09 | 您所在的位置:网站首页 › 华三创建多个vlan命令 › 09 |
H3C S6805&S6825&S6850&S9850&S9820 VLAN配置举例
Copyright © 2020-2023 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。 本文档中的信息可能变动,恕不另行通知。 目 录 1 简介 1 配置前提 2 基于端口的VLAN典型配置举例 2.1 组网需求 2.2 适用产品及版本 2.3 配置步骤 2.4 验证配置 1.2 配置文件 2 Super VLAN典型配置举例 2.1 组网需求 2.2 适用产品及版本 2.3 配置注意事项 2.4 配置步骤 2.4.1 Device A的配置 2.4.2 Device B的配置 2.5 验证配置 2.6 配置文件 3 Private VLAN典型配置举例 3.1 组网需求 3.2 配置思路 3.3 适用产品及版本 3.4 配置注意事项 3.5 配置步骤 3.5.1 Device B的配置 3.5.2 Device A的配置 3.6 验证配置 3.7 配置文件 3 Voice VLAN配置举例 3.1 组网需求 3.2 配置思路 3.3 适用产品及版本 3.4 配置注意事项 3.5 配置步骤 3.5.1 配置Voice VLAN 3.5.2 配置802.1X认证功能 3.6 验证配置 3.7 配置文件 4 相关资料 1 简介 本文档介绍基于端口的VLAN、Super VLAN、Private VLAN、Voice VLAN的典型应用场景和配置举例。 1 配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解VLAN特性。 2 基于端口的VLAN典型配置举例 2.1 组网需求如1 图1所示,Host A和Host C属于部门A,但是通过不同的设备接入公司网络;Host B和Host D属于部门B,也通过不同的设备接入公司网络。为了通信的安全性,以及避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100,部门B使用VLAN 200。 现要求同一VLAN内的主机能够互通,即Host A和Host C能够互通,Host B和Host D能够互通。 图1 基于端口的VLAN组网图 2.2 适用产品及版本 适用产品及版本 产品 软件版本 S6805系列 Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S6825系列 Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S6850系列 S9850系列 Release 6555P01版本、Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S9820-64H Release 6555P01版本、Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S9820-8C Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 2.3 配置步骤 (2) 配置Device A # 创建VLAN 100,并将HundredGigE1/0/1加入VLAN 100。 [DeviceA] vlan 100 [DeviceA-vlan100] port hundredgige1/0/1 [DeviceA-vlan100] quit # 创建VLAN 200,并将HundredGigE1/0/2加入VLAN 200。 [DeviceA] vlan 200 [DeviceA-vlan200] port hundredgige1/0/2 [DeviceA-vlan200] quit # 为了使Device A上VLAN 100和VLAN 200的报文能发送给Device B,将HundredGigE1/0/3的链路类型配置为Trunk,并允许VLAN 100和VLAN 200的报文通过。 [DeviceA] interface hundredgige1/0/3 [DeviceA-HundredGigE1/0/3] port link-type trunk [DeviceA-HundredGigE1/0/3] port trunk permit vlan 100 200 (3) Device B上的配置与Device A上的配置相同,不再赘述。 (4) 将Host A和Host C配置在一个网段,例如192.168.100.0/24;将Host B和Host D配置在一个网段,比如192.168.200.0/24。 2.4 验证配置(5) Host A和Host C能够互相ping通,但是均不能ping通Host B。Host B和Host D能够互相ping通,但是均不能ping通Host A。 (6) 通过查看显示信息验证配置是否成功。 # 查看Device A上VLAN 100和VLAN 200的配置信息,VLAN 100的报文仅允许通过接口HGE1/0/3和HGE1/0/1,VLAN 200的报文仅允许通过接口HGE1/0/3和HGE1/0/2。 [DeviceA-HundredGigE1/0/3] display vlan 100 VLAN ID: 100 VLAN type: Static Route interface: Not configured Description: VLAN 0100 Name: VLAN 0100 Tagged ports: HundredGigE1/0/3 Untagged ports: HundredGigE1/0/1 [DeviceA-HundredGigE1/0/3] display vlan 200 VLAN ID: 200 VLAN type: Static Route interface: Not configured Description: VLAN 0200 Name: VLAN 0200 Tagged ports: HundredGigE1/0/3 Untagged ports: HundredGigE1/0/2 1.2 配置文件Device B上的配置与Device A上的配置相同,此处仅以Device A的配置文件举例。 # vlan 100 # vlan 200 # interface HundredGigE1/0/1 port link-mode bridge port access vlan 100 # interface HundredGigE1/0/2 port link-mode bridge port access vlan 200 # interface HundredGigE1/0/3 port link-mode bridge port link-type trunk port trunk permit vlan 1 100 200 # 2 Super VLAN典型配置举例 2.1 组网需求如图2所示: · VLAN 2中的用户通过Device A的HundredGigE1/0/1接入网络,VLAN 3中的用户通过Device A的HundredGigE1/0/2接入网络。