H3C校园网如何使用路由器？

13、端口安全配置

确实不行，没有路由器能替代H3C的iNode客户端。认证虽然是通用的80提供了灵活的组网方案。2.1x协议，但是加入了防伪算法，一般的客户端不能替他。而且iNode还有安全策略检查的功能，这部分也是不能用其他软件替代的。如果设了防的配置，双网卡PC也是不可以的。如果没有设限制，这个方案行得通。现在有支持Linux版本的iNode，你可以花1百元买一个低配置的二手PC，然后这样用。当然还需要一个AP或者路由器做有线到的转换。

h3c认证客户端 H3C认证客户端

不用考虑了，这个真的不行。开着电脑，电脑双网卡，共享认证的网卡可以实现手机上网。

要用专业的设备也太贵了。其他也没办法了

h3c交换机配置命令有哪些

16、QinQ配置

交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。那么具体怎么配置呢?h3c交换机配置命令整理分享，需要的朋友可以参考下，希望可以得到帮助

华为3COM交换机配置命令详解

1、配置文件相关命令

[Quidway]display current-configuration ;显示当前生效的配置

[Quidway]display sed-configuration ;显示flash中配置文件，即下次上电启动时所用的配置文件

reset sed-configuration ;檫除旧的配置文件

reboot ;交换机重启

display version ;显示系统版本信息

2、基本配置

[Quidway]super password ;修改特权用户密码

[Quidway]sysname ;交换机命名

[Quidway]intece ernet 0/1 ;进入接口视图

[Quidway]intece vlan x ;进入接口视图

[Quidway-Vlan-intecex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址

[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=

3、net配置

[Quidway]user-intece vty 0 4 ;进入虚拟终端

[S3026-ui-vty0-4]authentication-mode password ;设置口令模式

[S3026-ui-vty0-4]set authentication-mode password 222 ;设置口令

[S3026-ui-vty0-4]user privilege ll 3 ;用户级别

4、端口配置

[Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率

[Quidway-Ethernet0/1]flow-control ;配置端口流控

[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接

[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式

[Quidway-Ethernet0/2]quit ;退出系统视图

5、链路聚合配置

[DevA] link-aggregation group 1 mode manual ;创建手工聚合组1

[DevA] intece ernet 1/0/1 ;将以太网端口Ethernet1/0/1加入聚合组1

[DevA-Ethernet1/0/1] port link-aggregation group 1

[DevA-Ethernet1/0/1] intece ernet 1/0/2 ;将以太网端口Ethernet1/0/1加入聚合组1

[DevA-Ethernet1/0/2] port link-aggregation group 1

[DevA] link-aggregation group 1 serv-type tunnel # 在手工聚合组的基础上创建Tunnel业务环回组。

[DevA] intece ernet 1/0/1 # 将以太网端口Ethernet1/0/1加入业务环回组。

[DevA-Ethernet1/0/1] undo stp

[DevA-Ethernet1/0/1] port link-aggregation group 1

6、端口镜像

[Quidway]monitor-port ;指定镜像端口

[Quidway]port ror int_list observing-port int_type int_num ;指定镜像和被镜像

7、VLAN配置

[Quidway]vlan 3 ;创建VLAN

[Quidway-vlan3]port ernet 0/1 to ernet 0/4 ;在VLAN中增加端口

配置基于access的VLAN

[Quidway-Ethernet0/2]port access vlan 3 ;当前端口加入到VLAN

注意：缺省情况下，端口的链路类型为Access类型，所有Access端口均属于且只属于VLAN1

配置基于trunk的VLAN

[Quidway-Ethernet0/2]port link-type trunk ;设置当前端口为trunk

[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;设trunk允许的VLAN

注意：所有端口缺省情况下都是允许VLAN1的报文通过的

[Quidway-Ethernet0/2]port trunk pvid vlan 3 ;设置trunk端口的PVID

配置基于Hybrid端口的VLAN

[Quidway-Ethernet0/2]port link-type hybrid ;配置端口的链路类型为Hybrid类型

[Quidway-Ethernet0/2]port hybrid vlan vlan-id-list { tagged | untagged } ;允许指定的VLAN通过当前Hybrid端口

