讲义文稿教程

第1章DHCP功能介 1 1 1 2 2DHCPRelay配 7DHCPSnoo配 8 1DHCPServer配置举 1 1组网 1 2 3 3组网 5 5 1 1 DHCP典型摘要：本文主要介绍以太网交换机DHCP功能在具体组网中的应用配置，根据设备在网络中担当的不同角色，分别介绍DHCPServer、DHCPRelay、DHCPSnoo功能，以及DHCPOption82的功能及应用。第1DHCP功能介H3C交换机支持的DHCP功能列DHCPDHCPDHCPS3600-S3600---S3100---S3100--------H3C以太网交换机根据设备型号的不同，可以支持以下部分或全部DHCP功能DHCP支持为DHCP客户端分配网关地址、DNS服务器地址、WINS服务器地DHCPDHCPDHCPSnoo：DHCPDHCP说明有关各款交换机支持的DHCP功能的详细介绍，请参见各产品的用户手说明不同型号的设备，配置的方有差异，这里以S3600系列交换机作为举例。DHCPServer配池的DHCPServer配置。表1-2-使能DHCPdhcp创建DHCP地址池并进DHCP地址池dhcpserverip-poolpool-配置动态分配的IPnetworkip-围[mask-length|maskmask配的IPexpired{dayday[hour[minuteminute]]|unlimited期限为1天--DHCP客户端分配的DNS服务器地址WINS服务器地址配置DHCP客户端NetBIOS节点类netbios-type{b-nodeh-|m-node|pnodeDHCP客户端的NetBIOS节（h-gatway-listip-address&<1-配置DHCP自定义选optioncode{asciiascii-stringhexhex-string&<1-10>dhcpserverip-poolpool-ip-address[mask-length|maskMAC配置绑定的IP配置静态绑定的客户绑定的MAC端ID二者之一共同配置才的能配置一对IP地址与MAC/客户端ID的绑定关ID-与自动分配的IP地址dhcpserverforbidden-[high-ip-address的所有IP地址都参与自动分dhcpselectdhcpselectglobal{interfaceinterface-typeinterface-number[tointerface-typeinterface-number]|alldhcpserver配置IP地服务器dhcpserver2配置DHCPdhcpservermillisec最长时间为500毫秒配置DHCP服务器支持Option82功能表1-3-使能DHCPdhcpdhcpselectinterface{interfaceinterface-typeinterface-number]|all}dhcpselect配置静态绑定的IPip-addressip-address的IP地dhcpserverexpired{dayday[hourhour[minuteminute]]|unlimited}用有效期限为1天dhcpserverexpired{dayday[hourhour[minuteminute]]|unlimited}{interfaceinterface-typeinterface-number]|all}-自动分配的IP地址dhcpserverforbidden-low-ip-address[high-ip-address池中的所有IP地址都参DHCPinterfaceintefacetypeinterface-numbr为DHCP客户端分配dhcpserver-dhcpserver--name{interface-typeinterface-number]|all}DHCPDNS服务器的dhcpserverdns-ip-address&<1-dhcpserverdns-ip-address&<1-8>{interfaceinterface-typeinterface-number]|all}DHCP的WINS服务器的IPdhcpservernbns-ip-address&<1-dhcpservernbns-ip-address&<1-8>{interfaceinterface-typeinterface-number]|all}DHCP类型，客户端采用h类dhcpservernetbios-{b-node|h-node|m-nodep-nodedhcpservernetbios-{b-node|h-node|m-p-node}{interfaceinterface-typeinterface-number]|all}DHCPinterfacenterface-typeintefac-numberDHCP自定义dhcpserveroptioncode{asciistring|hexhex-string&<1-|ip-addressip-address&<1-8>dhcpserveroptioncode{|ip-addressip-address&<1-8>{interfaceinterface-interface-number]|all}dhcpserverDHCP服务器检测配置IP地dhcpserverpackets的次数为2配置DHCP服务器等待响应dhcpserver缺省情况下，等待500配置DHCP服务器支缺省情况下，DHCP能DHCPRelay配对工作在DHCPRelay模式下的交换机，需要进行以下的表1-4DHCPRelay-使能DHCPdhcp配置DHCP服务器组DHCP服务器的地dhcp-servergroupNip-address&<1-服务器组中的服务器的IP配置DHCP用户地址表dhcp-securtydhcprelayhand{interval|autodhcp-server配置DHCP中继支持option82功能配置DHCP中继对包含dhcprelayinformationstrategy{drop|keep|replace}进入VLAN接口视-表1-5DHCPSnoo配DHCP-Snoo功DHCP-Snoo功能处于禁interfaceintrface-typeinterfacenumber-dhcp-snoo第2DHCPServer/24IP2DNSServer、WINSServerMailServerIP地址设置为不可分配地址。文件服务器使用IP与MAC绑定的方式静态分配。为总部和分支机构的工作站在分配地址时同时分配网关地址、DNSServer地址、WINSServer地址。 