目  录

第1章 ARP攻击防御功能介绍

1.1 ARP攻击简介

1.2 ARP攻击防御

1.2.1 DHCP Snooping功能

1.2.2 IP静态绑定功能

1.2.3 ARP入侵检测功能

1.2.4 ARP报文限速功能

1.2.5 CAMS下发网关配置功能

1.3 ARP攻击防御配置指南

1.4 支持ARP攻击防御功能的产品列表

第2章 ARP攻击防御配置举例

2.1 DHCP监控模式下的ARP攻击防御配置举例

2.1.1 组网需求

2.1.2 组网图

2.1.3 配置思路

2.1.4 配置步骤

2.1.5 注意事项

2.2 认证模式下的ARP攻击防御配置举例

2.2.1 组网需求

2.2.2 组网图

2.2.3 配置思路

2.2.4 配置步骤

2.2.5 注意事项

ARP攻击防御配置举例

关键词：ARP、DHCP Snooping

摘  要：本文主要介绍如何利用以太网交换机DHCP监控模式或认证方式下的ARP攻击防御功能，防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时，详细描述了组网中各个设备的配置步骤和配置注意事项，指导用户进行实际配置。

缩略语：ARP（Address Resolution Protocol，地址解析协议）

              MITM（Man-In-The-Middle，中间人攻击）

第1章  ARP攻击防御功能介绍

近来，许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。H3C公司根据ARP攻击的特点，提出了“全面防御，模块定制”的ARP攻击防御理念，并给出了两种解决方案。

(1)        DHCP监控模式下的ARP攻击防御解决方案

这种方式适合动态分配IP地址的网络场景，需要接入交换机支持DHCP Snooping功能。通过全网部署，可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式；且不需要终端用户安装额外的客户端软件，简化了网络配置。

(2)        认证方式下的ARP攻击防御解决方案

这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景，且只能防御“仿冒网关”的ARP攻击方式。它不需要在接入交换机上进行特殊的防攻击配置，只需要客户端通过认证协议（802.1x）登录网络，认证服务器（如CAMS服务器）会识别客户端，并下发网关的IP/MAC对应关系给客户端，来防御“仿冒网关”攻击。

1.1  ARP攻击简介

按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。

校园网中，常见的ARP攻击有如下几种形式。

(1)        仿冒网关

攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

图1-1 “仿冒网关”攻击示意图

(2)        欺骗网关

攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

图1-2 “欺骗网关”攻击示意图

(3)        欺骗终端用户

攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机；使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。

图1-3 “欺骗终端用户”攻击示意图

(4)        “中间人”攻击

ARP“中间人”攻击，又称为ARP双向欺骗。如图1-4所示，Host A和Host C通过Switch进行通信。此时，如果有恶意攻击者（Host B）想探听Host A和Host C之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，Host A 和Host C之间看似“直接”的通信，实际上都是通过黑客所在的主机间接进行的，即Host B担当了“中间人”的角色，可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人（Man-In-The-Middle）攻击”。

图1-4 ARP“中间人”攻击示意图

(5)        ARP报文泛洪攻击

恶意用户利用工具构造大量ARP报文发往交换机的某一端口，导致CPU负担过重，造成其他功能无法正常运行甚至设备瘫痪。

1.2  ARP攻击防御

H3C公司根据ARP攻击的特点，给出了DHCP监控模式下的ARP攻击防御解决方案和认证模式下的ARP攻击防御解决方案。前者通过接入交换机上开启DHCP Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能，可以防御常见的ARP攻击；后者不需要在接入交换机上进行防攻击配置，而需要通过CAMS服务器下发网关的IP/MAC对应关系给客户端，防御“仿冒网关”攻击。详见表1-1。

