- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-MAC地址認證配置
本章節下載: 03-MAC地址認證配置 (474.31 KB)
目 錄
1.11 配置MAC地址認證的Critical Voice VLAN
1.12 配置MAC地址認證非認證成功VLAN的用戶老化功能
1.19 配置端口MAC地址認證和802.1X認證並行處理功能
1.20 開啟端口上MAC地址認證授權VLAN自動Tag功能
1.24.2 使用RADIUS服務器進行MAC地址認證配置舉例
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法,無需安裝客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以後,啟動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或密碼。若該用戶認證成功,則允許其通過端口訪問網絡資源,否則該用戶的MAC地址就被設置為靜默MAC。在靜默時間內,來自此MAC地址的用戶報文到達時,設備直接做丟棄處理,以防止非法MAC短時間內的重複認證。
MAC地址認證用戶使用的帳號格式分為兩種:
· MAC地址帳號:設備使用源MAC地址作為用戶認證時的用戶名和密碼,如圖1-1所示。
· 固定用戶名帳號:所有MAC地址認證用戶均使用設備上指定的一個固定用戶名和密碼替代用戶的MAC地址作為身份信息進行認證,如圖1-2所示。由於同一個端口下可以有多個用戶進行認證,因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名進行認證,服務器端僅需要配置一個用戶賬戶即可滿足所有認證用戶的認證需求,適用於接入客戶端比較可信的網絡環境。
圖1-1 MAC地址帳號的MAC地址認證示意圖
圖1-2 固定用戶名帳號的MAC地址認證示意圖
目前設備支持兩種方式的MAC地址認證,通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器進行遠程認證和在接入設備上進行本地認證。有關遠程RADIUS認證和本地認證的詳細介紹請參見“安全配置指導”中的“AAA”。
當選用RADIUS服務器認證方式進行MAC地址認證時,設備作為RADIUS客戶端,與RADIUS服務器配合完成MAC地址認證操作:
· 若采用MAC地址帳號,則設備將檢測到的用戶MAC地址作為用戶名和密碼發送給RADIUS服務器進行驗證。
· 若采用固定用戶名帳號,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼,發送給RADIUS服務器進行驗證。
RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問網絡。
當選用本地認證方式進行MAC地址認證時,直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼:
· 若采用MAC地址帳號,則設備將檢測到的用戶MAC地址作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
· 若采用固定用戶名帳號,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
用戶名和密碼匹配成功後,用戶可以訪問網絡。
為了將受限的網絡資源與未認證用戶隔離,通常將受限的網絡資源和未認證的用戶劃分到不同的VLAN。MAC地址認證支持遠程AAA服務器/接入設備下發授權VLAN,即當用戶通過MAC地址認證後,遠程AAA服務器/接入設備將指定的受限網絡資源所在的VLAN作為授權VLAN下發到用戶進行認證的端口。該端口被加入到授權VLAN中後,用戶便可以訪問這些受限的網絡資源。
該方式下,需要在AAA服務器上指定下發給用戶的授權VLAN信息,下發的授權VLAN信息可以有多種形式,包括數字型VLAN和字符型VLAN,字符型VLAN又可分為VLAN名稱、VLAN組名、攜帶後綴的VLAN ID(後綴隻能為字母u或t,用於標識是否攜帶Tag)。
設備收到服務器的授權VLAN信息後,首先對其進行解析,隻要解析成功,即以對應的方法下發授權VLAN;如果解析不成功,則用戶授權失敗。
· 若認證服務器下發的授權VLAN信息為一個VLAN ID或一個VLAN名稱,則僅當對應的VLAN不為動態學習到的VLAN、保留VLAN、Super VLAN和Private VLAN時,該VLAN才是有效的授權VLAN。當認證服務器下發VLAN名稱時,對應的VLAN必須為已存在的VLAN。
· 若認證服務器下發的授權VLAN信息為一個VLAN組名,則設備首先會通過組名查找該組內配置的VLAN列表。若查找到授權VLAN列表,則在這一組VLAN中,除Super VLAN、動態VLAN、Private VLAN之外的所有VLAN都有資格被授權給用戶。關於VLAN組的相關配置,請參見“二層技術-以太網交換配置指導”中的“VLAN”。
¡ 當端口鏈路類型為Hybrid,且使能了MAC VLAN功能時,若端口上已有其他用戶,則將選擇該組VLAN中在線用戶最少的一個VLAN作為當前認證用戶的授權VLAN(若在線用戶最小的VLAN有多個,則選擇VLAN ID最小者)。
¡ 當端口鏈路類型為Hybrid,但未使能MAC VLAN功能或端口鏈路類型為access或trunk時:
- 若端口上已有其他在線用戶,則查看端口上在線用戶的授權VLAN是否存在於該組中:存在,則將此VLAN授權給當前的認證用戶;否則,認為當前認證用戶授權失敗,將被強製下線。
- 若當前用戶為端口上第一個在線用戶,則直接將該組VLAN中ID最小的VLAN授權給當前的認證用戶。
· 若認證服務器下發的授權VLAN信息為一個包含若幹VLAN ID以及若幹VLAN名稱的字符串,則設備首先將其解析為一組VLAN列表,然後采用與解析一個VLAN組名相同的解析邏輯選擇一個授權VLAN。
· 若認證服務器下發的授權VLAN信息為一個包含若幹個“VLAN ID+後綴”形式的字符串,則隻有第一個不攜帶後綴或者攜帶untagged後綴的VLAN將被解析為唯一的untagged的授權VLAN,其餘VLAN都被解析為tagged的授權VLAN。例如服務器下發字符串“1u 2t 3”,其中的u和t均為後綴,分別表示untagged和tagged。該字符串被解析之後,VLAN 1為untagged的授權VLAN,VLAN 2和VLAN 3為tagged的授權VLAN。該方式下發的授權VLAN僅對端口鏈路類型為Hybrid或Trunk的端口有效。
¡ 端口的缺省VLAN將被修改為untagged的授權VLAN。若不存在untagged的授權VLAN,則不修改端口的缺省VLAN。
¡ 端口將允許所有解析成功的授權VLAN通過。
該方式下,可以通過配置本地用戶的授權屬性指定下發給用戶的授權VLAN信息,且隻能指定一個授權VLAN。設備將此VLAN作為該本地用戶的授權VLAN。關於本地用戶的相關配置,請參見“安全配置指導”中的“AAA”。
