一、说明

事情的起因是我们部门有个华为的S5700交换机,想配置端口镜像抓包但让助理买的串口线很久都还没到;而昨天测试部的同事说他们那有台华三的S5120想要配802.1X认证,但只有华为交换机的文档换到华三交换机上命令不一样不懂怎么配,问我们能不能帮看一下。

一是领导觉得他们的任务可以搞得定,二是我们这边需要串口线,所以这笔买卖就做了。

所以也就有了这里“华为S5700配置端口镜像和华三S5120配置802.1X认证”两个不相关的东西在一篇文章里,主要是做个记录用。

二、华为S5700配置端口镜像

2.1 清空串口密码【可选】

如果忘记串口密码,可通过重启交换机执行如下图所示操作,重启交换机按Ctrl+B及默认密码Admin@huawei.com进入BootROM清空串口密码

清空密码后启动会要求重新配置一个串口密码,选择Y就是进行设置选择N就是直接以空密码进入串口。不管选哪个都要注意使用save命令保存当前状态不然断电重启会串口又会恢复到之前那个已忘记的密码。

2.2 端口镜像配置

其实华为S5700配置端口镜像官方文档已经有比较清楚的说明了,网上也有很多文章。

不过有一个细节是在具体操作中发现S5700只能有一个观察口,且默认(?)已经配置0/0/1为观察口,0/0/3-8等多个端口被配置为镜像端口。

这样导致两个问题,一是在S5700中不能创建新的观察口,二是不能设置更多的镜像端口(这个不太确定,也可能是当时我们不愿把电脑的网线从0/0/2换到0/0/1就想用0/0/2作为观察口)。

所以,在配置端口镜像的第一步,我们要把所有镜像端口从观察口中删除然后再把观察口删除。

交换机使用串口线与电脑相连,使用SecureCRT等通过Serial协议打开串口码率设置为9600这些就不多说了。

# 第一步,把已有镜像端口从观察口删除

system-view

# 查看有哪些观察口

display observe-port

# 查看哪些端口已被加入到观察口中

display port-mirroring

# 逐个进入这些端口将他们从观察口中删除

interface gigabitethernet //

Undo port-mirroring to observe-port  both

quit

# 删除观察端口

undo observe-port 

# 第二步,配置0//2为观察口

system-view

observe-port  interface gigabitethernet //

# 第三步,将要配置要做流量镜像的端口加入到观察口

system-view

interface gigabitethernet //

port-mirroring to observe-port  both

quit

三、配置802.1X认证

20190417更新说明:华三交换机还给了测试部同事,而后来领导说希望确认一下在做802.1X认证时设备端是不是直接以明文形式传给交换机,所以又在我们的华为S5700上也做了配置,这里新加3.3节。

3.1 搭建Radius服务器

下载地址:http://www.onlinedown.net/soft/2752.htm

将zip包直接解压即可,其中WinRasius.exe是服务器,RadiusTest.exe是测试用的客户端,WinRadius.mdb是数据库。

不知道是这个软件有bug还是机制上就是如此,WinRadius.mdb中没数据,所以每次打开WinRasius.exe都要重新添加用户。

以test/123456为例,主菜单----操作----添加账号,如下填写然后确定即可。

另外注意WinRasius.exe最小化后会直接被最小化到右下角图标中,不要以为被关闭了然后又双击启动,然后看到端口被占用的报错。

RadiusTest.exe是一个测试客户端,我们此时打开填写用户名密码(Secret不懂在哪配不修改即可)点击发送,如果服务运行正常回到WinRasius.exe可看到认证成功信息。

3.2 华三S5120配置802.1X认证

当前组网状态:
自己电脑,ip为192.168.1.250,接除1/0/2外的任一个口。并在其上搭好Radius服务,创好用户test/123456
交换机,所有端口都在vlan 1 中,vlan 1 ip地址为192.168.17.251
提供802.1X认证配置的IPC,ip为192.168.1.252,接1/0/2口。并在其802.1X配置页面上配好用户名密码test/123456