ServerServerIP FileServer图2-1DHCPServerDHCP#配置总部DHCPServerVlan-interface10接口的IP<H3C>system-[H3C]interfaceVlan-interface[H3C-Vlan-interface10]ipaddress[H3C-Vlan-interface10]dhcpselect[H3C-Vlan-interface10]dhcpserverexpiredday[H3C-Vlan-interface10]dhcpserverdns-list[H3C-Vlan-interface10]dhcpservernbst-list[H3C-Vlan-interface10][H3C-Vlanintefae10][H3C-Vln-interface10][H3C]dhcpserverforbidden-ip#[H3C]dhcpserverip-pool[H3C-dhcp-pool-br]networkmask[H3C-dhcp-pool-br]expiredday3创建静态绑定地址池名为“br-staticIP地址配置为与MAC地址静态绑定分配方式。[H3C]dhcpserverip-poolbr- #为分支机构工作站指定网关、DNS、WINS[H3C]dhcpserverip-poolbr[H3C]dhcpserverforbidden-ip[H3C]dhcpserver#配置Vlan-interface100接口工作在全局地址池模式[H3C]interfaceVlan-interface[H3C-Vlan-interface100]dhcpselectDHCPDHCP本节主要介绍DHCPServer的配置，对于举例中的DHCPRelay设备配置，只进行最简单的介绍，保证其可以将DHCP请求转发至DHCPServer。有关DHCPRelay的具体功能配置，请参见2.2DHCPRelay/Snoo综合配置举例的介绍。<H3C>system-[H3C]dhcp-server1ip[H3C]interfaceVlan-interface5[H3C-Vlan-interface5]dhcp-server1DHCPRelay/Snoo综合配置举CiscoCatalyst3745DHCPServer为分支机构的办公区域IPIRF架构作为中心结点，并作DHCPRelay转发工作站的DHCP请求。同时分支机构采用自己的DHCPServer为设备分配独立IP网段的地址。具体需求如下：总部的DHCPServer为设备分配/24网段的地址有效期为12小时并指定该地址池的DNS和WINS服务器分别为和室设备的DHCP请求，并配置伪DHCPServer检测功能。Lab1LabDHCPServerLab1/24网段的地址，有效期1天；为Lab2的设备分配用/30网段进行互连。配置DHCPSnoo支持DHCPOption82，将本地的端口信息添加到DHCPRelayDHCPOption82，RelayDHCPOption82选项的DHCP报文时，保留原有字段不作替换。配置DHCPServer支持DHCPOption82，为Snoo设备端口Ethernet0/11接入的客户端分配～5之间的地址，为Ethernet0/12端口接入的客户端分配00～50之间IPVLAN-intIRFFabric VLAN-int10VLAN-intLabDHCP 图2-2DHCPRelay/Snoo综合配置举例组网示意本举例中IRF架构中的设备为S3600，软件版本为Release1510；DHCPSnooQidwayS3552Release0028；LabDHCPServer为QuidwayS3528设备，软件版本为Release0028。DHCPSnoo设备的名称为“SnooS3600支持IRF特性，可以将四台设备互连成为一个Fabric，用户可以对Fabric中DHCP图图2-3DHCPRelay[SwitchA]dhcp-server1ip[SwitchA]interfaceVlan-interface10[SwitchA-Vlan-interface10]ipaddress[SwitchA-Vlan-interface10]quit[SwitchA]dhcp-server2ip[SwitchA]interfaceVlaninterface25[SwitchA-Vlan-interface25]paddress[SwitchA-Vlan-interfac25]dhcp-server发跨网段的DHCP报文。[SwitchA-Vlan-interface25]quit[SwitchA]interfaceVlan-interface17[SwitchA-Vlan-interface17]ipadd#配置DHCPRelay的地址检查功能这里注意要将DHCPServer的IP地址和[SwitchA]dhcp-securitystatic000D-88F8-4E71[SwitchA]dhcp-securitystatic0010-5ce9-1dea[SwitchA]interfaceVlan-interface10[SwitchA-Vlan-interface10]address-checkenable[SwitchA-Vlan-interface10]quit[SwitchA]interfaceVlan-interface[SwitchA-Vlan-interface25]address-checkenable[SwitchA-Vlan-interface25]quit[SwitchA]dhcprelayhandenable[SwitchA]dhcp-securitytracker60[SwitchA]dhcprelayinformationenable[SwitchAdhcprelayinformationstrategykeep#DHCPRelayDHCPServer检测功能[SwitchA]dhcp-serverdetect[SwitchA]udp-helperDHCP报文能够正确转发，需要配置路由协议，并将本设备的接[SwitchA][SwitchA-rip]network[SwitchA-rip]network[SwitchA-rip]network172.160说明在使IRF构架DHCPRelay与总部的DHCPServer之间，通过IP网络进行互VLAN-intVLAN-int17VLAN-int图2-4LabDHCPServer<LAB>system-[LAB]dhcp[LAB]dhcpserverip-pool[LAB-dhcp-lab2]network[LAB-dhcp-lab2]expiredday[LAB]interfaceVlan-interface[LAB-Vlan-interface17]ipaddress30[LAB-Vlan-interface17]dhcpselectglobal#[LAB-Vlan-interface17]quit[LAB]interfaceVlan-interface15[LAB-Vlan-interface15]ipaddress24[LAB-Vlan-interface15]dhcpselectinterfac置，这里以RIP为例。