- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-MAC地址認證命令
本章節下載: 03-MAC地址認證命令 (264.10 KB)
目 錄
1.1.1 display mac-authentication
1.1.2 display mac-authentication connection
1.1.4 mac-authentication domain
1.1.5 mac-authentication guest-vlan
1.1.6 mac-authentication guest-vlan auth-period
1.1.7 mac-authentication max-user
1.1.8 mac-authentication re-authenticate server-unreachable keep-online
1.1.9 mac-authentication timer
1.1.10 mac-authentication timer auth-delay
1.1.11 mac-authentication user-name-format
1.1.12 reset mac-authentication guest-vlan
1.1.13 reset mac-authentication statistics
由於WX2500H-WiNet係列、WX2500H-LI係列和WAC係列不支持IRF功能,因此不支持IRF模式的命令行配置。
display mac-authentication命令用來顯示MAC地址認證的相關信息。
【命令】
display mac-authentication [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ap ap-name:顯示指定AP的所有MAC地址認證的詳細信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“[”、“]”、“/”及“-”,不區分大小寫。
radio radio-id:顯示指定Radio的所有的MAC地址認證的詳細信息。radio-id表示Radio編號,取值範圍與AP型號有關。若不指定本參數,則顯示指定AP的所有Radio的MAC地址認證的詳細信息。
interface interface-type interface-number:顯示全局及指定端口的MAC地址認證相關信息。interface-type interface-number為端口類型和端口編號。若指定的端口上未使能MAC地址認證,則不顯示該端口任何信息。
【使用指導】
如果不指定任何參數,則顯示所有在線MAC地址認證的詳細信息,主要包括全局及端口的配置信息、認證報文統計信息以及認證用戶信息。
【舉例】
# 顯示MAC地址認證信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
User name format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Authentication domain : Not configured, use default domain
Online MAC-auth wired users : 1
Online MAC-auth wireless users : 2
Silent MAC users:
MAC address VLAN ID From port Port index
0001-0000-0001 100 GigabitEthernet1/0/2 21
0001-0000-0003 12 GigabitEthernet1/0/4 301
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Enabled
Auth-delay period : 60 s
Re-auth server-unreachable : Logoff
Guest VLAN : 100
Guest VLAN auth-period : 150 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Multiple VLAN
Max online users : 256
Authentication attempts : successful 2, failed 3
Current online users : 1
MAC address Auth state
0001-0000-0001 Unauthenticated
AP name: AP1 Radio ID: 1 SSID: wlan_maca_ssid
BSSID : 1111-1111-1111
MAC authentication : Enabled
Authentication domain : Not configured
Max online users : 256
Authentication attempts : successful 1, failed 0
Current online users : 2
MAC address Auth state
0001-0000-0002 Authenticated
0001-0000-0003 Unauthenticated
表1-1 display mac-authentication命令顯示信息描述表
|
字段 |
描述 |
|
Global MAC authentication parameters |
全局MAC地址認證參數 |
|
MAC authentication |
MAC地址認證的開啟狀態 |
|
User name format |
MAC地址認證使用的賬號格式 · 若采用MAC地址賬號,則顯示具體的用戶名格式以及是否帶連字符、字母是否大小寫,例如本例中“MAC address in lowercase(xx-xx-xx-xx-xx-xx)”,它表示用戶名格式為六段式的MAC地址,其中字母為小寫 · 若采用固定用戶名賬號,則顯示“Fixed account” |
|
Username |
用戶名 · 采用MAC地址賬號時,該值顯示為“mac”,無實際意義,僅表示采用MAC地址作為用戶名和密碼 · 采用固定用戶名賬號時,該值為配置的用戶名(缺省為mac) |
|
Password |
用戶名的密碼 · 采用MAC地址賬號時,該值顯示為“Not configured” · 采用固定用戶名賬號時,配置的值將顯示為****** |
|
Offline detect period |
下線檢測定時器的值 |
|
Quiet period |
靜默定時器的值 |
|
Server timeout |
服務器連接超時定時器的值 |
|
Authentication domain |
