- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-MAC地址認證命令
本章節下載: 03-MAC地址認證命令 (664.34 KB)
目 錄
1.1.1 display mac-authentication
1.1.2 display mac-authentication access-profile
1.1.3 display mac-authentication connection
1.1.4 display mac-authentication mac-address
1.1.5 display mac-authentication user-recovery-profile
1.1.8 mac-authentication access-profile
1.1.9 mac-authentication access-profile name
1.1.10 mac-authentication access-user log enable
1.1.11 mac-authentication authentication-method
1.1.12 mac-authentication auth-server-unavailable escape
1.1.13 mac-authentication auto-recover-user
1.1.14 mac-authentication carry user-ip
1.1.15 mac-authentication critical microsegment
1.1.16 mac-authentication critical profile
1.1.17 mac-authentication critical vlan
1.1.18 mac-authentication critical vsi
1.1.19 mac-authentication critical-voice-vlan
1.1.20 mac-authentication domain
1.1.21 mac-authentication guest-vlan
1.1.22 mac-authentication guest-vlan auth-period
1.1.23 mac-authentication guest-vlan re-authenticate
1.1.24 mac-authentication guest-vsi
1.1.25 mac-authentication guest-vsi auth-period
1.1.26 mac-authentication guest-vsi re-authenticate
1.1.27 mac-authentication host-mode multi-vlan
1.1.28 mac-authentication mac-range-account
1.1.29 mac-authentication max-user
1.1.30 mac-authentication offline-detect enable
1.1.31 mac-authentication offline-detect mac-address
1.1.32 mac-authentication packet-detect enable
1.1.33 mac-authentication packet-detect retry
1.1.34 mac-authentication recover-user
1.1.35 mac-authentication parallel-with-dot1x
1.1.36 mac-authentication redirect-url
1.1.37 mac-authentication re-authenticate
1.1.38 mac-authentication re-authenticate server-unreachable keep-online
1.1.39 mac-authentication server-recovery online-user-sync
1.1.40 mac-authentication timer (interface view)
1.1.41 mac-authentication timer (system view)
1.1.42 mac-authentication unauthenticated-user aging enable
1.1.43 mac-authentication user-name-format
1.1.44 mac-authentication user-recovery-profile
1.1.45 mac-authentication web-proxy
1.1.47 reset mac-authentication access-user
1.1.48 reset mac-authentication critical microsegment
1.1.49 reset mac-authentication critical vlan
1.1.50 reset mac-authentication critical vsi
1.1.51 reset mac-authentication critical-voice-vlan
1.1.52 reset mac-authentication guest-vlan
1.1.53 reset mac-authentication guest-vsi
1.1.54 reset mac-authentication statistics
僅S6813係列交換機支持微分段相關功能及microsegment相關參數。
display mac-authentication命令用來顯示MAC地址認證的相關信息。
【命令】
display mac-authentication [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示全局及指定端口的MAC地址認證相關信息。interface-type interface-number為端口類型和端口編號。若指定的端口上未使能MAC地址認證,則不顯示該端口任何信息。
【使用指導】
如果不指定任何參數,則顯示所有在線MAC地址認證的詳細信息,主要包括全局及端口的配置信息、認證報文統計信息以及認證用戶信息。
【舉例】
# 顯示MAC地址認證信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
M-LAG member configuration conflict : Unknown
Username format : MAC address in lowercase(xxxxxxxxxxxx)
Username : mac
Password : Not configured
MAC range accounts : 2
MAC address Mask Username
2222-0000-0000 ffff-0000-0000 user1
4444-0000-0000 ffff-0000-0000 user1
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for critical VSI : 1000 s
User aging period for guest VLAN : 1000 s
User aging period for guest VSI : 1000 s
User aging period for critical microsegment: 1000 s
Temporary user aging period : 60 s
Authentication domain : Not configured, use default domain
HTTP proxy port list : Total 10 ports
1-3, 5, 7, 9, 11-13, 15
HTTPS proxy port list : Not configured
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
0001-0000-0001 100 XGE1/0/2 21
Ten-GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Access profile name : m1
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Enabled
Auth-delay period : 60 s
Periodic reauth : Enabled
Reauth period : 120 s
Re-auth server-unreachable : Logoff
Guest VLAN : 100
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 150 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Packet detection : Enabled
Authentication order : Parallel
User aging : Enabled
Server-recovery online-user-sync : Enabled
Guest VSI : Not configured
Guest VSI reauthentication : Enabled
Guest VSI auth-period : 30 s
Critical VSI : Not configured
Critical microsegment ID : 123
Critical profile : Not configured
URL user logoff : No
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Max online preauth-domain users : 4294967295
Max online Auth-Fail-domain users : 4294967295
Auth-server-unavailable escape :Enabled
Authentication attempts : successful 2, failed 3
Current online users : 1
MAC address Auth state
0001-0000-0001 Unauthenticated
表1-1 display mac-authentication命令顯示信息描述表
|
字段 |
描述 |
|
Global MAC authentication parameters |
全局MAC地址認證參數 |
|
MAC authentication |
MAC地址認證的開啟狀態 |
|
Authentication method |
MAC地址認證采用的認證方法 · CHAP:采用CHAP認證方法 · PAP:采用PAP認證方法 |
|
M-LAG member configuration conflict |
兩台M-LAG設備配置檢查結果 · Conflicted:兩台M-LAG設備上的配置不匹配 · Not conflicted:兩台M-LAG設備上的配置相匹配 · Unknown:無法檢測兩台M-LAG設備上的配置是否匹配 |
|
Username format |
MAC地址認證使用的賬號格式 · 若采用MAC地址賬號,則顯示具體的用戶名格式以及是否帶連字符、字母是否大小寫,例如本例中“MAC address in lowercase(xxxxxxxxxxxx)”,它表示用戶名格式為不帶連字符的MAC地址,其中字母為小寫 · 若采用固定用戶名賬號,則顯示“Fixed account” |
|
Username |
用戶名 · 采用MAC地址賬號時,該值顯示為“mac”,無實際意義,僅表示采用MAC地址作為用戶名和密碼 · 采用固定用戶名賬號時,該值為配置的用戶名(缺省為mac) |
|
Password |
用戶名的密碼 · 采用MAC地址賬號時,該值顯示為“Not configured” · 采用固定用戶名賬號時,配置的值將顯示為****** |
|
MAC range accounts |
指定MAC地址範圍的MAC地址認證用戶賬號信息列表 |
|
MAC address |
指定的MAC地址 |
|
Mask |
MAC地址掩碼 |
|
Username |
MAC地址認證用戶名稱 |
|
Offline detect period |
下線檢測定時器的值 |
|
Quiet period |
靜默定時器的值 |
|
Server timeout |
服務器連接超時定時器的值 |
|
Reauth period |
重認證定時器的值 |
|
User aging period for critical VLAN |
Critical VLAN中用戶的老化時間 |
|
User aging period for critical VSI |
Critical VSI中用戶的老化時間 |
|
User aging period for guest VLAN |
Guest VLAN中用戶的老化時間 |
|
User aging period for guest VSI |
Guest VSI中用戶的老化時間 |
|
User aging period for critical microsegment |
Critical微分段中用戶的老化時間 |
|
Temporary user aging period |
臨時MAC地址認證用戶的老化時間 |
|
Authentication domain |
係統視圖下指定的MAC地址認證用戶使用的認證域,如果沒有指定認證域,則顯示Not configured, use default domain |
|
HTTP proxy port list |
HTTP代理服務器端口 |
|
HTTPS proxy port list |
HTTPS代理服務器端口 |
|
Max number of silent MACs |
指定單元上同時存在的最大靜默MAC數 |
|
Online MAC-auth wired users |
在線有線用戶和正在發起MAC地址認證的有線用戶的總數 |
|
Silent MAC users |
(暫不支持)靜默用戶信息(包括設備添加的靜默用戶和服務器授權下發黑洞MAC的靜默用戶) |
|
MAC address |
靜默用戶的MAC地址 |
|
VLAN ID |
靜默用戶所在的VLAN |
|
From port |
靜默用戶接入的端口名稱 |
|
Port index |
靜默用戶接入的端口索引號 |
|
Ten-GigabitEthernet1/0/1 is link-up |
端口Ten-GigabitEthernet1/0/1的鏈路狀態 |
|
MAC authentication |
當前端口的MAC地址認證開啟狀態 · Enabled:處於開啟狀態 · Enabled (but NOT effective):處於開啟狀態,但功能未生效。未生效原因為設備上ACL資源全部被占用 · Disabled:處於關閉狀態 |
|
Access profile name |
MAC地址認證接入模板名稱。如果未綁定MAC地址認證接入模板,則顯示為“Not configured” |
|
Carry User-IP |
MAC地址認證請求攜帶用戶IP地址關閉狀態 |
|
Authentication domain |
端口上指定的MAC地址認證用戶使用的認證域 |
|
Auth-delay timer |
MAC地址認證延遲功能的開啟狀態 |
|
Auth-delay period |
配置的認證延遲時間 |
|
Periodic reauth |
端口上MAC地址重認證開啟狀態 |
|
Reauth period |
端口上配置的MAC地址重認證定時器的值,若端口上未配置重認證定時器,則顯示為N/A;若未開啟重認證功能,則不顯示本字段 |
|
Re-auth server-unreachable |
重認證時服務器不可達對MAC地址認證的在線用戶采取的動作 · Logoff:重認證服務器不可達,強製MAC地址認證在線用戶下線 · Online:重認證服務器不可達,保持MAC地址認證在線用戶在線 |
|
Guest VLAN |
端口配置的Guest VLAN,如果未配置此功能,則顯示Not configured |
|
Guest VLAN reauthentication |
Guest VLAN中用戶重新認證功能的開啟狀態 · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Guest VLAN auth-period |
進入Guest VLAN後發起重認證的時間間隔 |
|
Critical VLAN |
端口配置的Critical VLAN,如果未配置此功能,則顯示Not configured |
|
Critical voice VLAN |
端口配置MAC地址認證的Critical Voice VLAN功能的開啟狀態 · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Host mode |
相同MAC地址用戶的工作模式 · 如果配置的是多VLAN模式,則顯示Multiple VLAN · 如果配置的是單VLAN模式,則顯示Single VLAN |
|
Offline detection |
MAC地址認證用戶下線檢測的開啟狀態 · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Packet detection |
MAC地址認證報文探測功能的開啟狀態 · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 · Enabled(NOT effective):處於開啟但未生效狀態。在使能了報文探測功能的情況下,修改端口接入控製方式為Port-based時,顯示此狀態 |
|
Authentication order |
MAC地址認證和802.1X認證並行處理 · Default:處於關閉狀態 · Parallel:處於開啟狀態 |
|
User aging |
非認證成功微分段、VLAN和VSI中MAC地址認證用戶老化功能的開啟狀態 · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Server-recovery online-user-sync |
RADIUS服務器從不可達狀態恢複為可達時,設備同步MAC地址認證的在線用戶信息到RADIUS服務器功能的開啟狀態: · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Guest VSI |
端口配置的Guest VSI,如果未配置此功能,則顯示Not configured |
|
Guest VSI reauthentication |
Guest VSI中用戶重新認證功能的開啟狀態 · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Guest VSI auth-period |
進入Guest VSI後發起重認證的時間間隔,單位為秒 |
|
Critical VSI |
端口配置的Critical VSI,如果未配置此功能,則顯示Not configured |
|
Critical microsegment ID |
端口配置的Critical微分段ID,如果未配置此功能,則顯示Not configured |
|
Critical profile |
(暫不支持)認證服務器不可達時,MAC地址認證用戶使用的逃生策略模板,如果未配置此功能,則顯示Not configured |
|
URL user logoff |
首個用戶加入Critical微分段或Critical VSI後,是否強製授權URL的MAC認證用戶下線: · Yes:是 · No:否 |
|
Auto-tag feature |
(暫不支持)端口上MAC地址認證授權VLAN自動Tag功能 · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
VLAN tag configuration ignoring |
(暫不支持)端口上MAC地址認證授權VLAN自動Tag忽略靜態VLAN配置功能 · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Max online users |
本端口最多可容納的接入用戶數 |
|
Max online preauth-domain users |
本端口最多可容納的前域用戶數 |
|
Max online Auth-Fail-domain users |
本端口最多可容納的失敗域用戶數 |
|
Auth-server-unavailable escape |
RADIUS服務器不可達時,MAC地址認證在線用戶逃生功能的開啟狀態: · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Authentication attempts: successful 1, failed 0 |
端口上MAC地址認證的統計信息,包括認證通過的次數和認證失敗的次數 |
|
MAC address |
接入用戶的MAC地址 |
|
Auth state |
接入用戶的狀態 · Authenticated:認證成功 · Unauthenticated:尚未認證成功 |
display mac-authentication access-profile命令用來顯示MAC地址認證接入模板的配置信息。
【命令】
