• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

cisco mab认证转化为华三交换机配置疑问

  • 0关注
  • 1收藏,3686浏览
粉丝:0人 关注:0人

问题描述:

cisco配置如下

AAA配置

aaa new-model

aaa group server radius ningdun 

server-private 172.23.6.60 auth-port 1812 acct-port 1813 key szndace 

aaa authentication login default line none 

aaa authentication dot1x default group ningdun 

aaa authorization network default group ningdun 

aaa accounting dot1x default start-stop group ningdun 

aaa accounting network default start-stop group ningdun

 aaa server radius dynamic-author client 172.23.6.60 server-key szndace

dot1x配置

dot1x system-auth-control/开启dot1x

端口配置

interface GigabitEthernet1/0/6 

 switchport access vlan 192 

 switchport mode access 

 switchport voice vlan 104

 authentication event fail action next-method 

 authentication event server dead action authorize vlan 36

 authentication host-mode multi-auth 

 authentication open authentication order 

mab                 //华三如何开启mab或有类似手段

 dot1x pae authenticator

no lldp receive

spanning-tree portfast edge


radius配置

radius-server attribute 6 on-for-login-auth 

radius-server dead-criteria time 5 tries 3 

radius server ningdun address ipv4 172.23.6.60 auth-port 1812 acct-port 1813 key ningdun



华三交换机怎么实现MAB认证,像radius和AAA基本都能在配置手册找到,就mab相关找不到,论坛里有类似问题说是没有客户端就使用mac认证。对接宁盾不知道有没有别的方案。

组网及组网描述:


最佳答案

bei 九段
粉丝:27人 关注:7人

mab是做什么用的?我们看看有无类似的

哑终端就用mac认证吧,别1X认证了,先按照我们手册的认证配置

bei 发表时间:2021-07-03 更多>>

话机、打印机哑终端这种,主要是配合宁盾那边测试

zhiliao_Yn2F5j 发表时间:2021-07-03

哑终端就用mac认证吧,别1X认证了,先按照我们手册的认证配置

bei 发表时间:2021-07-03
3 个回答
已采纳
粉丝:167人 关注:1人

参考:

这里面要注意的就是MAC地址的格式,也就是我下面加粗的配置

组网需求

图2所示,用户Host通过Switch连接到网络。为了提高安全性,可以通过配置MAC地址用户名远程认证,实现在远程服务器上完成用户身份的认证。

图2 启动MAC地址认证对接入用户进行RADIUS认证

 

1.4.3  配置思路

请参见1.3.3  配置思路

1.4.4  配置注意事项

·     配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。

·     在RADIUS服务器上添加用户帐号,用户名必须与设备上指定的MAC地址认证用户名格式保持一致。

·     在标准的RADIUS协议中,RADIUS服务器的认证端口为UDP端口1812,我司设备作为RADIUS服务器时认证端口为UDP端口1645。因此,本举例中需要在SwitchA上配置RADIUS方案时,需要指定认证服务器的认证端口号为1645。

1.4.5  配置步骤

说明

·     按照组网图配置设备各接口的IP地址,保证各主机、服务器和设备之间的路由可达。

·     如下服务器配置以H3C S5500-HI系列交换机作为RADIUS server为例,详细信息可参考相关产品手册。

 

1. SwitchA 的配置

# 配置RADIUS方案。

<SwitchA> system-view

[SwitchA] radius scheme 2000

New Radius scheme

[SwitchA-radius-2000] primary authentication 10.1.1.1 1645 key abc

[SwitchA-radius-2000] user-name-format without-domain

[SwitchA-radius-2000] quit

配置ISP域的AAA方案。

[SwitchA] domain domain2

[SwitchA-isp-domain2] authentication lan-access radius-scheme 2000

[SwitchA-isp-domain2] authorization lan-access radius-scheme 2000

[SwitchA-isp-domain2] quit

# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。

[SwitchA] mac-authentication interface gigabitethernet1/0/1

 Mac-auth is enabled on port GigabitEthernet1/0/1.

# 配置MAC地址认证用户所使用的ISP域。

[SwitchA] mac-authentication domain domain2

# 配置MAC地址认证的下线定时器和静默定时器。即交换机每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。

[SwitchA] mac-authentication timer offline-detect 180

[SwitchA] mac-authentication timer quiet 180

# 配置MAC地址认证用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。

[SwitchA] mac-authentication user-name-format mac-address with-hyphen lowercase

# 开启全局MAC地址认证特性。

[SwitchA] mac-authentication

 Mac-auth is enabled globally.

2. RADIUS server的配置

# 以Host的MAC地址作为用户名,创建RADIUS用户并进入RADIUS服务器用户视图

<SwitchB> system-view

[SwitchB] radius-server user 68-05-ca-06-55-7b

# 指定用户的密码为明文123456。

[SwitchB-rdsuser-68-05-ca-06-55-7b] password simple 123456

[SwitchB-rdsuser-68-05-ca-06-55-7b] quit

# 配置RADIUS客户端IP为10.1.1.2,共享密钥为明文abc。

[SwitchB] radius-server client-ip 10.1.1.2 key simple abc

1.4.6  验证配置

# 显示全局MAC地址配置信息。

<SwitchA> display mac-authentication

MAC address authentication is enabled.

 User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx

 Fixed username:mac

 Fixed password:not configured

          Offline detect period is 180s

          Quiet period is 180s.

          Server response timeout value is 100s

          The max allowed user number is 2048 per slot

          Current user number amounts to 1

          Current domain is domain2

 

Silent Mac User info:

         MAC Addr               From Port           Port Index

 

Gigabitethernet1/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

  Max number of on-line users is 2048

  Current online user number is 1

          MAC Addr         Authenticate State           Auth Index

          6805-ca06-557b   MAC_AUTHENTICATOR_SUCCESS    0

<略>

 

<SwitchA> display connection

Slot:  1

Index=0  ,Username=68-05-ca-06-55-7b@domain2

 IP=N/A

 Ipv6=N/A

 MAC=6805-ca06-557b

 

 Total 1 connection(s) matched on slot 1.

 Total 1 connection(s) matched.

1.4.7  配置文件

说明

S5500-SI系列交换机不支持port link-mode bridge命令。

 

·     SwitchA:

#

mac-authentication

 mac-authentication timer offline-detect 180

 mac-authentication timer quiet 180

 mac-authentication domain domain2

 mac-authentication user-name-format mac-address with-hyphen

#

radius scheme 2000

 primary authentication 10.1.1.1 1645 key cipher $c$3$eYcHkFXUguZArZkXiCkrPABwQ0+E6g==

 user-name-format without-domain

#

domain domain2

 authentication lan-access radius-scheme 2000

 authorization lan-access radius-scheme 2000

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 mac-authentication

#

·     Radius server:

#

 radius-server client-ip 10.1.1.2 key cipher $c$3$qz/+3koDvrIbRqm1Ghf6a10hS4fLFQ==

#

radius-server user 68-05-ca-06-55-7b

 password cipher $c$3$Xv+yKBbrO2yl0iVyWZfuRJyhm0ZNJkGU/REI5+GZSfJ7vcky

#



不客气

叫我靓仔 发表时间:2021-07-04 更多>>

感谢大佬,周一去尝试下

zhiliao_Yn2F5j 发表时间:2021-07-04

不客气

叫我靓仔 发表时间:2021-07-04
粉丝:138人 关注:6人

您好,请知:

具体要看mab要实现的是什么功能,才能看下是否有相应的配置命令和举例。


粉丝:103人 关注:0人

您好,可使用mac认证

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明