VLAN 2中有30个用户,VLAN 3中有50个用户。 · Device A的HundredGigE1/0/3和Device B的HundredGigE1/0/1属于VLAN 20。 · VLAN 20中的终端用户都使用192.168.2.0/24 网段的IP地址,使用192.168.2.1作为网关地址。 现要求通过配置Super VLAN功能实现以下应用需求: · VLAN 2和VLAN 3中的终端用户都使用192.168.1.0/24网段的IP地址以节省IP地址资源,使用192.168.1.1作为网关地址。 · VLAN 2、VLAN 3、VLAN 20中的终端用户二层隔离,三层互通。 图2 组网图 2.2 适用产品及版本 适用产品及版本 产品 软件版本 S6805系列 Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S6825系列 Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S6850系列 S9850系列 Release 6555P01版本、Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S9820-64H Release 6555P01版本、Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S9820-8C Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 2.3 配置注意事项 由于Super VLAN中不能包含物理端口,由此若某VLAN中已经包含物理端口,则该VLAN不能被配置为Super VLAN。 2.4 配置步骤 2.4.1 Device A的配置# 创建Super VLAN 10。 system-view [DeviceA] vlan 10 [DeviceA-vlan10] supervlan [DeviceA-vlan10] quit # 创建VLAN 2并将端口HundredGigE1/0/1加入VLAN 2。 [DeviceA] vlan 2 [DeviceA-vlan2] port hundredgige1/0/1 [DeviceA-vlan2] quit # 创建VLAN 3并将端口HundredGigE1/0/2加入VLAN 3。 [DeviceA] vlan 3 [DeviceA-vlan3] port hundredgige1/0/2 [DeviceA-vlan3] quit # 将Super VLAN 10和Sub VLAN 2和Sub VLAN 3关联。 [DeviceA] vlan 10 [DeviceA-vlan10] subvlan 2 3 [DeviceA-vlan10] quit # 配置Super VLAN 10对应的VLAN接口的IP地址和本地代理ARP功能。 [DeviceA] interface vlan-interface 10 [DeviceA-Vlan-interface10] ip address 192.168.1.1 24 [DeviceA-Vlan-interface10] local-proxy-arp enable [DeviceA-Vlan-interface10] quit # 创建VLAN 20。 [DeviceA] vlan 20 [DeviceA-vlan20] quit # 将端口HundredGigE1/0/3配置为Trunk端口并允许VLAN 20通过,取消允许VLAN 1通过。 [DeviceA] interface hundredgige1/0/3 [DeviceA-HundredGigE1/0/3] port link-type trunk [DeviceA-HundredGigE1/0/3] undo port trunk permit vlan 1 [DeviceA-HundredGigE1/0/3] port trunk permit vlan 20 [DeviceA-HundredGigE1/0/3] quit # 配置VLAN 20对应的VLAN接口的IP地址。 [DeviceA] interface Vlan-interface 20 [DeviceA-Vlan-interface20] ip address 192.168.2.1 24 [DeviceA-Vlan-interface20] quit 2.4.2 Device B的配置# 创建VLAN 20。 [DeviceB] vlan 20 [DeviceB-vlan20] quit # 将端口HundredGigE1/0/1配置为Trunk端口并允许VLAN 20通过,取消允许VLAN 1通过。 [DeviceB] interface hundredgige1/0/1 [DeviceB-HundredGigE1/0/1] port link-type trunk [DeviceB-HundredGigE1/0/1] undo port trunk permit vlan 1 [DeviceB-HundredGigE1/0/1] port trunk permit vlan 20 [DeviceB-HundredGigE1/0/1] quit # 将端口HundredGigE1/0/2加入VLAN 20。 [DeviceB] vlan 20 [DeviceB-vlan20] port hundredgige1/0/2 [DeviceB-vlan20] quit 2.5 验证配置(1) 查看Super VLAN配置信息。 [DeviceA] display supervlan Super VLAN ID: 10 Sub-VLAN ID: 2-3
VLAN ID: 10 VLAN type: Static It is a super VLAN. Route interface: Configured IPv4 address: 192.168.1.1 IPv4 subnet mask: 255.255.255.0 Description: VLAN 0010 Name: VLAN 0010 Tagged ports: none Untagged ports: none
VLAN ID: 2 VLAN type: Static It is a sub-VLAN. Route interface: Configured IPv4 address: 192.168.1.1 IPv4 subnet mask: 255.255.255.0 Description: VLAN 0002 Name: VLAN 0002 Tagged ports: none Untagged ports: HundredGigE1/0/1
