- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-MAC地址認證配置
本章節下載: 03-MAC地址認證配置 (555.76 KB)
目 錄
1.13 配置MAC地址認證的Critical Voice VLAN
1.14 配置MAC地址認證非認證成功VLAN的用戶老化功能
1.22 配置端口MAC地址認證和802.1X認證並行處理功能
1.26.2 使用RADIUS服務器進行MAC地址認證配置舉例
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法,無需安裝客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以後,啟動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或密碼。若該用戶認證成功,則允許其通過端口訪問網絡資源,否則該用戶的MAC地址就被設置為靜默MAC。在靜默時間內,來自此MAC地址的用戶報文到達時,設備直接做丟棄處理,以防止非法MAC短時間內的重複認證。
MAC地址認證用戶使用的賬號格式分為兩種:
· MAC地址賬號:設備使用源MAC地址作為用戶認證時的用戶名和密碼,或者使用MAC地址作為用戶名,並配置密碼。以使用源MAC地址作為用戶認證時的用戶名和密碼為例,如圖1-1所示。
· 固定用戶名賬號:
¡ 通用固定用戶名:所有MAC地址認證用戶均使用設備上指定的一個固定用戶名和密碼替代用戶的MAC地址作為身份信息進行認證,如圖1-2所示。由於同一個端口下可以有多個用戶進行認證,因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名進行認證,服務器端僅需要配置一個用戶帳戶即可滿足所有認證用戶的認證需求,適用於接入客戶端比較可信的網絡環境。
¡ 專用固定用戶名:MAC地址認證還支持對特定MAC地址範圍的用戶單獨設置用戶名和密碼(例如對指定OUI的MAC地址單獨設置用戶名和密碼),相當於對指定MAC地址範圍的用戶使用固定用戶名和密碼。服務器端需要根據設備配置的賬號創建對應的賬號。如圖1-3所示。
圖1-1 MAC地址賬號的MAC地址認證示意圖
圖1-2 固定用戶名賬號的MAC地址認證示意圖
圖1-3 專用固定用戶名賬號的MAC地址認證示意圖
目前設備支持兩種方式的MAC地址認證,通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器進行遠程認證和在接入設備上進行本地認證。有關遠程RADIUS認證和本地認證的詳細介紹請參見“安全配置指導”中的“AAA”。
當選用RADIUS服務器認證方式進行MAC地址認證時,設備作為RADIUS客戶端,與RADIUS服務器配合完成MAC地址認證操作:
· 若采用MAC地址賬號,如果未配置密碼,則設備將檢測到的用戶MAC地址作為用戶名和密碼發送給RADIUS服務器進行驗證。如果配置了密碼,則設備將檢測到的用戶MAC地址作為用戶名,配置的密碼作為密碼發送給RADIUS服務器進行驗證。
· 若采用固定用戶名賬號,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼,發送給RADIUS服務器進行驗證。
RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問網絡。
設備與服務器之間采用PAP(Password Authentication Protocol,密碼認證協議)或CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)方法進行認證。
當選用本地認證方式進行MAC地址認證時,直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼:
· 若采用MAC地址賬號,如果未配置密碼,則設備將檢測到的用戶MAC地址作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。如果配置了密碼,則設備將檢測到的用戶MAC地址作為用戶名,配置的密碼作為密碼與配置的本地用戶名和密碼進行匹配。
· 若采用固定用戶名賬號,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
用戶名和密碼匹配成功後,用戶可以訪問網絡。
為了將受限的網絡資源與未認證用戶隔離,通常將受限的網絡資源和未認證的用戶劃分到不同的VLAN。MAC地址認證支持遠程AAA服務器/接入設備下發授權VLAN,即當用戶通過MAC地址認證後,遠程AAA服務器/接入設備將指定的受限網絡資源所在的VLAN作為授權VLAN下發到用戶進行認證的端口。該端口被加入到授權VLAN中後,用戶便可以訪問這些受限的網絡資源。
該方式下,需要在AAA服務器上指定下發給用戶的授權VLAN信息,下發的授權VLAN信息可以有多種形式,包括數字型VLAN和字符型VLAN,字符型VLAN又可分為VLAN名稱、VLAN組名、攜帶後綴的VLAN ID(後綴隻能為字母u或t,用於標識是否攜帶Tag)。
設備收到服務器的授權VLAN信息後,首先對其進行解析,隻要解析成功,即以對應的方法下發授權VLAN;如果解析不成功,則用戶授權失敗。
· 若認證服務器下發的授權VLAN信息為一個VLAN ID或一個VLAN名稱,則僅當對應的VLAN不為動態學習到的VLAN、保留VLAN和Private VLAN時,該VLAN才是有效的授權VLAN。當認證服務器下發VLAN名稱時,對應的VLAN必須為已存在的VLAN。
· 若認證服務器下發的授權VLAN信息為一個VLAN組名,則設備首先會通過組名查找該組內配置的VLAN列表。若查找到授權VLAN列表,則在這一組VLAN中,除動態VLAN、Private VLAN之外的所有VLAN都有資格被授權給用戶。關於VLAN組的相關配置,請參見“二層技術-以太網交換配置指導”中的“VLAN”。
¡ 當端口鏈路類型為Hybrid,且使能了MAC VLAN功能時,若端口上已有其他用戶,則將選擇該組VLAN中在線用戶最少的一個VLAN作為當前認證用戶的授權VLAN(若在線用戶最小的VLAN有多個,則選擇VLAN ID最小者)。
¡ 當端口鏈路類型為Hybrid,但未使能MAC VLAN功能或端口鏈路類型為access或trunk時:
- 若端口上已有其他在線用戶,則查看端口上在線用戶的授權VLAN是否存在於該組中:存在,則將此VLAN授權給當前的認證用戶;否則,認為當前認證用戶授權失敗,將被強製下線。
- 若當前用戶為端口上第一個在線用戶,則直接將該組VLAN中ID最小的VLAN授權給當前的認證用戶。
· 若認證服務器下發的授權VLAN信息為一個包含若幹VLAN ID以及若幹VLAN名稱的字符串,則設備首先將其解析為一組VLAN列表,然後采用與解析一個VLAN組名相同的解析邏輯選擇一個授權VLAN。
· 若認證服務器下發的授權VLAN信息為一個包含若幹個“VLAN ID+後綴”形式的字符串,則隻有第一個不攜帶後綴或者攜帶untagged後綴的VLAN將被解析為唯一的untagged的授權VLAN,其餘VLAN都被解析為tagged的授權VLAN。例如服務器下發字符串“1u 2t 3”,其中的u和t均為後綴,分別表示untagged和tagged。該字符串被解析之後,VLAN 1為untagged的授權VLAN,VLAN 2和VLAN 3為tagged的授權VLAN。該方式下發的授權VLAN僅對端口鏈路類型為Hybrid或Trunk的端口有效。
¡ 端口的缺省VLAN將被修改為untagged的授權VLAN。若不存在untagged的授權VLAN,則不修改端口的缺省VLAN。
¡ 端口將允許所有解析成功的授權VLAN通過。
對於Release 6318P01及以上版本,設備支持通過在計費請求報文中攜帶User-VLAN-ID屬性來攜帶MAC地址認證用戶的授權VLAN信息,從而使AAA服務器上輸出的相關日誌可以包含用戶的授權VLAN信息。
· 若服務器下發的授權VLAN信息為一個VLAN ID或一個VLAN名稱,則通過User-VLAN-ID屬性攜帶的VLAN信息就是服務器下發的授權VLAN。
