H3C S3600 的每个端口只有指定PC认证后能访问网络的典型配置

H3C S3600的每个端口只有指定PC认证后能访问

网络的典型配置

一、  组网需求：

H3C S3600设备作为接入设备

要求实现每个端口只接一台PC进行认证，且其他PC接到该端口不能访问网络

即如下图所示，PC1只能通过E1/0/1接入，且其他PC连接到E1/0/1时不能访问网络

PC1的mac地址 0015-c50b-9be0

PC2的mac地址0015-c50b-7810

二、  组网图：

 

三、  配置步骤：

(1)    全局开启dot1x

[H3C] dot1x

(2)    端口下开启dot1x

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1]dot1x

(3)    配置radius scheme

radius scheme imc 

 server-type extended 

 primary authentication 1.1.1.254

 primary accounting 1.1.1.254  

 keyauthentication h3c 

 key accounting h3c 

 user-name-format without-domain

(4)    定义二层acl，只允许PC1通过

[H3C]acl number 4001 

[H3C-acl-ethernetframe-4001]rule 0 deny  

[H3C-acl-ethernetframe-4001]rule 1 permit source 0015-c50b-9be0 ffff-ffff-ffff

(5)    下发acl到端口

[H3C-Ethernet1/0/1]packet-filter inbound link-group 4001 

 在其他端口也做类似的配置，需要哪台PC通过，就在acl中配置允许哪台的mac通过，从而实现特定PC接入网络的需求。

四、  配置关键点：

需要注意ACL的规划，因为这种绑定会占用ACL资源。