表1-1 常见网络攻击和防范对照表

1.2.1  DHCP Snooping功能

DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。

(1)        通过监听DHCP报文，记录DHCP客户端IP地址与MAC地址的对应关系；

(2)        通过设置DHCP Snooping信任端口，保证客户端从合法的服务器获取IP地址。

l              信任端口正常转发接收到的DHCP报文，从而保证了DHCP客户端能够从DHCP服务器获取IP地址。

l              不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文，从而防止了DHCP客户端获得错误的IP地址。

1.2.2  IP静态绑定功能

DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息，如果用户手工配置了固定IP地址，其IP地址、MAC地址等信息将不会被DHCP Snooping表记录。因此，交换机支持手工配置IP静态绑定表的表项，实现用户的IP地址、MAC地址及接入交换机连接该用户的端口之间的绑定关系。这样，该固定用户的报文就不会被ARP入侵检测功能过滤。

1.2.3  ARP入侵检测功能

H3C低端以太网交换机支持将收到的ARP（请求与回应）报文重定向到CPU，结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理，具体如下。

l              当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配，且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致，则为合法ARP报文，进行转发处理。

l              当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配，或ARP报文的入端口，入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致，则为非法ARP报文，直接丢弃。

1.2.4  ARP报文限速功能

H3C低端以太网交换机支持端口ARP报文限速功能，使受到攻击的端口暂时关闭，来避免此类攻击对CPU的冲击。

开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态（即受到ARP报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。

1.2.5  CAMS下发网关配置功能

CAMS（Comprehensive Access Management Server，综合访问管理服务器）作为网络中的业务管理核心，可以与以太网交换机等网络产品共同组网，完成用户的认证、授权、计费和权限管理。如图1-5所示。

图1-5 CAMS组网示意图

认证模式的ARP攻击防御解决方案，不需要在接入交换机上进行特殊的防攻击配置，只需要客户端通过802.1x认证登录网络，并在CAMS上进行用户网关的设置，CAMS会通过接入交换机，下发网关的IP/MAC对应关系给客户端，来防御“仿冒网关”攻击。

1.3  ARP攻击防御配置指南

表1-2 ARP攻击防御配置

1.4  支持ARP攻击防御功能的产品列表

表1-3 支持ARP攻击防御功能的产品列表

第2章  ARP攻击防御配置举例

2.1  DHCP监控模式下的ARP攻击防御配置举例

2.1.1  组网需求

某校园网内大部分用户通过接入设备连接网关和DHCP服务器，动态获取IP地址。管理员通过在接入交换机上全面部署ARP攻击防御相关特性，形成保护屏障，过滤掉攻击报文。详细网络应用需求分析如下。

l              校园网用户分布在两个区域Host area1和Host area2，分别属于VLAN10和VLAN20，通过接入交换机Switch A和Switch B连接到网关Gateway，最终连接外网和DHCP服务器。

l              Host area1所在子网内拥有一台TFTP服务器，其IP地址为192.168.0.10/24，MAC地址为000d-85c7-4e00。

l              为防止仿冒网关、欺骗网关等ARP攻击形式，开启Switch A上VLAN10内、Switch B上VLAN20内ARP入侵检测功能，设置Switch A和Switch B的端口Ethernet1/0/1为ARP信任端口。

l              为防止ARP泛洪攻击，在Switch A和Switch B所有直接连接客户端的端口上开启ARP报文限速功能。同时，开启因ARP报文超速而被关闭的端口的状态自动恢复功能，并设置恢复时间间隔100秒。

2.1.2  组网图

图2-1 DHCP监控模式下的ARP攻击防御组网示意图

2.1.3  配置思路

l              在接入交换机Switch A和Switch B上开启DHCP snooping功能，并配置与DHCP服务器相连的端口为DHCP snooping信任端口。

l              在接入交换机Switch A上为固定IP地址的TFTP服务器配置对应的IP静态绑定表项。

l              在接入交换机Switch A和Switch B对应VLAN上开启ARP入侵检测功能，并配置其上行口为ARP信任端口。

l              在接入交换机Switch A和Switch B直接连接客户端的端口上配置ARP报文限速功能，同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。