係統視圖下指定的MAC地址認證用戶使用的認證域,如果沒有指定認證域,則顯示Not configured, use default domain |
|
Online MAC-auth wired users |
在線有線用戶和正在發起MAC地址認證的有線用戶的總數 |
|
Online MAC-auth wireless users |
在線無線用戶和正在發起MAC地址認證的無線用戶的總數 |
|
Silent MAC users |
靜默用戶信息 |
|
MAC address |
靜默用戶的MAC地址 |
|
VLAN ID |
靜默用戶所在的VLAN |
|
From port |
靜默用戶接入的端口名稱 |
|
Port index |
靜默用戶接入的端口索引號 |
|
GigabitEthernet1/0/1 is link-up |
端口GigabitEthernet1/0/1的鏈路狀態 |
|
MAC authentication |
當前端口的MAC地址認證開啟狀態 |
|
Carry User-IP |
(暫不支持)MAC地址認證請求攜帶用戶IP地址開啟狀態 |
|
Authentication domain |
端口上指定的MAC地址認證用戶使用的認證域 |
|
Auth-delay timer |
MAC地址認證延遲功能的開啟狀態 |
|
Auth-delay period |
配置的認證延遲時間 |
|
Re-auth server-unreachable |
重認證時服務器不可達對MAC地址認證的在線用戶采取的動作 · Logoff:重認證服務器不可達,強製MAC地址認證在線用戶下線 · Online:重認證服務器不可達,保持MAC地址認證在線用戶在線 |
|
Guest VLAN |
端口配置的Guest VLAN,如果沒有配置,則顯示Not configured |
|
Guest VLAN auth-period |
進入Guest VLAN後發起重認證的時間間隔 |
|
Critical VLAN |
(暫不支持)端口配置的Critical VLAN,如果沒有配置,則顯示Not configured |
|
Critical voice VLAN |
(暫不支持)端口配置MAC地址認證的Critical Voice VLAN功能的開啟狀態 · Enabled:打開 · Disabled:關閉 |
|
Host mode |
相同MAC地址用戶的工作模式 · 如果配置的是多VLAN模式,則顯示Multiple VLAN · 如果配置的是單VLAN模式,則顯示Single VLAN |
|
Max online users |
本端口最多可容納的接入用戶數 |
|
Authentication attempts: successful 1, failed 0 |
端口上MAC地址認證的統計信息,包括認證通過的次數和認證失敗的次數 |
|
MAC address |
接入用戶的MAC地址 |
|
Auth state |
接入用戶的狀態 · Authenticated:認證成功 · Unauthenticated:認證失敗 |
|
AP name |
AP名稱 |
|
Radio ID |
Radio編號 |
|
SSID |
服務集標識符 |
|
BSSID |
基本服務集標識符 |
display mac-authentication connection命令用來顯示MAC地址認證在線用戶的詳細信息。
【命令】
(獨立運行模式)
display mac-authentication connection [ ap ap-name [ radio radio-id ] | interface interface-type interface-number | user-mac mac-addr | user-name user-name ]
(IRF模式)
display mac-authentication connection [ ap ap-name [ radio radio-id ] | interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name user-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ap ap-name:顯示接入指定AP的所有MAC地址認證用戶的信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“[”、“]”、“/”及“-”,不區分大小寫。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
radio radio-id:顯示接入指定Radio的所有的MAC地址認證用戶的信息。radio-id表示Radio編號,取值範圍與AP型號有關。若不指定本參數,則顯示AP的所有Radio的MAC地址認證用戶的信息。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
interface interface-type interface-number:顯示指定端口的MAC地址認證用戶信息。其中interface-type interface-number表示綁定的端口類型和端口編號。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
slot slot-number:顯示指定成員設備上的MAC地址認證用戶信息。slot-number表示設備在IRF中的成員編號。若不指定本參數,則顯示所有成員設備上的MAC地址認證用戶信息。(IRF模式)
user-mac mac-addr:顯示指定MAC地址的MAC地址認證用戶信息。其中mac-addr表示用戶的MAC地址,格式為H-H-H。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
user-name user-name:顯示指定用戶名的MAC地址認證用戶信息。其中user-name表示用戶名(可包含域名),為1~55個字符的字符串,區分大小寫。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
【使用指導】
如果不指定任何參數,則顯示所有端口上的MAC地址認證在線用戶信息。(獨立運行模式)
多台設備組成IRF環境下,如果不指定任何參數,則顯示所有成員設備上的MAC地址認證在線用戶信息。(IRF模式)
【舉例】
# 顯示所有MAC地址認證在線用戶信息。(獨立運行模式)
<Sysname> display mac-authentication connection
Total connections: 1
User MAC address: 0015-e9a6-7cfe
Access interface: GigabitEthernet1/0/1
Username: ias
