- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-MAC地址認證操作
本章節下載 (192.2 KB)
目 錄
MAC地址認證是一種基於端口和MAC地址對用戶訪問網絡的權限進行控製的認證方法,它不需要用戶安裝任何客戶端認證軟件。交換機在首次檢測到用戶的MAC地址以後,即啟動對該用戶的認證操作。認證過程中,也不需要用戶手動輸入用戶名或者密碼。
S5100係列以太網交換機進行MAC地址認證時,可采用兩種認證方式:
l
通過RADIUS服務器認證
l
本地認證
當認證方式確定後,用戶可根據需求選擇以下一種類型的認證用戶名:
l
MAC地址用戶名:使用用戶的MAC地址作為認證時的用戶名和密碼。
l
固定用戶名:所有用戶均使用在交換機上預先配置的本地用戶名和密碼進行認證,因此用戶能否通過認證取決於該用戶名和密碼是否正確及此用戶名的最大用戶數屬性控製(具體內容請參見本手冊“AAA”中的配置本地用戶屬性部分)。
當選用RADIUS服務器認證方式進行MAC地址認證時,交換機作為RADIUS客戶端,與RADIUS服務器配合完成MAC地址認證操作:
l
采用MAC地址用戶名時,交換機將檢測到的用戶MAC地址作為用戶名和密碼發送給RADIUS服務器。
l
采用固定用戶名時,交換機將已經在本地配置的用戶名和密碼作為待認證用戶的用戶名和密碼,發送給RADIUS服務器。
RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問網絡。
當選用本地認證方式進行MAC地址認證時,直接在交換機上完成對用戶的認證。需要在交換機上配置本地用戶名和密碼:
l
采用MAC地址用戶名時,需要配置的本地用戶名為接入用戶的MAC地址,本地用戶名是否使用分隔符“-”要與mac-authentication authmode usernameasmacaddress usernameformat命令設置的格式相同,否則會導致認證失敗。
l
采用固定用戶名時,所有用戶MAC將自動匹配到已配置的本地用戶名和密碼。
本地用戶的服務類型應設置為lan-access。
MAC地址認證過程受以下定時器的控製:
l
下線檢測定時器(offline-detect):用來設置交換機檢查用戶是否已經下線的時間間隔。當檢測到用戶下線後,交換機立即通知RADIUS服務器,停止對該用戶的計費。
l
靜默定時器(quiet):用來設置用戶認證失敗以後,該用戶需要等待的時間間隔。在靜默期間,交換機不處理該用戶的認證功能,靜默之後交換機再重新對用戶發起認證。
l
服務器超時定時器(server-timeout):用來設置交換機同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果服務器超時定時器超時,則此次認證失敗。
當一個MAC地址認證失敗後,此MAC就被設置為靜默MAC。在靜默定時器時長之內,對來自此MAC地址的數據報文,交換機直接做丟棄處理。靜默MAC的功能主要是防止非法MAC短時間內的重複認證。
注意:
若配置的靜態MAC或者認證通過的MAC地址與靜默MAC相同,則此MAC地址的靜默功能失效。
表1-1 MAC地址認證基本功能配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
開啟全局MAC地址認證特性 |
mac-authentication |
必選 缺省情況下,全局MAC地址認證特性處於關閉狀態 |
|
|
開啟指定端口的MAC地址認證特性 |
係統視圖下 |
mac-authentication interface interface-list |
二者必選其一 缺省情況下,所有端口的MAC地址認證特性處於關閉狀態 |
|
端口視圖下 |
interface interface-type interface-number |
||
|
mac-authentication |
|||
|
quit |
|||
|
設置采用MAC地址用戶名 |
mac-authentication authmode usernameasmacaddress [ usernameformat { with-hyphen | without-hyphen } [lowercase
| uppercase ] | fixedpassword password ] |
可選 缺省情況下,采用MAC地址用戶名 |
|
|
設置采用固定用戶名 |
設置采用固定用戶名 |
mac-authentication authmode usernamefixed |
可選 缺省情況下,采用固定用戶名時的用戶名為“mac”,未配置密碼 |
|
設置用戶名 |
mac-authentication authusername username |
||
|
設置密碼 |
mac-authentication authpassword password |
