- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-MAC地址認證配置
本章節下載: 04-MAC地址認證配置 (465.13 KB)
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法,無需安裝客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以後,啟動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或密碼。若該用戶認證成功,則允許其通過端口訪問網絡資源,否則該用戶的MAC地址就被設置為靜默MAC。在靜默時間內,來自此MAC地址的用戶報文到達時,設備直接做丟棄處理,以防止非法MAC短時間內的重複認證。
MAC地址認證用戶使用的賬號格式分為兩種:
· MAC地址賬號:設備使用源MAC地址作為用戶認證時的用戶名和密碼,如圖1-1所示。
· 固定用戶名賬號:所有MAC地址認證用戶均使用設備上指定的一個固定用戶名和密碼替代用戶的MAC地址作為身份信息進行認證,如圖1-2所示。由於同一個端口下可以有多個用戶進行認證,因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名進行認證,服務器端僅需要配置一個用戶賬戶即可滿足所有認證用戶的認證需求,適用於接入客戶端比較可信的網絡環境。
圖1-1 MAC地址賬號的MAC地址認證示意圖
圖1-2 固定用戶名賬號的MAC地址認證示意圖
目前設備支持兩種方式的MAC地址認證,通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器進行遠程認證和在接入設備上進行本地認證。有關遠程RADIUS認證和本地認證的詳細介紹請參見“安全配置指導”中的“AAA”。
設備與認證服務器之間采用PAP(Password Authentication Protocol,密碼認證協議)或CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)方法進行認證。
當選用RADIUS服務器認證方式進行MAC地址認證時,設備作為RADIUS客戶端,與RADIUS服務器配合完成MAC地址認證操作:
· 若采用MAC地址賬號,則設備將檢測到的用戶MAC地址作為用戶名和密碼發送給RADIUS服務器進行驗證。
· 若采用固定用戶名賬號,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼,發送給RADIUS服務器進行驗證。
RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問網絡。
當選用本地認證方式進行MAC地址認證時,直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼:
· 若采用MAC地址賬號,則設備將檢測到的用戶MAC地址作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
· 若采用固定用戶名賬號,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
用戶名和密碼匹配成功後,用戶可以訪問網絡。
為了將受限的網絡資源與未認證用戶隔離,通常將受限的網絡資源和未認證的用戶劃分到不同的VLAN。MAC地址認證支持遠程AAA服務器/接入設備下發授權VLAN,即當用戶通過MAC地址認證後,遠程AAA服務器/接入設備將指定的受限網絡資源所在的VLAN作為授權VLAN下發到用戶進行認證的端口。該端口被加入到授權VLAN中後,用戶便可以訪問這些受限的網絡資源。
該方式下,需要在AAA服務器上指定下發給用戶的授權VLAN信息,下發的授權VLAN信息可以有多種形式,包括數字型VLAN和字符型VLAN,字符型VLAN又可分為VLAN名稱、VLAN組名、攜帶後綴的VLAN ID(後綴隻能為字母u或t,用於標識是否攜帶Tag)。
設備收到服務器的授權VLAN信息後,首先對其進行解析,隻要解析成功,即以對應的方法下發授權VLAN;如果解析不成功,則用戶授權失敗。
· 若認證服務器下發的授權VLAN信息為一個VLAN ID或一個VLAN名稱,則僅當對應的VLAN不為動態學習到的VLAN、保留VLAN、Super VLAN和Private VLAN時,該VLAN才是有效的授權VLAN。當認證服務器下發VLAN名稱時,對應的VLAN必須為已存在的VLAN。
· 若認證服務器下發的授權VLAN信息為一個VLAN組名,則設備首先會通過組名查找該組內配置的VLAN列表。若查找到授權VLAN列表,則在這一組VLAN中,除Super VLAN、動態VLAN、Private VLAN之外的所有VLAN都有資格被授權給用戶。關於VLAN組的相關配置,請參見“二層技術-以太網交換配置指導”中的“VLAN”。