display mac-authentication access-profile [ name profile-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name profile-name:指定MAC地址認證接入模板。profile-name為MAC地址認證接入模板名稱,為1~31個字符的字符串,不區分大小寫。如果不指定本參數,則顯示所有MAC地址認證接入模板的簡要配置。
【使用指導】
完成MAC地址認證接入模板的配置後,可以使用本命令查看MAC地址認證接入模板的配置信息是否正確。
【舉例】
# 顯示所有MAC地址認證接入模板的配置信息。
<Sysname> display mac-authentication access-profile
Total number: 2
Profile name Packet detection
aaa Disabled
bbb Disabled
# 顯示MAC地址認證接入模板profile1的配置信息。
<Sysname> display mac-authentication access-profile name profile1
Packet detection : Enabled
Packet detection retry times : 2
Guest VLAN : 100
Guest VLAN auth-period : 150 s
Critical VLAN : Not configured
Guest VSI : Not configured
Guest VSI auth-period : 30 s
Critical VSI : Not configured
Critical microsegment ID : 123
Critical profile : Not configured
Total auth-profiles bound to the access profile: 3
Authprofile1
Authprofile2
Authprofile3
表1-2 display mac-authentication access-profile命令顯示信息描述表
|
字段 |
描述 |
|
Profile name |
MAC地址認證接入模板名稱 |
|
Packet detection |
· MAC地址認證報文探測功能的開啟狀態 · Enabled:打開 · Disabled:關閉 |
|
Packet detection retry times |
· MAC地址認證報文探測的最大次數 |
|
Guest VLAN |
· 端口配置的Guest VLAN,如果未配置此功能,則顯示Not configured |
|
Guest VLAN auth-period |
· 進入Guest VLAN後發起重認證的時間間隔 |
|
Critical VLAN |
端口配置的Critical VLAN,如果未配置此功能,則顯示Not configured |
|
Guest VSI |
端口配置的Guest VSI,如果未配置此功能,則顯示Not configured |
|
Guest VSI auth-period |
進入Guest VSI後發起重認證的時間間隔,單位為秒 |
|
Critical VSI |
端口配置的Critical VSI,如果未配置此功能,則顯示Not configured |
|
Critical microsegment ID |
端口配置的Critical微分段ID,如果未配置此功能,則顯示Not configured |
|
Critical profile |
認證服務器不可達時,MAC地址認證用戶使用的逃生策略模板,如果未配置此功能,則顯示Not configured |
|
Total auth-profiles bound to the access profile |
綁定該MAC地址認證接入模板的端口安全認證模板總數 |
display mac-authentication connection命令用來顯示MAC地址認證在線用戶的詳細信息。
【命令】
display mac-authentication connection [ open ] [ [ m-lag [ local | peer ] ] [ interface interface-type interface-number | online-type { auth-fail-domain | critical-domain | preauth-domain | success | url-unavailable-domain } | slot slot-number | user-name user-name ] | user-mac mac-address ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
open:隻顯示在開放認證模式下使用不存在的用戶名或者錯誤的密碼接入的MAC地址認證的用戶信息。若不指定本參數,則顯示設備上所有MAC地址認證在線用戶的信息。
m-lag [ local | peer ]:顯示M-LAG組網中,M-LAG接口上MAC地址認證在線用戶的信息。如果不指定該參數,則顯示設備上所有MAC地址認證在線用戶的信息。
· local:顯示本端M-LAG設備上MAC地址認證在線用戶的信息。
· peer:顯示對端M-LAG設備上MAC地址認證在線用戶的信息。
如果不指定local和peer參數,則顯示本地M-LAG設備和對端M-LAG設備上所有MAC地址認證在線用戶的信息。
interface interface-type interface-number:顯示指定端口的MAC地址認證用戶信息。其中interface-type interface-number表示綁定的端口類型和端口編號。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
online-type:顯示指定類型的MAC地址認證在線用戶信息。
· auth-fail-domain:顯示認證失敗域內的MAC地址認證用戶信息。
· critical-domain:顯示逃生域內的MAC地址認證用戶信息。
· preauth-domain:顯示認證前域內的MAC地址認證用戶信息。
· success:顯示認證成功的MAC地址認證用戶信息。
· url-unavailable-domain:顯示URL不可達逃生域內的MAC地址認證用戶信息。
slot slot-number:顯示指定成員設備上的MAC地址認證用戶信息。slot-number表示設備在IRF中的成員編號。若不指定本參數,則顯示所有成員設備上的MAC地址認證用戶信息。
user-mac mac-address:顯示指定MAC地址的MAC地址認證用戶信息。其中mac-addr表示用戶的MAC地址,格式為H-H-H。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
user-name user-name:顯示指定用戶名的MAC地址認證用戶信息。其中user-name表示用戶名(可包含域名),為1~55個字符的字符串,區分大小寫。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
【舉例】
# 顯示所有MAC地址認證在線用戶信息。
<Sysname> display mac-authentication connection
Total connections: 1
Slot ID: 0
User MAC address: 0015-e9a6-7cfe
Access interface: Ten-GigabitEthernet1/0/1
Username: ias
User access state: Successful
Authentication domain: macusers
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
IPv4 address source: User packet
IPv6 address source: User packet
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: 3001
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR:N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: RADIUS-request
Session timeout period: 2 sec
Offline detection: 100 sec (server-assigned)
Topology change detection:
Max attempts: 5
Remaining attempts: 3
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
Port-down keep online: Enabled
User MAC address: 0015-e9a6-abcd
M-LAG NAS-IP type: Local
M-LAG user state: Active
Access interface: Bridge-Aggregation1
Username: luser
User access state: Successful
Authentication domain: macusers
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
IPv4 address source: User packet
IPv6 address source: User packet
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: 3001
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR:
Average input rate: 102400 bps
Peak input rate: 204800 bps
Average output rate: 102400 bps
Peak output rate: 204800 bps
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: RADIUS-request
Session timeout period: 2 sec
Offline detection: 100 sec (server-assigned)
Topology change detection:
Max attempts: 5
Remaining attempts: 3
Online from: 2020/12/02 13:14:15
Online duration: 0h 7m 15s
Port-down keep online: Enabled
表1-3 display mac-authentication connection 命令顯示信息描述表
|
字段 |
描述 |
|
Total connections |
在線MAC地址認證用戶個數 |
|
User MAC address |
用戶的MAC地址 |
|
M-LAG NAS-IP type |
M-LAG組網中,M-LAG接口上的用戶認證時采用的NAS-IP地址類型 · Local:本地NAS-IP地址,即使用本端M-LAG設備上的IP地址作為發送RADIUS報文使用的源IP地址 · Peer:對端NAS-IP地址,使用對端M-LAG設備上的IP地址作為發送RADIUS報文使用的源IP地址 |
|
M-LAG user state |
M-LAG組網中,M-LAG接口上的用戶狀態 · Active:激活狀態,此時由本端M-LAG設備與AAA服務器交互用戶認證信息 · Inactive:未激活狀態,此時由對端M-LAG設備與AAA服務器交互用戶認證信息 |
|
Access interface |
用戶的接入接口名稱 |
|
Username |
用戶名 |
|
User access state |
用戶的接入狀態 · Auth-Fail domain:接入用戶處於認證失敗域中 · Critical domain:接入用戶處於認證逃生域中 · Preauth domain:接入用戶處於認證前域中 · Successful:MAC地址認證成功並接入 · URL-unavailable domain:接入用戶處於URL不可達逃生域中 · Open:使用不存在的用戶名或者錯誤的密碼進行開放認證並接入 · Temporary:通過端口安全模式macAddressAndUserLoginSecureExt方式認證的臨時MAC地址認證用戶 |
|
Authentication domain |
認證時所用的ISP域的名稱 |
|
IPv4 address |
用戶IPv4地址 若未獲取到用戶的IP地址,則不顯示該字段 |
|
IPv6 address |
用戶IPv6地址 若未獲取到用戶的IP地址,則不顯示該字段 |
|
IPv4 address source |
表示獲取到的用戶IPv4地址來源 · User packet:從用戶報文中獲取 · IP Source Guard:IP Source Guard模塊通知 |
|
IPv6 address source |
表示獲取到的用戶IPv6地址來源 · User packet:從用戶報文中獲取 · IP Source Guard:IP Source Guard模塊通知 |
|
Initial VLAN |
初始的VLAN |
|
Authorization untagged VLAN |
授權的untagged VLAN |
|
Authorization tagged VLAN |
授權的tagged VLAN |
|
Authorization VSI |
授權的VSI |
|
Authorization microsegment ID |
授權的微分段ID |
|
Authorization ACL number/name |
授權的靜態ACL的編號或名稱。若未授權靜態ACL,則顯示為N/A 若未授權成功,則在ACL編號或名稱後顯示“(NOT effective)” |
|
Authorization dynamic ACL name |
授權的動態ACL的名稱。若未授權動態ACL,則顯示N/A 若未授權成功,則在ACL名稱後顯示“(NOT effective)” |
|
Authorization user profile |
授權用戶的User profile名稱 |
|
Authorization CAR |
當服務器未授權用戶CAR屬性時,該字段顯示為N/A。 當服務器授權用戶CAR屬性,將分為以下四個字段: · Average input rate :上行平均速率,單位為bps · Peak input rate:上行峰值速率,單位為bps · Average output rate:下行平均速率,單位為bps · Peak output rate:下行峰值速率,單位為bps 若未授權成功,則顯示為(NOT effective) 若隻下發上、下行平均速率,則該上、下行峰值速率默認與其平均速率相同。目前不支持服務器單獨授權上、下行峰值速率 |
|
Authorization URL |
授權的重定向URL |
|
Authorization IPv6 URL |
授權的IPv6重定向URL |
|
Authorization temporary redirect |
表示是否授權暫時重定向功能 · Enabled:授權了暫時重定向功能,發送給用戶的HTTP/HTTPS重定向報文中攜帶的狀態碼為302 · Disabled:未授權暫時重定向功能,發送給用戶的HTTP/HTTPS重定向報文中攜帶的狀態碼為200 |
|
Start accounting |
表示開始計費請求的結果 · Successful:開始計費成功 · Failed:開始計費失敗 前域用戶不支持計費,本字段顯示為N/A |
|
Real-time accounting-update failures |
表示實時計費更新連續失敗的次數 |
|
Termination action |
服務器下發的終止動作類型: · Default:會話超時時間到達後,強製用戶下線 · RADIUS-request:會話超時時間到達後,請求MAC地址認證用戶進行重認證 用戶采用本地認證時,該字段顯示為Default |
|
Session timeout period |
服務器下發的會話超時時間,該時間到達之後,用戶所在的會話將會被刪除,之後,對該用戶所采取的動作,由Termination action字段的取值決定 |
|
Offline detection |
用戶進行下線檢測的屬性: · Ignore (command-configured):命令行配置該用戶不進行下線檢測 · timer (command-configured):命令行配置的下線檢測時間 · Ignore (server-assigned):RADIUS服務器授權該用戶不進行下線檢測 · timer (server-assigned):RADIUS服務器授權的下線檢測時間 |
|
Packet detection |
報文探測功能信息 |
|
Topology change detection |
網絡拓撲改變時的ARP/NS報文探測功能信息 |
|
Max attempts |
報文探測最大次數 |
|
Remaining attempts |
報文探測剩餘次數,每發一次探測報文次數減一 |
|
Source IPv4 address |
配置的計算ARP探測報文源IP所需的地址,如果未配置,則顯示為0.0.0.0 |
|
Source IPv4 mask |
配置的計算ARP探測報文源IP所需的掩碼,如果未配置,則顯示為0.0.0.0 |
|
Online from |
MAC認證用戶的上線時間 |
|
Online duration |
MAC認證用戶的在線時長 |
|
Port-down keep online |
端口狀態變為Down後,用戶繼續保持在線功能: · Enabled:處於開啟狀態。服務器授權下發了取值非0的私有屬性shutdown-keep-online · Disabled (offline):處於關閉狀態,用戶下線。服務器授權下發了取值為0的私有屬性shutdown-keep-online,或者沒有下發該屬性 |
display mac-authentication mac-address命令用來顯示非認證成功微分段、VLAN或VSI中的MAC地址認證用戶的MAC地址信息。
【命令】
display mac-authentication mac-address { critical-microsegment | critical-vlan | critical-vsi | guest-vlan | guest-vsi } [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
critical-microsegment:顯示MAC地址認證Critical微分段中的用戶MAC地址信息。
critical-vlan:顯示MAC地址認證Critical VLAN中的用戶MAC地址信息。
critical-vsi:顯示MAC地址認證Critical VSI中的用戶MAC地址信息。
guest-vlan:顯示MAC地址認證Guest VLAN中的用戶MAC地址信息。
guest-vsi:顯示MAC地址認證Guest VSI中的用戶MAC地址信息。
interface interface-type interface-number:顯示微分段、VLAN或VSI中指定端口的MAC地址認證用戶的MAC地址信息。其中interface-type interface-number表示端口類型和端口編號。若不指定本參數,則顯示指定類型的微分段、VLAN或VSI中所有端口的MAC地址認證用戶的MAC地址信息。
【使用指導】
查詢到的MAC地址數量以及MAC地址明細為粗略統計,當有大量用戶頻繁進行認證時可能不能完全精準顯示。
【舉例】
# 顯示所有MAC地址認證Critical微分段中的用戶MAC地址信息。
<Sysname> display mac-authentication mac-address critical-microsegment
Total MAC addresses: 10
Interface:Ten-GigabitEthernet1/0/1 Critical microsegment: 1 Aging time: N/A
MAC addresses: 8
0800-2700-9427 0800-2700-2341 0800-2700-2324 0800-2700-2351
0800-2700-5627 0800-2700-2251 0800-2700-8624 0800-2700-3f51
Interface:Ten-GigabitEthernet1/0/2 Critical microsegment: 1 Aging time: 30 sec
MAC addresses: 2
0801-2700-9427 0801-2700-2341
# 顯示所有MAC地址認證Guest VLAN中的用戶的MAC地址信息。
<Sysname> display mac-authentication mac-address guest-vlan
Total MAC addresses: 10
Interface: Ten-GigabitEthernet1/0/1 Guest VLAN: 3 Aging time: N/A
MAC addresses: 8
0800-2700-9427 0800-2700-2341 0800-2700-2324 0800-2700-2351
0800-2700-5627 0800-2700-2251 0800-2700-8624 0800-2700-3f51
Interface: Ten-GigabitEthernet1/0/2 Guest VLAN: 5 Aging time: 30 sec
MAC addresses: 2