注意：缺省情况下，所有Hybrid端口只允许VLAN1通过

[Quidway-Ethernet0/2]port hybrid pvid vlan vlan-id ;设置Hybrid端口的缺省VLAN

注意：缺省情况下，Hybrid端口的缺省VLAN为VLAN1

VLAN描述

[Quidway]description string ;指定VLAN描述字符

[Quidway]description ;删除VLAN描述字符

[Quidway]display vlan [vlan_id] ;查看VLAN设置

私有VLAN配置

[SwitchA-vlanx]isolate-user-vlan enable ;设置主vlan

[SwitchA]Isolate-user-vlan secondary ;设置主vlan包括的子vlan

[Quidway-Ethernet0/2]port hybrid pvid vlan ;设置vlan的pvid

[Quidway-Ethernet0/2]port hybrid pvid ;删除vlan的pvid

[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;设置无标识的vlan

如果包的vlan id与PVId一致，则去掉vlan信息. 默认PVID=1。

所以设置PVID为所属vlan id, 设置可以互通的vlan为untagged.

8、STP配置

[Quidway]stp mode rstp ;设置生成树模式为rstp

[Quidway]stp priority 4096 ;设置交换机的优先级

[Quidway]stp root {primary|secondary} ;设置为根或根的备份

[Quidway-Ethernet0/1]stp cost 200 ;设置交换机端口的花费

MSTP配置：

# 配置MST域名为，MSTP修订级别为1，VLAN映射关系为VLAN2～VLAN10映射到生成树实例1上，VLAN20～VLAN30映射生成树实例2上。

-view

[Sysname] stp region-configuration

[Sysname-mst-region] region-name

[Sysname-mst-region] instance 1 vlan 2 to 10

[Sysname-mst-region] instance 2 vlan 20 to 30

[Sysname-mst-region] revision-ll 1

[Sysname-mst-region] active region-configuration

9、MAC地址表的作

在系统视图下添加MAC地址表项

[Quidway]mac-address { static | dynamic | blackhole } mac-address intece intece-type intece-number vlan vlan-id ;添加MAC地址表项

在添加MAC地址表项时，命令中intece参数指定的端口必须属于vlan参数指定的VLAN，否则将添加失败。

如果vlan参数指定的VLAN是动态VLAN，在添加静态MAC地址之后，会自动变为静态VLAN。

在以太网端口视图下添加MAC地址表项

[Quidway-Ethernet0/2]mac-address { static | dynamic | blackhole } mac-address vlan vlan-id

在添加MAC地址表项时，当前的端口必须属于命令中vlan参数指定的VLAN，否则将添加失败;

如果vlan参数指定的VLAN是动态VLAN，在添加静态MAC地址之后，会自动变为静态VLAN。

[Quidway]mac-address timer { aging age | no-aging } ;设置MAC地址表项的老化时间

注意：缺省情况下，MAC地址表项的老化时间为300秒，使用参数no-aging时表示不对MAC地址表项进行老化。

MAC地址老化时间的配置对所有端口都生效，但地址老化功能只对动态的(学习到的或者用户配置可老化的)MAC地址表项起作用。

[Quidway-Ethernet0/2]mac-address max-mac-count count ;设置端口最多可以学习到的MAC地址数量

注意：缺省情况下，没有配置对端口学习MAC地址数量的限制。反之，如果端口启动了MAC地址认证和端口安全功能，则不能配置该端口的MAC地址学习个数。

[Quidway-Ethernet0/2]port-mac start-mac-address ;配置以太网端口MAC地址的起始值

在缺省情况下，E126/E126A交换机的以太网端口是没有配置MAC地址的，因此当交换机在发送二层协议报文(例如STP)时，由于无法取用发送端口的MAC地址，

将使用该协议预置的MAC地址作为源地址填充到报文中进行发送。在实际组网中，由于多台设备都使用相同的源MAC地址发送二层协议报文，会造成在某台设备的不

同端口学习到相同MAC地址的情况，可能会对MAC地址表的维护产生影响。

[Quidway]display mac-address ;显示地址表信息

[Quidway]display mac-address aging-time ;显示地址表动态表项的老化时间

[Quidway]display port-mac ;显示用户配置的以太网端口MAC地址的起始值

10、GVRP配置

[SwitchA] gvrp # 开启全局GVRP

[SwitchA-Ethernet1/0/1] gvrp # 在以太网端口Ethernet1/0/1上开启GVRP

[SwitchE-Ethernet1/0/1] gvrp registration { fixed | forbidden | normal } # 配置GVRP端口注册模式 缺省为normal

