- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
14-EPA配置
本章节下载: 14-EPA配置 (416.87 KB)
目 录
使用EPA(Endpoint Analysis,终端分析)功能,可以在H3C设备上监控通过H3C设备接入IP网络的终端(如摄像头、IP电话等)的上下线信息。
EPA功能监控终端在本设备上的上下线信息。这里的设备可以是一台独立运行的设备,也可以是IRF组网,对于IRF组网,EPA功能监控终端在所有成员设备上的上下线信息,将监控到的信息统一汇总到主设备处理。
图1-1 非SmartMC应用场景组网图
在SmartMC网络中,终端设备可以通过管理设备或任一成员设备接入网络,由管理设备统一汇总、显示整个组网中的终端上下线信息。管理设备上的EPA配置会同步到成员设备,保证成员设备的配置与管理设备保持一致。因此,本功能只需在管理设备上配置。
图1-2 SmartMC组网应用场景组网图
EPA支持通过静态识别方式来识别终端:该方式下,需要管理员在监控设备上通过命令行手工指定终端的MAC地址。通过匹配MAC地址表项来判断终端的上下线。该方式适用于终端数量较少的网络,且识别到的终端种类固定为Camera,不能识别终端的厂商和操作系统。
EPA通过监控设备学习到的MAC地址表项以及MAC地址表项的老化实现对终端在二层以太网接口上的上下线信息的监控,且只监控和接入接口在同一网段的终端的上下线信息。有关MAC地址表项的详细介绍,请参见“二层技术-以太网交换配置指导”中的“MAC地址表”。
当设备学习到了新的MAC地址表项时,会使用MAC地址、VLAN ID和配置的监控规则进行比较:
· 如果匹配到了监控规则,则产生终端上线信息。
¡ 在非SmartMC应用场景下,上线信息直接在本机处理。
¡ 在SmartMC组网应用场景下,上线信息由管理设备统一处理。
· 如果没有匹配到监控规则,则认为该终端不需要进行监控。
· 对于已经上线的终端,当其对应的MAC地址表项老化后,EPA判断终端已经下线:
· 在非SmartMC应用场景下,下线信息会在本设备上保存7天。
· 在SmartMC组网应用场景下,下线信息在管理设备上保存7天。
在SmartMC网络中,终端监控规则统一在管理设备上配置,成员设备上不能配置终端监控规则,管理设备将配置的终端监控规则同步给所有成员设备,所配置的终端监控规则在管理设备和成员设备上均生效。如果成员设备监控到了指定终端的上下线信息,统一上报给管理设备处理,管理设备进行汇总、分析,计算出终端的上下线位置,用户可以在管理设备上查看整个SmartMC网络中的终端上下线信息。有关SmartMC的详细介绍,请参见“网络管理和监控配置指导”中的“SmartMC”。
随着互联网技术的发展,许多企业允许员工自带终端设备(例如手机、平板或笔记本电脑等移动设备)接入企业内部网络,这就是BYOD(Bring Your Own Device)。然而,个人终端设备的安全性较低,个人终端设备直接接入企业内部网络可能导致安全隐患。网络管理员需要知道哪些终端设备接入了网络、接入终端设备的种类、终端设备使用的操作系统等信息,以便实现对接入终端设备的管理。EPA终端设备自动识别功能应运而生。
开启EPA终端设备自动识别功能后,EPA会和BYOD功能联动,当终端设备接入企业内部网络时,EPA会根据终端上线报文中指定字段(即指纹)的值自动查询BYOD终端识别规则数据库,如果查询成功,EPA会认为终端上线,记录上线终端的MAC地址、种类和厂商等信息。
BYOD终端识别规则数据库是终端指纹信息的集合,每条指纹表项包含指纹类型、指纹值、终端类型、终端种类、终端厂商和终端使用的操作系统等信息。系统中已经预定义了一系列常用的BYOD指纹信息,用户也可以根据实际组网需求通过命令行添加指纹信息。
目前BYOD支持通过以下指纹类型来识别终端:
· DHCP Option55指纹:DHCP请求参数列表选项,终端利用该选项指明需要从服务器获取哪些网络配置参数。如果要使用该指纹识别终端,需要在终端的接入接口开启DHCP Snooping表项记录功能并获取终端发送的报文中包含的DHCP Option55参数的值。关于DHCP Option55参数和DHCP Snooping功能的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP”。
· HTTP UserAgent指纹:属于HTTP请求报文头域的一部分,用于携带终端访问Web页面时所使用的操作系统(包括版本号)、浏览器(包括版本号)等信息。如果要使用该指纹识别终端,需要在终端的接入接口开启Portal认证。关于Portal功能的详细介绍请参见“安全配置指导”中的“Portal”。
· MAC地址指纹:终端的MAC地址或终端所属的MAC地址范围。
EPA终端静态识别功能的优先级高于EPA终端自动识别功能,如果某终端匹配了EPA终端静态识别规则,则采用EPA终端静态识别功能确定的终端信息。对于EPA终端自动识别功能,如果同一个终端同时满足了DHCP Option55指纹、HTTP UserAgent指纹、MAC地址指纹中的多个匹配条件,则指纹优先级从高到低为DHCP Option55指纹>HTTP UserAgent指纹>MAC地址指纹。
关于BYOD功能的详细描述请参见“安全配置指导”中的“AAA”。
ES5500系列以太网交换机不支持EPA功能。
当EPA通过MAC地址静态识别终端时,请不要使用mac-address dynamic命令配置其对应的动态MAC地址表项。否则,可能会对该终端是否上线造成误判。
基于SmartMC组网使用EPA功能时,请注意:
· 在SmartMC组网中,如果要使用EPA功能,请确认组网中的设备均支持EPA功能。
· 请在管理设备上统一配置终端监控规则,不允许在成员设备上配置终端监控规则。
