• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S5500 +端口安全配置案例

2019-03-25提问
  • 0关注
  • 1收藏,1487浏览
粉丝:13人 关注:0人

问题描述:

有没有macAddressElseUserLoginSecureExt端口安全这个模式,mac认证和1x认证均结合imc或者radius服务器的案例。

最佳答案

已采纳
粉丝:10人 关注:1人

macAddressElseUserLoginSecureExt 这个你指的什么? 

1x认证结合radius服务器配置举例:

(2)     配置本地用户

# 添加本地用户,用户名为localuser,密码为明文输入的localpass。(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)

<Device> system-view

[Device] local-user localuser

[Device-luser-localuser] service-type lan-access

[Device-luser-localuser] password simple localpass

# 启动闲置切断功能,并指定正常连接时用户空闲时间超过20分钟,则切断其连接。

[Device-luser-localuser] authorization-attribute idle-cut 20

[Device-luser-localuser] quit

(3)     配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

[Device] radius scheme radius1

# 配置主认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] primary authentication 10.1.1.1

[Device-radius-radius1] primary accounting 10.1.1.1

# 配置备份认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] secondary authentication 10.1.1.2

[Device-radius-radius1] secondary accounting 10.1.1.2

# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。

[Device-radius-radius1] key authentication name

[Device-radius-radius1] key accounting money

# 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-radius1] user-name-format without-domain

[Device-radius-radius1] quit

说明

发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关:

·     若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);

·     若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。

 

(4)     配置ISP域

# 创建域***.***并进入其视图。

[Device] domain ***.***

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。

[Device-isp-***.***] authentication lan-access radius-scheme radius1 local

[Device-isp-***.***] authorization lan-access radius-scheme radius1 local

[Device-isp-***.***] accounting lan-access radius-scheme radius1 local

# 配置该域最多可容纳30个用户。

[Device-isp-***.***] access-limit enable 30

# 启动闲置切断功能,并指定正常连接时用户空闲时间超过20分钟,则切断其连接。

[Device-isp-***.***] idle-cut enable 20

[Device-isp-***.***] quit

# 指定域***.***为缺省的ISP域。如果用户在登录时没有提供ISP域名,系统将把它归于该缺省的ISP域。

[Device] domain default enable ***.***

(5)     配置802.1X

# 开启全局802.1X特性。

[Device] dot1x

# 开启指定端口GigabitEthernet1/0/1的802.1X特性。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] dot1x

[Device-GigabitEthernet1/0/1] quit

# 配置基于MAC地址的接入控制方式(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。

[Device] dot1x port-method macbased interface gigabitethernet 1/0/1


连接如下:http://www.h3c.com/cn/d_201503/858715_30005_0.htm#_Toc357157306


1.10.3 端口安全macAddressElseUserLoginSecure模式配置举例 1. 组网需求 客户端通过端口GE1/0/1连接到Device上,Device通过RADIUS服务器对客户端进行身份认证。如果认证成功,客户端被授权允许访问Internet资源。 Device的管理者希望对接入用户的端口GE1/0/1做如下的限制: · 可以有多个MAC认证用户上线; · 如果是802.1X用户请求认证,先进行MAC地址认证,MAC地址认证失败,再进行802.1X认证。802.1X用户限制为1个; · MAC地址认证用户使用MAC地址作为用户名和密码,其中MAC地址带连字符、字母小写; · 上线的MAC地址认证用户和802.1X认证用户总和不能超过64个; · 为防止报文发往未知目的MAC地址,启动Need To Know特性。 那这个案例你看是否满足需求? http://www.h3c.com/cn/d_201503/858719_30005_0.htm#_Ref152558367

圈圈圆圆圈圈 发表时间:2019-03-25 更多>>

你这个是1x认证的,我想要的是端口安全的模式macAddressElseUserLoginSecureExt,mac认证和1x认证都结合radius的 时候如何配置。

好好先生 发表时间:2019-03-25

1.10.3 端口安全macAddressElseUserLoginSecure模式配置举例 1. 组网需求 客户端通过端口GE1/0/1连接到Device上,Device通过RADIUS服务器对客户端进行身份认证。如果认证成功,客户端被授权允许访问Internet资源。 Device的管理者希望对接入用户的端口GE1/0/1做如下的限制: · 可以有多个MAC认证用户上线; · 如果是802.1X用户请求认证,先进行MAC地址认证,MAC地址认证失败,再进行802.1X认证。802.1X用户限制为1个; · MAC地址认证用户使用MAC地址作为用户名和密码,其中MAC地址带连字符、字母小写; · 上线的MAC地址认证用户和802.1X认证用户总和不能超过64个; · 为防止报文发往未知目的MAC地址,启动Need To Know特性。 那这个案例你看是否满足需求? http://www.h3c.com/cn/d_201503/858719_30005_0.htm#_Ref152558367

圈圈圆圆圈圈 发表时间:2019-03-25
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明