· 若服務器下發的授權VLAN信息為一個VLAN組名或一個包含若幹VLAN編號以及若幹VLAN名稱的字符串,則設備首先會通過下發的組名或字符串查找VLAN列表,然後根據相應的規則選擇一個授權VLAN。如果設備未確定授權VLAN的情況下,需要向服務器發送計費開始請求報文,則設備會將用戶的初始VLAN作為授權VLAN攜帶在User-VLAN-ID屬性中發送給服務器,後續會在計費更新報文或計費停止報文中攜帶服務器下發的授權VLAN。
· 若服務器下發的授權VLAN信息為一個包含若幹個“VLAN ID+後綴”形式的字符串,解析之後,若存在untagged的授權VLAN,則通過User-VLAN-ID屬性攜帶的VLAN信息就是被解析為untagged的授權VLAN;若不存在untagged的授權VLAN,則通過User-VLAN-ID屬性攜帶的授權VLAN信息為用戶的初始VLAN。
該方式下,可以通過配置本地用戶的授權屬性指定下發給用戶的授權VLAN信息,且隻能指定一個授權VLAN。設備將此VLAN作為該本地用戶的授權VLAN。關於本地用戶的相關配置,請參見“安全配置指導”中的“AAA”。
設備根據用戶接入的端口鏈路類型和授權的VLAN是否攜帶Tag,按如下情況將端口加入到下發的授權VLAN中。需要注意的是,僅遠程AAA服務器支持授權攜帶Tag的VLAN。
授權VLAN未攜帶Tag的情況下:
· 若用戶從Access類型的端口接入,則端口離開當前VLAN並加入第一個通過認證的用戶的授權VLAN中。
· 若用戶從Trunk類型的端口接入,則設備允許下發的授權VLAN通過該端口,並且修改該端口的缺省VLAN為第一個通過認證的用戶的授權VLAN。
· 若用戶從Hybrid類型的端口接入,則設備允許授權下發的授權VLAN以不攜帶Tag的方式通過該端口,並且修改該端口的缺省VLAN為第一個通過認證的用戶的授權VLAN。需要注意的是,若該端口上使能了MAC VLAN功能,則設備將根據認證服務器/接入設備下發的授權VLAN動態地創建基於用戶MAC地址的VLAN,而端口的缺省VLAN並不改變。
授權VLAN攜帶Tag的情況下:
· 若用戶從Access類型的端口接入,則不支持下發帶Tag的VLAN。
· 若用戶從Trunk類型的端口接入,則設備允許授權下發的VLAN以攜帶Tag的方式通過該端口,但是不會修改該端口的缺省VLAN。
· 若用戶從Hybrid類型的端口接入,則設備允許授權下發的VLAN以攜帶Tag的方式通過該端口,但是不會修改該端口的缺省VLAN。
授權VLAN並不影響端口的配置。但是,對於Access端口和Trunk端口,授權VLAN的優先級高於端口配置的VLAN,即通過認證後起作用的VLAN是授權VLAN,端口配置的VLAN在用戶下線後生效。對於Hybrid端口,當授權VLAN攜帶Tag的情況與端口配置的VLAN情況不一致(例如授權VLAN攜帶Tag,而端口配置的VLAN不攜帶Tag)時,授權VLAN不生效,通過認證後起作用的VLAN仍為端口配置的VLAN(例如,授權VLAN為VLAN 30 untagged,而端口配置的為VLAN 30 tagged,則VLAN 30 tagged生效);當授權VLAN攜帶Tag的情況與端口配置的VLAN情況一致時,授權VLAN的優先級高於端口配置的VLAN。
· 對於Hybrid端口,如果認證用戶的報文攜帶VLAN Tag,則應通過port hybrid vlan命令配置該端口在轉發指定的VLAN報文時攜帶VLAN Tag;如果認證用戶的報文不攜帶VLAN Tag,則應配置該端口在轉發指定的VLAN報文時不攜帶VLAN Tag。否則,當服務器沒有授權下發VLAN時,用戶雖然可以通過認證但不能訪問網絡。
· 在授權VLAN未攜帶Tag的情況下,隻有開啟了MAC VLAN功能的端口上才允許給不同的用戶MAC授權不同的VLAN。如果沒有開啟MAC VLAN功能,授權給所有用戶的VLAN必須相同,否則僅第一個通過認證的用戶可以成功上線。
· 在授權VLAN攜帶Tag的情況下,無論是否開啟了MAC VLAN功能,設備都會給不同的用戶授權不同的VLAN。
MAC地址認證的Guest VLAN功能允許用戶在認證失敗的情況下訪問某一特定VLAN中的資源,比如獲取客戶端軟件,升級客戶端或執行其他一些用戶升級程序。這個VLAN稱之為Guest VLAN。
需要注意的是,這裏的認證失敗是認證服務器因某種原因明確拒絕用戶認證通過,比如用戶密碼錯誤,而不是認證超時或網絡連接等原因造成的認證失敗。
如果接入用戶的端口上配置了Guest VLAN,則該端口上認證失敗的用戶會被加入Guest VLAN,且設備允許Guest VLAN以不攜帶Tag的方式通過該端口,即該用戶被授權訪問Guest VLAN裏的資源。用戶被加入Guest VLAN之後,設備將以指定的時間間隔對該用戶發起重新認證,若Guest VLAN中的用戶再次發起認證未成功,則該用戶將仍然處於Guest VLAN內;若認證成功,則會根據AAA服務器/接入設備是否下發授權VLAN決定是否將用戶加入到下發的授權VLAN中,在AAA服務器/接入設備未下發授權VLAN的情況下,用戶回到缺省VLAN中。若Guest VLAN中的用戶再次發起認證時,認證服務器不可達,則該用戶將仍然處於Guest VLAN內,並不會加入到Critical VLAN中。
MAC地址認證Critical VLAN功能允許用戶在所有認證服務器都不可達的情況下訪問某一特定VLAN中的資源,這個VLAN稱之為Critical VLAN。在端口上配置Critical VLAN後,若該端口上有用戶認證時,所有認證服務器都不可達,則端口將允許Critical VLAN通過,用戶將被授權訪問Critical VLAN裏的資源。已經加入Critical VLAN的端口上有用戶發起認證時,如果所有認證服務器不可達,則端口仍然在Critical VLAN內;如果服務器可達且認證失敗,且端口配置了Guest VLAN,則該端口將會加入Guest VLAN,否則回到缺省VLAN中;如果服務器可達且認證成功,則會根據AAA服務器是否下發授權VLAN決定是否將用戶加入到下發的授權VLAN中,在AAA服務器未下發授權VLAN的情況下,用戶回到缺省VLAN中。
MAC地址認證的Critical Voice VLAN功能允許語音用戶進行MAC地址認證時,若采用的ISP域中的所有認證服務器都不可達,則訪問端口上已配置的Voice VLAN中的資源,這個VLAN也被稱為MAC地址認證的Critical Voice VLAN。已經加入Critical Voice VLAN的端口上有用戶發起認證時,如果所有認證服務器不可達,則端口仍然在Critical Voice VLAN內;如果服務器可達且認證失敗,且端口配置了Guest VLAN,則該端口將會加入Guest VLAN,否則回到缺省VLAN中;如果服務器可達且認證成功,則會根據AAA服務器是否下發授權VLAN決定是否將用戶加入到下發的授權VLAN中,在AAA服務器未下發授權VLAN的情況下,用戶回到缺省VLAN中。
由遠程AAA服務器/接入設備下發給用戶的ACL被稱為授權ACL,它為用戶訪問網絡提供了良好的過濾條件設置功能。當用戶通過MAC地址認證後,如果遠程AAA服務器/接入設備上為用戶指定了授權ACL,則設備會根據下發的授權ACL對用戶所在端口的數據流進行控製,與授權ACL規則匹配的流量,將按照規則中指定的permit或deny動作進行處理。
MAC地址認證支持下發靜態ACL和動態ACL,兩種類型的ACL的區別如下:
· 靜態ACL可由RADIUS服務器或設備本地授權,且授權的內容是ACL編號。因此,設備上需要創建該ACL並配置對應的ACL規則。管理員可以通過改變授權的ACL編號或設備上對應的ACL規則來改變用戶的訪問權限。
· 動態ACL隻能由RADIUS服務器授權,且授權的內容是ACL名稱和對應的ACL規則。設備收到下發的動態ACL信息後,會自動根據該授權ACL的名稱和規則創建一個同名的動態ACL。如果設備上已存在相同名稱的靜態ACL,則動態ACL下發失敗,用戶上線失敗。當匹配該ACL的用戶都下線後,設備自動刪除該ACL。服務器下發的動態ACL隻能通過display mac-authentication connection或display acl命令查看,不能進行任何修改,也不能手工刪除。
僅Release 6309P01及以上版本支持下發動態ACL。
MAC地址認證可成功授權的ACL類型為基本ACL(ACL編號為2000~2999)、高級ACL(ACL編號為3000~3999)和二層ACL(ACL編號為4000~4999)。但當下發的ACL不存在、未配置ACL規則或ACL規則配置了counting、established、fragment、source-mac、cos、dest-mac、lsap、vxlan或logging參數時,授權ACL不生效。有關ACL規則的具體介紹,請參見“ACL和QoS命令參考”中的“ACL”。