· EPA是基于MAC地址表项的老化来判断终端下线的,请将SmartMC组网中所有设备的MAC地址表项的老化时间配置一致,以免影响管理设备对终端上下线信息的分析。有关MAC地址表项的详细介绍,请参见“二层技术-以太网交换配置指导”中的“MAC地址表”。
· 请在管理设备上统一查看SmartMC网络中终端的上下线信息。在成员设备上执行display epa monitor-information命令只能查看到本成员设备上的终端上线信息,查看不到本成员设备上的终端下线信息。
配置EPA终端静态识别规则时,请注意:
· 如果已经配置在指定的VLAN内监控某终端,不能再配置在所有的VLAN内监控该终端,反之亦然。如果终端所在VLAN明确,请配置在指定的VLAN内监控该终端,以免影响EPA功能的性能。
· 若配置了在所有VLAN内监控某终端,请保证该终端实际上线的VLAN数量不要超过10个。
· EPA功能最多可下发1024条配置,但是为了保证EPA功能的整体性能,建议配置的规则总数不要超过512条。
· 用户在配置监控规则时可以指定规则编号,也可以不指定。当不指定规则编号时,系统会自动为其分配当前可用的最小的规则编号。
· 不支持通过多次执行epa monitor-rule命令,修改已有的规则。如需修改已有的规则,请先执行undo epa monitor-rule删除已有的规则,再做修改。
(1) 进入系统视图。
system-view
(2) 配置EPA终端静态识别规则。
epa monitor-rule [ monitor-rule-id ] mac mac-address [ mask mac-mask ] [ vlan vlan-id ]
缺省情况下,未配置EPA终端静态识别规则,EPA功能处于关闭状态。
系统中已经预定义了一系列常用的BYOD指纹信息,用户也可以根据实际组网需求通过命令行添加指纹信息。如果添加指纹信息,请参见“安全配置指导”中的“AAA”。
对于已经上线的终端设备,如果修改BYOD终端种类识别规则数据库中该终端的指纹信息,则修改的指纹信息会在EPA下次识别到终端设备接入后生效。
(1) 进入系统视图。
system-view
(2) 开启EPA终端自动识别功能。
epa auto-identify enable
缺省情况下,EPA终端自动识别功能处于关闭状态。
缺省情况下,当终端上下线时,EPA模块会生成本设备的终端上下线日志信息,提醒网络管理员。当监控终端频繁上下线时,设备可能会打印大量终端上下线日志信息。此时,为了不影响设备性能,建议用户关闭EPA模块打印本设备的终端上下线日志信息功能。
(1) 进入系统视图。
system-view
(2) 关闭EPA模块打印本设备的终端上下线日志信息功能。
epa online-offline-log disable
缺省情况下,EPA模块打印本设备的终端上下线日志信息功能处于开启状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后EPA功能的运行情况,通过查看显示信息验证配置的效果。
表1-1 EPA显示和维护
|
操作 |
命令 |
|
显示EPA模块监控到的终端上下线信息 |
display epa monitor-information [ online | offline ] [ device device-id | mac mac-address [ vlan vlan-id ] ] [ verbose ] |
SmartMC网络的物理连接如图1-3所示,TM为管理设备,TC 1~TC 3为成员设备,通过静态方式建立SmartMC网络。Camera 1(MAC地址为1-1-1)通过TC 1的GigabitEthernet1/0/1接口接入SmartMC网络,Camera 2(MAC地址为2-2-2)通过TC 3的GigabitEthernet1/0/1接口接入SmartMC网络。现需要实现:SmartMC网络设备能识别Camera 1和Camera 2的上线和下线。
图1-3 EPA终端静态识别配置组网图
(1) 配置SmartMC功能
# 配置VLAN1接口。
<TM> system-view
[TM] interface vlan-interface 1
[TM-Vlan-interface1] ip address 192.168.2.2 24
[TM-Vlan-interface1] quit
# 开启HTTP、HTTPS、Telnet服务。
[TM] ip http enable
[TM] ip https enable
[TM] telnet server enable
# 开启基于HTTP的NETCONF over SOAP功能。
[TM] netconf soap http enable
# 开启全局LLDP功能。
[TM] lldp global enable
# 配置本地用户admin,密码为hello12345、服务类型为Telnet、HTTP和HTTPS、RBAC角色为network-admin。
[TM] local-user admin
[TM-luser-manage-admin] password simple hello12345
[TM-luser-manage-admin] service-type telnet http https
[TM-luser-manage-admin] authorization-attribute user-role network-admin
[TM-luser-manage-admin] quit
# 配置VTY用户线0~63的认证方式为scheme。
[TM] line vty 0 63
[TM-line-vty0-63] authentication-mode scheme
[TM-line-vty0-63] quit
# 开启SmartMC功能并配置设备角色为管理设备,用户名为admin,明文密码为hello12345。
[TM] smartmc tm username admin password simple hello12345 enable
