H3C S3600的每个端口只有指定PC认证后能访问
网络的典型配置
一、 组网需求:
H3C S3600设备作为接入设备
要求实现每个端口只接一台PC进行认证,且其他PC接到该端口不能访问网络
即如下图所示,PC1只能通过E1/0/1接入,且其他PC连接到E1/0/1时不能访问网络
PC1的mac地址 0015-c50b-9be0
PC2的mac地址0015-c50b-7810
二、 组网图:
三、 配置步骤:
(1) 全局开启dot1x
[H3C] dot1x
(2) 端口下开启dot1x
[H3C] interface Ethernet1/0/1
[H3C-Ethernet1/0/1]dot1x
(3) 配置radius scheme
radius scheme imc
server-type extended
primary authentication 1.1.1.254
primary accounting 1.1.1.254
keyauthentication h3c
key accounting h3c
user-name-format without-domain
(4) 定义二层acl,只允许PC1通过
[H3C]acl number 4001
[H3C-acl-ethernetframe-4001]rule 0 deny
[H3C-acl-ethernetframe-4001]rule 1 permit source 0015-c50b-9be0 ffff-ffff-ffff
(5) 下发acl到端口
[H3C-Ethernet1/0/1]packet-filter inbound link-group 4001
在其他端口也做类似的配置,需要哪台PC通过,就在acl中配置允许哪台的mac通过,从而实现特定PC接入网络的需求。
四、 配置关键点:
需要注意ACL的规划,因为这种绑定会占用ACL资源。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作