從認證服務器(遠程或本地)下發的User Profile被稱為授權User Profile,它為用戶訪問網絡提供了良好的過濾條件設置功能。MAC地址認證支持認證服務器授權下發User Profile功能,即當用戶通過MAC地址認證後,如果認證服務器上配置了授權User Profile,則設備會根據服務器下發的授權User Profile對用戶所在端口的數據流進行控製。為使下發的授權User Profile生效,需要提前在設備上配置相應的User Profile。而且在用戶訪問網絡的過程中,可以通過改變服務器的授權User Profile名稱或者設備對應的User Profile配置來改變用戶的訪問權限。
用戶通過MAC地址認證後,設備會根據RADIUS服務器下發的重定向URL屬性,將用戶的HTTP或HTTPS請求重定向到指定的Web認證頁麵。Web認證通過後,RADIUS服務器記錄用戶的MAC地址信息,並通過DM報文強製Web用戶下線。此後該用戶再次進行MAC地址認證,由於RADIUS服務器上已記錄該用戶和其MAC地址的對應信息,用戶可以成功上線。
設備對HTTPS報文進行重定向的內部偵聽端口號缺省為6654。如果需要修改該端口號,具體配置請參見“三層技術-IP業務配置指導”中的“HTTP重定向”。
MAC地址重認證是指設備周期性對端口上在線的MAC地址認證用戶發起重認證,以檢測用戶連接狀態的變化、確保用戶的正常在線,並及時更新服務器下發的授權屬性(例如ACL、VLAN等)。
認證服務器可以通過下發RADIUS屬性(session-timeout、Termination-action)來指定用戶會話超時時長以及會話中止的動作類型。認證服務器上如何下發以上RADIUS屬性的具體配置以及是否可以下發重認證周期的情況與服務器類型有關,請參考具體的認證服務器實現。
設備作為RADIUS DAE服務器,認證服務器作為RADIUS DAE客戶端時,後者可以通過COA(Change of Authorization)Messages向用戶下發重認證屬性,這種情況下,無論設備上是否開啟了周期性重認證功能,端口都會立即對該用戶發起重認證。關於RADIUS DAE服務器的詳細內容,請參見“安全配置指導”中的“AAA”。
MAC地址認證用戶認證通過後,端口對用戶的重認證功能具體實現如下:
· 當認證服務器下發了用戶會話超時時長,且指定的會話中止的動作類型為要求用戶進行重認證時,則無論設備上是否開啟周期性重認證功能,端口均會在用戶會話超時時長到達後對該用戶進行重認證;
· 當認證服務器下發了用戶會話超時時長,且指定的會話中止的動作類型為要求用戶下線時:
¡ 若設備上開啟了周期性重認證功能,且設備上配置的重認證定時器值小於用戶會話超時時長,則端口會以重認證定時器的值為周期向該端口在線MAC地址認證用戶發起重認證;若設備上配置的重認證定時器值大於等於用戶會話超時時長,則端口會在用戶會話超時時長到達後強製該用戶下線;
¡ 若設備上未開啟周期性重認證功能,則端口會在用戶會話超時時長到達後強製該用戶下線。
· 當認證服務器未下發用戶會話超時時長時,是否對用戶進行重認證,由設備上配置的重認證功能決定。
· 對於已在線的MAC地址認證用戶,要等當前重認證周期結束並且認證通過後才會按新配置的周期進行後續的重認證。
· MAC地址重認證過程中,重認證服務器不可達時端口上的MAC地址認證用戶狀態由端口上的配置決定。在網絡連通狀況短時間內不良的情況下,合法用戶是否會因為服務器不可達而被強製下線,需要結合實際的網絡狀態來調整。若配置為保持用戶在線,當服務器在短時間內恢複可達,則可以避免用戶頻繁上下線;若配置為強製下線,當服務器可達性在短時間內不可恢複,則可避免用戶在線狀態長時間與實際不符。
· 在用戶名不改變的情況下,端口允許重認證前後服務器向該用戶下發不同的VLAN。
在接口下配置MAC地址認證功能時需要注意:
· 僅支持在二層以太網接口上配置MAC地址認證認證功能,不支持在二層聚合組的成員端口上開啟MAC地址認證認證功能。
· 當端口上配置的MAC地址認證的Guest VLAN、Critical VLAN中存在用戶時,不允許切換該端口的鏈路類型。
若配置的靜態MAC或者當前認證通過的MAC地址與靜默MAC相同,則MAC地址認證失敗後的MAC靜默功能將會失效。
當用戶認證成功後被授權重定向URL時,用戶報文進入的VLAN裏必須有三層接口(比如VLAN接口)存在,否則將導致HTTPS重定向失敗。
MAC地址認證配置任務如下:
(1) 開啟MAC地址認證
(2) 配置MAC地址認證基本功能
¡ (可選)配置MAC地址認證定時器
¡ (可選)配置MAC地址認證的重認證
(3) (可選)配置MAC地址認證授權VLAN功能
¡ 配置MAC地址認證的Critical Voice VLAN
(4) (可選)配置MAC地址認證其它功能
允許用戶在相同端口的不同VLAN間遷移時無須重認證。
· 配置MAC地址認證之前,請保證端口安全功能關閉,具體配置請參見“安全配置指導”中的“端口安全”。
· 配置MAC地址認證之前,需完成配置ISP域和認證方式,具體配置請參見“安全配置指導”中的“AAA”。
¡ 若采用本地認證方式,還需創建本地用戶並設置其密碼,且本地用戶的服務類型應設置為lan-access。
¡ 若采用遠程RADIUS認證方式,需要確保設備與RADIUS服務器之間的路由可達,並添加MAC地址認證用戶賬號。
隻有全局和端口的MAC地址認證均開啟後,MAC地址認證配置才能在端口上生效。
如果設備上ACL資源全部被占用,則進行如下操作時,對應接口上的MAC地址認證功能不能生效:
· 係統視圖下使能了MAC地址認證時,二層以太網接口下的MAC地址認證由未使能改為使能。
· 二層以太網接口下使能了MAC地址認證時,係統視圖下的MAC地址認證由未使能改為使能。
(1) 進入係統視圖。
system-view
(2) 開啟全局MAC地址認證。
mac-authentication
缺省情況下,全局的MAC地址認證處於關閉狀態。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟端口MAC地址認證。
mac-authentication
缺省情況下,端口的MAC地址認證處於關閉狀態。
當通過RADIUS服務器進行MAC地址認證時,MAC地址認證支持兩種類型的認證方法:
· PAP認證方法通過用戶名和密碼來對用戶進行驗證,其特點是在網絡上以明文方式傳送用戶名和密碼,僅適用於對網絡安全要求相對較低的環境。
· CHAP認證方法使用客戶端與服務器端交互挑戰信息的方式來驗證用戶身份,其特點是在網絡上以明文方式傳送用戶名,以密文方式傳輸密碼。與PAP相比,CHAP認證保密性較好,更為安全可靠。
設備上配置的認證方法必須和RADIUS服務器上采用的認證方法保持一致。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證采用的認證方法。
mac-authentication authentication-method { chap | pap }
缺省情況下,設備采用PAP認證方法進行MAC地址認證。
為了便於接入設備的管理員更為靈活地部署用戶的接入策略,設備支持指定MAC地址認證用戶使用的認證域,可以通過以下兩種配置實現:
· 在係統視圖下指定一個認證域,該認證域對所有開啟了MAC地址認證的端口生效。
· 在接口視圖下指定該端口的認證域,不同的端口可以指定不同的認證域。
端口上接入的MAC地址認證用戶將按照如下順序選擇認證域:端口上指定的認證域 > 係統視圖下指定的認證域 > 係統缺省的認證域。關於認證域的相關介紹請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 指定MAC地址認證用戶使用的認證域。
¡ 配置全局MAC地址認證用戶使用的認證域。
mac-authentication domain domain-name
¡ 配置接口上MAC地址認證用戶使用的認證域。
interface interface-type interface-number
mac-authentication domain domain-name