(2) 配置EPA静态识别规则(规则为上线设备的MAC地址)
# 在TM上配置EPA静态识别规则。
[TM] epa monitor-rule mac 1-1-1
[TM] epa monitor-rule mac 2-2-2
(1) 配置SmartMC功能
# 配置VLAN1接口。
<TC1> system-view
[TC1] interface vlan-interface 1
[TC1-Vlan-interface1] ip address 192.168.2.1 24
[TC1-Vlan-interface1] quit
# 开启HTTP、HTTPS/Telnet服务。
[TC1] ip http enable
[TC1] ip https enable
[TC1] telnet server enable
# 开启基于HTTP的NETCONF over SOAP功能。
[TC1] netconf soap http enable
# 开启全局LLDP功能。
[TC1] lldp global enable
# 配置本地用户admin,密码为admin、服务类型为Telnet、HTTP和HTTPS、RBAC角色为network-admin。设置密码前,先降低设备对本地用户密码复杂度的要求。
[TC1] local-user admin
[TC1-luser-manage-admin] password-control length 4
[TC1-luser-manage-admin] password-control composition type-number 1 type-length 1
[TC1-luser-manage-admin] undo password-control complexity user-name check
[TC1-luser-manage-admin] password simple admin
[TC1-luser-manage-admin] service-type telnet http https
[TC1-luser-manage-admin] authorization-attribute user-role network-admin
[TC1-luser-manage-admin] quit
# 配置VTY用户线0~63的认证方式为scheme。
[TC1] line vty 0 63
[TC1-line-vty0-63] authentication-mode scheme
[TC1-line-vty0-63] quit
# 开启SmartMC功能,并配置设备角色为成员设备。
[TC1] smartmc tc enable
配置同TC 1,不再赘述。
# 在TC 1上显示EPA模块监控到的终端上下线信息。
[TC1] display epa monitor-information verbose
Auto identification : Disabled
Local device type : SmartMC TC
Local device ID : 3acc-58e2-0100
Total endpoints identified by EPA: 1
Access device ID: 3acc-58e2-0100
MAC address : 0001-0001-0001 VLAN : 1
IP address : -
Interface : GigabitEthernet1/0/1 Status: Online
Category : Camera Vendor: -
OS : -
# 在TM上显示EPA模块监控到的终端上下线信息。
[TM] display epa monitor-information verbose
Auto identification : Disabled
Local device type : SmartMC TM
Local device ID : 90bc-1b85-0300
Total endpoints identified by EPA: 2
Access device ID: 3acc-58e2-0100
MAC address : 0001-0001-0001 VLAN : 1
IP address : 192.168.2.11
Interface : GigabitEthernet1/0/1 Status: Online
Category : Camera Vendor: -
OS : -
Access device ID: 3acc-58e2-0300
MAC address : 0002-0002-0002 VLAN : 1
IP address : 192.168.2.12
Interface : GigabitEthernet1/0/1 Status: Online
Category : Camera Vendor: -
OS : -
SmartMC网络的物理连接如图1-4所示,TM为管理设备,TC 1~TC 3为成员设备,通过自动方式建立SmartMC网络。Host 1通过TC 1的GigabitEthernet1/0/1接口接入SmartMC网络,Host 2通过TC 3的GigabitEthernet1/0/1接口接入SmartMC网络。现需要实现:当Host 1和Host 2通过Portal认证接入SmartMC网络时,EPA能自动识别Host 1和Host 2。
图1-4 EPA终端自动识别配置组网图(Portal上线)
(1) 配置SmartMC功能
# 配置VLAN1接口。
<TM> system-view
[TM] interface vlan-interface 1
[TM-Vlan-interface1] ip address 192.168.2.1 24
[TM-Vlan-interface1] quit
# 开启HTTP、HTTPS服务。
[TM] ip http enable