設備根據用戶接入的端口鏈路類型和授權的VLAN是否攜帶Tag,按如下情況將端口加入到下發的授權VLAN中。需要注意的是,僅遠程AAA服務器支持授權攜帶Tag的VLAN。
授權VLAN未攜帶Tag的情況下:
· 若用戶從Access類型的端口接入,則端口離開當前VLAN並加入第一個通過認證的用戶的授權VLAN中。
· 若用戶從Trunk類型的端口接入,則設備允許下發的授權VLAN通過該端口,並且修改該端口的缺省VLAN為第一個通過認證的用戶的授權VLAN。
· 若用戶從Hybrid類型的端口接入,則設備允許授權下發的授權VLAN以不攜帶Tag的方式通過該端口,並且修改該端口的缺省VLAN為第一個通過認證的用戶的授權VLAN。需要注意的是,若該端口上使能了MAC VLAN功能,則設備將根據認證服務器/接入設備下發的授權VLAN動態地創建基於用戶MAC地址的VLAN,而端口的缺省VLAN並不改變。
授權VLAN攜帶Tag的情況下:
· 若用戶從Access類型的端口接入,則不支持下發帶Tag的VLAN。
· 若用戶從Trunk類型的端口接入,則設備允許授權下發的VLAN以攜帶Tag的方式通過該端口,但是不會修改該端口的缺省VLAN。
· 若用戶從Hybrid類型的端口接入,則設備允許授權下發的VLAN以攜帶Tag的方式通過該端口,但是不會修改該端口的缺省VLAN。
· 對於Hybrid端口,如果認證用戶的報文攜帶VLAN Tag,則應通過port hybrid vlan命令配置該端口在轉發指定的VLAN報文時攜帶VLAN Tag;如果認證用戶的報文不攜帶VLAN Tag,則應配置該端口在轉發指定的VLAN報文時不攜帶VLAN Tag。否則,當服務器沒有授權下發VLAN時,用戶雖然可以通過認證但不能訪問網絡。
· 在授權VLAN未攜帶Tag的情況下,隻有開啟了MAC VLAN功能的端口上才允許給不同的用戶MAC授權不同的VLAN。如果沒有開啟MAC VLAN功能,授權給所有用戶的VLAN必須相同,否則僅第一個通過認證的用戶可以成功上線。
· 在授權VLAN攜帶Tag的情況下,無論是否開啟了MAC VLAN功能,設備都會給不同的用戶授權不同的VLAN。
MAC地址認證的Guest VLAN功能允許用戶在認證失敗的情況下訪問某一特定VLAN中的資源,比如獲取客戶端軟件,升級客戶端或執行其他一些用戶升級程序。這個VLAN稱之為Guest VLAN。
需要注意的是,這裏的認證失敗是認證服務器因某種原因明確拒絕用戶認證通過,比如用戶密碼錯誤,而不是認證超時或網絡連接等原因造成的認證失敗。
如果接入用戶的端口上配置了Guest VLAN,則該端口上認證失敗的用戶會被加入Guest VLAN,且設備允許Guest VLAN以不攜帶Tag的方式通過該端口,即該用戶被授權訪問Guest VLAN裏的資源。用戶被加入Guest VLAN之後,設備將以指定的時間間隔對該用戶發起重新認證,若Guest VLAN中的用戶再次發起認證未成功,則該用戶將仍然處於Guest VLAN內;若認證成功,則會根據AAA服務器/接入設備是否下發授權VLAN決定是否將用戶加入到下發的授權VLAN中,在AAA服務器/接入設備未下發授權VLAN的情況下,用戶回到缺省VLAN中。若Guest VLAN中的用戶再次發起認證時,認證服務器不可達,則該用戶將仍然處於Guest VLAN內,並不會加入到Critical VLAN中。
MAC地址認證Critical VLAN功能允許用戶在所有認證服務器都不可達的情況下訪問某一特定VLAN中的資源,這個VLAN稱之為Critical VLAN。在端口上配置Critical VLAN後,若該端口上有用戶認證時,所有認證服務器都不可達,則端口將允許Critical VLAN通過,用戶將被授權訪問Critical VLAN裏的資源。已經加入Critical VLAN的端口上有用戶發起認證時,如果所有認證服務器不可達,則端口仍然在Critical VLAN內;如果服務器可達且認證失敗,且端口配置了Guest VLAN,則該端口將會加入Guest VLAN,否則回到缺省VLAN中;如果服務器可達且認證成功,則會根據AAA服務器是否下發授權VLAN決定是否將用戶加入到下發的授權VLAN中,在AAA服務器未下發授權VLAN的情況下,用戶回到缺省VLAN中。
MAC地址認證的Critical Voice VLAN功能允許語音用戶進行MAC地址認證時,若采用的ISP域中的所有認證服務器都不可達,則訪問端口上已配置的Voice VLAN中的資源,這個VLAN也被稱為MAC地址認證的Critical Voice VLAN。已經加入Critical Voice VLAN的端口上有用戶發起認證時,如果所有認證服務器不可達,則端口仍然在Critical Voice VLAN內;如果服務器可達且認證失敗,且端口配置了Guest VLAN,則該端口將會加入Guest VLAN,否則回到缺省VLAN中;如果服務器可達且認證成功,則會根據AAA服務器是否下發授權VLAN決定是否將用戶加入到下發的授權VLAN中,在AAA服務器未下發授權VLAN的情況下,用戶回到缺省VLAN中。
由遠程AAA服務器/接入設備下發給用戶的ACL被稱為授權ACL,它為用戶訪問網絡提供了良好的過濾條件設置功能。當用戶通過MAC地址認證後,如果遠程AAA服務器/接入設備上為用戶指定了授權ACL,則設備會根據下發的授權ACL對用戶所在端口的數據流進行控製,與授權ACL規則匹配的流量,將按照規則中指定的permit或deny動作進行處理。為使下發的授權ACL生效,需要提前在設備上配置相應的ACL規則。而且在用戶訪問網絡的過程中,可以通過改變遠程AAA服務器/設備本地的授權ACL設置來改變用戶的訪問權限。需要注意的是,MAC地址認證可成功授權的ACL類型為基本ACL(ACL編號為2000~2999)、高級ACL(ACL編號為3000~3999)和指定目的MAC地址的二層ACL(ACL編號為4000~4999)。
從認證服務器(遠程或本地)下發的User Profile被稱為授權User Profile,它為用戶訪問網絡提供了良好的過濾條件設置功能。MAC地址認證支持認證服務器授權下發User Profile功能,即當用戶通過MAC地址認證後,如果認證服務器上配置了授權User Profile,則設備會根據服務器下發的授權User Profile對用戶所在端口的數據流進行控製。為使下發的授權User Profile生效,需要提前在設備上配置相應的User Profile。而且在用戶訪問網絡的過程中,可以通過改變服務器的授權User Profile名稱或者設備對應的User Profile配置來改變用戶的訪問權限。
用戶通過MAC地址認證後,設備會根據RADIUS服務器下發的重定向URL屬性,將用戶的HTTP或HTTPS請求重定向到指定的Web認證頁麵。Web認證通過後,RADIUS服務器記錄用戶的MAC地址信息,並通過DM報文強製Web用戶下線。此後該用戶再次進行MAC地址認證,由於RADIUS服務器上已記錄該用戶和其MAC地址的對應信息,用戶可以成功上線。
