cisco配置如下
AAA配置
aaa new-model
aaa group server radius ningdun
server-private 172.23.6.60 auth-port 1812 acct-port 1813 key szndace
aaa authentication login default line none
aaa authentication dot1x default group ningdun
aaa authorization network default group ningdun
aaa accounting dot1x default start-stop group ningdun
aaa accounting network default start-stop group ningdun
aaa server radius dynamic-author client 172.23.6.60 server-key szndace
dot1x配置
dot1x system-auth-control/开启dot1x
端口配置
interface GigabitEthernet1/0/6
switchport access vlan 192
switchport mode access
switchport voice vlan 104
authentication event fail action next-method
authentication event server dead action authorize vlan 36
authentication host-mode multi-auth
authentication open authentication order
mab //华三如何开启mab或有类似手段
dot1x pae authenticator
no lldp receive
spanning-tree portfast edge
radius配置
radius-server attribute 6 on-for-login-auth
radius-server dead-criteria time 5 tries 3
radius server ningdun address ipv4 172.23.6.60 auth-port 1812 acct-port 1813 key ningdun
华三交换机怎么实现MAB认证,像radius和AAA基本都能在配置手册找到,就mab相关找不到,论坛里有类似问题说是没有客户端就使用mac认证。对接宁盾不知道有没有别的方案。
(0)
最佳答案
mab是做什么用的?我们看看有无类似的
(0)
话机、打印机哑终端这种,主要是配合宁盾那边测试
哑终端就用mac认证吧,别1X认证了,先按照我们手册的认证配置
参考:
这里面要注意的就是MAC地址的格式,也就是我下面加粗的配置
如图2所示,用户Host通过Switch连接到网络。为了提高安全性,可以通过配置MAC地址用户名远程认证,实现在远程服务器上完成用户身份的认证。
图2 启动MAC地址认证对接入用户进行RADIUS认证
· 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
· 在RADIUS服务器上添加用户帐号,用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
· 在标准的RADIUS协议中,RADIUS服务器的认证端口为UDP端口1812,我司设备作为RADIUS服务器时认证端口为UDP端口1645。因此,本举例中需要在SwitchA上配置RADIUS方案时,需要指定认证服务器的认证端口号为1645。
· 按照组网图配置设备各接口的IP地址,保证各主机、服务器和设备之间的路由可达。
· 如下服务器配置以H3C S5500-HI系列交换机作为RADIUS server为例,详细信息可参考相关产品手册。
# 配置RADIUS方案。
<SwitchA> system-view
[SwitchA] radius scheme 2000
New Radius scheme
[SwitchA-radius-2000] primary authentication 10.1.1.1 1645 key abc
[SwitchA-radius-2000] user-name-format without-domain
[SwitchA-radius-2000] quit
# 配置ISP域的AAA方案。
[SwitchA] domain domain2
[SwitchA-isp-domain2] authentication lan-access radius-scheme 2000
[SwitchA-isp-domain2] authorization lan-access radius-scheme 2000
[SwitchA-isp-domain2] quit
# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。
[SwitchA] mac-authentication interface gigabitethernet1/0/1
Mac-auth is enabled on port GigabitEthernet1/0/1.
# 配置MAC地址认证用户所使用的ISP域。
[SwitchA] mac-authentication domain domain2
# 配置MAC地址认证的下线定时器和静默定时器。即交换机每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
[SwitchA] mac-authentication timer offline-detect 180
[SwitchA] mac-authentication timer quiet 180
# 配置MAC地址认证用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。
[SwitchA] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启全局MAC地址认证特性。
[SwitchA] mac-authentication
Mac-auth is enabled globally.
# 以Host的MAC地址作为用户名,创建RADIUS用户并进入RADIUS服务器用户视图
<SwitchB> system-view
[SwitchB] radius-server user 68-05-ca-06-55-7b
# 指定用户的密码为明文123456。
[SwitchB-rdsuser-68-05-ca-06-55-7b] password simple 123456
[SwitchB-rdsuser-68-05-ca-06-55-7b] quit
# 配置RADIUS客户端IP为10.1.1.2,共享密钥为明文abc。
[SwitchB] radius-server client-ip 10.1.1.2 key simple abc
# 显示全局MAC地址配置信息。
<SwitchA> display mac-authentication
MAC address authentication is enabled.
User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx
Fixed username:mac
Fixed password:not configured
Offline detect period is 180s
Quiet period is 180s.
Server response timeout value is 100s
The max allowed user number is 2048 per slot
Current user number amounts to 1
Current domain is domain2
Silent Mac User info:
MAC Addr From Port Port Index
Gigabitethernet1/0/1 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Max number of on-line users is 2048
Current online user number is 1
MAC Addr Authenticate State Auth Index
6805-ca06-557b MAC_AUTHENTICATOR_SUCCESS 0
<略>
<SwitchA> display connection
Slot: 1
Index=0 ,Username=68-05-ca-06-55-7b@domain2
IP=N/A
Ipv6=N/A
MAC=6805-ca06-557b
Total 1 connection(s) matched on slot 1.
Total 1 connection(s) matched.
S5500-SI系列交换机不支持port link-mode bridge命令。
· SwitchA:
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
mac-authentication domain domain2
mac-authentication user-name-format mac-address with-hyphen
#
radius scheme 2000
primary authentication 10.1.1.1 1645 key cipher $c$3$eYcHkFXUguZArZkXiCkrPABwQ0+E6g==
user-name-format without-domain
#
domain domain2
authentication lan-access radius-scheme 2000
authorization lan-access radius-scheme 2000
access-limit disable
state active
idle-cut disable
self-service-url disable
#
interface GigabitEthernet1/0/1
port link-mode bridge
mac-authentication
#
· Radius server:
#
radius-server client-ip 10.1.1.2 key cipher $c$3$qz/+3koDvrIbRqm1Ghf6a10hS4fLFQ==
#
radius-server user 68-05-ca-06-55-7b
password cipher $c$3$Xv+yKBbrO2yl0iVyWZfuRJyhm0ZNJkGU/REI5+GZSfJ7vcky
#
(0)
感谢大佬,周一去尝试下
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
哑终端就用mac认证吧,别1X认证了,先按照我们手册的认证配置