[TM] ip https enable
# 开启Telnet服务。
[TM] telnet server enable
# 开启基于HTTP的NETCONF over SOAP功能。
[TM] netconf soap http enable
# 开启全局LLDP功能。
[TM] lldp global enable
# 配置本地用户admin,密码为hello12345、服务类型为Telnet、HTTP和HTTPS、RBAC角色为network-admin。
[TM] local-user admin
[TM-luser-manage-admin] password simple hello12345
[TM-luser-manage-admin] service-type telnet http https
[TM-luser-manage-admin] authorization-attribute user-role network-admin
[TM-luser-manage-admin] quit
# 配置VTY用户线0~63的认证方式为scheme。
[TM] line vty 0 63
[TM-line-vty0-63] authentication-mode scheme
[TM-line-vty0-63] quit
# 开启SmartMC功能并配置设备角色为管理设备,用户名为admin,明文密码为hello12345。
[TM] smartmc tm username admin password simple hello12345 enable
(2) 配置EPA自动识别功能
# 在TM上开启EPA终端自动识别功能。
[TM] epa auto-identify enable
(1) 配置SmartMC功能
# 配置VLAN1接口。
<TC1> system-view
[TC1] interface vlan-interface 1
[TC1-Vlan-interface1] ip address 192.168.2.2 24
[TC1-Vlan-interface1] quit
# 开启HTTP、HTTPS服务。
[TC1] ip http enable
[TC1] ip https enable
# 开启Telnet服务。
[TC1] telnet server enable
# 开启基于HTTP的NETCONF over SOAP功能。
[TC1] netconf soap http enable
# 开启全局LLDP功能。
[TC1] lldp global enable
# 配置本地用户admin,密码为admin、服务类型为Telnet、HTTP和HTTPS、RBAC角色为network-admin。设置密码前,先降低设备对本地用户密码复杂度的要求。
[TC1] local-user admin
[TC1-luser-manage-admin] password-control length 4
[TC1-luser-manage-admin] password-control composition type-number 1 type-length 1
[TC1-luser-manage-admin] undo password-control complexity user-name check
[TC1-luser-manage-admin] password simple admin
[TC1-luser-manage-admin] service-type telnet http https
[TC1-luser-manage-admin] authorization-attribute user-role network-admin
[TC1-luser-manage-admin] quit
# 配置VTY用户线0~63的认证方式为scheme。
[TC1] line vty 0 63
[TC1-line-vty0-63] authentication-mode scheme
[TC1-line-vty0-63] quit
# 开启SmartMC功能,并配置设备角色为成员设备。
[TC1] smartmc tc enable
(2) 配置Portal功能
# 创建并进入名为dm1的ISP域。
[TC1] domain dm1
[TC1-isp-dm1] authentication portal local
[TC1-isp-dm1] authorization portal local
[TC1-isp-dm1] accounting portal local
[TC1-isp-dm1] quit
# 配置Portal Web服务器的URL为https://192.168.149.110:2331/portal。
[TC1] portal web-server newpt
[TC1-portal-websvr-newpt] url https://192.168.149.110:2331/portal
[TC1-portal-websvr-newpt] quit
# 在接口GigabitEthernet1/0/1上开启直接方式的Portal认证。
[TC1] interface gigabitethernet 1/0/1
[TC1-GigabitEthernet1/0/1] port link-mode route
[TC1-GigabitEthernet1/0/1] ip address 192.168.149.110 16
[TC1-GigabitEthernet1/0/1] portal enable method direct
# 在接口GigabitEthernet1/0/1上引用Portal Web服务器newpt。
[TC1-GigabitEthernet1/0/1] portal apply web-server newpt
[TC1-GigabitEthernet1/0/1] quit
[TC1] quit
# 从TFTP服务器获取认证页面文件defaultfile.zip。
<TC1> tftp 192.168.149.110 get defaultfile.zip
# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图。
<TC1> system-view
[TC1] portal local-web-server http
# 配置本地Portal Web服务提供的缺省认证页面文件为defaultfile.zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)。
[TC1-portal-local-websvr-http] default-logon-page defaultfile.zip
[TC1-portal-local-websvr-http] tcp-port 2331
[TC1-portal-local-websvr-http] quit
(3) 配置BYOD指纹库(如果使用BYOD指纹库中缺省的指纹信息,则无需配置该步骤)
# 创建一条基于HTTP UserAgent的BYOD终端属性识别规则并进入该规则视图,HTTP UserAgent指纹信息为Mozilla/5.0。
[TC1] byod rule http-user-agent Mozilla/5.0 device-attributes
# 配置指纹库信息Category为PC,Vendor为Xerox,OS为Window Vista/7 or Server 2008 (Version 6.0)。(Category、Vendor、OS三条指纹信息至少需要配置一条)
[TC1-byod-ua-Mozilla/5.0] device-category PC
[TC1-byod-ua-Mozilla/5.0] device-vendor Xerox
[TC1-byod-ua-Mozilla/5.0] device-os "Window Vista/7 or Server 2008 (Version 6.0)"
[TC1-byod-ua-Mozilla/5.0] quit
配置同TC 1,不再赘述。
# 在TC 1上显示EPA模块监控到的终端上下线信息。
[TC1] display epa monitor-information verbose
Auto identification : Enabled
Local device type : SmartMC TC
Local device ID : 3acc-58e2-0100
Total endpoints identified by EPA: 1
Access device ID: 3acc-58e2-0100
MAC address : 0a00-2700-0010 VLAN : -
IP address : 192.168.226.1
Interface : GigabitEthernet1/0/1 Status: Online
Category : PC Vendor: Xerox
OS : Windows Vista/7 or Server 2008 (Version 6.0)
# 在TM上显示EPA模块监控到的终端上下线信息。
[TM] display epa monitor-information verbose
Auto identification : Enabled
Local device type : SmartMC TM
Local device ID : 90bc-1b85-0300
Total endpoints identified by EPA: 2
Access device ID: 3acc-58e2-0100
MAC address : 0001-0001-0001 VLAN : -
IP address : 192.168.226.1
Interface : GigabitEthernet1/0/1 Status: Online
Category : PC Vendor: Xerox
OS : Windows Vista/7 or Server 2008 (Version 6.0)
Access device ID: 3acc-58e2-0300
MAC address : 0002-0002-0002 VLAN : -
IP address : 192.168.226.2
Interface : GigabitEthernet1/0/1 Status: Online
Category : PC Vendor: Xerox
OS : Windows Vista/7 or Server 2008 (Version 6.0)
组网中的设备支持DHCP上线功能,Switch A为TM设备,Switch B为TC设备。
图1-5 EPA终端自动识别配置组网图(DHCP上线)
(1) 配置SmartMC功能
# 配置VLAN1接口。
<TM> system-view
[TM] interface vlan-interface 1
[TM-Vlan-interface1] ip address 192.168.2.1 24
[TM-Vlan-interface1] quit
# 开启HTTP、HTTPS、Telnet服务。
[TM] ip http enable
[TM] ip https enable
[TM] telnet server enable
# 开启基于HTTP的NETCONF over SOAP功能。
[TM] netconf soap http enable
# 开启全局LLDP功能。
[TM] lldp global enable
# 配置本地用户admin,密码为hello12345、服务类型为Telnet、HTTP和HTTPS、RBAC角色为network-admin。
[TM] local-user admin