[SwitchA] display garp statistics [ intece intece-list ] ;显示GARP统计信息

[SwitchA] display garp timer [ intece intece-list ] ;显示GARP定时器的值

[SwitchA] display gvrp statistics [ intece intece-list ] ;显示GVRP统计信息

[SwitchA] display gvrp status ;显示GVRP的全局状态信息

[SwitchA] display gvrp statusreset garp statistics [ intece intece-list ] ;清除GARP统计信息

11、DLDP配置

[SwitchA] intece gigabiternet 1/1/1 # 配置端口工作在强制全双工模式，速率为1000Mbits/s。

[SwitchA-GigabitEthernet1/1/1] duplex full

[SwitchA-GigabitEthernet1/1/1] speed 1000

[SwitchA] dldp enable # 全局开启DLDP。

[SwitchA] dldp interval 15 # 设置发送DLDP报文的时间间隔为15秒。

[SwitchA] dldp work-mode { enhance | normal } # 配置DLDP协议的工作模式为加强模式。 缺省为normal

[SwitchA] dldp unidirectional-shutdown { auto | manual } # 配置DLDP单向链路作模式为自动模式。 缺省为auto

[SwitchA] display dldp 1 # 查看DLDP状态。

当光纤交叉连接时，可能有两个或三个端口处于Disable状态，剩余端口处于Inactive状态。

当光纤一端连接正确，一端未连接时：

如果DLDP的工作模式为normal，则有收光的一端处于Aertisement状态，没有收光的一端处于Inactive状态。

如果DLDP的工作模式为enhance，则有收光的一端处于Disable状态，没有收光的一端处于Inactive状态。

12、端口隔离配置

通过端口隔离特性，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层、三层数据的隔离，既增强了网络的安全性，也为用户

[Sysname] intece ernet1/0/2 # 将以太网端口Ethernet1/0/2加入隔离组。

[Sysname-Ethernet1/0/2] port isolate

[Sysname]display isolate port # 显示隔离组中的端口信息

配置隔离组后，只有隔离组内各个端口之间的报文不能互通，隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。

端口隔离特性与以太网端口所属的VLAN无关。

当汇聚组中的某个端口加入或离开隔离组后，本设备中同一汇聚组内的其它端口，均会自动加入或离开该隔离组。

对于既处于某个聚合组又处于某个隔离组的一组端口，其中的一个端口离开聚合组时不会影响其他端口，即其他端口仍将处于原聚合组和原隔离组中。

如果某个聚合组中的端口同时属于某个隔离组，当在系统视图下直接删除该聚合组后，该聚合组中的端口仍将处于该隔离组中。

当隔离组中的某个端口加入聚合组时，该聚合组中的所有端口，将会自动加入隔离组中。

[Switch] port-security enable # 启动端口安全功能

[Switch] intece Ethernet 1/0/1 # 进入以太网Ethernet1/0/1端口视图

[Switch-Ethernet1/0/1] port-security max-mac-count 80 # 设置端口允许接入的MAC地址数为80

[Switch-Ethernet1/0/1] port-security port-mode autolearn # 配置端口的安全模式为autolearn

[Switch-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1 # 将Host 的MAC地址0001-0002-0003作为Security MAC添加到VLAN 1中

[Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily # 设置Intrusion Protection特性被触发后，暂时关闭该端口

[Switch]port-security timer disableport 30 # 关闭时间为30秒。

14、端口绑定配置

通过端口绑定特性，网络可以将用户的MAC地址和IP地址绑定到指定的端口上。进行绑定作后，交换机只对从该端口收到的指定MAC地址和IP地

址的用户发出的报文进行转发，提高了系统的安全性，增强了对网络安全的。

[SwitchA-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1 # 将Host 1的MAC地址和IP地址绑定到Ethernet1/0/1端口。

