要求  

查看软件版本：

原则：

1. 如果交换机软件版本低于R010，建议升级至最新版本，如果无法升级必须切换成传统模式，且打最新补丁包。

2. R010及以上版本可以选择传统模式或者统一模式，建议打最新补丁包。

 

传统模式或统一模式查看方法

通过以下命令进行确认：dispaly  authentication  mode

如回显current authentication mode is unified-mode 则表明当前身份验证模式为统一模式。如不是则为传统认证模式。切换命令：undo authentication unified-mode（PS：切换需要会重启交换机，建议保存配置后在进行切换，但是不丢配置）

     

查看是否打补丁

R010以下版本需要打上最新补丁包，具体补丁包可找华为400获取。

通用配置  

SNMP配置：

交换机开启SNMP，使物联网安全网关SIG能够跨三层取MAC地址：

snmp-agent  //使能SNMP Agent服务

snmp-agent sys-info version v2c  //配置SNMP的协议版本为SNMPv2c

snmp-agent community read cipher Huawei123 //配置设备的读写团体名

 

流量镜像配置：

# 配置GigabitEthernet0/0/1为镜像接口，GigabitEthernet0/0/2为观察接口，观察接口索引号为1。镜像GigabitEthernet0/0/1上的双向业务流量到GigabitEthernet0/0/2上。

<Quidway> system-view [Quidway] observe-port 1 interface gigabitethernet 0/0/2 [Quidway] interface gigabitethernet 0/0/1 [Quidway-GigabitEthernet0/0/1] port-mirroring to observe-port 1 both

1. 执行命令system-view，进入系统视图。

2. 执行命令observe-port index interface interface-type interface-number ，配置观察接口。
3. 执行命令interface interface-type interface-number，进入镜像接口的接口视图。

执行命令port-mirroring to observe-port index { both | inbound | outbound } ，配置接口镜像

 

准入配置：

#配置思路：

#1.创建aaa方案并配置认证方式和计费方式为radius

#2.创建并配置radius服务器模板的各项参数

#3.创建认证域并在其上绑定aaa认证方案和计费方案与radius服务器模板

#step1：创建并配置RADIUS服务器模板“sangfor_rd”。

<HUAWEI>system-view                           #进入系统视图

[HUAWEI] radius-server template sangfor_rd #创建radius服务器模板“sangfor_rd”

[HUAWEI-radius-sangfor_rd] radius-server authentication 192.168.1.100 1812 weight 100 #设置主radius服务器的认证IP地址和端口号

[HUAWEI-radius-sangfor_rd] radius-server authentication 192.168.1.200 1812 weight 50   #设置备radius服务器的认证IP地址和端口号

[HUAWEI-radius-sangfor_rd] radius-server accounting 192.168.1.100 1813  weight 100  #设置主radius服务器的计费IP地址和端口号

[HUAWEI-radius-sangfor_rd] radius-server accounting 1192.168.1.200 1813  weight 50  #设置备radius服务器的计费IP地址和端口号

[HUAWEI-radius-sangfor_rd] radius-server shared-key cipher sangfor@123  #设置接入设备与radius认证服务器的共享密钥

[HUAWEI-radius-sangfor_rd]  radius-server retransmit 2

[HUAWEI-radius-sangfor_rd]  undo radius-server user-name domain-included

[HUAWEI-radius-sangfor_rd]   radius-server detect-server interval 30

[HUAWEI-radius-sangfor_rd] quit

 

#step2：创建AAA认证方案“sangfor_aaa”并配置认证方式为RADIUS。

[HUAWEI] aaa

[HUAWEI-aaa] authentication-scheme sangfor_aaa    #创建aaa认证方案"sangfor_aaa"

[HUAWEI-aaa-authen-sangfor_aaa] authentication-mode radius    #配置当前认证方案使用的认证模式

[HUAWEI-aaa-authen-sangfor_aaa] quit

[HUAWEI-aaa]accounting-scheme sangfor_aaa #创建aaa计费方案"sangfor_aaa"

[HUAWEI-aaa-accounting-sangfor_aaa]accounting-mode radius     #配置当前使用的计费模式“radius”

[HUAWEI-aaa-accounting-sangfor_aaa]quit

 