# 其实vlan 1是默认存在的不需要创建,但创建一下也无所谓

# 不过vlan的IP还是要配的不然网络不通

system-view

vlan

quit

interface vlan-interface

ip address 192.168.17.251

quit

# 创建radius scheme,供domain使用

# ip改成Radius服务器的ip,key改成Radius服务器的key,我也不懂服务器在哪配的我是直接用RadiusTest.exe里填的

system-view

radius scheme

primary authentication 192.168.17.250

key authentication simple WinRadius

quit

# 创建一个domain,并设置为默认启用

# 当然其实也可以不用新建domain而是直接修改默认的system domain的认证、授权、计费

system-view

domain

# 在该domain中认证(authentication)使用上面配置的radius scheme

authentication default radius-scheme

# 在该domain中授权(authentication)使用上面配置的radius scheme

authorization default radius-scheme

# 在该domain中计费(accounting)使用上面配置的radius scheme

# accounting default radius-scheme

# 配置默认使用该domain进行认证

quit

domain default enable 

# 进入端口2,配置启用802.1x

system-view

interface GigabitEthernet //

dot1x

quit

# 全局启用启动802.1x

system-view

dot1x

3.3 华为S5700配置802.1X认证

华为交换机配置意思类似,但要复杂一些,命令如下:

# 配置vlan ip以使交换机与电脑网络相通

system-view

interface Vlanif

ip address 192.168.17.251

quit

# 华为交换机与华三交换机的不同之处是指定服务器、密钥不是在scheme中指定的

# 而是要要分别创建scheme和radius server,然后在domain中指定使用

radius-server template shiva

radius-server authentication 192.168.1.250

# radius-server accounting 192.168.1.250

radius-server shared-key cipher WinRadius

radius-server retransmit

undo radius-server user-name domain-included

quit

# 配置认证scheme

aaa

authentication-scheme auth

# 指定通过radius进行认证

authentication-mode radius

quit

# 配置计费scheme

# accounting-scheme abc

# 指定通过radius进行计费

# accounting-mode radius

# accounting start-fail online

# quit

# 创建一个domain,类似地配置认证、授权、计费

domain huawei

# 认证使用前面配置的认证scheme auth

authentication-scheme auth

# 计费使用前面配置的认证scheme abc

# accounting-scheme abc

# domain用到radius的都使用前面配置的radius server

radius-server shiva

quit

quit

# 将该domain设置为默认domain

domain huawei

domain huawei admin

# 进入端口2,配置启用802.1x

interface GigabitEthernet //

dot1x enable

quit

# 全局启用启动802.1x

system-view

dot1x enable

# 可使用test-aaa命令测试交换机配置的radius是否能成功认证

# test和123456是radius添加的账号的用户名密码,改成自己的

# test-aaa test  radius-template shiva

# 可使用以下命令查看对应端口是否有通过认证的用户

# 如果想让该端口的用户下线并重新进行认证,可将该端口网线拨掉数秒并重新接上

# 如果还是没有重新认证,那么将网线对端的设备重启

# display dot1x interface GigabitEthernet //

参考:

https://wenku.baidu.com/view/44947a4dcf84b9d528ea7a96.html

https://support.huawei.com/enterprise/zh/doc/EDOC1100038441/142fad68

华为S5700配置端口镜像和华三S5120配置802.1X认证记录的更多相关文章

  1. S5700交换机配置端口镜像

    S5700交换机配置端口镜像 <Quidway>system-view    //进入系统视图 Enter system view, return user view with Ctrl+ ...

  2. 自学Aruba7.3-Aruba安全认证-802.1x认证(web页面配置)

    点击返回:自学Aruba之路 自学Aruba7.3-Aruba安全认证-802.1x认证(web页面配置) 步骤1 建立AP Group,命名为test802-group 步骤2   将AP加入到AP ...

  3. CLI配置WLAN-PSK认证和802.1X认证

    一.该部分配置主要是针对PSK认证 1.创建WLAN 2 2.让WLAN使用PSK的方式 config wlan create 2 OK OK  //创建WLAN Profile Name和SSID ...

  4. H3c交换机配置端口镜像详情

    端口镜像 需要将G0/0/1口的全部流量镜像到G0/0/2口,即G0/0/1为源端口,G0/0/2为目的端口. 配置步骤 1.进入配置模式:system-view: 2.创建本地镜像组:mirrori ...