Authentication domain: h3c
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization ACL number/name: 3001
Authorization user profile: N/A
Termination action: Radius-request
Session timeout period: 2 s
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
User MAC address : 0015-e9a6-7cfe
AP name : ap1
Radio ID : 1
SSID : wlan_dot1x_ssid
BSSID : 0015-e9a6-7cf0
User name : ias
Authentication domain : 1
Initial VLAN : 1
Authorization VLAN : 100
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization URL : N/A
Authorization CAR :
Average input rate : 102400 bps
Average output rate : 102400 bps
Termination action : Radius-request
Session timeout period : 2 sec
Online from : 2014/06/02 13:14:15
Online duration : 0h 2m 15s
# 顯示所有MAC地址認證在線用戶信息。(IRF模式)
<Sysname> display mac-authentication connection
Total connections: 1
Slot ID: 0
User MAC address: 0015-e9a6-7cfe
Access interface: GigabitEthernet1/0/1
Username: ias
Authentication domain: h3c
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization ACL number/name: 3001
Authorization user profile: N/A
Termination action: Radius-request
Session timeout period: 2 s
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
User MAC address : 0015-e9a6-7cfe
AP name : ap1
Radio ID : 1
SSID : wlan_dot1x_ssid
BSSID : 0015-e9a6-7cf0
User name : ias
Authentication domain : 1
Initial VLAN : 1
Authorization VLAN : 100
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization CAR :
Average input rate : 102400 bps
Average output rate : 102400 bps
Authorization URL : N/A
Termination action : Radius-request
Session timeout period : 2 sec
Online from : 2014/06/02 13:14:15
Online duration : 0h 2m 15s
表1-2 display mac-authentication connection 命令顯示信息描述表
|
字段 |
描述 |
|
Total connections |
在線MAC地址認證用戶個數 |
|
User MAC address |
用戶的MAC地址 |
|
Access interface |
用戶的接入接口名稱 |
|
AP name |
AP的名稱 |
|
Radio ID |
Radio的ID |
|
SSID |
服務集標識符 |
|
BSSID |
用戶所屬的基本服務集標識符 |
|
Username |
用戶名 |
|
Authentication domain |
認證時所用的ISP域的名稱 |
|
Initial VLAN |
初始的VLAN |
|
Authorization untagged VLAN |
授權的untagged VLAN |
|
Authorization tagged VLAN |
授權的tagged VLAN |
|
Authorization VLAN |
授權的VLAN |
|
Authorization ACL number/name |
(暫不支持)授權ACL的編號或名稱。若未授權ACL,則顯示為N/A |
|
Authorization user profile |
(暫不支持)授權用戶的User profile名稱 |
|
Authorization CAR |
當服務器未授權用戶CAR屬性時,該字段顯示為N/A。 當服務器授權用戶CAR屬性,將分為以下兩個字段: · Average input rate :上行平均速率,單位為bps · Average output rate:下行平均速率,單位為bps |
|
Authorization URL |
授權用戶的重定向URL |
|
Termination action |
服務器下發的終止動作類型: · Default:會話超時時間到達後,強製用戶下線 · Radius-Request:會話超時時間到達後,請求MAC地址認證用戶進行重認證 用戶采用本地認證時,該字段顯示為N/A |
|
Session timeout period |
服務器下發的會話超時時間,該時間到達之後,用戶所在的會話將會被刪除,之後,對該用戶所采取的動作,由Termination action字段的取值決定 用戶采用本地認證時,該字段顯示為N/A |
|
Online from |
MAC認證用戶的上線時間 |
|
Online duration |
MAC認證用戶的在線時長 |
mac-authentication命令用來開啟端口上或全局的MAC地址認證。
undo mac-authentication命令用來關閉端口上或全局的MAC地址認證。
【命令】
mac-authentication
undo mac-authentication
【缺省情況】
所有端口及全局的MAC地址認證都處於關閉狀態。
【視圖】
係統視圖
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有全局和端口的MAC地址認證均開啟後,MAC地址認證配置才能在端口上生效。