其他路由协议的配置方法请参考产品手册中的描述。[LAB][LAB-rip]network192.16817[LAB-rip]network172.16.0DHCPDHCP 图2-5DHCPSnoo组设备在开启Option82功能的同时，需要同时开启DHCP报文重定向功能） >system-view ]dhcp-snoo ]dhcp- information ]dhcp-packetredirectEthernet0/11to#H3C系列产品在DHCPOption82选项中添加端口编号、VLAN编号和 04VLANPort图2-6CircuitID例如，由端口Ethernet0/11接入的客户端，增加了Option82信息的DHCP报文中CircuitID子选项信息应为：0x0106000400010010，其中为固定取值，0001标识接入的端口所在VLAN为VLAN1，0010为端口的绝对编号，比实际端口编号小1，即实际连接端口为Ethernet0/11。RemoteID子选项，这里主要标识客户端接入的DHCP-Snoo设备的MAC地址 06BridgeMAC图2-7RemoteID例如，由MAC地址为000f-e234-bc66的DHCP-Snoo设备接入的DHCP客户端，增加了Option82信息的DHCP报文中RemoteID子选项信息应为：02080006000fe234bc66，其中 为固定取值，000fe234bc66为DHCP-Snoo设备的MAC地址。CircuitID子选项中标识端口编号的字段进行匹配说明下面列举的是CiscoCatalyst3745设备上的配置，对应的软件版本为IOS12.3(11)T2版本，如果使用其他型号或其他版本的设备，请参考随机资料中的用户Switch>Switch(config)#configureEnterConfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#servicedhcpSwitch(config)#ipdhcpuse#为从Snoo设备的Ethernet0/11端口接入的客户端建立DHCP分类，并配置匹配Option82信息为CircuitID子选中的端口编号，无需匹配的内容可以使用通配Switch(config)#ipdhcpclassSwitch(dhcp-class)#relayagentinformationhex0106000400010010*Swtich(dhcp-class)#exit#为从Snoo设备的Etherent0/12端口接入的客户端配置分类和匹配信息，方法与上面命令相似，只将Option82信息中的端口标识由10改为11。Switch(config)#ipdhcpclassSwitch(dhcp-class)#relayagentinformationhex01060 #创建Office地址池，并为两个DHCP分类分别指定地址范围。Switch(config)#ipdhcppoolofficeSwitch(dhcp-pool)#networkSwitch(dhcp-pool)#classSwitch(dhcp-pool-class)#addressange5Switch(dhcp-pool-class)#exitSwitch(dhcp-pool)#classSwitch(dhcp-pool-class)#addressrange0050Switch(dhcp-pool-class)#exit#DHCP地址池配置租约期限，网关、DNSWINS服务器地Switch(dhcp-pool)#lease0Switch(dhppool)#default-routerSwitch(dhcp-pool)#dns-serverSwitch(dhcppool)#netbios-name-server经过上述配置后，DHCP服务器即可为Office区域的设备自动分配IP地址及网关DNS、WINS服务器地DHCPRelayIRF的配在IRF（InligentResilientFramework，可扩展弹性网络）系统中，DHCPRelayFabricUnitMaster上的DHCPRelay能够收发报文，完成全部DHCPRelay的功能，而运行在Slave上的DHCPRelay只是作为运行在Master上的任务的备份。DHCP协议是基于UDP的应用层协议,作为Slave的Unit收到DHCP请求报文后，UDP-Helper会将报文重定向到MasterUnit上，由Master上的DHCPMasterUnit出现故障Slave变为MasterUnit能够马上承担起DHCPRelay的角色。因IRF系统中DHCPServer/Relay时，一定要注意先使能UDP-Helper功能。 3第3RFC2131：DynamicHostConfigurationRFC2132：DHCPOptionsandBOOTPVendorRFC3046：DHCPRelayAgentInformation 1 1 1 2 1 1 2 2 2 2 4组网需 4 4 4 5 5组网图........................... 6 6 7 7组网 7 7 8 9第3章WEBCache重定向典型配置举 1 1 1组网 2 2 QACL典型摘QAL求，分别介绍基于时间段的L、流量、优先级重标记、队列调度、流量统计、端口重定向、本地流镜像以及WEBC重定向的功能及应用。