- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-MAC地址認證配置
本章節下載: 03-MAC地址認證配置 (485.76 KB)
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法,無需安裝客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以後,啟動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或密碼。若該用戶認證成功,則允許其通過端口訪問網絡資源,否則該用戶的MAC地址就被設置為靜默MAC。在靜默時間內,來自此MAC地址的用戶報文到達時,設備直接做丟棄處理,以防止非法MAC短時間內的重複認證。
MAC地址認證用戶使用的賬號格式分為兩種:
· MAC地址賬號:設備使用源MAC地址作為用戶認證時的用戶名和密碼,或者使用MAC地址作為用戶名,並配置密碼。以使用源MAC地址作為用戶認證時的用戶名和密碼為例,如圖1-1所示。
· 固定用戶名賬號:所有MAC地址認證用戶均使用設備上指定的一個固定用戶名和密碼替代用戶的MAC地址作為身份信息進行認證,如圖1-2所示。由於同一個端口下可以有多個用戶進行認證,因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名進行認證,服務器端僅需要配置一個用戶賬戶即可滿足所有認證用戶的認證需求,適用於接入客戶端比較可信的網絡環境。
圖1-1 MAC地址賬號的MAC地址認證示意圖
圖1-2 固定用戶名賬號的MAC地址認證示意圖
目前設備支持兩種方式的MAC地址認證,通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器進行遠程認證和在接入設備上進行本地認證。有關遠程RADIUS認證和本地認證的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
當選用RADIUS服務器認證方式進行MAC地址認證時,設備作為RADIUS客戶端,與RADIUS服務器配合完成MAC地址認證操作:
· 若采用MAC地址賬號,如果未配置密碼,則設備將檢測到的用戶MAC地址作為用戶名和密碼發送給RADIUS服務器進行驗證。如果配置了密碼,則設備將檢測到的用戶MAC地址作為用戶名,配置的密碼作為密碼發送給RADIUS服務器進行驗證。
· 若采用固定用戶名賬號,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼,發送給RADIUS服務器進行驗證。
RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問網絡。
設備與服務器之間采用PAP(Password Authentication Protocol,密碼認證協議)或CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)方法進行認證。
當選用本地認證方式進行MAC地址認證時,直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼:
· 若采用MAC地址賬號,如果未配置密碼,則設備將檢測到的用戶MAC地址作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。如果配置了密碼,則設備將檢測到的用戶MAC地址作為用戶名,配置的密碼作為密碼與配置的本地用戶名和密碼進行匹配。
· 若采用固定用戶名賬號,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
用戶名和密碼匹配成功後,用戶可以訪問網絡。
為了將受限的網絡資源與未認證用戶隔離,通常將受限的網絡資源和未認證的用戶劃分到不同的VLAN。MAC地址認證支持遠程AAA服務器/接入設備下發授權VLAN,即當用戶通過MAC地址認證後,遠程AAA服務器/接入設備將指定的受限網絡資源所在的VLAN作為授權VLAN下發到用戶進行認證的端口。該端口被加入到授權VLAN中後,用戶便可以訪問這些受限的網絡資源。
該方式下,需要在AAA服務器上指定下發給用戶的授權VLAN信息,下發的授權VLAN信息可以有多種形式,包括數字型VLAN和字符型VLAN,字符型VLAN又可分為VLAN名稱、VLAN組名、攜帶後綴的VLAN ID(後綴隻能為字母u或t,用於標識是否攜帶Tag)。
設備收到服務器的授權VLAN信息後,首先對其進行解析,隻要解析成功,即以對應的方法下發授權VLAN;如果解析不成功,則用戶授權失敗。
· 若認證服務器下發的授權VLAN信息為一個VLAN ID或一個VLAN名稱,則僅當對應的VLAN不為動態學習到的VLAN、保留VLAN、Super VLAN時,該VLAN才是有效的授權VLAN。當認證服務器下發VLAN名稱時,對應的VLAN必須為已存在的VLAN。
· 若認證服務器下發的授權VLAN信息為一個VLAN組名,則設備首先會通過組名查找該組內配置的VLAN列表。若查找到授權VLAN列表,則在這一組VLAN中,除Super VLAN、動態VLAN之外的所有VLAN都有資格被授權給用戶。關於VLAN組的相關配置,請參見“二層技術-以太網交換配置指導”中的“VLAN”。
- 若端口上已有其他在線用戶,則查看端口上在線用戶的授權VLAN是否存在於該組中:存在,則將此VLAN授權給當前的認證用戶;否則,認為當前認證用戶授權失敗,將被強製下線。
- 若當前用戶為端口上第一個在線用戶,則直接將該組VLAN中ID最小的VLAN授權給當前的認證用戶。
· 若認證服務器下發的授權VLAN信息為一個包含若幹VLAN ID以及若幹VLAN名稱的字符串,則設備首先將其解析為一組VLAN列表,然後采用與解析一個VLAN組名相同的解析邏輯選擇一個授權VLAN。