0801-2700-9427 0801-2700-2341
# 顯示所有MAC地址認證Guest VSI中的用戶的MAC地址信息。
<Sysname> display mac-authentication mac-address guest-vsi
Total MAC addresses: 10
Interface: Ten-GigabitEthernet1/0/3 Guest VSI: text-vsi Aging time: N/A
MAC addresses: 8
0800-2700-9427 0800-2700-2341 0800-2700-2324 0800-2700-2351
0800-2700-5627 0800-2700-2251 0800-2700-8624 0800-2700-3f51
Interface: Ten-GigabitEthernet1/0/4 Guest VSI: text1-vsi Aging time: 30 sec
MAC addresses: 2
0801-2700-9427 0801-2700-2341
表1-4 display mac-authentication mac-address命令顯示信息描述表
|
字段 |
描述 |
|
Total MAC addresses |
指定類型的微分段、VLAN或VSI中的所有MAC地址總數 |
|
Interface |
用戶的接口名稱 |
|
Type microsegment/VLAN/VSI |
顯示MAC地址認證用戶所在的位置信息,包含如下取值: · Critical microsegment · Critical VLAN · Critical VSI · Guest VLAN · Guest VSI |
|
Aging time |
MAC地址老化時間,單位秒。N/A表示該地址不老化 |
|
MAC addresses |
MAC地址數 |
|
xxxx-xxxx-xxxx |
MAC地址 |
【相關命令】
· mac-authentication critical vlan
· mac-authentication critical vsi
· mac-authentication guest-vlan
· mac-authentication guest-vsi
display mac-authentication user-recovery-profile命令用來顯示MAC地址認證user-recovery Profile的配置信息。
【命令】
display mac-authentication user-recovery-profile [ profile-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
profile-name:user-recovery Profile名稱,為1~31個字符的字符串,不區分大小寫。如果不指定該參數,則表示顯示所有user-recovery Profile。
【舉例】
# 顯示所有MAC地址認證user-recovery Profile的配置信息。
<Sysname> display mac-authentication user-recovery-profile
User-recovery profile: profile1
Server IP : 3.3.3.3
Port : 8080
VPN : Not configured
Login name : user1
NAS IP address: 10.1.1.1
URI : dumbtermina/list
User-recovery profile: profile2
Server IP : 1.1.1.2
Port : 80
VPN : Not configured
Login name : user1
NAS IP address: 1:2::3:4
URI : dumbtermina/list
表1-5 display mac-authentication user-recovery-profile命令顯示信息描述表
|
字段 |
描述 |
|
User-recovery profile |
user-recovery Profile名稱 |
|
Server IP |
RESTful服務器的IP地址 |
|
Port |
RESTful服務器的端口號 |
|
VPN |
RESTful服務器所屬的VPN實例 |
|
Login name |
登錄到RESTful服務器所需的用戶名 |
|
NAS IP address |
設備和RESTful服務器交互時使用的NAS-IP地址 |
|
URI |
RESTful服務器提供用戶資源服務的URI |
【相關命令】
· mac-authentication user-recovery-profile
· server-address
· login-user
· nas-ip
· uri
login-name命令用來配置登錄到RESTful服務器所需的用戶名和密碼。
undo login-name命令用來恢複缺省情況。
【命令】
login-name username [ password { cipher | simple } string ]
undo login-name
【缺省情況】
未配置登錄到RESTful服務器所需的用戶名和密碼。
【視圖】
user-recovery Profile視圖
【缺省用戶角色】
network-admin
【參數】
username:表示用戶名,為1~55字符的字符串,區分大小寫。
password:表示密碼。若未指定本參數,則表示登錄到RESTful服務器時不需要密碼。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~63個字符的字符串,密文密碼為1~117個字符的字符串。
【使用指導】
設備與RESTful服務器建立連接時,服務器首先需要驗證連接請求發起方的合法性。本命令配置的用戶名和密碼,即為設備向RESTful服務器提供的身份信息。RESTful服務器驗證該用戶名和密碼成功後,才允許連接請求發起方與之建立連接,以及獲取相應的服務器資源。
本命令指定的用戶名和密碼,必須在RESTful服務器上已經存在。
【舉例】
# 在名稱為profile1的user-recovery Profile視圖下,配置與RESTful服務器建立連接時使用的登錄用戶名為abc,密碼為明文123。
<Sysname> system-view
[Sysname] mac-authentication user-recove-profile profile1
[Sysname-user-recovery-profile-profile1] login-name abc password simple 123
【相關命令】
· display mac-authentication user-recovery-profile
mac-authentication命令用來開啟端口上或全局的MAC地址認證。
undo mac-authentication命令用來關閉端口上或全局的MAC地址認證。
【命令】
mac-authentication
undo mac-authentication
【缺省情況】
所有端口及全局的MAC地址認證都處於關閉狀態。
【視圖】
係統視圖
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有全局和端口的MAC地址認證均開啟後,MAC地址認證配置才能在端口上生效。
【舉例】
# 開啟全局的MAC地址認證。
<Sysname> system-view
[Sysname] mac-authentication
# 開啟端口Ten-GigabitEthernet1/0/1上的MAC地址認證。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication
【相關命令】
· display mac-authentication
mac-authentication access-profile命令用來配置端口安全認證模板綁定MAC地址認證接入模板。
undo mac-authentication access-profile命令用來恢複缺省情況。
【命令】
mac-authentication access-profile profile-name
undo mac-authentication access-profile profile-name
【缺省情況】
端口安全認證模板未綁定MAC地址認證接入模板。
【視圖】
端口安全認證模板視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:創建的MAC地址認證接入模板名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
端口安全認證模板綁定MAC地址認證接入模板後,綁定該端口安全認證模板的接口將使用接入模板下的配置對接入用戶進行認證:
· 對於接口視圖和MAC地址認證接入模板視圖下均支持配置的功能(命令行形式可能存在差異),無論當前MAC地址認證接入模板下是否已配置,接口下的此類功能配置都會被立即刪除。如需使用上述功能,請在接口綁定的MAC地址認證接入模板視圖下配置。
· 對於接口視圖下支持但接入模板視圖下不支持的配置,在接口下配置後仍會正常生效。
必須先在係統視圖下通過mac-authentication access-profile name命令創建MAC地址認證接入模板後,端口安全認證模板才能成功綁定該MAC地址認證接入模板。
一個802.1X接入模板可以被不同端口安全認證模板綁定,但一個端口安全認證模板隻能綁定一個MAC地址認證接入模板,如需綁定其它MAC地址認證接入模板,請先解除原有綁定。
【舉例】
# 配置端口安全認證模板aaa下綁定MAC地址認證接入模板bbb。
<Sysname> system-view
[Sysname] port-security authentication-profile name aaa
[Sysname-portsec-auth-profile-aaa] mac-authentication access-profile bbb
【相關命令】
· display mac-authentication access-profile
mac-authentication access-profile name命令用來創建MAC地址認證接入模板並進入接入模板視圖。如果接入模板已創建,則直接進入接入模板視圖。
undo mac-authentication access-profile name命令用來恢複缺省情況。
【命令】
mac-authentication access-profile name profile-name
undo mac-authentication access-profile name profile-name
【缺省情況】
未創建MAC地址認證接入模板。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:MAC地址認證接入模板名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
設備通過MAC地址認證接入模板統一管理MAC地址認證接入的相關配置。端口安全認證模板下綁定MAC地址認證接入模板後,綁定該端口安全認證模板的接口就可以應用MAC地址認證接入模板的配置完成用戶認證。
當端口安全認證模板綁定的MAC地址認證接入模板已經生效,刪除該接入模板會導致在線用戶異常掉線。
【舉例】
# 創建名稱為ccc的MAC地址認證接入模板,並進入該接入模板視圖。
<Sysname> system-view
[Sysname] mac-authentication access-profile name ccc
[Sysname-macauth-acc-prof-ccc]
【相關命令】
· display mac-authentication access-profile
mac-authentication access-user log enable命令用來開啟MAC地址認證接入用戶日誌信息功能。
undo mac-authentication access-user log enable命令用來關閉MAC地址認證接入用戶日誌信息功能。
【命令】
mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
undo mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
【缺省情況】
MAC地址認證接入用戶日誌信息功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
failed-login:MAC地址認證用戶上線失敗的日誌信息。
logoff:MAC地址認證用戶下線的日誌信息。
successful-login:MAC地址認證用戶上線成功的日誌信息。
【使用指導】
為了防止設備輸出過多的MAC地址認證接入用戶日誌信息,一般情況下建議關閉此功能。
配置本命令時,如果未指定任何參數,將同時開啟或關閉本命令所有參數對應的日誌功能。
【舉例】
# 開啟MAC地址認證接入用戶上線失敗的日誌信息。
<Sysname> system-view
[Sysname] mac-authentication access-user log enable failed-login
【相關命令】
· info-center source maca logfile deny(網絡管理和監控命令參考/信息中心)
mac-authentication authentication-method命令用來配置MAC地址認證采用的認證方法。
undo mac-authentication authentication-method命令用來恢複缺省情況。
【命令】
mac-authentication authentication-method { chap | pap }
undo mac-authentication authentication-method
【缺省情況】
設備采用PAP認證方法進行MAC地址認證。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
chap:采用CHAP類型的認證方法。
pap:采用PAP類型的認證方法。
【使用指導】
通過該命令可以配置設備進行MAC地址認證時,與RADIUS服務器之間采用的認證方法。PAP和CHAP認證方法的詳細介紹如下:
· PAP(Password Authentication Protocol,密碼驗證協議)通過用戶名和口令來對用戶進行驗證,其特點是在網絡上以明文方式傳送用戶名和口令,僅適用於對網絡安全要求相對較低的環境。
· CHAP(Challenge Handshake Authentication Protocol,質詢握手驗證協議)采用客戶端與服務器端交互挑戰信息的方式來驗證用戶身份,其特點是在網絡上以明文方式傳送用戶名,以密文方式傳輸口令。與PAP相比,CHAP認證保密性較好,更為安全可靠。
【舉例】
# 配置設備采用CHAP認證方法進行MAC地址認證。
<Sysname> system-view
[Sysname] mac-authentication authentication-method chap
【相關命令】
mac-authentication auth-server-unavailable escape命令用來開啟RADIUS認證服務器不可達時,MAC地址認證在線用戶逃生功能。
undo mac-authentication auth-server-unavailable escape命令用來關閉RADIUS認證服務器不可達時,MAC地址認證在線用戶逃生功能。
【命令】
mac-authentication auth-server-unavailable escape
undo mac-authentication auth-server-unavailable escape
【缺省情況】
RADIUS認證服務器不可達時,MAC地址認證在線用戶逃生功能處於關閉狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
缺省情況下,當ISP域下所有RADIUS認證服務器均不可達時,如果此時設備上同時開啟了MAC地址認證下線檢測功能,若設備在一個下線檢測定時器間隔內未收到接口下某MAC地址認證在線用戶的報文,則將切斷與該用戶的連接,導致該MAC地址認證在線用戶下線。
當RADIUS認證服務器可達時,用戶需要使用MAC地址認證下線檢測功能,同時又希望RADIUS認證服務器均不可達時,能夠保持MAC地址認證用戶的在線狀態,可在設備上開啟本功能。
配置本功能後,當RADIUS認證服務器不可達時,設備會自動關閉接口上的MAC認證用戶的在線檢測功能,使得MAC用戶保持在線狀態。
本命令隻適用於將RADIUS作為認證方法且不配置local/none作為備選認證方法的應用場景,否則可能導致用戶通過備選認證方法上線後下線檢測功能被自動關閉。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上配置RADIUS認證服務器不可達時,MAC地址認證在線用戶逃生功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication auth-server-unavailable escape
【相關命令】
· mac-authentication offline-detect enable
mac-authentication auto-recover-user命令用來開啟MAC地址認證自動恢複用戶功能。
undo mac-authentication auto-recover-user命令用來關閉MAC地址認證自動恢複用戶功能。
【命令】
mac-authentication auto-recover-user profile profile-name
undo mac-authentication auto-recover-user profile profile-name
【缺省情況】
MAC地址認證的自動恢複用戶功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile profile-name:user-recovery Profile名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
本功能的典型應用場景是,有大量啞終端(例如打印機)通過MAC地址認證接入網絡。當設備或接口板重啟、接口故障時,啞終端用戶下線後隻能等待下次業務報文觸發MAC地址認證,而這種在線狀態恢複的不及時性將會影響該類終端後續的正常工作。
為指定的user-recovery Profile開啟恢複用戶功能後,若設備或接口板重啟、接口故障恢複,當設備和Profile中指定的RESTful服務器之間路由可達後,設備會主動從該服務器上獲取相關接口上的MAC地址認證用戶賬戶信息,並自動使用這些信息為用戶重新進行認證,達到不需要用戶幹預的情況下為其恢複在線狀態的目的。
係統最多支持為16個user-recovery Profile開啟恢複用戶功能。通常,不同的Profile對應不同的RESTful服務器以及服務器上的用戶信息。
多台設備組成IRF環境下,開啟本功能後,請執行save命令,並將配置文件設置為下次啟動配置文件保證本功能在主設備下次重啟後生效。關於save命令的詳細介紹請參見“基礎配置命令參考”中的“配置文件管理”。
RADIUS的accounting-on功能與MAC地址認證恢複用戶功能互斥,不建議同時開啟。關於accounting-on功能詳細介紹,請參見“安全配置指導”中的“AAA”。
【舉例】
# 開啟MAC地址認證的自動恢複用戶功能,並指定user-recovery Profile為profile1。
<Sysname> system-view
[Sysname] mac-authentication auto-recover-user profile profile1
【相關命令】
· accounting-on enable(安全命令參考/AAA)
· display mac-authentication user-recovery-profile
· mac-authentication user-recovery-profile
mac-authentication carry user-ip命令用來配置MAC地址認證請求中攜帶用戶IP地址。
undo mac-authentication carry user-ip命令用來恢複缺省情況。
【命令】
mac-authentication carry user-ip [ exclude-ip acl acl-number ] [ exclude-dhcpv4 ] [ exclude-dhcpv6 ]
undo mac-authentication carry user-ip
【缺省情況】
MAC地址認證請求中不攜帶用戶IP地址。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
exclude-ip:指定不合法的IP地址範圍,不對攜帶不合法IP地址的用戶進行MAC地址認證。
acl acl-number:指定過濾源IP地址的ACL,該ACL中需要包含deny規則。其中acl-number表示ACL的編號,僅支持基本ACL和用戶自定義ACL,取值範圍為2000~2999、5000~5999。
exclude-dhcpv4:不能通過DHCPv4報文觸發MAC地址認證。
exclude-dhcpv6:不能通過DHCPv6報文觸發MAC地址認證。
【使用指導】
在終端用戶采用靜態IP地址方式接入的組網環境中,如果終端用戶擅自修改自己的IP地址,則整個網絡環境中可能會出現IP地址衝突等問題。