缩略语：ACL（AccessControlList，控制列表）、QoS（QualityofService，服务质量第1QACL功能介H3C交换机支持的ACL/QoS功能列-----------------------------------------------------说明说明aclnumberacl-number[match-order{config|auto}]二层ACL及用户自定义ACL定义ACL规rule[rule-id]{permit|denyACL，rule-string的{strict-priority|wfqqueue0-widthqueue1-widthqueue2-widthqueue3-widthqueue4-widthqueue5-widthwrrqueue0-weightqueue1-weightqueue2-weightqueue3-weightqueue4-weightqueue5-weightqueue6-weightqueue7-weight}WRRWFQ方式中，如果某一个或多个队列的权值或最小带宽设为0，则对这个或这些队列实用WRR队列调度方法，缺省权重在系统视图下用queue-scheduler命令定义的队列调度-packet-filter{inboundoutbound}acl--priorityline-rate{inboundoutbound}target-ACL进行流识traffic-priority{inbound|outbound}acl-rule{{dscpdscp-value|ip-{pre-value|from-cos}}|{pre-value|from-ipprec}用户可以重标记报文的IP优先级、target-rate[exceedaction]的动作有如下动作：remark-dscpvalue：重新设置报DSCP优先级，同时转发报queue-schedulr{wfqqueue0-widthqueue1-widthqueue2-widthqueue3-widthqueue4widthqueue5-widthwrqueue0-weightqueue1-weightqueue2-weightqueue3-weightqueue4-weightqueue5-weightqueue6-weightqueue7-weight}queue-scheduler命令定义的队如果全局定义的WRR(或WFQ)带宽值)不能满足某一端口的需在此端口上，新定义的队列权值(或带宽值)会覆盖全局定义的队带宽值)不能用displayqueue-scheduler命令来显示outbound}acl-rule{cpu|interfaceinterface-typeinterface-number}ACL进行流识-第2QACL典型配置举ServerServer10.0ServerServerLANLANDataDetectLANLANE1PCPCLANLAN PCPC10.0

10图2-1图2-1为某公司的网络拓扑图，具体环境如公司内部通过服务器Server1Internet，Server1通过端口件服务器，通过端口GigabitEthernet1/1/2接入交换机；PC1、PC2、PC3、PC4Ethernet1/0/1、Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4接入交换机。基于时间段的ACL+端口带宽限制+流量配置举段可以，Internet的最大流量为100M；报文的DSCP优先级修改为ef；ServerLANLANELANPCPCLANLAN10.00 PCPC

<H3C>system-SystemView:returntoUserViewwithCtrl+Z.[H3Ctime-rangea0018:30to18:00working-day#配置非工作日时间段。[H3C]time-rangea00200:00to8:30working-[H3C]time-rangea00218:00to24:00working-day[H3C]time-rangea00200:00to24:00off-day在非工作时间段内PC1Internet的IP优先级为7的报文进行分类标识。[H3C]aclnumber80time-range[H3C-acl-adv-3010]rule1permitipsource00precedence7time-range[H3C]aclnumber[H3C-acl-ethernetframe-4010]rule0permitcos5source0012-0990-2241ffff-ffff-fffftime-rangea002且限制客户端Internet的最大流量为100M。[H3C]interfaceGigabitEthernt[H3C-GigabitEthernet1/1/1]packet-filteroutboundip-group3010rule0[H3C-GigabitEthernet1/1/1]linerateoutbound102400PC1Ethernet1/0/1ACL3010rule1标识的报文进行流量20M并将超出流量的报文的DSCP优先级修改为ef。[H3C]intrfaceEthernet[H3C-Ethernet1/0/1]traffic-limitinboundip-group3010rule120480exceedremark-dscpef[H3C]interfaceEthernet[H3C-Ethernet1/0/2]traffic-limitinboundlink-group4010rule010240exceed为permit的规则有效。Server2、Server3、Server4分别为公司内部的数据服务器、邮件服务器、文件服要求交换机优先处理数据服务器的报文，其次处理邮件服务器的报文，最后处理文件服务器的报文；分别为1:1:1:5:1:10:1:15；长度超过64个报文时，对后续报文进行随机丢弃，丢弃概率为20%；LANServLAN

10Server

Server图2-3配置优先级重新标记+队列调度算法+拥塞避免+<H3C>system-SystemView:returntoUserViewwith[H3C]aclnumber[H3C-acl-adv-3020]rule0permitipdestination[H3C-acl-adv-3020]rule1permitipdestination[H3C-acl-adv-3020]rule2permitipdestination0[H3C-acl-adv-3020]quit#GigabitEthernet1/1/2ACL3020内规则的报文进行优先级重标[H3C]interfaceGigabitEthernet012#在端口GigabitEthernet1/1/2上配置WRR队列调度算法，出队列权重为1:1:1:5:1:10:1:15[H3C-GigabitEthernet1/1/2]queue-schedulerwrr11151101#超过64个报文时，对后续报文进行随机丢弃，丢弃概率为20%。[H3C-GigabitEthernet1/1/2]wred46420[H3C-GigabitEthernet1/1/2]quit[H3C]interfaceEthrnet1/0/3[H3C-Ethernet1/0/3]prioritytrustDataDetectServerEthernet1/0/20接入交换机，具体统计在非工作日时间段内通过端口Ethernet1/0/1的以HTTP方式量全部重定向到端口Ethernet1/0/20。LAN