· 若認證服務器下發的授權VLAN信息為一個包含若幹個“VLAN ID+後綴”形式的字符串,則隻有第一個不攜帶後綴或者攜帶untagged後綴的VLAN將被解析為唯一的untagged的授權VLAN,其餘VLAN都被解析為tagged的授權VLAN。例如服務器下發字符串“1u 2t 3”,其中的u和t均為後綴,分別表示untagged和tagged。該字符串被解析之後,VLAN 1為untagged的授權VLAN,VLAN 2和VLAN 3為tagged的授權VLAN。該方式下發的授權VLAN僅對端口鏈路類型為Hybrid或Trunk的端口有效。
¡ 端口的缺省VLAN將被修改為untagged的授權VLAN。若不存在untagged的授權VLAN,則不修改端口的缺省VLAN。
¡ 端口將允許所有解析成功的授權VLAN通過。
該方式下,可以通過配置本地用戶的授權屬性指定下發給用戶的授權VLAN信息,且隻能指定一個授權VLAN。設備將此VLAN作為該本地用戶的授權VLAN。關於本地用戶的相關配置,請參見“用戶接入與認證配置指導”中的“AAA”。
設備根據用戶接入的端口鏈路類型和授權的VLAN是否攜帶Tag,按如下情況將端口加入到下發的授權VLAN中。需要注意的是,僅遠程AAA服務器支持授權攜帶Tag的VLAN。
授權VLAN未攜帶Tag的情況下:
· 若用戶從Access類型的端口接入,則端口離開當前VLAN並加入第一個通過認證的用戶的授權VLAN中。
· 若用戶從Trunk類型的端口接入,則設備允許下發的授權VLAN通過該端口,並且修改該端口的缺省VLAN為第一個通過認證的用戶的授權VLAN。
· 若用戶從Hybrid類型的端口接入,則設備允許授權下發的授權VLAN以不攜帶Tag的方式通過該端口,並且修改該端口的缺省VLAN為第一個通過認證的用戶的授權VLAN。
授權VLAN攜帶Tag的情況下:
· 若用戶從Access類型的端口接入,則不支持下發帶Tag的VLAN。
· 若用戶從Trunk類型的端口接入,則設備允許授權下發的VLAN以攜帶Tag的方式通過該端口,但是不會修改該端口的缺省VLAN。
· 若用戶從Hybrid類型的端口接入,則設備允許授權下發的VLAN以攜帶Tag的方式通過該端口,但是不會修改該端口的缺省VLAN。
授權VLAN並不影響端口的配置。但是,對於Access端口和Trunk端口,授權VLAN的優先級高於端口配置的VLAN,即通過認證後起作用的VLAN是授權VLAN,端口配置的VLAN在用戶下線後生效。對於Hybrid端口,當授權VLAN攜帶Tag的情況與端口配置的VLAN情況不一致(例如授權VLAN攜帶Tag,而端口配置的VLAN不攜帶Tag)時,授權VLAN不生效,通過認證後起作用的VLAN仍為端口配置的VLAN;當授權VLAN攜帶Tag的情況與端口配置的VLAN情況一致時,授權VLAN的優先級高於端口配置的VLAN。
· 對於Hybrid端口,如果認證用戶的報文攜帶VLAN Tag,則應通過port hybrid vlan命令配置該端口在轉發指定的VLAN報文時攜帶VLAN Tag;如果認證用戶的報文不攜帶VLAN Tag,則應配置該端口在轉發指定的VLAN報文時不攜帶VLAN Tag。否則,當服務器沒有授權下發VLAN時,用戶雖然可以通過認證但不能訪問網絡。
· 在授權VLAN未攜帶Tag的情況下,授權給所有用戶的VLAN必須相同,否則僅第一個通過認證的用戶可以成功上線。
· 在授權VLAN攜帶Tag的情況下,設備會給不同的用戶授權不同的VLAN。
由遠程AAA服務器/接入設備下發給用戶的ACL被稱為授權ACL,它為用戶訪問網絡提供了良好的過濾條件設置功能。當用戶通過MAC地址認證後,如果遠程AAA服務器/接入設備上為用戶指定了授權ACL,則設備會根據下發的授權ACL對用戶所在端口的數據流進行控製,與授權ACL規則匹配的流量,將按照規則中指定的permit或deny動作進行處理。為使下發的授權ACL生效,需要提前在設備上配置相應的ACL規則。而且在用戶訪問網絡的過程中,可以通過改變遠程AAA服務器/設備本地的授權ACL設置來改變用戶的訪問權限。
MAC地址認證可成功授權的ACL類型為基本ACL(ACL編號為2000~2999)、高級ACL(ACL編號為3000~3999)和二層ACL(ACL編號為4000~4999)。但當下發的ACL不存在、未配置ACL規則或ACL規則配置了counting、established、fragment、source-mac或logging參數時,授權ACL不生效。有關ACL規則的具體介紹,請參見“ACL和QoS配置指導”中的“ACL”。
從認證服務器(遠程或本地)下發的User Profile被稱為授權User Profile,它為用戶訪問網絡提供了良好的過濾條件設置功能。MAC地址認證支持認證服務器授權下發User Profile功能,即當用戶通過MAC地址認證後,如果認證服務器上配置了授權User Profile,則設備會根據服務器下發的授權User Profile對用戶所在端口的數據流進行控製。為使下發的授權User Profile生效,需要提前在設備上配置相應的User Profile。而且在用戶訪問網絡的過程中,可以通過改變服務器的授權User Profile名稱或者設備對應的User Profile配置來改變用戶的訪問權限。
用戶通過MAC地址認證後,設備會根據RADIUS服務器下發的重定向URL屬性,將用戶的HTTP或HTTPS請求重定向到指定的Web認證頁麵。Web認證通過後,RADIUS服務器記錄用戶的MAC地址信息,並通過DM報文強製Web用戶下線。此後該用戶再次進行MAC地址認證,由於RADIUS服務器上已記錄該用戶和其MAC地址的對應信息,用戶可以成功上線。
若需要對MAC地址認證用戶的HTTPS請求進行重定向,需要在設備上配置對HTTPS報文進行重定向的內部偵聽端口號,具體配置請參見“三層技術-IP業務配置指導”中的“HTTP重定向”。
MAC地址認證支持CAR屬性下發後,設備可以對MAC地址認證上線用戶訪問網絡資源的流量與速率進行控製。當用戶通過MAC地址認證後,如果RADIUS服務器通過擴展屬性字段下發授權CAR屬性給該用戶,則設備會根據服務器下發的授權CAR屬性對用戶所在端口的數據流進行限速。RADIUS擴展屬性的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
CAR屬性具體分為如下幾種:
