Não é possível desativar a restrição mac na porta para o HP Procurve 2626

2

Eu tenho um HP Procurve 2626 como o tronco principal de várias sub-redes em produção. Eu sou um administrador de sistemas UNIX e não um cara de rede, mas eu já trabalhei com switches cisco e alguns desses switches HP antes. Estou completamente perplexo com o fato de que não consigo desativar a autenticação de radius baseada em mac com acesso a porta em uma porta específica (9). Procurei todos os manuais da HP que posso encontrar e vasculhei o google por horas sem resultados. Eu tentei o seguinte:

  • config
  • não aaa 9 de acesso à porta com base em mac
  • não há autenticador de acesso à porta aaa 9
  • aaa sem acesso à porta 9 baseado em mac
  • não aaa 9-13 baseado em mac com acesso à porta

e todas as outras combinações que eu possa imaginar. Cada comando é executado sem nenhum erro ou qualquer saída, mas o show run ainda não mostra alterações. Aqui está minha configuração.

hostname "HPSwitch6" 
time timezone -5 
time daylight-time-rule Continental-US-and-Canada 
cdp run 
no telnet-server 
interface 1 
   no lacp
exit
interface 3 
   no lacp
exit
interface 4 
   no lacp
exit
interface 5 
   no lacp
exit
interface 6 
   no lacp
exit
interface 7 
   no lacp
exit
interface 8 
   no lacp
exit
interface 9 
   no lacp
exit
interface 10 
   no lacp
exit
interface 11 
   no lacp
exit
interface 12 
   no lacp
exit
interface 13 
   no lacp
exit
interface 14 
   name "Conf - IS" 
   no lacp
exit
interface 15 
   name "Conf - IS" 
   no lacp
exit
interface 16 
   no lacp
exit
interface 17 
   no lacp
exit
interface 18 
   no lacp
exit
interface 19 
   no lacp
exit
interface 20 
   name "Conf - IS" 
   no lacp
exit
interface 21 
   no lacp
exit
interface 22 
   no lacp
exit
interface 23 
   no lacp
exit
interface 24 
   no lacp
exit
interface 25 
   no lacp
exit
trunk 25 Trk1 Trunk 
ip default-gateway 172.18.0.1 
vlan 1 
   name "VLAN172.18" 
   untagged 17-24,26,Trk1 
   ip address 172.18.10.6 255.255.0.0 
   no untagged 1-8,10-16 
   exit 
vlan 77 
   name "VLANExternal" 
   untagged 1-8 
   exit 
vlan 1020 
   name "VoIP_DMZ" 
   untagged 9-16 
   exit 
aaa authentication web login radius local 
aaa authentication web enable radius local 
aaa accounting network start-stop radius 
aaa accounting exec start-stop radius 
radius-server host ###################### 
radius-server host ###################### 
aaa port-access mac-based 1 addr-limit 32
aaa port-access mac-based 2 addr-limit 32
aaa port-access mac-based 3 addr-limit 32
aaa port-access mac-based 4 addr-limit 32
aaa port-access mac-based 5 addr-limit 32
aaa port-access mac-based 6 addr-limit 32
aaa port-access mac-based 7 addr-limit 32
aaa port-access mac-based 8 addr-limit 32
aaa port-access mac-based 9 addr-limit 32
aaa port-access mac-based 10 addr-limit 32
aaa port-access mac-based 11 addr-limit 32
aaa port-access mac-based 12 addr-limit 32
aaa port-access mac-based 13 addr-limit 32
aaa port-access mac-based 14 addr-limit 32
aaa port-access mac-based 15 addr-limit 32
aaa port-access mac-based 16 addr-limit 32
aaa port-access mac-based 17 addr-limit 32
aaa port-access mac-based 18 addr-limit 32
aaa port-access mac-based 19 addr-limit 32
aaa port-access mac-based 20 addr-limit 32
aaa port-access mac-based 21 addr-limit 32
aaa port-access mac-based 22 addr-limit 32
aaa port-access mac-based 23 addr-limit 32
aaa port-access mac-based 24 addr-limit 32
spanning-tree
spanning-tree Trk1 priority 4
ip ssh
ip ssh filetransfer
ip ssh version 1-or-2
no tftp client
no tftp server
    
por user1625222 04.08.2014 / 23:13

2 respostas

2

Você não pode remover regras de configuração que definem valores com a sintaxe [no]; a maneira de removê-los é ajustá-los de volta ao seu valor padrão, o que pode envolver o RTFM.

Então, se você tem as duas regras que o DarkMoon dá:

aaa port-access mac-based 9
aaa port-access mac-based 9 addr-limit 32

eles são desativados com:

no aaa port-access mac-based 9
aaa port-access mac-based 9 addr-limit 1
    
por 05.08.2014 / 10:17
1

Já está desligado. Use show port-access mac-based para mostrar o status de cada porta.

O que você tem nessa configuração é o limite de endereços para cada porta, mas não habilitou a autenticação baseada em mac em nenhum deles.

Normalmente, para uma porta ativada, você deve ver:

aaa port-access mac-based 9
aaa port-access mac-based 9 addr-limit 32

As duas linhas fazem coisas diferentes. O primeiro ativa o acesso à porta baseado em mac, o segundo o configura.

E FYI, eu coloquei esse comando no meu switch, e agora estou tentando remover essa segunda linha também; Não consigo encontrar um comando para fazer isso. Essa é a primeira vez que vejo isso em um switch HP.

Edit: Esqueci de adicionar, a documentação completa para aaa port-access mac-based está no Access & Guia de configuração, encontrado aqui :

    
por 05.08.2014 / 06:31