||
|
配置認證用戶所使用的ISP域 |
mac-authentication domain isp-name |
必選 缺省情況下,未配置認證用戶使用的域,使用“default domain”作為ISP域名 |
|
|
配置MAC地址認證定時器 |
mac-authentication timer { offline-detect offline-detect-value
| quiet quiet-value |
server-timeout server-timeout-value
} |
可選 缺省情況下,下線檢測定時器的超時時間為300秒;靜默定時器的超時時間為60秒;服務器超時定時器的超時時間為100秒 |
|
注意:
l
如果端口開啟了MAC地址認證,則不能配置該端口的最大MAC地址學習個數(通過命令mac-address max-mac-count配置),反之,如果端口配置了最大MAC地址學習個數,則禁止在該端口上開啟MAC地址認證。
l
如果開啟了MAC地址認證,則不能配置端口安全(通過命令port-security enable配置),反之,如果配置了端口安全,則禁止在該端口上開啟MAC地址認證。
l
各端口的MAC地址認證狀態在全局開啟之前可以配置,但不會生效;在全局MAC地址認證開啟後,已使能MAC地址認證的端口將立即開始進行認證操作。
表1-2 MAC地址認證增強功能配置任務
|
配置任務 |
說明 |
詳細配置 |
|
配置Guest VLAN |
可選 |
|
|
配置端口下MAC地址認證用戶的最大數量 |
可選 |
& 說明:
本節所指的Guest VLAN指的是MAC地址認證功能專用的Guest VLAN,與“802.1x及System-Guard”手冊中描述的Guest VLAN不是同一功能。
在完成1.3 MAC地址認證基本功能配置介紹的配置任務後,交換機可以對接入用戶根據其MAC地址或固定的用戶名密碼進行認證。對於認證失敗的客戶端,交換機不會將其MAC地址學習到本地的MAC地址轉發表,以防止非法用戶訪問網絡。
在某些情況下,對於認證未通過的客戶端,要求其仍然可以訪問網絡中的部分受限資源,例如病毒庫升級服務器等,這時可以使用Guest VLAN功能來實現。
用戶可以為交換機的每個端口設置一個Guest VLAN,當端口連接的客戶端認證失敗後,該端口將被自動加入Guest VLAN,客戶端的MAC地址也將被學習到Guest VLAN的MAC地址表中,該用戶即可以訪問Guest VLAN內的網絡資源。
在端口加入Guest VLAN後,交換機將定期對該端口第一個接入用戶(即第一個學到的單播MAC地址對應的用戶)進行重認證。如果用戶通過重認證,該端口將退出Guest VLAN,用戶也將可以正常訪問網絡。
注意:
l
由於Guest VLAN是基於端口加入VLAN的方式實現的,即:如果某端口下連接了多個用戶,當第一個用戶認證失敗後,其他用戶隨之也隻能訪問Guest VLAN內的內容,而且交換機隻會對第一個接入該端口的用戶的MAC地址進行重認證,其他用戶將不會再有通過認證的機會。因此,在端口下連接客戶端數量大於1時,將不能配置Guest VLAN。
l
當用戶認證失敗時,交換機將該失敗端口加入Guest VLAN,因此,對於Access端口,Guest VLAN可以有效實現隔離未認證用戶的功能。但對於Trunk和Hybrid端口,如果接收的報文本身已經帶有VLAN Tag,且在端口允許通過的VLAN範圍內,該報文將被正確轉發,而不受Guest VLAN的影響。即在用戶認證失敗的情況下,Trunk和Hybrid端口仍能向除Guest VLAN之外的VLAN轉發數據。
表1-3 Guest VLAN配置
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置當前端口的Guest VLAN |
mac-authentication guest-vlan vlan-id |
必選 缺省情況下,沒有配置端口的Guest VLAN |
|
退出至係統視圖 |
quit |
- |
|
配置交換機對Guest VLAN內用戶進行重認證的時間間隔 |
mac-authentication timer guest-vlan-reauth interval |
可選 缺省情況下,交換機對Guest VLAN內用戶進行重認證的時間間隔為30秒 |
注意:
l
當端口連接的客戶端數量大於1時,將不能配置該端口的Guest VLAN。當端口配置了Guest VLAN後,該端口也將隻允許一個MAC地址認證用戶接入。即使配置的MAC地址認證用戶的最大數目限製大於1,也將不會生效。
l
被配置為Guest VLAN的VLAN不能使用undo vlan命令直接刪除,必須先刪除Guest VLAN配置,才能夠刪除。undo vlan命令請參見本手冊“VLAN”部分的介紹。
l