為了解決以上問題,管理員可以在端口上開啟MAC地址認證請求中攜帶用戶IP地址的功能,用戶在進行MAC地址認證時,設備會把用戶的IP地址上傳到iMC服務器。然後iMC服務器會把認證用戶的IP地址和MAC地址與服務器上已經存在的IP與MAC的綁定表項進行匹配,如果匹配成功,則該用戶MAC地址認證成功;否則,MAC地址認證失敗。
終端用戶采用靜態IP地址接入時,實際組網應用中會出現用戶報文中攜帶的IP地址並非用戶實際IP地址的情況,例如在IPv4靜態地址組網中,用戶報文攜帶的IP地址為以fe80開頭的IPv6鏈路本地地址。配置mac-authentication carry user-ip命令後,設備會攜帶非用戶實際的IP地址向服務器發起MAC地址認證請求,此種情況會導致服務器為用戶綁定錯誤的IP地址或IP地址與MAC地址匹配失敗。為避免上述情況發生,可以指定exclude-ip acl參數,不允許ACL中指定網段的用戶進行MAC地址認證。
指定exclude-ip acl參數後,引用的ACL規則無法過濾掉DHCP報文。如果DHCP報文攜帶的IP地址不合法,且DHCP報文觸發了MAC地址認證,則將導致該用戶認證失敗。因此,可以指定exclude-dhcpv4或exclude-dhcpv6參數,不允許用戶通過DHCP報文來觸發MAC地址認證。
配置mac-authentication carry user-ip命令後,當有用戶接入時,設備會檢查用戶報文中的IP地址是否合法,並進行相應處理:
· 當用戶的IP地址合法時,設備攜帶用戶IP地址向服務器發起MAC地址認證請求;
· 當用戶報文未攜帶IP地址或用戶的IP地址不合法時,設備不對用戶進行MAC地址認證。
· 收到源IP為全0的DHCP報文時,設備會向服務器發起MAC地址認證請求,但認證報文中不攜帶IP地址。認證是否通過取決於認證服務器側的配置。
iMC服務器上IP與MAC地址信息綁定表項的生成方式如下:
· 如果在iMC服務器上創建用戶時手工指定了用戶的IP地址和MAC地址信息,則服務器使用手工指定的IP和MAC信息生成該用戶的IP與MAC地址的綁定表項。
· 如果在iMC服務器上創建用戶時未手工指定用戶的IP地址和MAC地址信息,則服務器使用用戶初次進行MAC地址認證時使用的IP地址和MAC地址生成該用戶的IP與MAC地址的綁定表項。
配置exclude-ip acl時,僅根據規則中配置的源IP地址進行過濾。建議ACL中配置deny規則來拒絕指定網段的用戶進行MAC地址認證。如果ACL中僅配置了permit規則,則表示允許指定網段的用戶進行MAC地址認證,這樣的配置並沒有實際意義。如果希望隻允許某個網段用戶進行MAC地址認證,可在ACL中同時配置一條指定網段的permit規則以及一條deny all規則來實現。
通過exclude-ip acl指定ACL後,設備對於IPv4報文按照對應編號的IPv4 ACL規則進行處理;對於IPv6報文則按照對應編號的IPv6 ACL規則進行處理。例如,當配置了mac-authenication carry user-ip exclude-ip acl 2000時,如果用戶報文為IPv4報文,則按照IPv4 ACL 2000的規則進行處理;如果用戶報文為IPv6報文,則按照IPv6 ACL 2000的規則進行處理。
若通過exclude-ip acl指定的ACL為用戶自定義ACL(ACL編號為5000~5999),設備僅支持匹配ipv4、ipv6或any類型的ACL規則,不支持匹配其他類型的規則,且為自定義ACL配置的規則必須隻包含源IP地址。
引用ACL時,需要注意的是:
· 若引用的ACL不存在或者引用的ACL中沒有配置匹配規則,則認為所有網段用戶都符合要求,所有用戶都可以進行MAC地址認證。
· 若引用的ACL匹配規則中不存在源地址信息,則認為所有網段用戶都不符合要求,不允許任何用戶進行MAC地址認證。
· 在引用的ACL中,若某規則指定了vpn-instance參數,則該規則將不生效。
在開啟了MAC地址認證的端口上,不建議將本命令與mac-authentication guest-vlan或mac-authentication guest-vsi命令同時配置;否則,加入Guest VLAN或Guest VSI的用戶無法再次發起MAC地址認證,用戶會一直停留在Guest VLAN或Guest VSI中。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上配置MAC地址認證請求攜帶用戶IP地址功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication carry user-ip
# 在端口Ten-GigabitEthernet1/0/1上配置MAC地址認證請求攜帶用戶IP地址功能,並禁止攜帶IPv6鏈路本地地址的報文在此端口觸發認證。
<Sysname> system-view
[Sysname]acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000] rule deny source fe80:0::0:0 16
[Sysname-acl-ipv6-basic-2000] quit
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication carry user-ip exclude-ip acl 2000
【相關命令】
· mac-authentication
mac-authentication critical microsegment命令用來在端口上配置MAC地址認證的Critical微分段。
undo mac-authentication critical microsegment命令用來恢複缺省情況。
【命令】
mac-authentication critical microsegment microsegment-id [ vsi vsi-name ] [ url-user-logoff ]
undo mac-authentication critical microsegment
【缺省情況】
端口上未配置MAC地址認證的Critical微分段。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
MAC地址認證接入模板視圖
【缺省用戶角色】
network-admin
【參數】
microsegment-id:微分段ID,取值範圍為1~65535。
vsi vsi-name:VSI名稱,為1~31個字符的字符串,區分大小寫。此參數僅在VXLAN組網環境下使用,但是是否需要配置要根據具體組網情況而定。
url-user-logoff:強製當前端口上授權了重定向URL的MAC地址認證的所有用戶均下線。若不指定此參數,則端口上的授權了重定向URL的MAC地址認證用戶一直保持在線,直到MAC地址認證下線檢測功能發現其沒有流量時下線。
【使用指導】
配置此功能後,當用戶進行MAC地址認證時,若對應的ISP域下所有認證服務器都不可達,則端口上的MAC地址認證用戶會被加入Critical微分段中並授權Critical微分段ID。
通過本命令配置MAC地址認證的Critical微分段ID時,不同的端口可以指定不同的Critical微分段ID,也可以指定相同的Critical微分段ID;一個端口最多隻能指定一個微分段ID,並最多指定一個Critical VSI。
端口下配置的Critical微分段與MAC地址認證的Guest VLAN、Critical VLAN、Guest VSI、Critical VSI及Critical profile均互斥。
多次執行本命令,最後一次執行的配置生效。
對於接口上從某個VSI上接入的MAC地址認證用戶,本命令指定的VSI不會生效。
指定了url-user-logoff參數的情況下,至少滿足以下任一條件,才能強製當前端口上授權了重定向URL的MAC地址認證用戶下線:
· 設備探測到下發給用戶的重定向URL不可達,探測配置通過mac-authentication redirect-url命令指定。
· 配置了mac-authentication auth-server-unavailable escape命令,且設備檢測到RADIUS認證服務器不可達。
· 接口上添加了第一個Critical微分段用戶。
如果首次上線時RADIUS服務器或者Web認證服務器不可達,則端口上授權了重定向URL的MAC地址認證用戶下線後將不能加入Critical微分段,隻有再次上線認證時檢測到RADIUS服務器或者Web認證服務器仍不可達,用戶才會加入Critical微分段。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上配置MAC地址認證的Critical微分段ID為1,並指定VSI名稱為vpna。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical microsegment 1 vsi vpna
【相關命令】
· display mac-authentication
· mac-authentication guest vlan
· mac-authentication critical vlan
· mac-authentication critical vsi
mac-authentication critical profile命令用來指定MAC地址認證用戶使用的逃生策略模板。
undo mac-authentication critical profile命令用來恢複缺省情況。
【命令】
mac-authentication critical profile profile-name
undo mac-authentication critical profile
【缺省情況】
未指定MAC地址認證用戶使用的逃生策略模板。
【視圖】
二層以太網接口視圖
MAC地址認證接入模板視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:指定逃生模板的模板名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
端口上引用逃生策略模板後,在MAC地址認證用戶認證時,若對應的ISP域下所有認證服務器都不可達,此MAC地址認證用戶可以繼續訪問逃生策略模板中定義的相關資源。
端口上配置MAC地址認證用戶使用的逃生策略模板與配置MAC地址認證的Critical VLAN、Critical VSI互斥。
多次執行本命令,最後一次執行的配置生效。
【舉例】
# 指定端口Ten-GigabitEthernet1/0/1上的MAC地址認證用戶使用的逃生策略模板為abc。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical profile abc
【相關命令】
· aaa critical-profile
· display mac-authentication
· mac-authentication guest vlan
· mac-authentication critical microsegment
· mac-authentication critical vlan
· mac-authentication critical vsi
mac-authentication critical vlan命令用來配置端口的MAC地址認證的Critical VLAN。
undo mac-authentication critical vlan命令用來恢複缺省情況。
【命令】
mac-authentication critical vlan critical-vlan-id [ url-user-logoff ]
undo mac-authentication critical vlan
【缺省情況】
端口上未配置MAC地址認證的Critical VLAN。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
MAC地址認證接入模板視圖
【缺省用戶角色】
network-admin
【參數】
critical-vlan-id:端口上指定的Critical VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
url-user-logoff:強製當前端口上授權了重定向URL的MAC地址認證用戶下線。若不指定此參數,則端口上的授權了重定向URL的MAC地址認證用戶一直保持在線,直到MAC地址認證下線檢測功能發現其沒有流量時下線。
【使用指導】
配置此功能後,當MAC用戶認證時對應的ISP域下所有認證服務器都不可達的情況下被授權訪問Critical VLAN內的資源。
如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的MAC地址認證的Critical VLAN;同樣,如果某個VLAN被指定為某個端口的MAC地址認證的Critical VLAN,則該VLAN不能被指定為Super VLAN。
端口下配置MAC地址認證的Critical VLAN與配置MAC地址認證的Guest VSI、Critical VSI、Critical微分段及Critical profile互斥。禁止刪除已被配置為Critical VLAN的VLAN,若要刪除該VLAN,請先通過undo mac-authentication critical vlan命令取消MAC地址認證的Critical VLAN配置。
指定了url-user-logoff參數的情況下,至少滿足以下任一條件,才能強製當前端口上授權了重定向URL的MAC地址認證用戶下線:
· 設備探測到下發給用戶的重定向URL不可達,探測配置通過mac-authentication redirect-url命令指定。
· 配置了mac-authentication auth-server-unavailable escape命令,且設備檢測到RADIUS認證服務器不可達。
· 接口上添加了第一個Critical VLAN用戶。
如果首次上線時RADIUS服務器或者Web認證服務器不可達,則端口上授權了重定向URL的MAC地址認證用戶下線後將不能加入Critical VLAN,隻有再次上線認證時檢測到RADIUS服務器或者Web認證服務器仍不可達,用戶才會加入Critical VLAN。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1的Critical VLAN為VLAN 100。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical vlan 100
【相關命令】
· display mac-authentication
· mac-authentication critical microsegment
· reset mac-authentication critical vlan
mac-authentication critical vsi命令用來在端口上配置MAC地址認證的Critical VSI。
undo mac-authentication critical vsi命令用來恢複缺省情況。
【命令】
mac-authentication critical vsi critical-vsi-name [ url-user-logoff ]
undo mac-authentication critical vsi
【缺省情況】
端口上未配置MAC地址認證的Critical VSI。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
MAC地址認證接入模板視圖
【缺省用戶角色】
network-admin
【參數】
critical-vsi-name:端口上指定的Critical VSI名稱,為1~31個字符的字符串,區分大小寫。
url-user-logoff:強製當前端口上授權了重定向URL的MAC地址認證用戶下線。若不指定此參數,則端口上的授權了重定向URL的MAC地址認證用戶一直保持在線,直到MAC地址認證下線檢測功能發現其沒有流量時下線。
【使用指導】
配置此功能後,當用戶進行MAC認證時,若對應的ISP域下所有認證服務器都不可達,則用戶會被加入Critical VSI對應的VXLAN中。
不同的端口可以指定不同的MAC地址認證Critical VSI,一個端口最多隻能指定一個MAC地址認證Critical VSI。
端口下配置MAC地址認證的Critical VSI與配置MAC地址認證的Guest VLAN、Critical VLAN、Critical微分段及Critical profile互斥。
指定了url-user-logoff參數的情況下,至少滿足以下任一條件,才能強製當前端口上授權了重定向URL的MAC地址認證用戶下線:
· 設備探測到下發給用戶的重定向URL不可達,探測配置通過mac-authentication redirect-url命令指定。
· 配置了mac-authentication auth-server-unavailable escape命令,且設備檢測到RADIUS認證服務器不可達。
· 接口上添加了第一個Critical VSI用戶。
如果首次上線時RADIUS服務器或者Web認證服務器不可達,則端口上授權了重定向URL的MAC地址認證用戶下線後將不能加入Critical VSI,隻有再次上線認證時檢測到RADIUS服務器或者Web認證服務器仍不可達,用戶才會加入Critical VSI。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1上MAC地址認證的Critical VSI名稱為vpna。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical vsi vpna
【相關命令】
· display mac-authentication
· mac-authentication critical microsegment
· reset mac-authentication critical vsi
mac-authentication critical-voice-vlan命令用來開啟端口上MAC地址認證的Critical Voice VLAN功能。
undo mac-authentication critical-voice-vlan命令用來關閉端口上MAC地址認證的Critical Voice VLAN功能。
【命令】
mac-authentication critical-voice-vlan
undo mac-authentication critical-voice-vlan
【缺省情況】
端口下MAC地址認證的Critical Voice VLAN功能處於關閉狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
端口上開啟MAC地址認證Critical Voice VLAN功能後,當語音用戶進行MAC地址認證采用的ISP域中的所有認證服務器都不可達時,端口將被加入到此端口上的Voice VLAN中。端口上語音VLAN的配置命令請參見“二層技術-以太網交換命令參考”中的“VLAN”。
設備通過LLDP(Link Layer Discovery Protocol,鏈路層發現協議)來判斷用戶是否為語音用戶,因此為保證MAC地址認證Critical Voice VLAN功能可以正常工作,請在開啟此功能之前務必確保全局和相應端口下均已開啟LLDP功能。有關LLDP功能的配置命令介紹請參見“二層技術-以太網交換命令參考”中的“LLDP”。
開啟MAC地址認證Critical Voice VLAN功能前,請保證該端口上已經配置了MAC地址認證Critical VLAN。若端口上的語音用戶在認證時所有認證服務器都不可達,且端口暫未將其識別為語音用戶,則可以將其先加入Critical VLAN。
【舉例】
# 開啟端口Ten-GigabitEthernet1/0/1上MAC地址認證Critical Voice VLAN功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical-voice-vlan
【相關命令】
· display mac-authentication
· lldp enable(二層技術-以太網交換命令參考/LLDP)
· lldp global enable(二層技術-以太網交換命令參考/LLDP)
· reset mac-authentication critical-voice-vlan
· voice-vlan enable(二層技術-以太網交換命令參考/VLAN)
mac-authentication domain命令用來指定MAC地址認證用戶使用的認證域。
undo mac-authentication domain命令用來恢複缺省情況。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情況】
未指定MAC地址認證用戶使用的認證域時,使用係統缺省的認證域。缺省認證域的介紹請參見“安全命令參考/AAA”中的命令domain default enable。
【視圖】
係統視圖
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:ISP域名,為1~255個字符的字符串,不區分大小寫。
【使用指導】
不同視圖下指定的認證域的生效範圍不同:
· 係統視圖下指定的認證域對所有開啟了MAC地址認證的端口生效。
· 二層以太網接口視圖或二層聚合接口視圖下指定的認證域僅對本端口有效。不同的端口可以指定不同的認證域。
端口上接入的MAC地址認證用戶將按照如下先後順序選擇認證域:端口上指定的認證域 > 係統視圖下指定的認證域 > 係統缺省的認證域。
【舉例】
# 在係統視圖下指定MAC地址認證用戶使用的認證域為domain1。
<Sysname> system-view
[Sysname] mac-authentication domain domain1
