搜索内容

SE_Gao 的文章

  • AAA认证、portal认证、802.1X

    AAA认证 AAA认证是一种网络访问控制框架,包括了身份验证、授权和会计三个主要功能。 身份验证: 在AAA认证中,身份验证用于确认用户的身份。它确保用户是其所声称的那个人。常见的身份验证方式包括用户名/密码、数字证书、双因素认证等。认证过程通过验证服务器(如RADIUS、TACACS+等)来进行,验证服务器与用户进行身份验证交互,并确定用户的身份是否有效。 授权: 一旦用户的身份验证成功,接下来是授权阶段。授权决定了用户可以访问的资源或服务范围。在AAA认证中,授权服务器根据预设策略和权限规则,对用户进行授权,给予合适的访问权限。授权可以限制用户的访问时间、访问内容以及访问级别等。 会计: 会计是AAA认证中的记录和审计功能。它用于跟踪和记录用户的访问活动,包括登录时间、使用的资源和服务、数据传输量等信息。会计记录不仅有助于监测网络使用情况和行为审计,也可以用于计费、报告和安全分析等目的。 AAA认证框架提供了一套综合的网络访问控制机制,确保只有经过身份验证、具有合适权限的用户才能访问网络资源。它有助于提高网络安全性、管理和监控用户活动,并为网络管理员提供更有效的控制手段。 portal认证 Portal认证是指通过门户网站进行身份验证和授权的过程。门户网站通常提供了一个统一的入口,用户可以使用自己的凭据(如用户名和密码)登录到门户系统,并根据其身份和权限获取相应的访问权限和服务。 在Portal认证中,我把它分为以下五个步骤: 用户使用接入设备(如计算机、手机等)通过网络访问门户网站。 用户在门户网站上输入自己的凭据(如用户名和密码)等身份验证信息。 门户服务器接收到用户提供的身份验证信息后,将与认证服务器进行通信,验证用户的身份是否有效。这可能涉及检查用户名和密码的正确性、使用双因素认证方式(如短信验证码、指纹识别等)等。 一旦用……

    SE_Gao 2024-10-24
    26 0 0

  • 什么是802.1X?

    802.1X协议的背景 早期的IEEE 802 LAN协议中,只要用户可以接入局域网的控制设备(例如接入交换机),就可以访问局域网中的设备或资源,这无疑是存在安全隐患的。为解决无线局域网的安全问题,IEEE 802委员会提出了802.1X协议。802.1X协议可以控制用户的网络访问权限,防止身份不明或未经授权的用户传输和接收数据。由于802.1X协议的普适性,因此后来也广泛应用于有线局域网。 与其他接入控制机制不同,802.1X协议是通过控制接入端口,实现用户级的接入控制。在802.1X协议中,物理接入端口被划分为“受控端口”和“非受控端口”这两个逻辑端口,用于实现业务与认证的分离。非受控端口主要用于传递EAPOL协议帧,始终处于双向连通状态,保证客户端始终能够发出或接收认证报文;而受控端口用于传递业务报文,因此在授权状态下处于双向连通状态,在非授权状态下不从客户端接收任何报文。 换言之,基于802.1X协议的认证,其最终目的就是确定用户的接入端口是否可用。如果认证成功,那么就打开端口,允许客户端的所有报文通过;如果认证不成功,就保持端口的关闭状态,只允许EAPOL协议帧通过。 什么时候需要使用802.1X? 通常在新建网络、用户集中或者信息安全要求严格的场景中使用802.1X认证。802.1X认证具有以下优点: 对接入设备的性能要求不高。802.1X协议为二层协议,不需要到达三层,可以有效降低建网成本。 在未授权状态下,不允许与客户端交互业务报文,因此保证了业务安全。 以企业网络为例。员工终端一般需要接入办公网络,安全要求较高,此时推荐使用802.1X认证。 但802.1X认证要求客户端必须安装802.1X客户端软件。在机场、商业中心等公共场所,用户流动性大,终端类型复杂,且安全要求不高,可以使用Portal认证。对于打印机、传真机等哑终端,可以使用MAC认证,以应对哑终端不支持安装802.1X客户端软件,……

