发布: 更新时间:2023-02-26 21:37:23
本文目录一览:
1、首先要空出wan口,所有的接线都接在lan口上。
2、其次关闭路由的dhcp服务。
3、最后修改路由的lan口ip地址,不要与路由器a的网段相同,修改IP即可。
H3C交换机端口安全模式配置
用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。其实在用户的网络访问控制方面,最直接、最简单的方法就是配置基于端口的安全模式,不仅Cisco交换机如此,H3C交换机也有类似的功能,而且看起来功能更加强大。下面跟我一起来学习一下H3C以太网交换机端口安全模式配置方法!
在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类:控制MAC地址学习类和认证类。控制MAC地址学习类无需对接入用户进行认证,但是可以允许或者禁止自动学习指定用户MAC地址,也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中,通过这种方法就可以实现用户网络访问的控制。认证类则是利用MAC地址认证或IEEE 802.1X认证机制,或者同时结合这两种认证来实现对接入用户的网络访问控制。
配置了安全模式的H3C以太网交换机端口,在收到用户发送数据报文后,首先在本地MAC地址表中查找对应用户的MAC地址。如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文,否则根据端口所在安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护特性。
在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。
1. autoLearn模式与secure模式
在autoLearn(自动学习)端口安全模式下,可通过手工配置,或动态学习MAC地址,此时得到的MAC地址称为Secure MAC(安全MAC地址)。在这种模式下,只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后,该端口也不会再添加新的Secure MAC,并且端口会自动转变为Secure模式。
如果直接将端口安全模式设置为Secure模式,则将立即禁止端口学习新的MAC地址,只有源MAC地址是原来已在交换机上静态配置,或者已动态学习到的MAC地址的报文才能通过该端口转发。
根据以上描述,可以得出在autoLearn和secure模式下报文处理流程如图19-1所示。
图19-1 autoLearn和secure端口安全模式报文处理流程图
2. 单一IEEE 802.1X认证模式
采用单一IEEE 802.1x认证方式的端口安全模式又包括以下几种:
l userlogin:对接入用户采用基于端口的IEEE 802.1x认证,仅允许通过认证的用户接入。
l userLoginSecure:对接入用户采用基于用户MAC地址的IEEE 802.1x认证(也就是Cisco IOS交换机中所说的MAB)。仅接收源MAC地址为交换机的MAC地址的数据包,但也仅允许802.1x认证成功的用户数据报文通过。此模式下,端口最多只允许接入一个经过802.1x认证的用户(即IEEE 802.1X单主机模式)。
l userLoginSecureExt:与userLoginSecure类似,但端口下的802.1x认证用户可以有多个(即IEEE 802.1X多主机模式)。
l userLoginWithOUI:与userLoginSecure类似,端口最多只允许一个802.1x认证用户,但该用户的数据包中还必须包含一个允许的OUI(组织唯一标志符)。
因为H3C以太网交换机的IEEE 802.1X认证将在本书第21章专门介绍,故在此不再赘述。
3. MAC地址认证模式
MAC地址认证安全模式即macAddressWithRadius模式。MAC地址认证是一种基于端口和用户MAC地址的网络访问控制方法,它不需要用户安装任何客户端软件。交换机在启用了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码,因为这是基于用户MAC地址进行的认证。如果该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为“静默MAC”。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时直接做丢弃处理,以防止非法MAC短时间内的重复认证。
目前H3C以太网交换机支持“本地认证”和“RADIUS远程认证”这两种MAC地址认证方式。有关H3C以太网交换机的RADIUS服务器认证配置方法将在本书第20章专门介绍;有关MAC地址认证的配置方法将在本章19.5节介绍。
4. and模式
“and”是“和”的意思,就是要求同时满足所有的条件。and端口安全模式包括以下两种子模式:
