华为S3900无法动态切换VLAN - 华为技术 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 华为技术 » 华为S3900无法动态切换VLAN [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

该主题悬赏的20无忧币已被全部领完

Armymen

新新人类

帖子 75
精华 0
无忧币 53
积分 78
阅读权限 20

注册日期 2007-4-13

最后登录 2008-7-8

离线

[查看资料] [发短消息] [Blog]

发表于:2008-1-31 18:11　　标题：华为S3900无法动态切换VLAN
＜上一帖 | 下一帖＞

我用华为S3900做802.1x认证，用Windows IAS做radius server。用户认证成功后IAS将发送信息给交换机把端口切换到另一个VLAN. 同样的配置华为3500就成功了，但是3900就是不切换VLAN。有人知道原因吗？或者有3900这方面的文档？

网络工程师到底该不该去考CCIE认证？

2008-1-31 18:11

1楼

[ 顶部 ]

小侠唐在飞

助理工程师

帖子 1537
精华 2
无忧币 2336
积分 1809
阅读权限 40
来自 (保密)

注册日期 2006-6-15

最后登录 2008-5-20

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2008-2-2 10:49　 该回复被 Armymen 奖励 20 点无忧币

此回复于2008-02-04 13:44被 Armymen 评为最佳答案

利用Ｅ系列交换机做802.1X本地认证与RADIUS服务器认证
　　这是一个实验，实际情况与之类同，我只是做了一个端口的认证，其它端口不受限，直接可用，如果是对每一个端口都进行认证，只需在每个端口开启８０２．１ｘ即可。
　　以下是E050的版本号：VRP (R) Software, Version 3.10, RELEASE 0029
　　配置如下：
　　sysname Quidway
#
radius scheme system
server-type huawei
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
radius scheme huamai
primary authentication 127.0.0.1 1812
primary accounting 127.0.0.1 1813 （这两个是主，经测试端口号无效，只能用备的端口号，其IP地址可以是RADIUS服务器的IP地址，这样便不是本地认证，而是RADIUS服务器认证）
secondary authentication 127.0.0.1 1645
secondary accounting 127.0.0.1 1646
user-name-format with-domain　（注意这个位置，如果是without-domain，则在客户端上不需要加域名＠huamai）

domain huamai
radius-scheme huamai
access-limit disable
state active
vlan-assignment-mode integer
idle-cut disable
self-service-url disable
messenger time disable
domain system
radius-scheme system
access-limit disable
state active
vlan-assignment-mode integer
idle-cut disable
self-service-url disable
messenger time disable

domain default enable huamai
#
local-server nas-ip 127.0.0.1 key huawei

local-user ygxu@huamai　（只有一个用户，如果是多个，就要建立多个用户，不要忘了）
password cipher "9_PO_.H!381W/@B/)*\!!
service-type lan-access
#
dot1x
#
vlan 1
#
interface Aux0/0
#
interface Ethernet0/1
#
interface Ethernet0/2
dot1x
#
interface Ethernet0/3
#
interface Ethernet0/4
#
interface Ethernet0/5
#
interface Ethernet0/6
#
interface Ethernet0/7
#
interface Ethernet0/8
#
interface Ethernet0/9
　　。。。
interface Ethernet0/48
#
interface NULL0
#
user-interface aux 0
user-interface vty 0 4
#
return

[Quidway]

【欢迎访问小侠唐在飞技术博客http://xiaoxia.blog.51cto.com】

2008-2-2 10:49

2楼

[ 顶部 ]

小侠唐在飞

助理工程师

帖子 1537
精华 2
无忧币 2336
积分 1809
阅读权限 40
来自 (保密)

注册日期 2006-6-15

最后登录 2008-5-20

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2008-2-2 10:49　

没配过802.1X
不过找了一些资料,希望有帮助
『802.1X本地认证流程』

用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】

1.    创建（进入）vlan10

[SwitchA]vlan 10

2.    将E0/1-E0/10加入到vlan10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

3.    创建（进入）vlan10的虚接口

[SwitchA]interface Vlan-interface 10

4.    给vlan10的虚接口配置IP地址

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

5.    创建（进入）vlan20

[SwitchA-vlan10]vlan 20

6.    将E0/11-E0/20加入到vlan20

[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20

7.    创建（进入）vlan20虚接口

[SwitchA]interface Vlan-interface 20

8.    给vlan20虚接口配置IP地址

[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0

9.    创建（进入）vlan100

[SwitchA]vlan 100

10.  将G1/1加入到vlan100

[SwitchA-vlan100]port GigabitEthernet 1/1

11.  创建进入vlan100虚接口

[SwitchA]interface Vlan-interface  100

12.  给vlan100虚接口配置IP地址

[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0

【802.1X本地认证缺省域相关配置】

1.    在系统视图下开启802.1X功能，默认为基于MAC的认证方式

[SwitchA]dot1x

2.    在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface后面不加具体的端口，就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3.    这里采用缺省域system，并且缺省域引用缺省radius方案system。

[SwitchA]local-user test

4.    设置该用户密码（明文）

[SwitchA-user-test]password simple test

5.    设置该用户接入类型为802.1X

[SwitchA-user-test]service-type lan-access

6.    激活该用户

[SwitchA-user-test]state active

【802.1X本地认证自建域相关配置】

1.    在系统视图下开启802.1X功能，默认为基于MAC的认证方式

[SwitchA]dot1x

2.    在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface后面不加具体的端口，就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3.    设置认证方式为radius