設備對HTTPS報文進行重定向的內部偵聽端口號缺省為6654。如果需要修改該端口號,具體配置請參見“三層技術-IP業務配置指導”中的“HTTP重定向”。
MAC地址重認證是指設備周期性對端口上在線的MAC地址認證用戶發起重認證,以檢測用戶連接狀態的變化、確保用戶的正常在線,並及時更新服務器下發的授權屬性(例如ACL、VLAN等)。
認證服務器可以通過下發RADIUS屬性(session-timeout、Termination-action)來指定用戶會話超時時長以及會話中止的動作類型。認證服務器上如何下發以上RADIUS屬性的具體配置以及是否可以下發重認證周期的情況與服務器類型有關,請參考具體的認證服務器實現。
設備作為RADIUS DAE服務器,認證服務器作為RADIUS DAE客戶端時,後者可以通過COA(Change of Authorization)Messages向用戶下發重認證屬性,這種情況下,無論設備上是否開啟了周期性重認證功能,端口都會立即對該用戶發起重認證。關於RADIUS DAE服務器的詳細內容,請參見“安全配置指導”中的“AAA”。
MAC地址認證用戶認證通過後,端口對用戶的重認證功能具體實現如下:
· 當認證服務器下發了用戶會話超時時長,且指定的會話中止的動作類型為要求用戶進行重認證時,則無論設備上是否開啟周期性重認證功能,端口均會在用戶會話超時時長到達後對該用戶進行重認證;
· 當認證服務器下發了用戶會話超時時長,且指定的會話中止的動作類型為要求用戶下線時:
¡ 若設備上開啟了周期性重認證功能,且設備上配置的重認證定時器值小於用戶會話超時時長,則端口會以重認證定時器的值為周期向該端口在線MAC地址認證用戶發起重認證;若設備上配置的重認證定時器值大於等於用戶會話超時時長,則端口會在用戶會話超時時長到達後強製該用戶下線;
¡ 若設備上未開啟周期性重認證功能,則端口會在用戶會話超時時長到達後強製該用戶下線。
· 當認證服務器未下發用戶會話超時時長時,是否對用戶進行重認證,由設備上配置的重認證功能決定。
· 對於已在線的MAC地址認證用戶,要等當前重認證周期結束並且認證通過後才會按新配置的周期進行後續的重認證。
· MAC地址重認證過程中,重認證服務器不可達時端口上的MAC地址認證用戶狀態由端口上的配置決定。在網絡連通狀況短時間內不良的情況下,合法用戶是否會因為服務器不可達而被強製下線,需要結合實際的網絡狀態來調整。若配置為保持用戶在線,當服務器在短時間內恢複可達,則可以避免用戶頻繁上下線;若配置為強製下線,當服務器可達性在短時間內不可恢複,則可避免用戶在線狀態長時間與實際不符。
· 在用戶名不改變的情況下,端口允許重認證前後服務器向該用戶下發不同的VLAN。
· 修改設備上配置的認證域或MAC地址認證用戶的帳號格式,都不會影響在線用戶的重認證,隻對配置之後新上線的用戶生效。
· 當端口上配置的MAC地址認證的Guest VLAN、Critical VLAN中存在用戶時,不允許切換該端口的鏈路類型。
· 僅支持在二層以太網接口上配置MAC地址認證功能,不支持在二層聚合組的成員端口上開啟MAC地址認證功能。
· 若配置的靜態MAC或者當前認證通過的MAC地址與靜默MAC相同,則MAC地址認證失敗後的MAC靜默功能將會失效。
MAC地址認證配置任務如下:
(1) 開啟MAC地址認證
(2) 配置MAC地址認證基本功能
¡ (可選)配置MAC地址認證定時器
(3) (可選)配置MAC地址認證授權VLAN功能
¡ 配置MAC地址認證的Critical Voice VLAN
(4) (可選)配置MAC地址認證其它功能
允許用戶在相同端口的不同VLAN間遷移時無須重認證。
· 配置MAC地址認證之前,請保證端口安全功能關閉,具體配置請參見“安全配置指導”中的“端口安全”。
· 配置MAC地址認證之前,需完成配置ISP域和認證方式,具體配置請參見“安全配置指導”中的“AAA”。
¡ 若采用本地認證方式,還需創建本地用戶並設置其密碼,且本地用戶的服務類型應設置為lan-access。
¡ 若采用遠程RADIUS認證方式,需要確保設備與RADIUS服務器之間的路由可達,並添加MAC地址認證用戶帳號。
隻有全局和端口的MAC地址認證均開啟後,MAC地址認證配置才能在端口上生效。
(1) 進入係統視圖。
system-view
(2) 開啟全局MAC地址認證。
mac-authentication
缺省情況下,全局的MAC地址認證處於關閉狀態。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟端口MAC地址認證。
mac-authentication
缺省情況下,端口的MAC地址認證處於關閉狀態。
為了便於接入設備的管理員更為靈活地部署用戶的接入策略,設備支持指定MAC地址認證用戶使用的認證域,可以通過以下兩種配置實現:
· 在係統視圖下指定一個認證域,該認證域對所有開啟了MAC地址認證的端口生效。
· 在接口視圖下指定該端口的認證域,不同的端口可以指定不同的認證域。
端口上接入的MAC地址認證用戶將按照如下順序選擇認證域:端口上指定的認證域 > 係統視圖下指定的認證域 > 係統缺省的認證域。關於認證域的相關介紹請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 指定MAC地址認證用戶使用的認證域。
¡ 配置全局MAC地址認證用戶使用的認證域。
mac-authentication domain domain-name
¡ 配置接口上MAC地址認證用戶使用的認證域。
interface interface-type interface-number
mac-authentication domain domain-name
缺省情況下,未指定MAC地址認證用戶使用的認證域,使用係統缺省的認證域。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證用戶的帳號格式。
¡ 配置MAC地址帳號。
mac-authentication user-name-format mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] [ password { cipher | simple } string ]
¡ 配置固定用戶名帳號。
mac-authentication user-name-format fixed [ account name ] [ password { cipher | simple } string ]
缺省情況下,使用用戶的MAC地址作為用戶名與密碼,其中字母為小寫,且不帶連字符“-”
可配置的MAC地址認證定時器包括以下幾種:
· 下線檢測定時器(offline-detect):用來設置用戶空閑超時的時間間隔。若設備在一個下線檢測定時器間隔之內,沒有收到某在線用戶的報文,將切斷該用戶的連接,同時通知RADIUS服務器停止對其計費。配置offline-detect時,需要將MAC地址老化時間配成相同時間,否則會導致用戶異常下線。