缺省情況下,未指定MAC地址認證用戶使用的認證域,使用係統缺省的認證域。
mac-authentication mac-range-account命令的優先級高於mac-authentication user-name-format命令。
設備最多允許配置16個MAC地址範圍,但不允許指定的MAC地址重疊。如果新配置命令的MAC地址範圍與已有的MAC地址範圍完全相同,則後配置的命令會覆蓋已有的命令。
配置指定MAC地址範圍的MAC地址認證用戶名和密碼功能僅對單播MAC地址範圍有效。若配置的MAC地址範圍僅包含組播地址,則配置失敗;若既包含組播地址,也包含單播地址,則僅單播地址範圍部分有效,組播地址範圍部分無效。其中,全零MAC地址也不屬於有效MAC地址,一個全零的MAC地址用戶不能通過MAC地址認證。
(1) 進入係統視圖。
system-view
(2) 配置全局MAC地址認證用戶的賬號格式。
¡ 配置MAC地址賬號。
mac-authentication user-name-format mac-address [ { with-hyphen [ separator colon ] | without-hyphen } [ lowercase | uppercase ] ] [ password { cipher | simple } string ]
僅Release 6340及以上版本支持separator colon參數。
¡ 配置固定用戶名賬號。
mac-authentication user-name-format fixed [ account name ] [ password { cipher | simple } string ]
缺省情況下,使用用戶的MAC地址作為用戶名與密碼,其中字母為小寫,且不帶連字符。
(3) 配置指定MAC地址範圍的MAC地址認證用戶名和密碼。
mac-authentication mac-range-account mac-address mac-address mask { mask | mask-length } account name password { cipher | simple } string
缺省情況下,未對指定MAC地址範圍的MAC地址認證用戶設置用戶名和密碼,MAC地址認證用戶采用mac-authentication user-name-format命令設置的用戶名和密碼接入設備。
僅Release 6310及以上版本支持本命令。
可配置的MAC地址認證定時器包括以下幾種:
· 下線檢測定時器(offline-detect):用來設置用戶空閑超時的時間間隔。若設備在一個下線檢測定時器間隔之內,沒有收到某在線用戶的報文,將切斷該用戶的連接,同時通知RADIUS服務器停止對其計費。配置offline-detect時,需要將MAC地址老化時間配成相同時間,否則會導致用戶異常下線。
· 靜默定時器(quiet):用來設置用戶認證失敗以後,設備停止對其提供認證服務的時間間隔。在靜默期間,設備不對來自認證失敗用戶的報文進行認證處理,直接丟棄。靜默期後,如果設備再次收到該用戶的報文,則依然可以對其進行認證處理。
· 服務器超時定時器(server-timeout):用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答,則MAC地址認證失敗。
建議將server-timeout的值設定為小於或等於設備發送RADIUS報文的最大嚐試次數(retry)與RADIUS服務器響應超時時間(timer response-timeout)之積。如果server-timeout的值大於retry與timer response-timeout之積,則可能在server-timeout設定的服務器超時時間到達前,用戶被強製下線。
關於發送RADIUS報文的最大嚐試次數、RADIUS服務器響應超時時間的具體配置請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證定時器。
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
缺省情況下,下線檢測定時器為300秒,靜默定時器為60秒,服務器超時定時器取值為100秒。
· 對MAC地址認證用戶進行重認證時,設備將按照如下由高到低的順序為其選擇重認證時間間隔:服務器下發的重認證時間間隔、接口視圖下配置的周期性重認證定時器的值、係統視圖下配置的周期性重認證定時器的值、設備缺省的周期性重認證定時器的值。
· 修改設備上配置的認證域、MAC地址認證的認證方法或MAC地址認證用戶的賬號格式,都不會影響在線用戶的重認證,隻對配置之後新上線的用戶生效。
(1) 進入係統視圖。
system-view
(2) 在係統視圖或接口視圖下配置周期性重認證定時器。
¡ 係統視圖下配置周期性重認證定時器。
mac-authentication timer reauth-period reauth-period-value
缺省情況下,周期性重認證定時器的值為3600秒。
¡ 依次執行以下命令在接口視圖下配置周期性重認證定時器。
interface interface-type interface-number
mac-authentication timer reauth-period reauth-period-value
quit
缺省情況下,端口上未配置MAC地址周期性重認證定時器,端口使用係統視圖下的MAC地址周期性重認證定時器的取值。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟周期性重認證功能
mac-authentication re-authenticate
缺省情況下,周期性重認證功能關閉。
(5) (可選)配置重認證服務器不可達時端口上的MAC地址認證用戶保持在線狀態。
mac-authentication re-authenticate server-unreachable keep-online
缺省情況下,端口上的MAC地址在線用戶重認證時,若認證服務器不可達,則用戶會被強製下線。
· 端口上生成的MAC地址認證Guest VLAN表項會覆蓋已生成的阻塞MAC表項。開啟了端口安全入侵檢測的端口關閉功能時,若端口因檢測到非法報文被關閉,則MAC地址認證的Guest VLAN功能不生效。關於阻塞MAC表項和端口的入侵檢測功能的具體介紹請參見“安全配置指導”中的“端口安全”。
· MAC地址認證Guest VLAN功能的優先級高於MAC地址認證的靜默MAC功能,即認證失敗的用戶可訪問指定的Guest VLAN中的資源,且該用戶的MAC地址不會被加入靜默MAC。
配置MAC地址認證的Guest VLAN之前,需要進行以下配置準備,具體配置方法可參見“二層技術-以太網交換”中的“VLAN配置”:
· 創建需要配置為Guest VLAN的VLAN。
· 配置端口類型為Hybrid,並建議將指定的Guest VLAN修改為不攜帶Tag的方式。
· 通過mac-vlan enable命令開啟端口上的MAC VLAN功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口的MAC地址認證Guest VLAN。
mac-authentication guest-vlan guest-vlan-id
缺省情況下,未配置MAC地址認證的Guest VLAN。
不同的端口可以指定不同的MAC地址認證 Guest VLAN,一個端口最多隻能指定一個MAC地址認證Guest VLAN。
(4) 配置設備對MAC地址認證Guest VLAN中的用戶進行重新認證的時間間隔。
mac-authentication guest-vlan auth-period period-value
缺省情況下,設備對Guest VLAN中的用戶進行重新認證的時間間隔為30秒。
· 端口上生成的MAC地址認證Critical VLAN表項會覆蓋已生成的阻塞MAC表項。開啟了端口安全入侵檢測的端口關閉功能時,MAC地址認證的Critical VLAN功能不生效。關於阻塞MAC表項和端口的入侵檢測功能的具體介紹請參見“安全配置指導”中的“端口安全”。
· 當端口上的用戶加入指定的Critical VLAN後,該用戶的MAC地址不會被加入靜默MAC。
· 當處於Guest VLAN的用戶再次發起認證時,如果認證服務器不可達,則該用戶仍然留在該Guest VLAN中,不會離開當前的VLAN而加入Critical VLAN。
