目  錄

1 MAC地址認證

1.1 MAC地址認證簡介

1.1.1 MAC地址認證概述

1.1.2 使用不同用戶名格式的MAC地址認證

1.1.3 MAC地址認證定時器

1.1.4 和MAC地址認證配合使用的下發VLAN特性

1.2 MAC地址認證配置任務簡介

1.3 MAC地址認證基本配置

1.3.1 配置準備

1.3.2 配置過程

1.4 配置MAC地址認證用戶使用的認證域

1.5 MAC地址認證的顯示和維護

1.6 MAC地址認證典型配置舉例

1.6.1 本地認證

1.6.2 使用RADIUS服務器進行MAC地址認證

 

1 MAC地址認證

1.1  MAC地址認證簡介

1.1.1  MAC地址認證概述

MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法，它不需要用戶安裝任何客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以後，即啟動對該用戶的認證操作。認證過程中，不需要用戶手動輸入用戶名或者密碼。若該用戶認證成功，則允許其通過端口訪問網絡資源，否則該用戶的MAC地址就被添加為靜默MAC。在靜默時間內（可通過靜默定時器配置），來自此MAC地址的用戶報文到達時，設備直接做丟棄處理，以防止非法MAC短時間內的重複認證。

 

1.1.2  使用不同用戶名格式的MAC地址認證

目前設備支持兩種方式的MAC地址認證，通過RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）服務器進行遠程認證和在接入設備上進行本地認證。有關遠程RADIUS認證和本地認證的詳細介紹請參見“安全配置指導”中的“AAA”。

根據設備最終用於驗證用戶身份的用戶名格式和內容的不同，可以將MAC地址認證使用的用戶名格式分為兩種類型：

·     MAC地址用戶名格式：使用用戶的MAC地址作為認證時的用戶名和密碼；

·     固定用戶名格式：不論用戶的MAC地址為何值，所有用戶均使用設備上指定的一個固定用戶名和密碼替代用戶的MAC地址作為身份信息進行認證。由於同一個端口下可以有多個用戶進行認證，因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名進行認證，服務器端僅需要配置一個用戶帳戶即可滿足所有認證用戶的認證需求，適用於接入客戶端比較可信的網絡環境。

圖1-1 不同用戶名格式下的MAC地址認證示意圖

 

 

1. RADIUS服務器認證方式進行MAC地址認證

當選用RADIUS服務器認證方式進行MAC地址認證時，設備作為RADIUS客戶端，與RADIUS服務器配合完成MAC地址認證操作：

·     若采用MAC地址用戶名格式，則設備將檢測到的用戶MAC地址作為用戶名和密碼發送給RADIUS服務器進行驗證。

·     若采用固定用戶名格式，則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼，發送給RADIUS服務器進行驗證。

RADIUS服務器完成對該用戶的認證後，認證通過的用戶可以訪問網絡。

2. 本地認證方式進行MAC地址認證

當選用本地認證方式進行MAC地址認證時，直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼：

·     若采用MAC地址用戶名格式，則設備將檢測到的用戶MAC地址作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。

·     若采用固定用戶名，則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。

用戶名和密碼匹配成功後，用戶可以訪問網絡。

1.1.3  MAC地址認證定時器

可配置的MAC地址認證定時器包括以下幾種：

·     下線檢測定時器（offline-detect）：用來設置用戶空閑超時的時間間隔。如果在兩個時間間隔之內，某在線用戶沒有流量通過設備，設備將切斷該用戶的連接，同時通知RADIUS服務器，停止對該用戶的計費。

·     靜默定時器（quiet）：用來設置用戶認證失敗以後，設備停止對其提供認證服務的時間間隔。在靜默期間，設備不對來自該用戶的報文進行認證處理，直接丟棄。靜默期後，如果設備再次收到該用戶的報文，則依然可以對其進行認證處理。

·     服務器超時定時器（server-timeout）：用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中，如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答，則設備將在相應的端口上禁止此用戶訪問網絡。

1.1.4  和MAC地址認證配合使用的下發VLAN特性

為了將受限的網絡資源與未認證用戶隔離，通常將受限的網絡資源和用戶劃分到不同的VLAN。MAC地址認證支持認證服務器（遠程或本地）授權下發VLAN功能，即當用戶通過MAC地址認證後，認證服務器將指定的受限網絡資源所在的VLAN作為授權VLAN下發到用戶認證的端口。該端口被加入到授權VLAN中後，用戶便可以訪問這些受限的網絡資源。

設備根據用戶接入的端口鏈路類型，按以下三種情況將端口加入下發的授權VLAN中。

·     若用戶從Access類型的端口接入，則端口離開當前VLAN並加入下發的授權VLAN中。

·     若用戶從Trunk類型的端口接入，則設備允許下發的授權VLAN通過該端口，並且修改該端口的缺省VLAN為下發的授權VLAN。

·     若用戶從Hybrid類型的端口接入，則設備允許授權下發的VLAN以不攜帶Tag的方式通過該端口，並且修改該端口的缺省VLAN為下發的授權VLAN。需要注意的是，若該端口上使能了MAC VLAN功能，則設備將根據認證服務器下發的授權VLAN動態地創建基於用戶MAC的VLAN，而端口的缺省VLAN並不改變。