    SE_Gao 2024-10-23
    13 0 0

  • dot1x

    前言: 802.1X认证是网络接入控制方案(NAC)中的一种,是一种基于端口的网络接入控制协议,通过它能够实现保护企业内网的安全性的目的。 802.1X认证安全性较高,但是却需要客户终端安装802.1X客户端,网络部署不灵活。相较而言,NAC中的MAC认证方式不需要安装客户端,但是需要在认证服务器上登记MAC地址,管理复杂;而Portal认证方式同样不需要客户端并且部署灵活,但是安全性不高。 所以,802.1X认证一般适用于新建网络、用户集中并且信息安全要求严格的场景。 场景: 华为Agile Controller-Campus对接入用户进行802.1X认证(认证点部署在接入交换机) HUAWEI/H3C设备——对接HUAWEI AG(RADIUS服务器) NAC为统一模式,可基于VPN实例 终端用户(支持802.1x认证)采用802.1x认证方式接入的组网环境 一、华为设备: 1、配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略) #配置过程中有两个个共享密钥(RADIUS认证和计费密钥)交换机侧与服务器侧必须要配置一致 2、配置全网路由可达 3、(可选)配置二层交换机透传802.1x认证报文 l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 interface Ethernet接口/GE接口/Eth-Trunk接口 l2protocol-tunnel user-defined-protocol 802.1X enable bpdu enable 4、创建RADIUS服务器模板(指定RADIUS服务器IP地址及共享密钥) radius-server template radius_temp #创建radius server模板 radius-server shared-key cipher Radius@Auth #定义共享秘钥 radius-server authentication X.X.X.X 1812 vpn-instance Video source ip-address X.X.X.X weight 100 #ip-address为需要修改的地址,每个局点不同 radius-server acco……

    SE_Gao 2024-10-22
    29 0 0

  • 华为s系列交换机ssh登录

    问题描述 1:问题描述,通过在华为X7系列企业交换机上配置通过stelnet登录设备,完成配置后终端采用Secure CRT软件ssh2 登录设备报错; 原配置如下: dsa local-key-pair create stelnet server enable ssh user huawei ssh user huawei authentication-type password ssh user huawei server-type stelnet ssh server cipher aes256_ctr aes128_ctr ssh server hmac sha2_256 ssh client cipher aes256_ctr aes128_ctr ssh client hmac sha2_256 ssh server dh-exchange min-len 2048 aaa local-user huawei password ci xxxx local-user huawei server-type telnet ssh local-user huawei pri le 15 2:设备型号:S5730-44C-HI; 版本v200r019c00spc500 告警信息 1:异常现象如下: 在终端CRT软件使用ssh2登录设备进出现如下告警信息: key exchange failed.no compatible mac.the server supports these macs:hmac-sha2-256 处理过程 1:处理过程; 根据在交换机上检查配置关于有hmacr关键字,发现有如下配置信息: 通过在全局模式下执行dis th 发现 ssh client hmac sha2_256 ssh  server hmac sha2_256 2:处理办法: 在全局视图下执行 undo ssh client hmac 最后在用户视图执行保存,测试通过ssh2 登录正常 解决方案 解决方案:通过在全局模式下执行:undi ssh server hmac sha2_256  即可完成处理 建议与总结 建议:如果有碰到这种调试问题的,可以采用这种方式解决,且sx7系列交换机都可通过这种 方式处理; 总结:就是碰到这种配置问题需要多检查,多尝试,才能多排除问题;

    SE_Gao 2024-10-21
    92 0 0

  • S6720堆叠报错

    问题描述 两台S6720-54C-EI-48S-AC设备进行堆叠 通过10GE口堆叠成功 没有问题 但通过40GE口堆叠时插上线缆 设备就会重启 告警信息  HUAWEI FSP/3/LOGPORT_ILLEGAL:OID 1.3.6.1.4.1.2011.5.25.183.1.22.9 处理过程 1.和客户确认堆叠信息,光模块、堆叠线缆参数都没有异常 2.查看信息发现设备中有 OID: 1.3.6.1.4.1.2011.5.25.183.1.22.9 信息 经查询确认是堆叠逻辑口连接错误 3.告知请重新连线进行测试,且堆叠连线时,本端设备的逻辑堆叠端口stack-port n/1必须与对端设备的逻辑堆叠端口stack-port n/2相连 4.表示用10GE口堆叠成功,40GE口堆叠时插上堆叠线设备就会自行重启 5.获取光模块,堆叠线缆图片分析后发现堆叠线缆标签上标明的是 40G QSFP+ Active Optical Cable 1M ,至此确认是由于堆叠线缆使用了有源的线缆而不是无源的线缆导致的问题 根因 堆叠线缆选型错误 Passive才是无源线缆 Active则表示有源线缆 解决方案 所选用的堆叠线缆错误 应该选用无源的(Passive) 但是实际使用的是有源的(Active)

    SE_Gao 2024-10-18
    11 0 0

  • 两台S6720做了VRRP,并且作为客户端的网关,客户端出现多重网络

    问题描述 两台S6720做了VRRP主备,作为底下客户端的网关设备,在两台S6720上都配置了dhcp用来分配地址,客户端采用自动获取地址,在网络和共享中心那边看到有多重网络的字样,并且存在多重网络字样的主机都上不了网,可以ping通网关,但是ping不通公网。 如图: 主S6720的部分关键配置如下: interface Vlanif2 description manage ip address 10.1.2.2 255.255.255.0 vrrp vrid 2 virtual-ip 10.1.2.1 vrrp vrid 2 priority 200 vrrp vrid 2 preempt-mode timer delay 5 traffic-policy 2 inbound # interface Vlanif3 description 6Lou ip address 10.1.3.2 255.255.255.0 vrrp vrid 3 virtual-ip 10.1.3.1 vrrp vrid 3 priority 200 vrrp vrid 3 preempt-mode timer delay 5 dhcp select interface dhcp server dns-list 192.168.0.7 192.168.0.8 223.5.5.5 # interface Vlanif4 description 7Lou ip address 10.1.4.2 255.255.255.0 vrrp vrid 4 virtual-ip 10.1.4.1 vrrp vrid 4 priority 200 vrrp vrid 4 preempt-mode timer delay 5 dhcp select interface dhcp server dns-list 192.168.0.7 192.168.0.8 223.5.5.5 # interface Vlanif5 description 8Lou ip address 10.1.5.2 255.255.255.0 vrrp vrid 5 virtual-ip 10.1.5.1 vrrp vrid 5 priority 200 vrrp vrid 5 preempt-mode timer delay 5 dhcp select interface dhcp server dns-list 192.168.0.7 192.168.0.8 223.5.5.5 # interface Vlanif6 description wifi_office ip address 10.1.6.2 255.255.254.0 vrrp vrid 6 virtual-ip 10.1.6.1 vrrp vrid 6 priority 200 vrrp vrid 6 preempt-mode timer delay 5 dhcp select interface dhcp server dns-list 192.168.0.7 192.168.0.8 223.5.5.5 # interface Vlanif8 description guest-wifi ip add……

    SE_Gao 2024-10-17
    10 0 0

  • 两台S6720做堆叠失败

    问题描述 客户使用两台S6720做堆叠,上电之后发现堆叠失败,有报错信息提示。 两台设备的堆叠配置如下: 第一台: stack enable stack slot 0 renumber 2 stack slot 2 priority 100 stack reserved-vlan 4093 stack timer mac-address switch-delay 10 interface stack-port 2/1 port interface 40GE2/0/1 enable port interface 40GE2/0/2 enable interface stack-port 2/2 第二台: stack enable stack slot 0 renumber 1 stack slot 1 priority 200 stack reserved-vlan 4093 stack timer mac-address switch-delay 10 interface stack-port 1/1 port interface 40GE1/0/1 enable port interface 40GE1/0/2 enable interface stack-port 1/2 告警信息 Nov  2 2017 14:52:18 swtich2 FSP/3/LOGPORT_ILLEGAL:OID 1.3.6.1.4.1.2011.5.25.183.1.22.9 Stack port 40GE2/0/1 connects to 40GE1/0/2, and there are port members of the same logic stack port ID. Nov  2 2017 14:52:18 swtich2 FSP/3/LOGPORT_ILLEGAL:OID 1.3.6.1.4.1.2011.5.25.183.1.22.9 Stack port 40GE2/0/2 connects to 40GE1/0/1, and there are port members of the same logic stack port ID. 处理过程 修改配置: 第一台: stack enable stack slot 0 renumber 2 stack slot 2 priority 100 stack reserved-vlan 4093 stack timer mac-address switch-delay 10 interface stack-port 2/2 port interface 40GE2/0/1 enable port interface 40GE2/0/2 enable 第二台: stack enable stack slot 0 renumber 1 stack slot 1 priority 200 stack reserved-vlan 4093 stack timer mac-address switch-delay 10 interface stack-port 1/1 port interface 40GE1/0/1 enable port interface 40GE1/0/2 enable 根因 根据产品文档: FSP/3/LOGPORT……