¡ 當端口鏈路類型為Hybrid,但端口鏈路類型為access或trunk時:
- 若端口上已有其他在線用戶,則查看端口上在線用戶的授權VLAN是否存在於該組中:存在,則將此VLAN授權給當前的認證用戶;否則,認為當前認證用戶授權失敗,將被強製下線。
- 若當前用戶為端口上第一個在線用戶,則直接將該組VLAN中ID最小的VLAN授權給當前的認證用戶。
· 若認證服務器下發的授權VLAN信息為一個包含若幹VLAN ID以及若幹VLAN名稱的字符串,則設備首先將其解析為一組VLAN列表,然後采用與解析一個VLAN組名相同的解析邏輯選擇一個授權VLAN。
· 若認證服務器下發的授權VLAN信息為一個包含若幹個“VLAN ID+後綴”形式的字符串,則隻有第一個不攜帶後綴或者攜帶untagged後綴的VLAN將被解析為唯一的untagged的授權VLAN,其餘VLAN都被解析為tagged的授權VLAN。例如服務器下發字符串“1u 2t 3”,其中的u和t均為後綴,分別表示untagged和tagged。該字符串被解析之後,VLAN 1為untagged的授權VLAN,VLAN 2和VLAN 3為tagged的授權VLAN。該方式下發的授權VLAN僅對端口鏈路類型為Hybrid或Trunk的端口有效。
¡ 端口的缺省VLAN將被修改為untagged的授權VLAN。若不存在untagged的授權VLAN,則不修改端口的缺省VLAN。
¡ 端口將允許所有解析成功的授權VLAN通過。
該方式下,可以通過配置本地用戶的授權屬性指定下發給用戶的授權VLAN信息,且隻能指定一個授權VLAN。設備將此VLAN作為該本地用戶的授權VLAN。關於本地用戶的相關配置,請參見“安全配置指導”中的“AAA”。
設備根據用戶接入的端口鏈路類型和授權的VLAN是否攜帶Tag,按如下情況將端口加入到下發的授權VLAN中。需要注意的是,僅遠程AAA服務器支持授權攜帶Tag的VLAN。
授權VLAN未攜帶Tag的情況下:
· 若用戶從Access類型的端口接入,則端口離開當前VLAN並加入第一個通過認證的用戶的授權VLAN中。
· 若用戶從Trunk類型的端口接入,則設備允許下發的授權VLAN通過該端口,並且修改該端口的缺省VLAN為第一個通過認證的用戶的授權VLAN。
· 若用戶從Hybrid類型的端口接入,則設備允許授權下發的授權VLAN以不攜帶Tag的方式通過該端口,並且修改該端口的缺省VLAN為第一個通過認證的用戶的授權VLAN。
授權VLAN攜帶Tag的情況下:
· 若用戶從Access類型的端口接入,則不支持下發帶Tag的VLAN。
· 若用戶從Trunk類型的端口接入,則設備允許授權下發的VLAN以攜帶Tag的方式通過該端口,但是不會修改該端口的缺省VLAN。
· 若用戶從Hybrid類型的端口接入,則設備允許授權下發的VLAN以攜帶Tag的方式通過該端口,但是不會修改該端口的缺省VLAN。
· 對於Hybrid端口,如果認證用戶的報文攜帶VLAN Tag,則應通過port hybrid vlan命令配置該端口在轉發指定的VLAN報文時攜帶VLAN Tag;如果認證用戶的報文不攜帶VLAN Tag,則應配置該端口在轉發指定的VLAN報文時不攜帶VLAN Tag。否則,當服務器沒有授權下發VLAN時,用戶雖然可以通過認證但不能訪問網絡。
· 在授權VLAN未攜帶Tag的情況下,授權給所有用戶的VLAN必須相同,否則僅第一個通過認證的用戶可以成功上線。
· 在授權VLAN攜帶Tag的情況下,設備會給不同的用戶授權不同的VLAN,一個VLAN隻能授權給一個用戶。
MAC地址認證的Guest VLAN功能允許用戶在認證失敗的情況下訪問某一特定VLAN中的資源,比如獲取客戶端軟件,升級客戶端或執行其他一些用戶升級程序。這個VLAN稱之為Guest VLAN。
需要注意的是,這裏的認證失敗是認證服務器因某種原因明確拒絕用戶認證通過,比如用戶密碼錯誤,而不是認證超時或網絡連接等原因造成的認證失敗。
如果接入用戶的端口上配置了Guest VLAN,則該端口上認證失敗的用戶會被加入Guest VLAN,且設備允許Guest VLAN以不攜帶Tag的方式通過該端口,即該用戶被授權訪問Guest VLAN裏的資源。用戶被加入Guest VLAN之後,設備將以指定的時間間隔對該用戶發起重新認證,若Guest VLAN中的用戶再次發起認證未成功,則該用戶將仍然處於Guest VLAN內;若認證成功,則會根據AAA服務器/接入設備是否下發授權VLAN決定是否將用戶加入到下發的授權VLAN中,在AAA服務器/接入設備未下發授權VLAN的情況下,用戶回到缺省VLAN中。