· 靜默定時器(quiet):用來設置用戶認證失敗以後,設備停止對其提供認證服務的時間間隔。在靜默期間,設備不對來自認證失敗用戶的報文進行認證處理,直接丟棄。靜默期後,如果設備再次收到該用戶的報文,則依然可以對其進行認證處理。
· 服務器超時定時器(server-timeout):用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答,則設備將在相應的端口上禁止此用戶訪問網絡。
建議將server-timeout的值設定為小於或等於設備發送RADIUS報文的最大嚐試次數(retry)與RADIUS服務器響應超時時間(timer response-timeout)之積。如果server-timeout的值大於retry與timer response-timeout之積,則可能在server-timeout設定的服務器超時時間到達前,用戶被強製下線。
關於發送RADIUS報文的最大嚐試次數、RADIUS服務器響應超時時間的具體配置請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證定時器。
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
缺省情況下,下線檢測定時器為300秒,靜默定時器為60秒,服務器超時定時器取值為100秒。
· 端口上生成的MAC地址認證Guest VLAN表項會覆蓋已生成的阻塞MAC表項。開啟了端口安全入侵檢測的端口關閉功能時,若端口因檢測到非法報文被關閉,則MAC地址認證的Guest VLAN功能不生效。關於阻塞MAC表項和端口的入侵檢測功能的具體介紹請參見“安全配置指導”中的“端口安全”。
· 如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的MAC地址認證的Guest VLAN;同樣,如果某個VLAN被指定為某個端口的MAC地址認證的Guest VLAN,則該VLAN不能被指定為Super VLAN。關於Super VLAN的詳細內容請參見“二層技術-以太網交換配置指導”中的“Super VLAN”。
· MAC地址認證Guest VLAN功能的優先級高於MAC地址認證的靜默MAC功能,即認證失敗的用戶可訪問指定的Guest VLAN中的資源,且該用戶的MAC地址不會被加入靜默MAC。
配置MAC地址認證的Guest VLAN之前,需要進行以下配置準備,具體配置方法可參見“二層技術-以太網交換”中的“VLAN配置”:
· 創建需要配置為Guest VLAN的VLAN。
· 配置端口類型為Hybrid,並建議將指定的Guest VLAN修改為不攜帶Tag的方式。
· 通過mac-vlan enable命令開啟端口上的MAC VLAN功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口的MAC地址認證Guest VLAN。
mac-authentication guest-vlan guest-vlan-id
缺省情況下,未配置MAC地址認證的Guest VLAN。
不同的端口可以指定不同的MAC地址認證 Guest VLAN,一個端口最多隻能指定一個MAC地址認證Guest VLAN。
設備缺省開啟Guest VLAN中用戶的重新認證功能,並按照重新認證時間間隔對Guest VLAN中的用戶定期進行重新認證。如果關閉Guest VLAN中用戶的重新認證功能,則加入到Guest VLAN中的用戶不會重新發起認證,隻能在老化後退出Guest VLAN。
當Guest VLAN中的用戶認證失敗時,設備會輸出相應的日誌信息。當認證失敗用戶較多時,會導致日誌信息過多。此時如需減少日誌信息數量,可關閉Guest VLAN中用戶的重新認證功能,並根據業務需求調整Guest VLAN用戶的老化時間(通過mac-authentication timer user-aging guest-vlan aging-time-value命令)來控製日誌信息的打印頻率。
當端口上同時進行認證的用戶數大於300時,建議將重新認證時間間隔設置為30秒以上。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟Guest VLAN中用戶的重新認證功能。
mac-authentication guest-vlan re-authenticate
缺省情況下,Guest VLAN中用戶的重新認證功能處於開啟狀態。
(4) 配置設備對MAC地址認證Guest VLAN中的用戶進行重新認證的時間間隔。
mac-authentication guest-vlan auth-period period-value
缺省情況下,設備對Guest VLAN中的用戶進行重新認證的時間間隔為30秒。
· 端口上生成的MAC地址認證Critical VLAN表項會覆蓋已生成的阻塞MAC表項。開啟了端口安全入侵檢測的端口關閉功能時,MAC地址認證的Critical VLAN功能不生效。關於阻塞MAC表項和端口的入侵檢測功能的具體介紹請參見“安全配置指導”中的“端口安全”。
· 如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的MAC地址認證的Critical VLAN;同樣,如果某個VLAN被指定為某個端口的MAC地址認證的Critical VLAN,則該VLAN不能被指定為Super VLAN。關於Super VLAN的詳細內容請參見“二層技術-以太網交換配置指導”中的“Super VLAN”。
· 當端口上的用戶加入指定的Critical VLAN後,該用戶的MAC地址不會被加入靜默MAC。
配置MAC地址認證的Critical VLAN之前,需要進行以下配置準備:
· 創建需要配置為Critical VLAN的VLAN。
· 配置端口類型為Hybrid,且建議將指定的Critical VLAN修改為不攜帶Tag的方式。
· 通過mac-vlan enable命令開啟端口上的MAC VLAN功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口的Critical VLAN。
mac-authentication critical vlan critical-vlan-id
缺省情況下,未配置MAC認證的Critical VLAN。
不同的端口可以指定不同的MAC地址認證 Critical VLAN,一個端口最多隻能指定一個MAC地址認證Critical VLAN。
配置MAC地址認證Critical Voice VLAN之前,需要進行以下配置準備:
· 全局和端口的LLDP(Link Layer Discovery Protocol,鏈路層發現協議)已經開啟,設備通過LLDP來判斷用戶是否為語音用戶。有關LLDP功能的詳細介紹請參見“二層技術-以太網交換配置指導”中的“LLDP”。
· 端口的語音VLAN功能已經開啟。有關語音VLAN的詳細介紹請參見“二層技術-以太網交換配置指導”中的“VLAN”。