VLAN ID: 3 VLAN type: Static It is a sub-VLAN. Route interface: Configured IPv4 address: 192.168.1.1 IPv4 subnet mask: 255.255.255.0 Description: VLAN 0003 Name: VLAN 0003 Tagged ports: none Untagged ports: HundredGigE1/0/2 (2) Host A和Host B可以互相ping通。查看Host A的ARP表,表中Host B的IP地址对应的MAC地址是Vlan-interface10的MAC地址。查看Host B的ARP表,表中Host A的IP地址对应的MAC地址也是Vlan-interface10的MAC地址。 (3) Host A和Host C可以互相ping通。查看Host A的ARP表,表中没有Host C的ARP表项。查看Host C的ARP表,表中也没有Host A的ARP表项。说明VLAN 2和VLAN 20二层隔离,三层互通。Host B和Host C互相ping的情况同理。 2.6 配置文件· Device A # vlan 2 # vlan 3 # vlan 10 supervlan subvlan 2 3 # vlan 20 # interface Vlan-interface10 ip address 192.168.1.1 255.255.255.0 local-proxy-arp enable # interface Vlan-interface20 ip address 192.168.2.1 255.255.255.0 # interface HundredGigE1/0/1 port link-mode bridge port access vlan 2 # interface HundredGigE1/0/2 port link-mode bridge port access vlan 3 # interface HundredGigE1/0/3 port link-mode bridge port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 20 # · Device B # vlan 20 # interface HundredGigE1/0/1 port link-mode bridge port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 20 # interface HundredGigE1/0/2 port link-mode bridge port access vlan 20 # 3 Private VLAN典型配置举例 3.1 组网需求如图3所示: · 汇聚层设备Device A为接入设备Device B分配了VLAN 10,网关接口VLAN-interface10可以和所有用户互通,以便用户可以通过Device A来访问外部网络。Device B连接的所有用户均处于同一网段10.0.0.0/24。 · Host A和B属于销售部,Host C和D属于财务部。为保证安全,需要使不同部门之间二层隔离,同部门的用户之间则可以互通。 现由于Device A不能为Device B分配更多VLAN,要求通过Private VLAN功能实现: · Device A只需识别VLAN 10。 · Device B在Primary VLAN 10下为各部门配置不同的Secondary VLAN,使部门间二层隔离。 图3 Private VLAN典型配置举例组网图 3.2 配置思路 Private VLAN功能只需要在接入设备Device B上配置。 3.3 适用产品及版本适用产品及版本 产品 软件版本 S6805系列 Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S6825系列 Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S6850系列 S9850系列 Release 6555P01版本、Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S9820-64H Release 6555P01版本、Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S9820-8C 不支持 3.4 配置注意事项 系统缺省VLAN(VLAN 1)不支持Private VLAN相关配置。 3.5 配置步骤 3.5.1 Device B的配置# 配置VLAN 10为Primary VLAN。 system-view [DeviceB] vlan 10 [DeviceB-vlan10] private-vlan primary [DeviceB-vlan10] quit # 创建Secondary VLAN 201、202。 [DeviceB] vlan 201 to 202 # 建立Primary VLAN 10和Secondary VLAN 201、202的映射关系。 [DeviceB] vlan 10 [DeviceB-vlan10] private-vlan secondary 201 to 202 [DeviceB-vlan10] quit # 配置上行端口HundredGigE1/0/1在VLAN 10中工作在promiscuous模式。 [DeviceB] interface hundredgige1/0/1 [DeviceB-HundredGigE1/0/1] port private-vlan 10 promiscuous [DeviceB-HundredGigE1/0/1] quit # 将下行端口HundredGigE1/0/2、HundredGigE1/0/3添加到VLAN 201,HundredGigE1/0/4、HundredGigE1/0/5添加到VLAN 202,并配置它们工作在host模式。 [DeviceB] interface range hundredgige1/0/2 to hundredgige1/0/3 [DeviceB-if-range] port access vlan 201 [DeviceB-if-range] port private-vlan host [DeviceB-if-range] quit [DeviceB] interface range hundredgige1/0/4 to hundredgige1/0/5 [DeviceB-if-range] port access vlan 202 [DeviceB-if-range] port private-vlan host [DeviceB-if-range] quit 3.5.2 Device A的配置# 创建VLAN 10。将接口HundredGigE1/0/1加入VLAN 10。 system-view [DeviceA] vlan 10 [DeviceA] quit [DeviceA] interface hundredgige1/0/1 [DeviceA-HundredGigE1/0/1] port access vlan 10 [DeviceA-HundredGigE1/0/1] quit # 配置网关接口VLAN-interface10。 [DeviceA] interface vlan-interface 10 [DeviceA-Vlan-interface10] ip address 10.0.0.1 24 [DeviceA-Vlan-interface10] quit 3.6 验证配置# Device A可以ping通任意用户。查看ARP表,可以看到所有用户均属于VLAN 10。 [DeviceA] display arp Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid IP address MAC address VLAN/VSI Interface/Link ID Aging Type 10.0.0.2 d485-64a1-7e4a 10 HGE1/0/1 19 D 10.0.0.3 7446-a0aa-7774 10 HGE1/0/1 19 D 10.0.0.4 6805-ca05-39ae 10 HGE1/0/1 20 D 10.0.0.5 6805-ca05-414e 10 HGE1/0/1 20 D # 显示Device B上的Private VLAN配置情况。 [DeviceB] display private-vlan Primary VLAN ID: 10 Secondary VLAN ID: 201-202 VLAN ID: 10 VLAN type: Static Private VLAN type: Primary Route interface: Not configured Description: VLAN 0010 Name: VLAN 0010 Tagged ports: None Untagged ports: HundredGigE1/0/1 HundredGigE1/0/2 HundredGigE1/0/3 HundredGigE1/0/4 HundredGigE1/0/5
VLAN ID: 201 VLAN type: Static Private VLAN type: Secondary Route interface: Not configured Description: VLAN 0201 Name: VLAN 0201 Tagged ports: None Untagged ports: HundredGigE1/0/1 HundredGigE1/0/2 HundredGigE1/0/3
VLAN ID: 202 VLAN type: Static Private VLAN type: Secondary Route interface: Not configured Description: VLAN 0202 Name: VLAN 0202 Tagged ports: None Untagged ports: HundredGigE1/0/1 HundredGigE1/0/4 HundredGigE1/0/5 可以看到,工作在promiscuous模式的端口HundredGigE1/0/1和工作在host模式的端口HundredGigE1/0/2~HundredGigE1/0/5均以Untagged方式允许VLAN报文通过。 # Host A、B之间可以互相ping通,Host C、D之间可以互相ping通。Host A、B与Host C、D之间均不能ping通。 3.7 配置文件· Device B # vlan 1 # vlan 10 private-vlan primary private-vlan secondary 201 to 202 # vlan 201 to 202 # interface HundredGigE1/0/1 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 10 201 to 202 untagged port hybrid pvid vlan 10 port private-vlan 10 promiscuous # interface HundredGigE1/0/2 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 10 201 untagged port hybrid pvid vlan 201 port private-vlan host # interface HundredGigE1/0/3 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 10 201 untagged port hybrid pvid vlan 201 port private-vlan host # interface HundredGigE1/0/4 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 10 202 untagged port hybrid pvid vlan 202 port private-vlan host # interface HundredGigE1/0/5 port link-mode bridge port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 10 202 untagged port hybrid pvid vlan 202 port private-vlan host # · Device A # vlan 1 # vlan 10 # interface Vlan-interface10 ip address 10.0.0.1 255.255.255.0 # interface HundredGigE1/0/1 port link-mode bridge port access vlan 10 # 3 Voice VLAN配置举例 3.1 组网需求如3.7 图4所示,设备通过接口HundredGigE1/0/1与IP电话相连,IP电话发送Tagged语音数据。设备通过RADIUS服务器对IP电话进行身份认证,如果认证成功,IP电话被授权允许接入。