一、說明
事情的起因是我們部門有個華為的S5700交換機,想配置端口鏡像抓包但讓助理買的串口線很久都還沒到;而昨天測試部的同事說他們那有台華三的S5120想要配802.1X認證,但只有華為交換機的文檔換到華三交換機上命令不一樣不懂怎么配,問我們能不能幫看一下。
一是領導覺得他們的任務可以搞得定,二是我們這邊需要串口線,所以這筆買賣就做了。
所以也就有了這里“華為S5700配置端口鏡像和華三S5120配置802.1X認證”兩個不相關的東西在一篇文章里,主要是做個記錄用。
二、華為S5700配置端口鏡像
2.1 清空串口密碼【可選】
如果忘記串口密碼,可通過重啟交換機執行如下圖所示操作,重啟交換機按Ctrl+B及默認密碼Admin@huawei.com進入BootROM清空串口密碼
清空密碼后啟動會要求重新配置一個串口密碼,選擇Y就是進行設置選擇N就是直接以空密碼進入串口。不管選哪個都要注意使用save命令保存當前狀態不然斷電重啟會串口又會恢復到之前那個已忘記的密碼。
2.2 端口鏡像配置
其實華為S5700配置端口鏡像官方文檔已經有比較清楚的說明了,網上也有很多文章。
不過有一個細節是在具體操作中發現S5700只能有一個觀察口,且默認(?)已經配置0/0/1為觀察口,0/0/3-8等多個端口被配置為鏡像端口。
這樣導致兩個問題,一是在S5700中不能創建新的觀察口,二是不能設置更多的鏡像端口(這個不太確定,也可能是當時我們不願把電腦的網線從0/0/2換到0/0/1就想用0/0/2作為觀察口)。
所以,在配置端口鏡像的第一步,我們要把所有鏡像端口從觀察口中刪除然后再把觀察口刪除。
交換機使用串口線與電腦相連,使用SecureCRT等通過Serial協議打開串口碼率設置為9600這些就不多說了。
# 第一步,把已有鏡像端口從觀察口刪除 system-view # 查看有哪些觀察口 display observe-port # 查看哪些端口已被加入到觀察口中 display port-mirroring # 逐個進入這些端口將他們從觀察口中刪除 interface gigabitethernet 0/0/3 Undo port-mirroring to observe-port 1 both quit # 刪除觀察端口 undo observe-port 1 # 第二步,配置0/0/2為觀察口 system-view observe-port 1 interface gigabitethernet 0/0/2 # 第三步,將要配置要做流量鏡像的端口加入到觀察口 system-view interface gigabitethernet 0/0/13 port-mirroring to observe-port 1 both quit
三、配置802.1X認證
20190417更新說明:華三交換機還給了測試部同事,而后來領導說希望確認一下在做802.1X認證時設備端是不是直接以明文形式傳給交換機,所以又在我們的華為S5700上也做了配置,這里新加3.3節。
3.1 搭建Radius服務器
下載地址:http://www.onlinedown.net/soft/2752.htm
將zip包直接解壓即可,其中WinRasius.exe是服務器,RadiusTest.exe是測試用的客戶端,WinRadius.mdb是數據庫。
不知道是這個軟件有bug還是機制上就是如此,WinRadius.mdb中沒數據,所以每次打開WinRasius.exe都要重新添加用戶。
以test/123456為例,主菜單----操作----添加賬號,如下填寫然后確定即可。
另外注意WinRasius.exe最小化后會直接被最小化到右下角圖標中,不要以為被關閉了然后又雙擊啟動,然后看到端口被占用的報錯。
RadiusTest.exe是一個測試客戶端,我們此時打開填寫用戶名密碼(Secret不懂在哪配不修改即可)點擊發送,如果服務運行正常回到WinRasius.exe可看到認證成功信息。
3.2 華三S5120配置802.1X認證
當前組網狀態:
自己電腦,ip為192.168.1.250,接除1/0/2外的任一個口。並在其上搭好Radius服務,創好用戶test/123456
交換機,所有端口都在vlan 1 中,vlan 1 ip地址為192.168.17.251
提供802.1X認證配置的IPC,ip為192.168.1.252,接1/0/2口。並在其802.1X配置頁面上配好用戶名密碼test/123456
# 其實vlan 1是默認存在的不需要創建,但創建一下也無所謂 # 不過vlan的IP還是要配的不然網絡不通 system-view vlan 1 quit interface vlan-interface 1 ip address 192.168.17.251 24 quit # 創建radius scheme,供domain使用 # ip改成Radius服務器的ip,key改成Radius服務器的key,我也不懂服務器在哪配的我是直接用RadiusTest.exe里填的 system-view radius scheme 1 primary authentication 192.168.17.250 key authentication simple WinRadius quit # 創建一個domain,並設置為默認啟用 # 當然其實也可以不用新建domain而是直接修改默認的system domain的認證、授權、計費 system-view domain 1 # 在該domain中認證(authentication)使用上面配置的radius scheme 1 authentication default radius-scheme 1 # 在該domain中授權(authentication)使用上面配置的radius scheme 1 authorization default radius-scheme 1 # 在該domain中計費(accounting)使用上面配置的radius scheme 1 # accounting default radius-scheme 1 # 配置默認使用該domain進行認證 quit domain default enable 1 # 進入端口2,配置啟用802.1x system-view interface GigabitEthernet 1/0/2 dot1x quit # 全局啟用啟動802.1x system-view dot1x
3.3 華為S5700配置802.1X認證
華為交換機配置意思類似,但要復雜一些,命令如下:
# 配置vlan ip以使交換機與電腦網絡相通 system-view interface Vlanif 1 ip address 192.168.17.251 24 quit # 華為交換機與華三交換機的不同之處是指定服務器、密鑰不是在scheme中指定的 # 而是要要分別創建scheme和radius server,然后在domain中指定使用 radius-server template shiva radius-server authentication 192.168.1.250 1812 # radius-server accounting 192.168.1.250 1813 radius-server shared-key cipher WinRadius radius-server retransmit 2 undo radius-server user-name domain-included quit # 配置認證scheme aaa authentication-scheme auth # 指定通過radius進行認證 authentication-mode radius quit # 配置計費scheme # accounting-scheme abc # 指定通過radius進行計費 # accounting-mode radius # accounting start-fail online # quit # 創建一個domain,類似地配置認證、授權、計費 domain huawei # 認證使用前面配置的認證scheme auth authentication-scheme auth # 計費使用前面配置的認證scheme abc # accounting-scheme abc # domain用到radius的都使用前面配置的radius server radius-server shiva quit quit # 將該domain設置為默認domain domain huawei domain huawei admin # 進入端口2,配置啟用802.1x interface GigabitEthernet 0/0/2 dot1x enable quit # 全局啟用啟動802.1x system-view dot1x enable # 可使用test-aaa命令測試交換機配置的radius是否能成功認證 # test和123456是radius添加的賬號的用戶名密碼,改成自己的 # test-aaa test 123456 radius-template shiva # 可使用以下命令查看對應端口是否有通過認證的用戶 # 如果想讓該端口的用戶下線並重新進行認證,可將該端口網線撥掉數秒並重新接上 # 如果還是沒有重新認證,那么將網線對端的設備重啟 # display dot1x interface GigabitEthernet 0/0/2
參考:
https://wenku.baidu.com/view/44947a4dcf84b9d528ea7a96.html
https://support.huawei.com/enterprise/zh/doc/EDOC1100038441/142fad68