修改服务器cimc地址,【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导...
1背景
交换机提供用户的接入功能,用户分为管理员用户和接入用户两大类。如图1-1所示,管理员用户需要接入交换机对其进行管理,接入用户需要接入交换机使用视频、语音、上网等网络应用业务。
图1-1交换机的用户
当用户接入交换机时,交换机需要对这些用户进行接入控制管理。如对用户进行身份认证(Authentication),授权(Authorization)给用户接入后可进行的业务以及根据用户使用的业务进行计费(Accounting),即AAA管理机制。AAA提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。
l认证:验证用户是否可以获得网络访问权。
l授权:授权用户可以使用哪些服务。
l计费:记录用户使用网络资源的情况。
AAA常用在对安全性要求较高的网络环境中,例如金融、***和运营商等行业。交换机运用AAA管理机制时还需要在网络中部署AAA服务器,如图1-2所示,通过各种方式接入交换机的用户的用户信息都由AAA服务器统一创建与维护,当用户输入的用户名和密码与AAA服务器上配置的一致时,才可以成功登录设备,再依据授权配置完成相应的授权,例如获取权限访问Internet。
图1-2AAA服务器管理交换机的用户
目前S系列交换机支持基于RADIUS协议或HWTACIMC协议与AAA服务器通信,在实际应用中,最常使用RADIUS协议。
2H厂商IMC介绍
简介
H厂商智能管理中心(************ Management Center,IMC)服务器以下简称IMC服务器。
本文主要以配置实例的形式介绍IMC服务器与华为交换机对接时的配置方法以及注意事项。
IMC的使用
完成交换机与H厂商IMC的物理连接后,还需要在PC上安装H厂商IMC软件。安装完成后,管理员可以通过WEB界面登录到H厂商IMC对其进行配置。
登录H厂商IMC要求浏览器为Microsoft Internet Explorer 6.0 SP1、Mozilla Firefox 3.6及其后续版本。登录客户端后,可以查看和管理IMC,同时也可以监控和输出日志,这些日志用来跟踪用户连接,可以显示哪些用户当前登录,列出失败的身份验证和授权尝试等等。
3S系列交换机(802.1x认证)与H厂商IMC对接方案
3.1实现差异对比
IMC服务器一些功能为私有协议实现,以下命令行是为了华为交换机为兼容这些功能开发,需要配置如下命令,确保双网卡检查、病毒库检查等功能的正常使用。如果不配置四条兼容性命令,则会出现安全检查通过后,无法先发安全ACL。
#
dot1x eap-notify-packet eap-code 10 data-type 25
radius-server attribute translate
radius-attribute translate HW-Up-Priority HW-User-Informantion receive
#
authorization-modify mode modify
注意:以上兼容命名不能完全解决所有H3C私有协议功能,例如ARP网关绑定功能暂时不支持。
3.2适用形态及版本
表3-1S系列交换机版本支持情况
产品型态
支持情况
S系列交换机
V100R006C03以后版本支持。
本文以IMC 5.2.0.26版本为例介绍H厂商IMC相关界面和配置。
3.3对接介绍
交换机与H厂商IMC对接组网如图3-1所示。
图3-1交换机与H厂商IMC对接组网
进行对接配置之前,请先确保:
l交换机与H厂商IMC的物理连通性。
l管理员可以通过WEB界面登录到H厂商IMC服务器对IMC进行配置。
3.4对接案例
3.4.1组网需求及配置思路
组网需求
802.1x接入用户通过接入网络接入交换机,企业使用IMC统一创建与维护用户信息。其中管理员可以通过WEB界面登录到IMC服务器对IMC进行配置。
具体需求:
1.802.1x用户在终端上启动802.1x客户端,输入用户名和密码,认证通过后可以接入交换机。
802.1x用户接入交换机后,
?只能操作命令级别为0~2的所有命令行。
?IMC为其下发属性VLAN 100和ACL 3000。
2.802.1x用户使用huawei.com域认证。
图3-2接入用户通过802.1x接入交换机
配置准备
进行配置之前,请按照表3-2准备数据,表中数据仅供参考。
表3-2交换机与IMC对接的数据准备
IMC客户端的管理员用户名、密码
imcdmin
Admin_123
交换机的管理员用户名、密码
admin1
Admin@1234
802.1x用户的用户名、密码
huawei@huawei.com
Huawei@1234
交换机名称、与IMC连接的端口IP地址
HuaweiA
10.1.6.10
交换机与IMC的共享密码
Hello@1234
3.4.2配置S系列交换机
配置思路
1.使能Telnet服务。
2.创建VLAN和ACL,用于IMC下发时匹配。
3.配置管理员用户通过Telnet登录的认证方式为AAA。
4.配置RADIUS认证:创建RADIUS服务器模板和AAA认证方案并分别在默认管理域default_admin和普通huawei.com下引用。
5.在802.1x用户接入的接口下使能802.1x认证。
操作步骤
1.配置接口和IP地址,使Switch与IMC网络互通。
system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 30
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.6.10 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 10.1.3.10 24
[Switch-Vlanif30] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit
当需要IMC为接入用户下发VLAN属性或者ACL属性时,交换机的用户上线接口(使能认证的端口)必须为hybrid类型接口。
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type hybrid
[Switch-GigabitEthernet0/0/3] port hybrid untagged vlan 30
[Switch-GigabitEthernet0/0/3] quit
2.创建用户的VLAN和ACL,用于IMC为用户下发时匹配。
设备上存在的VLAN与IMC下发的VLAN相同时,VLAN才能成功下发。ACL下发时亦是。
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] acl 3000
[Switch-acl-adv-3000] quit
[Switch] acl number 3001
[Switch-acl-adv-3001] rule 5 permit ip destination 10.1.6.0 0.0.0.255
[Switch-acl-adv-3001] quit
3.使能Telnet服务器功能。
[Switch] telnet server enable
4.配置VTY用户界面的验证方式为AAA。
[Switch] user-interface maximum-vty 15//配置VTY用户界面的登录用户最大数目为15(该数目在不同版本和不同形态间有差异,具体以设备为准),缺省情况下Telnet用户最大数目为5
[Switch] user-interface vty 0 14//进入0~14的VTY用户界面视图[Switch-ui-vty0-14] authentication-mode aaa//配置VTY用户界面的验证方式为AAA
[Switch-ui-vty0-14] protocol inbound telnet//配置VTY用户界面所支持的协议为Telnet(V200R006及之前版本,默认配置为telnet,可以不配置该项;V200R007及之后版本,必须配置)[Switch-ui-vty0-14] quit
5.配置RADIUS认证,实现用户通过RADIUS认证接入交换机。
#配置RADIUS服务器模板,实现交换机与IMC采用RADIUS方式通信。
[Switch] radius-server template 1
[Switch-radius-1] radius-server authentication 10.1.6.6 1812//指定IMC的IP地址和端口号[Switch-radius-1]radius-server accounting 10.1.6.6 1813 weight 80//交换机计费功能[Switch-radius-1] radius-server shared-key cipher Hello@1234//指定IMC的共享密钥,需要与IMC上配置一致[Switch-radius-1] radius-server attribute translate//使能属性转换[Switch-radius-1]radius-attribute translate HW-Up-Priority HW-User-Informantion receive//将接收到的H厂商私有61号属性转换为HW的EAP-User-Notify(26-142)属性,使HW设备能够解析H厂商私钥属性。[Switch-radius-1] quit
如果IMC上保存的用户名不包含域名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。
通过上面配置,使华为交换机能够解析和处理iMC下发的H厂商私有属性EAP-Notify(属性号:26-61)。
#配置AAA认证方案,指定认证方式为RADIUS,动态授权模式为修改式。
[Switch] aaa
[Switch-aaa] authorization-modify mode modify//aaa视图配置动态授权模式为修改式。[Switch-aaa] authentication-scheme sch1
[Switch-aaa-authen-sch1] authentication-mode radius
[Switch-aaa-authen-sch1] quit