[SwitchA] intece ernet 1/0/2

[SwitchA-Ethernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405

端口过滤配置

[SwitchA] intece ernet1/0/1 # 配置端口Ethernet1/0/1的端口过滤功能。

[SwitchA-Ethernet1/0/1] ip check source ip-address mac-address

[SwitchA] dhcp-snooping # 开启DHCP Snooping功能。

[SwitchA] intece ernet1/0/2 # 设置与DHCP相连的端口Ethernet1/0/2为信任端口。

[SwitchA-Ethernet1/0/2] dhcp-snooping trust

在端口Ethernet1/0/1上启用IP过滤功能，防止客户端使用伪造的不同源IP地址对进行攻击

15、BFD配置

Switch A、Switch B、Switch C相互可达，在Switch A上配置静态路由可以到达Switch C，并使能BFD检测功能。

# 在Switch A上配置静态路由，并使能BFD检测功能，通过BFD echo报文方式实现BFD功能。

-view

[SwitchA] bfd echo-source-ip 123.1.1.1

[SwitchA] intece vlan-intece 10

[SwitchA-vlan-intece10] bfd min-echo-receive-interval 300

[SwitchA-vlan-intece10] bfd detect-multiplier 7

[SwitchA-vlan-intece10] quit

[SwitchA] ip route-static 120.1.1.1 24 10.1.1.100 bfd echo-packet

# 在Switch A上打开BFD功能调试信息开关。

debugging bfd nt

debugging bfd scm

terminal debugging

在Switch A上可以打开BFD功能调试信息开关，断开Hub和Switch B之间的链路，验证配置结果。验证结果显示，

Switch A能够快速感知Switch A与Switch B之间链路的变化。

Provider A、Provider B之间通过Trunk端口连接，Provider A属于网络的VLAN1000，Provider B属于网络的VLAN2000。

Provider A和Provider B之间，采用其他厂商的设备，TPID值为0x8200。

希望配置完成后达到下列要求：

Customer A的VLAN10的报文可以和Customer B的VLAN10的报文经过网络的VLAN1000转发后互通;Customer A的VLAN20的报文可以

和Customer C的VLAN20的报文经过网络的VLAN2000转发后互通。

[ProviderA] intece ernet 1/0/1 # 配置端口为Hybrid端口，且允许VLAN10，VLAN20，VLAN1000和VLAN2000的报文通过，并且在发送时去掉外层Tag。

[ProviderA-Ethernet1/0/1] port link-type hybrid

[ProviderA-Ethernet1/0/1] port hybrid vlan 10 20 1000 2000 untaggeMicrosoft Windows 2012 R2 Essentials。d

[ProviderA-Ethernet1/0/1] qinq vid 1000 # 将来自VLAN10的报文封装VLAN ID为1000的外层Tag。

[ProviderA-Ethernet1/0/1-vid-1000] raw-vlan-id inbound 10

[ProviderA-Ethernet1/0/1-vid-1000] quit

[ProviderA-Ethernet1/0/1] qinq vid 2000 # 将来自VLAN20的报文封装VLAN ID为2000的外层Tag。

[ProviderA-Ethernet1/0/1-vid-2000] raw-vlan-id inbound 20

[ProviderA] intece ernet 1/0/2 # 配置端口的缺省VLAN为VLAN1000。

[ProviderA-Ethernet1/0/2] port access vlan 1000

[ProviderA-Ethernet1/0/2] qinq enable # 配置端口的基本QinQ功能，将来自VLAN10的报文封装VLAN ID为1000的外层Tag。

[ProviderA] intece ernet 1/0/3 # 配置端口为Trunk端口，且允许VLAN1000和VLAN2000的报文通过。

[ProviderA-Ethernet1/0/3] port link-type trunk

[ProviderA-Ethernet1/0/3] port trunk permit vlan 1000 2000

[ProviderA-Ethernet1/0/3] qinq ernet-type 8200 # 为与公共网络中的设备进行互通，配置端口添加外层Tag时采用的TPID值为0x8200。