· Input-Peak-Rate:上行峰值速率,單位bps。用於限製端口上接收報文的峰值速率。
· Input-Average-Rate:上行平均速率,單位bps。用於限製該端口上接收報文的平均速率。
· Output-Peak-Rate:下行峰值速率,單位bps。用於限製端口上發送報文的峰值速率。
· Output-Average-Rate:下行平均速率,單位bps。用於限製該端口上發送報文的平均速率。
如果未授權Input-Peak-Rate或Output-Peak-Rate,則表示對用戶報文進行單速率流量監管,否則進行雙速率流量監管。流量監管的詳細介紹請參見“ACL和QoS配置指導”中的“QoS”。
用戶通過MAC地址認證後,如果收到服務器通過COA報文授權當前用戶MAC地址為黑洞MAC,設備將強製該MAC地址認證用戶下線,並添加該用戶為靜默用戶(可通過display mac-authentication查看),靜默時間固定為10分鍾。在靜默時間內,設備不對來自該MAC地址用戶的報文進行認證處理,直接丟棄。靜默期後,如果設備再次收到該用戶的報文,則可以對其進行認證處理。
MAC地址重認證是指設備周期性對端口上在線的MAC地址認證用戶發起重認證,以檢測用戶連接狀態的變化、確保用戶的正常在線,並及時更新服務器下發的授權屬性(例如ACL、VLAN等)。
認證服務器可以通過下發RADIUS屬性(session-timeout、Termination-action)來指定用戶會話超時時長以及會話中止的動作類型。認證服務器上如何下發以上RADIUS屬性的具體配置以及是否可以下發重認證周期的情況與服務器類型有關,請參考具體的認證服務器實現。
設備作為RADIUS DAE服務器,認證服務器作為RADIUS DAE客戶端時,後者可以通過COA(Change of Authorization)Messages向用戶下發重認證屬性,這種情況下,無論設備上是否開啟了周期性重認證功能,端口都會立即對該用戶發起重認證。關於RADIUS DAE服務器的詳細內容,請參見“用戶接入與認證配置指導”中的“AAA”。
MAC地址認證用戶認證通過後,端口對用戶的重認證功能具體實現如下:
· 當認證服務器下發了用戶會話超時時長,且指定的會話中止的動作類型為要求用戶進行重認證時,則無論設備上是否開啟周期性重認證功能,端口均會在用戶會話超時時長到達後對該用戶進行重認證;
· 當認證服務器下發了用戶會話超時時長,且指定的會話中止的動作類型為要求用戶下線時:
¡ 若設備上開啟了周期性重認證功能,且設備上配置的重認證定時器值小於用戶會話超時時長,則端口會以重認證定時器的值為周期向該端口在線MAC地址認證用戶發起重認證;若設備上配置的重認證定時器值大於等於用戶會話超時時長,則端口會在用戶會話超時時長到達後強製該用戶下線;
¡ 若設備上未開啟周期性重認證功能,則端口會在用戶會話超時時長到達後強製該用戶下線。
· 當認證服務器未下發用戶會話超時時長時,是否對用戶進行重認證,由設備上配置的重認證功能決定。
· 對於已在線的MAC地址認證用戶,要等當前重認證周期結束並且認證通過後才會按新配置的周期進行後續的重認證。
· MAC地址重認證過程中,重認證服務器不可達時端口上的MAC地址認證用戶狀態由端口上的配置決定。在網絡連通狀況短時間內不良的情況下,合法用戶是否會因為服務器不可達而被強製下線,需要結合實際的網絡狀態來調整。若配置為保持用戶在線,當服務器在短時間內恢複可達,則可以避免用戶頻繁上下線;若配置為強製下線,當服務器可達性在短時間內不可恢複,則可避免用戶在線狀態長時間與實際不符。
· 在用戶名不改變的情況下,端口允許重認證前後服務器向該用戶下發不同的VLAN。
· 目前僅二層以太網接口和二層聚合接口支持配置MAC地址認證功能。
· 二層以太網接口加入聚合組後,在該接口上配置的MAC地址認證功能不生效。
· 在二層聚合接口上有MAC地址認證用戶在線的情況下,請不要刪除該二層聚合接口。
· 若配置的靜態MAC或者當前認證通過的MAC地址與靜默MAC相同,則MAC地址認證失敗後的MAC靜默功能將會失效。
MAC地址認證配置任務如下:
(1) 開啟MAC地址認證
(2) 配置MAC地址認證基本功能
¡ (可選)配置MAC地址認證定時器
¡ (可選)配置MAC地址認證的重認證
(3) (可選)配置MAC地址認證其它功能
允許用戶在相同端口的不同VLAN間遷移時無須重認證。
· 配置MAC地址認證之前,請保證端口安全功能關閉,具體配置請參見“用戶接入與認證配置指導”中的“端口安全”。
· 配置MAC地址認證之前,需完成配置ISP域和認證方式,具體配置請參見“用戶接入與認證配置指導”中的“AAA”。
¡ 若采用本地認證方式,還需創建本地用戶並設置其密碼,且本地用戶的服務類型應設置為lan-access。
¡ 若采用遠程RADIUS認證方式,需要確保設備與RADIUS服務器之間的路由可達,並添加MAC地址認證用戶賬號。
隻有全局和端口的MAC地址認證均開啟後,MAC地址認證配置才能在端口上生效。
如果設備上ACL資源全部被占用,則進行如下操作時,對應接口上的MAC地址認證功能不能生效:
· 係統視圖下使能了MAC地址認證時,二層以太網接口或二層聚合接口下的MAC地址認證由未使能改為使能。
· 二層以太網接口或二層聚合接口下使能了MAC地址認證時,係統視圖下的MAC地址認證由未使能改為使能。
(1) 進入係統視圖。
system-view
(2) 開啟全局MAC地址認證。
mac-authentication
缺省情況下,全局的MAC地址認證處於關閉狀態。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟端口MAC地址認證。
mac-authentication
缺省情況下,端口的MAC地址認證處於關閉狀態。
當通過RADIUS服務器進行MAC地址認證時,MAC地址認證支持兩種類型的認證方法:
· PAP認證方法通過用戶名和密碼來對用戶進行驗證,其特點是在網絡上以明文方式傳送用戶名和密碼,僅適用於對網絡安全要求相對較低的環境。
· CHAP認證方法使用客戶端與服務器端交互挑戰信息的方式來驗證用戶身份,其特點是在網絡上以明文方式傳送用戶名,以密文方式傳輸密碼。與PAP相比,CHAP認證保密性較好,更為安全可靠。