2.1.4  配置步骤

1. 使用的版本

本举例中使用的接入交换机Switch A和Switch B为E126A系列以太网交换机Release2104。

2. 配置客户端动态获取IP地址。

图2-2 配置客户端自动获取IP地址示意图

3. 配置Switch A

# 创建VLAN10，并将端口Ethernet1/0/1到Ethernet1/0/4加入VLAN10中。

<SwitchA> system-view

[SwitchA] vlan 10

[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/4

[SwitchA-vlan10] quit

# 配置Switch A的上行口为DHCP snooping信任端口。

[SwitchA] interface ethernet1/0/1

[SwitchA-Ethernet1/0/1] dhcp-snooping trust

[SwitchA-Ethernet1/0/1] quit

# 开启DHCP snooping。

[SwitchA] dhcp-snooping

# 在Switch A的端口Ethernet1/0/4上配置IP静态绑定表项。

[SwitchA] interface Ethernet1/0/4

[SwitchA-Ethernet1/0/4] ip source static binding ip-address 192.168.0.10 mac-address 000d-85c7-4e00

[SwitchA-Ethernet1/0/4] quit

# 配置Switch A的上行口为ARP信任端口。

[SwitchA] interface ethernet1/0/1

[SwitchA-Ethernet1/0/1] arp detection trust

[SwitchA-Ethernet1/0/1] quit

# 开启VLAN 10内所有端口的ARP入侵检测功能。

[SwitchA] vlan 10

[SwitchA-vlan10] arp detection enable

[SwitchA-vlan10] quit

# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3上的ARP报文限速功能。

[SwitchA] interface Ethernet1/0/2

[SwitchA-Ethernet1/0/2] arp rate-limit enable

[SwitchA-Ethernet1/0/2] arp rate-limit 20

[SwitchA-Ethernet1/0/2] quit

[SwitchA] interface Ethernet1/0/3

[SwitchA-Ethernet1/0/3] arp rate-limit enable

[SwitchA-Ethernet1/0/3] arp rate-limit 20

[SwitchA-Ethernet1/0/3] quit

# 配置端口状态自动恢复功能，恢复时间间隔为100秒。

[SwitchA] arp protective-down recover enable

[SwitchA] arp protective-down recover interval 100

# 配置网关的缺省路由。

[SwitchA] ip route-static 0.0.0.0 0 192.168.0.1

4. 配置Switch B

# 创建VLAN20，并将相应端口加入VLAN20中。

<SwitchB> system-view

[SwitchB] vlan 20

[SwitchB-vlan20] port Ethernet 1/0/1 to Ethernet 1/0/4

[SwitchB-vlan20] quit

# 配置Switch B的上行口为DHCP snooping信任端口。

[SwitchB] interface ethernet1/0/1

[SwitchB-Ethernet1/0/1] dhcp-snooping trust

[SwitchB-Ethernet1/0/1] quit

# 开启DHCP snooping。

[SwitchB] dhcp-snooping

# 配置Switch B的上行口为ARP信任端口。

[SwitchB] interface ethernet1/0/1

[SwitchB-Ethernet1/0/1] arp detection trust

[SwitchB-Ethernet1/0/1] quit

# 开启VLAN 20内所有端口的ARP入侵检测功能。

[SwitchB] vlan 20

[SwitchB-vlan20] arp detection enable

[SwitchB-vlan20] quit

# 开启Switch B的端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4上的ARP报文限速功能。

[SwitchB] interface Ethernet1/0/2

[SwitchB-Ethernet1/0/2] arp rate-limit enable

[SwitchB-Ethernet1/0/2] arp rate-limit 20

[SwitchB-Ethernet1/0/2] quit

[SwitchB] interface Ethernet1/0/3

[SwitchB-Ethernet1/0/3] arp rate-limit enable