· 在該端口上配置了MAC地址認證的Critical VLAN。若端口上的語音用戶在認證時所有認證服務器都不可達,且端口暫未將其識別為語音用戶,則可以將其先加入Critical VLAN。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置指定端口的Critical VLAN。
mac-authentication critical-voice-vlan
缺省情況下,端口下MAC地址認證的Critical Voice VLAN功能處於關閉狀態。
非認證成功VLAN的用戶是指,在端口上接入但由於未認證成功而加入到Critical VLAN、Guest VLAN的用戶。
開啟本功能後,當MAC地址認證用戶加入到Critical VLAN、Guest VLAN時,設備啟動對應VLAN的用戶老化定時器。之後,當用戶老化定時器到達老化時間(通過mac-authentication timer user-aging命令配置)時,用戶離開對應的VLAN。
當端口上非認證成功VLAN中的用戶需要遷移到其它端口接入時,請在當前接入端口開啟本功能,使當前接入端口上的用戶MAC地址可以按時老化。
當端口上非認證成功VLAN的用戶不需要遷移到其它端口接入時,建議在當前接入端口上關閉本功能,以免用戶老化退出後無法訪問對應VLAN中的資源。
(1) 進入係統視圖。
system-view
(2) 配置非認證成功VLAN的用戶老化定時器。
mac-authentication timer user-aging { critical-vlan | guest-vlan } aging-time-value
缺省情況下,非認證成功的VLAN用戶老化定時器的值為1000秒。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟端口的非認證成功VLAN的用戶老化功能。
mac-authentication unauthenticated-user aging enable
缺省情況下,端口的非認證成功VLAN的用戶老化功能處於開啟狀態。
開啟端口的MAC地址認證下線檢測功能後,若設備在一個下線檢測定時器間隔之內,未收到此端口下某在線用戶的報文,則將切斷該用戶的連接,同時通知RADIUS服務器停止對此用戶進行計費。
關閉端口的MAC地址認證下線檢測功能後,設備將不會對在線用戶的狀態進行檢測。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟端口的MAC地址認證下線檢測功能。
mac-authentication offline-detect enable
缺省情況下,端口的MAC地址認證下線檢測功能處於開啟狀態。
由於係統資源有限,如果當前端口下接入的用戶過多,接入用戶之間會發生資源的爭用,因此適當地配置該值可以使端口上已經接入的用戶獲得可靠的性能保障。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口上最多允許同時接入的MAC地址認證用戶數。
mac-authentication max-user max-number
缺省情況下,端口上最多允許同時接入的MAC地址認證用戶數為4294967295。
MAC地址認證的端口可以工作在單VLAN模式或多VLAN模式。
· 端口工作在單VLAN模式下時,在用戶已上線,且沒有被下發授權VLAN情況下,如果此用戶在同一端口下的不同VLAN再次接入,則設備將讓原用戶下線,使得該用戶能夠在新的VLAN內重新開始認證。如果已上線用戶被下發了授權VLAN,則此用戶在同一端口下的不同VLAN再次接入時,對用戶的處理與是否允許用戶遷移到同一端口下其它VLAN接入(通過port-security mac-move permit命令)有關:
¡ 如果不允許用戶遷移到同一端口下其它VLAN接入,則此用戶在同一端口下的不同VLAN接入失敗,原用戶保持在線。
¡ 如果允許用戶遷移到同一端口下其它VLAN接入,則用戶在新的VLAN內需要重新認證,且在用戶重新上線後,原用戶下線。
端口工作在多VLAN模式時,如果相同MAC地址的賬號在相同端口上的不同VLAN再次接入,設備將能夠允許賬號的流量在新的VLAN內通過,且允許該用戶的報文無需重新認證而在多個VLAN中轉發。
對於接入IP電話類用戶的端口,指定端口工作在MAC地址認證的多VLAN模式或為IP電話類用戶授權VLAN,可避免IP電話終端的報文所攜帶的VLAN tag發生變化後,因用戶流量需要重新認證而導致語音報文傳輸質量受幹擾的問題。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口工作在MAC地址認證的多VLAN模式。
mac-authentication host-mode multi-vlan
缺省情況下,端口工作在MAC地址認證的單VLAN模式。
端口同時開啟了MAC地址認證和802.1X認證的情況下,某些組網環境中希望設備對用戶報文先進行802.1X認證。例如,有些客戶端在發送802.1X認證請求報文之前,就已經向設備發送了其它報文,比如DHCP報文,因而觸發了並不期望的MAC地址認證。這種情況下,可以開啟端口的MAC地址認證延時功能。開啟該功能後,端口就不會在收到用戶報文時立即觸發MAC地址認證,而是會等待一定的延遲時間,若在此期間該用戶一直未進行802.1X認證或未成功通過802.1X認證,則延遲時間超時後端口會對之前收到的用戶報文進行MAC地址認證。
開啟了MAC地址認證延遲功能的端口上不建議同時配置端口安全的模式為mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否則MAC地址認證延遲功能不生效。端口安全模式的具體配置請參見“安全配置指導”中的“端口安全”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟MAC地址認證延遲功能,並指定延遲時間。
mac-authentication timer auth-delay time
缺省情況下,MAC地址認證延遲功能處於關閉狀態。
對MAC地址認證用戶進行重認證時,設備將按照如下由高到低的順序為其選擇重認證時間間隔:服務器下發的重認證時間間隔、接口視圖下配置的周期性重認證定時器的值、係統視圖下配置的周期性重認證定時器的值、設備缺省的周期性重認證定時器的值。
(1) 進入係統視圖。
system-view
(2) 在係統視圖或接口視圖下配置周期性重認證定時器。
¡ 係統視圖下配置周期性重認證定時器。
mac-authentication timer reauth-period reauth-period-value
缺省情況下,周期性重認證定時器的值為3600秒。
¡ 依次執行以下命令在接口視圖下配置周期性重認證定時器。
interface interface-type interface-number
mac-authentication timer reauth-period reauth-period-value
quit