設備上配置的認證方法必須和RADIUS服務器上采用的認證方法保持一致。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證采用的認證方法。
mac-authentication authentication-method { chap | pap }
缺省情況下,設備采用PAP認證方法進行MAC地址認證。
為了便於接入設備的管理員更為靈活地部署用戶的接入策略,設備支持指定MAC地址認證用戶使用的認證域,可以通過以下兩種配置實現:
· 在係統視圖下指定一個認證域,該認證域對所有開啟了MAC地址認證的端口生效。
· 在接口視圖下指定該端口的認證域,不同的端口可以指定不同的認證域。
端口上接入的MAC地址認證用戶將按照如下順序選擇認證域:端口上指定的認證域 > 係統視圖下指定的認證域 > 係統缺省的認證域。關於認證域的相關介紹請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 指定MAC地址認證用戶使用的認證域。
¡ 配置全局MAC地址認證用戶使用的認證域。
mac-authentication domain domain-name
¡ 配置接口上MAC地址認證用戶使用的認證域。
interface interface-type interface-number
mac-authentication domain domain-name
缺省情況下,未指定MAC地址認證用戶使用的認證域,使用係統缺省的認證域。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證用戶的賬號格式。
¡ 配置MAC地址賬號。
mac-authentication user-name-format mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ] [ password { cipher | simple } string ]
¡ 配置固定用戶名賬號。
mac-authentication user-name-format fixed [ account name ] [ password { cipher | simple } string ]
缺省情況下,使用用戶的MAC地址作為用戶名與密碼,其中字母為小寫,且不帶連字符“-”
可配置的MAC地址認證定時器包括以下幾種:
· 下線檢測定時器(offline-detect):用來設置用戶空閑超時的時間間隔。若設備在一個下線檢測定時器間隔之內,沒有收到某在線用戶的報文,將切斷該用戶的連接,同時通知RADIUS服務器停止對其計費。配置offline-detect時,需要將MAC地址老化時間配成相同時間,否則會導致用戶異常下線。
· 靜默定時器(quiet):用來設置用戶認證失敗以後,設備停止對其提供認證服務的時間間隔。在靜默期間,設備不對來自認證失敗用戶的報文進行認證處理,直接丟棄。靜默期後,如果設備再次收到該用戶的報文,則依然可以對其進行認證處理。
· 服務器超時定時器(server-timeout):用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答,則MAC地址認證失敗。
建議將server-timeout的值設定為小於或等於設備發送RADIUS報文的最大嚐試次數(retry)與RADIUS服務器響應超時時間(timer response-timeout)之積。如果server-timeout的值大於retry與timer response-timeout之積,則可能在server-timeout設定的服務器超時時間到達前,用戶被強製下線。
關於發送RADIUS報文的最大嚐試次數、RADIUS服務器響應超時時間的具體配置請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證定時器。
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
缺省情況下,下線檢測定時器為300秒,靜默定時器為60秒,服務器超時定時器取值為100秒。
· 對MAC地址認證用戶進行重認證時,設備將按照如下由高到低的順序為其選擇重認證時間間隔:服務器下發的重認證時間間隔、接口視圖下配置的周期性重認證定時器的值、係統視圖下配置的周期性重認證定時器的值、設備缺省的周期性重認證定時器的值。
· 修改設備上配置的認證域、MAC地址認證的認證方法或MAC地址認證用戶的賬號格式,都不會影響在線用戶的重認證,隻對配置之後新上線的用戶生效。
(1) 進入係統視圖。
system-view
(2) 在係統視圖或接口視圖下配置周期性重認證定時器。
¡ 係統視圖下配置周期性重認證定時器。
mac-authentication timer reauth-period reauth-period-value
缺省情況下,周期性重認證定時器的值為3600秒。
¡ 依次執行以下命令在接口視圖下配置周期性重認證定時器。
interface interface-type interface-number
mac-authentication timer reauth-period reauth-period-value
quit
缺省情況下,端口上未配置MAC地址周期性重認證定時器,端口使用係統視圖下的MAC地址周期性重認證定時器的取值。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟周期性重認證功能
mac-authentication re-authenticate
缺省情況下,周期性重認證功能關閉。
(5) (可選)配置重認證服務器不可達時端口上的MAC地址認證用戶保持在線狀態。
mac-authentication re-authenticate server-unreachable keep-online
缺省情況下,端口上的MAC地址在線用戶重認證時,若認證服務器不可達,則用戶會被強製下線。
開啟端口的MAC地址認證下線檢測功能後,若設備在一個下線檢測定時器間隔之內,未收到此端口下某在線用戶的報文,則將切斷該用戶的連接,同時通知RADIUS服務器停止對此用戶進行計費。
關閉端口的MAC地址認證下線檢測功能後,設備將不會對在線用戶的狀態進行檢測。
設備缺省開啟端口的MAC地址認證的下線檢測,且缺省已配置下線檢測定時器。通過配置指定MAC地址用戶下線檢測功能可以單獨設置端口上某些用戶的檢查參數,或者設置不對某些用戶進行下線檢測:
· 對指定MAC地址用戶設置下線檢測定時器後,若設備在一個下線檢測周期之內,未收到該在線用戶的報文,或設備不存在該MAC地址對應的ARP Snooping或ND Snooping表項,則切斷該用戶的連接,同時通知RADIUS服務器停止對此用戶進行計費。
· 關閉指定MAC地址用戶下線檢測的功能應用於啞終端的認證,避免啞終端用戶因為MAC地址認證的下線檢測功能開啟導致啞終端下線後不能再次上線的問題,保證啞終端用戶長期在線。
對指定MAC地址用戶進行下線檢測設置的優先級由高到低依次為:設備配置的指定MAC地址用戶的下線檢測設置、RADIUS服務器下發的下線檢測設置、端口上的下線檢測設置。其中,RADIUS服務器通過RADIUS屬性為用戶下發下線檢測時間、是否檢查ARP Snooping或ND Snooping表項,或是否進行下線檢測。
如果關閉端口的MAC地址認證下線檢測功能,則不會對端口上的MAC地址認證用戶進行下線檢測,此時配置指定MAC地址用戶的下線檢測功能不生效。
指定MAC地址用戶的下線檢測功能對在線用戶立即生效。
在二層聚合接口上開啟下線檢測功能後,用戶實際下線的時間會相對定時器設定的時間有所延遲。
(1) 進入係統視圖。
system-view
(2) (可選)配置指定MAC地址用戶的下線檢測功能。
mac-authentication offline-detect mac-address mac-address { ignore | timer offline-detect-value [ check-arp-or-nd-snooping ] }
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟端口的MAC地址認證下線檢測功能。
mac-authentication offline-detect enable
缺省情況下,端口的MAC地址認證下線檢測功能處於開啟狀態。
當使用H3C iMC的RADIUS服務器對用戶進行MAC地址認證時,設備支持在線用戶信息同步功能。開啟本功能後,當通過RADIUS服務器探測功能探測到服務器由不可達變為可達後,設備便主動對端口上的所有在線用戶依次向服務器發起認證請求,等到這些用戶均通過認證後,達到服務器上的在線用戶信息與該端口上的在線用戶信息一致的目的。RADIUS服務器探測功能的配置步驟請參見“用戶接入與認證配置指導”中的“AAA”。
在設備向RADIUS服務器同步MAC地址認證在線用戶過程中,特殊情況處理如下:
· 如果在RADIUS服務器可達情況下,某用戶認證失敗,則設備強製該用戶下線。
· 如果在設備發起下一次RADIUS服務器探測前,RADIUS服務器變為不可達而導致用戶認證失敗,則用戶仍然保持在線。
· 如果有新用戶發起認證,則該認證用戶的信息不會向RADIUS服務器進行同步。
· 如果設備配置了周期性重認證功能,當重認證定時器超時時,設備不會對在線用戶發起重認證,而是對用戶進行同步操作。
MAC地址認證的在線用戶信息同步功能隻能與H3C iMC服務器配合使用。
本功能需要與RADIUS服務器探測功能配合使用。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟MAC地址認證的在線用戶信息同步功能。
mac-authentication server-recovery online-user-sync
缺省情況下,MAC地址認證的在線用戶信息同步功能處於關閉狀態。
由於係統資源有限,如果當前端口下接入的用戶過多,接入用戶之間會發生資源的爭用,因此適當地配置該值可以使端口上已經接入的用戶獲得可靠的性能保障。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口上最多允許同時接入的MAC地址認證用戶數。
mac-authentication max-user max-number
缺省情況下,端口上最多允許同時接入的MAC地址認證用戶數為4294967295。
MAC地址認證的端口可以工作在單VLAN模式或多VLAN模式。端口工作在單VLAN模式時,在賬號已通過MAC地址認證,且沒有被下發授權VLAN情況下,如果此賬號在相同端口上的不同VLAN再次接入,則設備將讓原賬號下線,使得該賬號能夠在新的VLAN內重新開始認證。如果已通過MAC地址認證的賬號被下發了授權VLAN,則此賬號在屬於不同VLAN的相同端口再次接入時不會被強製下線。端口工作在多VLAN模式時,如果相同MAC地址的賬號在相同端口上的不同VLAN再次接入,設備將能夠允許賬號的流量在新的VLAN內通過,且允許該用戶的報文無需重新認證而在多個VLAN中轉發。
對於接入IP電話類用戶的端口,指定端口工作在MAC地址認證的多VLAN模式或為IP電話類用戶授權VLAN,可避免IP電話終端的報文所攜帶的VLAN tag發生變化後,因用戶流量需要重新認證帶來語音報文傳輸質量受幹擾的問題。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口工作在MAC地址認證的多VLAN模式。
mac-authentication host-mode multi-vlan
缺省情況下,端口工作在MAC地址認證的單VLAN模式。
端口同時開啟了MAC地址認證和802.1X認證的情況下,某些組網環境中希望設備對用戶報文先進行802.1X認證。例如,有些客戶端在發送802.1X認證請求報文之前,就已經向設備發送了其它報文,比如DHCP報文,因而觸發了並不期望的MAC地址認證。這種情況下,可以開啟端口的MAC地址認證延時功能。開啟該功能後,端口就不會在收到用戶報文時立即觸發MAC地址認證,而是會等待一定的延遲時間,若在此期間該用戶一直未進行802.1X認證或未成功通過802.1X認證,則延遲時間超時後端口會對之前收到的用戶報文進行MAC地址認證。