配置MAC地址認證的Critical VLAN之前,需要進行以下配置準備:
· 創建需要配置為Critical VLAN的VLAN。
· 配置端口類型為Hybrid,且建議將指定的Critical VLAN修改為不攜帶Tag的方式。
· 通過mac-vlan enable命令開啟端口上的MAC VLAN功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口的Critical VLAN。
mac-authentication critical vlan critical-vlan-id
缺省情況下,未配置MAC認證的Critical VLAN。
不同的端口可以指定不同的MAC地址認證 Critical VLAN,一個端口最多隻能指定一個MAC地址認證Critical VLAN。
配置MAC地址認證Critical Voice VLAN之前,需要進行以下配置準備:
· 全局和端口的LLDP(Link Layer Discovery Protocol,鏈路層發現協議)已經開啟,設備通過LLDP來判斷用戶是否為語音用戶。有關LLDP功能的詳細介紹請參見“二層技術-以太網交換配置指導”中的“LLDP”。
· 端口的語音VLAN功能已經開啟。有關語音VLAN的詳細介紹請參見“二層技術-以太網交換配置指導”中的“VLAN”。
· 在該端口上配置了MAC地址認證的Critical VLAN。若端口上的語音用戶在認證時所有認證服務器都不可達,且端口暫未將其識別為語音用戶,則可以將其先加入Critical VLAN。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置指定端口的Critical Voice VLAN。
mac-authentication critical-voice-vlan
缺省情況下,端口下MAC地址認證的Critical Voice VLAN功能處於關閉狀態。
非認證成功VLAN的用戶是指,在端口上接入但由於未認證成功而加入到Critical VLAN或Guest VLAN的用戶。
開啟本功能後,當MAC地址認證用戶加入到Critical VLAN或Guest VLAN時,設備啟動對應VLAN的用戶老化定時器。之後,當用戶老化定時器到達老化時間(通過mac-authentication timer user-aging命令配置)時,用戶離開對應的VLAN。
當端口上非認證成功VLAN中的用戶需要遷移到其它端口接入時,請在當前接入端口開啟本功能,使當前接入端口上的用戶MAC地址可以按時老化。
當端口上非認證成功VLAN的用戶不需要遷移到其它端口接入時,建議在當前接入端口上關閉本功能,以免用戶老化退出後無法訪問對應VLAN中的資源。
(1) 進入係統視圖。
system-view
(2) 配置非認證成功VLAN的用戶老化定時器。
mac-authentication timer user-aging { critical-vlan | guest-vlan } aging-time-value
缺省情況下,非認證成功的VLAN用戶老化定時器的值為1000秒。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟端口的非認證成功VLAN的用戶老化功能。
mac-authentication unauthenticated-user aging enable
缺省情況下,端口的非認證成功VLAN的用戶老化功能處於開啟狀態。
開啟端口的MAC地址認證下線檢測功能後,若設備在一個下線檢測定時器間隔之內,未收到此端口下某在線用戶的報文,則將切斷該用戶的連接,同時通知RADIUS服務器停止對此用戶進行計費。
關閉端口的MAC地址認證下線檢測功能後,設備將不會對在線用戶的狀態進行檢測。
設備缺省開啟端口的MAC地址認證的下線檢測,且缺省已配置下線檢測定時器。通過配置指定MAC地址用戶下線檢測功能可以單獨設置端口上某些用戶的檢查參數,或者設置不對某些用戶進行下線檢測:
· 對指定MAC地址用戶設置下線檢測定時器後,若設備在一個下線檢測周期之內,未收到該在線用戶的報文,或設備不存在該MAC地址對應的ARP Snooping或ND Snooping表項,則切斷該用戶的連接,同時通知RADIUS服務器停止對此用戶進行計費。
· 關閉指定MAC地址用戶下線檢測的功能應用於啞終端的認證,避免啞終端用戶因為MAC地址認證的下線檢測功能開啟導致啞終端下線後不能再次上線的問題,保證啞終端用戶長期在線。
對指定MAC地址用戶進行下線檢測設置的優先級由高到低依次為:設備配置的指定MAC地址用戶的下線檢測設置、RADIUS服務器下發的下線檢測設置、端口上的下線檢測設置。其中,RADIUS服務器通過RADIUS屬性為用戶下發下線檢測時間、是否檢查ARP Snooping或ND Snooping表項,或是否進行下線檢測。
開啟端口的MAC地址認證下線檢測功能後,請勿配置動態MAC地址表項的老化時間(通過mac-address timer aging seconds命令配置)超過MAC地址認證下線檢測定時器的默認值300秒。
如果關閉端口的MAC地址認證下線檢測功能,則不會對端口上的MAC地址認證用戶進行下線檢測,此時配置指定MAC地址用戶的下線檢測功能不生效。
指定MAC地址用戶的下線檢測功能對在線用戶立即生效。
(1) 進入係統視圖。
system-view
(2) (可選)配置指定MAC地址用戶的下線檢測功能。
mac-authentication offline-detect mac-address mac-address { ignore | timer offline-detect-value [ check-arp-or-nd-snooping ] }
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟端口的MAC地址認證下線檢測功能。
mac-authentication offline-detect enable
缺省情況下,端口的MAC地址認證下線檢測功能處於開啟狀態。
開啟MAC地址認證報文探測功能後,設備會每隔一個MAC地址認證下線檢測定時器間隔向端口的MAC地址認證在線用戶發送探測報文,在發送次數達到本命令配置的最大值時,若下線檢測定時器間隔內仍未收到該MAC地址認證用戶的回應報文,則認為MAC地址認證報文探測超時將該用戶下線,同時通知RADIUS服務器停止對此用戶進行計費。
MAC地址認證報文探測功能與MAC地址認證下線檢測功能同時開啟時,如果MAC地址認證下線檢測結果為用戶在線,則不會再向其發送探測報文;如果MAC地址認證下線檢測結果是用戶下線,則不會立即下線用戶,設備仍會向客戶端發送探測報文,且會等到MAC地址認證報文探測超時後再下線用戶。
MAC地址認證IPv4用戶的探測報文是ARP請求報文,MAC地址認證IPv6用戶的探測報文是NS報文。
報文探測過程秉持“先統計當前探測次數再判斷”的原則,探測次數隻會在判斷“未收到用戶回應”後減1,探測次數為0後停止探測,從用戶發送最後一個報文到下線總時長=(retries+1)T+X,如圖1-4所示,以探測最大次數配置為2為例。
僅Release 6350及以上版本支持配置本功能。
開啟本功能後,當MAC地址認證在線用戶的IP地址變化時,如果設備上未使能ARP Snooping和ND Snooping功能,則設備感知不到用戶IP地址變化,依舊會向原IP發送探測報文,最終導致報文探測超時而誤下線用戶。因此開啟本功能時,需要在設備上同時使能ARP Snooping和ND Snooping功能,確保設備能感知到用戶IP地址的變化情況。
(1) 進入係統視圖。
system-view
(2) 配置下線檢測定時器。
mac-authentication timer offline-detect offline-detect-value
缺省情況下,下線檢測定時器的值為300秒。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟MAC地址認證報文探測功能。
mac-authentication packet-detect enable
缺省情況下,MAC地址認證報文探測功能處於關閉狀態。
(5) 配置MAC地址認證報文探測的最大次數。
mac-authentication packet-detect retry retries
缺省情況下,MAC地址認證報文探測的最大次數為2。
當使用H3C iMC的RADIUS服務器對用戶進行MAC地址認證時,設備支持在線用戶信息同步功能。開啟本功能後,當通過RADIUS服務器探測功能探測到服務器由不可達變為可達後,設備便主動對端口上的所有在線用戶依次向服務器發起認證請求,等到這些用戶均通過認證後,達到服務器上的在線用戶信息與該端口上的在線用戶信息一致的目的。RADIUS服務器探測功能的配置步驟請參見“安全配置指導”中的“AAA”。
在設備向RADIUS服務器同步MAC地址認證在線用戶過程中,特殊情況處理如下:
· 如果在RADIUS服務器可達情況下,某用戶認證失敗,則設備強製該用戶下線。
· 如果在設備發起下一次RADIUS服務器探測前,RADIUS服務器變為不可達而導致用戶認證失敗,則用戶仍然保持在線。
· 如果有新用戶發起認證,則該認證用戶的信息不會向RADIUS服務器進行同步。
· 如果設備配置了周期性重認證功能,當重認證定時器超時時,設備不會對在線用戶發起重認證,而是對用戶進行同步操作。
MAC地址認證的在線用戶信息同步功能隻能與H3C iMC服務器配合使用。
當RADIUS服務器從不可達變為可達時,處於Critical VLAN中的用戶也會再次發起認證,在設備上MAC地址認證在線用戶較多的情況下,如果配置了本功能,會因為同時進行認證的用戶數量較大,而導致用戶的上線時間變長。
本功能需要與RADIUS服務器探測功能配合使用。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟MAC地址認證的在線用戶信息同步功能。
mac-authentication server-recovery online-user-sync
缺省情況下,MAC地址認證的在線用戶信息同步功能處於關閉狀態。
由於係統資源有限,如果當前端口下接入的用戶過多,接入用戶之間會發生資源的爭用,因此適當地配置該值可以使端口上已經接入的用戶獲得可靠的性能保障。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口上最多允許同時接入的MAC地址認證用戶數。
mac-authentication max-user max-number
缺省情況下,端口上最多允許同時接入的MAC地址認證用戶數為4294967295。
MAC地址認證的端口可以工作在單VLAN模式或多VLAN模式。
· 端口工作在單VLAN模式下時,在用戶已上線,且沒有被下發授權VLAN情況下,如果此用戶在同一端口下的不同VLAN再次接入,則設備將讓原用戶下線,使得該用戶能夠在新的VLAN內重新開始認證。如果已上線用戶被下發了授權VLAN,則此用戶在同一端口下的不同VLAN再次接入時,對用戶的處理與是否允許用戶遷移到同一端口下其它VLAN接入(通過port-security mac-move permit命令)有關:
¡ 如果不允許用戶遷移到同一端口下其它VLAN接入,則此用戶在同一端口下的不同VLAN接入失敗,原用戶保持在線。
¡ 如果允許用戶遷移到同一端口下其它VLAN接入,則用戶在新的VLAN內需要重新認證,且在用戶重新上線後,原用戶下線。
· 端口工作在多VLAN模式時,如果相同MAC地址的賬號在相同端口上的不同VLAN再次接入,設備將能夠允許賬號的流量在新的VLAN內通過,且允許該用戶的報文無需重新認證而在多個VLAN中轉發。
對於接入IP電話類用戶的端口,指定端口工作在MAC地址認證的多VLAN模式或為IP電話類用戶授權VLAN,可避免IP電話終端的報文所攜帶的VLAN tag發生變化後,因用戶流量需要重新認證而導致語音報文傳輸質量受幹擾的問題。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口工作在MAC地址認證的多VLAN模式。
mac-authentication host-mode multi-vlan
缺省情況下,端口工作在MAC地址認證的單VLAN模式。
端口同時開啟了MAC地址認證和802.1X認證的情況下,某些組網環境中希望設備對用戶報文先進行802.1X認證。例如,有些客戶端在發送802.1X認證請求報文之前,就已經向設備發送了其它報文,比如DHCP報文,因而觸發了並不期望的MAC地址認證。這種情況下,可以開啟端口的MAC地址認證延時功能。開啟該功能後,端口就不會在收到用戶報文時立即觸發MAC地址認證,而是會等待一定的延遲時間,若在此期間該用戶一直未進行802.1X認證或未成功通過802.1X認證,則延遲時間超時後端口會對之前收到的用戶報文進行MAC地址認證。
開啟了MAC地址認證延遲功能的端口上不建議同時配置端口安全的模式為mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否則MAC地址認證延遲功能不生效。端口安全模式的具體配置請參見“安全配置指導”中的“端口安全”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟MAC地址認證延遲功能,並指定延遲時間。
mac-authentication timer auth-delay time
缺省情況下,MAC地址認證延遲功能處於關閉狀態。
在終端用戶采用靜態IP地址方式接入的組網環境中,如果終端用戶擅自修改自己的IP地址,則整個網絡環境中可能會出現IP地址衝突等問題。
為了解決以上問題,管理員可以在端口上開啟MAC地址認證請求中攜帶用戶IP地址的功能,用戶在進行MAC地址認證時,設備會把用戶的IP地址上傳到iMC服務器。然後iMC服務器會把認證用戶的IP地址和MAC地址與服務器上已經存在的IP與MAC的綁定表項進行匹配,如果匹配成功,則該用戶MAC地址認證成功;否則,MAC地址認證失敗。
配置本功能後,當有用戶接入時,設備會檢查用戶報文中的IP地址是否合法,並進行相應處理:
· 當用戶的IP地址合法時,設備攜帶用戶IP地址向服務器發起MAC地址認證請求;
· 當用戶報文未攜帶IP地址或用戶的IP地址不合法時,設備不對用戶進行MAC地址認證。
· 收到源IP為0.0.0.0的DHCP報文時,設備會向服務器發起MAC地址認證請求,但認證報文中不攜帶IP地址。認證是否通過取決於認證服務器側的配置。
H3C的iMC服務器上IP與MAC地址信息綁定表項的生成方式如下:
· 如果在iMC服務器上創建用戶時手工指定了用戶的IP地址和MAC地址信息,則服務器使用手工指定的IP和MAC信息生成該用戶的IP與MAC地址的綁定表項。
· 如果在iMC服務器上創建用戶時未手工指定用戶的IP地址和MAC地址信息,則服務器使用用戶初次進行MAC地址認證時使用的IP地址和MAC地址生成該用戶的IP與MAC地址的綁定表項。
終端用戶采用靜態IP地址接入時,實際組網應用中會出現用戶報文中攜帶的IP地址並非用戶實際IP地址的情況,例如在IPv4靜態地址組網中,用戶報文攜帶的IP地址為以fe80開頭的IPv6鏈路本地地址。配置本功能後,設備會攜帶非用戶實際的IP地址向服務器發起MAC地址認證請求,此種情況會導致服務器為用戶綁定錯誤的IP地址或IP地址與MAC地址匹配失敗。為避免上述情況發生,可以在配置本功能時指定exclude-ip acl參數,不允許ACL中指定網段(上述舉例中需指定fe80網段)的用戶進行MAC地址認證。
在開啟了MAC地址認證的端口上,不建議將本命令與mac-authentication guest-vlan命令同時配置;否則,加入Guest VLAN的用戶無法再次發起MAC地址認證,用戶會一直停留在Guest VLAN中。
配置exclude-ip acl時,僅支持配置基本ACL,且僅根據規則中配置的源IP地址進行過濾。建議ACL中配置deny規則來拒絕指定網段的用戶進行MAC地址認證。如果ACL中僅配置了permit規則,則表示允許指定網段的用戶進行MAC地址認證,這樣的配置並沒有實際意義。如果希望隻允許某個網段用戶進行MAC地址認證,可在ACL中同時配置一條指定網段的permit規則和一條deny all規則來實現。
通過exclude-ip acl指定ACL後,設備對於IPv4報文按照對應編號的IPv4 ACL規則進行處理;對於IPv6報文則按照對應編號的IPv6 ACL規則進行處理。例如,當配置了mac-authenication carry user-ip exclude-ip acl 2000時,如果用戶報文為IPv4報文,則按照IPv4 ACL 2000的規則進行處理;如果用戶報文為IPv6報文,則按照IPv6 ACL 2000的規則進行處理。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MAC地址認證請求中攜帶用戶IP地址。
