我在生产中将 HP Procurve 2626 作为多个子网的主干线。我是一名 UNIX 系统管理员,不是网络专家,但我之前使用过思科交换机和一些 HP 交换机。我完全不明白为什么我无法关闭特定端口 (9) 上的基于端口访问 mac 的 radius 身份验证。我查阅了所有能找到的 HP 手册,并在 Google 上搜索了几个小时,但一无所获。我尝试了以下方法:
- 配置
- 没有 aaa 端口访问基于 mac 的 9
- 没有 aaa 端口访问验证器 9
- aaa 无基于 mac 的端口访问 9
- 无 aaa 端口访问 mac 9-13
以及我能想到的所有其他组合。每个命令都没有错误或任何输出,但 show run 仍然没有显示任何变化。这是我的配置。
hostname "HPSwitch6"
time timezone -5
time daylight-time-rule Continental-US-and-Canada
cdp run
no telnet-server
interface 1
no lacp
exit
interface 3
no lacp
exit
interface 4
no lacp
exit
interface 5
no lacp
exit
interface 6
no lacp
exit
interface 7
no lacp
exit
interface 8
no lacp
exit
interface 9
no lacp
exit
interface 10
no lacp
exit
interface 11
no lacp
exit
interface 12
no lacp
exit
interface 13
no lacp
exit
interface 14
name "Conf - IS"
no lacp
exit
interface 15
name "Conf - IS"
no lacp
exit
interface 16
no lacp
exit
interface 17
no lacp
exit
interface 18
no lacp
exit
interface 19
no lacp
exit
interface 20
name "Conf - IS"
no lacp
exit
interface 21
no lacp
exit
interface 22
no lacp
exit
interface 23
no lacp
exit
interface 24
no lacp
exit
interface 25
no lacp
exit
trunk 25 Trk1 Trunk
ip default-gateway 172.18.0.1
vlan 1
name "VLAN172.18"
untagged 17-24,26,Trk1
ip address 172.18.10.6 255.255.0.0
no untagged 1-8,10-16
exit
vlan 77
name "VLANExternal"
untagged 1-8
exit
vlan 1020
name "VoIP_DMZ"
untagged 9-16
exit
aaa authentication web login radius local
aaa authentication web enable radius local
aaa accounting network start-stop radius
aaa accounting exec start-stop radius
radius-server host ######################
radius-server host ######################
aaa port-access mac-based 1 addr-limit 32
aaa port-access mac-based 2 addr-limit 32
aaa port-access mac-based 3 addr-limit 32
aaa port-access mac-based 4 addr-limit 32
aaa port-access mac-based 5 addr-limit 32
aaa port-access mac-based 6 addr-limit 32
aaa port-access mac-based 7 addr-limit 32
aaa port-access mac-based 8 addr-limit 32
aaa port-access mac-based 9 addr-limit 32
aaa port-access mac-based 10 addr-limit 32
aaa port-access mac-based 11 addr-limit 32
aaa port-access mac-based 12 addr-limit 32
aaa port-access mac-based 13 addr-limit 32
aaa port-access mac-based 14 addr-limit 32
aaa port-access mac-based 15 addr-limit 32
aaa port-access mac-based 16 addr-limit 32
aaa port-access mac-based 17 addr-limit 32
aaa port-access mac-based 18 addr-limit 32
aaa port-access mac-based 19 addr-limit 32
aaa port-access mac-based 20 addr-limit 32
aaa port-access mac-based 21 addr-limit 32
aaa port-access mac-based 22 addr-limit 32
aaa port-access mac-based 23 addr-limit 32
aaa port-access mac-based 24 addr-limit 32
spanning-tree
spanning-tree Trk1 priority 4
ip ssh
ip ssh filetransfer
ip ssh version 1-or-2
no tftp client
no tftp server
答案1
您不能删除使用 [no] 语法设置值的配置规则;删除它们的方法是将它们设置回其默认值,这可能涉及 RTFM。
因此,如果你有 DarkMoon 给出的两条规则:
aaa port-access mac-based 9
aaa port-access mac-based 9 addr-limit 32
他们患有以下疾病:
no aaa port-access mac-based 9
aaa port-access mac-based 9 addr-limit 1
答案2
已关闭。用于show port-access mac-based显示每个端口的状态。
该配置中存在的是每个端口的地址限制,但尚未在任何端口上启用基于 mac 的身份验证。
通常,对于已启用该功能的端口,您应该看到:
aaa port-access mac-based 9
aaa port-access mac-based 9 addr-limit 32
这两行的作用不同。第一行启用基于 mac 的端口访问,第二行对其进行配置。
仅供参考,我将这些命令放入我的交换机中,现在我也想删除第二行;我找不到执行此操作的命令。这是我第一次在 HP 交换机中看到这种情况。
编辑:我忘了补充一下,基于 mac 的 aaa 端口访问的完整文档位于交换机的访问和配置指南中,在此处找到: