• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

09-安全配置指導

03-MAC地址認證配置

本章節下載 03-MAC地址認證配置  (251.86 KB)

03-MAC地址認證配置


1 MAC地址認證配置

1.1  MAC地址認證簡介

1.1.1  MAC地址認證概述

MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法,它不需要用戶安裝任何客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以後,即啟動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或者密碼。若該用戶認證成功,則允許其通過端口訪問網絡資源,否則該用戶的MAC地址就被添加為靜默MAC。在靜默時間內(可通過靜默定時器配置),來自此MAC地址的用戶報文到達時,設備直接做丟棄處理,以防止非法MAC短時間內的重複認證。

若配置的靜態MAC或者當前認證通過的MAC地址與靜默MAC相同,則MAC地址認證失敗後的MAC靜默功能將會失效。

 

目前設備支持兩種方式的MAC地址認證:

l              通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器進行遠程認證。

l              在接入設備上進行本地認證。

有關遠程RADIUS認證和本地認證的詳細介紹請參見“安全配置指導”中的“AAA配置”。

目前,MAC地址認證支持兩種類型的用戶名格式:

l              MAC地址用戶名:使用用戶的MAC地址作為認證時的用戶名和密碼;

l              固定用戶名:不論用戶的MAC地址為何值,所有用戶均使用在設備上預先配置的用戶名和密碼進行認證。由於同一個端口下可以有多個用戶進行認證,因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名進行認證。

1.1.2  RADIUS服務器認證方式進行MAC地址認證

當選用RADIUS服務器認證方式進行MAC地址認證時,設備作為RADIUS客戶端,與RADIUS服務器配合完成MAC地址認證操作:

l              采用MAC地址用戶名時,設備將檢測到的用戶MAC地址作為用戶名和密碼發送給RADIUS服務器。

l              采用固定用戶名時,設備將已經在本地配置的用戶名和密碼作為待認證用戶的用戶名和密碼,發送給RADIUS服務器。

RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問網絡。

1.1.3  本地認證方式進行MAC地址認證

當選用本地認證方式進行MAC地址認證時,直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼:

l              采用MAC地址用戶名時,需要配置的本地用戶名和密碼為各接入用戶的MAC地址。

l              采用固定用戶名時,需要配置的本地用戶名為自定義的,所有用戶對應的用戶名和密碼與自定義的一致。

1.1.4  MAC地址認證定時器

MAC地址認證過程受以下定時器的控製:

l              下線檢測定時器(offline-detect):用來設置用戶空閑超時的時間間隔。如果在兩個時間間隔之內,沒有來自用戶的流量通過,設備將切斷用戶的連接,同時通知RADIUS服務器,停止對該用戶的計費。

l              靜默定時器(quiet):用來設置用戶認證失敗以後,設備停止對其提供認證服務的時間間隔。在靜默期間,設備不對來自該用戶的報文進行認證處理,直接丟棄。靜默期後,如果設備再次收到該用戶的報文,則依然可以對其進行認證處理。

l              服務器超時定時器(server-timeout):用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答,則設備將在相應的端口上禁止此用戶訪問網絡。

1.1.5  和MAC地址認證配合使用的特性

1. 下發VLAN

為了將受限的網絡資源與未認證用戶隔離,通常將受限的網絡資源和用戶劃分到不同的VLAN。MAC地址認證支持認證服務器授權下發VLAN功能,即當用戶通過MAC地址認證後,認證服務器支持將指定的受限網絡資源所在的VLAN作為授權VLAN下發到用戶認證的端口。該端口被加入到授權VLAN中後,用戶便可以訪問這些受限的網絡資源。

2. 下發ACL

從認證服務器下發的ACL被稱為授權ACL,它為用戶訪問網絡提供了良好的過濾條件設置功能。MAC地址認證支持認證服務器授權下發ACL功能,即當用戶通過MAC地址認證後,如果RADIUS服務器上配置了授權ACL,則設備會根據服務器下發的授權ACL對用戶所在端口的數據流進行控製。為使下發的授權ACL生效,需要提前在設備上配置相應的ACL規則。而且在用戶訪問網絡的過程中,可以通過改變服務器的授權ACL設置來改變用戶的訪問權限。

