交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1)在没有安全绑定功能(1x授权绑定,IP verify Source)的前提下:
a、10.4(2)之前的版本,静态mac绑定即可。(建议)
配置命令:
mac-address-table static 001a.a9c3.94ad vlan 1 interface GigabitEthernet 0/10
b、10.4(2) 以后的版本。如果设备当二层交换使用,仅配置静态mac绑定即可实现免认证;
配置命令:mac-address-table static 001a.a9c3.94ad vlan 1 interface GigabitEthernet 0/10
如果做三层交换(用户网关)使用,需要配置安全通道放通IP或MAC地址。
无论二层、三层使用,仅使用安全通道放通特殊MAC/IP即可。(建议)
配置命令:
expert access-list extended no1x
10 permit arp any any any any any
20 permit ip host 192.168.1.23 any any any // 方法一: permit 主机IP 方法
30 permit ip any host 0010.123c.513d any any //方法二:permit 主机MAC方法
40 permit ip host 192.168.1.23 host 0010.123c.513d any any //方法三:permit 主机IP+MAC方法,最精确(推荐)
security global access-group no1x
c、提示:如果静态MAC和安全通道同时使用,静态MAC免认证会失效,需全部使用安全通道解决。
2)在同时配置有安全绑定功能的(1x授权绑定,IP verify Source)的前提下:
a、推荐使用安全通道放通IP或MAC。(建议)
配置命令:
expert access-list extended no1x
10 permit arp any any any any any
20 permit ip host 192.168.1.23 any any any // 方法一: permit 主机IP 方法
30 permit ip any host 0010.123c.513d any any //方法二:permit 主机MAC方法
40 permit ip host 192.168.1.23 host 0010.123c.513d any any //方法三:permit 主机IP+MAC方法,最精确(推荐)
security global access-group no1x
b、不支持安全通道的,使用全局安全地址绑定
配置命令:
address-bind 192.168.1.23 01ac.3b33.a531
address-bind install
interface g0/25 //上联口免检查
address-bind uplink
interface f0/1
arp-check //免认证用户所在的端口需要开启arp-check,放通arp报文
dot1x port-control auto