[SwitchB-Ethernet1/0/3] arp rate-limit 20

[SwitchB-Ethernet1/0/3] quit

[SwitchB] interface Ethernet1/0/4

[SwitchB-Ethernet1/0/4] arp rate-limit enable

[SwitchB-Ethernet1/0/4] arp rate-limit 20

[SwitchB-Ethernet1/0/4] quit

# 配置端口状态自动恢复功能，恢复时间间隔为100秒。

[SwitchB] arp protective-down recover enable

[SwitchB] arp protective-down recover interval 100

# 配置网关的缺省路由。

[SwitchB] ip route-static 0.0.0.0 0 192.168.1.1

5. 配置Gateway

<Gateway> system-view

# 创建VLAN 10和VLAN 20，并添加相应端口。

[Gateway] vlan 10

[Gateway–vlan10] port Ethernet 1/0/1

[Gateway–vlan10] quit

[Gateway] vlan 20

[Gateway–vlan20] port Ethernet 1/0/2

[Gateway–vlan20] quit

# 配置Vlan-interface10的IP地址为192.168.0.1/24。

[Gateway] interface vlan 10

[Gateway-Vlan-interface10] ip address 192.168.0.1 24

[Gateway-Vlan-interface10] quit

# 配置Vlan-interface20的IP地址为192.168.1.1/24。

[Gateway] interface vlan 20

[Gateway-Vlan-interface20] ip address 192.168.1.1 24

[Gateway-Vlan-interface20] quit

6. 配置DHCP服务器

由于作为DHCP服务器的设备不同，所需进行的配置也不同，故此处从略。具体配置请参考DHCP服务器的配置手册。

2.1.5  注意事项

l              配置ARP入侵检测功能之前，需要先在交换机上开启DHCP Snooping功能，并设置DHCP Snooping信任端口，否则所有ARP报文将都不能通过ARP入侵检测。

l              目前，H3C低端以太网交换机上开启DHCP Snooping功能后，所有端口默认被配置为DHCP Snooping非信任端口。为了使DHCP客户端能从合法的DHCP服务器获取IP地址，必须将与合法DHCP服务器相连的端口设置为信任端口，设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。

l              DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。如果固定IP地址的用户需要访问网络，必须在交换机上手工配置IP静态绑定表的表项，即：用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。

l              目前，H3C系列以太网交换机在端口上配置的IP静态绑定表项，其所属VLAN为端口的缺省VLAN ID。因此，如果ARP报文的VLAN TAG与端口的缺省VLAN ID值不同，报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。

l              H3C系列以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCP Snooping动态表项。具体表现在：如果手工配置的IP静态绑定表项中的IP地址与已存在的DHCP Snooping动态表项的IP地址相同，则覆盖DHCP Snooping动态表项的内容；如果先配置了IP静态绑定表项，再开启交换机的DHCP Snooping功能，则DHCP客户端不能通过该交换机获取到IP静态绑定表项中已经存在的IP地址。

l              实际组网中，为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题，交换机支持通过配置ARP信任端口，灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测，对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。

l              建议用户不要在汇聚组中的端口上配置ARP入侵检测、ARP报文限速功能。

2.2  认证模式下的ARP攻击防御配置举例

2.2.1  组网需求

某校园网内大部分用户通过接入设备连接网关和外网的服务器。管理员希望通过客户端和服务器间的认证机制，在客户端绑定网关的IP/MAC对应关系，过滤掉仿冒网关的ARP攻击报文。详细网络应用需求分析如下：

l              接入用户可以通过DHCP自动获取IP地址，也可以手工配置静态IP地址。但需要安装802.1x客户端，即：通过802.1x认证才能访问网络。

l              服务器采用H3C公司的CAMS认证/授权、计费服务器；CAMS通过将网关的IP-MAC对应关系下发到认证客户端，防止用户端的网关仿冒等ARP攻击。