3. MAC地址認證的Guest VLAN

Guest VLAN功能允許用戶在認證失敗的情況下訪問某一特定VLAN中的資源,比如獲取客戶端軟件,升級客戶端或執行其他一些用戶升級程序。這個VLAN稱之為Guest VLAN。

如果接入用戶的端口上配置了Guest VLAN,則該端口上認證失敗的用戶會被加入Guest VLAN,即該用戶被授權訪問Guest VLAN裏的資源。若Guest VLAN中的用戶再次發起認證未成功,則該用戶將仍然處於Guest VLAN內;若認證成功,則會根據認證服務器是否下發VLAN將用戶加入到下發的VLAN中,或回到加入Guest VLAN之前端口所在的VLAN。

1.2  MAC地址認證配置任務簡介

表1-1 MAC地址認證配置任務簡介

配置任務

說明

詳細配置

MAC地址認證基本配置

必選

1.3 

配置MAC地址認證用戶使用的認證域

可選

1.4 

配置MAC地址認證的Guest VLAN

可選

1.5 

 

1.3  MAC地址認證基本配置

1.3.1  配置準備

l              創建並配置ISP域。

l              若采用本地認證方式,需創建本地用戶並設置其密碼,且本地用戶的服務類型應設置為lan-access

l              若采用遠程RADIUS認證方式,需要確保設備與RADIUS服務器之間的路由可達,並添加MAC地址認證用戶帳號。

創建本地用戶或添加遠程用戶帳號時,需要注意這些用戶的用戶名必須與設備上指定的MAC地址認證用戶名格式保持一致。

 

1.3.2  配置過程

隻有全局和端口的MAC地址認證特性均開啟後, MAC地址認證配置才能在端口上生效。

1. 配置全局MAC地址認證

表1-2 配置全局MAC地址認證

操作

命令

說明

進入係統視圖

system-view

-

啟動全局的MAC地址認證特性

mac-authentication

必選

缺省情況下,全局的MAC地址認證特性為關閉狀態

配置MAC地址認證定時器

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

可選

缺省情況下,下線檢測定時器為300秒,靜默定時器為60秒,服務器超時定時器取值為100秒

配置MAC地址認證的用戶名格式

mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } password ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] }

可選

缺省情況下,使用用戶的源MAC地址做用戶名與密碼,其中字母為小寫。MAC地址不帶連字符“-”

 

2. 配置端口MAC地址認證

表1-3 配置端口MAC地址認證

配置步驟

命令

說明

進入係統視圖

system-view

-

開啟端口MAC地址認證特性

係統視圖

mac-authentication interface interface-list

二者必選其一

缺省情況下,端口的MAC地址認證特性為關閉狀態

二層以太網端口視圖

interface interface-type interface-number

mac-authentication

配置端口同時可容納接入的MAC地址認證用戶數量的最大值

mac-authentication max-user user-number

可選

缺省情況下,端口同時可容納接入的MAC地址認證用戶數量的最大值為1024

 

端口啟動MAC地址認證與端口加入聚合組及端口加入業務環回組互斥。

 

1.4  配置MAC地址認證用戶使用的認證域

缺省情況下,對端口上接入的用戶進行MAC地址認證時,使用係統缺省的認證域。為了便於接入設備的管理員更為靈活地部署用戶的接入策略,設備支持指定MAC地址認證用戶使用的認證域,可以通過以下兩種配置實現:

l              在係統視圖下指定一個認證域,該認證域對所有使能了MAC地址認證的端口生效。

l              在二層以太網端口視圖下指定該端口的認證域,不同的端口可以指定不同的認證域。

如果係統視圖和二層以太網端口視圖下都指定了認證域,則端口優先采用本端口上指定的認證域。

表1-4 指定MAC地址認證用戶使用的認證域

配置步驟

命令

說明

進入係統視圖

system-view

-

指定MAC地址認證用戶使用的認證域

mac-authentication domain domain-name

二者至少選其一

缺省情況下,未指定MAC地址認證用戶使用的認證域,使用係統缺省的認證域

interface interface-type interface-number

mac-authentication domain domain-name

 