DataDetectPC图2-4配置流量统计+<H3C>system-SystemView:returntUserViewwithCtrl+Z.[H3Ctime-rangea0018:30to18:00working-day#配置非工作日时间段。[H3C]timerangea00200:00to8:30working-day[H3C]time-rangea00218:00to24:00working-day[H3C]time-rangea00200:00to24:00off-day[H3C]aclnumber[H3C-acl-adv-3030]rule0permittcpdestination0destination-porteq80time-rangea001[H3C-acl-adv-3030]rule1permittcpdestination0destination-porteq80time-rangea002#Ethernet1/0/1HTTPInternet的流量全部重定向到端口Ethernet1/0/20[H3C]interfaceEthernet#在端口Ethernet1/0/1上对非工作时间段内通过HTTP方式Internet的流量进[H3C-Ethernet1/0/1]traffic-statisticinboundip-group3030rule需要注意的使用traffic-redirecttraffic-statistic命令进行流量重定向和流量统计时，仅对ACL中动作为permit的规则有效。DataDetectServerEthernet1/0/20接入交换机，要求将工作日时间段内通过端口Ethernet1/0/1与Ethernet1/0/2的以HTTP方式DataDataDetectLANPCLANPC10图2-5<H3C>system-SystemView:returntoUserViewwithCtrl+Z.[H3C]time-rangea0018:30to18:00working-day#定义ACL3030对工作日时间段内通过HTTP方式Internet的报文进行分类[H3C]aclnumber[H3C-acl-adv-3030]rule0permittcpdestination0destination-porteq80time-rangea001[H3C]interfaceEthernet1/0/20[H3C-Ethernet1/0/20]quitEthernet1/0/1Ethernet1/0/2ACL3010进行流识别，将匹配该ACL的报文镜像到目的端口Ethernet1/0/20[H3C]interfaceEthernet [H3C]interfaceEthernet 在端口上下发ACL规则时，此时一条ACL中多个规则的匹配顺序是由交换机的在定义ACL时配置了匹配顺序，该匹配顺序也不起作用。870优先级依次降低。当端口采用当队列中没有报文发送时，才会对剩余的队列进行WRR调度；当端口采用当队列中没有报文发送时，才会对剩余的队列进行WFQ调度。对于二层ACL，不支持配置format-type（包括802.3/802.2、802.3、ether_ii、配置用户自定义ACL时，偏移量长度的设置需要考虑如下情1层VLANtag占4个字节。VLANtag，2VLANtag8个字节。表2-1ACL规则的其它功其它ACL规则的功能包括 SNMP/WEB用户可的ACL2000～2999；路由信息过滤中ACL，可以ACL 系统ACL规则的功能包括：802.1x(全局及端口使能后802.1xACL规则端口(配置且存在虚接口时下发ACL规则第3WEBCache重定向典型配置举说明某公司的网络拓扑如图3-1所示，具体环境如市场部门通过端口Ethernet1/0/1接入交换机，属于VLAN10，网段为研发部门通过端口Ethernet1/0/2接入交换机，属于VLAN20，网段为管理部门通过端口Ethernet10/3接入交换机，属于VLAN30，网段为WEBCacheServerEthernet1/0/4VLAN40，网192.168.41/24。WEBCacheServerIP地址为，MAC地址为00120990-2250。WEBCache重定向功能，将市场部门、研发部门和管理部门的HTTPWEBCacheServer，减少广域网连接链路的压力，同时VLANWebCacheEVLANVLANVLAN图3-1WEBCache创建市场部门所属的VLAN10，配置VLAN10接口的IP地址为<H3C>system-SystemView:returntUserViewwithCtrl+Z.[H3C]vlan10[H3C-vlan10]portEthernet1/0/1[H3C-vlan10quit[H3C]interfaceVlan-interface[H3C-Vlan-interface10]ipaddress24[H3C-Vlan-interface10]quit创建研发部门所属的VLAN20，配置VLAN20接口的IP地址为[H3C]vlan[H3C-vlan20]portEthernet1/0/2[H3C-vlan20]quit[H3C]interfaceVlan-interface[H3C-Vlan-interface20]ipaddress24[H3C-Vlan-interface20]quit创建管理部门所属的VLAN30，配置VLAN30接口的IP地址为[H3C]vlan[H3C-vlan30]portEthernet1/0/3[H3C-vlan30]quit[H3C]interfaceVlan-interface[H3C-Vlan-interface30]ipaddress24[H3C-Vlan-interface30]quit#WEBCacheServerVLAN40VLAN40IP[H3C]vlan[H3C-vlan40]portEthernet1/0/4[H3C-vlan30]quit[H3C]interfaceVlan-interface[H3C-Vlan-interface40]ipaddress24[H3C-Vlan-interface40]quit配置WEBCache重定向功能，将VLAN10VLAN20VLAN30接收到的[H3C]webcacheaddressmac00120990-2250vlan40portEthernet[H3C]webcacheredirect-vlan10[H3C]webcacheredirect-vlan20[H3C]webcacheredirect-vlan30WEBCacheServerVLAN40WEBCacheVLAN10、VLAN20VLAN30UP状态，否则WEBCache重定向功能不会生效。 