【舉例】
# 開啟全局的MAC地址認證。
<Sysname> system-view
[Sysname] mac-authentication
# 開啟端口GigabitEthernet1/0/1上的MAC地址認證。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication
【相關命令】
· display mac-authentication
mac-authentication domain命令用來指定MAC地址認證用戶使用的認證域。
undo mac-authentication domain命令用來恢複缺省情況。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情況】
未指定MAC地址認證用戶使用的認證域時,使用係統缺省的認證域。缺省認證域的介紹請參見“用戶接入與認證命令參考/AAA”中的命令domain default enable。
【視圖】
係統視圖
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:ISP域名,為1~255個字符的字符串,不區分大小寫。
【使用指導】
不同視圖下指定的認證域的生效範圍不同:
· 係統視圖下指定的認證域對所有開啟了MAC地址認證的端口生效。
· 二層以太網接口視圖下指定的認證域僅對本端口有效。不同的端口可以指定不同的認證域。
端口上接入的MAC地址認證用戶將按照如下先後順序選擇認證域:端口上指定的認證域 > 係統視圖下指定的認證域 > 係統缺省的認證域。
【舉例】
# 在係統視圖下指定MAC地址認證用戶使用的認證域為domain1。
<Sysname> system-view
[Sysname] mac-authentication domain domain1
# 指定端口GigabitEthernet1/0/1上接入的MAC地址認證用戶使用的認證域為aabbcc。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication domain aabbcc
【相關命令】
· display mac-authentication
· domain default enable(用戶接入與認證命令參考/AAA)
mac-authentication guest-vlan命令用來配置端口的MAC地址認證的Guest VLAN。
undo mac-authentication guest-vlan命令用來恢複缺省情況。
【命令】
mac-authentication guest-vlan guest-vlan-id
undo mac-authentication guest-vlan
【缺省情況】
端口上未配置MAC地址認證的Guest VLAN。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
guest-vlan-id:端口上指定的Guest VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
【使用指導】
配置此功能後,當MAC地址認證失敗的情況下,用戶可以繼續被授權訪問的Guest VLAN內的資源。
禁止刪除已被配置為Guest VLAN的VLAN,若要刪除該VLAN,請先通過undo mac-authentication guest-vlan命令取消MAC地址認證的Guest VLAN配置。
【舉例】
# 配置端口GigabitEthernet1/0/1的Guest VLAN為VLAN 100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication guest-vlan 100
【相關命令】
· display mac-authentication
· reset mac-authentication guest-vlan
mac-authentication guest-vlan auth-period命令用來配置設備對Guest VLAN中的用戶進行重新認證的時間間隔。
undo mac-authentication guest-vlan auth-period命令用來恢複缺省情況。
【命令】
mac-authentication guest-vlan auth-period period-value
undo mac-authentication guest-vlan auth-period
【缺省情況】
設備對Guest VLAN中的用戶進行重新認證的時間間隔為30秒。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
period-value:表示設備重新發起認證的時間間隔,取值範圍為1~3600,單位為秒。
【使用指導】
在MAC地址認證中,如果接入用戶的端口上配置了Guest VLAN,則該端口上認證失敗的用戶會被加入此Guest VLAN。用戶被加入Guest VLAN之後,設備將以指定的時間間隔對該用戶發起重新認證,直到該用戶認證成功。
【舉例】
# 在端口GigabitEthernet1/0/1上配置設備對Guest VLAN中的用戶進行重新認證的時間間隔為150秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication guest-vlan auth-period 150
【相關命令】
· display mac-authentication
· mac-authentication guest-vlan
mac-authentication max-user命令用來配置端口上最多允許同時接入的MAC地址認證用戶數。
undo mac-authentication max-user命令用來恢複缺省情況。
【命令】
mac-authentication max-user max-number
undo mac-authentication max-user
【缺省情況】
端口上最多允許同時接入的MAC地址認證用戶數為4294967295。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
max-number:端口允許同時接入的MAC地址認證用戶數的最大值,取值範圍為1~4294967295。
【使用指導】
由於係統資源有限,如果當前端口上接入的用戶過多,接入用戶之間會發生資源的爭用,因此適當地配置該值可以使屬於當前端口的用戶獲得可靠的性能保障。當接入此端口的MAC地址認證用戶數超過最大值後,新接入的用戶將被拒絕。
【舉例】