缺省情況下,端口上未配置MAC地址周期性重認證定時器,端口使用係統視圖下的MAC地址周期性重認證定時器的取值。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟周期性重認證功能
mac-authentication re-authenticate
缺省情況下,周期性重認證功能關閉。
(5) (可選)配置重認證服務器不可達時端口上的MAC地址認證用戶保持在線狀態。
mac-authentication re-authenticate server-unreachable keep-online
缺省情況下,端口上的MAC地址在線用戶重認證時,若認證服務器不可達,則用戶會被強製下線。
在終端用戶采用靜態IP地址方式接入的組網環境中,如果終端用戶擅自修改自己的IP地址,則整個網絡環境中可能會出現IP地址衝突等問題。
為了解決以上問題,管理員可以在端口上開啟MAC地址認證請求中攜帶用戶IP地址的功能,用戶在進行MAC地址認證時,設備會把用戶的IP地址上傳到iMC服務器。然後iMC服務器會把認證用戶的IP地址和MAC地址與服務器上已經存在的IP與MAC的綁定表項進行匹配,如果匹配成功,則該用戶MAC地址認證成功;否則,MAC地址認證失敗。
H3C的iMC服務器上IP與MAC地址信息綁定表項的生成方式如下:
· 如果在iMC服務器上創建用戶時手工指定了用戶的IP地址和MAC地址信息,則服務器使用手工指定的IP和MAC信息生成該用戶的IP與MAC地址的綁定表項。
· 如果在iMC服務器上創建用戶時未手工指定用戶的IP地址和MAC地址信息,則服務器使用用戶初次進行MAC地址認證時使用的IP地址和MAC地址生成該用戶的IP與MAC地址的綁定表項。
· MAC地址認證請求中攜帶用戶IP地址功能僅對采用靜態IP地址方式接入的認證用戶才有效。在采用DHCP方式獲取IP地址的情況下,因為用戶MAC地址認證成功之後才可以進行IP地址獲取,所以用戶在進行MAC地址認證時,設備無法上傳用戶的IP地址。
· 在開啟了MAC地址認證的端口上,不建議同時配置mac-authentication carry user-ip和mac-authentication guest-vlan命令;因為當同時配置了以上兩條命令之後,加入Guest VLAN的用戶無法再次發起MAC地址認證,用戶會一直停留在Guest VLAN中。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MAC地址認證請求中攜帶用戶IP地址。
mac-authentication carry user-ip
缺省情況下,MAC地址認證請求中不攜帶用戶IP地址。
端口采用802.1X和MAC地址組合認證,且端口所連接的用戶有不能主動發送EAP報文觸發802.1X認證的情況下,如果端口配置了802.1X單播觸發功能,則端口收到源MAC地址未知的報文,會先進行802.1X認證處理,完成後再進行MAC地址認證處理。
配置端口的MAC地址認證和802.1X認證並行處理功能後,在上述情況下,端口收到源MAC地址未知的報文,會向該MAC地址單播發送EAP-Request幀來觸發802.1X認證,但不等待802.1X認證處理完成,就同時進行MAC地址認證的處理。
在某些組網環境下,例如用戶不希望端口先被加入802.1X的Guest VLAN中,接收到源MAC地址未知的報文後,先觸發MAC地址認證,認證成功後端口直接加入MAC地址認證的授權VLAN中,那麼需要配置MAC地址認證和802.1X認證並行處理功能和端口延遲加入802.1X Guest VLAN功能。關於端口延遲加入802.1X Guest VLAN功能的詳細介紹,請參見“安全配置指導”中的“802.1X”。
端口采用802.1X和MAC地址組合認證功能適用於如下情況:
· 端口上同時開啟了802.1X和MAC地址認證功能,並配置了802.1X認證的端口的接入控製方式為macbased。
· 開啟了端口安全功能,並配置了端口安全模式為userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具體配置請參見“安全命令參考”中的“端口安全”。
為保證MAC地址認證和802.1X認證並行處理功能的正常使用,不建議配置端口的MAC地址認證延遲功能,否則端口觸發802.1X認證後,仍會等待一定的延遲後再進行MAC地址認證。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口的MAC地址認證和802.1X認證並行處理功能。
mac-authentication parallel-with-dot1x
缺省情況下,端口在收到源MAC地址未知的報文觸發認證時,按照802.1X完成後再進行MAC地址認證的順序進行處理。
在端口上開啟MAC地址認證授權VLAN自動Tag功能後,端口在接收報文時不再檢查端口是否允許報文攜帶的VLAN通過。端口接收到攜帶VLAN Tag的報文時,若報文的VLAN ID不在端口允許通過的VLAN ID列表裏,也會觸發MAC地址認證。用戶通過MAC地址認證後,設備會根據觸發條件決定端口以何種方式加入到授權VLAN中:
· 若觸發MAC地址認證的報文攜帶VLAN Tag,則端口以帶Tag的方式加入授權VLAN。
· 若觸發MAC地址認證的報文不攜帶VLAN Tag,則端口以不帶Tag的方式加入授權VLAN。
· 若觸發MAC地址認證的用戶沒有被服務器下發授權VLAN,則端口以用戶報文中是否攜帶VLAN Tag決定端口加入的VLAN:
¡ 若報文中攜帶VLAN Tag,則端口加入該VLAN。
¡ 若報文中未攜帶VLAN Tag,則端口加入PVID。
在端口上開啟MAC地址認證授權VLAN自動Tag功能時,可通過選擇ignore-config參數,忽略端口上VLAN Tag的靜態配置。否則,端口上的port hybrid vlan vlan-list { tagged | untagged }配置優先級高於MAC地址認證授權VLAN自動Tag功能,也就是MAC地址認證授權VLAN如果為port hybrid vlan命令指定的以Tag/Untag方式通過當前Hybrid端口的VLAN,則以端口配置為準。
· 本功能僅對開啟了MAC VLAN功能,且接入類型為Hybrid的端口生效。
· 本功能配置的優先級高於AAA服務器配置的授權VLAN是否攜帶Tag,但對端口的缺省VLAN不生效,即當服務器授權下發的是缺省VLAN時,配置本功能不修改端口加入到缺省VLAN的Tag方式。
· 開啟了MAC地址認證授權VLAN自動Tag功能的端口上有用戶上線後,不允許在係統視圖下使用undo vlan命令刪除該用戶已下發的授權VLAN。
· 當端口上有MAC地址用戶在線,不允許配置或取消配置本命令。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟端口上MAC地址認證授權VLAN自動Tag功能。
mac-authentication auto-tag [ ignore-config ]
