05-HABP典型配置指导
本章节下载: 05-HABP典型配置指导 (145.73 KB)
目 录
HABP(HW Bypass Protocol,HW旁路认证协议)是一种链路层应用协议,工作在MAC层之上,其主要作用是让802.1X或MAC地址认证接入端设备的下游设备直接通过认证。
图1-1 HABP认证典型组网图
如图1-1所示,802.1X认证端设备Switch A下挂接入设备Switch B和Switch C。在Switch A及其连接下游设备的端口上启动802.1X认证,终端用户可以通过主机上的802.1X客户端进行认证。在这种情况下,如果网络设备Switch B和Switch D之间也需要通信,则它们之间的报文在经过Switch A的时候就必须通过802.1X认证。但是设备上通常不支持802.1X客户端,所以需要一种简单的机制让网络设备绕过802.1X认证。
HABP特性就可以解决以上问题,能帮助一些链路层报文穿过802.1X和MAC地址认证,在不影响认证体系正常功能的情况下,实现非终端用户的网络连接设备穿过认证,完成必要的网络设备间协议通信的功能。
HABP协议采用Server/Client结构,每台设备同一时间只能成为一种角色,Server或Client。HABP server一般应该在802.1X或MAC地址认证端设备上启动,例如上图中的Switch A;HABP client应该在下挂的交换机上启动,例如上图中的Switch B、Switch C、Switch D和Switch E。通常Server会定期向Client发送HABP请求报文,收集下挂交换机MAC地址,形成HABP表项。而Client会对请求报文进行应答,同时向下层交换机转发HABP请求报文。所有的HABP报文只能在一个指定的VLAN内转发。HABP server和HABP client通过该VLAN实现内部通信。
如图1-2,Switch A下挂用户接入设备Switch B和Switch C,为了便于对接入用户(Host A~Host D)进行集中认证和管理,在Switch A上开启802.1X功能。同时,为满足Switch B和Switch C之间的通信需求,需要让Switch B和SwitchC直接通过认证。
图1-2 HABP典型配置组网图
由于Switch B和SwitchC无法安装802.1X客户端软件,为满足Switch B和SwitchC之间的通信需求,需要通过HABP功能让Switch B和SwitchC直接通过认证;此时,可以在Switch A上启动HABP server功能,在Switch B和Switch C上启动HABP client功能。
具体配置包括:
(1) 配置Switch A
l 开启802.1X相关功能,并配为认证用户添加认证域和RADIUS方案(具体配置请参考“802.1X典型配置指导”,这里不在赘述)
l 开启HABP server功能,并配置发送HABP请求报文的时间间隔等参数
(2) 配置Switch B,Switch C工作在HABP功能的Client模式(交换机缺省工作在此模式下)
表1-1 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 配置Switch A
# 在Switch A上配置802.1X相关功能,具体请参见“802.1X典型配置指导”。
# 在Switch A上开启HABP(缺省情况下,交换机的HABP功能出于开启状态,此步骤可省)。
<SwitchA> system-view
[SwitchA] habp enable
# 配置HABP工作在Server模式下,并指定HABP报文在指定的管理VLAN(缺省情况下,Switch A的管理VLAN为VLAN 1)内传播。
[SwitchA] habp server vlan 1
# 配置发送HABP请求报文的时间间隔为50秒。
[SwitchA] habp timer 50
(2) 配置Switch B和Switch C
由于设备缺省工作在使能HABP功能的Client模式下,因此一般情况下此配置可省。
(3) 验证配置结果
# 可以通过此显示命令查看HABP相关配置信息。
<SwitchA> display habp
Global HABP information:
HABP Mode: Server
Sending HABP request packets every 50 seconds
Bypass VLAN: 1
# 可以通过此显示命令查看MAC地址表项的学习情况。
<SwitchA> display habp table
MAC Holdtime Receive Port
001f-3c00-0030 53 GigabitEthernet 1/0/1
001f-3c00-0031 53 GigabitEthernet 1/0/2
Switch A上的完整配置
#
habp server vlan 1
habp timer 50
#
在一个集群中,当使能了802.1X或MAC地址认证功能的成员设备还下挂有其它成员设备时,必须在该成员设备上开启HABP server功能,否则管理设备将无法对其下挂的成员设备进行管理。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!