  5. 华三IRF配置

    配置步骤: IRF的配置步骤: 1.配置IRF域(域ID=10.成员ID.优先级) irf domain 10irf member 1 priority 10irf member 2 priority ...

  6. H3C S3600V2 通过CONSOLE配置端口镜像

    前24口为百兆口 对应序号为 Ethernet 1/0/(0~24) 25 26为千兆口 对应序号为 GigabitEthernet 1/0/(25~26) 以下是通过25号千兆口监听1号百兆口的例子 ...

  7. 使用亚马逊云服务器EC2做深度学习(三)配置TensorFlow

    这是<使用亚马逊云服务器EC2做深度学习>系列的第三篇文章. (一)申请竞价实例  (二)配置Jupyter Notebook服务器  (三)配置TensorFlow  (四)配置好的系统 ...

  8. pip 命令参数以及如何配置国内镜像源

    文章更新于:2020-04-05 注:如果 pip 命令不可以用,参见:python pip命令不能用 文章目录 一.参数详解 1.命令列表 2.通用参数列表 二.实际应用 1.常用命令 2.`pip ...

  9. 802.1X高级配置

    部署VLAN和ACLCisco Catalyst交换机(认证方)和Cisco ACS(认证服务器)具备动态分配VLAN或者ACL的能力.Cisco ACS可以将某个用户分配给指定的VLAN,或应用AC ...

随机推荐

  1. react context跨组件传递信息

    从腾讯课堂看到的一则跨组件传递数据的方法,贴代码: 使用步骤: 1.在产生参数的最顶级组建中,使用childContextTypes静态属性来定义需要放入全局参数的类型 2.在父组件中,提供状态,管理 ...

  2. 第十七节 Cookie基础与应用

    什么是cookie:其实就是页面用来保存信息:比如,自动登录.记住用户名 cookie的特性:(以域名为单位的) 同一个网站(同一个域名)中所有页面共享一套cookie 数量.大小有限,跟浏览器有关, ...

  3. css 修改input中placeholder提示问题颜色

    input::-webkit-input-placeholder, textarea::-webkit-input-placeholder { color: rgba(74, 87, 103, 1); ...

  4. 评价指标整理:Precision, Recall, F-score, TPR, FPR, TNR, FNR, AUC, Accuracy

    针对二分类的结果,对模型进行评估,通常有以下几种方法: Precision.Recall.F-score(F1-measure)TPR.FPR.TNR.FNR.AUCAccuracy   真实结果 1 ...

  5. Hadoop-Impala学习笔记之SQL参考

    参考:Apache Impala Guide--Impala SQL Language Reference. Impala使用和Hive一样的元数据存储,Impala可以访问使用原生Impala CR ...

  6. 组装一台PRUSA I3打印机

    闲来无事,又搞了台机.这样下去顶不住了.草. 还是咸鱼购买,但是这台收到的时候比我以前任何一台都要散,几乎重新装了一台. 此处省略收到货时候的零件图,省略装机图. 不得不提的是,原机用的山寨melzi ...

  7. redis集群部署+节点端口修改+数据恢复

    环境:OS:Centos 7Redis: 3.2.11主 从192.168.1.118:7001 192.168.1.118:8001192.168.1.118:7002 192.168.1.118: ...

  8. Swift-Extensions

    日常开发中,frame 是我们经常用到的,但是 UIKit 不允许我们直接设置 frame.origin.x frame.origin.y frame.size.wight frame.size.he ...

  9. 完整的多文件上传实例(java版)

    昨天刚刚做了一个文件列表上传,后端很简单,用 MultipartFile[] files 获取文件流数组,后端就当IO流操作就可以,似乎好像没啥好写的,但是!!!!!前端是真的糙单.要是自己写一个前端 ...

  10. 【转载】TCP /IP协议详解

    首先,TCP/IP不是一个协议,而是一个协议族的统称. 里面包括了IP协议,IMCP协议,TCP协议,以及http.ftp.pop3协议等等. TCP/IP协议分层 提到协议分层,我们很容易联想到IS ...