[ProviderB] intece ernet 1/0/1 # 配置端口为Trunk端口，且允许VLAN1000和VLAN2000的报文通过。

[ProviderB-Ethernet1/0/1] port link-type trunk

[ProviderB-Ethernet1/0/1] port trunk permit vlan 1000 2000

[ProviderB-Ethernet1/0/1] qinq ernet-type 8200 # 为与公共网络中的设备进行互通，配置端口添加外层Tag时采用的TPID值为0x8200。

[ProviderB-Ethernet1/0/1] quit

[ProviderB] intece ernet 1/0/2 # 配置端口的缺省VLAN为VLAN2000。

[ProviderB-Ethernet1/0/2] port access vlan 2000

[ProviderB-Ethernet1/0/2] qinq enable # 配置端口的基本QinQ功能，将来自VLAN20的报文封装VLAN ID为2000的外层Tag。

补充：交换机常见故障解决

通过观察初步定为故障，一般如果设备正常，而且线路连接也正常，则交换机指示灯会亮绿色并且一闪一闪的。如果发现交换机指示灯不亮则首先检查线路连接，如果一直亮着不闪，则检查交换机等设备!

通过电脑直接连接交换机查看是否能够自动获取IP地址和，如下面示意图连接电脑之后，将电脑TCP/IP协议设置为DHCP动态获取模式，然后运行命令行输入ipconfig查看电脑是否能够获取到交换机分配的ip地址和。

如果交换机未配置，则需通过终端配置交换机，使用配置电缆的 DB-9 孔式插头接到要对交换机进行配置的 PC 或终端的串口上，将配置电缆的 RJ-45 一端连到交换机的配置口(Console)上。

在 Console 口与本地电脑连接之后，在PC短通过终端与交换机建立连接，连接过程中要求，波特率为 9600，数据位为 8，奇偶校验为无，停止位为 1，流量控制为无，选择终端仿真为 VT100。

通过超级终端登陆交换机之后，检查端口是否被shutdown，并通过display intece brief 命令，查看端口显示信息的速率与双工是否与对端一致。若不一致，请通过 speed 命令和 duplex 命令配置端口的速率和双工模式。

(4)确认网线质量或光口的光模块类型及其波长是否匹配

更换网线插入端口，查看端口是否 UP，端口物理连接是否畅通，端口是否被shutdown，检查端口连接，undo shutdown端口，检查网线是否正常。

相关阅读交换机的基本功能：

1. 像集线器一样，交换机提供了大量可供线缆连接的端口，这样可以采用星型拓扑布线。

2. 像中继器、集线器和网桥那样，当它转发帧时，交换机会重新产生一个不失真的方形电信号。

3. 像网桥那样，交换机在每个端口上都使用相同的转发或过滤逻辑。

4. 像网桥那样，交换机将局域网分为多个冲突域，每个冲突域都是有的宽带，因此大大提高了局域网的带宽。

如何H3C校园网限时上网..?

“else”是“另外”的意思，就是一种认证通不过后还可以尝试其它的认证方式。else端口安全模式包括以下两个子模式：

请提供校园网络结构图及何种上网方式

[Quidway-Ethernet0/1]undo shutdown ;激活端口

初步估计你们学校的网络在晚上只是关闭了域名认证方式

使用工具，将网络跳至后再上网

在选择工具及地址时要全部先择使用IP验证方式的

首先你要确定是不是把设备电断了

如果不是，那就很麻烦

要看是什么AP，胖AP的话要在设备上改配置

瘦的AP，你也没办法的，因为有个AC的，你是登不上去的

反正如果不是电的问题，你们应该是无法解决的

我觉得你是没有权限修改的，因为有网管会一直的，即使是做的设置，你也没有修改的权限。

h3c机架支持哪些系统

[Quidway]stp {enable|disable} ;设置生成树,默认关闭

h3c机架支持Windows系统如下：

Microsoft Windows 2012 R2 Datacenter。

Microsoft Windows 2012 R2 Standard。

Microsoft Hyper-V 2012 R2。

Microsoft Hyper-除非你笔记本上网的时候，共享笔记本的信号，可以收集wifiV 2016。

Microsoft Windows 2016 Essential。

Microsoft Windows 2016 datacenter。

相关信息

HABP协议即Huawei Authentication Bypass Protocol,华为鉴权旁路协议，是用来解决当交换机上同时配置了802.1x和HGMPv1/v2时，未经授权和认证的端口上将过滤HGMP报文，从而使管理设备无法管理下挂的交换机的问题。

