华为交换机常见NAC操作

1. 配置MAC旁路认证：在同时存在PC以及少量哑终端（如打印机）的网络环境中，可配置802.1X认证MAC旁路认证功能保证哑终端同样能够接入802.1X认证网络 （1）NAC传统模式下配置MAC旁路认证功能 在系统视图下对多个接口进行批量配置： [HUAWEI] dot1x enable [HUAWEI] dot1x enable interface gigabitethernet 0/0/1 gigabitethernet 0/0/5 [HUAWEI] dot1x mac-bypass interface gigabitethernet 0/0/1 gigabitethernet 0/0/5 在接口视图下对每个接口进行单个配置： [HUAWEI] dot1x enable [HUAWEI-GigabitEthernet0/0/1] dot1x enable [HUAWEI-GigabitEthernet0/0/1] dot1x mac-bypass （2）NAC统一模式下配置MAC旁路认证功能 对于V200R009C00之前的版本，需要在接口下同时配置802.1X和MAC认证，并且802.1X认证配置在前： [HUAWEI-GigabitEthernet0/0/1] authentication dot1x mac-authen 对于V200R009C00及其之后的版本，需要在认证模板下同时绑定802.1X接入模板和MAC接入模板，并且配置命令authentication dot1x-mac-bypass，之后将认证模板绑定到接口上： [HUAWEI] mac-access-profile name m1 [HUAWEI] dot1x-access-profile name d1 [HUAWEI] authentication-profile name p1 [HUAWEI-authen-profile-p1]mac-access-profile m1 [HUAWEI-authen-profile-p1]dot1x-access-profile d1 [HUAWEI-authen-profile-p1]authentication dot1x-mac-bypass [HUAWEI-GigabitEthernet0/0/1]authentication-profile p1
2. 配置Guest VLAN功能：为了满足用户不进行认证即能访问某些网络资源需求，譬如下载客户端软件、升级客户端、更新病毒库等，可配置Guest VLAN功能。交换机V200R005C00及其之后版本，仅NAC传统模式支持Guest VLAN功能。 （1）在系统视图下对多个接口进行批量配置 [HUAWEI] dot1x enable [HUAWEI]dot1x enable interface gigabitethernet 0/0/1 gigabitethernet 0/0/5 [HUAWEI]authentication guest-vlan 10 interface gigabitethernet 0/0/1 gigabitethernet 0/0/5 （2）接口视图下对每个接口进行单个配置 [HUAWEI] dot1x enable [HUAWEI-GigabitEthernet0/0/1] dot1x enable [HUAWEI-GigabitEthernet0/0/1] authentication guest-vlan 10
3. 配置802.1X认证报文二层透明传输功能：802.1X认证过程中的EAP协议报文，是一种BPDU报文。对于BPDU报文，华为公司的交换机设备当前缺省是不做二层转发的。因此如果使能802.1X的设备和用户之间还存在二层交换机，就必须在其上配置二层透明传输，否则用户发送的EAP报文将无法到达认证设备，用户自然无法通过认证。 [LAN Switch]l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 //group-mac不能设置为保留的组播MAC地址（0180-C200-0000～0180-C200-002F）以及其他几种特殊MAC地址，其余MAC地址均可。 [LAN Switch]interface gigabitethernet 0/0/1 //需要在二层交换机连接上行网络以及用户的所有接口上进行配置 [LAN Switch-GigabitEthernet0/0/1]l2protocol-tunnel user-defined-protocol dot1x enable [LAN Switch-GigabitEthernet0/0/1] bpdu enable
4. 限制802.1X认证接口可以学习的MAC地址数量：由于802.1X认证功能与mac-limit命令以及mac-address learning disable命令冲突，因此当接口使能802.1X认证功能之后，无法再通过执行mac-limit命令和mac-address learning disable命令限制接口可以学习的MAC地址数量 （1）NAC传统模式 [HUAWEI-GigabitEthernet0/0/1] dot1x max-user 3 （适用于V200R012及之后版本）在接口下配置端口安全功能，并限制该接口能够学习的MAC地址数量： [HUAWEI-GigabitEthernet0/0/1]port-security enable [HUAWEI-GigabitEthernet0/0/1]port-security max-mac-num 3 （2）NAC统一模式 适用于V200R005-V200R008版本）通过限制接口下允许接入的用户数量，从而限制该接口可以学习的MAC地址数量： [HUAWEI-GigabitEthernet0/0/1] authentication mode multi-authen max-user 3 （适用于V200R009及之后版本）通过在认证模板下配置允许接入的802.1X认证用户数量并将该模板应用到指定接口，从而限制该接口可以学习的MAC地址数量： [HUAWEI]dot1x-access-profile name d1 [HUAWEI]authentication-profile name p1 [HUAWEI-authen-profile-p1]dot1x-access-profile d1 [HUAWEI-authen-profile-p1]authentication mode multi-authen max-user 3 dot1x [HUAWEI-GigabitEthernet0/0/1]authentication-profile p1 （适用于V200R012及之后版本）在接口下配置端口安全功能，并限制该接口能够学习的MAC地址数量： [HUAWEI-GigabitEthernet0/0/1] port-security enable [HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 3