# 指定端口Ten-GigabitEthernet1/0/1上接入的MAC地址認證用戶使用的認證域為aabbcc。
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication domain aabbcc
【相關命令】
· display mac-authentication
· domain default enable(安全命令參考/AAA)
mac-authentication guest-vlan命令用來配置端口的MAC地址認證的Guest VLAN。
undo mac-authentication guest-vlan命令用來恢複缺省情況。
【命令】
mac-authentication guest-vlan guest-vlan-id
undo mac-authentication guest-vlan
【缺省情況】
端口上未配置MAC地址認證的Guest VLAN。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
MAC地址認證接入模板視圖
【缺省用戶角色】
network-admin
【參數】
guest-vlan-id:端口上指定的Guest VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
【使用指導】
配置此功能後,當MAC地址認證失敗的情況下,用戶可以繼續被授權訪問的Guest VLAN內的資源。
如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的MAC地址認證的Guest VLAN;同樣,如果某個VLAN被指定為某個端口的MAC地址認證的Guest VLAN,則該VLAN不能被指定為Super VLAN。
端口下配置MAC地址認證的Guest VLAN與配置MAC地址認證的Guest VSI、Critical VSI、Critical微分段互斥。
禁止刪除已被配置為Guest VLAN的VLAN,若要刪除該VLAN,請先通過undo mac-authentication guest-vlan命令取消MAC地址認證的Guest VLAN配置。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1的Guest VLAN為VLAN 100。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan 100
【相關命令】
· display mac-authentication
· mac-authentication critical microsegment
· reset mac-authentication guest-vlan
mac-authentication guest-vlan auth-period命令用來配置設備對Guest VLAN中的用戶進行重新認證的時間間隔。
undo mac-authentication guest-vlan auth-period命令用來恢複缺省情況。
【命令】
mac-authentication guest-vlan auth-period period-value
undo mac-authentication guest-vlan auth-period
【缺省情況】
設備對Guest VLAN中的用戶進行重新認證的時間間隔為30秒。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
MAC地址認證接入模板視圖
【缺省用戶角色】
network-admin
【參數】
period-value:表示設備重新發起認證的時間間隔,取值範圍為1~3600,單位為秒。
【使用指導】
隻有通過mac-authentication guest-vlan re-authenticate命令開啟了Guest VLAN中用戶的重新認證功能,通過本命令設置的重新認證時間間隔才生效。
當端口上同時進行認證的用戶數大於300時,建議將重新認證時間設置為30秒以上。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上配置設備對Guest VLAN中的用戶進行重新認證的時間間隔為150秒。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan auth-period 150
【相關命令】
· display mac-authentication
· mac-authentication guest-vlan
· mac-authentication guest-vlan re-authenticate
mac-authentication guest-vlan re-authenticate命令用來開啟Guest VLAN中用戶的重新認證功能。
undo mac-authentication guest-vlan re-authenticate命令用來關閉Guest VLAN中用戶的重新認證功能。
【命令】
mac-authentication guest-vlan re-authenticate
undo mac-authentication guest-vlan re-authenticate
【缺省情況】
Guest VLAN中用戶的重新認證功能處於開啟狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
用戶認證失敗後會加入到Guest VLAN。當開啟Guest VLAN中用戶的重新認證功能後,設備會按照mac-authentication guest-vlan auth-period命令配置的時間間隔對Guest VLAN中的用戶定期進行重新認證。若Guest VLAN中的用戶重新認證失敗,設備會打印日誌信息。認證失敗用戶較多時,會導致日誌信息過多。
關閉Guest VLAN中用戶的重新認證功能後,加入到Guest VLAN中的用戶不會重新發起認證。如果開啟了非認證成功VLAN的用戶老化功能(通過命令mac-authentication unauthenticated-user aging enable),則用戶可以按照mac-authentication timer user-aging guest-vlan aging-time-value命令配置的老化時間進行老化並退出Guest VLAN,並在需要訪問網絡時重新發起認證。
可通過執行undo mac-authentication guest-vlan re-authenticate命令關閉Guest VLAN中用戶的重新認證功能,並根據業務需求調整Guest VLAN用戶的老化時間。
【舉例】
# 開啟接口Ten-GigabitEthernet1/0/1上Guest VLAN內用戶的重新認證功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan re-authenticate
【相關命令】
· display mac-authentication
· mac-authentication guest-vlan
· mac-authentication guest-vlan auth-period
· mac-authentication timer
mac-authentication guest-vsi命令用來配置端口的MAC地址認證的Guest VSI。
undo mac-authentication guest-vsi命令用來恢複缺省情況。
【命令】
mac-authentication guest-vsi guest-vsi-name
undo mac-authentication guest-vsi
【缺省情況】
端口上未配置MAC地址認證的Guest VSI。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
MAC地址認證接入模板視圖
【缺省用戶角色】
network-admin
【參數】
guest-vsi-name:端口上指定的Guest VSI名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
配置此功能後,端口上MAC地址認證失敗的用戶會被加入到MAC地址認證的Guest VSI對應的VXLAN。
不同的端口可以配置不同的MAC認證的Guest VSI,但一個端口最多隻能配置一個MAC認證的Guest VSI。
端口下配置MAC地址認證的Guest VSI與配置MAC地址認證的Guest VLAN、Critical VLAN、Critical微分段互斥。
Guest VSI名稱的取值不能與關鍵字auth-period和re-authenticate從起始字母開始重疊(例如不能為a、auth、r或re等),否則無法配置成功,反而會觸發mac-authentication guest-vsi auth-period和mac-authentication guest-vsi re-authenticate配置。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1的Guest VSI名稱為vpna。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vsi vpna
【相關命令】
· display mac-authentication
· mac-authentication critical microsegment
· reset mac-authentication guest-vsi
mac-authentication guest-vsi auth-period命令用來配置設備對Guest VSI中的用戶進行重新認證的時間間隔。
undo mac-authentication guest-vsi auth-period命令用來恢複缺省情況。
【命令】
mac-authentication guest-vsi auth-period period-value
undo mac-authentication guest-vsi auth-period
【缺省情況】
設備對Guest VSI中的用戶進行重新認證的時間間隔為30秒。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
MAC地址認證接入模板視圖
【缺省用戶角色】
network-admin
【參數】
period-value:表示設備重新發起認證的時間間隔,取值範圍為1~3600,單位為秒。
【使用指導】
隻有通過mac-authentication guest-vsi re-authenticate命令開啟了Guest VSI中用戶的重新認證功能,通過本命令設置的重新認證時間間隔才生效。
當端口上同時進行認證的用戶數大於300時,建議將重新認證時間設置為30秒以上。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上配置設備對Guest VSI中的用戶進行重新認證的時間間隔為150秒。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vsi auth-period 150
【相關命令】
· display mac-authentication
· mac-authentication guest-vsi
· mac-authentication guest-vsi re-authenticate
mac-authentication guest-vsi re-authenticate命令用來開啟Guest VSI中用戶的重新認證功能。
undo mac-authentication guest-vsi re-authenticate命令用來關閉Guest VSI中用戶的重新認證功能。
【命令】
mac-authentication guest-vsi re-authenticate
undo mac-authentication guest-vsi re-authenticate
【缺省情況】
Guest VSI中用戶的重新認證功能處於開啟狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
用戶認證失敗後會加入到Guest VSI。當開啟Guest VSI中用戶的重新認證功能後,設備會按照mac-authentication guest-vsi auth-period命令配置的時間間隔對Guest VSI中的用戶定期進行重新認證。若Guest VSI中的用戶重新認證失敗,設備會打印日誌信息。認證失敗用戶較多時,會導致日誌信息過多。
關閉Guest VSI中用戶的重新認證功能後,加入到Guest VSI中的用戶不會重新發起認證。如果開啟了非認證成功VSI的用戶老化功能(通過命令mac-authentication unauthenticated-user aging enable),則用戶可以按照mac-authentication timer user-aging guest-vsi aging-time-value命令配置的老化時間進行老化並退出Guest VSI,並在需要訪問網絡時重新發起認證。
可通過執行undo mac-authentication guest-vsi re-authenticate命令關閉Guest VSI中用戶的重新認證功能,並根據業務需求調整Guest VSI用戶的老化時間。
【舉例】
# 開啟接口Ten-GigabitEthernet1/0/1上Guest VSI內用戶的重新認證功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vsi re-authenticate
【相關命令】
· display mac-authentication
· mac-authentication guest-vsi
· mac-authentication guest-vsi auth-period
· mac-authentication timer
mac-authentication host-mode multi-vlan命令用來指定端口工作在MAC地址認證的多VLAN 模式。
undo mac-authentication host-mode命令用來恢複缺省情況。
【命令】
mac-authentication host-mode multi-vlan
undo mac-authentication host-mode
【缺省情況】
端口工作在MAC地址認證的單VLAN 模式。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
端口工作在不同VLAN模式時,如果相同MAC地址的用戶在同一端口下的不同VLAN(指不同於上一次發起認證時所在的VLAN)再次接入,設備對用戶的處理方式如下:
· 端口工作在多VLAN模式下時,設備將能夠允許用戶的流量在新的VLAN內通過,且允許該用戶的報文無需重新認證而在多個VLAN中轉發。
· 端口工作在單VLAN模式下時,在用戶已上線,且沒有被下發授權VLAN情況下,設備將讓原用戶下線,使得該用戶能夠在新的VLAN內重新開始認證。
· 端口工作在單VLAN模式下時,如果已上線用戶被下發了授權VLAN,對用戶的處理與是否允許用戶遷移到同一端口下其它VLAN接入(通過port-security mac-move permit命令)有關:
¡ 如果不允許用戶遷移到同一端口下其它VLAN接入,則此用戶在同一端口下的不同VLAN接入失敗,原用戶保持在線。
¡ 如果允許用戶遷移到同一端口下其它VLAN接入,則用戶在新的VLAN內需要重新認證,且在用戶重新上線後,原用戶下線。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1工作在MAC地址認證的多VLAN模式。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication host-mode multi-vlan
【相關命令】
· display mac-authentication
· port-security mac-move permit(安全命令參考/端口安全)
mac-authentication mac-range-account命令用來配置對指定MAC地址範圍的MAC地址認證用戶設置用戶名和密碼。
undo mac-authentication mac-range-account命令用來恢複缺省情況。
【命令】
mac-authentication mac-range-account mac-address mac-address mask { mask | mask-length } account name password { cipher | simple } string
undo mac-authentication mac-range-account { all | mac-address mac-address }
【缺省情況】
未對指定MAC地址範圍的MAC地址認證用戶設置用戶名和密碼,MAC地址認證用戶采用mac-authentication user-name-format命令設置的用戶名和密碼接入設備。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
mac-address mac-address:指定的MAC地址,格式為H-H-H。
mask mask:表示MAC地址的掩碼。格式為H-H-H,該掩碼轉為二進製時,高位必須為連續的1。
mask mask-length:MAC地址掩碼長度,即掩碼中連續“1”的數量,取值範圍為1~48。
account name:指定發送給RADIUS服務器進行認證或者在本地進行認證的用戶名。其中name為用戶名,為1~55個字符的字符串,區分大小寫,不能包括字符@。
password:指定用戶的密碼。
cipher:以密文方式設置密碼。
simple:以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~63個字符的字符串,密文密碼為1~117個字符的字符串。
all:表示刪除所有指定的MAC地址範圍。
【使用指導】
如果需要對特定MAC地址範圍的用戶單獨設置用戶名和密碼(例如對指定OUI的MAC地址單獨設置用戶名和密碼)時,可以執行本命令。本命令的優先級高於mac-authentication user-name-format命令。
可通過多次執行本命令來配置多個MAC地址段的用戶名和密碼,但不允許指定的MAC地址重疊。如果新配置命令的MAC地址範圍與已有的MAC地址範圍完全相同,則後配置的命令會覆蓋已有的命令。
本命令僅對單播MAC地址範圍有效。若配置的MAC地址範圍僅包含組播地址,則配置失敗;若既包含組播地址,也包含單播地址,則僅單播地址範圍部分有效,組播地址範圍部分無效。其中,全零MAC地址也不屬於有效MAC地址,一個全零的MAC地址用戶不能通過MAC地址認證。
設備最多允許配置16個MAC地址範圍。
【舉例】
# 配置以aaaa開頭的MAC地址,進行MAC地址認證時使用的用戶名為user1,明文密碼為1234。
<Sysname> system-view
[Sysname] mac-authentication mac-range-account mac-address aaaa-0000-0000 mask ffff-0000-0000 account user1 password simple 1234
【相關命令】
· display mac-authentication
· mac-authentication user-name-format
mac-authentication max-user命令用來配置端口上最多允許同時接入的MAC地址認證用戶數。undo mac-authentication max-user命令用來恢複缺省情況。
【命令】
mac-authentication max-user [ preauth-domain | auth-fail-domain ] max-number
undo mac-authentication max-user [ preauth-domain | auth-fail-domain ]
【缺省情況】
端口上最多允許同時接入的MAC地址認證用戶數為4294967295。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
preauth-domain:配置端口允許同時加入前域的MAC地址認證用戶數的最大值。
auth-fail-domain:配置端口允許同時加入失敗域的MAC地址認證用戶數的最大值。
max-number:端口允許同時接入的MAC地址認證用戶數的最大值,取值範圍為1~4294967295。
【使用指導】
如果未指定preauth-domain和auth-fail-domain參數,則表示端口允許接入的所有類型(包括前域、失敗域、逃生域內以及認證成功上線的MAC地址認證用戶)MAC地址認證用戶數的最大值。
由於係統資源有限,如果當前端口上接入的用戶過多,接入用戶之間會發生資源的爭用,因此適當地配置該值可以使屬於當前端口的用戶獲得可靠的性能保障。當接入此端口的MAC地址認證用戶數超過最大值後,新接入的用戶將被拒絕。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1最多允許同時接入32個MAC地址認證用戶。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication max-user 32
【相關命令】
· display mac-authentication
mac-authentication offline-detect enable命令用來開啟端口的MAC地址認證下線檢測功能。
undo mac-authentication offline-detect enable命令用來關閉端口的MAC地址認證下線檢測功能。
【命令】
mac-authentication offline-detect enable
