• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C 中低端以太网交换机 安全典型配置指导-6W100

05-HABP典型配置指导

本章节下载 05-HABP典型配置指导  (145.73 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/CE3000/CE3000-EI/Configure/Typical_Configuration_Example/H3C_Security_CG-6W100/201111/733255_30005_0.htm

05-HABP典型配置指导


1 HABP典型配置指导

1.1  HABP简介

HABP(HW Bypass Protocol,HW旁路认证协议)是一种链路层应用协议,工作在MAC层之上,其主要作用是让802.1X或MAC地址认证接入端设备的下游设备直接通过认证。

图1-1 HABP认证典型组网图

图1-1所示,802.1X认证端设备Switch A下挂接入设备Switch B和Switch C。在Switch A及其连接下游设备的端口上启动802.1X认证,终端用户可以通过主机上的802.1X客户端进行认证。在这种情况下,如果网络设备Switch B和Switch D之间也需要通信,则它们之间的报文在经过Switch A的时候就必须通过802.1X认证。但是设备上通常不支持802.1X客户端,所以需要一种简单的机制让网络设备绕过802.1X认证。

HABP特性就可以解决以上问题,能帮助一些链路层报文穿过802.1X和MAC地址认证,在不影响认证体系正常功能的情况下,实现非终端用户的网络连接设备穿过认证,完成必要的网络设备间协议通信的功能。

HABP协议采用Server/Client结构,每台设备同一时间只能成为一种角色,Server或Client。HABP server一般应该在802.1X或MAC地址认证端设备上启动,例如上图中的Switch A;HABP client应该在下挂的交换机上启动,例如上图中的Switch B、Switch C、Switch D和Switch E。通常Server会定期向Client发送HABP请求报文,收集下挂交换机MAC地址,形成HABP表项。而Client会对请求报文进行应答,同时向下层交换机转发HABP请求报文。所有的HABP报文只能在一个指定的VLAN内转发。HABP server和HABP client通过该VLAN实现内部通信。

1.2  HABP典型配置指导

1.2.1  应用需求

图1-2,Switch A下挂用户接入设备Switch B和Switch C,为了便于对接入用户(Host A~Host D)进行集中认证和管理,在Switch A上开启802.1X功能。同时,为满足Switch B和Switch C之间的通信需求,需要让Switch B和SwitchC直接通过认证。

图1-2 HABP典型配置组网图

 

1.2.2  配置思路

由于Switch B和SwitchC无法安装802.1X客户端软件,为满足Switch B和SwitchC之间的通信需求,需要通过HABP功能让Switch B和SwitchC直接通过认证;此时,可以在Switch A上启动HABP server功能,在Switch B和Switch C上启动HABP client功能。

具体配置包括:

(1)        配置Switch A

l              开启802.1X相关功能,并配为认证用户添加认证域和RADIUS方案(具体配置请参考“802.1X典型配置指导”,这里不在赘述)

l              开启HABP server功能,并配置发送HABP请求报文的时间间隔等参数

(2)        配置Switch BSwitch C工作在HABP功能的Client模式(交换机缺省工作在此模式下)

1.2.3  适用产品、版本

表1-1 配置适用的产品与软硬件版本关系

产品

软件版本

S5800&S5820X系列以太网交换机

Release 1110,Release 1211

CE3000-32F以太网交换机

Release 1211

S5500-EI系列以太网交换机

Release 2202,Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ,Release 2208

S5120-EI系列以太网交换机

Release 2202,Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101,Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3610&S5510系列以太网交换机

Release 5301,Release 5303,Release 5306,Release 5309

S3500-EA系列以太网交换机

Release 5303,Release 5309

S3100V2系列以太网交换机

Release 5103

E126B以太网交换机

Release 5103

 

1.2.4  配置过程和解释

(1)        配置Switch A

# Switch A上配置802.1X相关功能,具体请参见“802.1X典型配置指导”。

# Switch A上开启HABP(缺省情况下,交换机的HABP功能出于开启状态,此步骤可省)。

<SwitchA> system-view

[SwitchA] habp enable

# 配置HABP工作在Server模式下,并指定HABP报文在指定的管理VLAN(缺省情况下,Switch A的管理VLAN为VLAN 1)内传播。

[SwitchA] habp server vlan 1

# 配置发送HABP请求报文的时间间隔为50秒。

[SwitchA] habp timer 50

(2)        配置Switch BSwitch C

由于设备缺省工作在使能HABP功能的Client模式下,因此一般情况下此配置可省。

(3)        验证配置结果

# 可以通过此显示命令查看HABP相关配置信息。

<SwitchA> display habp

Global HABP information:

    HABP Mode: Server

    Sending HABP request packets every 50 seconds

    Bypass VLAN: 1

# 可以通过此显示命令查看MAC地址表项的学习情况。

<SwitchA> display habp table

MAC             Holdtime  Receive Port

001f-3c00-0030  53        GigabitEthernet 1/0/1

001f-3c00-0031  53        GigabitEthernet 1/0/2

1.2.5  完整配置

Switch A上的完整配置

#

 habp server vlan 1

 habp timer 50

#

1.2.6  配置注意事项

在一个集群中,当使能了802.1X或MAC地址认证功能的成员设备还下挂有其它成员设备时,必须在该成员设备上开启HABP server功能,否则管理设备将无法对其下挂的成员设备进行管理。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们