[h3c-ethernet0/3]dot1x 开启802.1x特性,也可在系统视图下使用,使用后全局开启,也可用 interface参数开启特定端口的802.1x特性,等保评测,缺省全关闭,要启用802.1x,全局和端口的都需开启
[h3c-ethernet0/3]dot1x port-control unauthorized-force 设置工作模式为强制非授权模式,使用 模式与dot1x命令相同,默认为auto,即通过了才可以访问,还有authorized-force,等保评测配置,为强制授权 模式,允许用户访问
[h3c-ethernet0/3]dot1x max-user 10 设置端口接入用户的数量为10个,使用模式与dot1x命令 相同,默认为128,取值范围为1-128
[h3c]dot1x authentication-method eap 设置802.1x的用户方法为eap,即eap中继,直接用eap报 文发送到服务器,需服务器支持
reauth-period为重超时定时器,1-86400s,默认3600s.
quiet-period为用户失败后,autheticator的静默定时器,静默后再处理,10-120s,默认60s.
tx-period为传送超时定时器,supplicant未成功发送应答报文,则重发请求,等保评测,10-120s,默认 为30s.
supp-timeout为超时定时器,supplicant未成功响应,则重发请求,10-120s,默认30s.
server-timeout为服务器未成功响应的超时定时器,100-300s,默认100s.
reset dot1x statistics 清除802.1x统计信息
debugging dot1x 打开802.1x的相关模块的调试信息
napt:使用不同的端口来映射多个内网 ip 地址到一个特定的外网 ip 地址,多对一。
napt 采用端口多路复用方式。内部网络的所有主机均可共享一个---外部 ip 地址实现对 internet 的访问,从而可以大限度地节约 ip 地址资源。
同时,又可隐藏网络内部的所有主机,有效避免来自 internet 的攻击。因此,等保评测公司,目前网络中应用多的就是端口多路复用方式。
1、 通过acl定义一条rule,匹配源地址属于10.0.0.0/24网段的数据
[rta]acl basic 2000
[rta-acl-basic-2000]rule0 permit source 10.0.0.0 0.0.0.255
2、 配置nat地址池1,地址池中只放入一个地址198.76.28.11
[rta]nataddress-group 1 198.76.28.11
3、 进入接口模式视图, 将地址池1与acl 2000关联,并在接口出方向上应用nat
[rta]interfaceserial1/0
[rta-serial1/0]nat outbound 2000 address-group 1(napt在进行地址转换时可以携带端口号,可以实现有限的公网地址复用的好处)
通过nat设备上静态建立或动态生成的地址映射关系,可以实现内部网络与外部网络---的转换。通常情况下,我们按照地址映射关系的产生方式分为动态地址转换和静态地址转换两类:
(1)静态地址转换:外部网络与内部网络之间的地址映射关系在配置中确定,适用于内部网络与外部网络之间的少量固定访问请求。静态地址转换映射支持两种方式:---静态转换映射、网段第网段静态转换映射;
(2)动态地址映射:外部网络与内部网络之间的地址映射关系有报文动态决定。通常在接口上配置访问控制列表和地址池的关联即可实现动态地址转换。若直接使用接口的---作为转换后的地址,则配置easy-ip即可实现动态地址转换。若选择使用地址池中的地址作为转换后的地址,则根据地址转换过程中是否使用端口信息可将动态地址转换分为no-pat和napt两种方式:no_pat为不使用tcp/udp端口信息实现的多对多地址转换;napt为使用tcp/udp端口信息实现的多对一地址转换
等保评测-北京安腾思路科技公司-等保评测公司由北京安腾思路科技发展有限公司提供。北京安腾思路科技发展有限公司是北京 北京市 ,服务器、工作站的见证者,多年来,公司贯彻执行科学管理、---发展、诚实守信的方针,满足客户需求。在北京安腾思路---携全体员工热情欢迎---垂询洽谈,共创北京安腾思路美好的未来。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz340509a1.zhaoshang100.com/zhaoshang/285747422.html
关键词:
滇公网安备 53011202000392号