交换机启动HABP后，将忽略802.1x认证。HABP包括和客户端，由定期发送请求，客户端进行应答，并向下进行转发，一般启动在管理设备上，客户机在下挂设备上启动，1550E只支持客户端。

学校 H3C 802.1X认证，拒绝我登陆是为什么？

Microsoft Windows 2016 Standard。

你如果装有防火墙把它关有的交换机上绑定的配置不一样掉看看，是不是防火墙误阻挡了连接。

看下你的网卡驱动有没装好，网卡是不是给禁用了。

的一种可能，我想起来了，先前有同学在我的电脑上这样搞的，他不知道登陆密码，瞎猜，结果好几次以后，学校的把这个账户列入黑名单了。是我找到学校网络中心说明情况出示证件才搞定。

这种情况你就该打电话给学校网管，或者直接去找网络中心才可以。

求教：iNode智能客户端5.0（E0101）如何使用路由上网？

[Quidway]port ror ;指定被镜像端口

H3C的这种802.1x认证一般是要求必须用iNODE客户端dldp reset命令在全局下可以重置所有端口的DLDP状态，在接口下可以充值该端口的DLDP状态的，没有办法的，除非你知道开启认证的交换机和登录口令，上去把认证关了。

你好，你电信的宽带吗，如果是电信可能是电信还对账号和密码进行了加密。电信方面以前都叫星空极速，可能现在升级了叫什么E5吧，具体叫什么不太清楚。不过，磊科的路由器这种所所谓的星空极速和网络尖兵方面还是很强的，磊科的路由器是直接把的版本做到了路由器里面，直接选择版本就可以了，像现在湖南电信的星空极速一般在路由器里面选择3.1版本就可以了！

H3C交换机端口安全模式配置

H3C交换机端口安全模式配置

在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类：控制MAC地址学习类和认证类。控制MAC地址学习类无需对接入用户进行认证，但是可以允许或者禁止自动学习指定用户MAC地址，也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中，通过这种方法就可以实现用户网络访问的控制。认证类则是利用MAC地址认证或IEEE 802.1X认证机制，或者同时结合这两种认证来实现对接入用户的网络访问控制。

配置了安全模式的H3C以太网交换机端口，在收到用户发送数据报文后，首先在本地MAC地址表中查找对应用户的MAC地址。如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文，否则根据端口所在安全模式进行相应的处理，并在发现非法报文后触发端口执行相应的安全防护特性。

在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。

1. autoLearn模式与secure模式

在autoLearn(自动学习)端口安全模式下，可通过手工配置，或动态学习MAC地址，此时得到的MAC地址称为Secure MAC(安全MAC地址)。在这种模式下，只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的安全MAC地址数后，该端口也不会再添加新的Secure MAC，并且端口会自动转变为Secure模式。

如果直接将端口安全模式设置为Secure模式，则将立即禁止端口学习新的MAC地址，只有源MAC地址是原来已在交换机上静态配置，或者已动态学习到的MAC地址的报文才能通过该端口转发。

根据以上描述，可以得出在autoLearn和secure模式下报文处理流程如图19-1所示。

图19-1 autoLearn和secure端口安全模式报文处理流程图

2. 单一IEEE 802.1X认证模式

采用单一IEEE 802.1x认证方式的端口安全模式又包括以下几种：

l userlogin：对接入用户采用基于端口的IEEE 802.1x认证，仅允许通过认证的用户接入。

l userLoginSecure：对接入用户采用基于用户MAC地址的IEEE 802.1x认证(也就是Cisco IOS交换机中所说的MAB)。仅接收源MAC地址为交换机的MAC地址的数据包，但也仅允许802.1x认证成功的用户数据报文通过。此模式下，端口最多只允许接入一个经过802.1x认证的用户(即IEEE 802.1X单主机模式)。

l userLoginSecureExt：与userLoginSecure类似，但端口下的802.1x认证用户可以有多个(即IEEE 802.1用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。其实在用户的网络访问控制方面，最直接、最简单的方法就是配置基于端口的安全模式，不仅Cisco交换机如此，H3C交换机也有类似的功能，而且看起来功能更加强大。下面跟我一起来学习一下H3C以太网交换机端口安全模式配置方法！X多主机模式)。

l userLoginWithOUI：与userLoginSecure类似，端口最多只允许一个802.1x认证用户，但该用户的数据包中还必须包含一个允许的OUI(组织标志符)。