缺省情況下,MAC地址認證授權VLAN自動Tag功能處於關閉狀態,即端口加入授權VLAN的Tag方式由AAA服務器決定。
強製MAC地址認證用戶下線後,設備會刪除對應的用戶信息,用戶再次上線時,需要重新進行MAC地址認證。
在用戶視圖下執行如下命令。
reset mac-authentication access-user [ interface interface-type interface-number | mac mac-address | username username | vlan vlan-id ]
MAC地址認證接入用戶日誌信息是為了滿足網絡管理員維護的需要,對MAC地址認證用戶的接入信息進行記錄。設備生成的MAC地址認證接入用戶日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
為了防止設備輸出過多的MAC地址認證接入用戶日誌信息,一般情況下建議關閉此功能。
(1) 進入係統視圖。
system-view
(2) 開啟MAC地址認證接入用戶日誌信息功能。
mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
缺省情況下,MAC地址認證接入用戶日誌信息功能處於關閉狀態。
配置本命令時,如果未指定任何參數,將同時開啟所有參數對應的日誌功能。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MAC地址認證的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
表1-1 MAC地址認證的顯示和維護
|
操作 |
命令 |
|
顯示MAC地址認證的相關信息 |
display mac-authentication [ interface interface-type interface-number ] |
|
顯示MAC地址認證連接信息 |
display mac-authentication connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name user-name ] |
|
顯示指定類型的VLAN中的MAC地址認證用戶的MAC地址信息 |
display mac-authentication mac-address { critical-vlan | guest-vlan } [ interface interface-type interface-number ] |
|
清除MAC地址認證的統計信息 |
reset mac-authentication statistics [ interface interface-type interface-number ] |
|
清除Critical VLAN內MAC地址認證用戶 |
reset mac-authentication critical vlan interface interface-type interface-number [ mac-address mac-address ] |
|
清除Critical Voice VLAN內MAC地址認證用戶 |
reset mac-authentication critical-voice-vlan interface interface-type interface-number [ mac-address mac-address ] |
|
清除Guest VLAN內MAC地址認證用戶 |
reset mac-authentication guest-vlan interface interface-type interface-number [ mac-address mac-address ] |
如圖1-3所示,某子網的用戶主機與設備的端口GigabitEthernet1/0/1相連接。
· 設備的管理者希望在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製它們對Internet的訪問。
· 要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於ISP域bbb,認證時使用本地認證的方式。
· 使用用戶的MAC地址作用戶名和密碼,其中MAC地址帶連字符、字母小寫。
圖1-3 啟動MAC地址認證對接入用戶進行本地認證
# 添加網絡接入類本地接入用戶。本例中添加Host A的本地用戶,用戶名和密碼均為Host A的MAC地址00-e0-fc-12-34-56,服務類型為lan-access。
<Device> system-view
[Device] local-user 00-e0-fc-12-34-56 class network
[Device-luser-network-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56
[Device-luser-network-00-e0-fc-12-34-56] service-type lan-access
[Device-luser-network-00-e0-fc-12-34-56] quit
# 配置ISP域,使用本地認證方法。
[Device] domain bbb
[Device-isp-bbb] authentication lan-access local
[Device-isp-bbb] quit
# 開啟端口GigabitEthernet1/0/1的MAC地址認證。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證的定時器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址認證用戶的帳號格式:使用帶連字符的MAC地址作為用戶名與密碼,其中字母小寫。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 當用戶接入端口GigabitEthernet1/0/1之後,可以通過如下顯示信息看到Host A成功通過認證,處於上線狀態,Host B沒有通過認證,它的MAC地址被加入靜默MAC列表。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
User name format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 180 s
Quiet period : 180 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : bbb
Online MAC-auth users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
00e0-fc11-1111 8 GE1/0/1 1
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Disabled