    SE_Gao 2024-10-16
    23 0 0

  • 故障-S6720业务口堆叠,无法选择10GE端口

    问题描述 版本信息:V200R010C00SPC600 故障现象:2台S6720S-26Q-EI-24S做堆叠时,往堆叠端口里面加成员端口时,无法选择10GE端口,只能选择40GE端口。 告警信息 无 处理过程 查看堆叠端口状态,看到堆叠端口里面已经有2个40GE端口。   根因 支持S6720EI和S6720S-EI所有款型之间进行混堆,但是混堆时,要求使用的堆叠端口类型一致,要么全是10GE口,要么全是40GE口 解决方案 将40GE端口从堆叠端口中移除,仅使用10GE端口。

    SE_Gao 2024-10-15
    17 0 0

  • FAQ:交换网板的网口是否能用于对接业务数据

    问题描述 FAQ:交换网板上的网口是否能对接业务数据,跑业务。如网卡对接交换机,对接服务器,对接PC等! 处理过程 答复: 交换网板上的网口不能作为业务接口对接业务数据。   根因 交换网板作用:提供整个系统的数据平面。数据平面提供高速无阻塞数据通道,实现各个业务模块之间的业务交换功能,交换网板一般用于跨板卡业务转发,也可以单独建立堆叠使用。

    SE_Gao 2024-10-14
    6 0 0

  • vrrp网关终端dhcp获取地址速度慢

    问题描述 问题描述: 问题描述及现网拓扑如下图: 拓扑: 问题情况回溯: 1、客户需求: 在某企业网项目中,客户终端有有线业务、无线业务和IP电话业务。客户要求加入加入交换机做二层网络,并通过dhcp获取地址,并添加dhcp snooping保护dhcp服务器,防止内部dhcp服务器攻击。 2、问题回溯: 两台S7710交换机工作在三层作为网关设备,通过vrrp做双上联网关冗余,S5720设备作为接入连接在终端设备和AP设备上做二层通信,AC旁挂在核心设备上,使用直接转发模式,dhcp网关部署在核心交换机,AP网关部署在AC上。 客户使用dhcp获取地址,发现早晨员工获取地址速度有的人快有的人慢,部分间隔长达3-5分钟左右,但是获取到地址后并不影响使用。   处理过程 处理过程: 1、检查交换机接口配置是否正确,经过确认没有存在vlan划分错误问题,且交换机上联口开启了dhcp snooping trust。 2、检查dhcp地址池分配情况,发现地址池范围较为充足。 3、确认发现下联接入交换机有接口错包,且较为频繁。 4、确认发现vrrp存在切换。 根因 根因: 因客户核心网关配置为vrrp,且主备都存在dhcp服务器,但是核心交换机不存在dhcp心跳功能,无法同步dhcp分配信息,所以当网关发生切换将导致新用户获取dhcp地址时将需要针对所有已分配的地址进行冲突探测检查,当dhcp用户较多时就会导致dhcp获取速度缓慢。 解决方案 解决方案: 推荐将核心部署为堆叠或者调整冲突探测次数和时间。 调整dhcp冲突探测时间和次数命令: system-view [sysname] dhcp server ping packet number 缺省情况下,设备分配IP地址时的冲突探测的次数为2 [sysname] dhcp server ping timeout milliseconds [sysname] duplex full 缺省情况下,设备分配IP地址时每次冲突探测的最长等待时间为500毫秒 堆叠配置命令: system-view [HUAWEI] sysname S……

    SE_Gao 2024-10-12
    15 0 0
首页上一页 56789 下一页尾页7/16
IT技术栈
360°管家式服务,优质的技术服务商。

时钟

当前浏览器不支持时钟模块,请更换浏览器再试

热门文章

2024-03-11
2024-05-06
2024-06-28
2024-04-10
2024-03-06

标签云

句子

归档

时光机

开往-友链接力

最新评论

  • SE_Meng
    12月24日

    升级版本

    评论于 华为2288h v5 对iBMC上报Nand Flash预留块不足10%告警的说明

  • SE_You
    12月24日

    感谢分享

    评论于 dell服务器使用DHCPSER软件配置管理iDRAC

  • 76455115
    12月18日

    这个DHCP工具更好用一些 NetbootM-Dhcp.exe 链接:https...

    评论于 dell服务器使用DHCPSER软件配置管理iDRAC

  • daoguo525
    12月14日

    如何处理?

    评论于 华为2288h v5 对iBMC上报Nand Flash预留块不足10%告警的说明

  • 青奥村谷歌
    12月12日

    回复恢复

    评论于 华为2288h v5 对iBMC上报Nand Flash预留块不足10%告警的说明

    • 友情链接
    申请友链
    Lovestu
    免费图床
    锐捷网络