#配置AAA计费方案,指定计费方式为RADIUS,计费策略为:如果开始计费失败允许用户上线。
[Switch-aaa] accounting-scheme account1
[Switch-aaa-accounting-account1] accounting-mode radius
[Switch-aaa-accounting-account1] accounting start-fail online
[Switch-aaa-accounting-account1] quit
IMC并不具备对终端用户的计费功能,配置计费功能是为了通过计费报文管理在线用户信息。
#在huawei.com域下引用AAA认证方案和RADIUS服务器模板。
[Switch-aaa] domain huawei.com
[Switch-aaa-domain-huawei.com] radius-server 1
[Switch-aaa-domain-huawei.com] authentication-scheme sch1
[Switch-aaa-domain-huawei.com] accounting-scheme account1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit
#(V200R005及后续版本新增统一模式,V200R005之前版本可忽略该配置)将NAC配置模式切换成统一模式。
[Switch] authentication unified-mode
传统模式与统一模式相互切换后,必须重启设备,新配置模式的各项功能才能生效。缺省情况下,NAC配置模式为统一模式。
#在接口上使能802.1x认证。
[Switch] interface gigabitethernet0/0/3
[Switch-GigabitEthernet0/0/3] authentication dot1x
[Switch-GigabitEthernet0/0/3] dot1x authentication-method eap//由于大部分802.1x客户端采用EAP中继认证,建议配置[Switch-GigabitEthernet0/0/3] quit
#使能EAP-Notify
[Switch] dot1x eap-notify-packet eap-code 10 data-type 25 //配置设备使能构造Code=10的EAP-Notify报文,其中SecureData的Type=25.
配置文件
#
sysname Switch
#
dot1x eap-notify-packet eap-code 10 data-type 25
#
vlan batch 1030 100
#
acl number 3000
#
acl number 3001
rule 5 permit ip destination 10.1.6.0 0.0.0.255
#
radius-server template 1
radius-server shared-key cipher %#%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%#%#
radius-server authentication 10.1.6.6 1812 weight 80
radius-server accounting 10.1.6.6 1813 weight 80
radius-server attribute translate
radius-attribute translate HW-Up-Priority HW-User-Informantion recei ve
#
aaa
authentication-scheme sch1
authentication-mode radius
authorization-modify mode modify
accounting-scheme account1
accounting-mode radius
accounting start-fail onlinedomain huawei.com
authentication-scheme sch1
accounting-scheme account1
radius-server 1
#
interface Vlanif10
ip address 10.1.6.10 255.255.255.0
#
interface Vlanif30
ip address 10.1.3.10 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type hybrid
port hybrid untagged vlan 30
authentication dot1x
dot1x authentication-method eap
#
user-interface maximum-vty 15
user-interface vty 0 14
authentication-mode aaa
protocol inbound telnet
#
return
3.4.3配置H厂商IMC
1.登录IMC客户端