一個端口隻能配置一個Guest VLAN,對應的VLAN必須已經存在,否則將會配置失敗。如果需要修改當前端口的Guest VLAN,需要先刪除之前的Guest VLAN配置,再重新進行配置。
l
在配置了端口的Guest VLAN後,將不能在此端口開啟802.1x認證功能。
l
MAC地址認證的Guest VLAN功能在端口安全開啟的情況下不生效。
用戶可以通過配置端口下MAC地址認證用戶的最大數量,來控製通過此端口接入的用戶數目。當接入用戶到達配置的限製數量時,交換機將不會再對之後接入的用戶進行認證觸發動作,這些用戶也就無法正常訪問網絡。
表1-4 配置端口下MAC地址認證用戶的最大數目限製
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置端口下MAC地址認證用戶的最大數目限製 |
mac-authentication max-auth-num user-number |
必選 缺省情況下,每個端口允許接入的MAC地址認證用戶的最大數目為256個 |
注意:
l
當端口下同時配置了MAC地址認證用戶數量限製和端口安全的用戶數量限製時,允許接入的MAC地址認證用戶數將為這兩種配置中的較小值。端口安全功能的介紹請參見本手冊“端口安全”部分。
l
當端口當前有用戶在線時,不能配置此端口的MAC地址認證用戶的最大數量。
完成上述配置後,在任意視圖下執行display命令,可以顯示配置MAC地址認證後的運行情況。通過查看顯示信息,用戶可以驗證配置的效果。在用戶視圖下執行reset命令清除MAC地址認證的統計信息。
表1-5 MAC地址認證顯示和維護
|
操作 |
命令 |
說明 |
|
顯示MAC地址認證的全局或端口信息 |
display mac-authentication [ interface interface-list ] |
display命令可以在任意視圖下執行 |
|
清除MAC地址認證的全局或端口統計信息 |
reset mac-authentication statistics [ interface interface-type interface-number ] |
reset命令在用戶視圖下執行 |
如圖1-1所示,某用戶的工作站與以太網交換機的端口GigabitEthernet1/0/2相連接。
l
交換機的管理者希望在端口GigabitEthernet1/0/2上對用戶接入進行MAC地址認證,以控製用戶對Internet的訪問。
l
所有用戶都屬於域:example.com,認證時使用本地認證的方式。用戶名和密碼都為PC的MAC地址:00-0d-88-f6-44-c1。
圖1-1 開啟MAC地址認證對接入用戶進行本地認證
# 開啟指定端口GigabitEthernet 1/0/2的MAC地址認證特性。
<H3C> system-view
[H3C] mac-authentication interface GigabitEthernet 1/0/2
# 配置采用MAC地址用戶名進行認證,並指定使用帶有分隔符的小寫形式的MAC地址作為驗證的用戶名和密碼。
[H3C] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen lowercase
# 添加本地接入用戶。
l
配置本地用戶的用戶名和密碼。
[H3C] local-user 00-0d-88-f6-44-c1
[H3C-luser-00-0d-88-f6-44-c1] password simple 00-0d-88-f6-44-c1
l
設置本地用戶服務類型為lan-access。
[H3C-luser-00-0d-88-f6-44-c1] service-type lan-access
[H3C-luser-00-0d-88-f6-44-c1] quit
# 創建MAC地址認證用戶所使用的域example.com。
[H3C] domain example.com
New Domain added.
# 配置域example.com采用本地認證方式。
[H3C-isp-example.com] scheme local
[H3C-isp-example.com] quit
# 配置MAC地址認證用戶所使用的域名為example.com。
[H3C] mac-authentication domain example.com
# 開啟全局MAC地址認證特性(接入控製相關特性一般將全局配置開啟放在最後,否則相關參數未配置完成,會造成合法用戶無法訪問網絡)。
[H3C] mac-authentication
此時,MAC地址認證生效,隻允許MAC地址為00-0d-88-f6-44-c1的用戶通過端口GigabitEthernet1/0/2訪問網絡。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