開啟了MAC地址認證延遲功能的端口上不建議同時配置端口安全的模式為mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否則MAC地址認證延遲功能不生效。端口安全模式的具體配置請參見“用戶接入與認證配置指導”中的“端口安全”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟MAC地址認證延遲功能,並指定延遲時間。
mac-authentication timer auth-delay time
缺省情況下,MAC地址認證延遲功能處於關閉狀態。
在終端用戶采用靜態IP地址方式接入的組網環境中,如果終端用戶擅自修改自己的IP地址,則整個網絡環境中可能會出現IP地址衝突等問題。
為了解決以上問題,管理員可以在端口上開啟MAC地址認證請求中攜帶用戶IP地址的功能,用戶在進行MAC地址認證時,設備會把用戶的IP地址上傳到iMC服務器。然後iMC服務器會把認證用戶的IP地址和MAC地址與服務器上已經存在的IP與MAC的綁定表項進行匹配,如果匹配成功,則該用戶MAC地址認證成功;否則,MAC地址認證失敗。
配置本功能後,當有用戶接入時,設備會檢查用戶報文中的IP地址是否合法,並進行相應處理:
· 當用戶的IP地址合法時,設備攜帶用戶IP地址向服務器發起MAC地址認證請求;
· 當用戶報文未攜帶IP地址或用戶的IP地址不合法時,設備不對用戶進行MAC地址認證。
· 收到源IP為0.0.0.0的DHCP報文時,設備會向服務器發起MAC地址認證請求,但認證報文中不攜帶IP地址。認證是否通過取決於認證服務器側的配置。
H3C的iMC服務器上IP與MAC地址信息綁定表項的生成方式如下:
· 如果在iMC服務器上創建用戶時手工指定了用戶的IP地址和MAC地址信息,則服務器使用手工指定的IP和MAC信息生成該用戶的IP與MAC地址的綁定表項。
· 如果在iMC服務器上創建用戶時未手工指定用戶的IP地址和MAC地址信息,則服務器使用用戶初次進行MAC地址認證時使用的IP地址和MAC地址生成該用戶的IP與MAC地址的綁定表項。
終端用戶采用靜態IP地址接入時,實際組網應用中會出現用戶報文中攜帶的IP地址並非用戶實際IP地址的情況,例如在IPv4靜態地址組網中,用戶報文攜帶的IP地址為以fe80開頭的IPv6鏈路本地地址。配置本功能後,設備會攜帶非用戶實際的IP地址向服務器發起MAC地址認證請求,此種情況會導致服務器為用戶綁定錯誤的IP地址或IP地址與MAC地址匹配失敗。為避免上述情況發生,可以在配置本功能時指定exclude-ip acl參數,不允許ACL中指定網段(上述舉例中需指定fe80網段)的用戶進行MAC地址認證。
配置exclude-ip acl時,僅支持配置基本ACL,且僅根據規則中配置的源IP地址進行過濾。建議ACL中配置deny規則來拒絕指定網段的用戶進行MAC地址認證。如果ACL中僅配置了permit規則,則表示允許指定網段的用戶進行MAC地址認證,這樣的配置並沒有實際意義。如果希望隻允許某個網段用戶進行MAC地址認證,可在ACL中同時配置一條指定網段的permit規則和一條deny all規則來實現。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MAC地址認證請求中攜帶用戶IP地址。
mac-authentication carry user-ip [ exclude-ip acl acl-number ]
缺省情況下,MAC地址認證請求中不攜帶用戶IP地址。
端口采用802.1X和MAC地址組合認證,且端口所連接的用戶有不能主動發送EAP報文觸發802.1X認證的情況下,如果端口配置了802.1X單播觸發功能,則端口收到源MAC地址未知的報文,會先進行802.1X認證處理,完成後再進行MAC地址認證處理。
配置端口的MAC地址認證和802.1X認證並行處理功能後,在上述情況下,端口收到源MAC地址未知的報文,會向該MAC地址單播發送EAP-Request幀來觸發802.1X認證,但不等待802.1X認證處理完成,就同時進行MAC地址認證的處理。
端口采用802.1X和MAC地址組合認證功能適用於如下情況:
· 端口上同時開啟了802.1X和MAC地址認證功能,並配置了802.1X認證的端口的接入控製方式為macbased。
· 開啟了端口安全功能,並配置了端口安全模式為userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具體配置請參見“用戶接入與認證命令參考”中的“端口安全”。
為保證MAC地址認證和802.1X認證並行處理功能的正常使用,不建議配置端口的MAC地址認證延遲功能,否則端口觸發802.1X認證後,仍會等待一定的延遲後再進行MAC地址認證。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口的MAC地址認證和802.1X認證並行處理功能。
mac-authentication parallel-with-dot1x
缺省情況下,端口在收到源MAC地址未知的報文觸發認證時,按照802.1X完成後再進行MAC地址認證的順序進行處理。
MAC地址認證接入用戶日誌信息是為了滿足網絡管理員維護的需要,對MAC地址認證用戶的接入信息進行記錄。設備生成的MAC地址認證接入用戶日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“設備管理配置指導”中的“信息中心”。
為了防止設備輸出過多的MAC地址認證接入用戶日誌信息,一般情況下建議關閉此功能。
(1) 進入係統視圖。
system-view
(2) 開啟MAC地址認證接入用戶日誌信息功能。
mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
缺省情況下,MAC地址認證接入用戶日誌信息功能處於關閉狀態。
配置本命令時,如果未指定任何參數,將同時開啟所有參數對應的日誌功能。
可在任意視圖下執行以下命令:
· 顯示MAC地址認證的相關信息。