l              接入交换机需要开启802.1x和AAA相关配置。

2.2.2  组网图

图2-3 认证模式下的ARP攻击防御组网示意图

2.2.3  配置思路

l              用户安装802.1x客户端，即需要通过802.1x认证才能访问网络。

l              接入交换机Switch A和Switch B上开启802.1x和AAA相关配置。

l              通过CAMS服务器将网关的IP-MAC对应关系下发到认证客户端，防止用户端的网关仿冒等ARP攻击。

2.2.4  配置步骤

1. 配置SwitchA

# 创建VLAN 10，并添加相应端口。

<SwitchA> system-view

[SwitchA] vlan 10

[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/3

[SwitchA-vlan10] quit

＃ 设置RADIUS方案cams，设置主服务器。

[SwitchA] radius scheme cams

[SwitchA-radius-cams] primary authentication 10.10.1.1

[SwitchA-radius-cams] accounting optional

＃ 设置系统与认证Radius服务器交互报文时加密密码为expert。

[SwitchA-radius-cams] key authentication expert

＃设置用户名为不带域名格式。

[SwitchA-radius-cams] user-name-format without-domain

＃服务类型为extended。

[SwitchA-radius-cams] server-type extended

[SwitchA-radius-cams] quit

＃定义ISP域host，并配置认证采用RADIUS方案cams。

[SwitchA] domain host

[SwitchA-isp-host] radius-scheme cams

[SwitchA-isp-host] quit

＃ 将ISP域host设置为缺省ISP域。

[SwitchA] domain default enable host

＃ 交换机全局开启802.1x功能。

[SwitchA] dot1x

＃ 在端口Ethernet1/0/2下开启802.1x功能。

[SwitchA] interface Ethernet1/0/2

[SwitchA-Ethernet1/0/2] dot1x

[SwitchA-Ethernet1/0/2] quit

＃ 在端口Ethernet1/0/3下开启802.1x功能。

[SwitchA] interface Ethernet1/0/3

[SwitchA-Ethernet1/0/3] dot1x

[SwitchA-Ethernet1/0/3] quit

# 配置网关的缺省路由

[SwitchA] ip route-static 0.0.0.0 0 192.168.0.1

2. 配置SwitchB

# 创建VLAN 20，并添加相应端口。

<SwitchB> system-view

[SwitchB] vlan 20

[SwitchB-vlan20] port Ethernet 1/0/1 to Ethernet 1/0/4

[SwitchB-vlan20] quit

＃ 设置RADIUS方案cams，设置主服务器。

[SwitchB] radius scheme cams

[SwitchB-radius-cams] primary authentication 10.10.1.1

[SwitchB-radius-cams] accounting optional

＃ 设置系统与认证Radius服务器交互报文时加密密码为expert。

[SwitchB-radius-cams] key authentication expert

＃设置用户名为不带域名格式。

[SwitchB-radius-cams] user-name-format without-domain

＃服务类型为extended。

[SwitchB-radius-cams] server-type extended

[SwitchB-radius-cams] quit

＃ 定义ISP域host，并配置认证采用RADIUS方案cams。

[SwitchB] domain host

[SwitchB-isp-host] radius-scheme cams

[SwitchB-isp-host] quit

＃ 将ISP域host设置为缺省ISP域。

[SwitchB] domain default enable host

＃ 交换机全局开启802.1x功能。

[SwitchB] dot1x

＃ 在端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4开启802.1x功能。

[SwitchB] interface Ethernet1/0/2

[SwitchB-Ethernet1/0/2] dot1x