[TM-luser-manage-admin] password simple hello12345
[TM-luser-manage-admin] service-type telnet http https
[TM-luser-manage-admin] authorization-attribute user-role network-admin
[TM-luser-manage-admin] quit
# 配置VTY用户线0~63的认证方式为scheme。
[TM] line vty 0 63
[TM-line-vty0-63] authentication-mode scheme
[TM-line-vty0-63] quit
# 开启SmartMC功能并配置设备角色为管理设备,用户名为admin,明文密码为hello12345。
[TM] smartmc tm username admin password simple hello12345 enable
(2) 配置DHCP服务器
# 配置VLAN接口2的IP地址。
<TM> system-view
[TM] vlan 2
[TM-vlan2] quit
[TM] interface vlan-interface 2
[TM-Vlan-interface2] ip address 10.1.1.1 24
[TM-Vlan-interface2] quit
# 配置不参与自动分配的IP地址。
[TM] dhcp server forbidden-ip 10.1.1.2
# 配置DHCP地址池0,采用动态绑定方式分配IP地址。可分配的网段为10.1.1.0/24,租约有效期限为10天,DNS服务器地址为20.1.1.1,到达20.1.1.0/24网段的下一跳地址是10.1.1.2。
[TM] dhcp server ip-pool 0
[TM-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
[TM-dhcp-pool-0] expired day 10
[TM-dhcp-pool-0] quit
# 开启DHCP服务。
[TM] dhcp enable
(3) 开启EPA自动识别功能。
[TM] epa auto-identify enable
(4) 配置接口GigabitEthernet1/0/3。
[TM] interface gigabitethernet 1/0/3
[TM-GigabitEthernet1/0/3] port link-type trunk
[TM-GigabitEthernet1/0/3] port trunk permit vlan all
(1) 配置SmartMC功能
# 配置VLAN1接口。
<TC1> system-view
[TC1] interface vlan-interface 1
[TC1-Vlan-interface1] ip address 192.168.2.2 24
[TC1-Vlan-interface1] quit
# 开启HTTP、HTTPS服务。
[TC1] ip http enable
[TC1] ip https enable
# 开启Telnet服务。
[TC1] telnet server enable
# 开启基于HTTP的NETCONF over SOAP功能。
[TC1] netconf soap http enable
# 开启全局LLDP功能。
[TC1] lldp global enable
# 配置本地用户admin,密码为admin、服务类型为Telnet、HTTP和HTTPS、RBAC角色为network-admin。设置密码前,先降低设备对本地用户密码复杂度的要求。
[TC1] local-user admin
[TC1-luser-manage-admin] password-control length 4
[TC1-luser-manage-admin] password-control composition type-number 1 type-length 1
[TC1-luser-manage-admin] undo password-control complexity user-name check
[TC1-luser-manage-admin] password simple admin
[TC1-luser-manage-admin] service-type telnet http https
[TC1-luser-manage-admin] authorization-attribute user-role network-admin
[TC1-luser-manage-admin] quit
# 配置VTY用户线0~63的认证方式为scheme。
[TC1] line vty 0 63
[TC1-line-vty0-63] authentication-mode scheme
[TC1-line-vty0-63] quit
# 开启SmartMC功能,并配置设备角色为成员设备。
[TC1] smartmc tc enable
(2) 配置DHCP snooping功能
# 全局开启DHCP Snooping功能。
<TC1> system-view
[TC1] dhcp snooping enable
# 配置VLAN接口2的IP地址。
[TC1] vlan 2
[TC1-vlan2] quit
[TC1] interface vlan-interface 2
[TC1-Vlan-interface2] ip address 10.1.1.2 24
[TC1-Vlan-interface2] quit
# 将接口GigabitEthernet1/0/1加入VLAN 2,设置GigabitEthernet1/0/1端口为信任端口。
[TC1] interface gigabitethernet 1/0/1
