首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

物联网接入安全网关SIG

深信服物联网接入安全网关SIG,是专门针对物联网场景研发的IoT终端安全一体化产品,以“精准识别、有效保护”为价值主张,集“IoT资产管理”、“IoT风险发现”、“IoT准入控制”和“IoT安全防护”四大核心能力于一体,为用户提供一站式、自闭环的IoT终端安全管控方案。
点击可切换产品版本
知道了
不再提醒
SIG 6.0.7
物联网接入安全网关SIG 文档 最佳实践 SIG哑终端802.1X准入场景 交换机配置 华三交换机
{{sendMatomoQuery("物联网接入安全网关SIG","华三交换机")}}

华三交换机

更新时间:2023-10-09

MAC认证  

SNMP配置:

交换机开启SNMP,使物联网安全网关SIG能够跨三层取MAC地址:

snmp-agent  //使能SNMP Agent服务

snmp-agent sys-info version v2c  //配置SNMP的协议版本为SNMPv2c

snmp-agent community read cipher sangfor@123 //配置设备的读写团体名

 

流量镜像配置:

# 配置GigabitEthernet0/0/1为镜像接口,GigabitEthernet0/0/2为观察接口,观察接口索引号为1。镜像GigabitEthernet0/0/1上的双向业务流量到GigabitEthernet0/0/2上。

<sysname>system-view

[sysname] mirroring-group 1 local

[sysname] mirroring-group 1 mirroring-port G0/0/1 both

[sysname] mirroring-group 1 monitor-port G0/0/2

  1. 执行命令system-view,进入系统视图。
  1. 执行命令mirroring-group number local ,建立一个镜像组。
  2. 执行命令mirroring-group 1 mirroring-port G0/0/1 { both | inbound | outbound },将端口加入到镜像组中,镜像可以根据实际情况灵活选择入方向、出方向及全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量

执行命令mirroring-group 1 monitor-port G0/0/2 ,设置镜像的目的端

 

准入配置:

# 创建名为radius1RADIUS方案。

<Switch> system-view

[Switch] radius scheme sangfor_rd

# 设置主认证RADIUS服务器的IP地址为192.168.1.3,主计费RADIUS服务器的IP地址为192.168.1.2

[Switch-radius-radius1] primary authentication 192.168.1.2

[Switch-radius-radius1] secondary authentication 192.168.1.2

[Switch-radius-radius1] primary accounting 192.168.1.3

[Switch-radius-radius1] secondary accounting 192.168.1.3

# 设置与认证RADIUS服务器交互报文时的加密密码为sangfor@123

[Switch-radius-radius1] key authentication sangfor@123

[H3C-radius-sangfor_rd]key accounting sangfor@123     #配置计费共享秘钥

# 设置系统向 RADIUS 服务器重发报文的时间间隔与次数。

[H3C-radius-radius1] timer 2

[H3C-radius-radius1] retry 5

# 设置将去除域名的用户名发送给RADIUS服务器。

[Switch-radius-radius1] user-name-format without-domain

[Switch-radius-radius1] quit

 

# 创建名为sangforISP域,并进入其视图。

[H3C]domain sangfor             #创建域test并进入视图

[H3C-isp-sangfor]authentication lan-access radius-scheme sangfor_rd     #配置802.1x用户使用radius方案进行认证,授权

[H3C-isp-sangfor]authorization lan-access radius-scheme sangfor_rd

[H3C-isp-sangfor]accounting lan-access radius-scheme sangfor_rd   #配置计费方案为test_radius

[H3C-isp-sangfor_AD]quit

 

#配置MAC认证重认证周期

[Switch]mac-authentication timer reauth-period 300

[Switch]mac-authentication re-authenticate

#配置静默定时器为1

[Switch] mac-authentication timer quiet 1

 

# 配置采用MAC地址用户名进行认证,并指定使用带有分隔符的小写形式的MAC地址作为验证的用户名和密码。

[Switch] mac-authentication user-name-format  mac-address  with-hyphen

 

# 配置MAC地址认证和用户所使用的ISP域。

[Switch] mac-authentication

[Switch] mac-authentication domain sangfor

 

#接口下开启MAC认证,如G0/0/1

[Switch] interface G0/0/1

[Switch]mac-authentication

[Switch]mac-authentication domain sangfor

[Switch]mac-authentication re-authenticate      //有的版本不需要配置该选项

[Switch] mac-authentication timer reauth-period 300