- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-MAC地址認證配置
本章節下載: 03-MAC地址認證配置 (294.25 KB)
目 錄
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法,它不需要用戶安裝任何客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以後,即啟動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或者密碼。若該用戶認證成功,則允許其通過端口訪問網絡資源,否則該用戶的MAC地址就被添加為靜默MAC。在靜默時間內(可通過靜默定時器配置),來自此MAC地址的用戶報文到達時,設備直接做丟棄處理,以防止非法MAC短時間內的重複認證。
若配置的靜態MAC或者當前認證通過的MAC地址與靜默MAC相同,則MAC地址認證失敗後的MAC靜默功能將會失效。
目前設備支持兩種方式的MAC地址認證,通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器進行遠程認證和在接入設備上進行本地認證。有關遠程RADIUS認證和本地認證的詳細介紹請參見“安全配置指導”中的“AAA”。
根據設備最終用於驗證用戶身份的用戶名格式和內容的不同,可以將MAC地址認證使用的用戶名格式分為兩種類型:
· MAC地址用戶名格式:使用用戶的MAC地址作為認證時的用戶名和密碼;
· 固定用戶名格式:不論用戶的MAC地址為何值,所有用戶均使用設備上指定的一個固定用戶名和密碼替代用戶的MAC地址作為身份信息進行認證。由於同一個端口下可以有多個用戶進行認證,因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名進行認證,服務器端僅需要配置一個用戶帳戶即可滿足所有認證用戶的認證需求,適用於接入客戶端比較可信的網絡環境。
圖1-1 不同用戶名格式下的MAC地址認證示意圖
當選用RADIUS服務器認證方式進行MAC地址認證時,設備作為RADIUS客戶端,與RADIUS服務器配合完成MAC地址認證操作:
· 若采用MAC地址用戶名格式,則設備將檢測到的用戶MAC地址作為用戶名和密碼發送給RADIUS服務器進行驗證。
· 若采用固定用戶名格式,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼,發送給RADIUS服務器進行驗證。
RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問網絡。
當選用本地認證方式進行MAC地址認證時,直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼:
· 若采用MAC地址用戶名格式,則設備將檢測到的用戶MAC地址作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
· 若采用固定用戶名,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
用戶名和密碼匹配成功後,用戶可以訪問網絡。
可配置的MAC地址認證定時器包括以下幾種:
· 下線檢測定時器(offline-detect):用來設置用戶空閑超時的時間間隔。如果在兩個時間間隔之內,某在線用戶沒有流量通過設備,設備將切斷該用戶的連接,同時通知RADIUS服務器,停止對該用戶的計費。
· 靜默定時器(quiet):用來設置用戶認證失敗以後,設備停止對其提供認證服務的時間間隔。在靜默期間,設備不對來自該用戶的報文進行認證處理,直接丟棄。靜默期後,如果設備再次收到該用戶的報文,則依然可以對其進行認證處理。
· 服務器超時定時器(server-timeout):用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答,則設備將在相應的端口上禁止此用戶訪問網絡。
為了將受限的網絡資源與未認證用戶隔離,通常將受限的網絡資源和用戶劃分到不同的VLAN。MAC地址認證支持認證服務器(遠程或本地)授權下發VLAN功能,即當用戶通過MAC地址認證後,認證服務器將指定的受限網絡資源所在的VLAN作為授權VLAN下發到用戶認證的端口。該端口被加入到授權VLAN中後,用戶便可以訪問這些受限的網絡資源。
設備根據用戶接入的端口鏈路類型,按以下三種情況將端口加入下發的授權VLAN中。
· 若用戶從Access類型的端口接入,則端口離開當前VLAN並加入下發的授權VLAN中。
· 若用戶從Trunk類型的端口接入,則設備允許下發的授權VLAN通過該端口,並且修改該端口的缺省VLAN為下發的授權VLAN。
· 若用戶從Hybrid類型的端口接入,則設備允許授權下發的VLAN以不攜帶Tag的方式通過該端口,並且修改該端口的缺省VLAN為下發的授權VLAN。需要注意的是,若該端口上使能了MAC VLAN功能,則設備將根據認證服務器下發的授權VLAN動態地創建基於用戶MAC的VLAN,而端口的缺省VLAN並不改變。
從認證服務器(遠程或本地)下發的ACL被稱為授權ACL,它為用戶訪問網絡提供了良好的過濾條件設置功能。MAC地址認證支持認證服務器授權下發ACL功能,即當用戶通過MAC地址認證後,如果認證服務器上配置了授權ACL,則設備會根據服務器下發的授權ACL對用戶所在端口的數據流進行控製。為使下發的授權ACL生效,需要提前在設備上配置相應的ACL規則。而且在用戶訪問網絡的過程中,可以通過改變服務器的授權ACL設置來改變用戶的訪問權限。