1.2  MAC地址認證配置任務簡介

表1-1 MAC地址認證配置任務簡介

配置任務	說明	詳細配置
MAC地址認證基本配置	必選	1.3
配置MAC地址認證用戶使用的認證域	可選	1.4

 

1.3  MAC地址認證基本配置

1.3.1  配置準備

1. 本地認證

·     創建並配置ISP域，詳細請參見“安全命令參考/AAA”中的domain命令。

·     配置本地用戶名和密碼，且配置的本地用戶名和密碼必須和用戶待認證的用戶名和密碼保持一致。詳細請參見“安全命令參考/AAA”中的local-user和password命令。

·     將本地用戶的服務類型設置為lan-access，詳細請參見“安全命令參考/AAA”中的service-type命令。

2. 通過RADIUS服務器認證

·     創建並配置ISP域，詳細請參見“安全命令參考/AAA”中的domain命令。

·     確保設備與RADIUS服務器之間的路由可達。

·     在RADIUS服務器上正確添加接入用戶帳戶：用戶名和密碼必須和待認證的用戶名和密碼保持一致。

1.3.2  配置過程

 

1. 配置全局MAC地址認證

表1-2 配置全局MAC地址認證

操作	命令	說明
進入係統視圖	system-view	-
啟動全局的MAC地址認證特性	mac-authentication	必選 缺省情況下，全局的MAC地址認證特性為關閉狀態
配置MAC地址認證定時器	mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }	可選 缺省情況下，下線檢測定時器為300秒，靜默定時器為60秒，服務器超時定時器取值為100秒
配置MAC地址認證的用戶名格式	mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } password ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] }	可選 缺省情況下，用戶名和密碼為用戶的源MAC地址，其中字母為小寫。設備默認的MAC地址不帶連字符“-”

 

2. 配置端口MAC地址認證

表1-3 配置端口MAC地址認證

配置步驟		命令	說明
進入係統視圖		system-view	-
開啟端口MAC地址認證特性	係統視圖	mac-authentication [ interface interface-list ]	二者必選其一 缺省情況下，端口的MAC地址認證特性為關閉狀態
	接口視圖	interface interface-type interface-number
		mac-authentication
配置端口同時可容納接入的MAC地址認證用戶數量的最大值		mac-authentication max-user user-number	可選 缺省情況下，端口同時可容納接入用戶數量的最大值為4096

 

 

1.4  配置MAC地址認證用戶使用的認證域

缺省情況下，對端口上接入的用戶進行MAC地址認證時，使用係統缺省的認證域。為了便於接入設備的管理員更為靈活地部署用戶的接入策略，設備支持指定MAC地址認證用戶使用的認證域，可以通過以下兩種配置實現：

·     在係統視圖下指定一個認證域，該認證域對所有使能了MAC地址認證的端口生效。

·     在接口視圖下指定一個認證域，該認證域對該端口生效，不同的端口可以指定不同的認證域。

如果係統視圖和接口視圖下都指定了認證域，則端口優先采用接口視圖下指定的認證域。

表1-4 配置MAC地址認證用戶使用的認證域

配置步驟	命令	說明
進入係統視圖	system-view	-
指定MAC地址認證用戶使用的認證域	mac-authentication domain domain-name	二者至少選其一 缺省情況下，未指定MAC地址認證用戶使用的認證域，使用係統缺省的認證域
	interface interface-type interface-number mac-authentication domain domain-name

 

 

1.5  MAC地址認證的顯示和維護

在完成上述配置後，在任意視圖下執行display命令可以查看顯示顯示配置後MAC地址認證的運行情況，通過查看顯示信息驗證配置的效果。

在用戶視圖下，執行reset命令可以清除相關統計信息。

表1-5 MAC地址認證的顯示和維護

操作	命令
顯示MAC地址認證的相關信息	display mac-authentication [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]
清除MAC地址認證的統計信息	reset mac-authentication statistics [ interface interface-list ]

 

1.6  MAC地址認證典型配置舉例

 

1.6.1  本地認證

1. 組網需求

如圖1-2所示，某用戶的工作站與以太網設備的端口GigabitEthernet3/0/1相連接。

·     設備的管理者希望在端口GigabitEthernet3/0/1上對用戶接入進行MAC地址認證，以控製其對Internet的訪問。

·     要求設備每隔180秒就對用戶是否下線進行檢測；並且當用戶認證失敗時，需等待180秒後才能對用戶再次發起認證。

·     所有用戶都使用域example.com作為認證域，認證時使用本地認證的方式。使用用戶的源MAC地址作為用戶名和密碼所有用戶都屬於域：example.com，認證時使用本地認證的方式。

·     使用用戶的MAC地址做用戶名和密碼，其中MAC地址帶連字符、字母小寫。

2. 組網圖

圖1-2 啟動MAC地址認證對接入用戶進行本地認證

 