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
00e0-fc12-3456 Authenticated
如圖1-4所示,用戶主機Host通過端口GigabitEthernet1/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費。
· 設備的管理者希望在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。
· 要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於域2000,認證時采用固定用戶名帳號,用戶名為aaa,密碼為123456。
圖1-4 啟動MAC地址認證對接入用戶進行RADIUS認證
確保RADIUS服務器與設備路由可達,並成功添加了接入用戶賬戶:用戶名為aaa,密碼為123456。
# 配置RADIUS方案。
<Device> system-view
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置ISP域的AAA方法。
[Device] domain bbb
[Device-isp-bbb] authentication default radius-scheme 2000
[Device-isp-bbb] authorization default radius-scheme 2000
[Device-isp-bbb] accounting default radius-scheme 2000
[Device-isp-bbb] quit
# 開啟端口GigabitEthernet1/0/1的MAC地址認證。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證的定時器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址認證使用固定用戶名帳號:用戶名為aaa,密碼為明文123456。
[Device] mac-authentication user-name-format fixed account aaa password simple 123456
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 顯示MAC地址認證配置信息。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
Username format : Fixed account
Username : aaa
Password : ******
Offline detect period : 180 s
Quiet period : 180 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : bbb
Online MAC-auth users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Disabled
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
00e0-fc12-3456 Authenticated
如圖1-5所示,用戶主機Host通過端口GigabitEthernet1/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費,Internet網絡中有一台FTP服務器,IP地址為10.0.0.1。現有如下組網需求:
· 在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。認證時使用用戶的源MAC地址做用戶名和密碼,其中MAC地址帶連字符、字母小寫。
· 當用戶認證成功上線後,允許用戶訪問除FTP服務器之外的Internet資源。
圖1-5 下發ACL典型配置組網圖
· 確保RADIUS服務器與設備路由可達。
· 由於該例中使用了MAC地址認證的缺省用戶名和密碼,即使用用戶的源MAC地址做用戶名與密碼,因此還要保證RADIUS服務器上正確添加了接入用戶賬戶:用戶名為00-e0-fc-12-34-56,密碼為00-e0-fc-12-34-56。
· 指定RADIUS服務器上的授權ACL為設備上配置的ACL 3000。
(1) 配置授權ACL
# 配置ACL 3000,拒絕目的IP地址為10.0.0.1的報文通過。
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[Device-acl-ipv4-adv-3000] quit
(2) 配置使用RADIUS服務器進行MAC地址認證
# 配置RADIUS方案。
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置ISP域的AAA方法。
[Device] domain bbb
[Device-isp-bbb] authentication default radius-scheme 2000
[Device-isp-bbb] authorization default radius-scheme 2000
[Device-isp-bbb] accounting default radius-scheme 2000
[Device-isp-bbb] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證用戶的帳號格式:使用帶連字符的MAC地址做用戶名與密碼,其中字母小寫。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 開啟端口GigabitEthernet1/0/1上的MAC地址認證。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 顯示MAC地址認證配置信息。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enable
Authentication method : PAP
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : bbb
Online MAC-auth users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Disabled
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
00e0-fc12-3456 Authenticated
用戶認證上線後,Ping FTP服務器,發現服務器不可達,說明認證服務器下發的ACL 3000已生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
