文章描述了从CiscoCatalyst2960交换机向HuaweiS5731/H3CS5130交换机的割接过程,重点比较了两者的AAA认证、802.1X、MAC地址绑定以及Radius服务器配置的差异。在新配置中,添加了接口的逃生功能(guestVLAN)和华为设备的MAC地址静态绑定,并指出了预配置脚本中可能缺失的部分。
背景:
某局点需要将数台Cisco Catalyst 2960接入交换机替换为Huawei S5731/H3C S5130交换机。
本人的职责是负责检查及补充由Cisco翻译后的Huawei/H3C配置,现场支持设备割接。
Cisco Catalyst 2960(IOS 12.2)安全准入相关(现有)配置梳理:
aaa new-model //启用AAA认证
!
aaa authentication login default line none //创建缺省登录认证列表;采用line password
aaa authentication dot1x default group radius none //AAA缺省通过802.1X,使用radius认证服务
aaa authorization network default group radius //AAA缺省通过radius网络授权
!
no ip domain-lookup
ip domain-name xxxx.com
vtp mode transparent
!
dot1x system-auth-control //全局启用802.1X
dot1x guest-vlan supplicant //允许客户端切换到guest-vlan
dot1x critical eapol
!
interface GigabitEthernet1/0/1 //普通Dot1x接口
switchport access vlan A
switchport mode access
authentication event no-response action authorize vlan B //设置逃生Vlan
authentication host-mode multi-auth
//端口配置多认证模式:
不支持vlan切换(按需配置)
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
