Termius 批量推送 802.1X + MAB 配置教程
·
适用场景:园区网接入层改造,华为 S5720 与 H3C S5120V2 交换机批量开启 802.1X 认证 + MAC 旁路(MAB),实现办公终端 Portal/802.1X 认证、打印机摄像头等 IoT 设备无感知入网。
适用规模:约 200 台接入层交换机。
一、前置准备
1.1 收集现网信息
| 信息项 | 说明 | 填写 |
|---|---|---|
| 深澜 RADIUS IP | 认证服务器地址 | ____________ |
| RADIUS 认证端口 | 默认 1812 | ____________ |
| RADIUS 计费端口 | 默认 1813 | ____________ |
| RADIUS 共享密钥 | Shared Secret | ____________ |
| 办公网 VLAN ID | 例如 VLAN 10 | ____________ |
| IoT 网 VLAN ID | 如规划独立网段,例如 VLAN 20 | ____________ |
| 打印机/摄像头 MAC | 需要录入深澜 MAB 白名单 | 见后续清单 |
1.2 确认设备清单
- 华为 S5720:共计 ____ 台
- H3C S5120V2:共计 ____ 台
- 记录每台交换机的管理 IP、登录账号、密码/密钥
1.3 Termius 版本要求
- 建议使用 Termius 桌面版(Windows/macOS/Linux),支持 Snippets、Host Groups、SFTP。
- 手机版可用于应急查看,但不建议用于批量推送。
二、Termius 基础配置
2.1 导入交换机清单
- 打开 Termius → Hosts → 右上角 「+」 → New Host
- 依次录入交换机信息:
- Label:便于识别,如
A栋-3层-S5720-01 - Address:交换机管理 IP
- Username:
admin或你的运维账号 - Password / Private Key:选择对应认证方式
- Label:便于识别,如
- 建议按楼栋/楼层/品牌创建 Group(分组):
Test-Huawei(试点华为设备)Test-H3C(试点 H3C 设备)Prod-Huawei-A栋Prod-H3C-B栋- …
2.2 配置身份(Identity)复用
如果多台交换机使用同一套账号密码:
- Termius → Identities → New Identity
- 填入用户名、密码(或上传私钥)
- 在 Host 设置中选择该 Identity,避免重复输入
三、创建 Snippets(代码片段)
路径:Termius → Snippets → New Snippet
Snippets 是批量推送的核心,建议按功能创建,不要在一个 Snippet 里塞太多命令。
3.1 Snippet 1:配置备份(必做!)
名称:backup-config
华为 S5720:
display current-configuration | save backup.cfg
H3C S5120V2:
save force
操作:推送正式配置前,先对所有目标交换机执行此 Snippet。
3.2 Snippet 2:华为 S5720 — 单端口开启 802.1X + MAB
名称:huawei-port-dot1x-mab
system-view
interface GigabitEthernet0/0/{{PORT}}
port link-type access
port default vlan {{VLAN}}
dot1x enable
dot1x mac-bypass
dot1x authentication-method eap
authentication critical-event action authorize vlan {{VLAN}}
return
save
变量说明:
{{PORT}}:端口号,如1、2、3{{VLAN}}:接入 VLAN ID,如10
Termius Snippet 暂不支持自动变量替换(部分版本支持),实际操作时建议:
- 先复制 Snippet 到文本编辑器
- 批量替换
{{PORT}}和{{VLAN}}- 再粘贴到 Termius 的多标签页中执行
3.3 Snippet 3:华为 S5720 — 批量端口开启(range 方式)
名称:huawei-batch-dot1x
system-view
interface range GigabitEthernet0/0/1 to GigabitEthernet0/0/24
port link-type access
port default vlan {{VLAN}}
dot1x enable
dot1x mac-bypass
dot1x authentication-method eap
authentication critical-event action authorize vlan {{VLAN}}
quit
return
save
注意:
interface range语法在 VRP 中部分版本支持。如果不支持,请使用单端口循环或 Python 脚本生成命令。
3.4 Snippet 4:华为 S5720 — RADIUS 服务器配置
名称:huawei-radius-config
system-view
radius-server template ShenLan
radius-server authentication {{RADIUS_IP}} {{AUTH_PORT}}
radius-server accounting {{RADIUS_IP}} {{ACCT_PORT}}
radius-server shared-key cipher {{SECRET}}
quit
aaa
authentication-scheme dot1x
authentication-mode radius
accounting-scheme dot1x
accounting-mode radius
domain default
authentication-scheme dot1x
accounting-scheme dot1x
radius-server ShenLan
quit
return
save
3.5 Snippet 5:H3C S5120V2 — 全局 802.1X + MAB 配置
名称:h3c-global-dot1x
system-view
radius scheme shenlan