在设备上配置VLAN ID为2的Voice VLAN,通过LLDP功能使IP电话经过802.1X认证后可自动上线。 现要求实现如下需求: · IP电话在接口HundredGigE1/0/1经过802.1X认证后上线。 · 不用在设备上手动配置Voice VLAN MAC地址,IP电话可自动上线传输语音数据。 图4 配置802.1X认证的自动模式下Voice VLAN配置组网图 3.2 配置思路 · 缺省情况下,IP电话支持LLDP功能。 · 开启LLDP自动发现IP电话功能时,需在端口HundredGigE1/0/1配置发布network-policy TLV通告Voice VLAN信息。 · 设备上开启自动模式下的Voice VLAN功能。 · 配置各接口的IP地址。 3.3 适用产品及版本适用产品及版本 产品 软件版本 S6805系列 Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S6825系列 Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S6850系列 S9850系列 Release 6555P01版本、Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S9820-64H Release 6555P01版本、Release 6607版本、Release 6616版本、Release 6616P01版本、Release 6635及以上版本 S9820-8C 不支持 3.4 配置注意事项 发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关: · 若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain); · 若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。 3.5 配置步骤 3.5.1 配置Voice VLAN# 创建VLAN 2。 system-view [Device] vlan 2 [Device-vlan2] quit # 全局开启LLDP功能。 [Device] lldp global enable # 在接口HundredGigE1/0/1上开启LLDP功能,配置LLDP工作模式为TxRx,并发布Voice VLAN ID。 [Device] interface hundredgige1/0/1 [Device-HundredGigE1/0/1] lldp enable [Device-HundredGigE1/0/1] lldp admin-status txrx [Device-HundredGigE1/0/1] lldp tlv-enable med-tlv network-policy 2 [Device-HundredGigE1/0/1] quit # 配置Voice VLAN工作在安全模式,老化时间为30分钟。 [Device] voice-vlan security enable [Device] voice-vlan aging 30 # 开启通过LLDP自动发现IP电话功能。 [Device] voice-vlan track lldp # 将接口HundredGigE1/0/1配置为Hybrid端口,并配置Voice VLAN功能。 [Device] interface hundredgige1/0/1 [Device-HundredGigE1/0/1] port link-type hybrid [Device-HundredGigE1/0/1] voice-vlan mode auto [Device-HundredGigE1/0/1] voice-vlan 2 enable 3.5.2 配置802.1X认证功能# 配置RADIUS服务器,添加用户帐户,保证用户的认证/授权/计费功能正常运行(略) # 创建RADIUS方案,并配置RADIUS方案主认证/计费服务器及其通信密钥。发送给RADIUS服务器的用户名不携带域名。 [Device] radius scheme radius1 [Device-radius-radius1] primary authentication 10.1.1.1 [Device-radius-radius1] primary accounting 10.1.1.1 [Device-radius-radius1] key authentication simple name [Device-radius-radius1] key accounting simple money [Device-radius-radius1] user-name-format without-domain [Device-radius-radius1] quit # 创建域bbb,并配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费。 [Device] domain bbb [Device-isp-bbb] authentication lan-access radius-scheme radius1 [Device-isp-bbb] authorization lan-access radius-scheme radius1 [Device-isp-bbb] accounting lan-access radius-scheme radius1 [Device-isp-bbb] quit # 在端口HundredGigE1/0/1上配置802.1X功能,并指定端口上接入的802.1X用户使用强制认证域bbb。 [Device] interface hundredgige1/0/1 [Device-HundredGigE1/0/1] dot1x [Device-HundredGigE1/0/1] dot1x mandatory-domain bbb # 开启组播触发功能(此配置可选,因为缺省情况下设备开启组播触发功能)。 [Device-HundredGigE1/0/1] dot1x multicast-trigger [Device-HundredGigE1/0/1] quit # 开启全局802.1X。 [Device] dot1x # 配置802.1X客户端(略) 若使用H3C iNode 802.1X客户端,为保证备选的本地认证可成功进行,请确认802.1X连接属性中的“上传客户端版本号”选项未被选中。 3.6 验证配置# 查看802.1X认证信息。 [Device] display dot1x interface hundredgige1/0/1 Global 802.1X parameters: 802.1X authentication : Enabled CHAP authentication : Enabled Max-tx period : 30 s Handshake period : 15 s Offline detect period : 300 s Quiet timer : Disabled Quiet period : 60 s Supp timeout : 30 s Server timeout : 100 s Reauth period : 3600 s Max auth requests : 2 User aging period for Auth-Fail VLAN : 1000 s User aging period for Auth-Fail VSI : 1000 s User aging period for critical VLAN : 1000 s User aging period for critical VSI : 1000 s User aging period for guest VLAN : 1000 s User aging period for guest VSI : 1000 s EAD assistant function : Disabled EAD timeout : 30 min Domain delimiter : @ Online 802.1X wired users : 1
HundredGigE1/0/1 is link-up 802.1X authentication : Enabled Handshake : Enabled Handshake reply : Disabled Handshake security : Disabled Offline detection : Disabled Unicast trigger : Disabled Periodic reauth : Disabled Port role : Authenticator Authorization mode : Auto Port access control : MAC-based Multicast trigger : Enabled Mandatory auth domain : Not configured Guest VLAN : Not configured Auth-Fail VLAN : Not configured Critical VLAN : Not configured Critical voice VLAN : Disabled Add Guest VLAN delay : Disabled Re-auth server-unreachable : Logoff Max online users : 4294967295 User IP freezing : Disabled Reauth period : 0 s Send Packets Without Tag : Disabled Max Attempts Fail Number : 0 Guest VSI : Not configured Auth-Fail VSI : Not configured Critical VSI : Not configured Add Guest VSI delay : Disabled User aging : Enabled Server-recovery online-user-sync : Enabled Auth-Fail EAPOL : Disabled Critical EAPOL : Disabled
EAPOL packets: Tx 0, Rx 0 Sent EAP Request/Identity packets : 0 EAP Request/Challenge packets: 0 EAP Success packets: 0 EAP Failure packets: 0 Received EAPOL Start packets : 0 EAPOL LogOff packets: 0 EAP Response/Identity packets : 0 EAP Response/Challenge packets: 0 Error packets: 0 Online 802.1X users: 1 当IP电话输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。 # 显示当前Voice VLAN的状态。 [Device] display voice-vlan state Current voice VLANs: 2 Voice VLAN security mode: Security Voice VLAN aging time: 30 minutes Voice VLAN enabled ports and their modes: Port VLAN Mode CoS DSCP GE1/0/1 2 Auto 6 46 3.7 配置文件# voice-vlan aging 30 voice-vlan track lldp # dot1x # lldp global enable # vlan 1 # vlan 2 # interface HundredGigE1/0/1 port link-mode bridge port link-type hybrid port hybrid vlan 1 untagged voice-vlan 2 enable lldp tlv-enable med-tlv network-policy 2 dot1x dot1x mandatory-domain bbb # radius scheme radius1 primary authentication 10.1.1.1 primary accounting 10.1.1.1 key authentication cipher $c$3$/gxrbATUfK4BbF+73EQiCzBM7cwP86o= key accounting cipher $c$3$mq8b76RILWQr2lH7NTtvE9+7O0v7vd1H user-name-format without-domain # radius scheme system user-name-format without-domain # domain bbb accounting login radius-scheme radius1 authentication lan-access radius-scheme radius1 authorization lan-access radius-scheme radius1 4 相关资料请参考对应产品和版本的如下手册: · 二层技术-以太网交换配置指导 · 二层技术-以太网交换命令参考 · 安全配置指导 · 安全命令参考 |
CopyRight 2018-2019 实验室设备网 版权所有 |