端口上接入的MAC地址認證用戶將按照如下先後順序選擇認證域:端口上指定的認證域-->係統視圖下指定的認證域-->係統缺省的認證域。關於認證域的相關介紹請參見“安全配置指導”中的“AAA配置”。

 

1.5  配置MAC地址認證的Guest VLAN

1.5.1  配置準備

l              開啟MAC地址認證特性。

l              端口的MAC VLAN功能已經使能。

l              已經創建需要配置為Guest VLAN的VLAN。

1.5.2  配置Guest VLAN

表1-5 配置Guest VLAN

配置步驟

命令

說明

進入係統視圖

system-view

-

進入二層以太網端口視圖

interface interface-type interface-number

-

配置MAC認證的Guest VLAN

mac-authentication guest-vlan guest-vlan-id

必選

缺省情況下,沒有配置MAC認證的Guest VLAN

 

l          不同的端口可以配置不同的Guest VLAN,但一個端口隻能配置一個Guest VLAN。

l          若端口上同時配置了802.1X認證的MGV(MAC-based Guest VLAN)與MAC地址認證的Guest VLAN,則僅802.1X認證的MGV生效。關於802.1X的MGV介紹請參見“安全配置指導”中的“802.1X配置”。

l          MAC地址認證Guest VLAN功能的優先級高於端口安全中端口入侵檢測的阻塞MAC功能,低於端口入侵檢測的端口關閉功能。關於端口入侵檢測功能的具體介紹請參見“安全配置指導”中的“端口安全配置”。

l          MAC地址認證Guest VLAN功能的優先級高於MAC認證的靜默MAC功能。

l          MAC地址認證Guest VLAN與EAD快速部署的Free IP配置在端口上互斥。關於Free IP的配置請參考“安全配置指導”中的“802.1X配置”。

l          如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的Guest VLAN;同樣,如果某個VLAN被指定為某個端口的Guest VLAN,則該VLAN不能被指定為Super VLAN。關於Super VLAN的詳細內容請參見“二層技術-以太網交換配置指導”中的“VLAN配置”。

 

1.6  MAC地址認證的顯示和維護

在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MAC地址認證的運行情況,通過查看顯示信息驗證配置的效果。

在用戶視圖下,執行reset命令可以清除相關統計信息。

表1-6 MAC地址認證的顯示和維護

操作

命令

顯示MAC地址認證的相關信息

display mac-authentication [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]

清除MAC地址認證的統計信息

reset mac-authentication statistics [ interface interface-list ]

 

1.7  MAC地址認證典型配置舉例

1.7.1  本地MAC地址認證

1. 組網需求

圖1-1所示,某用戶的工作站與以太網設備的端口GigabitEthernet2/0/1相連接。

l              設備的管理者希望在端口GigabitEthernet2/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。

l              要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。

l              所有用戶都屬於域:example.com,認證時使用本地認證的方式。

l              使用用戶的MAC地址做用戶名和密碼,其中MAC地址帶連字符、字母小寫。

2. 組網圖

圖1-1 啟動MAC地址認證對接入用戶進行本地認證

 

