• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

认证

2022-05-13提问
  • 0关注
  • 1收藏,713浏览
重生之我是FW
重生之我是FW 一段
粉丝:0人 关注:0人

问题描述:

请问V7版本的交换机如何配置IP加MAC地址绑定认证。

目前在三层vlan接口下开启了ip verify source ip-address mac-address并在交换机全局模式下添加了IP与MAC对应关系没有生效。


最佳答案

无名之辈
无名之辈 九段
粉丝:144人 关注:0人

您好,参考

(1)     配置本地MAC地址认证
# 添加本地接入用户。用户名和密码均为接入用户的MAC地址00-e0-fc-12-34-56,服务类型为lan-access。
<Device> system-view
[Device] local-user 00-e0-fc-12-34-56
[Device-luser-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56
[Device-luser-00-e0-fc-12-34-56] service-type lan-access
[Device-luser-00-e0-fc-12-34-56] quit
# 配置ISP域,使用本地认证方法。
[Device] domain ***.***
[Device-isp-***.***] authentication lan-access local
[Device-isp-***.***] quit
# 开启全局MAC地址认证特性。
[Device] mac-authentication
# 开启端口Ethernet1/0/1的MAC地址认证特性。
[Device] mac-authentication interface ethernet 1/0/1
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain ***.***
# 配置MAC地址认证的定时器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址认证用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
(2)     验证配置结果
# 显示MAC地址配置信息。
<Device> display mac-authentication
MAC address authentication is enabled.
 PAP authentication is enabled
 User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx
 Fixed username:mac
 Fixed password:not configured
          Offline detect period is 180s
          Quiet period is 180s.
          Server response timeout value is 100s
          The max allowed user number is 1024 per slot
          Current user number amounts to 1
          Current domain is ***.***
 
Silent Mac User info:
          MAC Addr         From Port                    Port Index
Ethernet1/0/1 is link-up
  MAC address authentication is enabled
  Authenticate success: 1, failed: 0
  Max number of on-line users is 256
  Current online user number is 1
          MAC Addr         Authenticate state           Auth Index
          00e0-fc12-3456   MAC_AUTHENTICATOR_SUCCESS     29
# 用户认证成功后,可通过如下显示命令查看上线用户的连接信息。
<Device> display connection
Slot:  1
Index=29  ,Username=00-e0-fc-12-34-56@***.***
 IP=N/A
 IPv6=N/A
 MAC=00e0-fc12-3456
 
 Total 1 connection(s) matched on slot 1.
 Total 1 connection(s) matched.

如果·想实现做了绑定了可以上网,没做绑定不能上网需要如何做呢?

重生之我是FW 发表时间:2022-05-13

做IP+MAC绑定

无名之辈 发表时间:2022-05-13
回复无名之辈:

请问使用那个命令进行绑定呢

重生之我是FW 发表时间:2022-05-13

楼下的就是案例

无名之辈 发表时间:2022-05-13
2 个回答
按时间 按赞数
IT钟点工
IT钟点工 九段
粉丝:94人 关注:0人

  IPv4静态绑定表项配置举例

1. 组网需求

图1-2所示,Host A、Host B分别与Device A的接口GigabitEthernet1/0/2、GigabitEthernet1/0/1相连。各主机均使用静态配置的IP地址。

要求通过在Device A上配置IPv4静态绑定表项,满足以下各项应用需求:

·     Device A上的所有接口都允许Host A发送的IP报文通过。

·     Device A的接口GigabitEthernet1/0/1上允许Host B发送的IP报文通过。

2. 组网图

图1-2 配置静态绑定表项组网图

3. 配置步骤

配置Device A各接口的IP地址(略)。

# 在接口GigabitEthernet1/0/2上开启IPv4接口绑定功能,绑定源IP地址和MAC地址。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip verify source ip-address mac-address

[DeviceA-GigabitEthernet1/0/2] quit

# 配置IPv4静态绑定表项,在Device A上的所有接口都允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

[DeviceA] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

# 在接口GigabitEthernet1/0/1上开启IPv4接口绑定功能,绑定源IP地址和MAC地址。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip verify source ip-address mac-address

# 配置IPv4静态绑定表项,在Device A的GigabitEthernet1/0/1上允许MAC地址为0001-0203-0407的数据终端Host B发送的IP报文通过。

[DeviceA-GigabitEthernet1/0/1] ip source binding mac-address 0001-0203-0407

[DeviceA-GigabitEthernet1/0/1] quit

4. 验证配置

# 在Device A上显示IPv4静态绑定表项,可以看出以上配置成功。

<DeviceA> display ip source binding static

Total entries found: 2

IP Address      MAC Address    Interface                VLAN Type

192.168.0.1     0001-0203-0406 N/A                      N/A  Static

N/A             0001-0203-0407 GE1/0/1                  N/A  Static

1.6.2  与DHCP Snooping配合的IPv4动态绑定功能配置举例

1. 组网需求

DHCP客户端通过Device的接口GigabitEthernet1/0/1接入网络,通过DHCP服务器获取IPv4地址。

具体应用需求如下:

·     Device上使能DHCP Snooping功能,保证客户端从合法的服务器获取IP地址,且记录客户端IPv4地址及MAC地址的绑定关系。

·     在接口GigabitEthernet1/0/1上启用IPv4动态绑定功能,利用动态生成的DHCP Snooping表项过滤接口接收的报文,只允许通过DHCP服务器动态获取IP地址的客户端接入网络。DHCP服务器的具体配置请参见“三层技术-IP业务配置指导”中的“DHCP服务器”。

2. 组网图

图1-3 配置与DHCP Snooping配合的IPv4动态绑定功能组网图

3. 配置步骤

(1)     配置DHCP Snooping

# 配置各接口的IP地址(略)。

# 开启DHCP Snooping功能。

<Device> system-view

[Device] dhcp snooping enable

# 设置与DHCP服务器相连的接口GigabitEthernet1/0/2为信任接口。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] dhcp snooping trust

[Device-GigabitEthernet1/0/2] quit

(2)     配置IPv4接口绑定功能

# 开启接口GigabitEthernet1/0/1的IPv4接口绑定功能,绑定源IP地址和MAC地址,并启用接口的DHCP Snooping 表项记录功能。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address

[Device-GigabitEthernet1/0/1] dhcp snooping binding record

[Device-GigabitEthernet1/0/1] quit

4. 验证配置

# 显示接口GigabitEthernet1/0/1从DHCP Snooping获取的动态表项。

[Device] display ip source binding dhcp-snooping

Total entries found: 1

IP Address      MAC Address    Interface                VLAN Type

192.168.0.1     0001-0203-0406 GE1/0/1                  1    DHCP snooping

接口GigabitEthernet1/0/1在配置IPv4接口绑定功能之后,会根据该表项进行报文过滤。

如果·想实现做了绑定了可以上网,没做绑定不能上网需要如何做呢?

重生之我是FW 发表时间:2022-05-13
zhiliao_kJxq4B
zhiliao_kJxq4B 四段
粉丝:3人 关注:0人

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip verify source ip-address mac-address

[DeviceA-GigabitEthernet1/0/2] quit

# 配置IPv4静态绑定表项,在Device A上的所有接口都允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

[DeviceA] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

我这里在vlanif10中开启了认证,然后全局添加了静态绑定表项不生效。

重生之我是FW 发表时间:2022-05-13

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明