undo mac-authentication offline-detect enable
【缺省情況】
端口的MAC地址認證下線檢測功能處於開啟狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
本功能對正式用戶(前域/認證域/逃生域/失敗域用戶)以及操作用戶(Guest VLAN/VSI、Critical VLAN/VSI/微分段用戶)均生效。
開啟端口的MAC地址認證下線檢測功能後,請勿配置動態MAC地址表項的老化時間(通過mac-address timer aging seconds命令配置)超過MAC地址認證下線檢測定時器的默認值300秒。
開啟端口的MAC地址認證下線檢測功能後,若設備在一個下線檢測定時器間隔之內,未收到此端口下某在線用戶的報文,則將切斷該用戶的連接,同時通知RADIUS服務器停止對此用戶進行計費。
關閉端口的MAC地址認證下線檢測功能後,設備將不會對在線用戶的狀態進行檢測。
對於操作用戶,下線檢測功能和固定老化功能(通過mac-authentication unauthenticated-user aging enable命令開啟)可以同時生效。開啟下線檢測功能和固定老化功能後,下線檢測結果為用戶不在線或到達固定老化時間時都會踢用戶下線。
【舉例】
# 關閉端口Ten-GigabitEthernet1/0/1上的MAC地址認證下線檢測功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] undo mac-authentication offline-detect enable
【相關命令】
· mac-authentication timer
mac-authentication offline-detect mac-address命令用來配置指定MAC地址用戶的下線檢測功能。
undo mac-authentication offline-detect mac-address命令用來恢複缺省情況。
【命令】
mac-authentication offline-detect mac-address mac-address { ignore | timer offline-detect-value [ check-arp-or-nd-snooping ] }
undo mac-authentication offline-detect mac-address mac-address
【缺省情況】
由端口的下線檢測開關控製是否進行下線檢測,且使用全局下線檢測定時器作為檢測周期。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
mac-address:指定的MAC地址,格式為H-H-H,取值不能為全0、全F(廣播MAC)和組播MAC。
ignore:表示不對指定MAC地址用戶進行下線檢測。
timer offline-detect-value:表示設置下線檢測定時器。其中,offline-detect-value表示下線檢測定時器的值,取值範圍為60~2147483647,單位為秒。
check-arp-or-nd-snooping:表示檢查是否存在該MAC地址對應的ARP Snooping表項或ND Snooping表項。
【使用指導】
端口上開啟了MAC地址認證的下線檢測功能後,如需對某些用戶的檢查參數進行單獨設置,或者不對某些用戶進行下線檢測,則可通過執行本命令實現。
設置下線檢測定時器後,設備在一個下線檢測周期之內檢測到如下情況時,會切斷指定用戶的連接,同時通知RADIUS服務器停止對此用戶進行計費:
· 對指定MAC地址用戶設置下線檢測定時器且不指定check-arp-or-nd-snooping參數時,設備在一個下線檢測周期之內,未收到該在線用戶的報文;
· 對指定MAC地址用戶設置下線檢測定時器且指定check-arp-or-nd-snooping參數時,設備會檢查在一個下線檢測周期之內,是否存在該MAC地址對應的ARP Snooping或ND Snooping表項,若不存在則檢查是否收到該在線用戶的報文,若未收到則切斷該用戶的連接,同時通知RADIUS服務器停止對此用戶進行計費。
如果關閉端口的MAC地址認證下線檢測功能(通過undo mac-authentication offline-detect enable命令),則不會對端口上的MAC地址認證用戶進行下線檢測,且本命令不生效。
通過ignore參數關閉用戶下線檢測的功能應用於啞終端的認證,避免啞終端用戶因為MAC地址認證的下線檢測功能開啟導致啞終端下線後不能再次上線的問題,保證啞終端用戶長期在線。
本命令對在線用戶立即生效。
用戶進行下線檢測設置的優先級由高到低依次為:設備配置的指定MAC地址用戶的下線檢測設置、RADIUS服務器下發的下線檢測設置、端口上的下線檢測設置。其中,RADIUS服務器通過RADIUS屬性為用戶下發下線檢測時間、是否檢查ARP Snooping或ND Snooping表項,或是否進行下線檢測。
【舉例】
# 配置對MAC地址為000a-eb29-7511的MAC地址認證用戶不進行下線檢測。
<Sysname> system-view
[Sysname] mac-authentication offline-detect mac-address 000a-eb29-7511 ignore
# 配置對MAC地址為000a-eb29-7511的MAC地址認證用戶進行下線檢測時間為24小時。
<Sysname> system-view
[Sysname] mac-authentication offline-detect mac-address 000a-eb29-7511 timer 86400
【相關命令】
· display mac-authentication connection
· mac-authentication offline-detect enable
· mac-authentication timer (system view)
mac-authentication packet-detect enable命令用來開啟MAC地址認證報文探測功能。
undo mac-authentication packet-detect enable命令用來恢複缺省情況。
【命令】
mac-authentication packet-detect enable
undo mac-authentication packet-detect enable
【缺省情況】
未開啟MAC地址認證的報文探測功能。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
MAC地址認證接入模板視圖
【缺省用戶角色】
network-admin
【使用指導】
本功能對正式用戶(前域/認證域/逃生域/失敗域用戶)以及操作用戶(Guest VLAN/VSI、Critical VLAN/VSI/微分段用戶)均生效。
開啟MAC地址認證報文探測功能後,設備會每隔一個MAC地址認證下線檢測定時器間隔(通過mac-authentication timer offline-detect命令設置)向端口的MAC地址認證在線用戶發送探測報文,在發送次數達到本命令配置的最大值時,若下線檢測定時器間隔內仍未收到該MAC地址認證用戶的回應報文,則認為MAC地址認證報文探測超時將該用戶下線,同時通知RADIUS服務器停止對此用戶進行計費。
MAC地址認證報文探測功能與MAC地址認證下線檢測功能同時開啟時,如果MAC地址認證下線檢測結果為用戶在線,則不會再向其發送探測報文;如果MAC地址認證下線檢測結果是用戶下線,則不會立即下線用戶,設備仍會向客戶端發送探測報文,且會等到MAC地址認證報文探測超時後再下線用戶。
MAC地址認證IPv4用戶的探測報文是ARP請求報文,MAC地址認證IPv6用戶的探測報文是NS報文。
開啟本功能後,當MAC地址認證在線用戶的IP地址變化時,如果設備上未使能ARP Snooping和ND Snooping功能,則設備感知不到用戶IP地址變化,依舊會向原IP發送探測報文,最終導致報文探測超時而誤下線用戶。因此開啟本功能時,需要在設備上同時使能ARP Snooping和ND Snooping功能,確保設備能感知到用戶IP地址的變化情況。
對於操作用戶,報文探測功能和固定老化功能(通過mac-authentication unauthenticated-user aging enable命令開啟)可以同時生效。開啟報文探測功能和固定老化功能後,報文探測結果為用戶不在線或到達固定老化時間時都會踢用戶下線。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上開啟MAC地址認證報文探測功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication packet-detect enable
【相關命令】
· mac-authentication timer offline-detect
· port-security packet-detect arp-source-ip factor
· mac-authentication packet-detect retry
mac-authentication packet-detect retry命令用來配置MAC地址認證報文探測的最大次數。
undo mac-authentication packet-detect retry命令用來恢複缺省情況。
【命令】
mac-authentication packet-detect retry retries
undo mac-authentication packet-detect retry
【缺省情況】
MAC地址認證的報文探測次數為2。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
MAC地址認證接入模板視圖
【缺省用戶角色】
network-admin
【參數】
retries:MAC地址認證報文探測的最大次數,取值範圍為1~10。
【使用指導】
開啟MAC地址認證報文探測功能後,設備會每隔一個MAC地址認證下線檢測定時器間隔向端口的MAC地址認證在線用戶發送探測報文,在發送次數達到本命令配置的最大值時,若下線檢測定時器間隔內仍未收到該MAC地址認證用戶的回應報文,則認為MAC地址認證報文探測超時將該用戶下線,同時通知RADIUS服務器停止對此用戶進行計費。
MAC地址認證用戶上線後如果沒有獲取到用戶的IP地址信息,MAC地址認證用戶探測次數會在原有配置次數的基礎上增加10次探測,避免來不及獲取用戶IP地址信息導致探測失敗用戶下線。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1上MAC地址認證報文探測的最大次數為8。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication packet-detect retry 8
【相關命令】
· mac-authentication packet-detect enable
mac-authentication recover-user命令用來手動恢複MAC地址認證用戶。
【命令】
mac-authentication recover-user profile profile-name [ interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
profile profile-name:user-recovery Profile名稱,為1~31個字符的字符串,不區分大小寫。
interface interface-type interface-number:指定MAC地址認證用戶所在的端口。interface-type interface-number為端口類型和端口編號。若不指定該參數,則表示恢複所有端口上的MAC地址認證用戶。
【使用指導】
設備或接口板重啟、接口故障原因導致設備上MAC認證用戶下線後,如果因鏈路震蕩等原因使得設備自動恢複MAC地址認證用戶並不完全時,管理員可以執行本命令從指定的RESTful服務器上獲取待恢複的在線用戶信息,並為這些用戶重新認證。
【舉例】
# 使用名稱為profile1的user-recovery Profile手動恢複MAC地址認證用戶。
<Sysname> mac-authentication recover-user profile profile1
【相關命令】
· mac-authentication auto-recover-user
· mac-authentication user-recovery-profile
mac-authentication parallel-with-dot1x命令用來配置端口MAC地址認證和802.1X認證並行處理功能。
undo mac-authentication parallel-with-dot1x命令用來恢複缺省情況。
【命令】
mac-authentication parallel-with-dot1x
undo mac-authentication parallel-with-dot1x
【缺省情況】
端口在收到源MAC地址未知的報文觸發認證時,按照802.1X認證完成後再進行MAC地址認證的順序進行處理。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
端口采用802.1X和MAC地址組合認證功能適用於如下情況:
· 端口上同時開啟了802.1X和MAC地址認證功能,並配置了802.1X認證的端口的接入控製方式為macbased。
· 開啟了端口安全功能,並配置了端口安全模式為userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具體配置請參見“安全命令參考”中的“端口安全”。
在端口采用802.1X認證和MAC地址組合認證的情況下,如果想要在端口加入到802.1X Guest VLAN或Guest VSI之前進行MAC地址認證並下發授權VLAN或授權VSI,請通過本命令開啟端口MAC地址認證和802.1X認證並行處理功能,並配置端口延遲加入802.1X Guest VLAN或端口延遲加入802.1X Guest VSI功能。關於端口延遲加入802.1X Guest VLAN和端口延遲加入802.1X Guest VSI配置命令的詳細介紹,請參見“安全命令參考”中的“802.1X”。
開啟了MAC地址認證和802.1X認證並行處理功能後,不建議配置端口的MAC地址認證延遲功能。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上開啟MAC地址認證和802.1X認證並行處理功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication parallel-with-dot1x
mac-authentication redirect-url命令用來配置需要探測狀態的Web服務器的重定向URL。
undo mac-authentication redirect-url命令用來取消重定向URL與Track項的關聯狀態。
【命令】
mac-authentication redirect-url url-string track track-entry-number
undo mac-authentication redirect-url url-string
【缺省情況】
未配置需要探測狀態的Web服務器的重定向URL。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
url-string:RADIUS服務器下發的重定向URL地址,為1~255個字符的字符串,區分大小寫。URL必須以http://或者https://開頭。URL地址可以包括“?”字符,在命令行接口輸入<?>無法獲得本參數的在線幫助。
track track-entry-number:指定重定向URL關聯的Track項。track-entry-number表示Track項的序號,取值範圍為1~1024。
【使用指導】
缺省情況下,MAC地址認證通過後,RADIUS服務器下發的重定向URL指定的Web服務器狀態一直為active,設備並不能感知到Web服務器的真實狀態。通過對重定向URL關聯Track項,MAC地址認證模塊能夠根據Track項的狀態及時確定Web服務器的可達性,以便在Web服務器不可達時,讓授權了重定向URL的MAC地址認證用戶快速下線。
建議將被關聯的Track項與HTTP類型的NQA測試組聯動,由NQA測試組來判斷Web重定向服務器的連通性及性能。有關Track項的詳細介紹,請參見“可靠性配置指導”中的“Track”。有關NQA的詳細介紹,請參見“網絡管理和監控配置指導”中的“NQA”。
一個URL隻能關聯一個Track項,新配置將覆蓋已有配置。
【舉例】
#配置需要探測狀態的Web服務器的重定向URL為https://192.168.1.1:80/portal/。
<Sysname> system-view
[Sysname] mac-authentication redirect-url https://192.168.1.1:80/portal/ track 1
【相關命令】
· nqa schedule(網絡管理和監控命令參考/NQA)
· track nqa(可靠性命令參考/Track)
mac-authentication re-authenticate命令用來開啟MAC地址周期性重認證功能。
undo mac-authentication re-authenticate命令用來關閉MAC地址周期性重認證功能。
【命令】
mac-authentication re-authenticate
undo mac-authentication re-authenticate
【缺省情況】
MAC地址周期性重認證功能處於關閉狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
端口開啟了MAC地址認證用戶的周期性重認證功能後,設備會周期性對該端口上的MAC地址認證在線用戶進行重認證,以檢測用戶連接狀態的變化,更新服務器下發的授權屬性(例如ACL、VLAN等)。
如果同時配置了重認證功能和當RADIUS服務器變為可達後,設備向RADIUS服務器同步MAC地址認證在線用戶信息的功能,則當重認證定時器超時時,設備不會對用戶進行重認證,而是對用戶進行同步操作。
如果設備配置了周期性重認證功能,當重認證定時器超時時,設備不會對在線用戶發起重認證,而是對用戶進行同步操作。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上開啟MAC地址重認證功能,並配置周期性重認證時間間隔為1800秒。
<Sysname> system-view
[Sysname] mac-authentication timer reauth-period 1800
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication re-authenticate
【相關命令】
· display mac-authentication
· mac-authentication server-recovery online-user-sync
· mac-authentication timer
mac-authentication re-authenticate server-unreachable keep-online命令用來配置重認證服務器不可達時端口上的MAC地址認證用戶保持在線狀態。
undo mac-authentication re-authenticate server-unreachable命令用來恢複缺省情況。
【命令】
mac-authentication re-authenticate server-unreachable keep-online
undo mac-authentication re-authenticate server-unreachable
【缺省情況】
端口上的MAC地址認證在線用戶重認證時,若認證服務器不可達,則會被強製下線。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
配置此命令後,在對MAC地址認證用戶重認證過程中,若設備發現認證服務器狀態不可達,則保持MAC地址認證用戶在線。
是否對MAC地址認證在線用戶進行周期性重認證由認證服務器授權的屬性所決定。認證服務器通過下發RADIUS屬性(session-timeout、Terminal-Action)來指定用戶會話超時時長以及會話中止的動作類型,它們共同決定了如何對用戶進行重認證。
· 當會話中止的動作類型為要求用戶進行重認證時,端口會在用戶會話超時時長到達後對該用戶進行重認證;
· 當會話中止的動作類型為要求用戶下線時,端口會在用戶會話超時時長到達強製該用戶下線;
· 當認證服務器未下發用戶會話超時時長時,設備不會對用戶進行重認證。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1上的MAC地址認證在線用戶進行重認證時,若服務器不可達,則保持在線狀態。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication re-authenticate server-unreachable keep-online
【相關命令】
· display mac-authentication
mac-authentication server-recovery online-user-sync命令用來開啟RADIUS服務器變為可達後的MAC地址認證在線用戶信息同步功能。
undo mac-authentication server-recovery online-user-sync命令用來關閉MAC地址認證在線用戶信息同步功能。
【命令】
mac-authentication server-recovery online-user-sync