第1章802.1x功能介 1 1 1 1 1 2 1 1 1 1 2 2 2 5 802.1x典型配置 要：本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置，对所涉及到802.1x客户端、交换机、AAA服务器等角色，分别给出了详细的配置步骤缩略语 Accounting，认证、和计费第1802.1x功能介说明本章中的802.1x功能适用于H3CS3600、H3CS5600、H3CS3100、H3CS5100H3CS3100-52P、E352&E328、E126和E152这一系列以太网交换机802.1x简以网络上的设备或资源。但是对于如电入、写字楼、局域网以及移动办公协议。802.1x作为一种基于端口的用户控制机制，由于其低成本、良好的业务开启全局的802.1x端口接入控制模式（强制、非强制、自动配置并不生效；启用dot1x功能后，提前配置的dot1x相关参数将生效。重新启动后，以前所做的这些dot1x相关配置依然生效。 2第2置命令介2.1802.1x相关功能配置命要实现802.1x功能，需要对接入用户、交换机、认证/服务器三个部分进行正接入用户端：保证用户PC使用正确的客户交换机：需要进行802.1x配置AAA相关配置下面仅介绍交换机上所需的 相关配置命令，其他配置请参见相关设备手册表2-1802.1x开启全局的802.1x特dot1x[interfaceinterface-list缺省情况口的802.1x开启端口的802.1x特802.1x特性均开启，802.1x的dot1xport-缺省情况下，802.1x在端口上{macbased|portbased[interfaceinterface-list使用GuestVLAN开启GuestVLANdot1xguest-vlanvlan-[interfaceinterface-list缺省情况下，GuestVLAN处于关闭状态。配置为Guest建第3章典型企业网络接入认证应说明机（软件版本为Release1510）为例。资源的，详细网络应用需求分析如表3-1所示。表表3-1启动802.1x特用户未通过认证时只能受限网络 启用GuestVLAN用户通过认证后，可以网络VAN动态VLAN下发配计费方式为50元包月其网络的带宽为用户上线后将IPMac闲置20分钟后，服务器强制切断用户Update AuthenticationVLANVLAN

VLAN2

图3-1＃设置RADIUS方案 <H3C>system-[H3C]radiusscheme[H3C-radius-cams]primaryauthentication9[H3C-radius-ms]primaryaccounting9[H3C-radiuscam]secondaryauthentication0[H3C-rdiuscams]secondaryaccounting0务器交互报文的加密为expert。[H3C-radius-cams]keyauthenticationexpert[H3C-radius-cams]keyaccountingexpert [H3C-isp-abc]radius-schemecams[H3C-isp-abc]quit defaultenable[H3C]vlan[H3C-Ethernet1/0/3]dot1xport-methodportbased[H3C-Ehternet1/0/3]dot1xguest-vlan10[H3C]＃display命令可以查看关于802.1x，AAA相关参数配[H3C]displaydot1xinterfaceethernet1/0/3Global802.1xprotocolisenabldCHAPauthenticationisenabledDHCP-launchisdisabledProxytrapcheckerisdisabledProxylogoffcheckrisdisabledConfiguraion:Transmit30HandshakeReAuth3600ReAuth2Quiet60QuietPeriodTimerisSupp30Server 100Intervalbetweenversionrequestsisalrequesttimesforversioninformationis3 alretransmittingtimes um802.1xuserresourcenumberis1024Totalcurrentused802.1xresourcenumberis0Ethernet1/0/3islink-up802.1xprotocolisenabledProxytrapcheckerisProxylogoffcheckerisdisabledVersion-CheckisdisabledTheportisanauthenticatorAuthenticationModeisAutoPortControlTypeisPort-basedReAuthenticateisdisabledMaxnumberofon-lineusersisAuthenticationSuccess:0,Failed:EAPOLPackets:Tx0,RxSentEAPRequest/IdentityPackets:0EAPRequest/ChallengePackets:ReceivedEAPOLStartPackets:0EAPOLLogOffPackets:EAPResponse/IdentityPackets:0EAPResponse/ChallengePackets:0ErrorPackets:0ControlledUser(s)amountto[H3C]displayradiusschemeSchemeName=cams Index=1Type=extendedPrimaryAuthIP=192.168119Port=1812PrimaryAcctIP=9Port=1813SecondAuthIP=1921681.20Port=1812SecondAcctIP=0Port=1813AuthServerEncyptonKey=expertAcctServerEncryptionKey=expertAccoutingmehod=requiredAccounting-Onpacketenable,sendtimes=15,interval=3sTimeOutValue(insecond)=3RetryTimes=3RealtimeACCT(inminute)=12PermittedsendrealtimePKTfailedcounts