primary authentication {{RADIUS_IP}} {{AUTH_PORT}}
primary accounting {{RADIUS_IP}} {{ACCT_PORT}}
key authentication cipher {{SECRET}}
key accounting cipher {{SECRET}}
user-name-format without-domain
quit
domain default
authentication lan-access radius-scheme shenlan
accounting lan-access radius-scheme shenlan
quit
dot1x
mac-authentication
return
save
3.6 Snippet 6:H3C S5120V2 — 单端口开启 802.1X + MAB
名称:h3c-port-dot1x-mab
system-view
interface GigabitEthernet1/0/{{PORT}}
port link-type access
port access vlan {{VLAN}}
dot1x
dot1x mandatory-domain default
mac-authentication
authentication priority dot1x mac-auth
authentication mode multi-auth
authentication critical vlan {{VLAN}}
quit
return
save
3.7 Snippet 7:紧急回退 — 关闭 802.1X(华为)
名称:huawei-undo-dot1x
system-view
interface GigabitEthernet0/0/{{PORT}}
undo dot1x enable
undo dot1x mac-bypass
quit
return
save
3.8 Snippet 8:紧急回退 — 关闭 802.1X(H3C)
名称:h3c-undo-dot1x
system-view
interface GigabitEthernet1/0/{{PORT}}
undo dot1x
undo mac-authentication
quit
return
save
四、批量操作流程
Phase 1:试点验证(1-2 天)
-
选设备:
- 华为 S5720:选 2 台(一台接打印机,一台接办公电脑)
- H3C S5120V2:选 2-3 台(同理)
-
备份配置:
- Termius 中选中试点交换机 → 右键 → Connect
- 打开多个标签页
- 运行 Snippet
backup-config
-
配置 RADIUS(全局只需一次):
- 试点交换机运行
huawei-radius-config或h3c-global-dot1x
- 试点交换机运行
-
开启单端口测试:
- 选一个已知接打印机的端口(如 G0/0/10)
- 运行单端口 Snippet,替换
{{PORT}}和{{VLAN}} - 观察打印机是否能获取 IP、正常打印
- 拔掉打印机,插办公电脑,测试 802.1X 认证流程
-
深澜后台核对:
- 登录深澜管理后台 → RADIUS 日志 / 在线用户
- 确认能看到打印机的 MAC 认证记录
- 确认办公电脑的 802.1X 认证记录
Phase 2:小批量推广(3-5 天)
-
按分组推送:
- 每次选择一个 Termius Group(如
Prod-Huawei-A栋-3层) - 同时打开该组内所有交换机的 SSH 会话(Termius 支持 Group 批量连接)
- 每次选择一个 Termius Group(如
-
执行顺序:
① 备份配置(backup-config) ② 配置 RADIUS(如未配过) ③ 开启目标端口 802.1X + MAB ④ 抽查 2-3 个端口下的终端是否正常 -
观察指标:
- 是否有终端无法入网
- 深澜 RADIUS 是否有大量 Reject 日志
- 交换机 CPU/内存是否异常(
display cpu-usage、display memory)
Phase 3:全网推广(1-2 周)
- 按楼栋/楼层逐批推送,避免一次性全量变更导致故障面广。
- 夜间操作:建议在下班后进行,减少对用户的影响。
- 保留值班通道:至少保留一个未改造的网络区域或紧急 SSID,用于故障时临时接入。
五、验证清单
每完成一批交换机配置,按以下清单检查:
| 检查项 | 命令(华为) | 命令(H3C) | 预期结果 |
|---|---|---|---|
| 802.1X 是否开启 | display dot1x interface GigabitEthernet0/0/X |
display dot1x interface GigabitEthernet1/0/X |
Status: Enabled |
| MAB 是否开启 | display dot1x interface GigabitEthernet0/0/X |
display mac-authentication interface GigabitEthernet1/0/X |
MAC Bypass: Enabled / MAC-auth: Enabled |
| 端口认证状态 | display dot1x sessions |
display connection |
能看到终端的 MAC 和认证状态 |
| RADIUS 连通性 | test-aaa user password radius-template ShenLan |
test-aaa user password radius-scheme shenlan |
Success |
| 打印机是否正常 | 实际打印测试页 | 实际打印测试页 | 能正常打印 |
| 深澜日志 | 登录深澜后台查看 | 登录深澜后台查看 | 有该设备的 Accept 记录 |
六、应急与回退
6.1 单端口故障回退
如果某个端口下的终端无法入网:
- Termius 连接该交换机
- 运行对应品牌的
undo-dot1xSnippet - 替换
{{PORT}}为故障端口号 - 终端应立即恢复网络
6.2 RADIUS 服务器宕机逃生
如果深澜 RADIUS 服务不可用,交换机端口应保持放行(已通过 authentication critical-event 或 authentication critical vlan 配置)。
手动验证逃生是否生效:
- 临时阻断交换机到 RADIUS 的 1812/1813 端口(如在防火墙上 drop)
