出口防火墙技术来电垂询「北京安腾思路」

出口防火墙技术来电垂询「北京安腾思路」[北京安腾思路9566f31]内容：

h3c网络交换机配置命令-VLAN配置

[H3C]vlan 2

[H3C]undo vlan all 删除除缺省VLAN外的所有VLAN，缺省VLAN不能被删除

[H3C-vlan2]port Ethernet 0/4 to Ethernet 0/7 将4到7号端口加入到VLAN2中，此命令只能用来加access端口，不能用来增加trunk或者hybrid端口

[H3C-vlan2]port-isolate enable 打开VLAN内端口隔离特性，不能二层转发，默认不启用该功能

[H3C-Ethernet0/4]port-isolate uplink-port vlan 2 设置4为VLAN2的隔离上行端口，用于转发二层数据，只能配置一个上行端口，若为trunk，则建议允许所有VLAN通过，隔离不能与汇聚同时配置

S1550E支持基于端口的VLAN，通过创建不同的user-group来实现，一个端口可以属于多个user-group，不属于同一个user-group的端口不能互相通信，支持50个user-group

[H3C]user-group 20 创建user-group 20，默认只存在user-group 1

[H3C-UserGroup20]port Ethernet 0/4 to Ethernet 0/7 将4到7号端口加入到VLAN20中，初始时都属于user-group 1中

h3c网络交换机配置命令-802.1x配置

[H3C-Ethernet0/3]dot1x 开启802.1x特性，也可在系统视图下使用，使用后全局开启，也可用 interface参数开启特定端口的802.1x特性，缺省全关闭，要启用802.1x，全局和端口的都需开启

[H3C-Ethernet0/3]dot1x port-control unauthorized-force 设置工作模式为强制非授权模式，使用 模式与dot1x命令相同，默认为auto，即通过了认证才可以访问，还有authorized-force，为强制授权 模式，允许用户访问

[H3C-Ethernet0/3]dot1x max-user 10 设置端口接入用户的数量为10个，使用模式与dot1x命令 相同，默认为128，取值范围为1-128

[H3C]dot1x authentication-method eap 设置802.1x的用户认证方法为EAP，即EAP中继，直接用EAP报 文发送到服务器，需服务器支持

reauth-period为重认证超时定时器，1-86400s，默认3600s.

quiet-period为用户认证失败后，Autheticator的静默定时器，静默后再处理认证，10-120s，默认60s.

tx-period为传送超时定时器，Supplicant未成功发送认证应答报文，则重发认证请求，10-120s，默认 为30s.

supp-timeout为认证超时定时器，Supplicant未成功响应，则重发认证请求，10-120s，默认30s.

server-timeout为服务器未成功响应的超时定时器，100-300s，默认100s.

reset dot1x statistics 清除802.1x统计信息

debugging dot1x 打开802.1x的相关模块的调试信息

H3C网络地址转换配置方法Basic nat  

NAT网络地址转换，作用：将内网的不可在公网路由的个人地址在出口路由器处转化为可在Internet路由上使用的公网地址。技术的根本目的：解决ipv4地址紧缺的问题！

配置手册：

1、basic nat

拓扑图如下图所示：内网两台10.0.0.0/24网段的PC需要通过Gateway设备进行NAT地址转换，来到达访问公网的目的。

命令解析：（gateway路由器上配置！）

1. 通过基本ACL定义一条rule，匹配源地址属于10.0.0.0/24网段的数据

[RTA]aclbasic2000

[RTA-acl-basic-2000]rule0 permit source 10.0.0.0 0.0.0.255

2.配置NAT地址池1用于地址转换的，地址池中的地址从198.76.28.11到198.76.28.20

[RTA]nataddress-group 1 198.76.28.11 198.76.28.20

3. 进入接口模式视图，将地址池1与acl 2000关联，并在接口出方向上应用NAT

[RTA]interfaces1/0

[RTA-serial1/0]natoutbound 2000 address-group 1 no-pat（basic nat在进行NAT地址转换时不携带端口号，个人地址转换成公网地址存在一对一的情况，所以不实用。）

以上信息由专业从事出口防火墙技术的北京安腾思路于2024/5/8 11:24:58发布

转载请注明来源：http://m.tz1288.com/qynews/bjatsl-2749080579.html

上一条：镇江电动伸缩门图片来电垂询 九竹智能科技

下一条：东坑高速钢真空热处理报价在线咨询 东莞众利坚