# 配置端口GigabitEthernet1/0/1最多允許同時接入32個MAC地址認證用戶。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication max-user 32
【相關命令】
· display mac-authentication
mac-authentication re-authenticate server-unreachable keep-online命令用來配置重認證服務器不可達時端口上的MAC地址認證用戶保持在線狀態。
undo mac-authentication re-authenticate server-unreachable命令用來恢複缺省情況。
【命令】
mac-authentication re-authenticate server-unreachable keep-online
undo mac-authentication re-authenticate server-unreachable
【缺省情況】
端口上的MAC地址認證在線用戶重認證時,若認證服務器不可達,則會被強製下線。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
配置此命令後,在對MAC地址認證用戶重認證過程中,若設備發現認證服務器狀態不可達,則保持MAC地址認證用戶在線。
是否對MAC地址認證在線用戶進行周期性重認證由認證服務器授權的屬性所決定。認證服務器通過下發RADIUS屬性(session-timeout、Terminal-Action)來指定用戶會話超時時長以及會話中止的動作類型,它們共同決定了如何對用戶進行重認證。
· 當會話中止的動作類型為要求用戶進行重認證時,端口會在用戶會話超時時長到達後對該用戶進行重認證;
· 當會話中止的動作類型為要求用戶下線時,端口會在用戶會話超時時長到達強製該用戶下線;
· 當認證服務器未下發用戶會話超時時長時,設備不會對用戶進行重認證。
【舉例】
# 配置端口GigabitEthernet1/0/1上的MAC地址認證在線用戶進行重認證時,若服務器不可達,則保持在線狀態。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication re-authenticate server-unreachable keep-online
【相關命令】
· display mac-authentication
mac-authentication timer命令用來配置MAC地址認證的定時器參數。
undo mac-authentication timer命令用來恢複缺省情況。
【命令】
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
undo mac-authentication timer { offline-detect | quiet | server-timeout }
【缺省情況】
下線檢測定時器的值為300秒,靜默定時器的值為60秒,服務器超時定時器的值為100秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
offline-detect offline-detect-value:表示下線檢測定時器。其中,offline-detect-value表示下線檢測定時器的值,取值範圍為60~65535,單位為秒。
quiet quiet-value:表示靜默定時器。其中quiet-value表示靜默定時器的值,取值範圍為1~3600,單位為秒。
server-timeout server-timeout-value:表示服務器超時定時器。其中,server-timeout-value表示服務器超時定時器的值,取值範圍為100~300,單位為秒。
【使用指導】
MAC地址認證過程受以下定時器的控製:
· 下線檢測定時器(offline-detect):用來設置在線用戶空閑超時的時間間隔。若設備在一個下線檢測定時器間隔之內,沒有收到某在線用戶的報文,將切斷該用戶的連接,同時通知RADIUS服務器停止對其計費。
· 靜默定時器(quiet):用來設置用戶認證失敗以後,設備需要等待的時間間隔。在靜默期間,設備不對來自認證失敗用戶的報文進行認證處理,直接丟棄。靜默期後,如果設備再次收到該用戶的報文,則依然可以對其進行認證處理。
· 服務器超時定時器(server-timeout):用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答,則設備將在相應的端口上禁止此用戶訪問網絡。
【舉例】
# 設置服務器超時定時器時長為150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
【相關命令】
· display mac-authentication
mac-authentication timer auth-delay命令用來開啟MAC地址認證延遲功能,並配置MAC地址認證的延時時間。
undo mac-authentication timer auth-delay命令用來恢複缺省情況。
【命令】
mac-authentication timer auth-delay time
undo mac-authentication timer auth-delay
【缺省情況】
MAC地址認證延遲功能處於關閉狀態,如果用戶報文觸發MAC地址認證,認證將會立刻開始。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
time:延遲MAC地址認證的時間,取值範圍為1~180,單位為秒。
【使用指導】
端口同時開啟了MAC地址認證和802.1X認證的情況下,某些組網環境中希望設備對用戶報文先進行802.1X認證。例如,有些客戶端在發送802.1X認證請求報文之前,就已經向設備發送了其它報文,比如DHCP報文,因而觸發了並不期望的MAC地址認證。這種情況下,就可以開啟端口的MAC地址認證延時功能。
開啟端口的MAC地址認證延時功能之後,端口就不會在收到用戶報文時立即觸發MAC地址認證,而是在等待一定的延遲時間之後,再會對之前收到的用戶報文進行MAC地址認證。在此認證延遲期間,端口對用戶報文的其它認證過程並不受影響。
開啟了MAC地址認證延遲功能的接口上不建議同時配置端口安全的模式為mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否則MAC地址認證延遲功能不生效。端口安全模式的具體配置請參見“用戶接入與認證命令參考”中的“端口安全”。
【舉例】
# 開啟MAC地址延遲認證功能,並指定MAC地址認證的延時時間為10秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication timer auth-delay 10
【相關命令】
· display mac-authentication
