的MAC地址数量:
    [HUAWEI]dot1x-access-profile name d1
    [HUAWEI]authentication-profile name p1
    [HUAWEI-authen-profile-p1]dot1x-access-profile d1
    [HUAWEI-authen-profile-p1]authentication mode multi-authen max-user 3 dot1x
    [HUAWEI-GigabitEthernet0/0/1]authentication-profile p1
    (适用于V200R012及之后版本)在接口下配置端口安全功能,并限制该接口能够学习的MAC地址数量:
    [HUAWEI-GigabitEthernet0/0/1] port-security enable
    [HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 3
Tony_long7483
关注
专栏目录
交换机NAC配置与管理详解
悦分享
01-05 1217
在计算机网络安全管理中,用户的网络接入控制(NAC)是必须充分考虑的一件大事,因为现在的网络安全隐患主要不是来自外网,而是内网。而在用户接入控制方面,最直接、最有效的方法就是基于接入设备接口的各种用户认证方法。在华为交换机NAC包括802.1x认证、MAC认证与Portal认证,都是采用如下图所示的认证模型。它包括用户(User)、网络接入设备(NAD)和接入控制服务器(ACS)三大部分。(1)用户:指接入用户终端,需要对其进行接入认证。
华为交换机802.1XMAC认证配置
qq_41496958的博客
07-05 2822
配置认证模板“p1”,并在其上绑定802.1X接入模板“d1”、指定认证模板下用户的强制认证域为“802.1x_Mac”。配置认证模板“p1”,并在其上绑定802.1X接入模板“d1”、指定认证模板下用户的强制认证域为“802.1x_Mac”。在接口GE0/0/2–GE0/0/n上绑定认证模板“p1”,使能802.1X认证。在接口GE0/0/2–GE0/0/n上绑定认证模板“p1”,使能MAC认证。配置802.1X接入模板“d1”配置Mac认证接入模板“d1”交换机接口启用MAC认证。
华为交换机NAC配置(统一模式)
02-15
华为交换机NAC配置(统一模式) NAC简介 原理描述 NAC基本原理 802.1x认证原理 MAC认证 Portal认证 应用场景 缺省配置 配置流程
NAC配置与管理——1
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
05-29 9556
在计算机网络安全管理中,用户的网络接入控制(NAC)是必须充分考虑的一件大事,因为现在的网络安全隐患主要不是来自外网,而是内网。在用户接入控制方面,最直接、最有效的方法就是基于接入设备接口的各种用户认证方法,如802.1x认证、MAC认证和Portal认证。它们针对不同的用户需求和实际的网络环境提供的几种基于端口的实用接入控制方案。相对前面的AAA方案来说,此处基于接口的接入控制方法更直接,直接在...
MAC认证和MAC旁路认证
曹世宏的博客
05-31 1万+
MAC认证原理 MAC认证是什么? MAC认证,是指终端网络接入控制设备自动获取终端的MAC地址,作为接入网络的凭证发到RADIUS服务器进行校验。 MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。 MAC...
Portal认证
热门推荐
qq_32044265的博客
06-01 2万+
Portal认证通常又称Web认证,用户上网时,必须在Portal认证页面进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。 本文主要对portal认证的上下线原理,配置案例进行介绍...
华为 Sx700交换机 NAC 与ACS互通对接测试报告.pdf
09-23
华为Sx700交换机NAC与ACS互通对接测试报告》详析 这篇测试报告涉及了华为Sx700系列交换机与Cisco的ACS(Authentication, Authorization, and Accounting,即认证、授权和审计)服务器之间的NAC(Network Access ...
华为交换机初始化_华为S5700交换机初始化配置举例
weixin_33327330的博客
12-24 2640
基础设置:配置登陆IP地址 system-view //进入系统配置模式[Quidway]interface Vlanif 1 //进入三层 vlanif 接口[Q...
华为园区CloudEngine S 系列交换机与IP话机&WLAN AP&IP摄像头兼容性 Tolly测试报告.pdf
09-23
在与IP话机的兼容性测试中,Tolly工程师验证了华为交换机与Avaya和Cisco等多个品牌IP话机的互操作性。例如,对于Avaya的IP话机,交换机能识别OUI(Organizationally Unique Identifier)并应用相应的配置,如通过...