display mac-authentication [ interface interface-type interface-number ]
· 顯示MAC地址認證連接信息。
display mac-authentication connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name user-name ]
請在用戶視圖下執行以下命令:
· 清除MAC地址認證的統計信息。
reset mac-authentication statistics [ interface interface-type interface-number ]
如圖1-3所示,某子網的用戶主機與設備的端口GigabitEthernet0/0/1相連接。
· 設備的管理者希望在端口GigabitEthernet0/0/1上對用戶接入進行MAC地址認證,以控製它們對Internet的訪問。
· 要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於ISP域bbb,認證時使用本地認證的方式。
· 使用用戶的MAC地址作用戶名和密碼,其中MAC地址帶連字符、字母小寫。
圖1-3 啟動MAC地址認證對接入用戶進行本地認證
# 添加網絡接入類本地接入用戶。本例中添加Host A的本地用戶,用戶名和密碼均為Host A的MAC地址08-00-27-12-34-56,服務類型為lan-access。
<Device> system-view
[Device] local-user 08-00-27-12-34-56 class network
[Device-luser-network-08-00-27-12-34-56] password simple 08-00-27-12-34-56
[Device-luser-network-08-00-27-12-34-56] service-type lan-access
[Device-luser-network-08-00-27-12-34-56] quit
# 配置ISP域,使用本地認證方法。
[Device] domain bbb
[Device-isp-bbb] authentication lan-access local
[Device-isp-bbb] quit
# 開啟端口GigabitEthernet0/0/1的MAC地址認證。
[Device] interface gigabitethernet 0/0/1
[Device-GigabitEthernet0/0/1] mac-authentication
[Device-GigabitEthernet0/0/1] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證的定時器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址認證用戶的賬號格式:使用帶連字符的MAC地址作為用戶名與密碼,其中字母小寫。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 當用戶接入端口GigabitEthernet0/0/1之後,可以通過如下顯示信息看到Host A成功通過認證,處於上線狀態,Host B沒有通過認證,它的MAC地址被加入靜默MAC列表。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
User name format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 180 s
Quiet period : 180 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : bbb
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
0800-2711-1111 8 GE1/0/1 1
GigabitEthernet0/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Enabled
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
0800-2712-3456 Authenticated
如圖1-4所示,用戶主機Host通過端口GigabitEthernet0/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費。
· 設備的管理者希望在端口GigabitEthernet0/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。
· RADIUS服務器和設備上均采用CHAP認證方法。
· 要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於域2000,認證時采用固定用戶名賬號,用戶名為aaa,密碼為123456TESTplat&!。
圖1-4 啟動MAC地址認證對接入用戶進行RADIUS認證
配置RADIUS服務器,添加接入用戶賬戶(用戶名為aaa,密碼為123456TESTplat&!),並保證用戶的認證/授權/計費功能正常運行。
# 配置RADIUS方案。
<Device> system-view
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置MAC地址認證的認證方法為CHAP。
[Device] mac-authentication authentication-method chap
# 配置ISP域的AAA方法。
[Device] domain bbb
[Device-isp-bbb] authentication default radius-scheme 2000
[Device-isp-bbb] authorization default radius-scheme 2000
[Device-isp-bbb] accounting default radius-scheme 2000