Guest VLAN功能允許用戶在認證失敗的情況下訪問某一特定VLAN中的資源,比如獲取客戶端軟件,升級客戶端或執行其他一些用戶升級程序。這個VLAN稱之為Guest VLAN。
如果接入用戶的端口上配置了Guest VLAN,則該端口上認證失敗的用戶會被加入Guest VLAN,且設備允許Guest VLAN以不攜帶Tag的方式通過該端口,即該用戶被授權訪問Guest VLAN裏的資源。若Guest VLAN中的用戶再次發起認證未成功,則該用戶將仍然處於Guest VLAN內;若認證成功,則會根據認證服務器是否下發授權VLAN決定是否將用戶加入到下發的授權VLAN中,在認證服務器未下發授權VLAN的情況下,用戶回到加入Guest VLAN之前端口所在的VLAN。
MAC地址認證的Critical VLAN功能允許用戶在進行MAC地址認證時,當所有認證服務器都不可達的情況下訪問某一特定VLAN中的資源,這個VLAN稱之為MAC地址認證的Critical VLAN。
端口上配置Critical VLAN後,若該端口上有用戶進行MAC地址認證時,當所有認證服務器都不可達,則用戶將被授權訪問Critical VLAN裏的資源。
如果滿足以下任意一個條件,端口將會離開Critical VLAN:
· 認證用戶的ISP域中新增可達的認證服務器。
· 配置了RADIUS認證服務器探測功能,且探測結果表示某認證服務器可達。
· 收到RADIUS服務器回應報文。
· 隻采用RADIUS認證方式的情況下,在認證服務器都不可達後,端口才會加入Critical VLAN。若采用了其它認證方式,則端口不會加入Critical VLAN。
· RADIUS服務器相關的配置請參見“安全配置指導”中的“AAA”。
表1-1 MAC地址認證配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
MAC地址認證基本配置 |
必選 |
|
|
配置MAC地址認證用戶使用的認證域 |
可選 |
|
|
配置MAC地址認證的Guest VLAN |
可選 |
|
|
配置MAC地址認證的Critical VLAN |
可選 |
|
|
配置MAC地址認證延時時間 |
可選 |
· 創建並配置ISP域。
· 若采用本地認證方式,需創建本地用戶並設置其密碼,且本地用戶的服務類型應設置為lan-access。
· 若采用遠程RADIUS認證方式,需要確保設備與RADIUS服務器之間的路由可達,並添加MAC地址認證用戶帳號。
創建本地用戶或添加遠程用戶帳號時,需要注意這些用戶的用戶名必須與設備上指定的MAC地址認證用戶名格式保持一致。
隻有全局和端口的MAC地址認證特性均開啟後,MAC地址認證配置才能在端口上生效。
表1-2 配置全局MAC地址認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
啟動全局的MAC地址認證特性 |
mac-authentication |
必選 缺省情況下,全局的MAC地址認證特性為關閉狀態 |
|
配置MAC地址認證定時器 |
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value } |
可選 缺省情況下,下線檢測定時器為300秒,靜默定時器為60秒,服務器超時定時器取值為100秒 |
|
配置MAC地址認證用戶的用戶名格式 |
mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } password ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] } |
可選 缺省情況下,使用用戶的源MAC地址做用戶名與密碼,其中字母為小寫,MAC地址不帶連字符“-” |
全局MAC地址認證與802.1X的EAD快速部署功能互斥,開啟全局MAC地址認證將會使802.1X的EAD快速部署功能失效。
表1-3 配置端口MAC地址認證
|
配置步驟 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
開啟端口MAC地址認證特性 |
係統視圖 |
mac-authentication interface interface-list |
二者必選其一 缺省情況下,端口的MAC地址認證特性為關閉狀態 |
|
以太網端口視圖 |
interface interface-type interface-number |
||
|
mac-authentication |
|||
|
配置端口同時可容納接入的MAC地址認證用戶數量的最大值 |
mac-authentication max-user user-number |
可選 端口同時可容納接入用戶數量的最大值為256 |
|
端口啟動MAC地址認證與端口加入聚合組及端口加入業務環回組互斥。
缺省情況下,對端口上接入的用戶進行MAC地址認證時,使用係統缺省的認證域。為了便於接入設備的管理員更為靈活地部署用戶的接入策略,設備支持指定MAC地址認證用戶使用的認證域,可以通過以下兩種配置實現:
· 在係統視圖下指定一個認證域,該認證域對所有使能了MAC地址認證的端口生效。
· 在以太網端口視圖下指定該端口的認證域,不同的端口可以指定不同的認證域。
如果係統視圖和以太網端口視圖下都指定了認證域,則端口優先采用本端口上指定的認證域。
表1-4 指定MAC地址認證用戶使用的認證域
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定MAC地址認證用戶使用的認證域 |
mac-authentication domain domain-name |
二者至少選其一 缺省情況下,未指定MAC地址認證用戶使用的認證域,使用係統缺省的認證域 |
|
interface interface-type interface-number mac-authentication domain domain-name |
端口上接入的MAC地址認證用戶將按照如下先後順序選擇認證域:端口上指定的認證域-->係統視圖下指定的認證域-->係統缺省的認證域。關於認證域的相關介紹請參見“安全配置指導”中的“AAA”。
· 若在802.1X接入控製方式為MAC-based的端口上同時配置了802.1X認證的Guest VLAN與MAC地址認證的Guest VLAN,則僅802.1X認證的Guest VLAN生效,因此建議在配置MAC地址認證的Guest VLAN之前,確認是否配置了802.1X認證的Guest VLAN。關於802.1X的Guest VLAN介紹請參見“安全配置指導”中的“802.1X”。
· MAC地址認證Guest VLAN功能的優先級高於端口安全中端口入侵檢測的阻塞MAC功能,低於端口入侵檢測的端口關閉功能,因此在開啟了端口安全入侵檢測的端口關閉功能時,MAC地址認證的Guest VLAN功能不生效。關於端口入侵檢測功能的具體介紹請參見“安全配置指導”中的“端口安全”。
· 如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的Guest VLAN;同樣,如果某個VLAN被指定為某個端口的Guest VLAN,則該VLAN不能被指定為Super VLAN。關於Super VLAN的詳細內容請參見“二層技術-以太網交換配置指導”中的“Super VLAN”。
· 開啟MAC地址認證特性。
· 端口的MAC VLAN功能已經使能。
· 已經創建需要配置為Guest VLAN的VLAN。
表1-5 配置Guest VLAN
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置MAC認證的Guest VLAN |
mac-authentication guest-vlan guest-vlan-id |
必選 缺省情況下,沒有配置MAC認證的Guest VLAN |
· MAC地址認證過程中,當客戶端無法在設備給其分配的VLAN發生變化時(加入或離開MAC地址認證的授權VLAN、Guest VLAN或Critical VLAN)觸發自身的IP地址更新,建議用戶通過釋放IP或修複網絡連接的方式解決這個問題。
· 不同的端口可以配置不同的Guest VLAN,但一個端口隻能配置一個Guest VLAN。
· MAC地址認證Guest VLAN功能的優先級高於MAC地址認證的靜默MAC功能,即認證失敗的用戶可訪問指定的Guest VLAN中的資源,且該用戶的MAC地址不會被加入靜默MAC。
· MAC地址認證Critical VLAN功能的優先級高於端口安全中端口入侵檢測的阻塞MAC功能,低於端口入侵檢測的端口關閉功能,因此在開啟了端口安全入侵檢測的端口關閉功能時,MAC地址認證的Critical VLAN功能不生效。關於端口入侵檢測功能的具體介紹請參見“安全配置指導”中的“端口安全”。
· 如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的Critical VLAN;同樣,如果某個VLAN被指定為某個端口的Critical VLAN,則該VLAN不能被指定為Super VLAN。關於Super VLAN的詳細內容請參見“二層技術-以太網交換配置指導”中的“Super VLAN”。
· 開啟MAC地址認證特性。
· 端口的MAC VLAN功能已經使能。
· 已經創建需要配置為Critical VLAN的VLAN。
表1-6 配置Critical VLAN
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置MAC認證的Critical VLAN |
mac-authentication critical vlan critical-vlan-id |
必選 缺省情況下,沒有配置MAC認證的Critical VLAN |
· MAC地址認證過程中,當客戶端無法在設備給其分配的VLAN發生變化時(加入或離開MAC地址認證的授權VLAN、Guest VLAN或Critical VLAN)觸發自身的IP地址更新,建議用戶通過釋放IP或修複網絡連接的方式解決這個問題。
· 不同的端口可以配置不同的Critical VLAN,但一個端口隻能配置一個Critical VLAN。
· MAC地址認證Critical VLAN功能的優先級高於MAC地址認證的靜默MAC功能,即當認證服務器都不可達時,認證失敗的用戶可訪問指定的Critical VLAN中的資源,且該用戶的MAC地址不會被加入靜默MAC。
在端口上同時啟用了802.1X認證和MAC地址認證功能的情況下,可以通過啟用MAC地址認證延時觸發功能達到優先觸發802.1X認證的目的。具體是否需要啟用此功能,可以根據實際組網情況進行相應設置。
表1-7 配置MAC地址認證延時時間
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置MAC地址認證延時的時間 |
mac-authentication timer auth-delay time |
必選 缺省情況下,MAC地址認證不延時 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MAC地址認證的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
表1-8 MAC地址認證的顯示和維護
|
操作 |
命令 |
|
顯示MAC地址認證的相關信息 |
display mac-authentication [ interface interface-list ] [ | { begin | exclude | include } regular-expression ] |
|
清除MAC地址認證的統計信息 |
reset mac-authentication statistics [ interface interface-list ] |
如圖1-2所示,某用戶的工作站與以太網設備的端口GigabitEthernet1/0/1相連接。
· 設備的管理者希望在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。
· 要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於域:example.com,認證時使用本地認證的方式。
· 使用用戶的MAC地址做用戶名和密碼,其中MAC地址帶連字符、字母小寫。
圖1-2 啟動MAC地址認證對接入用戶進行本地認證
(1) 配置本地MAC地址認證
# 添加本地接入用戶。用戶名和密碼均為接入用戶的MAC地址00-e0-fc-12-34-56,服務類型為lan-access。
<Device> system-view
[Device] local-user 00-e0-fc-12-34-56
[Device-luser-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56
[Device-luser-00-e0-fc-12-34-56] service-type lan-access
[Device-luser-00-e0-fc-12-34-56] quit
# 配置ISP域,使用本地認證方法。
[Device] domain example.com
[Device-isp-example.com] authentication lan-access local
[Device-isp-example.com] quit
# 開啟全局MAC地址認證特性。
[Device] mac-authentication
# 開啟端口GigabitEthernet1/0/1的MAC地址認證特性。
[Device] mac-authentication interface gigabitethernet 1/0/1
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain example.com
# 配置MAC地址認證的定時器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址認證用戶名格式:使用帶連字符的MAC地址作為用戶名與密碼,其中字母小寫。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
(2) 驗證配置結果
# 顯示MAC地址配置信息。
<Device> display mac-authentication
MAC address authentication is enabled.
User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx
Fixed username:mac
Fixed password:not configured
Offline detect period is 180s
Quiet period is 180s.
Server response timeout value is 100s
The max allowed user number is 1024 per slot
Current user number amounts to 1
Current domain is example.com
Silent Mac User info:
MAC Addr From Port Port Index
Gigabitethernet1/0/1 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Max number of on-line users is 256
Current online user number is 1
MAC Addr Authenticate state Auth Index
00e0-fc12-3456 MAC_AUTHENTICATOR_SUCCESS 29
# 用戶認證成功後,可通過如下顯示命令查看上線用戶的連接信息。
<Device> display connection
Slot: 1
Index=29 ,[email protected]
IP=N/A
IPv6=N/A
MAC=00e0-fc12-3456
Total 1 connection(s) matched on slot 1.
Total 1 connection(s) matched.
