華爲S5700配置端口鏡像和華三S5120配置802.1X認證記錄

1、說明

事情的原由是咱們部門有個華爲的S5700交換機，想配置端口鏡像抓包但讓助理買的串口線好久都還沒到；而昨天測試部的同事說他們那有臺華三的S5120想要配802.1X認證，但只有華爲交換機的文檔換到華三交換機上命令不同不懂怎麼配，問咱們能不能幫看一下。

一是領導以爲他們的任務能夠搞得定，二是咱們這邊須要串口線，因此這筆買賣就作了。

因此也就有了這裏「華爲S5700配置端口鏡像和華三S5120配置802.1X認證」兩個不相關的東西在一篇文章裏，主要是作個記錄用。

 

2、華爲S5700配置端口鏡像

2.1 清空串口密碼【可選】

若是忘記串口密碼，可經過重啓交換機執行以下圖所示操做，重啓交換機按Ctrl+B及默認密碼Admin@huawei.com進入BootROM清空串口密碼

清空密碼後啓動會要求從新配置一個串口密碼，選擇Y就是進行設置選擇N就是直接以空密碼進入串口。無論選哪一個都要注意使用save命令保存當前狀態否則斷電重啓會串口又會恢復到以前那個已忘記的密碼。

 

2.2 端口鏡像配置

其實華爲S5700配置端口鏡像官方文檔已經有比較清楚的說明了，網上也有不少文章。

不過有一個細節是在具體操做中發現S5700只能有一個觀察口，且默認（？）已經配置0/0/1爲觀察口，0/0/3-8等多個端口被配置爲鏡像端口。

這樣致使兩個問題，一是在S5700中不能建立新的觀察口，二是不能設置更多的鏡像端口（這個不太肯定，也多是當時咱們不肯把電腦的網線從0/0/2換到0/0/1就想用0/0/2做爲觀察口）。

因此，在配置端口鏡像的第一步，咱們要把全部鏡像端口從觀察口中刪除而後再把觀察口刪除。

交換機使用串口線與電腦相連，使用SecureCRT等經過Serial協議打開串口碼率設置爲9600這些就很少說了。

# 第一步，把已有鏡像端口從觀察口刪除
system-view
# 查看有哪些觀察口
display observe-port
# 查看哪些端口已被加入到觀察口中
display port-mirroring
# 逐個進入這些端口將他們從觀察口中刪除
interface gigabitethernet 0/0/3
Undo port-mirroring to observe-port 1 both
quit
# 刪除觀察端口
undo observe-port 1

# 第二步，配置0/0/2爲觀察口
system-view
observe-port 1 interface gigabitethernet 0/0/2

# 第三步，將要配置要作流量鏡像的端口加入到觀察口
system-view
interface gigabitethernet 0/0/13
port-mirroring to observe-port 1 both
quit

 

3、配置802.1X認證

20190417更新說明：華三交換機還給了測試部同事，然後來領導說但願確認一下在作802.1X認證時設備端是否是直接以明文形式傳給交換機，因此又在咱們的華爲S5700上也作了配置，這裏新加3.3節。

3.1 搭建Radius服務器

下載地址：http://www.onlinedown.net/soft/2752.htm

將zip包直接解壓便可，其中WinRasius.exe是服務器，RadiusTest.exe是測試用的客戶端，WinRadius.mdb是數據庫。

不知道是這個軟件有bug仍是機制上就是如此，WinRadius.mdb中沒數據，因此每次打開WinRasius.exe都要從新添加用戶。

以test/123456爲例，主菜單----操做----添加帳號，以下填寫而後肯定便可。

另外注意WinRasius.exe最小化後會直接被最小化到右下角圖標中，不要覺得被關閉了而後又雙擊啓動，而後看到端口被佔用的報錯。

RadiusTest.exe是一個測試客戶端，咱們此時打開填寫用戶名密碼（Secret不懂在哪配不修改便可）點擊發送，若是服務運行正常回到WinRasius.exe可看到認證成功信息。