在浏览器的地址栏输入IMC的URL(Universal Resource Locator)地址,并按“Enter”键,进入IMC登录页面,输入用户名和密码,单击“登录”。
IMC的URL地址格式:“http:// IP /”或者“https:// IP /”。例如:“http://10.1.6.6/”或者“https://10.1.6.6/”。
2.添加接入设备
a.单击导航树中的“业务>用户接入管理>接入设备管理>接入设备配置”菜单,点击“接入设备列表”下方的“增加”,如下图所示。
图3-3添加接入设备配置页面
b.填写“共享密码”为“Hello@1234”与设备侧一致。点击“手工增加”如下图所示。
图3-4手工增加
c.在弹出窗口的“起始IP地址”一栏填写设备上连接服务器的管理地址,如下图所示。本例中交换机连接设备的管理IP地址为10.1.6.10。
图3-5服务器的管理地址
d.点击“确定”完成接入设备添加。此时看到添加的设备型号为“Unknown Product”,主要是由于IMC的数据库中没有huawei产品造成的,这个库需要手动添加,此部分不影响用户认证。如下图所示。
图3-6接入设备列表
e.点击“系统管理>资源管理>设备系列”,点击“增加”。如下图所示。
图3-7增加设备系列
f.点击“系统管理>资源管理>设备型号”,点击“增加”。如下图所示。完成后点击“确定”。
图3-8增加设备型号
g.点击“业务>用户接入管理>接入设备管理>接入设备配置”,点击“刷新”能够显示设备型号。显示交换机与服务器连接的管理IP地址10.1.6.10对应设备名称变为HuweiA
图3-9刷新显示接入设备
3.配置防病毒软件管理
在“业务>EAD安全管理>终端安全软件策略管理->防病毒软件策略管理视图”,点击“防病毒软件策略列表”下面的“增加”按钮,根据实际需求设定要求的杀毒引擎版本以及病毒库检查方法。如下图所示。
图3-10防病毒软件策略管理
4.配置安全策略管理
a.点击“业务>EAD安全管理>安全策略管理”,点击“安全策略列表”下方的“增加”。
图3-11增加安全策略管理
b.在安全策略配置页面中,按照下图所示的配置启用各安全检查项,例如启用病毒软件检查和配置隔离方式(隔离方式分为三种,可以选择其中一种,常用向设备(交换机)下发ACL),如下图所示。点击最下面的“确定”,完成安全策略配置。
图3-12配置安全策略
5.配置接入规则管理
点击“业务>用户接入管理>接入规则管理”,点击接入规则列表中的“增加”
图3-13增加接入规则
6.进入“增加接入规则”界面,配置动态下发VLAN 100。点击最下方的“确定”完成接入规则配置。
图3-14配置下发VLAN
7.配置服务配置管理
a.点击“业务>用户接入管理>服务配置管理”,点击服务列表中的“增加”。
图3-15增加服务配置管理
b.在“增加服务配置”页面,引用已创建的安全策略和接入规则。点击最下面的“确定”,完成服务配置管理的配置。
图3-16服务配置管理
8.创建平台用户和接入用户
a.点击“用户>增加用户”,创建用户。
图3-17增加用户
b.点击“确定”后,选择“增加用户账号”。
图3-18查看增加用户结果
c.配置账号名、密码以及接入服务。
图3-19增加用户相关配置
d.点击最下面的“确定”,完成接入用户和接入策略的绑定的配置。
3.4.4检查配置结果
l交换机上执行命令display access-user显示认证通过结果,交换机可以看到安全检查通过后VLAN和ACL下发成功
lIMC服务器显示认证通过结果
图3-20IMC服务器显示认证
lInode客户端显示认证通过结果
图3-21Inode客户端显示认证
3.4.5注意事项
在本用例中隔离域配置为ACL3001,但是需要注意的是,隔离域中同样需要放开IMC地址的访问权限,其原因是iNode客户端与IMC服务器之间有EAD报文的定期交互,如果不允许客户端访问IMC服务器,客户端将会被下线。
acl number 3001
rule 5 permit ip destination 10.1.6.0 0.0.0.255
在配置8021x认证过程中即使不进行计费,也要开启交换机计费功能。
修改服务器cimc地址,【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导...相关推荐
- 修改服务器cimc地址,UCSC系列服务器的CIMC设置.PDF
UCSC系列服务器的CIMC设置.PDF UCS C系列服务器的CIMC设置 目录 简介 先决条件 要求 使用的组件 网络图 规则 背景信息 CIMC 入门 初始设置 KVM 功能 接线 启动 KVM ...
- 修改服务器cimc地址,Cisco集成管理控制器(CIMC) IP地址通过DHCP
Introduction 本文描述CIMC访问的恢复步骤,在主板被替换了后,并且没有从该受影响的设备输出的VGA. 没有关键董事会,视频,鼠标(KVM)访问然后您无法连接对CIMC执行固件操作活动. ...
- 宽带连接怎么修改服务器名称地址,宽带连接怎么修改服务器名称地址
宽带连接怎么修改服务器名称地址 内容精选 换一换 在弹性云服务器上安装完成后输入公网IP,无法连接目的虚拟机,端口无法访问工具.源端网络未连通目的端.目的端安全组未开放8084端口.目的端网络ACL禁 ...