802.1X认证
qq_32044265的博客
06-02 1万+
802.1X协议是一种基于端口的网络接入控制协议(Portbased networkaccess control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。 本文主要介绍802.1x的原理和配置
华为设备用户接入与认证配置命令
Tony_long7483的博客
08-06 2552
华为设备用户接入与认证配置命令
ACS对接华为 配置笔记
weixin_34099526的博客
12-19 2990
#配置管理员登录方式及认证方式。[SwitchA] user-interface maximum-vty 3 //配置远程登录交换机的管理员最大数目为3[SwitchA] user-interface vty 0 2 //进入3个管理员界面视图[SwitchA-ui-vty0-2] authentication-mode aaa //配置管理员的认证方式为AAA[SwitchA-ui-...
802.1X认证配置及命令解析(含华为和华三设备)
最新发布
weixin_47402139的博客
02-29 6041
本篇文章介绍了华为和华三交换设备针对802.1X认证(对接华为Agile Controller-Campus,NAC为统一模式,认证点部署在接入交换机)的配置命令,及相关命令解析
华为)802.1x认证点部署在汇聚交换机,接入交换机管理地址免认证配置
夜邢的博客
07-05 3122
华为)802.1x认证点部署在汇聚交换机,接入交换机管理地址免认证配置 802.1x dot1x 二层透传
CISCO dot1x mac-authentication + Windows nap
weixin_33777877的博客
01-22 696
实验拓扑相关文档http://yanhuan.blog.51cto.com/1761673/1283665http://bbs.hh010.com/thread-397676-1-1.htmlhttp://bbs.51cto.com/thread-1025131-1.html三个文档按顺序看ps: 在二层设备上用 authentication 命令替代三层中 dot1...
authentication password与scheme区别
weixin_33968104的博客
01-07 1181
authentication-mode 常见的配置参数有三种user-interface vty 0 141、authentication-mode aaa或authentication-mode scheme 创建本地用户并启用AAA验证。2、authentication-mode password 直接在user-interface vty 下用pa***od设置...
华为设备上的安全技术总结之dot1x
weixin_34391445的博客
08-16 1044
身份认证是计算机系统的用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一的过程。使用身份认证的主要目的是防止非授权用户进入系统,同时防止非授权用户通过非正常操作访问受控信息或恶意破坏系统数据的完整性。近年来,越来越多的单位通过身份认证系统加密用户对网络资源的访问,在众多的解决方案中,Radius认证系统的使用最为广泛。在大量的企业、...
华为ac配置radius认证服务器_华为设备配置802.1x Radius服务器远端认证
weixin_27024175的博客
01-06 3206
组网需求用户通过RouterA访问网络。RouterA与RADIUS服务器之间路由可达。为了保证网络的安全性,要求在用户接入网络时进行认证。认证成功后可以正常访问网络。图1 802.1x远端认证组网图操作步骤RouterA的配置V200R007及之前版本:# vlan batch 10#dot1x enable //使能全局802.1x认证#radius-server template radiu...
华为汇聚交换机上配置Portal认证实现用户访问网络
m0_46129105的博客
03-09 3628
华为汇聚交换机上配置Portal认证实现用户访问网络 前提条件:已完成基础网络连通性配置,交换机到Radius服务器,DNS服务器,URL域名对应IP都要可达。 1.创建radius server模板"HUAWEI" radius-server template HUAWEI radius-server shared-key cipher Huawei@123 radius-server authentication 192.168.0.1 1812 source ip-address 1.1.1.1 w
华为交换机业务诊断:配置、原理与关键信息解读
3. **支持的业务类型**:华为交换机支持DHCP(动态主机配置协议)业务、AAA(接入认证、计费和授权)业务以及NAC网络访问控制)业务的诊断。例如,DHCP诊断关注地址申请、释放和续租过程中的关键交互,AAA则涵盖...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值