[SwitchA]radius scheme radius1

4.    设置主认证服务器为本地，端口号1645

[SwitchA-radius-radius1]primary  authentication 127.0.0.1 1645

5.    设置主计费服务器为本地，端口号1646

[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646

6.    这里本地用户认证采用自建域huawei

[SwitchA]domain Huawei

7.    在域中引用认证方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

8.    设置本地用户名test@huawei

[SwitchA]local-user test@huawei

9.    设置用户密码（明文）

[SwitchA-user-test@huawei]password simple test

10.  设置用户接入类型为802.1X

[SwitchA-user-test@huawei]service-type lan-access

11.  激活该用户

[SwitchA-user-test@huawei]state active

『802.1X RADIUS认证流程』

用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果该域配置了radius认证方式，那么交换机就把该报文转为radius报文送给相应的认证和计费服务器，认证和计费服务器如果存在相应的用户名和密码，就返回认证成功消息给交换机，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息给交换机，端口仍然为非授权状态。

【802.1X RADIUS认证相关配置】

1.    在系统视图下开启802.1X功能，默认为基于MAC的方式

[SwitchA]dot1x

2.    在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface后面不加具体的端口，就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3.    设置认证方式为radius，radius认证不成功取本地认证

[SwitchA]radius scheme radius1

4.    设置主认证服务器

[SwitchA-radius-radius1]primary  authentication 192.168.0.100

5.    设置主计费服务器

[SwitchA-radius-radius1]primary accounting 192.168.0.100

6.    设置交换机与认证服务器的密钥，二者应保持一致

[SwitchA-radius-radius1]key authentication test

7.    设置交换机与计费服务器的密钥，二者应保持一致

[SwitchA-radius-radius1]key accounting test

8.    交换机送给radius的报文不带域名

[SwitchA-radius-radius1]user-name-format without-domain

9.    这里用户认证采用自建域huawei

[SwitchA]domain Huawei

10.  在域中引用认证方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

【欢迎访问小侠唐在飞技术博客http://xiaoxia.blog.51cto.com】

2008-2-2 10:49

3楼

[ 顶部 ]

小侠唐在飞

助理工程师

帖子 1537
精华 2
无忧币 2336
积分 1809
阅读权限 40
来自 (保密)

注册日期 2006-6-15

最后登录 2008-5-20

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2008-2-2 10:50　

3528G 建立telnet用户及设置802.1X配置
return
[Quidway]dot                            //全局下启用802.1X
[Quidway]dot1x
802.1x is enabled globally
[Quidway]inter e0/1
[Quidway-Ethernet0/1]do
[Quidway-Ethernet0/1]dot1x             //接口下启用802.1X
802.1x is enabled on port Ethernet0/1
[Quidway-Ethernet0/1]quit
[Quidway]user
[Quidway]user-interface vt
[Quidway]user-interface vty 0 4       //进入到VTY接口
[Quidway-ui-vty0-4]auter
[Quidway-ui-vty0-4]aute
[Quidway-ui-vty0-4]aut
[Quidway-ui-vty0-4]auth
[Quidway-ui-vty0-4]authentication-mode pass    //设置验证方式为密码验证。
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set
[Quidway-ui-vty0-4]set auth
[Quidway-ui-vty0-4]set authentication pass
[Quidway-ui-vty0-4]set authentication password sim
[Quidway-ui-vty0-4]set authentication password simple 123  //设置密码为123
[Quidway-ui-vty0-4]user
[Quidway-ui-vty0-4]user p
[Quidway-ui-vty0-4]user privilege l
[Quidway-ui-vty0-4]user privilege level 3                //设置TELNET用户等级为3
  <cr>

[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]vlan 1
[Quidway-vlan1]inte r
[Quidway-vlan1]inte vlan 1
[Quidway-Vlan-interface1]ip add 192.168.1.1 255.255.255.0 //设置TELNET时的地址
[Quidway-Vlan-interface1]quit
[Quidway]dsi cur
      ^
% Unrecognized command found at '^' position.
[Quidway]dis cur
#
sysname Quidway
#
radius scheme system
server-type huawei
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain

domain system
radius-scheme system
access-limit disable
state active
idle-cut disable
self-service-url disable
messenger time disable

domain default enable system
#
local-server nas-ip 127.0.0.1 key huawei

local-user hjx                      //建立802.1X用户
password simple hjx
service-type lan-access
#
vlan range 1-511
#
igmp-snooping enable
#
dot1x
#
queue-scheduler wrr 1 2 4 8
#
vlan 1
#
vlan 10
#
interface Vlan-interface1
ip address 192.168.1.1 255.255.255.0
#
interface Aux0/0
#
interface Ethernet0/1
flow-control
dot1x
#
interface Ethernet0/2
#
interface Ethernet0/3
#
interface Ethernet0/4
#
interface Ethernet0/5
#
interface Ethernet0/6
#
interface Ethernet0/7
#
interface Ethernet0/8
#
interface Ethernet0/9
#
interface Ethernet0/10
#
interface Ethernet0/11
#
interface Ethernet0/12
#
interface Ethernet0/13
#
interface Ethernet0/14
#
interface Ethernet0/15
#
interface Ethernet0/16
#
interface NULL0
#
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple 123
#
return
[Quidway]

【欢迎访问小侠唐在飞技术博客http://xiaoxia.blog.51cto.com】

2008-2-2 10:50

4楼

[ 顶部 ]

Armymen

新新人类

帖子 75
精华 0
无忧币 53
积分 78
阅读权限 20

注册日期 2007-4-13

最后登录 2008-7-8

离线

[查看资料] [发短消息] [Blog]

发表于:2008-2-4 13:45　