如圖1-3所示,用戶主機Host通過端口GigabitEthernet1/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費。
· 設備的管理者希望在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。
· 要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於域2000,認證時采用固定用戶名格式,用戶名為aaa,密碼為123456。
圖1-3 啟動MAC地址認證對接入用戶進行RADIUS認證
確保RADIUS服務器與設備路由可達,並成功添加了接入用戶帳戶:用戶名為aaa,密碼為123456。
(1) 配置使用RADIUS服務器進行MAC地址認證
# 配置RADIUS方案。
<Device> system-view
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication abc
[Device-radius-2000] key accounting abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置ISP域的AAA方法。
[Device] domain 2000
[Device-isp-2000] authentication default radius-scheme 2000
[Device-isp-2000] authorization default radius-scheme 2000
[Device-isp-2000] accounting default radius-scheme 2000
[Device-isp-2000] quit
# 開啟全局MAC地址認證特性。
[Device] mac-authentication
# 開啟端口GigabitEthernet1/0/1的MAC地址認證特性。
[Device] mac-authentication interface gigabitethernet 1/0/1
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain 2000
# 配置MAC地址認證的定時器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址認證使用固定用戶名格式:用戶名為aaa,密碼為明文123456。
[Device] mac-authentication user-name-format fixed account aaa password simple 123456
(2) 驗證配置結果
# 顯示MAC地址配置信息。
<Device> display mac-authentication
MAC address authentication is enabled.
User name format is fixed account
Fixed username:aaa
Fixed password: ******
Offline detect period is 180s
Quiet period is 180s.
Server response timeout value is 100s
The max allowed user number is 1024 per slot
Current user number amounts to 1
Current domain is 2000
Silent Mac User info:
MAC ADDR From Port Port Index
Gigabitethernet1/0/1 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Max number of on-line users is 256
Current online user number is 1
MAC ADDR Authenticate state Auth Index
00e0-fc12-3456 MAC_AUTHENTICATOR_SUCCESS 29
# 用戶認證成功後,可通過如下顯示命令查看上線用戶的連接信息。
<Device> display connection
Slot: 1
Index=29 ,Username=aaa@2000
IP=N/A
IPv6=N/A
MAC=00e0-fc12-3456
Total 1 connection(s) matched on slot 1.
Total 1 connection(s) matched.
如圖1-4所示,用戶主機Host通過端口GigabitEthernet1/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費,Internet網絡中有一台FTP服務器,IP地址為10.0.0.1。現有如下組網需求:
· 在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。認證時使用用戶的源MAC地址做用戶名和密碼,其中MAC地址帶連字符、字母小寫。
· 當用戶認證成功上線後,允許用戶訪問除FTP服務器之外的Internet資源。
圖1-4 下發ACL典型配置組網圖
· 確保RADIUS服務器與設備路由可達。
· 由於該例中使用了MAC地址認證的缺省用戶名和密碼,即使用用戶的源MAC地址做用戶名與密碼,因此還要保證RADIUS服務器上正確添加了接入用戶帳戶:用戶名為00-e0-fc-12-34-56,密碼為00-e0-fc-12-34-56。
· 指定RADIUS服務器上的授權ACL為設備上配置的ACL 3000。
(1) 配置授權ACL
# 配置ACL 3000,拒絕目的IP地址為10.0.0.1的報文通過。
<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[Sysname-acl-adv-3000] quit
(2) 配置使用RADIUS服務器進行MAC地址認證
# 配置RADIUS方案。
[Sysname] radius scheme 2000
[Sysname-radius-2000] primary authentication 10.1.1.1 1812
[Sysname-radius-2000] primary accounting 10.1.1.2 1813
[Sysname-radius-2000] key authentication simple abc
[Sysname-radius-2000] key accounting simple abc
[Sysname-radius-2000] user-name-format without-domain
[Sysname-radius-2000] quit
# 配置ISP域的AAA方法。
[Sysname] domain 2000
[Sysname-isp-2000] authentication default radius-scheme 2000
[Sysname-isp-2000] authorization default radius-scheme 2000
[Sysname-isp-2000] accounting default radius-scheme 2000
[Sysname-isp-2000] quit
# 開啟全局MAC地址認證特性。
[Sysname] mac-authentication
# 配置MAC地址認證用戶所使用的ISP域。
[Sysname] mac-authentication domain 2000
# 配置MAC地址認證用戶名格式:使用帶連字符的MAC地址做用戶名與密碼,其中字母小寫。
[Sysname] mac-authentication user-name-format mac-address with-hyphen lowercase
# 開啟指定端口的MAC地址認證特性。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication
(3) 驗證配置結果
用戶Host認證成功後,通過在設備上執行display connection命令可以查看到已上線用戶信息。
[Sysname-GigabitEthernet1/0/1] display connection
Slot: 1
Index=9 , Username=00-e0-fc-12-34-56@2000
IP=N/A
IPv6=N/A
MAC=00e0-fc12-3456
Total 1 connection(s) matched on slot 1.
Total 1 connection(s) matched.
用戶通過ping FTP服務器,可以驗證認證服務器下發的ACL 3000是否生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