undo mac-authentication server-recovery online-user-sync
【缺省情況】
MAC地址認證在線用戶信息同步功能處於關閉狀態,即當RADIUS服務器從不可達狀態恢複為可達後,設備不向RADIUS服務器同步MAC地址認證的在線用戶信息。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
設備向RADIUS服務器同步MAC地址認證在線用戶信息功能隻能與iMC服務器配合使用。
開啟本功能後,當通過RADIUS服務器探測功能(具體配置步驟請參見“安全配置指導”中的“AAA”)探測到服務器由不可達變為可達後,設備便主動對端口上的所有在線用戶依次向服務器發起認證請求,等到這些用戶均通過認證後,達到服務器上的在線用戶信息與該端口上的在線用戶信息一致的目的。
在設備向RADIUS服務器同步MAC地址認證在線用戶過程中,特殊情況處理如下:
· 如果在RADIUS服務器可達情況下,某用戶認證失敗,則設備強製該用戶下線。
· 如果在設備發起下一次RADIUS服務器探測前,RADIUS服務器變為不可達而導致用戶認證失敗,則用戶仍然保持在線。
· 如果有新用戶發起認證,則該認證用戶的信息不會向RADIUS服務器進行同步。
當RADIUS服務器從不可達變為可達時,處於Critical VLAN或Critical VSI中的用戶也會再次發起認證,在設備上MAC地址認證在線用戶較多的情況下,如果配置了本功能,會因為同時進行認證的用戶數量較大,而導致用戶的上線時間變長。
本功能需要與RADIUS服務器探測功能配合使用。
【舉例】
# 配置設備向RADIUS服務器同步Ten-GigabitEthernet1/0/1端口下的MAC地址認證在線用戶信息。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication server-recovery online-user-sync
【相關命令】
· display mac-authentication
· radius-server test-profile(安全命令參考/AAA)
· timer quiet (RADIUS scheme view)(安全命令參考/AAA)
mac-authentication timer命令用來配置端口上的MAC地址認證的定時器參數。
undo mac-authentication timer命令用來將端口上指定的MAC地址認證定時器恢複為缺省情況。
【命令】
mac-authentication timer { auth-delay auth-delay-time | reauth-period reauth-period-value }
undo mac-authentication timer { auth-delay | reauth-period }
【缺省情況】
端口上未配置MAC地址認證延遲定時器,表示MAC地址認證延遲功能處於關閉狀態,如果用戶報文觸發MAC地址認證,認證將會立刻開始;端口上未配置MAC地址周期性重認證定時器,端口使用係統視圖下配置的MAC地址周期性重認證定時器的取值。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
auth-delay auth-delay-time:表示MAC地址認證延遲定時器。其中auth-delay-time表示MAC地址認證延遲定時器的值,取值範圍為1~180,單位為秒。
reauth-period reauth-period-value:表示MAC地址認證周期性重認證定時器。其中reauth-period-value表示周期性重認證定時器的值,取值範圍為60~86400,單位為秒。
【使用指導】
端口同時開啟了MAC地址認證和802.1X認證的情況下,某些組網環境中希望設備對用戶報文先進行802.1X認證。例如,有些客戶端在發送802.1X認證請求報文之前,就已經向設備發送了其它報文,比如DHCP報文,因而觸發了並不期望的MAC地址認證。這種情況下,就可以開啟端口的MAC地址認證延時功能。
開啟端口的MAC地址認證延時功能之後,端口就不會在收到用戶報文時立即觸發MAC地址認證,而是在等待一定的延遲時間之後,再會對之前收到的用戶報文進行MAC地址認證。在此認證延遲期間,端口對用戶報文的其它認證過程並不受影響。
開啟了MAC地址認證延遲功能的端口上不建議同時配置端口安全的模式為mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否則MAC地址認證延遲功能不生效。端口安全模式的具體配置請參見“安全命令參考”中的“端口安全”。
對MAC地址認證用戶進行重認證時,設備將按照如下由高到低的順序為其選擇重認證時間間隔:服務器下發的重認證時間間隔、接口視圖下配置的周期性重認證定時器的值、係統視圖下配置的周期性重認證定時器的值、設備缺省的周期性重認證定時器的值。
對於已在線的MAC地址認證用戶,要等當前重認證周期結束並且認證通過後才會按新配置的周期進行後續的重認證。
【舉例】
# 開啟MAC地址延遲認證功能,並指定MAC地址認證的延時時間為10秒。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication timer auth-delay 10
【相關命令】
· display mac-authentication
· port-security port-mode(安全命令參考/端口安全)
mac-authentication timer命令用來配置MAC地址認證的定時器參數。
undo mac-authentication timer命令用來恢複缺省情況。
【命令】
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | reauth-period reauth-period-value | server-timeout server-timeout-value | temporary-user-aging aging-time-value | user-aging { critical-microsegment | critical-vlan | critical-vsi | guest-vlan | guest-vsi } aging-time-value }
undo mac-authentication timer { offline-detect | quiet | reauth-period | server-timeout | temporary-user-aging | user-aging { critical-microsegment | critical-vlan | critical-vsi | guest-vlan | guest-vsi } }
【缺省情況】
下線檢測定時器的值為300秒,靜默定時器的值為60秒,周期性重認證定時器的值為3600秒,服務器超時定時器的值為100秒,臨時MAC地址認證用戶老化定時器的值為60秒,指定類型的非認證成功微分段、VLAN或VSI內用戶老化定時器的值為1000秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
offline-detect offline-detect-value:表示下線檢測定時器。其中,offline-detect-value表示下線檢測定時器的值,取值範圍為60~2147483647,單位為秒。
quiet quiet-value:表示靜默定時器。其中quiet-value表示靜默定時器的值,取值範圍為1~3600,單位為秒。
reauth-period reauth-period-value:表示周期性重認證定時器,其中reauth-period-value表示周期性重認證定時器的值,取值範圍為60~86400,單位為秒。
server-timeout server-timeout-value:表示服務器超時定時器。其中,server-timeout-value表示服務器超時定時器的值,取值範圍為100~300,單位為秒。
temporary-user-aging aging-time-value:表示臨時MAC地址認證用戶的老化定時器。其中aging-time-value表示臨時MAC地址認證用戶老化定時器的值,取值範圍為60~2147483647,單位為秒。
user-aging:設置加入到指定類型的非認證成功VLAN或VSI中用戶的老化定時器。
critical-microsegment:加入到Critical微分段中用戶的老化定時器。
critical-vlan:加入到Critical VLAN中用戶的老化定時器。
critical-vsi:加入到Critical VSI中用戶的老化定時器。
guest-vlan:加入到Guest VLAN中用戶的老化定時器。
guest-vsi:加入到Guest VSI中用戶的老化定時器。
aging-time-value:用戶老化定時器的值,取值範圍為60~2147483647,單位為秒。
【使用指導】
MAC地址認證過程受以下定時器的控製:
· 下線檢測定時器(offline-detect):用來設置在線用戶空閑超時的時間間隔及MAC地址認證報文探測功能的探測時間間隔。
¡ 開啟MAC地址認證下線檢測功能後,若設備在一個下線檢測定時器間隔之內,沒有收到某在線用戶的報文,將切斷該用戶的連接,同時通知RADIUS服務器停止對其計費。配置offline-detect時,需要將MAC地址老化時間配成相同時間,否則會導致用戶異常下線。隻有當端口的MAC地址認證下線檢測功能處於開啟狀態時,該定時器生效。考慮到板間或設備間同步用戶信息會消耗時間,實際上,聚合口下線檢測時間間隔會在本命令配置的基礎上增加3分鍾,M-LAG口下線檢測時間間隔會在本命令配置的基礎上增加25分鍾。
¡ 開啟MAC地址認證報文探測功能後,設備會每隔一個下線檢測定時器間隔向端口的MAC地址認證在線用戶發送探測報文,在發送次數達到最大值(通過mac-authentication packet-detect retry命令配置)時,若下線檢測定時器間隔內仍未收到該MAC地址認證用戶的回應報文,則認為MAC地址認證報文探測超時,設備將該用戶下線,同時通知RADIUS服務器停止對此用戶進行計費。
· 靜默定時器(quiet):用來設置用戶認證失敗以後,設備需要等待的時間間隔。在靜默期間,設備不對來自認證失敗用戶的報文進行認證處理,直接丟棄。靜默期後,如果設備再次收到該用戶的報文,則依然可以對其進行認證處理。
· 周期性重認證定時器(reauth-period):端口下開啟了MAC地址周期性重認證功能後,設備可以此間隔為周期對端口上的在線用戶發起重認證。對於已在線的MAC地址認證用戶,要等當前重認證周期結束並且認證通過後才會按新配置的周期進行後續的重認證。
· 服務器超時定時器(server-timeout):用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答,則設備將在相應的端口上禁止此用戶訪問網絡。
建議將server-timeout的值設定為小於或等於設備發送RADIUS報文的最大嚐試次數(retry)與RADIUS服務器響應超時時間(timer response-timeout)之積。如果server-timeout的值大於retry與timer response-timeout之積,則可能在server-timeout設定的服務器超時時間到達前,用戶被強製下線。
關於發送RADIUS報文的最大嚐試次數、RADIUS服務器響應超時時間的具體配置請參見“安全配置指導”中的“AAA”。
· 臨時MAC地址認證用戶的老化定時器(temporary-user-aging):用來設置臨時MAC地址認證用戶的老化時間。在配置了端口安全模式為macAddressAndUserLoginSecureExt的端口上,用戶MAC地址認證成功後為其啟用該定時器。如果到達設定的老化時間後端口仍沒有收到該MAC地址用戶的802.1X協議報文,則臨時MAC地址認證用戶下線,用戶認證失敗。關於端口安全模式的詳細介紹,請參見“安全配置指導”中的“端口安全”。
· 用戶老化定時器(user-aging):用來設置指定類型的微分段、VLAN或VSI內用戶老化時間。用戶加入到Critical微分段、Guest VLAN、Critical VLAN、Guest VSI、Critical VSI後,設備啟動該定時器。如果到達設定的老化時間,則用戶離開指定的微分段、VLAN或VSI。
隻有通過mac-authentication unauthenticated-user aging enable命令開啟非認證成功微分段、VLAN和VSI中MAC地址認證用戶的老化功能時,該定時器生效。
請不要將Guest VLAN或Guest VSI內用戶老化時間設置為用戶進行重新認證的時間間隔(通過命令mac-authentication guest-vlan auth-period/mac-authentication guest-vsi auth-period進行配置)的整數倍,否則會導致用戶老化定時器失效。
【舉例】
# 設置服務器超時定時器時長為150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
【相關命令】
· display mac-authentication
· mac-authentication guest-vlan auth-period
· mac-authentication guest-vsi auth-period
· mac-authentication unauthenticated-user aging enable
· port-security port-mode(安全命令參考/端口安全)
· retry(安全命令參考/AAA)
· timer response-timeout (RADIUS scheme view)(安全命令參考/AAA)
mac-authentication unauthenticated-user aging enable命令用來開啟非認證成功 VLAN、VSI和微分段中MAC地址認證用戶的老化功能。
undo mac-authentication unauthenticated-user aging enable命令用來關閉非認證成功VLAN、VSI和微分段中MAC地址認證用戶的老化功能。
【命令】
mac-authentication unauthenticated-user aging enable
undo mac-authentication unauthenticated-user aging enable
【缺省情況】
非認證成功VLAN、VSI和微分段中MAC地址認證用戶的老化功能處於開啟狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟非認證成功VLAN、VSI和微分段中MAC地址認證用戶的老化功能後,當MAC地址認證用戶加入到Critical VLAN、Guest VLAN、Critical VSI、Guest VSI或Critical微分段時,設備啟動用戶老化定時器,到達老化時間(通過mac-authentication timer user-aging命令配置)後,用戶離開對應的VLAN、VSI或微分段。
當端口上非認證成功VLAN、VSI或微分段的用戶需要遷移到其它端口接入時,請開啟本端口上非認證成功VLAN、VSI或微分段用戶的老化功能,將本端口上的用戶MAC地址老化刪除。反之,當本端口非認證成功VLAN、VSI或微分段的用戶不需要遷移到其它端口接入時,建議關閉本功能,以免用戶老化退出後無法訪問對應VLAN、VSI或微分段中的資源。
【舉例】
# 關閉端口Ten-GigabitEthernet1/0/1上非認證成功VLAN、VSI和微分段中MAC地址認證用戶的老化功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] undo mac-authentication unauthenticated-user aging enable
【相關命令】
· mac-authentication timer
mac-authentication user-name-format命令用來配置MAC地址認證用戶的賬號格式。
undo mac-authentication user-name-format命令用來恢複缺省情況。
【命令】
mac-authentication user-name-format { fixed [ account name ] | mac-address [ { with-hyphen [ separator colon ] | without-hyphen } [ lowercase | uppercase ] ] } [ password { cipher | simple } string ]
undo mac-authentication user-name-format
【缺省情況】
使用用戶的MAC地址作為用戶名和密碼,其中字母為小寫,且不帶連字符。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
fixed:表示采用固定用戶名賬號。
account name:指定發送給RADIUS服務器進行認證或者在本地進行認證的用戶名。其中name為用戶名,為1~55個字符的字符串,區分大小寫,不能包括字符@,缺省為mac。
mac-address:表示使用用戶的MAC地址作為用戶名。
with-hyphen:帶連字符的MAC地址格式,例如xx-xx-xx-xx-xx-xx。
separator colon:帶連字符“:”的MAC地址格式,例如xx:xx:xx:xx:xx:xx或XX:XX:XX:XX:XX:XX。如果未指定本參數,則表示MAC地址中使用“-”作為連字符,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX。
without-hyphen:不帶連字符的MAC地址格式,例如xxxxxxxxxxxx或XXXXXXXXXXXX。
lowercase:MAC地址中的字母為小寫。
uppercase:MAC地址中的字母為大寫。
password:指定用戶的密碼。使用用戶的MAC地址作為用戶名時,若不配置password參數,則表示使用用戶的MAC地址同時作為用戶名和密碼;對於采用固定用戶名的情況,若不配置password參數,則表示無密碼。
· cipher:以密文方式設置密碼。
· simple:以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~63個字符的字符串,密文密碼為1~117個字符的字符串。
【使用指導】
指定用戶的MAC地址為用戶名時,每一個MAC地址認證用戶都使用唯一的用戶名進行認證,安全性高,但要求認證服務器端配置多個MAC形式的用戶賬戶。
若指定一個固定的用戶名,則表示不論用戶的MAC地址為何值,所有用戶均使用設備上指定的一個固定用戶名和密碼作為身份信息進行認證。由於同一個端口下可以有多個用戶進行認證,因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名賬號進行認證,服務器端僅需要配置一個用戶賬戶即可滿足所有認證用戶的認證需求,適用於接入客戶端比較可信的網絡環境。
【舉例】
# 配置MAC地址認證的用戶名為abc,密碼是明文xyz。
<Sysname> system-view
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用戶的MAC地址為用戶名和密碼,使用帶連字符的MAC地址格式,其中字母大寫。
<Sysname> system-view
[Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase
【相關命令】
· display mac-authentication
mac-authentication user-recovery-profile命令用來創建MAC地址認證user-recovery Profile,並進入user-recovery Profile視圖。如果指定的user-recovery Profile已存在,則直接進入user-recovery Profile視圖。
undo mac-authentication user-recovery-profile命令用來刪除指定的MAC地址認證user-recovery Profile。
【命令】
mac-authentication user-recovery-profile profile-name
undo mac-authentication user-recovery-profile profile-name
【缺省情況】
不存在MAC地址認證user-recovery Profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:user-recovery Profile名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
user-recovery Profile中定義了RESTful服務器的相關參數,主要包括服務器的IP地址、用戶資源URI和登錄到該服務器所需的用戶名和密碼。設備與RESTful服務器成功建立連接之後,可以從該服務器上手工或自動獲取在線用戶的賬戶信息,用於設備或接口板重啟、接口故障恢複後的用戶狀態恢複。
係統最多支持配置16個user-recovery Profile。
【舉例】
# 創建一個名稱為profile1的MAC地址認證user-recovery Profile,並進入其視圖。
<Sysname> system-view
[Sysname] mac-authentication user-recovery-profile profile1
New user-recovery profile created.
