S5500 +端口安全配置案例
- 0关注
- 1收藏,1316浏览
问题描述:
有没有macAddressElseUserLoginSecureExt端口安全这个模式,mac认证和1x认证均结合imc或者radius服务器的案例。
- 2019-03-25提问
- 举报
-
(0)
最佳答案
macAddressElseUserLoginSecureExt 这个你指的什么?
1x认证结合radius服务器配置举例:
(2) 配置本地用户
# 添加本地用户,用户名为localuser,密码为明文输入的localpass。(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)
<Device> system-view
[Device] local-user localuser
[Device-luser-localuser] service-type lan-access
[Device-luser-localuser] password simple localpass
# 启动闲置切断功能,并指定正常连接时用户空闲时间超过20分钟,则切断其连接。
[Device-luser-localuser] authorization-attribute idle-cut 20
[Device-luser-localuser] quit
(3) 配置RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[Device] radius scheme radius1
# 配置主认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1] primary authentication 10.1.1.1
[Device-radius-radius1] primary accounting 10.1.1.1
# 配置备份认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1] secondary authentication 10.1.1.2
[Device-radius-radius1] secondary accounting 10.1.1.2
# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。
[Device-radius-radius1] key authentication name
[Device-radius-radius1] key accounting money
# 配置发送给RADIUS服务器的用户名不携带域名。
[Device-radius-radius1] user-name-format without-domain
[Device-radius-radius1] quit
发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关:
· 若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);
· 若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。
(4) 配置ISP域
# 创建域***.***并进入其视图。
[Device] domain ***.***
# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。
[Device-isp-***.***] authentication lan-access radius-scheme radius1 local
[Device-isp-***.***] authorization lan-access radius-scheme radius1 local
[Device-isp-***.***] accounting lan-access radius-scheme radius1 local
# 配置该域最多可容纳30个用户。
[Device-isp-***.***] access-limit enable 30
# 启动闲置切断功能,并指定正常连接时用户空闲时间超过20分钟,则切断其连接。
[Device-isp-***.***] idle-cut enable 20
[Device-isp-***.***] quit
# 指定域***.***为缺省的ISP域。如果用户在登录时没有提供ISP域名,系统将把它归于该缺省的ISP域。
[Device] domain default enable ***.***
# 开启全局802.1X特性。
[Device] dot1x
# 开启指定端口GigabitEthernet1/0/1的802.1X特性。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] dot1x
[Device-GigabitEthernet1/0/1] quit
# 配置基于MAC地址的接入控制方式(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Device] dot1x port-method macbased interface gigabitethernet 1/0/1
连接如下:http://www.h3c.com/cn/d_201503/858715_30005_0.htm#_Toc357157306
- 2019-03-25回答
- 评论(2)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
你这个是1x认证的,我想要的是端口安全的模式macAddressElseUserLoginSecureExt,mac认证和1x认证都结合radius的 时候如何配置。
1.10.3 端口安全macAddressElseUserLoginSecure模式配置举例 1. 组网需求 客户端通过端口GE1/0/1连接到Device上,Device通过RADIUS服务器对客户端进行身份认证。如果认证成功,客户端被授权允许访问Internet资源。 Device的管理者希望对接入用户的端口GE1/0/1做如下的限制: · 可以有多个MAC认证用户上线; · 如果是802.1X用户请求认证,先进行MAC地址认证,MAC地址认证失败,再进行802.1X认证。802.1X用户限制为1个; · MAC地址认证用户使用MAC地址作为用户名和密码,其中MAC地址带连字符、字母小写; · 上线的MAC地址认证用户和802.1X认证用户总和不能超过64个; · 为防止报文发往未知目的MAC地址,启动Need To Know特性。 那这个案例你看是否满足需求? http://www.h3c.com/cn/d_201503/858719_30005_0.htm#_Ref152558367