H3C交换机AAA配置

一、RADIUS相关配置【必要命令】系统视图[H3C]dot1x注：启用dot1x认证[H3C]dot1xauthentication-methodeap注：设置dot1x认证方式为EAP[H3C]MAC-authentication注：启用MAC认证[H3C]radiusschemeskylark注：新建RADIUS方案[H3C-radius-skylark]primaryauthentication10.18.10.2231812注：设置RADIUS认证服务器地址，默认端口1812[H3C-radius-skylark]primaryaccounting10.18.10.2231813注：设置RADIUS审计服务器地址，默认端口1812[H3C-radius-skylark]keyauthenticationskylark注：设置交换机与RADIUS认证服务器的通信密码[H3C-radius-skylark]keyaccountingskylark注：设置交换机与RADIUS审计服务器的通信密码[H3C-radius-skylark]user-name-formatwithout-domain注：交换机发送给RADIUS服务器的用户名验证不带ISP域名[H3C-radius-skylark]nas-ip10.18.10.254注：当交换机有多个IP时，指定与RADIUS服务器通讯所使用的IP地址[H3C]domainsky.com注：在交换机新建ISP域[H3C-isp-sky.com]schemeradius-schemeskylarklocal注：给ISP域指定验证的RADIUS方案[H3C-isp-sky.com]vlan-assignment-modestring注：设置RADIUS服务器发送的vlan数为字符串型[H3C]domaindefaultenablesky.com注：设置新建的ISP域为默认域，默认接入终端都通过RADIUS服务器进行认证[H3C]MAC-authenticationdomainsky.com注：指定MAC地址认证的ISP域[H3C]undodot1xhandshakeenable注：关闭dot1x的认证握手，防止已认证端口失败端口视图-dot1x认证[H3C]interfaceEthernet1/0/10注：进入端口视图（配置所有接入端口）[H3C-Ethernet1/0/10]portlink-typeaccess注：设置端口模式为access[H3C-Ethernet1/0/10]dot1x注：在端口上启用dot1x认证[H3C-Ethernet1/0/10]dot1xport-controlauto注：自动识别端口的授权情况[H3C-Ethernet1/0/10]dot1xport-methodportbased注：设置端口基于端口认证，当第一个用户认证成功后，其他用户无须认证；若该用户下线后，其他用户也会被拒绝访问[H3C-Ethernet1/0/10]dot1xguest-vlan3注：设置guestvlan，只有该端口为基于端口认证时支持，基于端口认证时不支持端口视图-MAC认证[H3C]interfaceEthernet1/0/11注：进入端口视图（配置所有接入端口）[H3C-Ethernet1/0/11]portlink-typeaccess注：设置端口模式为access[H3C-Ethernet1/0/11]MAC-authentication注：在端口上启用MAC认证[H3C-Ethernet1/0/11]MAC-authenticationguest-vlan3注：设置guestvlan，guestvlan只支持一个MAC认证用户接入【可选命令】dot1x认证[H3C]dot1xretry2注：交换机向RADIUS服务器发送报文的重传次数[H3C]dot1xtimertx-period2注：交换机向dot1x端口定期多长时间重发报文[H3C]dot1xtimersupp-timeout10注：交换机向客户端发送报文，客户端未回应，多长时间后重发[H3C]dot1xtimerserver-timeout100注：交换机向RADIUS服务器发送报文，服务器未回应，多长时间后重发[H3C]dot1xtimerreauth-period7200注：设置重认证间隔检测时间[H3C-Ethernet1/0/10]dot1xre-authenticate注：开启端口重认证功能MAC认证[H3C]mac-authenticationtimerserver-timeout100注：设置MAC认证交换机等待RADIUS服务器的超时时间二、其他配置【必要命令】SNMP设置作用：收集交换机信息，进行交换机管理[H3C]snmp-agentcommunitywriteskylark注：设置community密码，用于管理交换机，接收交换机相关信息[H3C]snmp-agentsys-infoversionall注：设置SNMP支持版本DHCP中继代理（在网关交换机上配置）作用：根据指定IP查找DHCP服务器位置（方法一）[H3C]dhcp-server0ip10.18.10.223注：新建DHCP组，设置DHCP服务器地址[H3C]interfacevlan2注：进入vlan接口[H3C-interface-vlan2]dhcp-server0注：配置DHCP中继代理，指向DHCP组（方法二）[H3C]dhcpenable注：开启DHCP功能[H3C]dhcprelayserver-group0ip10.18.10.223注：新建DHCP组，设置DHCP服务器地址[H3C]interfacevlan2注：进入vlan接口[H3C-interface-vlan2]dhcpselectrelay注：设置接口为中继模式[H3C-interface-vlan2]dhcprelayserver-select0注：配置DHCP中继代理，指向DHCP组【可选命令】DHCPSNOOPING作用：保证DHCP服务器合法性，并记录客户端IP和MAC对应关系[H3C]dhcp-snooping注：开启DHCP-SNOOPING安全特性[H3C]interfaceG1/0/1（某些支持vlan接口）注：进入端口模式（配置级联端口和连接DHCP服务器的端口为信任端口）[H3C-interface-GigabyteEthernet1/0/1]dhcp-snoopingtrust注：设置该端口为信任端口，默认其它未设置端口则为不信任端口，丢弃不信任的DHCP报文IPSOURCEGUARD（配合DHCP-SNOOPING使用）作用：在接口上绑定DHCP-SNOOPING表项IP及MAC信息[H3C]interfaceE1/0/10（某些支持vlan接口）注：进入接口[H3C-interface-Ethernet1/0/10]ipchecksourceip-addressmac-address注：动态绑定DHCP-SNOOPING表项，过滤掉其它非DHCP分配的终端数据相关命令displaydhcp-snoopingdisplayipchecksource注意：S3100SI不支持IPSOURCEGUARD绑定