09-HABP配置
本章节下载: 09-HABP配置 (190.39 KB)
HABP(HW Bypass Protocol,HW旁路认证协议)是一种链路层应用协议,工作在MAC层之上,其主要作用是让启用802.1X或MAC地址认证的接入设备的下游设备免认证。
图1-1 802.1X认证典型组网图
如图1-1所示,802.1X认证端设备Switch A下挂接入设备Switch B和Switch C。在Switch A及其连接下游设备的端口上启动802.1X认证,终端用户可以通过主机上的802.1X客户端进行认证。在这种情况下,如果网络设备Switch B和Switch D之间也需要通信,则它们之间的报文在经过Switch A的时候就必须通过802.1X认证。但是设备上通常不支持802.1X客户端,所以需要一种简单的机制让网络设备绕过802.1X认证。
HABP特性就可以解决以上问题,能帮助一些链路层报文穿过802.1X和MAC地址认证,在不影响认证体系正常功能的情况下,实现非终端用户的网络连接设备穿过认证,完成必要的网络设备间协议通信的功能。
HABP协议采用Server/Client结构,每台设备同一时间只能成为一种角色,Server或Client。HABP server一般应该在802.1X或MAC地址认证端设备上启动,例如上图中的Switch A;HABP client应该在下挂的交换机上启动,例如上图中的Switch B、Switch C、Switch D和Switch E。通常Server会定期向Client发送HABP请求报文,收集下挂交换机MAC地址,形成HABP表项。而Client会对请求报文进行应答,同时向下层交换机转发HABP请求报文。所有的HABP报文只能在一个指定的VLAN内转发。HABP server和HABP client通过该VLAN实现内部通信。
· 在一个集群中,当使能了802.1X或MAC地址认证功能的成员设备还下挂有其它成员设备时,必须在该成员设备上开启HABP server功能,否则管理设备将无法对其下挂的成员设备进行管理。
· 关于集群功能的具体介绍请参见“网络管理和监控配置指导”中的“集群管理”。
HABP server一般是在认证端(开启了802.1X或MAC地址认证功能)设备上启动。开启该功能后,HABP server就会定期(发送时间间隔可配)向连接的HABP client发送HABP请求报文,通过HABP client的响应报文来收集下挂交换机的MAC地址信息。HABP报文在HABP server上的指定VLAN内传播。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能HABP功能 |
habp enable |
可选 缺省情况下,HABP功能处于使能状态 |
设置HABP功能的模式为Server模式,同时指定HABP报文在指定的VLAN内传播 |
habp server vlan vlan-id |
必选 缺省情况下,HABP功能工作在Client模式下 |
设置发送HABP请求报文的时间间隔 |
habp timer interval |
可选 缺省情况下,发送HABP请求报文的时间间隔为20秒 |
HABP server上指定的传播HABP报文的VLAN必须与HABP client所属的VLAN保持一致。
HABP client是在认证端设备下挂的设备上启动。HABP client收到HABP server的请求报文后,通过发送响应报文向HABP server告知本设备的MAC地址等信息,并向下层交换机转发该HABP请求报文。HABP报文在HABP client所属的指定VLAN内传播。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能HABP功能 |
habp enable |
可选 缺省情况下,HABP功能处于使能状态 |
设置HABP功能的模式为Client模式 |
undo habp server |
可选 缺省情况下,HABP功能工作在Client模式下 |
设置HABP client所属的VLAN |
habp client vlan vlan-id |
可选 缺省情况下,HABP Client所属的VLAN为VLAN 1 |
HABP client所属的VLAN必须与HABP server上指定的传播HABP报文的VLAN保持一致。
在完成上述配置后,在任意视图下执行display命令都可以显示配置后HABP的运行情况。
表1-3 HABP显示和维护
操作 |
命令 |
显示HABP特性的配置信息和状态 |
display habp [ | { begin | exclude | include } regular-expression ] |
显示HABP的MAC地址表信息 |
display habp table [ | { begin | exclude | include } regular-expression ] |
显示HABP报文的统计信息 |
display habp traffic [ | { begin | exclude | include } regular-expression ] |
如图1-2所示,Switch A下挂用户接入设备Switch B和Switch C。为了便于对接入用户(Host A~Host D)进行集中认证,在Switch A上开启802.1X功能。
· 为满足Switch B和Switch C之间的通信需求,需要在Switch A上启动HABP server功能,在Switch B和Switch C上启动HABP client功能,并指定HABP报文在VLAN 1内传播。
· HABP server以50秒的时间间隔周期性地向VLAN 1内的HABP client发送HABP请求报文。
图1-2 HABP典型配置组网图
(1) 配置Switch A
# 配置802.1X相关功能,具体请参见“安全配置指导”中的“802.1X”,此处略。
# 在Switch A上使能HABP。(此配置可选,缺省情况下HABP功能处于使能状态)
<SwitchA> system-view
[SwitchA] habp enable
# 配置HABP工作在Server模式下,并指定HABP报文在VLAN 1内传播。
[SwitchA] habp server vlan 1
# 配置发送HABP请求报文的时间间隔为50秒。
[SwitchA] habp timer 50
(2) 配置Switch B
# 在Switch B上使能HABP。(此配置可选,缺省情况下HABP功能处于使能状态)
<SwitchA> system-view
[SwitchB] habp enable
# 配置HABP工作在Client模式下。(此配置可选,缺省情况下HABP工作在Client模式下)
[SwitchB] undo habp server
# 配置HABP Client所属的VLAN,指定HABP报文在VLAN 1内传播。(此配置可选,缺省情况下HABP Client属于VLAN 1)
[SwitchB] habp client vlan 1
(3) 配置Switch C
配置步骤同Switch B,此处略。
(4) 验证配置结果
# 可以通过此显示命令查看HABP相关配置信息。
<SwitchA> display habp
Global HABP information:
HABP Mode: Server
Sending HABP request packets every 50 seconds
Bypass VLAN: 1
# 可以通过此显示命令查看MAC地址表项的学习情况。
<SwitchA> display habp table
MAC Holdtime Receive Port
001f-3c00-0030 53 Ethernet1/0/2
001f-3c00-0031 53 Ethernet1/0/1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!