 

3.2 華三S5120配置802.1X認證

當前組網狀態：
本身電腦，ip爲192.168.1.250，接除1/0/2外的任一個口。並在其上搭好Radius服務，創好用戶test/123456
交換機，全部端口都在vlan 1 中，vlan 1 ip地址爲192.168.17.251
提供802.1X認證配置的IPC，ip爲192.168.1.252，接1/0/2口。並在其802.1X配置頁面上配好用戶名密碼test/123456

# 其實vlan 1是默認存在的不須要建立，但建立一下也無所謂
# 不過vlan的IP仍是要配的否則網絡不通
system-view
vlan 1
quit
interface vlan-interface 1
ip address 192.168.17.251 24
quit

# 建立radius scheme，供domain使用
# ip改爲Radius服務器的ip，key改爲Radius服務器的key，我也不懂服務器在哪配的我是直接用RadiusTest.exe裏填的
system-view
radius scheme 1
primary authentication 192.168.17.250
key authentication simple WinRadius
quit

# 建立一個domain，並設置爲默認啓用
# 固然其實也能夠不用新建domain而是直接修改默認的system domain的認證、受權、計費
system-view
domain 1
# 在該domain中認證（authentication）使用上面配置的radius scheme 1
authentication default radius-scheme 1
# 在該domain中受權（authentication）使用上面配置的radius scheme 1
authorization default radius-scheme 1
# 在該domain中計費（accounting）使用上面配置的radius scheme 1
# accounting default radius-scheme 1
# 配置默認使用該domain進行認證
quit
domain default enable 1

# 進入端口2，配置啓用802.1x
system-view
interface GigabitEthernet 1/0/2
dot1x
quit

# 全局啓用啓動802.1x
system-view
dot1x

 

3.3 華爲S5700配置802.1X認證

華爲交換機配置意思相似，但要複雜一些，命令以下：

# 配置vlan ip以使交換機與電腦網絡相通
system-view
interface Vlanif 1
ip address 192.168.17.251 24
quit

# 華爲交換機與華三交換機的不一樣之處是指定服務器、密鑰不是在scheme中指定的
# 而是要要分別建立scheme和radius server，而後在domain中指定使用
radius-server template shiva
radius-server authentication 192.168.1.250 1812
# radius-server accounting 192.168.1.250 1813
radius-server shared-key cipher WinRadius
radius-server retransmit 2
undo radius-server user-name domain-included
quit

# 配置認證scheme
aaa
authentication-scheme auth
# 指定經過radius進行認證
authentication-mode radius
quit

# 配置計費scheme
# accounting-scheme abc
# 指定經過radius進行計費
# accounting-mode radius
# accounting start-fail online
# quit

# 建立一個domain，相似地配置認證、受權、計費
domain huawei
# 認證使用前面配置的認證scheme auth
authentication-scheme auth
# 計費使用前面配置的認證scheme abc
# accounting-scheme abc
# domain用到radius的都使用前面配置的radius server
radius-server shiva
quit
quit
# 將該domain設置爲默認domain
domain huawei
domain huawei admin

# 進入端口2，配置啓用802.1x
interface GigabitEthernet 0/0/2
dot1x enable
quit

# 全局啓用啓動802.1x
system-view
dot1x enable

# 可以使用test-aaa命令測試交換機配置的radius是否能成功認證
# test和123456是radius添加的帳號的用戶名密碼，改爲本身的
# test-aaa test 123456 radius-template shiva
# 可以使用如下命令查看對應端口是否有經過認證的用戶
# 若是想讓該端口的用戶下線並從新進行認證，可將該端口網線撥掉數秒並從新接上
# 若是仍是沒有從新認證，那麼將網線對端的設備重啓
# display dot1x interface GigabitEthernet 0/0/2

 

參考：

https://wenku.baidu.com/view/44947a4dcf84b9d528ea7a96.html

https://support.huawei.com/enterprise/zh/doc/EDOC1100038441/142fad68