国家 / 地区

11-安全配置指导

22-HABP配置

本章节下载  (193.53 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_900/Configure/Operation_Manual/H3C_MSR_CG(V5)-R2511P07-V1.14/11/201808/1106957_30005_0.htm

22-HABP配置


1 HABP

1.1  HABP简介

HABP(HW Bypass Protocol,HW旁路认证协议)是一种链路层应用协议,工作在MAC层之上,其主要作用是让启用802.1X或MAC地址认证的接入设备的下游设备免认证。

图1-1 802.1X认证典型组网图

 

1-1所示,802.1X认证端设备Switch A下挂接入设备Switch B和Switch C。在Switch A及其连接下游设备的端口上启动802.1X认证,终端用户可以通过主机上的802.1X客户端进行认证。在这种情况下,如果网络设备Switch B和Switch D之间也需要通信,则它们之间的报文在经过Switch A的时候就必须通过802.1X认证。但是设备上通常不支持802.1X客户端,所以需要一种简单的机制让网络设备绕过802.1X认证。

HABP特性就可以解决以上问题,能帮助一些链路层报文穿过802.1X和MAC地址认证,在不影响认证体系正常功能的情况下,实现非终端用户的网络连接设备穿过认证,完成必要的网络设备间协议通信的功能。

HABP协议采用Server/Client结构,每台设备同一时间只能成为一种角色,Server或Client。HABP server一般应该在802.1X或MAC地址认证端设备上启动,例如上图中的Switch A;HABP client应该在下挂的交换机上启动,例如上图中的Switch B、Switch C、Switch D和Switch E。通常Server会定期向Client发送HABP请求报文,收集下挂交换机MAC地址,形成HABP表项。而Client会对请求报文进行应答,同时向下层交换机转发HABP请求报文。所有的HABP报文只能在一个指定的VLAN内转发。HABP server和HABP client通过该VLAN实现内部通信。

·          在一个集群中,当使能了802.1X或MAC地址认证功能的成员设备还下挂有其它成员设备时,必须在该成员设备上开启HABP server功能,否则管理设备将无法对其下挂的成员设备进行管理。

·          关于集群功能的具体介绍请参见“网络管理和监控配置指导”中的“集群管理”。

 

1.2  HABP配置

1.2.1  配置HABP server

HABP server一般是在认证端(开启了802.1X或MAC地址认证功能)设备上启动。开启该功能后,HABP server就会定期(发送时间间隔可配)向连接的HABP client发送HABP请求报文,通过HABP client的响应报文来收集下挂交换机的MAC地址信息。HABP报文在HABP server上的指定VLAN内传播。

表1-1 配置HABP server

操作

命令

说明

进入系统视图

system-view

-

使能HABP功能

habp enable

可选

缺省情况下,HABP功能处于使能状态

设置HABP功能的模式为Server模式,同时指定HABP报文在指定的VLAN内传播

habp server vlan vlan-id

必选

缺省情况下,HABP功能工作在Client模式下

设置发送HABP请求报文的时间间隔

habp timer interval

可选

缺省情况下,发送HABP请求报文的时间间隔为20秒

 

HABP server上指定的传播HABP报文的VLAN必须与HABP client所属的VLAN保持一致。

 

1.2.2  配置HABP client

HABP client是在认证端设备下挂的设备上启动。HABP client收到HABP server的请求报文后,通过发送响应报文向HABP server告知本设备的MAC地址等信息,并向下层交换机转发该HABP请求报文。HABP报文在HABP client所属的指定VLAN内传播。

表1-2 配置HABP Client

操作

命令

说明

进入系统视图

system-view

-

使能HABP功能

habp enable

可选

缺省情况下,HABP功能处于使能状态

设置HABP功能的模式为Client模式

undo habp server

可选

缺省情况下,HABP功能工作在Client模式下

设置HABP client所属的VLAN

habp client vlan vlan-id

可选

缺省情况下,HABP Client所属的VLAN为VLAN 1

 

HABP client所属的VLAN必须与HABP server上指定的传播HABP报文的VLAN保持一致。

 

1.3  HABP显示和维护

在完成上述配置后,在任意视图下执行display命令都可以显示配置后HABP的运行情况。

表1-3 HABP显示和维护

操作

命令

显示HABP特性的配置信息和状态

display habp [ | { begin | exclude | include } regular-expression ]

显示HABP的MAC地址表信息

display habp table [ | { begin | exclude | include } regular-expression ]

显示HABP报文的统计信息

display habp traffic [ | { begin | exclude | include } regular-expression ]

 

1.4  HABP典型配置举例

1. 组网需求

1-2所示,Device下挂用户接入设备Switch A和Switch B。为了便于对接入用户(Host A~Host D)进行集中认证,在Device上开启802.1X功能。

·              为满足Switch A和Switch B之间的通信需求,需要在Device上启动HABP server功能,在Switch A和Switch B上启动HABP client功能,并指定HABP报文在VLAN 1内传播。

·              HABP server以50秒的时间间隔周期性地向VLAN 1内的HABP client发送HABP请求报文。

2. 组网图

图1-2 HABP典型配置组网图

 

3. 配置步骤

(1)      配置Device

# 配置802.1X相关功能,具体请参见“安全配置指导”中的“802.1X”,此处略。

# 在Device上使能HABP。(此配置可选,缺省情况下HABP功能处于使能状态)

<Device> system-view

[Device] habp enable

# 配置HABP工作在Server模式下,并指定HABP报文在VLAN 1内传播。

[Device] habp server vlan 1

# 配置发送HABP请求报文的时间间隔为50秒。

[Device] habp timer 50

(2)      配置Switch A

# 在Switch A上使能HABP。(此配置可选,缺省情况下HABP功能处于使能状态)

<SwitchA> system-view

[SwitchA] habp enable

# 配置HABP工作在Client模式下。(此配置可选,缺省情况下HABP工作在Client模式下)

[SwitchA] undo habp server

# 配置HABP Client所属的VLAN,指定HABP报文在VLAN 1内传播。(此配置可选,缺省情况下HABP Client属于VLAN 1)

[SwitchA] habp client vlan 1

(3)      配置Switch B

配置步骤同Switch A,此处略。

(4)      验证配置结果

# 可以通过此显示命令查看HABP相关配置信息。

<Device> display habp

Global HABP information:

         HABP Mode: Server

         Sending HABP request packets every 50 seconds

         Bypass VLAN: 1

# 可以通过此显示命令查看MAC地址表项的学习情况。

<Device> display habp table

MAC             Holdtime  Receive Port

001f-3c00-0030  53        GigabitEthernet1/2

001f-3c00-0031  53        GigabitEthernet1/1

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部