3. 配置步驟

(1)     配置本地MAC地址認證

# 添加本地接入用戶。用戶名和密碼均為接入用戶的MAC地址00-e0-fc-12-34-56，服務類型為lan-access。

<Device> system-view

[Device] local-user 00-e0-fc-12-34-56

[Device-luser-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56

[Device-luser-00-e0-fc-12-34-56] service-type lan-access

[Device-luser-00-e0-fc-12-34-56] quit

# 配置ISP域，使用本地認證方法。

[Device] domain example.com

[Device-isp-example.com] authentication lan-access local

[Device-isp-example.com] quit

# 開啟全局MAC地址認證特性。

[Device] mac-authentication

# 開啟端口GigabitEthernet3/0/1的MAC地址認證特性。

[Device] mac-authentication interface gigabitethernet 3/0/1

# 配置MAC地址認證用戶所使用的ISP域。

[Device] mac-authentication domain example.com

# 配置MAC地址認證的定時器。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址認證用戶名格式：使用帶連字符的MAC地址作為用戶名與密碼，其中字母小寫。

[Device] mac-authentication user-name-format mac-address with-hyphen

(2)     驗證配置結果

# 顯示MAC地址配置信息。

<Device> display mac-authentication

MAC address authentication is enabled.

User name format is MAC address, like xx-xx-xx-xx-xx-xx

 Fixed username:mac

 Fixed password:not configured

          Offline detect period is 180s

          Quiet period is 180s.

          Server response timeout value is 100s

          The max allowed user number is 4096 per slot

          Current user number amounts to 1

          Current domain is example.com

Silent Mac User info:

         MAC Addr               From Port           Port Index

Gigabitethernet3/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

  Current online user number is 1

    MAC Addr         Authenticate state           Auth Index

00e0-fc12-3456   MAC_AUTHENTICATOR_SUCCESS     29

# 用戶認證成功後，可通過如下顯示命令查看上線用戶的連接信息。

<Device> display connection

slot：3

Index=29  ,[email protected]

IP=N/A

Ipv6=N/A

MAC=00e0-fc12-3456

Total 1 connection(s) matched on slot 3.

Total 1 connection(s) matched.

 

1.6.2  使用RADIUS服務器進行MAC地址認證

1. 組網需求

如圖1-3所示，用戶主機Host通過端口GigabitEthernet3/0/1連接到設備上，設備通過RADIUS服務器對用戶進行認證、授權和計費。

·     設備的管理者希望在端口GigabitEthernet3/0/1上對用戶接入進行MAC地址認證，以控製其對Internet的訪問。

·     要求設備每隔180秒就對用戶是否下線進行檢測；並且當用戶認證失敗時，需等待180秒後才能對用戶再次發起認證。

·     所有用戶都屬於域2000，認證時采用固定用戶名格式，用戶名為aaa，密碼為123456。

2. 組網圖

圖1-3 啟動MAC地址認證對接入用戶進行RADIUS認證

 

3. 配置步驟

 

(1)     配置使用RADIUS服務器進行MAC地址認證

# 配置RADIUS方案。

<Device> system-view

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.2 1813

[Device-radius-2000] key authentication abc

[Device-radius-2000] key accounting abc

[Device-radius-2000] user-name-format without-domain

[Device-radius-2000] quit

# 配置ISP域的AAA方法。

[Device] domain 2000

[Device-isp-2000] authentication default radius-scheme 2000

[Device-isp-2000] authorization  default radius-scheme 2000

[Device-isp-2000] accounting default radius-scheme 2000

[Device-isp-2000] quit

# 開啟全局MAC地址認證特性。

[Device] mac-authentication

# 開啟端口GigabitEthernet3/0/1的MAC地址認證特性。

[Device] mac-authentication interface gigabitethernet 3/0/1

# 配置MAC地址認證用戶所使用的ISP域。

[Device] mac-authentication domain 2000

# 配置MAC地址認證的定時器。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址認證使用固定用戶名格式：用戶名為aaa，密碼為明文123456。

[Device] mac-authentication user-name-format fixed account aaa password simple 123456

(2)     驗證配置結果

# 顯示MAC地址配置信息。

<Device> display mac-authentication

MAC address authentication is enabled.

User name format is fixed account

 Fixed username:aaa

 Fixed password: ******

          Offline detect period is 180s

          Quiet period is 180s.

          Server response timeout value is 100s

          The max allowed user number is 4096 per slot

          Current user number amounts to 1

          Current domain is 2000

Silent Mac User info:

         MAC ADDR               From Port           Port Index

Gigabitethernet3/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

  Current online user number is 1

    MAC ADDR         Authenticate state           AuthIndex

00e0-fc12-3456   MAC_AUTHENTICATOR_SUCCESS     29

# 用戶認證成功後，可通過如下顯示命令查看上線用戶的連接信息。

<Device> display connection

slot:3

Index=29  ,Username=aaa@2000

IP=N/A

Ipv6=N/A

MAC=00e0-fc12-3456

Total 1 connection(s) matched on slot 3.

Total 1 connection(s) matched.