[SwitchB-Ethernet1/0/2] quit

[SwitchB] interface Ethernet1/0/3

[SwitchB-Ethernet1/0/3] dot1x

[SwitchB-Ethernet1/0/3] quit

[SwitchB] interface Ethernet1/0/4

[SwitchB-Ethernet1/0/4] dot1x

[SwitchB-Ethernet1/0/4] quit

# 配置网关的缺省路由。

[SwitchB] ip route-static 0.0.0.0 0 192.168.1.1

3. 配置Gateway

<Gateway> system-view

# 创建VLAN 10和VLAN 20，并添加端口

[Gateway] vlan 10

[Gateway–vlan10] port Ethernet 1/0/1

[Gateway–vlan10] quit

[Gateway] vlan 20

[Gateway–vlan20] port Ethernet 1/0/2

[Gateway–vlan20] quit

# 配置Vlan-interface10的IP地址为192.168.0.1/24。

[Gateway] interface vlan 10

[Gateway-Vlan-interface10] ip address 192.168.0.1 24

[Gateway-Vlan-interface10] quit

# 配置Vlan-interface20的IP地址为192.168.1.1/24。

[Gateway] interface vlan 20

[Gateway-Vlan-interface20] ip address 192.168.1.1 24

[Gateway-Vlan-interface20] quit

4. 配置RADIUS Server（以CAMS 2.10-R0210为例）

(1)        在登录页面输入正确的用户名、密码登录CAMS服务器

(2)        创建服务类型

登录CAMS服务器配置平台，点击左侧的“服务管理”下的“服务配置”，进入“服务配置”界面，如图所示。

图2-4 服务配置页面

点击“服务配置”界面上方的“增加”按钮：

l              “基本信息”中设置服务名为“Host”。

l              “认证客户端配置”选择“仅限CAMS配套客户端”；“IP地址获取方式”选择“不限”。

图2-5 增加服务页面

点击确定，成功添加服务类型。

(3)        添加帐户用户（以组网图中用户“Host”帐号的创建为例）

登录CAMS服务器配置平台，点击左侧的“用户管理”的“帐号用户”，进入“帐户管理”界面。

图2-6 用户帐户界面

点击“增加”按钮后：

l              设置用户为“Host”，密码为“Host”，用户姓名为“Host”。

l              在“服务信息”一栏，选择服务名称“Host”。

图2-7 用户开户页面

点击确定完成用户添加。

(4)        接入设备配置

登录CAMS服务器配置平台，点击左侧的“系统管理”的“系统配置”，进入“系统配置”界面。

图2-8 系统配置页面

选择修改“接入设备配置”界面。点击页面下方的“增加”按钮，增加配置项。

配置接入用户的IP地址，共享密钥等信息，如下图所示。

图2-9 增加配置项页面

点击确定后，可以看到如下提示：

图2-10 操作成功提示

此时需要返回“系统配置”页面，点击“立即生效”。

图2-11 系统配置页面的立即生效按钮

(5)        用户网关配置

登录CAMS服务器配置平台，点击左侧的“系统管理”的“系统配置”，进入“系统配置”界面。

图2-12 系统配置页面

选择修改“用户网关配置”，可以增加或修改网关的地址等信息。

继续点击页面下方的“增加”按钮，增加配置项。（以图2-3中，网关Vlan-interface1接口为例）

图2-13 用户网关配置列表页面

点击“确定”，返回“系统配置”页面，点击“立即生效”。完成用户网关配置。

5. 配置客户端

接入用户PC上需要安装H3C公司iNode客户端产品。具体配置如下。

(1)        启动客户端

图2-14 客户端页面

(2)        选择“802.1x协议”

点击下一步：

图2-15 新建802.1x连接

选择“普通连接”，点击“下一步”。

图2-16 选择普通连接

(3)        设置用户名和密码

点击下一步：

图2-17 设置用户名和密码

(4)        设置连接属性

点击下一步：

图2-18 设置连接属性

(5)        完成连接的创建

图2-19 连接创建成功

(6)        启动连接

图2-20 启动连接

2.2.5  注意事项

l              如果接入用户的网段过多，可能导致无法将全部网关的IP-MAC对应关系下发到认证客户端。CAMS服务器上“用户网关配置”的最大数目，和接入交换机最多支持的网关ARP信息的下发数目，请参考相应的产品规格。

l              接入交换机上RADIUS策略，需要配置为server-type extended。