华为S5700配置端口镜像和华三S5120配置802.1X认证记录

时间 2019-11-05

标签华为 s5700 配置端口镜像 s5120 802.1x 认证记录繁體版

原文原文链接

1、说明

事情的原由是咱们部门有个华为的S5700交换机，想配置端口镜像抓包但让助理买的串口线好久都还没到；而昨天测试部的同事说他们那有台华三的S5120想要配802.1X认证，但只有华为交换机的文档换到华三交换机上命令不同不懂怎么配，问咱们能不能帮看一下。html

一是领导以为他们的任务能够搞得定，二是咱们这边须要串口线，因此这笔买卖就作了。数据库

因此也就有了这里“华为S5700配置端口镜像和华三S5120配置802.1X认证”两个不相关的东西在一篇文章里，主要是作个记录用。服务器

2、华为S5700配置端口镜像

2.1 清空串口密码【可选】

若是忘记串口密码，可经过重启交换机执行以下图所示操做，重启交换机按Ctrl+B及默认密码Admin@huawei.com进入BootROM清空串口密码网络

清空密码后启动会要求从新配置一个串口密码，选择Y就是进行设置选择N就是直接以空密码进入串口。无论选哪一个都要注意使用save命令保存当前状态否则断电重启会串口又会恢复到以前那个已忘记的密码。dom

2.2 端口镜像配置

其实华为S5700配置端口镜像官方文档已经有比较清楚的说明了，网上也有不少文章。测试

不过有一个细节是在具体操做中发现S5700只能有一个观察口，且默认（？）已经配置0/0/1为观察口，0/0/3-8等多个端口被配置为镜像端口。ui

这样致使两个问题，一是在S5700中不能建立新的观察口，二是不能设置更多的镜像端口（这个不太肯定，也多是当时咱们不肯把电脑的网线从0/0/2换到0/0/1就想用0/0/2做为观察口）。spa

因此，在配置端口镜像的第一步，咱们要把全部镜像端口从观察口中删除而后再把观察口删除。.net

交换机使用串口线与电脑相连，使用SecureCRT等经过Serial协议打开串口码率设置为9600这些就很少说了。3d

# 第一步，把已有镜像端口从观察口删除
system-view
# 查看有哪些观察口
display observe-port
# 查看哪些端口已被加入到观察口中
display port-mirroring
# 逐个进入这些端口将他们从观察口中删除
interface gigabitethernet 0/0/3
Undo port-mirroring to observe-port 1 both
quit
# 删除观察端口
undo observe-port 1

# 第二步，配置0/0/2为观察口
system-view
observe-port 1 interface gigabitethernet 0/0/2

# 第三步，将要配置要作流量镜像的端口加入到观察口
system-view
interface gigabitethernet 0/0/13
port-mirroring to observe-port 1 both
quit

3、配置802.1X认证

20190417更新说明：华三交换机还给了测试部同事，然后来领导说但愿确认一下在作802.1X认证时设备端是否是直接以明文形式传给交换机，因此又在咱们的华为S5700上也作了配置，这里新加3.3节。

3.1 搭建Radius服务器

下载地址：http://www.onlinedown.net/soft/2752.htm

将zip包直接解压便可，其中WinRasius.exe是服务器，RadiusTest.exe是测试用的客户端，WinRadius.mdb是数据库。

不知道是这个软件有bug仍是机制上就是如此，WinRadius.mdb中没数据，因此每次打开WinRasius.exe都要从新添加用户。

以test/123456为例，主菜单----操做----添加帐号，以下填写而后肯定便可。

另外注意WinRasius.exe最小化后会直接被最小化到右下角图标中，不要觉得被关闭了而后又双击启动，而后看到端口被占用的报错。

RadiusTest.exe是一个测试客户端，咱们此时打开填写用户名密码（Secret不懂在哪配不修改便可）点击发送，若是服务运行正常回到WinRasius.exe可看到认证成功信息。

