最强网络准入开源软件-Packetfence-H3C交换机准入配置(三)-夜雨聆风

最强网络准入开源软件-Packetfence-H3C交换机准入配置(三)

我们都知道，华三和华为交换机命令非常相似，但是在和Packetence对接的过程中，华三使用的相关命令却和Cisco的更加相似，甚至在创建交换机的时候，可以使用和Cisco一样使用Packetfence默认组（deault），这样有一个好处，就是配置华三的交换机相比华为交换机会更加的简单。

通过前面的章节介绍了华为交换机接入Packetfence的配置，现在再来看H3C交换机的接入配置，就会相对简单很多，无需配置注册vlan及隔离vlan。

一、在Packetfence中添加H3C交换机

选择交换机组，H3C交换机可用default组。

填写H3C交换机的管理IP，radius密码也需要配置一下，如果在default组中配置过了，这里就可以不用配了。

最后，点击“create”，即可完成H3C交换机的添加。

二、配置H3C交换机

这里我直接贴出配置文件，会更加的清晰明了。

# version 7.1.075# sysname H3C_S5820V2# dot1x authentication-method eap  //配置802.1X系统的认证方法为EAP中继方式# mac-authentication domain packetfence  //定MAC认证用户所使用的认证域packetfence# port-security enable  //开启端口安全功能 port-security mac-move permit  //开启允许MAC迁移功能# dhcp snooping enable# lldp global enable# system-working-mode standard xbar load-single password-recovery enable lpu-type f-series#vlan 1#vlan 2#vlan 5#vlan 1000  //用户接入vlan，无需注册vlan及隔离vlan# stp global enable#interface NULL0#interface Vlan-interface1000   ip address 10.10.1.254 255.255.255.0  //用户vlan网关地址#interface FortyGigE1/0/53 port link-mode bridge#interface FortyGigE1/0/54 port link-mode bridge#interface GigabitEthernet1/0/1 port link-mode route combo enable copper ip address 192.168.18.72 255.255.255.0##interface GigabitEthernet1/0/2  //端口下相关配置，需要认证的商品都一样的配置 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10 mac-authentication re-authenticate server-unreachable keep-online mac-authentication guest-vlan 1000 port-security intrusion-mode blockmac port-security max-mac-count 10 port-security port-mode mac-authentication#interface GigabitEthernet1/0/3 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10 mac-authentication re-authenticate server-unreachable keep-online mac-authentication guest-vlan 1000 port-security intrusion-mode blockmac port-security max-mac-count 10 port-security port-mode mac-authentication#interface GigabitEthernet1/0/4 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10 mac-authentication re-authenticate server-unreachable keep-online mac-authentication guest-vlan 1000 port-security intrusion-mode blockmac port-security max-mac-count 10 port-security port-mode mac-authentication#interface GigabitEthernet1/0/5 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10 mac-authentication re-authenticate server-unreachable keep-online mac-authentication guest-vlan 1000 port-security intrusion-mode blockmac port-security max-mac-count 10 port-security port-mode mac-authentication#interface GigabitEthernet1/0/6 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10 mac-authentication re-authenticate server-unreachable keep-online mac-authentication guest-vlan 1000 port-security intrusion-mode blockmac port-security max-mac-count 10 port-security port-mode mac-authentication#interface GigabitEthernet1/0/7 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10 mac-authentication re-authenticate server-unreachable keep-online mac-authentication guest-vlan 1000 port-security intrusion-mode blockmac port-security max-mac-count 10 port-security port-mode mac-authentication#interface GigabitEthernet1/0/8 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10 mac-authentication re-authenticate server-unreachable keep-online mac-authentication guest-vlan 1000 port-security intrusion-mode blockmac port-security max-mac-count 10 port-security port-mode mac-authentication#interface GigabitEthernet1/0/9 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10 mac-authentication re-authenticate server-unreachable keep-online mac-authentication guest-vlan 1000 port-security intrusion-mode blockmac port-security max-mac-count 10 port-security port-mode mac-authentication#interface GigabitEthernet1/0/10 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10 mac-authentication re-authenticate server-unreachable keep-online mac-authentication guest-vlan 1000 port-security intrusion-mode blockmac port-security max-mac-count 10 port-security port-mode mac-authentication#interface GigabitEthernet1/0/11 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/12 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/13 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/14 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/15 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/16 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/17 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/18 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/19 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/20 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/21 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/22 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/23 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/24 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/25 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/26 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/27 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/28 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/29 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/30 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/31 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/32 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/33 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/34 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/35 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/36 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/37 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/38 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/39 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/40 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/41 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/42 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/43 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/44 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/45 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/46 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/47 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10#interface GigabitEthernet1/0/48 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 mac-vlan enable combo enable copper stp edged-port mac-authentication max-user 10# ip route-static 0.0.0.0 0 192.168.18.254# snmp-agent snmp-agent local-engineid 800063A2803ABBA892010000000001 snmp-agent community write private snmp-agent community read public snmp-agent sys-info version all snmp-agent target-host trap address udp-domain 192.168.18.73 params securityname public v2c# ssh server enable#radius scheme packetfence  //radius认证相关配置 primary authentication 192.168.18.73 key cipher $c$3$tH+LwFV7hazjchKxC6wBNEwMD65THyH3IcUe primary accounting 192.168.18.73 key cipher $c$3$8RbXGBT3aooZyOkFZOfWK7enwl8KXrmxPqxN user-name-format without-domain#radius scheme pfnac primary authentication 192.168.18.73 key cipher $c$3$DMG8ZxqWiPtyBi/VEqmpOSfeRN/JwbE4KXiv primary accounting 192.168.18.73 key cipher $c$3$HB+G8Cuf84WEY8vZsPBsq+RCdgjcPD7sDkeL user-name-format without-domain#radius scheme system user-name-format without-domain#domain name packetfence  //认证域配置 authentication lan-access radius-scheme packetfence authorization lan-access radius-scheme packetfence authentication default radius-scheme packetfence#domain name pfnac authentication lan-access radius-scheme pfnac authorization lan-access radius-scheme pfnac authentication default radius-scheme pfnac#domain name system# domain default enable system#

三、终端认证配置

将一台终端接入到交换机，配置用户段IP。可以看到终端到网关在没有认证通过的情况下，是无法ping通的。

在Packfence审计日志中，可以看到相关终端状态是unregistered

点进去可以看到详细信息，包括交换机IP，端口及VLAN

在节点（nodes）中，找到对应的H3C交换机和终端MAC地址

点击进去后，将状态（status）改成registered，然后保存即可

然后，在终端上ping网关，即可正常通信

至此，H3C交换机接入Packetfence做准入认证即配置完成。

有朋友问：如果下面终端接的是傻瓜交换机，也可以通过Packetfence做认证吗？

答案是可以的。但是傻瓜交换的上层交换机必须要做配置和Packetfence进行对接；理论上来说，只要核心交换机接入了Packetfence，下面的网关都在核心，这种情况下，下面交换机是可以不用再和Packetfence做对接也可以做认证的。只是细粒度是不够的，无法知道终端具体接入的是哪个交换机，只知道从核心哪个端口上来的认证需求。