mac-authentication carry user-ip [ exclude-ip acl acl-number ]
缺省情況下,MAC地址認證請求中不攜帶用戶IP地址。
端口采用802.1X和MAC地址組合認證,且端口所連接的用戶有不能主動發送EAP報文觸發802.1X認證的情況下,如果端口配置了802.1X單播觸發功能,則端口收到源MAC地址未知的報文,會先進行802.1X認證處理,完成後再進行MAC地址認證處理。
配置端口的MAC地址認證和802.1X認證並行處理功能後,在上述情況下,端口收到源MAC地址未知的報文,會向該MAC地址單播發送EAP-Request幀來觸發802.1X認證,但不等待802.1X認證處理完成,就同時進行MAC地址認證的處理。
在某些組網環境下,例如用戶不希望端口先被加入802.1X的Guest VLAN中,接收到源MAC地址未知的報文後,先觸發MAC地址認證,認證成功後端口直接加入MAC地址認證的授權VLAN中,那麼需要配置MAC地址認證和802.1X認證並行處理功能和端口延遲加入802.1X Guest VLAN功能。關於端口延遲加入802.1X Guest VLAN功能的詳細介紹,請參見“安全配置指導”中的“802.1X”。
端口采用802.1X和MAC地址組合認證功能適用於如下情況:
· 端口上同時開啟了802.1X和MAC地址認證功能,並配置了802.1X認證的端口的接入控製方式為MAC-based。
· 開啟了端口安全功能,並配置了端口安全模式為userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具體配置請參見“安全命令參考”中的“端口安全”。
為保證MAC地址認證和802.1X認證並行處理功能的正常使用,不建議配置端口的MAC地址認證延遲功能,否則端口觸發802.1X認證後,仍會等待一定的延遲後再進行MAC地址認證。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口的MAC地址認證和802.1X認證並行處理功能。
mac-authentication parallel-with-dot1x
缺省情況下,端口在收到源MAC地址未知的報文觸發認證時,按照802.1X完成後再進行MAC地址認證的順序進行處理。
強製MAC地址認證用戶下線後,設備會刪除對應的用戶信息,用戶再次上線時,需要重新進行MAC地址認證。
僅Release 6318P01及以上版本支持本功能。
在用戶視圖下執行如下命令。
reset mac-authentication access-user [ interface interface-type interface-number | mac mac-address | username username | vlan vlan-id ]
MAC地址認證接入用戶日誌信息是為了滿足網絡管理員維護的需要,對MAC地址認證用戶的接入信息進行記錄。設備生成的MAC地址認證接入用戶日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
為了防止設備輸出過多的MAC地址認證接入用戶日誌信息,一般情況下建議關閉此功能。
(1) 進入係統視圖。
system-view
(2) 開啟MAC地址認證接入用戶日誌信息功能。
mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
缺省情況下,MAC地址認證接入用戶日誌信息功能處於關閉狀態。
配置本命令時,如果未指定任何參數,將同時開啟所有參數對應的日誌功能。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MAC地址認證的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
表1-1 MAC地址認證的顯示和維護
|
操作 |
命令 |
|
顯示MAC地址認證的相關信息 |
display mac-authentication [ interface interface-type interface-number ] |
|
顯示MAC地址認證連接信息 |
display mac-authentication connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name user-name ] |
|
顯示指定類型的VLAN中的MAC地址認證用戶的MAC地址信息 |
display mac-authentication mac-address { critical-vlan | guest-vlan } [ interface interface-type interface-number ] |
|
清除MAC地址認證的統計信息 |
reset mac-authentication statistics [ interface interface-type interface-number ] |
|
清除Critical VLAN內MAC地址認證用戶 |
reset mac-authentication critical vlan interface interface-type interface-number [ mac-address mac-address ] |
|
清除Critical Voice VLAN內MAC地址認證用戶 |
reset mac-authentication critical-voice-vlan interface interface-type interface-number [ mac-address mac-address ] |
|
清除Guest VLAN內MAC地址認證用戶 |
reset mac-authentication guest-vlan interface interface-type interface-number [ mac-address mac-address ] |
如圖1-5所示,某子網的用戶主機與設備的端口GigabitEthernet1/0/1相連接。
· 設備的管理者希望在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製它們對Internet的訪問。
· 要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於ISP域bbb,認證時使用本地認證的方式。
· 使用用戶的MAC地址作用戶名和密碼,其中MAC地址帶連字符、字母小寫。
圖1-5 啟動MAC地址認證對接入用戶進行本地認證
# 添加網絡接入類本地接入用戶。本例中添加Host A的本地用戶,用戶名和密碼均為Host A的MAC地址00-e0-fc-12-34-56,服務類型為lan-access。
<Device> system-view
[Device] local-user 00-e0-fc-12-34-56 class network
[Device-luser-network-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56
[Device-luser-network-00-e0-fc-12-34-56] service-type lan-access
[Device-luser-network-00-e0-fc-12-34-56] quit
# 配置ISP域,使用本地認證方法。
[Device] domain bbb
[Device-isp-bbb] authentication lan-access local
[Device-isp-bbb] quit
