华为802.1x认证配置

升级步骤：

1、 停用需要安装新版本的上的交换机的802.1X认证协议，进入到交换机全局配置模式下，undo dot1x即可。 全局配置模式下： undo dot1x

2、 交换机上的802.1X认证停用后就可以安装新的代理程序（安装时自动卸载6.2的客户端）。

3、 删除交换机上老的认证IP地址，添加新的认证IP地址。命令如下： 全局模式下：

radius scheme system

undo primary authentication undo primary accounting

primary authentication 172.16.10.5 1812 primary accounting 172.16.10.5 1813

4、 开启策略的802.1X认证（已开启）。

5、 开启交换机上的802.1X认证，命令如下： 全局配置模式下：

domain default enable system dot1x

dot1x authentication-method eap 6、 代理自动认证，上网成功；

配置详细命令如下：

H3C交换机进行相关配置，常用的命令如下： //设置交换机ip system-view

interfac

1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括

port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息

示例配置：

Router#configure terminal

Router(config)#aaa new-model

Router(config)#aaa authentication dot1x default group radius

Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey

Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0

Router(config-if)#dot1x port-control auto

AUTO是常用的方

1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括

port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息

示例配置：

Router#configure terminal

Router(config)#aaa new-model

Router(config)#aaa authentication dot1x default group radius

Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey

Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0

Router(config-if)#dot1x port-control auto

AUTO是常用的方

客户端主动向设备端发送EAPOL-Start报文来触发认证，该报文目的地址为IEEE 802.1x协议分配的一个组播MAC地址：01-80-C2-00-00-03。

设备端收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报文）要求

用户的客户端程序发送输入的用户名.设备端用的源地址是参与生成树的那个MAC地址，

客户端程序响应设备端发出的请求，将用户名信息通过数据帧（EAP-Response/Identity

报文）发送给设备端

设备端将客户端发送的数据帧经过封包处理后（RADIUS Access-Request报文）送给认证

服务器进行处理。

（4）RADIUS服务器收到设备端转发的用户名信息后，将该信息与数据库中的用户名表对

比，找到该用户名对应的密码信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端，由设备端转发给客户端程序。

(5) 客户端程序收到由设备端传来的加密字（EAP-Request/MD5 Challenge报文）后，用该加密字对密码部分进行加密处理（此种加密算法通常是不可逆的，生成EAP-Response

Secospace系统802.1X认证配置指导书

华为技术有限公司 Huawei Technologies Co., Ltd.

版权所有 侵权必究 All rights reserved

目 录

1.

802.1X认证简介 ...................................................................................................................1 1.1.1 概述 .............................................................................................................................1 1.1.2 基本原理 ......................................................................................................................2 1.1.3 与Secospace系统结合认证 .........

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

华中科技大学

硕士学位论文

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

姓名：周晓

申请学位级别：硕士

专业：通信与信息系统

指导教师：王芙蓉

20060428

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

摘要

随着信息技术的高速发展，网络安全技术也越来越受到重视，由此推动了防火墙、访问控制等各种网络安全技术的蓬勃发展。出于网络安全和计费的需要，基于端口控制的802.1X技术成为主流的身份验证机制，与此同时，以“集中式管理、分布式防护”为理念的分布式防火墙也以有效的端点防护成为企业网络安全重要解决方案。如今，有70%以上的安全威胁来自于企业内部，那些通过身份认证的主机往往有意无意地充当着攻击源，使得管理员防不胜防。企业希望能够以基于身份验证和主机安全状态的新型信任模式来控制终端接入内网。论文主要针对802.1X认证技术和分布式防火墙技术协同工作开展深入研究，并给出一种具体的解决方案。

首先，对802.1X协议及相关的EAP协议和RADIUS协议进行系统的研究。通过分析802.1X技术所采用的安全技术和工作原理，实现802.1X的从基于端口到基于用户的扩展。分析整理

HCNPH12-222 V200 HCNP-R&S-IESN

(HuaweiCertifiedNetworkProfessional-ImplementingEnterpriseSwitchingNetwork)

鸿鹤论坛http：//bbs.hh010.com

华为题库战报区http：///forum-huawei-1.html

1. 本题库为鸿鹄论坛提供，具体见上；

2. 鉴于鸿鹄论坛提供的题库存在少量的错误（指错别字，个别题目没答案），重新校对；

3. 鸿鹄论坛提供的是无解析的vce，本人私下手工将其转换为解析版WORD、解析版PDF，方便查阅。 4. 由于本人手工转换、解读及校对，难免存在错误，尽情指出。 5. 也顺手将其制作成方便检测和练习的VCE版本，附件可下载。 6. 其他事宜可联系：x120952576@126.com

1.