3. 配置步驟

(1)        配置本地MAC地址認證

# 添加本地接入用戶。用戶名和密碼均為接入用戶的MAC地址00-e0-fc-12-34-56,服務類型為lan-access

<Device> system-view

[Device] local-user 00-e0-fc-12-34-56

[Device-luser-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56

[Device-luser-00-e0-fc-12-34-56] service-type lan-access

[Device-luser-00-e0-fc-12-34-56] quit

# 配置ISP域,使用本地認證方式。

[Device] domain example.com

[Device-isp-example.com] authentication lan-access local

[Device-isp-example.com] quit

# 開啟全局MAC地址認證特性。

[Device] mac-authentication

# 開啟端口GigabitEthernet2/0/1的MAC地址認證特性。

[Device] mac-authentication interface gigabitethernet 2/0/1

# 配置MAC地址認證用戶所使用的ISP域。

[Device] mac-authentication domain example.com

# 配置MAC地址認證的定時器。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址認證用戶名格式:使用帶連字符的MAC地址作為用戶名與密碼,其中字母小寫。

[Device] mac-authentication user-name-format mac-address with-hyphen lowercase

(2)        驗證配置結果

# 顯示MAC地址配置信息。

<Device> display mac-authentication

MAC address authentication is enabled.

 User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx

 Fixed username:mac

 Fixed password:not configured

          Offline detect period is 180s

          Quiet period is 180s.

          Server response timeout value is 100s

          The max allowed user number is 2048 per slot

          Current user number amounts to 1

          Current domain is example.com

Silent Mac User info:

          MAC Addr         From Port                    Port Index

Gigabitethernet2/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

 Max number of on-line users is 1024

  Current online user number is 1

          MAC Addr         Authenticate state           Auth Index

          00e0-fc12-3456   MAC_AUTHENTICATOR_SUCCESS     29

# 用戶認證成功後,可通過如下顯示命令查看上線用戶的連接信息。

<Device> display connection

 

Index=29  ,[email protected]

MAC=00e0-fc12-3456

IP=N/A

IPv6=N/A

 Total 1 connection(s) matched.

 

1.7.2  使用RADIUS服務器進行MAC地址認證

1. 組網需求

圖1-2所示,用戶主機Host通過端口GigabitEthernet2/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費。

l              設備的管理者希望在端口GigabitEthernet2/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。

l              要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。

l              所有用戶都屬於域2000,認證時采用固定用戶名格式,用戶名為aaa,密碼為123456。

2. 組網圖

圖1-2 啟動MAC地址認證對接入用戶進行RADIUS認證

 

3. 配置步驟

確保RADIUS服務器與設備路由可達,並成功添加了接入用戶帳戶:用戶名為aaa,密碼為123456。

 

(1)        配置使用RADIUS服務器進行MAC地址認證

# 配置RADIUS方案。

<Device> system-view

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.2 1813

[Device-radius-2000] key authentication abc

[Device-radius-2000] key accounting abc

[Device-radius-2000] user-name-format without-domain

[Device-radius-2000] quit

# 配置ISP域的AAA方案。

[Device] domain 2000

[Device-isp-2000] authentication default radius-scheme 2000

[Device-isp-2000] authorization default radius-scheme 2000

[Device-isp-2000] accounting default radius-scheme 2000

[Device-isp-2000] quit

# 開啟全局MAC地址認證特性。

[Device] mac-authentication

# 開啟端口GigabitEthernet2/0/1的MAC地址認證特性。

[Device] mac-authentication interface gigabitethernet 2/0/1

# 配置MAC地址認證用戶所使用的ISP域。

[Device] mac-authentication domain 2000

# 配置MAC地址認證的定時器。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址認證使用固定用戶名格式:用戶名為aaa,密碼為123456。

[Device] mac-authentication user-name-format fixed account aaa password simple 123456

(2)        驗證配置結果

# 顯示MAC地址配置信息。

<Device> display mac-authentication

MAC address authentication is enabled.

User name format is fixed account

 Fixed username:aaa

 Fixed password:123456

          Offline detect period is 180s

          Quiet period is 180s.