- svn设置 修改服务器,svn设置 修改服务器ip地址
svn设置 修改服务器ip地址 内容精选 换一换 介绍单机场景和集群场景配置Ansible主机信息. 日志记录了系统的运行情况和功能流程的处理情况,是维护人员查看系统状态.进行问题定位的重要工具和手段 ...
- 虚拟机看服务器mac地址,虚拟机修改服务器mac地址吗
虚拟机修改服务器mac地址吗 内容精选 换一换 本章节指导用户为Windows系统的ECS主机添加域名解析并添加安全组,防止下载Agent安装包与采集监控数据时出现异常.修改ECS的DNS配置有两种方 ...
- 如何修改服务器mac地址,如何修改服务器mac地址
如何修改服务器mac地址 内容精选 换一换 更新弹性云服务器的系统或者软件时,可以连接Internet,通过外部Pypi镜像源提供相关服务.但是,如果弹性云服务器无法访问Internet,或者外部Py ...
- 两台服务器虚拟mac地址,虚拟机修改服务器mac地址
虚拟机修改服务器mac地址 内容精选 换一换 如果客户端工具的运行环境为Linux环境,您需要准备一台和CloudTable集群在相同虚拟私有云的Linux弹性云服务器作为客户端主机.例如,使用以下客 ...
- 虚拟机修改服务器mac地址,虚拟机修改服务器mac地址
虚拟机修改服务器mac地址 内容精选 换一换 源端服务器数据收集声明.源端服务器上安装和配置完迁移Agent后,迁移Agent会把源端服务器信息发送给主机迁移服务校验,收集的源端服务器的详细信息请参见 ...
- 虚拟服务器修改mac,虚拟机修改服务器mac地址
虚拟机修改服务器mac地址 内容精选 换一换 确认虚拟机主网卡已经正确分配到IP地址.登录虚拟机内部.执行ifconfig命令或ip address查看网卡的IP信息.Windows虚拟机可以在命令行 ...
- 修改服务器的ip地址的命令,修改服务器ip地址命令行
修改服务器ip地址命令行 内容精选 换一换 Atlas 200 DK开发者板支持通过USB端口或者网线与Ubuntu服务器进行连接,连接示例图如图1所示.Atlas 200 DK连接Ubuntu服务器 ...
最新文章
- 人是要有一点精神的!
- Windows 7 with SP1中英文原版MSDN下载汇总(全版本收录完毕)
- VMWare虚拟机迁移时,打开后提示主机不支持 CPUID 错误
- SectionList的使用
- 【数据挖掘笔记四】数据仓库和联机分析处理
- 低开销、简单的网站监控工具Checkless开发者专访
- 模块式开发 java_Java9系列第8篇-Module模块化编程
- 数据结构——各排序算法的比较
- 资深Linux 系统管理员常用的15个很好用的Cron工作示例
- 绚丽风车loading动效分析与实现!
- redis学习-03
- 动荡之秋,谁能用 AI 制衡全球
- 员工收“老板”QQ消息转账98万 警方挽回被骗资金
- android plot,androidplot行不显示
- Qt的QPushButton设置图标,设置一组互斥键
- 安卓手机小说阅读器_手机阅读的好帮手,安卓小说神奇的扛把子
- 计算机名和ip不匹配,错误:主机名/ IP不匹配证书的altnames Node.js的
- 什么是 Rax,以及 Rax 的特点
- Flak-SQLAlchemy安装和介绍
- shiro 使用md5密码加密 锁定账户
热门文章
- Visio2016 安装教程
- 串口转发工具 串口屏调试神器 PC串口监视神器
- Springboot毕设项目基于springboot的小区旧物交易系统的设计与实现j8o94java+VUE+Mybatis+Maven+Mysql+sprnig)
- rmnet蠕虫病毒样本分析
- Microsoft Office 2016 简体中文Vl批量官方授权版镜像下载
- 转自腾讯空间的文章看了心里有说不…
- 计算机组成原理期末考试题库(超级多的那种)
- 在线教学质量评价系统java web_基于JavaWeb的教师教学质量评价系统
- 这种文件别打开, 大小不足1KB, 却可以让你电脑瘫痪
- Android开发布局 案例一