判断：采用VLAN方式进行组网，能够将网络划分为多个广播域，减少了广播流量，避免了广播风暴的产生，并且增强了信息的安全性。 A. True B. False Answer：B 2.

关于华为交换机设备中的Hybrid端口下面说法正确的是： A. Hybrid端口只能用来连接网络设备 B. Hybrid端口只

/目前，我国应用最为广泛的LAN标准是基于（）的以太网标准. A、 IEEE 802.1 B、 IEEE 802.2 C、 IEEE 802.3 D、 IEEE 802.5 答:C

/对于这样一个地址,192.168.19.255/20,下列说法正确的是: （ ） A、 这是一个广播地址 B、 这是一个网络地址 C、 这是一个私有地址

D、 地址在192.168.19.0网段上 E、 地址在192.168.16.0网段上 F、 这是一个公有地址 答:CE

/Quidway系列路由器在执行数据包转发时，下列哪些项没有发生变化（假定没有使用地址转换技术）？（ ） A、 源端口号 B、 目的端口号 C、 源网络地址 D、 目的网络地址 E、 源MAC地址 F、 目的MAC地址 答:ABCD

/下列所述的哪一个是无连接的传输层协议？（ ） A、 ＴＣＰ B、 ＵＤＰ C、 ＩＰ D、 ＳＰＸ 答:B

TCP/IP传输层的协议有：TCP/UDP NETWARE的IPX/SPX中传输层的协议有：SPX

面向连接的协议是可靠的传输使用三重握手机制如TCP和SPX面向无连接的协议是不可靠的传输如UDP，但传输速度快，常用在在线视

HCNPH12-222 V200 HCNP-R&S-IESN

(HuaweiCertifiedNetworkProfessional-ImplementingEnterpriseSwitchingNetwork)

鸿鹤论坛http：//bbs.hh010.com

华为题库战报区http：///forum-huawei-1.html

1. 本题库为鸿鹄论坛提供，具体见上；

2. 鉴于鸿鹄论坛提供的题库存在少量的错误（指错别字，个别题目没答案），重新校对；

3. 鸿鹄论坛提供的是无解析的vce，本人私下手工将其转换为解析版WORD、解析版PDF，方便查阅。 4. 由于本人手工转换、解读及校对，难免存在错误，尽情指出。 5. 也顺手将其制作成方便检测和练习的VCE版本，附件可下载。 6. 其他事宜可联系：x120952576@126.com

1.

判断：采用VLAN方式进行组网，能够将网络划分为多个广播域，减少了广播流量，避免了广播风暴的产生，并且增强了信息的安全性。 A. True B. False Answer：B 2.

关于华为交换机设备中的Hybrid端口下面说法正确的是： A. Hybrid端口只能用来连接网络设备 B. Hybrid端口只

文档密级

最终配置参考

第一章 eNSP及VRP基础操作

1.2 熟悉VRP基本操作

最终配置

display current-configuration [V200R003C00] #

sysname R1

header shell information \ header login information \#

clock timezone BJ add 08:00:00

clock daylight-saving-time Day Light Saving Time repeating 12:32 9-1 12:32 11-23 00:00 2005 2005 #

interface GigabitEthernet0/0/0 ip address 10.1.1.1 255.255.255.0 # Return

1.3 熟悉常用的IP相关命令

最终配置

display current-configuration [V200R003C00] #

sysname R1 #

interface GigabitEthernet0/0/0

ip address 10.0.1.254 255.255.255.0 #

2016