因为H3C以太网交换机的IEEE 802.1X认证将在本书第21章专门介绍，故在此不再赘述。

3. MAC地址认证模式

MAC地址认证安全模式即macAddressWithRadius模式。MAC地址认证是一种基于端口和用户MAC地址的网络访问控制方法，它不需要用户安装任何客户端软件。交换机在启用了MAC地址认证的端口上首次检测到用户的MAC地址以后，即启动对该用户的认证作。认证过程中，不需要用户手动输入用户名或者密码，因为这是基于用户MAC地址进行的认证。如果该用户认证成功，则允许其通过端口访问网络资源，否则该用户的MAC地址就被添加为“静默MAC”。在静默时间内(可通过静默定时器配置)，来自此MAC地址的用户报文到达时直接做丢弃处理，以防止非法MAC短时间内的重复认证。

目前H3C以太网交换机支持“本地认证”和“RADIUS远程认证”这两种MAC地址认证方式。有关H3C以太网交换机的RADIUS认证配置方法将在本书第20章专门介绍;有关MAC地址认证的配置方法将在本章19.5节介绍。

4. and模式

“and”是“和”的意思，就是要求同时满足所有的条件。and端口安全模式包括以下两种子模式：

l macAddressAndUserLoginSecure：当用户的MAC地址不在转发表中时，接入用户首先进行MAC地址认证，当MAC地址认证成功后再进行IEEE 802.1x认证。只有在这两种认证都成功的`情况下，才允许该用户接入网络。此模式下，端口最多只允许一个用户接入网络，也就是通过全部这两种认证的用户。

l macAddressAndUserLoginSecureExt：与macAddressAndUserLoginSecure类似。但此模式下，端口允许接入网络的用户可以有多个。

根据以上描述得出以上这两种and端口安全子模式的报文处理流程如图19-2所示。

图19-2 and端口安全模式的报文处理流程图

5. else模式

l macAddressElseUserLoginSecure：当用户的MAC地址不在转发表中时，对接入用户首先进行MAC地址认证，如果认证成功则直接通过，如果MAC地址认证失败再尝试进行802.1x认证。此模式下，端口下可以有多个用户通过MAC地址认证，但端口仅允许接入一个用户经过802.1x认证，也就是通过802.1x认证的用户。

l macAddressElseUserLoginSecureExt：与macAddressElseUserLoginSecure类似。但此模式下，端口允许经过多个用户通过IEEE 802.1X认证。

根据以上描述得出以上这两种else端口安全子模式的报文处理流程如图19-3所示。

图19-3 else端口安全模式报文处理流程图

6. or模式

“or”是“或者”的意思，也就是可以任选其中一种认证方式。or端口安全模式包括以下两个子模式：

l macAddressOrUserLoginSecure：当用户的MAC地址不在转发表中时，接入用户通过MAC地址认证后，仍然可以进行IEEE 802.1x认证;但接入用户通过IEEE 802.1x认证后，不再进行MAC地址认证。此模式下，可以有多个经过基于MAC地址认证的用户，但端口仅允许接入一个经过认证的802.1x用户，也就是通过802.1x认证的用户。

l macAddressOrUserLoginSecureExt：与macAddressOrUserLoginSecure类似。但此模式下可以允许多个通过IEEE 802.1x认证的用户。

根据以上描述[Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作状态得出以上这两种or端口安全子模式的报文处理流程如图19-4所示。

图19-4 or端口安全模式报文处理流程图 ;

---

免责声明： 本文由用户上传，如有侵权请联系删除！

---

标签：