3.2 华三S5120配置802.1X认证

当前组网状态：
本身电脑，ip为192.168.1.250，接除1/0/2外的任一个口。并在其上搭好Radius服务，创好用户test/123456
交换机，全部端口都在vlan 1 中，vlan 1 ip地址为192.168.17.251
提供802.1X认证配置的IPC，ip为192.168.1.252，接1/0/2口。并在其802.1X配置页面上配好用户名密码test/123456

# 其实vlan 1是默认存在的不须要建立，但建立一下也无所谓
# 不过vlan的IP仍是要配的否则网络不通
system-view
vlan 1
quit
interface vlan-interface 1
ip address 192.168.17.251 24
quit

# 建立radius scheme，供domain使用
# ip改为Radius服务器的ip，key改为Radius服务器的key，我也不懂服务器在哪配的我是直接用RadiusTest.exe里填的
system-view
radius scheme 1
primary authentication 192.168.17.250
key authentication simple WinRadius
quit

# 建立一个domain，并设置为默认启用
# 固然其实也能够不用新建domain而是直接修改默认的system domain的认证、受权、计费
system-view
domain 1
# 在该domain中认证（authentication）使用上面配置的radius scheme 1
authentication default radius-scheme 1
# 在该domain中受权（authentication）使用上面配置的radius scheme 1
authorization default radius-scheme 1
# 在该domain中计费（accounting）使用上面配置的radius scheme 1
# accounting default radius-scheme 1
# 配置默认使用该domain进行认证
quit
domain default enable 1

# 进入端口2，配置启用802.1x
system-view
interface GigabitEthernet 1/0/2
dot1x
quit

# 全局启用启动802.1x
system-view
dot1x

3.3 华为S5700配置802.1X认证

华为交换机配置意思相似，但要复杂一些，命令以下：

# 配置vlan ip以使交换机与电脑网络相通
system-view
interface Vlanif 1
ip address 192.168.17.251 24
quit

# 华为交换机与华三交换机的不一样之处是指定服务器、密钥不是在scheme中指定的
# 而是要要分别建立scheme和radius server，而后在domain中指定使用
radius-server template shiva
radius-server authentication 192.168.1.250 1812
# radius-server accounting 192.168.1.250 1813
radius-server shared-key cipher WinRadius
radius-server retransmit 2
undo radius-server user-name domain-included
quit

# 配置认证scheme
aaa
authentication-scheme auth
# 指定经过radius进行认证
authentication-mode radius
quit

# 配置计费scheme
# accounting-scheme abc
# 指定经过radius进行计费
# accounting-mode radius
# accounting start-fail online
# quit

# 建立一个domain，相似地配置认证、受权、计费
domain huawei
# 认证使用前面配置的认证scheme auth
authentication-scheme auth
# 计费使用前面配置的认证scheme abc
# accounting-scheme abc
# domain用到radius的都使用前面配置的radius server
radius-server shiva
quit
quit
# 将该domain设置为默认domain
domain huawei
domain huawei admin

# 进入端口2，配置启用802.1x
interface GigabitEthernet 0/0/2
dot1x enable
quit

# 全局启用启动802.1x
system-view
dot1x enable

# 可以使用test-aaa命令测试交换机配置的radius是否能成功认证
# test和123456是radius添加的帐号的用户名密码，改为本身的
# test-aaa test 123456 radius-template shiva
# 可以使用如下命令查看对应端口是否有经过认证的用户
# 若是想让该端口的用户下线并从新进行认证，可将该端口网线拨掉数秒并从新接上
# 若是仍是没有从新认证，那么将网线对端的设备重启
# display dot1x interface GigabitEthernet 0/0/2

参考：

https://wenku.baidu.com/view/44947a4dcf84b9d528ea7a96.html

https://support.huawei.com/enterprise/zh/doc/EDOC1100038441/142fad68