• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C E528[E552]以太网交换机 配置指导-Release 1103-6W101

26-HABP配置

本章节下载  (161.45 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/E/E528[E552]/Configure/Operation_Manual/H3C_E528[E552]_CG-Release_1103-6W101/201108/723331_30005_0.htm

26-HABP配置


1 HABP配置

1.1  HABP简介

HABP(HW Bypass Protocol,HW旁路认证协议)是一种链路层应用协议,工作在MAC层之上,其主要作用是让启用802.1X或MAC地址认证的接入设备的下游设备免认证。

图1-1 802.1X认证典型组网图

 

图1-1所示,802.1X认证端设备Switch A下挂接入设备Switch B和Switch C。在Switch A及其连接下游设备的端口上启动802.1X认证,终端用户可以通过主机上的802.1X客户端进行认证。在这种情况下,如果网络设备Switch B和Switch D之间也需要通信,则它们之间的报文在经过Switch A的时候就必须通过802.1X认证。但是设备上通常不支持802.1X客户端,所以需要一种简单的机制让网络设备绕过802.1X认证。

HABP特性就可以解决以上问题,能帮助一些链路层报文穿过802.1X和MAC地址认证,在不影响认证体系正常功能的情况下,实现非终端用户的网络连接设备穿过认证,完成必要的网络设备间协议通信的功能。

HABP协议采用Server/Client结构,每台设备同一时间只能成为一种角色,Server或Client。HABP server一般应该在802.1X或MAC地址认证端设备上启动,例如上图中的Switch A;HABP client应该在下挂的交换机上启动,例如上图中的Switch B、Switch C、Switch D和Switch E。通常Server会定期向Client发送HABP请求报文,收集下挂交换机MAC地址,形成HABP表项。而Client会对请求报文进行应答,同时向下层交换机转发HABP请求报文。所有的HABP报文只能在一个指定的VLAN内转发。HABP server和HABP client通过该VLAN实现内部通信。

l    在一个集群中,当使能了802.1X或MAC地址认证功能的成员设备还下挂有其它成员设备时,必须在该成员设备上开启HABP server功能,否则管理设备将无法对其下挂的成员设备进行管理。

l    关于集群功能的具体介绍请参见“集群管理配置”。

 

1.2  HABP配置

1.2.1  配置HABP server

HABP server一般是在认证端(开启了802.1X或MAC地址认证功能)设备上启动。开启该功能后,HABP server就会定期(发送时间间隔可配)向连接的HABP client发送HABP请求报文,通过HABP client的响应报文来收集下挂交换机的MAC地址信息。HABP报文在HABP server上的指定VLAN内传播。

表1-1 配置HABP server

操作

命令

说明

进入系统视图

system-view

-

使能HABP功能

habp enable

可选

缺省情况下,HABP功能处于使能状态

设置HABP功能的模式为Server模式,同时指定HABP报文在指定的VLAN内传播

habp server vlan vlan-id

必选

缺省情况下,HABP功能工作在Client模式下

设置发送HABP请求报文的时间间隔

habp timer interval

可选

缺省情况下,发送HABP请求报文的时间间隔为20秒

 

HABP server上指定的传播HABP报文的VLAN必须与HABP client所属的VLAN保持一致。

 

1.2.2  配置HABP client

HABP client是在认证端设备下挂的设备上启动。HABP client收到HABP server的请求报文后,通过发送响应报文向HABP server告知本设备的MAC地址等信息,并向下层交换机转发该HABP请求报文。

表1-2 配置HABP Client

操作

命令

说明

进入系统视图

system-view

-

使能HABP功能

habp enable

可选

缺省情况下,HABP功能处于使能状态

设置HABP功能的模式为Client模式

undo habp server

可选

缺省情况下,HABP功能工作在Client模式下

 

1.3  HABP显示和维护

在完成上述配置后,在任意视图下执行display命令都可以显示配置后HABP的运行情况。

表1-3 HABP显示和维护

操作

命令

显示HABP特性的配置信息和状态

display habp

显示HABP的MAC地址表信息

display habp table

显示HABP报文的统计信息

display habp traffic

 

1.4  HABP典型配置举例

1. 组网需求

Switch A作为管理设备管理下挂的用户接入设备Switch B和Switch C。配置HABP功能使Switch A可以方便地对未通过认证的Switch B和Switch C进行管理。

l              在Switch A上启动HABP server功能,允许HABP报文在VLAN2内传播;

l              在Switch B和Switch C上启动HABP client功能;

l              配置Server以50秒的时间间隔周期性地向Client发送HABP请求报文。

2. 组网图

图1-2 HABP典型配置组网图

 

3. 配置步骤

(1)        配置Switch A

# 配置802.1X相关功能,具体请参见“802.1X配置”,此处略。

# Switch A上使能HABP。(此配置可选,缺省情况下HABP功能处于使能状态)

<SwitchA> system-view

[SwitchA] habp enable

# 配置HABP工作在Server模式下,并指定HABP报文在指定的VLAN 2内传播。

[SwitchA] habp server vlan 2

# 配置发送HABP请求报文的时间间隔为50秒。

[SwitchA] habp timer 50

(2)        配置Switch BSwitch C

由于设备缺省工作在使能HABP功能的Client模式下,因此一般情况下此配置可省。

(3)        验证配置结果

# 可以通过此显示命令查看HABP相关配置信息。

<SwitchA> display habp

Global HABP information:

    HABP Mode: Server

    Sending HABP request packets every 50 seconds

    Bypass VLAN: 2

# 可以通过此显示命令查看MAC地址表项的学习情况。

<SwitchA> display habp table

MAC             Holdtime  Receive Port

001f-3c00-0030  53        GigabitEthernet 1/0/2

001f-3c00-0031  53        GigabitEthernet 1/0/1

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们