[Sysname-user-recovery-profile-profile1]
【相關命令】
· display mac-authentication user-recovery-profile
· mac-authentication auto-recover-user
· mac-authentication recover-user
mac-authentication web-proxy命令用來配置允許觸發MAC地址認證URL重定向的Web代理服務器端口。
undo mac-authentication web-proxy命令用來刪除指定或所有的Web代理服務器端口。
【命令】
mac-authentication web-proxy { http | https } port port-number
undo mac-authentication web-proxy { { http | https } port port-number | all-port }
【缺省情況】
未配置允許觸發MAC地址認證URL重定向的Web代理服務器端口。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
http:表示HTTP請求觸發MAC地址認證URL重定向功能。
https:表示HTTPS請求觸發MAC地址認證URL重定向功能。
port port-number:MAC地址認證URL重定向功能的Web代理服務器的TCP端口號,取值範圍為1~65535。其中,80和443端口是MAC地址認證URL重定向功能的預留端口號,不可配置。
all-port:指定所有MAC地址認證URL重定向功能的Web代理服務器的TCP端口號。
【使用指導】
設備默認隻允許未配置Web代理服務器的用戶瀏覽器發起的HTTP/HTTPS請求才能觸發MAC地址認證URL重定向功能。若用戶使用配置了Web代理服務器的瀏覽器上網,則用戶在通過MAC地址認證之後發送的HTTP/HTTPS請求報文將被丟棄。這種情況下,網絡管理員可以通過在設備上添加Web代理服務器的TCP端口號,來允許使用Web代理服務器的用戶瀏覽器發起的HTTP/HTTPS請求也可以觸發MAC地址認證的URL重定向。
配置允許觸發MAC地址認證URL重定向功能的Web代理服務器端口,需要注意的是:
· 通過多次執行本命令,最多可以添加64個允許觸發MAC地址認證URL重定向功能的Web代理服務器端口。
· HTTP和HTTPS請求允許觸發MAC地址認證URL重定向功能的Web代理服務器端口不能相同。
· 在有MAC地址認證用戶在線的情況下,通過本命令新增或刪除Web代理端口號時,設備會強製讓所有授權了重定向URL的MAC地址認證用戶下線。
【舉例】
# 配置HTTP請求允許觸發MAC地址認證URL重定向的Web代理服務器端口號為8080。
<Sysname> system-view
[Sysname] mac-authentication web-proxy http port 8080
【相關命令】
· display mac-authentication
nas-ip命令用來配置設備和RESTful服務器交互時使用的NAS-IP地址。
undo nas-ip命令用來刪除設備和RESTful服務器交互時使用的NAS-IP地址。
【命令】
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip
【缺省情況】
未配置設備和RESTful服務器交互時使用的NAS-IP地址。
【視圖】
user-recovery Profile視圖
【缺省用戶角色】
network-admin
【參數】
ipv4-address:指定的IPv4 NAS-IP地址,禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的IPv6 NAS-IP地址,必須是單播地址,不能為環回地址與本地鏈路地址。
【使用指導】
RESTful服務器上通過IP地址來標識接入設備,它會根據收到的RESTful請求中攜帶的NAS-IP地址參數來匹配接入設備,然後將匹配上的接入設備的用戶信息發送給該接入設備。
此處配置的NAS-IP必須和用戶認證使用的RADIUS方案下的NAS-IP配置保持一致,而且同一個user-recovery Profile下配置的NAS-IP地址類型必須和RESTful服務器IP地址類型保持一致,否則設備不會向該視圖中指定的RESTful服務器發送請求。
同一個user-recovery Profile下多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為profile1的user-recovery Profile視圖下,配置設備和RESTful服務器交互使用的NAS-IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] mac-authentication user-recovery-profile profile1
[Sysname-user-recovery-profile-profile1] nas-ip 10.1.1.1
【相關命令】
· display mac-authentication user-recovery-profile
· nas-ip (RADIUS scheme view) (安全命令參考/AAA)
reset mac-authentication access-user命令用來強製MAC地址認證用戶下線。
【命令】
reset mac-authentication access-user [ interface interface-type interface-number | mac mac-address | microsegment microsegment-id | online-type { auth-fail-domain | critical-domain | preauth-domain | success | url-unavailable-domain } | username username | vlan vlan-id | vsi vsi-name ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示強製指定端口下的MAC地址認證用戶下線。interface-type interface-number為端口類型和端口編號。
mac mac-address:表示強製指定MAC地址的MAC地址認證用戶下線。mac-address表示MAC地址認證用戶的MAC地址,格式為H-H-H。
microsegment microsegment-id:表示強製指定微分段內的MAC地址認證用戶下線。microsegment-id表示MAC認證在線用戶的授權微分段ID,取值範圍為1~65535。
online-type:表示強製指定類型的MAC地址認證用戶下線。
· auth-fail-domain:表示強製認證失敗域內的MAC地址認證用戶下線。
· critical-domain:表示強製認證逃生域內的MAC地址認證用戶下線。
· preauth-domain:表示強製認證前域內的MAC地址認證用戶下線。
· success:表示強製認證成功的MAC地址認證用戶下線。
· url-unavailable-domain:表示強製URL不可達逃生域內的MAC地址認證用戶下線。
username username:表示強製指定名稱的MAC地址認證用戶下線。username表示MAC地址認證用戶的名稱,為1~253個字符的字符串,區分大小寫。
vlan vlan-id:表示強製指定VLAN內的MAC地址認證用戶下線。vlan-id表示MAC地址認證用戶當前所在VLAN的VLAN ID(可通過display mac-address命令查看),取值範圍為1~4094。
vsi vsi-name:表示強製指定VSI內的MAC地址認證用戶下線。vsi-name表示MAC地址認證在線用戶的授權VSI名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
reset mac-authentication access-user命令用來強製指定的MAC地址認證用戶下線。強製用戶下線後,設備會刪除對應的用戶信息,用戶再次上線時,需要重新進行MAC地址認證。
指定microsegment microsegment-id參數時,設備會查找認證成功且已授權微分段的用戶,並將微分段ID為microsegment-id的用戶強製下線。
指定vsi vsi-name參數時,設備會查找認證成功且已授權VSI的用戶,將授權VSI為vsi-name的用戶強製下線。
指定vlan vlan-id參數時,設備會對如下幾種MAC地址認證用戶進行下線處理:
· 對於已經認證成功且服務器已授權VLAN的用戶,將服務器授權的VLAN為vlan-id的用戶強製下線;
· 對於已認證成功且服務器未授權VLAN的用戶,將設備上對用戶生效的VLAN為vlan-id的用戶強製下線;
· 對於正在認證中的用戶,將初始VLAN為vlan-id的用戶強製下線。
如果不指定任何參數,則強製設備上所有MAC地址認證用戶下線。
【舉例】
# 強製端口Ten-GigabitEthernet1/0/1上的所有MAC地址認證用戶下線。
<Sysname> reset mac-authentication access-user interface ten-gigabitethernet 1/0/1
【相關命令】
· display mac-authentication connection
reset mac-authentication critical microsegment命令用來強製指定的MAC地址認證用戶退出Critical微分段。
【命令】
reset mac-authentication critical microsegment interface interface-type interface-number [ mac-address mac-address ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示指定端口上的用戶退出Critical微分段。interface-type interface-number為端口類型和端口編號。
mac-address mac-address:表示使指定MAC地址的用戶退出Critical微分段。若不指定本參數,則表示使指定端口上的所有用戶退出Critical微分段。
【使用指導】
該命令用來強製指定端口或指定MAC地址的MAC認證用戶退出Critical微分段。退出後用戶不能再訪問Critical微分段中的資源。
【舉例】
# 強製從端口Ten-GigabitEthernet1/0/1上接入的,MAC地址為1-1-1的MAC地址認證用戶退出Critical微分段。
<Sysname> reset mac-authentication critical microsegment interface ten-gigabitethernet 1/0/1 mac-address 1-1-1
【相關命令】
· display mac-authentication mac-address
· mac-authentication critical microsegment
reset mac-authentication critical vlan命令用來清除Critical VLAN內的MAC地址認證用戶。
【命令】
reset mac-authentication critical vlan interface interface-type interface-number [ mac-address mac-address ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示使指定端口上的用戶退出Critical VLAN。interface-type interface-number為端口類型和端口編號。
mac-address mac-address:表示使指定MAC地址的用戶退出Critical VLAN。若不指定本參數,則表示使指定端口上的所有用戶退出Critical VLAN。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址為1-1-1的MAC地址認證用戶退出Critical VLAN。
<Sysname> reset mac-authentication critical vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1
【相關命令】
· display mac-authentication mac-address
· mac-authentication critical vlan
reset mac-authentication critical vsi命令用來清除Critical VSI內的MAC地址認證用戶,使其退出Critical VSI。
【命令】
reset mac-authentication critical vsi interface interface-type interface-number [ mac-address mac-address ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示使指定端口上的用戶退出Critical VSI。interface-type interface-number為端口類型和端口編號。
mac-address mac-address:表示使指定MAC地址的用戶退出Critical VSI。若不指定本參數,則表示使指定端口上的所有用戶退出Critical VSI。
【舉例】
# 強製端口Ten-GigabitEthernet1/0/1上接入的、MAC地址為1-1-1的MAC地址認證用戶退出Critical VSI。
<Sysname> reset mac-authentication critical vsi interface ten-gigabitethernet 1/0/1 mac-address 1-1-1
【相關命令】
· display mac-authentication mac-address
· mac-authentication critical vsi
reset mac-authentication critical-voice-vlan命令用來清除MAC地址認證Critical Voice VLAN內的MAC地址認證用戶。
【命令】
reset mac-authentication critical-voice-vlan interface interface-type interface-number [ mac-address mac-address ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示使指定端口上的用戶退出MAC地址認證的Critical Voice VLAN,其中interface-type interface-number為端口類型和端口編號。
mac-address mac-address:表示清除指定MAC地址的用戶退出MAC地址認證的Critical Voice VLAN。若不指定本參數,則表示使指定端口上的所有用戶退出Critical Voice VLAN。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址為1-1-1的MAC地址認證用戶退出Critical Voice VLAN。
<Sysname> reset mac-authentication critical-voice-vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1
【相關命令】
· display mac-authentication
· mac-authentication critical-voice-vlan
reset mac-authentication guest-vlan命令用來清除Guest VLAN內的MAC地址認證用戶。
【命令】
reset mac-authentication guest-vlan interface interface-type interface-number [ mac-address mac-address ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示使指定端口上的用戶退出Guest VLAN。interface-type interface-number為端口類型和端口編號。
mac-address mac-address:表示使指定MAC地址的用戶退出Guest VLAN。若不指定本參數,則表示使指定端口上的所有用戶退出Guest VLAN。
【舉例】
# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址為1-1-1的MAC地址認證用戶退出Guest VLAN。
<Sysname> reset mac-authentication guest-vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1
【相關命令】
· display mac-authentication mac-address
· mac-authentication guest-vlan
reset mac-authentication guest-vsi命令用來清除Guest VSI內的MAC地址認證用戶,使其退出Guest VSI。
【命令】
reset mac-authentication guest-vsi interface interface-type interface-number [ mac-address mac-address ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示使指定端口上的用戶退出Guest VSI。interface-type interface-number為端口類型和端口編號。
mac-address mac-address:表示使指定MAC地址的用戶退出Guest VSI。若不指定本參數,則表示使指定端口上的所有用戶退出Guest VSI。
【舉例】
# 強製端口Ten-GigabitEthernet1/0/1上接入的、MAC地址為1-1-1的MAC地址認證用戶退出Guest VSI。
<Sysname> reset mac-authentication guest-vsi interface ten-gigabitethernet 1/0/1 mac-address 1-1-1
【相關命令】
· display mac-authentication mac-address
· mac-authentication guest-vsi
reset mac-authentication statistics命令用來清除MAC地址認證的統計信息。
【命令】
reset mac-authentication statistics [ interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:清除指定端口的MAC地址認證統計信息。interface-type interface-number為端口類型和端口編號。如果不指定本參數,則清除所有端口上的MAC地址認證統計信息。
【舉例】
# 清除以太網端口Ten-GigabitEthernet1/0/1上的MAC認證統計信息。
<Sysname> reset mac-authentication statistics interface ten-gigabitethernet 1/0/1
【相關命令】
· display mac-authentication
server-address命令用來配置RESTful服務器的IP地址參數。
undo server-address命令用來恢複缺省情況。
【命令】
server-address { ip ipv4-address | ipv6 ipv6-address } [ port port-number ] [ vpn-instance vpn-instance-name ]
undo server-address
【缺省情況】
未配置RESTful服務器的IP地址參數。
【視圖】
user-recovery Profile視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:RESTful服務器的IPv4地址。
ipv6 ipv6-address:RESTful服務器的IPv6地址。
port port-number:RESTful服務器監聽請求消息的端口號,取值範圍為1~65535,缺省值為80。
vpn-instance vpn-instance-name:RESTful服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定該參數,則表示RESTful服務器位於公網。
【使用指導】
設備或接口板重啟、接口故障恢複後,將與指定的RESTful服務器通信,獲取接口上的MAC地址認證用戶賬戶信息。
同一個user-recovery Profile下配置的RESTful服務器IP地址類型必須和NAS-IP的地址類型保持一致。
同一個user-recovery Profile下多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為profile1的user-recovery Profile視圖下,指定RESTful服務器的IP地址為3.3.3.3,端口號為8080。
<Sysname> system-view
[Sysname] mac-authentication user-recovery-profile profile1
[Sysname-user-recovery-profile-profile1] server-address ip 3.3.3.3 port 8080
【相關命令】
· display mac-authentication user-recovery-profile
· nas-ip
uri命令用來指定RESTful服務器的URI。
undo uri命令用來刪除指定的RESTful服務器URI。
【命令】
uri uri-string
undo uri
【缺省情況】
未指定RESTful服務器的URI。
【視圖】
user-recovery Profile視圖
【缺省用戶角色】
network-admin
【參數】
uri-string:URI名稱,為1~255字符的字符串,區分大小寫。
【使用指導】
本命令指定的URI為RESTful服務器上提供用戶資源服務的URI。
支持指定的RESTful服務器的URI為imcrs/uam/online/notAgingMuteTerminal,指定為其他URI時,本配置不生效。
設備向RESTful服務器發起請求獲取在線用戶信息時,HTTP請求的URL地址由該RESTful服務器的IP地址、監聽端口號以及本命令指定的URI拚接而成,格式為http://server-ip:port/uri,例如http://3.3.3.3:8080/imcrs/uam/online/notAgingMuteTerminal。
【舉例】
# 在名稱為profile1的user-recovery Profile視圖下,指定向RESTful服務器請求用戶信息的URI為imcrs/uam/online/notAgingMuteTerminal。
<Sysname> system-view
[Sysname] mac-authentication user-recovery-profile profile1
[Sysname-user-recovery-profile-profile1] uri imcrs/uam/online/notAgingMuteTerminal
【相關命令】
· display mac-authentication user-recovery-profile
· server-address
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