[Device-isp-bbb] quit
# 開啟端口GigabitEthernet0/0/1的MAC地址認證。
[Device] interface gigabitethernet 0/0/1
[Device-GigabitEthernet0/0/1] mac-authentication
[Device-GigabitEthernet0/0/1] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證的定時器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址認證使用固定用戶名賬號:用戶名為aaa,密碼為明文123456TESTplat&!。
[Device] mac-authentication user-name-format fixed account aaa password simple 123456TESTplat&!
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 顯示MAC地址認證配置信息。
[Device] display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : CHAP
Username format : Fixed account
Username : aaa
Password : ******
Offline detect period : 180 s
Quiet period : 180 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : bbb
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet0/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Enabled
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
0800-2712-3456 Authenticated
如圖1-5所示,用戶主機Host通過端口GigabitEthernet0/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費,Internet網絡中有一台FTP服務器,IP地址為10.0.0.1。現有如下組網需求:
· 在端口GigabitEthernet0/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。認證時使用用戶的源MAC地址做用戶名和密碼,其中MAC地址帶連字符、字母小寫。
· 當用戶認證成功上線後,允許用戶訪問除FTP服務器之外的Internet資源。
圖1-5 下發ACL典型配置組網圖
配置RADIUS服務器,添加接入用戶賬戶(用戶名為08-00-27-12-34-56,密碼為08-00-27-12-34-56),指定要授權下發的ACL 3000,並保證用戶的認證/授權/計費功能正常運行。
(1) 配置授權ACL
# 配置ACL 3000,拒絕目的IP地址為10.0.0.1的報文通過。
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[Device-acl-ipv4-adv-3000] quit
(2) 配置使用RADIUS服務器進行MAC地址認證
# 配置RADIUS方案。
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置ISP域的AAA方法。
[Device] domain bbb
[Device-isp-bbb] authentication default radius-scheme 2000
[Device-isp-bbb] authorization default radius-scheme 2000
[Device-isp-bbb] accounting default radius-scheme 2000
[Device-isp-bbb] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證用戶的賬號格式:使用帶連字符的MAC地址做用戶名與密碼,其中字母小寫。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 開啟端口GigabitEthernet0/0/1上的MAC地址認證。
[Device] interface gigabitethernet 0/0/1
[Device-GigabitEthernet0/0/1] mac-authentication
[Device-GigabitEthernet0/0/1] quit
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 顯示MAC地址認證配置信息。
[Device] display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enable
Authentication method : PAP
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : bbb
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet0/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Enabled
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
0800-2712-3456 Authenticated
用戶認證上線後,Ping FTP服務器,發現服務器不可達,說明認證服務器下發的ACL 3000已生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