- 新终端接入测试端口
- 观察是否能在超时后自动放行
6.3 批量回退脚本(极端情况)
如果大面积故障,需要快速关闭所有端口的 802.1X:
华为批量回退:
system-view
interface range GigabitEthernet0/0/1 to GigabitEthernet0/0/24
undo dot1x enable
undo dot1x mac-bypass
quit
return
save
H3C 批量回退:
system-view
interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/24
undo dot1x
undo mac-authentication
quit
return
save
在 Termius 中选中所有故障交换机标签页 → 粘贴上述命令 → 批量执行。
七、深澜后台配合事项
7.1 开启 RADIUS 服务
- 登录深澜管理后台
- 进入 「系统管理」→「RADIUS 服务」(路径可能因版本不同)
- 确认认证端口(1812)、计费端口(1813)已监听
- 记录共享密钥
7.2 录入 MAB 白名单
对于打印机、摄像头等 IoT 设备:
-
「用户管理」→「批量导入」
-
准备 CSV 文件:
用户名,密码,认证类型,绑定VLAN,描述 aabbccddeeff,aabbccddeeff,MAB,20,3层打印机 112233445566,112233445566,MAB,20,4层摄像头01 -
导入后逐条核对
-
确认用户名格式与交换机发送的一致(华为/H3C 通常为无冒号的
aabbccddeeff)
7.3 配置 802.1X 用户
为办公人员创建账号,或对接 AD/LDAP:
- 建议统一使用 学工号/工号 作为用户名
- 设置合理的密码策略和账号有效期
- 可配置「同时在线数限制」(如每人最多 3 台设备)
八、常见问题排查
Q1:打印机插入后无法获取 IP
排查步骤:
- 交换机执行
display dot1x interface G0/0/X(华为)或display mac-authentication interface G1/0/X(H3C) - 确认端口状态为
Authenticated或MAC-authenticated - 如果是
Unauthenticated,检查深澜 RADIUS 日志:- 是否收到该 MAC 的认证请求?
- 返回的是 Accept 还是 Reject?
- 如果深澜没收到请求,检查交换机 RADIUS 配置(IP、端口、密钥是否正确)
Q2:办公电脑插上网线后很久才能上网
原因:802.1X 超时等待时间较长。
优化:
# 华为
system-view
dot1x timer tx-period 10
dot1x retry 2
# H3C
system-view
dot1x timer tx-period 10
dot1x retry 2
Q3:Windows 电脑无法弹出 802.1X 认证窗口
解决:
- 确保 Windows 服务 Wired AutoConfig 已启动
- 网卡属性 → 身份验证 → 勾选 IEEE 802.1X 身份验证
- 选择正确的 EAP 类型(通常为企业版 PEAP-MSCHAPv2)
Q4:深澜收到 MAC 认证请求但用户名格式不对
现象:深澜日志中用户名带域名,如 aabbccddeeff@default
解决:在 H3C 的 RADIUS scheme 中配置:
user-name-format without-domain
华为 VRP 默认不带域名,一般无需额外配置。
Q5:如何快速收集所有打印机的 MAC 地址?
方法 A(交换机 LLDP):
# 华为/H3C 通用
lldp enable
# 等待 1-2 分钟后
display lldp neighbor brief
部分打印机会在 LLDP 信息中显示设备类型。
方法 B(DHCP 服务器):
登录 DHCP 服务器,导出地址租约表,筛选打印机厂商的 OUI(如前 6 位 MAC)。
方法 C(打印机面板):
在打印机设置菜单中查看网络信息页,记录 MAC。
九、附录:命令速查表
华为 S5720 常用命令
| 功能 | 命令 |
|---|---|
| 查看 802.1X 配置 | display dot1x |
| 查看端口认证会话 | display dot1x sessions |
| 查看 MAC 旁路状态 | display dot1x interface GigabitEthernet0/0/X |
| 查看 RADIUS 统计 | display radius statistics |
| 测试 RADIUS 认证 | test-aaa user password radius-template ShenLan |
| 查看 CPU/内存 | display cpu-usage、display memory-usage |
H3C S5120V2 常用命令
| 功能 | 命令 |
|---|---|
| 查看 802.1X 配置 | display dot1x |
| 查看 MAC 认证配置 | display mac-authentication |
| 查看端口认证状态 | display connection |
| 查看 RADIUS 统计 | display radius statistics |
| 测试 RADIUS 认证 | test-aaa user password radius-scheme shenlan |
| 查看 CPU/内存 | display cpu-usage、display memory |
十、操作时间建议
| 阶段 | 建议时间 | 备注 |
|---|---|---|
| 试点测试 | 工作日白天 | 便于随时观察、及时调整 |
| 小批量推广 | 下班后 18:00-21:00 | 影响面小,有问题可及时回退 |
| 全网推广 | 周末或节假日 | 200 台建议分 2-3 次完成 |
| 配置备份 | 每次推送前必做 | Snippet backup-config |
最后提醒:
- 200 台交换机不要一次性全改,分批次、分区域进行。
- 每次变更前务必备份配置。
- 保留至少一个未改造的应急网络通道。
- 遇到不明问题先回退,再排查,不要在线上反复试错。
openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构
更多推荐
5
0- 0
已为社区贡献2条内容
所有评论(0)