l macAddressAndUserLoginSecure:当用户的MAC地址不在转发表中时,接入用户首先进行MAC地址认证,当MAC地址认证成功后再进行IEEE 802.1x认证。只有在这两种认证都成功的`情况下,才允许该用户接入网络。此模式下,端口最多只允许一个用户接入网络,也就是最先通过全部这两种认证的用户。
l macAddressAndUserLoginSecureExt:与macAddressAndUserLoginSecure类似。但此模式下,端口允许接入网络的用户可以有多个。
根据以上描述得出以上这两种and端口安全子模式的报文处理流程如图19-2所示。
图19-2 and端口安全模式的报文处理流程图
5. else模式
“else”是“另外”的意思,就是一种认证通不过后还可以尝试其它的认证方式。else端口安全模式包括以下两个子模式:
l macAddressElseUserLoginSecure:当用户的MAC地址不在转发表中时,对接入用户首先进行MAC地址认证,如果认证成功则直接通过,如果MAC地址认证失败再尝试进行802.1x认证。此模式下,端口下可以有多个用户通过MAC地址认证,但端口仅允许接入一个用户经过802.1x认证,也就是最先通过802.1x认证的用户。
l macAddressElseUserLoginSecureExt:与macAddressElseUserLoginSecure类似。但此模式下,端口允许经过多个用户通过IEEE 802.1X认证。
根据以上描述得出以上这两种else端口安全子模式的报文处理流程如图19-3所示。
图19-3 else端口安全模式报文处理流程图
6. or模式
“or”是“或者”的意思,也就是可以任选其中一种认证方式。or端口安全模式包括以下两个子模式:
l macAddressOrUserLoginSecure:当用户的MAC地址不在转发表中时,接入用户通过MAC地址认证后,仍然可以进行IEEE 802.1x认证;但接入用户通过IEEE 802.1x认证后,不再进行MAC地址认证。此模式下,可以有多个经过基于MAC地址认证的用户,但端口仅允许接入一个经过认证的802.1x用户,也就是最先通过802.1x认证的用户。
l macAddressOrUserLoginSecureExt:与macAddressOrUserLoginSecure类似。但此模式下可以允许多个通过IEEE 802.1x认证的用户。
根据以上描述得出以上这两种or端口安全子模式的报文处理流程如图19-4所示。
图19-4 or端口安全模式报文处理流程图
;
1、2层交换机中,连接机子的接口设置为access模式!连接到三层的端口设置为trunk模式。
2、在2层交换机设置4vlan!把端口或者IP分配给VLAN。
3、给vlan配置IP虚接口,全局配置模式下。如:int vlan 10 ip add 192.168.1.X 255.255.255.0(x自定义),退出保存。
4、在三层交换机上,把和2层相连的端口设置为truck模式。同样创建相同的vlan。
同样的给VLAN设置虚接口IP。(就是设置网关).
5、全局配置模式:int vlan 10 ,ip add 192.168.1.1 255.255.255.0 (这个是网关,地址自己配)。上面这个步骤可以使用VTP。保存退出。
6、现在网关设置在了三层交换机上,现在可以确保4个VLAN的通信,问题都解决了。
二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。
三层交换机就是具有部分路由器功能的交换机,三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。对于数据包转发等规律性的过程由硬件高速实现,而象路由信息更新、路由表维护、路由计算、路由确定等功能,由软件实现。
H3C交换机配置端口IP sub实例
为了方便将某些端口的配置与指定端口保持一致,可以使用copy configuration 命令将指定端口的配置拷贝到其他端口。那么H3C交换机怎么配置端口IP sub?端口命令是什么呢?下面跟我一起来看看吧!
H3C接口获取IP地址有以下方式:
1,通过手工指定
2,通过BOOTP分配得到IP地址
3,通过DHCP分配得到IP地址
一个接口只能有一个主IP地址,新配置的主IP地址将覆盖原来的主IP
当接口被配置为通过BOOTP和DHCP获取IP后,该接口不能在分配从IP地址
举例,同一VLAN中有个两个IP段,172.16.1.0和172.16.2.0
sys
[switch]interface vlan-interface 1
[switch-vlan-interface1]ip address 172.16.1.1 255.255.255.0
[switch-vlan-interface1]ip address 172.16.2.1 255.255.255.0 sub
延伸阅读:H3C交换机简单配置案例
这里使用的H3C交换机是H126A,仅仅只做了最基本的配置以满足使用。
配置中可以通过display current-configura命令来显示当前使用的配置内容。
# 配置VLAN 1
system-view
System View:return to User View with Ctrl+Z.
[Sysname]vlan 1
[Sysname-vlan1]quit
[Sysname]management-vlan1
[Sysname]interfaceVlan-interface 1
[Sysname-Vlan-interface1]ip address 10.0.1.201 255.255.255.0
# 显示VLAN 接口1 的相关信息。
display ip interface Vlan-interface 1
# 创建VLAN(H3C不支持cisco的VTP,所以只能添加静态VLAN)
system-view
System View:return to User View with Ctrl+Z.
[H3C_TEST]vlan 99
[H3C_TEST-vlan99]nameseicoffice
[H3C_TEST-vlan99]quit
# 把交换机的端端口划分到相应的Vlan中
[H3C_TEST]interfaceethernet1/0/2//进入端口模式
[H3C_TEST-Ethernet1/0/2]portlink-type access //设置端口的.类型为access
[H3C_TEST-Ethernet1/0/2]portaccess vlan 99//把当前端口划到vlan 99
[H3C_TEST]vlan 99
[H3C_TEST-vlan99]portethernet1/0/1 to ethernet1/0/24//把以及网端口1/0/1到1/0/24划到vlan99
[H3C_TEST-vlan99]quit
[H3C_TEST-GigabitEthernet1/2/1]porttrunk permit vlan 1 99 // {ID|All} 设置trunk端口允许通过的VLAN
------------------------------------
# 配置本地用户
system-view
System View:return to User View with Ctrl+Z.
[Sysname]local-userh3c
New local useradded.
[Sysname-luser-h3c]service-typetelnet level 3
[Sysname-luser-h3c]passwordsimple h3c
# 配置欢迎信息
[H3C_TEST]headerlogin %Welcome to login h3c!%
# 配置用户认证方式telnet(vty 0-4)
[H3C_TEST]user-interfacevty 0 4
[H3C_TEST-ui-vty0-4]authentication-modescheme
[H3C_TEST-ui-vty0-4]protocolinbound telnet
[H3C_TEST-ui-vty0-4]superauthentication-mode super-password
[H3C_TEST-ui-vty0-4]quit
[H3C_TEST]superpassword level 3 simple h3c //用户登陆后提升权限的密码
# 配置Radius策略
[H3C_TEST]radiusscheme radius1
New Radius scheme
[H3C_TEST-radius-radius1]primaryauthentication 10.0.1.253 1645
[H3C_TEST-radius-radius1]primaryaccounting 10.0.1.253 1646
[H3C_TEST-radius-radius1]secondaryauthentication 127.0.0.1 1645
[H3C_TEST-radius-radius1]secondaryaccounting 127.0.0.1 1646
[H3C_TEST-radius-radius1]timer5
[H3C_TEST-radius-radius1]keyauthentication h3c
[H3C_TEST-radius-radius1]keyaccounting h3c
[H3C_TEST-radius-radius1]server-typeextended
[H3C_TEST-radius-radius1]user-name-formatwithout-domain
# 配置域
[H3C_TEST]domainh3c
[H3C_TEST-isp-h3c]authenticationradius-scheme radius1 local
[H3C_TEST-isp-h3c]schemeradius-scheme radius1 local
[H3C_TEST]domaindefault enable h3c
# 配置在远程认证失败时,本地认证的key
[H3C_TEST]local-servernas-ip 127.0.0.1 key h3c
;
原神3.8心海武器推荐 原神3.8心海带什么武器
阴阳师寻迹骰怎么获得 阴阳师寻迹骰获得方法
王者荣耀妄想都市观光怎么获得 王者荣耀妄想都市观光活动
阴阳师新召唤屋和幕间皮肤效果怎么样 阴阳师新召唤屋和幕间皮肤获取方法介绍
羊了个羊7.26攻略 羊了个羊7月26日怎么过
崩坏星穹铁道求不得成就攻略介绍 崩坏星穹铁道求不得成就怎么获得
崩坏星穹铁道去吧阿刃成就攻略介绍 崩坏星穹铁道去吧阿刃成就怎么获得
时空中的绘旅人罗夏生日有什么复刻 绘旅人罗夏生日礼包复刻一览
银河境界线武器强度怎么看 银河境界线武器强度排行攻略
阴阳师红蛋蛋限时福利怎么获得 阴阳师再结前缘版本福利介绍