#step3：创建认证域“sangforAD”，并在其上绑定AAA认证方案“sangfor_aaa”与RADIUS服务器模板“sangfor_rd”。

[HUAWEI-aaa] domain sangforAD    #创建认证域“sangforAD”

[HUAWEI-aaa-domain-sangforAD] authentication-scheme sangfor_aaa    #在域下绑定aaa认证方案“sangfor_aaa”

[HUAWEI-aaa-domain-sangforAD] accounting-scheme sangfor_aaa #在域下绑定aaa计费方案“sangfor_aaa”

[HUAWEI-aaa-domain-sangforAD] radius-server sangfor_rd      #在认证域下绑定radius服务器模板“sangfor_rd”

[HUAWEI-aaa-domain-sangforAD]quit

[HUAWEI-aaa]remote-aaa-user authen-fail retry-interval 5 retry-time 3 block-time 5  #使能AAA远端认证失败后账号锁定功能，配置AAA远端认证失败后用户的重试时间间隔为5分钟、连续认证失败的限制次数为3次及账号锁定时间为5分钟。

[HUAWEI-aaa] quit

 MAC认证统一模式配置  

配置MAC认证

#配置MAC接入模板，MAC认证用户的用户名和密码默认均为不带分隔符“-”的MAC地址。需要保证RADIUS服务器上配置的MAC用户名和密码格式与接入设备上的保持一致。

[HUAWEI] mac-access-profile name m1    # 创建mac 认证模板

[HUAWEI-mac-access-profile-m1] mac-authen username macaddress format with-hyphen #设置用户名为xxxx-xxxx-xxxx 的mac地址形式

[HUAWEI-mac-access-profile-m1]mac-authen reauthenticate

[HUAWEI-mac-access-profile-m1]mac-authen timer reauthenticate-period 120  #配置对在线MAC用户进行重认证的周期。

[HUAWEI-mac-access-profile-m1]quit

[HUAWEI] authentication-profile name sangfor

[HUAWEI-authen-profile-sangfor_apf] mac-access-profile m1

[HUAWEI-authen-profile-sangfor_apf] access-domain sangforAD force

[HUAWEI-authen-profile-sangfor_apf] authentication mode multi-authen max-user 1024  //配置单个接口下允许的最大接入用户数，建议使用最大

[HUAWEI-authen-profile-sangfor_apf]quit

[HUAWEI] mac-authen quiet-times 1 //配置MAC认证用户被静默前60秒内允许认证失败的次数。建议1次

[HUAWEI]access-user arp-detect valn X ip-address 192.168.1.1 mac-address cc64-a6b7-5434  //配置网关IP和MAC去探测资产的存活性，每个VLAN写一条

 

#step5：在接口GE0/0/2上绑定认证模板“sangfor_apf”，使能802.1X认证。以接口GE0/0/2为例，其他接口配置与其类似。

[HUAWEI] interface gigabitethernet 0/0/2

[HUAWEI-GigabitEthernet0/0/2] authentication-profile sangfor

[HUAWEI-GigabitEthernet0/0/2] carrier down-hold-time 5000   //可选配置，如果该接口下存在频繁UP/DOWN情况需要配置

 

 MAC认证传统模式配置  

1、全局开启MAC地址认证

mac-authen

mac-authen quiet-times 1 //配置MAC认证用户被静默前60秒内允许认证失败的次数。建议1次

mac-authen max-user    //配置接口下允许接入的MAC认证用户的最大数量。如果在汇聚上配置需要注意是否超过最大用户数（可选）

 

2、配置MAC认证用户采用的用户名形式。

mac-authen username macaddress format with-hyphen

 

3、配置MAC认证用户所使用的认证域及认证时间间隔

mac-authen domain sangforAD

mac-authen timer reauthenticate-period 300

access-user arp-detect valn X ip-address 192.168.1.1 mac-address cc64-a6b7-5434    //配置网关IP和MAC去探测资产的存活性，每个VLAN写一条

 

4、配置终端接口

启动mac认证

mac-authen

mac-authen domain sangforAD  //可选配置，如果全局无法配置，则可以在接口下配置

mac-authen timer reauthenticate-period 300 //可选配置，如果全局无法配置，则可以在接口下配置

carrier down-hold-time 5000   //可选配置，如果该接口下存在频繁UP/DOWN情况需要配置