登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C园区盒式交换机 Web快速配置指南-6W101

  • 发布时间:2024/7/9 19:51:12
  • 浏览量:
  • 下载量:

18-端口安全

本章节下载  (605.45 KB)

18-端口安全

目  录

1 端口安全快速配置指南

1.1 组网需求

1.2 配置注意事项

1.3 配置步骤

1.4 验证配置

 

1  端口安全快速配置指南

1.1  组网需求

用户通过Switch的端口GigabitEthernet1/0/1接入网络,Switch对该端口接入的用户进行端口安全认证以控制其访问Internet,具体要求如下:

·     RADIUS服务器作为认证/授权/计费服务器与Switch相连,其IP地址为10.1.1.1/24。

·     端口GigabitEthernet1/0/1上同时允许一个802.1X用户以及一个与指定OUI值匹配的设备接入。

·     Switch对802.1X用户进行认证时,采用RADIUS认证方式,认证ISP域为portsec。

·     Switch与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名不携带域名。

·     添加5个OUI值,分别为:1234-0100-1111、1234-0200-1111、1234-0300-1111、1234-0400-1111和1234-0500-1111。系统会自动取输入的前24位作为OUI值,忽略后24位。

图1 端口安全用户的RADIUS认证配置组网图

 

1.2  配置注意事项

OUI值只在端口安全模式为userLoginWithOUI时生效。在userLoginWithOUI模式下,端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC地址的OUI与设备上配置的某个OUI值相符。

1.3  配置步骤

1. 配置各接口的IP地址(略)

2. 配置Switch

(1)     配置RADIUS方案

选择页面左侧导航栏[安全/认证/RADIUS],进入“RADIUS方案”配置页面,进行如下配置:

¡     点击右上角“”按钮,添加RADIUS方案。

¡     配置方案名称为“portsec”。

¡     指定主认证服务器IP地址为“10.1.1.1”,端口号为“1812”,共享密钥为“name”。设置主认证服务器状态为“活动”,点击右侧的“”按钮完成添加。

¡     指定主计费服务器IP地址为“10.1.1.1”,端口号为“1813”,共享密钥为“name”。设置主计费服务器状态为“活动”,点击右侧的“”按钮完成添加。

图2 添加RADIUS方案

 

¡     点击“显示高级设置”。

¡     指定发送给RADIUS服务器的用户名格式为“不携带域名”。

¡     单击<确定>按钮,提示设置成功,完成RADIUS方案的添加。

图3 添加RADIUS方案

 

(2)     在Switch上配置ISP域

选择页面左侧导航栏[安全/认证/ISP域],进入“ISP域”配置页面,进行如下配置:

¡     点击右上角“”按钮,添加ISP域

¡     配置域名为“portsec”,并将该ISP域的状态设置为活动。

¡     指定接入方式为“LAN接入”。

¡     指定LAN接入AAA方案的认证、授权和计费的方法均为“RADIUS”,方案都选择“portsec”。

¡     单击<确定>按钮,提示设置成功,完成ISP域的添加。

图4 添加ISP域

 

(3)     在Switch上配置端口安全

选择页面左侧导航栏[安全/接入/端口安全],进入“端口安全”配置页面,进行如下配置:

¡     点击“开启端口安全”按钮,开启Switch的端口安全认证功能。

¡     点击端口GigabitEthernet1/0/1右侧的“高级设置”按钮,进入“端口高级设置”配置页面,指定认证模式为“userLoginWithOUI”。

¡     在端口GigabitEthernet1/0/1的“高级设置”配置页面上的802.1X标签下,指定802.1X用户使用的端口的强制认证ISP域为“portsec”。

¡     单击<确定>按钮,提示设置成功,完成端口GE1/0/1的高级设置。

图5 端口高级设置

 

¡     点击“端口安全”配置页面右上角的“”按钮,进入端口安全的“高级设置”页面,在认证OUIMAC中添加5个OUI值,分别为:1234-0100-1111、1234-0200-1111、1234-0300-1111、1234-0400-1111和1234-0500-1111。

图6 端口安全高级设置

 

(4)     保存配置

点击页面左上方标识和辅助区内的“”按钮保存配置。

3. 配置RADIUS服务器

在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。

1.4  验证配置

(1)     在[安全/认证/RADIUS]页面上,可以看到已添加成功的RADIUS方案portsec的概要信息。

(2)     在[安全/认证/ISP域]页面上,可以看到已添加成功的ISP域的portsec的概要信息。

(3)     802.1X用户上线后,在[安全/接入/端口安全]页面中,可以查看接口GigabitEthernet1/0/1的当前用户数为1。

顶端
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。 H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们