· port-security port-mode(用戶接入與認證命令參考/端口安全)
mac-authentication user-name-format命令用來配置MAC地址認證用戶的帳號格式。
undo mac-authentication user-name-format命令用來恢複缺省情況。
【命令】
mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } string ] | mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ] }
undo mac-authentication user-name-format
【缺省情況】
使用用戶的MAC地址作為用戶名和密碼,其中字母為小寫,且不帶連字符“-”。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
fixed:表示采用固定用戶名賬號。
account name:指定發送給RADIUS服務器進行認證或者在本地進行認證的用戶名。其中name為用戶名,為1~55個字符的字符串,區分大小寫,不能包括字符@,缺省為mac。
password:指定固定用戶名的密碼。
cipher:以密文方式設置密碼。
simple:以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~63個字符的字符串,密文密碼為1~117個字符的字符串。
mac-address:表示使用用戶的MAC地址作為用戶名和密碼。
with-hyphen [ six-section | three-section ]:帶連字符“-”的MAC地址格式,six-section表示六段式MAC地址格式,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX;three-section表示三段式MAC地址格式,例如xxxx-xxxx-xxxx或XXXX-XXXX-XXXX。如果不指定任何參數,缺省采用六段式MAC地址格式。
without-hyphen:不帶連字符“-”的MAC地址格式,例如xxxxxxxxxxxx或XXXXXXXXXXXX。
lowercase:MAC地址中的字母為小寫。
uppercase:MAC地址中的字母為大寫。
【使用指導】
若指定用戶的MAC地址為用戶名,則用戶密碼也為用戶的MAC地址。這種情況下,每一個MAC地址認證用戶都使用唯一的用戶名進行認證,安全性高,但要求認證服務器端配置多個MAC形式的用戶賬戶。
若指定一個固定的用戶名,則表示不論用戶的MAC地址為何值,所有用戶均使用設備上指定的一個固定用戶名和密碼作為身份信息進行認證。由於同一個端口下可以有多個用戶進行認證,因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名賬號進行認證,服務器端僅需要配置一個用戶賬戶即可滿足所有認證用戶的認證需求,適用於接入客戶端比較可信的網絡環境。
【舉例】
# 配置MAC地址認證的用戶名為abc,密碼是明文xyz。
<Sysname> system-view
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用戶的MAC地址為用戶名和密碼,使用不帶連字符“-”的MAC地址格式,其中字母大寫。
<Sysname> system-view
[Sysname] mac-authentication user-name-format mac-address without-hyphen uppercase
【相關命令】
· display mac-authentication
reset mac-authentication guest-vlan命令用來清除Guest VLAN內的MAC地址認證用戶。
【命令】
reset mac-authentication guest-vlan interface interface-type interface-number [ mac-address mac-address ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示使指定端口上的用戶退出Guest VLAN。interface-type interface-number為端口類型和端口編號。
mac-address mac-address:表示使指定MAC地址的用戶退出Guest VLAN。若不指定本參數,則表示使指定端口上的所有用戶退出Guest VLAN。
【舉例】
# 在端口GigabitEthernet1/0/1上使得MAC地址為1-1-1的MAC地址認證用戶退出Guest VLAN。
<Sysname> reset mac-authentication guest-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
【相關命令】
· display mac-authentication
· mac-authentication guest-vlan
reset mac-authentication statistics命令用來清除MAC地址認證的統計信息。
【命令】
reset mac-authentication statistics [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
ap ap-name:清除指定AP的所有MAC地址認證統計信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“[”、“]”、“/”及“-”,不區分大小寫。如果不指定本參數,則清除所有AP上的MAC地址認證統計信息。
radio radio-id:清除指定AP的所有的MAC地址認證統計信息。radio-id表示Radio編號,取值範圍與AP型號有關。若不指定本參數,則清除指定AP的所有射頻天線下的MAC地址認證統計信息。
interface interface-type interface-number:清除指定端口的MAC地址認證統計信息。interface-type interface-number為端口類型和端口編號。如果不指定本參數,則清除所有端口上的MAC地址認證統計信息。
【使用指導】
如果不指定任何參數,則清除所有MAC地址認證統計信息。
【舉例】
# 清除以太網端口GigabitEthernet1/0/1上的MAC認證統計信息。
<Sysname> reset mac-authentication statistics interface gigabitethernet 1/0/1
【相關命令】
· display mac-authentication
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