Retrysendingtimesofnoresponseacct-stop-PKT=500 Username Dataflow Packet unit1PrimaryAuthState=active,SecondAuthState=activePrimaryAccState=active,SecondAccState=active[H3C] Thecontents State=ActiveRADIUSScheme=camsAccess-limit=Vlan-assignment-mode=IntegerUserTemplate:Idle-cut=DisableSelf-service=DisableMessengerTime=RADIUSServer上的配置（CAMS1.20标准版为例本文所述CAMS综合服务器的版本为V1.20（标准版）图3-2CAMS图3-3CAMS图3-4改”或“”。图3-5“50图3-6务配置界面，如图所示。图3-7证成功后下发VLAN100。认证绑定选择绑定用户IP和绑定用户MAC地址。图38图3-9选择页面上方“增加”：用户为info为info用户为Bruce，预用户，预付金额100元。并添加绑定的用户IP地址、网卡MAC地址，数量限制为1，最大闲置时长20分钟。图3-10用户页图3-11图3-12图3-13图3-14图3-15PCPC上需要安装802.1x客户端。客户端可是选择H3C公司802.1X客户端产品，也可以是XP自带客户端，或者其他第标准客户端。以下以H3C公司802.1X客户图316在802.1x认证图标上点击右键：选择创建一个新图3-18图3-19图3-20图3-21可以看到，在用户没有发起认证或认证失败的情形下，可以VLAN10范围内的网络，证明GuestVLAN生效。当用户使用正确的客户端认证通过时，可以VLAN100的网络，证明动态下发的VLAN生效，同时与CAMS配合完成计费、实时。当设备无重启时，用户可以重新认证并上线。当用户使用的IP/MACCAMS上设置的不一致时，用户无法看交换机收到和发送的EAP、EAPoL报文是否正常。故障现象：用户无需进行802.1X验证就能使用网 1 1 1 2 2 2 2 1 1 1 1 2 5 6 6 1 1 1 5 SSH典型配置举缩略语：SSH（SecureS，安全外壳）、RSA（RivestShamir第1SSHSH（ce，安全外壳）是一个用于在非安全网络中提供安全的登录以SSHH等攻击外，H式H采用客户端——服务器模式。SH受SSH客户的连接并提供认证，SSHSSHSSHSSH登录到SSH度。又可以代替net，或为FTP、Pop甚至PPP提供安全的“通道”。说明SSHServerS3600-S3600-S3100-服务器端的1.H3C交换机充当SSH服务器时的客户端配SSH客户端软件有很多例如PuTTY、OpenSSH等。用户可根据自己的具体情况决定使用的SSH客户端软件，具体软件配置请参见软件附带的手册。2.采用支持SSH2的交换机作为客户端注意事为authentication-modescheme（采用AAA认证）。第2置命令介-2.2.2手工配置（2.2.2RSA认2.2.2导入配置（过SSH联2.2.2务器端sshauthentication-typedefaultpassword-publickeysshuserauthentication-typepassword-publickeypassword认证和RSA认证是用户必须不但要通过password认证还要通过RSAsshauthentication-typedefaultallsshuserauthentication-typeall命令指定该用户的认证方式可以是password认证，也可以是RSA认证，如表2-1，在服务器端采用RSA认证方式的配置过程中，需要SSH服务器端和使用displayrsalocal-key-pairpublic命令显示主机公钥数据。存的公钥文件通过FTP/TFTP方式上传到服务器端。SSH服务器端配置命-[type-keyword][ending-number-on]为password方式protocolinbound{|ssh|net的协议，即支持net和-RSARSAsshuserusernamesftp|all}的的服务类型为snetsshserver为60秒sshserver试次数为3次sshrekey-intervalhsshcomptible-ssh1xSSH1.x版本的客为SSH服务器端指定源IPsshserversource-SSH用户并且没有指sshsshsshuserdefaultssh不同时，SSH用户的认证方式以sshuserSSH用户并且没有指sshsshsshusern-typrsadefaultssh不同时，SSH用户的认证方式以sshuserrsapeer-public-keypublic-key-code-public-key-codepeer-public-key-rsa-keykeynameSSH用户并且没有指sshsshsshusern-typersadefaultssh不同时，SSH用户的认证方式以sshuserSSHRSA公rsapeer-public-keyimportsshkeyrsa-keykeyname如果设置支持首次认证，则当SSH客户端首次服务器端，而客户端没有SSH-.22.3.22-6SSH客户端和SSH服务器SSH客户端配置H3C交换机充当SSH客户端时的公共配置-SSH客户端指定源IPssh2source-ipip-ssh2source-公共配置请参见“2.3.21H3C交换机充当SSH-sshclientfirst-timessh2{host-ip|host-name[port-num][prefer_kex{|dh_exchange_group}|prefer_ctos_cipher{des|aes128}|prefer_stoc_cipher{des|aes128}|md5|md5_96}|prefer_stoc_hmac{sha1|sha1_96|md5|md5_96}]SSH客户端和服务公共配置请参见“2.3.21H3C交换机充当SSH-undosshclientfirst-rsapeerpublic-keypubic-key-