H3C交换机AAA配置
一、RADIUS相关配置
【必要命令】
系统视图
[H3C] dot1x
注:启用dot1x认证
[H3C] dot1x authentication-method eap
注:设置dot1x认证方式为EAP
[H3C] MAC-authentication
注:启用MAC认证
[H3C] radius scheme skylark
注:新建RADIUS方案
[H3C-radius-skylark] primary authentication 10.18.10.223 1812
注:设置RADIUS认证服务器地址,默认端口1812
[H3C-radius-skylark] primary accounting 10.18.10.223 1813
注:设置RADIUS审计服务器地址,默认端口1812
[H3C-radius-skylark] key authentication skylark
注:设置交换机与RADIUS认证服务器的通信密码
[H3C-radius-skylark] key accounting skylark
注:设置交换机与RADIUS审计服务器的通信密码
[H3C-radius-skylark] user-name-format without-domain
注:交换机发送给RADIUS服务器的用户名验证不带ISP域名
[H3C-radius-skylark] nas-ip 10.18.10.254
注:当交换机有多个IP时,指定与RADIUS服务器通讯所使用的IP地址
[H3C] domain https://www.sodocs.net/doc/bc5985264.html,
注:在交换机新建ISP域
[https://www.sodocs.net/doc/bc5985264.html,] scheme radius-scheme skylark local
注:给ISP域指定验证的RADIUS方案
[https://www.sodocs.net/doc/bc5985264.html,] vlan-assignment-mode string
注:设置RADIUS服务器发送的vlan数为字符串型
[H3C] domain default enable https://www.sodocs.net/doc/bc5985264.html,
注:设置新建的ISP域为默认域,默认接入终端都通过RADIUS服务器进行认证
[H3C] MAC-authentication domain https://www.sodocs.net/doc/bc5985264.html,
注:指定MAC地址认证的ISP域
[H3C] undo dot1x handshake enable
注:关闭dot1x的认证握手,防止已认证端口失败
端口视图-dot1x认证
[H3C] interface Ethernet1/0/10
注:进入端口视图(配置所有接入端口)
[H3C-Ethernet1/0/10] port link-type access
注:设置端口模式为access
[H3C-Ethernet1/0/10] dot1x
注:在端口上启用dot1x认证
[H3C-Ethernet1/0/10] dot1x port-control auto
注:自动识别端口的授权情况
[H3C-Ethernet1/0/10] dot1x port-method portbased
注:设置端口基于端口认证,当第一个用户认证成功后,其他用户无须认证;若该用户下线后,其他用户也会被拒绝访问
[H3C-Ethernet1/0/10] dot1x guest-vlan 3
注:设置guestvlan,只有该端口为基于端口认证时支持,基于端口认证时不支持
端口视图-MAC认证
[H3C] interface Ethernet1/0/11
注:进入端口视图(配置所有接入端口)
[H3C-Ethernet1/0/11] port link-type access
注:设置端口模式为access
[H3C-Ethernet1/0/11] MAC-authentication
注:在端口上启用MAC认证
[H3C-Ethernet1/0/11] MAC-authentication guest-vlan 3
注:设置guestvlan,guestvlan只支持一个MAC认证用户接入
【可选命令】
dot1x认证
[H3C] dot1x retry 2
注:交换机向RADIUS服务器发送报文的重传次数
[H3C] dot1x timer tx-period 2
注:交换机向dot1x端口定期多长时间重发报文
[H3C] dot1x timer supp-timeout 10
注:交换机向客户端发送报文,客户端未回应,多长
时间后重发
[H3C] dot1x timer server-timeout 100
注:交换机向RADIUS服务器发送报文,服务器未回应,多长时间后重发
[H3C] dot1x timer reauth-period 7200
注:设置重认证间隔检测时间
[H3C-Ethernet1/0/10] dot1x re-authenticate
注:开启端口重认证功能
MAC认证
[H3C] mac-authentication timer server-timeout 100
注:设置MAC认证交换机等待RADIUS服务器的超时时间
二、其他配置
【必要命令】
SNMP设置
作用:收集交换机信息,进行交换机管理
[H3C] snmp-agent community write skylark
注:设置community密码,用于管理交换机,接收交换机相关信息
[H3C] snmp-agent sys-info version all
注:设置SNMP支持版本
DHCP中继代理(在网关交换机上配置)
作用:根据指定IP查找DHCP服务器位置
(方法一)
[H3C] dhcp-server 0 ip 10.18.10.223
注:新建DHCP组,设置DHCP服务器地址
[H3C] interface vlan 2
注:进入vlan接口
[H3C-interface-vlan2] dhcp-server 0
注:配置DHCP中继代理,指向DHCP组
(方法二)
[H3C] dhcp enable
注:开启DHCP功能
[H3C] dhcp relay server-group 0 ip 10.18.10.223
注:新建DHCP组,设置DHCP服务器地址
[H3C] interface vlan 2
注:进入vlan接口
[H3C-interface-vlan2] dhcp select relay
注:设置接口为中继模式
[H3C-interface-vlan2] dhcp relay server-select 0
注:配置DHCP中继代理,指向DHCP组
【可选命令】
DHCP SNOOPING
作用:保证DHCP服务器合法性,并记录客户端IP和MAC对应关系
[H3C] dhcp-snooping
注:开启DHCP-SNOOPING安全特性
[H3C] interface G1/0/1(某些支持vlan接口)
注:进入端口模式(配置级联端口和连接DHCP服务器的端口为信任端口)
[H3C-interface-GigabyteEthernet1/0/1] dhcp-snooping trust
注:设置该端口为信任端口,默认其它未设置端口则为不信任端口,丢弃不信任的DHCP报文
IP SOURCE GUARD(配合DHCP-SNOOPING使用)
作用:在接口上绑定DHCP-SNOOPING表项IP及MAC信息
[H3C] interface E1/0/10(某些支持vlan接口)
注:进入接口
[H3C-interface-Ethernet1/0/10] ip check source ip-address mac-address
注:动态绑定DHCP-SNOOPING表项,过滤掉其它非DHCP分配的终端数据
相关命令
display dhcp-snooping
display ip check source
注意:S3100SI不支持IP SOURCE GUARD绑定