          Server response timeout value is 100s

          The max allowed user number is 2048 per slot

          Current user number amounts to 1

          Current domain is 2000

Silent Mac User info:

         MAC Addr               From Port           Port Index

Gigabitethernet2/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

 Max number of on-line users is 1024

  Current online user number is 1

    MAC Addr         Authenticate state           Auth Index

    00e0-fc12-3456   MAC_AUTHENTICATOR_SUCCESS     29

# 用戶認證成功後,可通過如下顯示命令查看上線用戶的連接信息。

<Device> display connection

 

Index=29  ,Username=aaa@2000

MAC=00e0-fc12-3456

IP=N/A

IPv6=N/A

 Total 1 connection(s) matched.

1.7.3  下發ACL典型配置舉例

1. 組網需求

圖1-3所示,用戶主機Host通過端口GigabitEthernet2/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費,Internet網絡中有一台FTP服務器,IP地址為10.0.0.1。現有如下組網需求:

l              在端口GigabitEthernet2/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。認證時使用用戶的源MAC地址做用戶名和密碼,其中MAC地址帶連字符、字母小寫。

l              當用戶認證成功上線後,允許用戶訪問除FTP服務器之外的Internet資源。

2. 組網圖

圖1-3 下發ACL典型配置組網圖

 

3. 配置步驟

l          確保RADIUS服務器與設備路由可達。

l          由於該例中使用了MAC地址認證的缺省用戶名和密碼,即使用用戶的源MAC地址做用戶名與密碼,因此還要保證RADIUS服務器上正確添加了接入用戶帳戶:用戶名為00-e0-fc-12-34-56,密碼為00-e0-fc-12-34-56。

l          指定RADIUS服務器上的授權ACL為設備上配置的ACL 3000。

 

(1)        配置授權ACL

# 配置ACL 3000,拒絕目的IP地址為10.0.0.1的報文通過。

<Sysname> system-view

[Sysname] acl number 3000

[Sysname-acl-adv-3000] rule 0 deny ip destination 10.0.0.1 0

[Sysname-acl-adv-3000] quit

(2)        配置使用RADIUS服務器進行MAC地址認證

# 配置RADIUS方案。

[Sysname] radius scheme 2000

[Sysname-radius-2000] primary authentication 10.1.1.1 1812

[Sysname-radius-2000] primary accounting 10.1.1.2 1813

[Sysname-radius-2000] key authentication abc

[Sysname-radius-2000] key accounting abc

[Sysname-radius-2000] user-name-format without-domain

[Sysname-radius-2000] quit

# 配置ISP域的AAA方案。

[Sysname] domain 2000

[Sysname-isp-2000] authentication default radius-scheme 2000

[Sysname-isp-2000] authorization  default radius-scheme 2000

[Sysname-isp-2000] accounting default radius-scheme 2000

[Sysname-isp-2000] quit

# 開啟全局MAC地址認證特性。

[Sysname] mac-authentication

# 配置MAC地址認證用戶所使用的ISP域。

[Sysname] mac-authentication domain 2000

# 配置MAC地址認證用戶名格式:使用帶連字符的MAC地址做用戶名與密碼,其中字母小寫。

[Sysname] mac-authentication user-name-format mac-address with-hyphen lowercase

# 開啟指定端口的MAC地址認證特性。

[Sysname] interface gigabitethernet 2/0/1

[Sysname-GigabitEthernet2/0/1] mac-authentication

(3)        驗證配置結果

用戶Host認證成功後,通過在設備上執行display connection命令可以查看到已上線用戶信息。

[Sysname-GigabitEthernet2/0/1] display connection

 

Index=9   , Username=00-e0-fc-12-34-56@2000

 IP=N/A

 IPv6=N/A

 MAC=00e0-fc12-3456

 

Total 1 connection(s) matched.

用戶通過ping FTP服務器,可以驗證認證服務器下發的ACL 3000是否生效。

C:\>ping 10.0.0.1

 

Pinging 10.0.0.1 with 32 bytes of data:

 

Request timed out.

Request timed out.

Request timed out.

Request timed out.

 

Ping statistics for 10.0.0.1:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

 

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們