code-public-key-codepeer-public-key-sshclient{server-ip|server-nameassignrsa-keyssh2{host-ip|host-name[port-num][prefer_kex{|dh_exchange_group}|prefer_ctos_cipher{des|aes128}|prefer_stoc_cipher{des|aes128}|md5|md5_96}|prefer_stoc_hmac{sha1|sha1_96|md5|md5_96}]SSH客户端和服务第3说明S3600交换机充当SSH服务器并采用password认证时的配置举当用户通过一个不能保证安全的网络登录到交换机时，为更大限度地保证数据图31SSHServerpassword<H3C>system-[H3C]interfacevlan-interface[H3C-Vlan-interface1]ipaddress[H3C-Vlan-interface1]quit[H3C]rsalocal-key-pair[H3C]user-interfacevty0#设置用户接口上支持SSH协议。[H3C-ui-vty0-4protocolinboundssh[H3C-ui-vty0-4]quit别为3。[H3C]local-user[H3C-luser-client001]passwordsimple[H3C-luser-client001]service-typesshlevel3[H3C-luser-client001]quit[H3C]sshuserclient001authentication-typeSSH客户端软件的配置（Putty058为例PuTTY.exe程序出现如下客户端配置界面。图3-2SSH单击SSH客户端配置界面左 树（“Category”）中的连接协（“Connection”）中的“SSH”，出现如图3-3的界面图3-3SSH客户端配置界面在“Protocoloptions”区域中，选择“PreferredSSHprotocolversion”参数的值2。图3-4SSHS3600交换机充当SSH服务器并采用RSA认证时的配置举当用户通过一个不能保证安全的网络登录到交换机时，为更大限度地保证数据信息交换的安全性，使用SSH来实现此目的，并采用RSA认证。如图3-5所示，PC终端（SSHClient）上运行支持SSH2.0的客户端软件，与交换机（SSHServer）建<H3C>system-[H3C]interfacevlan-interface[H3C-Vlan-interface1]ipaddress[H3C-Vlan-interface1]quit[H3C]rsalocal-key-pair[H3C]user-interfacevty0#设置用户接口上支持SSH协议。[H3C-ui-vty0-4protocolinboundssh#设置用户能令级别为3。[H3C-ui-vty0-4]userprivilegelevel3[H3C-ui-vty0-4]quit[H3C]sshuserclient001authentication-type说明这里需要先在SSH客户端使用SSH客户端软件生成RSA将生成的RSA件名为public。有关配置请参见客户端的配置。[H3C]rsapeer-public-kySwitch001importsshkey[H3C]sshuserclient001assignrsa-key生成密钥对（PuTTYGen为例 图3-6生成客户端密钥注意记进程条外的地方，否则进程条的显示会不动，密钥对将停止产生，见图3-7。图3-7生成客户端密钥图3-8生成客户端密钥图3-9生成客户端密钥说明SSH客户端软件的配置（Putty0.58为例打开PuTTY.exe程序，出现如图3-10所示的客户端配置界面图3-10SSH客户端配置界面单击SSH客户端配置界面左 树（“Category”）中的连接协（“Connection”）中的“SSH”，出现如图3-11的界面图3-1SSH客户端配置界面在“Protocoloptions”区域中，选择“PreferredSSHprotocolversion”参数的值2。单击“SSH”下面的“Auth”（认证），出现如图3-12的界面图3-12SSH客户端配置界面图3-13SSHS3600交换机充当SSH客户端并采用password认证时的配置举证。如图3-14所示：交换SwitchASSH客户端，用来进行SSH登录的用户client001交换SwitchBSSH服务器，IP地址36<H3C>system-[H3C]interfacevlan-interface[H3C-Vlan-interface1]ipaddress36[H3C-Vlan-interface1]quit[H3C]rsalocal-key-pair[H3C]user-interfacevty0#设置用户接口上支持SSH协议。[H3C-ui-vty0-4protocolinboundssh[H3C-ui-vty0-4]quit别为3。[H3C]local-user[H3C-luser-client001]passwordsimple[H3C-luser-client001]service-typeshleel3[H3C-luser-client001]quit[H3C]sshuserclient001authentication-type<H3C>systm-vi[H3C]interfacevlan-interface[H3C-Vlaninterface1]ipaddress37[H3C-Vlan-interface1]quit[H3C]ssh2Username:client001Trying36...PressCTRL+KtoabortConnectedto36...TheServerisnotauthenticated.Doyoucontinuetoaccessit?(Y/N):yDoyouwanttosavetheserver'spublickey?(Y/N):nEnter .All Withouttheowner'spriorwritten S3600交换机充当SSH客户端并采用RSA认证时的配置举如图3-15所示：交换SwitchASSH客户端，用来进行SSH登录的用户client001交换SwitchBSSH服务器，IP地址36<H3C>system-[H3C]interfacevlan-interface[H3C-Vlan-interface1]ipaddress36[H3C-Vlan-interface1]quit[H3C]rsa