[TC1-GigabitEthernet1/0/1] port access vlan 2
[TC1-GigabitEthernet1/0/1] dhcp snooping trust
[TC1-GigabitEthernet1/0/1] quit
# 将接口GigabitEthernet1/0/2加入VLAN 2,设置GigabitEthernet1/0/2端口为信任端口。
[TC1] interface gigabitethernet 1/0/2
[TC1-GigabitEthernet1/0/2] port access vlan 2
[TC1-GigabitEthernet1/0/2] dhcp snooping trust
[TC1-GigabitEthernet1/0/2] quit
(3) 配置接口GigabitEthernet1/0/3。
[TC1] interface gigabitethernet 1/0/3
[TC1-GigabitEthernet1/0/3] port link-type trunk
[TC1-GigabitEthernet1/0/3] port trunk permit vlan all
(4) 配置BYOD指纹库
如果使用BYOD指纹库中缺省的指纹信息,则无需在TC 1上配置BYOD指纹库。
# 创建一条基于DHCP的BYOD终端属性识别规则并进入该规则视图,DHCP Option55指纹信息为1,121,3,6,12,15,33,43,66,67,138,150。
[TC1] byod rule dhcp-option 1,121,3,6,12,15,33,43,66,67,138,150 device-attributes
# 配置指纹库信息Category为PC。(Category,Vendor,OS三条指纹信息至少需要配置一条)
[TC1-byod-opt-1,121,3,6,12,15,33,43,66,67,138,150] device-category PC
# 配置指纹库信息Vendor为Xerox。
[TC1-byod-opt-1,121,3,6,12,15,33,43,66,67,138,150] device-vendor Xerox
# 配置指纹库信息OS为Window Vista/7 or Server 2008 (Version 6.0)。
[TC1-byod-opt-1,121,3,6,12,15,33,43,66,67,138,150] device-os "Window Vista/7 or Server 2008 (Version 6.0)"
[TC1-byod-opt-1,121,3,6,12,15,33,43,66,67,138,150] quit
配置通过DHCP动态获取IP地址。
# 在TC 1上显示EPA模块监控到的终端上下线信息。
[TC1] display epa monitor-information verbose
Auto identification : Enabled
Local device type : SmartMC TC
Local device ID : 3acc-58e2-0100
Total endpoints identified by EPA: 2
Access device ID: 3acc-58e2-0100
MAC address : 0001-0001-0001 VLAN : 2
IP address : 10.1.1.3
Interface : GigabitEthernet1/0/1 Status: Online
Category : PC Vendor: Xerox
OS : Window Vista/7 or Server 2008 (Version 6.0)
Access device ID: 3acc-58e2-0100
MAC address : 0002-0002-0002 VLAN : 2
IP address : 10.1.1.4
Interface : GigabitEthernet1/0/2 Status: Online
Category : PC Vendor: Xerox
OS : Window Vista/7 or Server 2008 (Version 6.0)
# 在TM上显示EPA模块监控到的终端上下线信息。
[TM] display epa monitor-information verbose
Auto identification : Enabled
Local device type : SmartMC TM
Local device ID : 90bc-1b85-0300
Total endpoints identified by EPA: 2
Access device ID: 3acc-58e2-0100
MAC address : 0001-0001-0001 VLAN : 2
IP address : 10.1.1.3
Interface : GigabitEthernet1/0/1 Status: Online
Category : PC Vendor: Xerox
OS : Window Vista/7 or Server 2008 (Version 6.0)
Access device ID: 3acc-58e2-0100
MAC address : 0001-0001-0001 VLAN : 2
IP address : 10.1.1.4
Interface : GigabitEthernet1/0/2 Status: Online
Category : PC Vendor: Xerox
OS : Window Vista/7 or Server 2008 (Version 6.0)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
