修改服务器cimc地址,【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导...

1背景

交换机提供用户的接入功能，用户分为管理员用户和接入用户两大类。如图1-1所示，管理员用户需要接入交换机对其进行管理，接入用户需要接入交换机使用视频、语音、上网等网络应用业务。

图1-1交换机的用户

当用户接入交换机时，交换机需要对这些用户进行接入控制管理。如对用户进行身份认证(Authentication)，授权(Authorization)给用户接入后可进行的业务以及根据用户使用的业务进行计费(Accounting)，即AAA管理机制。AAA提供对用户进行认证、授权和计费等安全功能，防止非法用户登录设备，增强设备系统安全性。

l认证：验证用户是否可以获得网络访问权。

l授权：授权用户可以使用哪些服务。

l计费：记录用户使用网络资源的情况。

AAA常用在对安全性要求较高的网络环境中，例如金融、***和运营商等行业。交换机运用AAA管理机制时还需要在网络中部署AAA服务器，如图1-2所示，通过各种方式接入交换机的用户的用户信息都由AAA服务器统一创建与维护，当用户输入的用户名和密码与AAA服务器上配置的一致时，才可以成功登录设备，再依据授权配置完成相应的授权，例如获取权限访问Internet。

图1-2AAA服务器管理交换机的用户

目前S系列交换机支持基于RADIUS协议或HWTACIMC协议与AAA服务器通信，在实际应用中，最常使用RADIUS协议。

2H厂商IMC介绍

简介

H厂商智能管理中心(************ Management Center，IMC)服务器以下简称IMC服务器。

本文主要以配置实例的形式介绍IMC服务器与华为交换机对接时的配置方法以及注意事项。

IMC的使用

完成交换机与H厂商IMC的物理连接后，还需要在PC上安装H厂商IMC软件。安装完成后，管理员可以通过WEB界面登录到H厂商IMC对其进行配置。

登录H厂商IMC要求浏览器为Microsoft Internet Explorer 6.0 SP1、Mozilla Firefox 3.6及其后续版本。登录客户端后，可以查看和管理IMC，同时也可以监控和输出日志，这些日志用来跟踪用户连接，可以显示哪些用户当前登录，列出失败的身份验证和授权尝试等等。

3S系列交换机(802.1x认证)与H厂商IMC对接方案

3.1实现差异对比

IMC服务器一些功能为私有协议实现，以下命令行是为了华为交换机为兼容这些功能开发，需要配置如下命令，确保双网卡检查、病毒库检查等功能的正常使用。如果不配置四条兼容性命令，则会出现安全检查通过后，无法先发安全ACL。

#

dot1x eap-notify-packet eap-code 10 data-type 25

radius-server attribute translate

radius-attribute translate HW-Up-Priority HW-User-Informantion receive

#

authorization-modify mode modify

注意：以上兼容命名不能完全解决所有H3C私有协议功能，例如ARP网关绑定功能暂时不支持。

3.2适用形态及版本

表3-1S系列交换机版本支持情况

产品型态

支持情况

S系列交换机

V100R006C03以后版本支持。

本文以IMC 5.2.0.26版本为例介绍H厂商IMC相关界面和配置。

3.3对接介绍

交换机与H厂商IMC对接组网如图3-1所示。

图3-1交换机与H厂商IMC对接组网

进行对接配置之前，请先确保：

l交换机与H厂商IMC的物理连通性。

l管理员可以通过WEB界面登录到H厂商IMC服务器对IMC进行配置。

3.4对接案例

3.4.1组网需求及配置思路

组网需求

802.1x接入用户通过接入网络接入交换机，企业使用IMC统一创建与维护用户信息。其中管理员可以通过WEB界面登录到IMC服务器对IMC进行配置。

具体需求：

1.802.1x用户在终端上启动802.1x客户端，输入用户名和密码，认证通过后可以接入交换机。

802.1x用户接入交换机后，

?只能操作命令级别为0～2的所有命令行。

?IMC为其下发属性VLAN 100和ACL 3000。

2.802.1x用户使用huawei.com域认证。

图3-2接入用户通过802.1x接入交换机

配置准备

进行配置之前，请按照表3-2准备数据，表中数据仅供参考。

表3-2交换机与IMC对接的数据准备

IM