# 開啟端口GigabitEthernet1/0/1的MAC地址認證。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證的定時器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址認證用戶的賬號格式:使用帶連字符的MAC地址作為用戶名與密碼,其中字母小寫。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 當用戶接入端口GigabitEthernet1/0/1之後,可以通過如下顯示信息看到Host A成功通過認證,處於上線狀態,Host B沒有通過認證,它的MAC地址被加入靜默MAC列表。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
User name format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 180 s
Quiet period : 180 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : bbb
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
00e0-fc11-1111 8 GE1/0/1 1
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Enabled
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
00e0-fc12-3456 Authenticated
如圖1-6所示,用戶主機Host通過端口GigabitEthernet1/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費。
· 設備的管理者希望在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。
· RADIUS服務器和設備上均采用CHAP認證方法。
· 要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於域2000,認證時采用固定用戶名賬號,用戶名為aaa,密碼為123456。
圖1-6 啟動MAC地址認證對接入用戶進行RADIUS認證
(1) 配置RADIUS服務器,添加接入用戶帳戶:用戶名為aaa,密碼為123456,並保證用戶的認證/授權/計費功能正常運行(略)
(2) 配置使用RADIUS服務器進行MAC地址認證
# 配置RADIUS方案。
<Device> system-view
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置MAC地址認證的認證方法為CHAP。
[Device] mac-authentication authentication-method chap
# 配置ISP域的AAA方法。
[Device] domain bbb
[Device-isp-bbb] authentication default radius-scheme 2000
[Device-isp-bbb] authorization default radius-scheme 2000
[Device-isp-bbb] accounting default radius-scheme 2000
[Device-isp-bbb] quit
# 開啟端口GigabitEthernet1/0/1的MAC地址認證。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證的定時器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址認證使用固定用戶名賬號:用戶名為aaa,密碼為明文123456。
[Device] mac-authentication user-name-format fixed account aaa password simple 123456
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 顯示MAC地址認證配置信息。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : CHAP
Username format : Fixed account
Username : aaa
Password : ******
Offline detect period : 180 s
Quiet period : 180 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : bbb
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Enabled
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
00e0-fc12-3456 Authenticated
如圖1-7所示,用戶主機Host通過端口GigabitEthernet1/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費,Internet網絡中有一台FTP服務器,IP地址為10.0.0.1。現有如下組網需求:
· 在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。認證時使用用戶的源MAC地址做用戶名和密碼,其中MAC地址帶連字符、字母小寫。
· 當用戶認證成功上線後,允許用戶訪問除FTP服務器之外的Internet資源。
圖1-7 下發ACL典型配置組網圖
(1) 配置RADIUS服務器,保證用戶的認證/授權/計費功能正常運行
# 由於該例中使用了MAC地址認證的缺省用戶名和密碼,即使用用戶的源MAC地址做用戶名與密碼,因此還要保證RADIUS服務器上正確添加了接入用戶帳戶:用戶名為00-e0-fc-12-34-56,密碼為00-e0-fc-12-34-56。
# 指定RADIUS服務器上的授權ACL為設備上配置的ACL 3000。
(2) 配置授權ACL
# 配置ACL 3000,拒絕目的IP地址為10.0.0.1的報文通過。
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[Device-acl-ipv4-adv-3000] quit
(3) 配置使用RADIUS服務器進行MAC地址認證
# 配置RADIUS方案。
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置ISP域的AAA方法。
[Device] domain bbb
[Device-isp-bbb] authentication default radius-scheme 2000
[Device-isp-bbb] authorization default radius-scheme 2000
[Device-isp-bbb] accounting default radius-scheme 2000
[Device-isp-bbb] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證用戶的賬號格式:使用帶連字符的MAC地址做用戶名與密碼,其中字母小寫。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 開啟端口GigabitEthernet1/0/1上的MAC地址認證。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 顯示MAC地址認證配置信息。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enable
Authentication method : PAP
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : bbb
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Enabled
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
00e0-fc12-3456 Authenticated
用戶認證上線後,Ping FTP服務器,發現服務器不可達,說明認證服務器下發的ACL 3000已生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