MAC地址認證Critical VLAN功能允許用戶在所有認證服務器都不可達的情況下訪問某一特定VLAN中的資源,這個VLAN稱之為Critical VLAN。在端口上配置Critical VLAN後,若該端口上有用戶認證時,所有認證服務器都不可達,則端口將允許Critical VLAN通過,用戶將被授權訪問Critical VLAN裏的資源。已經加入Critical VLAN的端口上有用戶發起認證時,如果所有認證服務器不可達,則端口仍然在Critical VLAN內;如果服務器可達且認證失敗,且端口配置了Guest VLAN,則該端口將會加入Guest VLAN,否則回到缺省VLAN中;如果服務器可達且認證成功,則會根據AAA服務器是否下發授權VLAN決定是否將用戶加入到下發的授權VLAN中,在AAA服務器未下發授權VLAN的情況下,用戶回到缺省VLAN中。
MAC地址認證的Critical Voice VLAN功能允許語音用戶進行MAC地址認證時,若采用的ISP域中的所有認證服務器都不可達,則訪問端口上已配置的Voice VLAN中的資源,這個VLAN也被稱為MAC地址認證的Critical Voice VLAN。如果已經加入Critical Voice VLAN的端口上有用戶再次發起認證,則:
· 如果所有認證服務器不可達,則端口仍然在Critical Voice VLAN內;
· 如果服務器可達且認證失敗,且端口配置了Guest VLAN,則該端口將會加入Guest VLAN,否則回到缺省VLAN中;
· 如果服務器可達且認證成功,則會根據AAA服務器是否下發授權VLAN決定是否將用戶加入到下發的授權VLAN中,在AAA服務器未下發授權VLAN的情況下,用戶回到缺省VLAN中。
由遠程AAA服務器/接入設備下發給用戶的ACL被稱為授權ACL,它為用戶訪問網絡提供了良好的過濾條件設置功能。當用戶通過MAC地址認證後,如果遠程AAA服務器/接入設備上為用戶指定了授權ACL,則設備會根據下發的授權ACL對用戶所在端口的數據流進行控製,與授權ACL規則匹配的流量,將按照規則中指定的permit或deny動作進行處理。
MAC地址認證支持下發靜態ACL和動態ACL,兩種類型的ACL的區別如下:
· 靜態ACL可由RADIUS服務器或設備本地授權,且授權的內容是ACL編號。因此,設備上需要創建該ACL並配置對應的ACL規則。管理員可以通過改變授權的ACL編號或設備上對應的ACL規則來改變用戶的訪問權限。
· 動態ACL隻能由RADIUS服務器授權,且授權的內容是ACL名稱和對應的ACL規則。設備收到下發的動態ACL信息後,會自動根據該授權ACL的名稱和規則創建一個同名的動態ACL。如果設備上已存在相同名稱的靜態ACL,則動態ACL下發失敗,用戶上線失敗。當匹配該ACL的用戶都下線後,設備自動刪除該ACL。服務器下發的動態ACL隻能通過display mac-authentication connection或display acl命令查看,不能進行任何修改,也不能手工刪除。
MAC地址認證可成功授權的ACL類型為基本ACL(ACL編號為2000~2999)、高級ACL(ACL編號為3000~3999)和二層ACL(ACL編號為4000~4999)。但當下發的ACL不存在、未配置ACL規則或ACL規則配置了counting、established、fragment、source-mac或logging參數時,授權ACL不生效。有關ACL規則的具體介紹,請參見“ACL和QoS配置指導”中的“ACL”。
從認證服務器(遠程或本地)下發的User Profile被稱為授權User Profile,它為用戶訪問網絡提供了良好的過濾條件設置功能。MAC地址認證支持認證服務器授權下發User Profile功能,即當用戶通過MAC地址認證後,如果認證服務器上配置了授權User Profile,則設備會根據服務器下發的授權User Profile對用戶所在端口的數據流進行控製。為使下發的授權User Profile生效,需要提前在設備上配置相應的User Profile。而且在用戶訪問網絡的過程中,可以通過改變服務器的授權User Profile名稱或者設備對應的User Profile配置來改變用戶的訪問權限。
本特性僅在安裝了二層交換卡的款型上支持。
MSR5660/5680上安裝多塊HMIM-24GSW、HMIM-24GSWP、HMIM-8GSW和HMIM-8GSWF二層以太網交換模塊,支持同一設備跨槽位進行二層轉發。
若MSR5660/5680上安裝了MPU-100-G主控板,則不支持本特性。
· 當端口上配置的MAC地址認證的Guest VLAN、Critical VLAN中存在用戶時,不允許切換該端口的鏈路類型。
· 若配置的靜態MAC或者當前認證通過的MAC地址與靜默MAC相同,則MAC地址認證失敗後的MAC靜默功能將會失效。
MAC地址認證配置任務如下:
(1) 開啟MAC地址認證
(2) 配置MAC地址認證基本功能
¡ (可選)配置MAC地址認證定時器
(3) (可選)配置MAC地址認證授權VLAN功能
¡ 配置MAC地址認證的Critical Voice VLAN
(4) (可選)配置MAC地址認證其它功能
允許用戶在相同端口的不同VLAN間遷移時無須重認證。
· 配置MAC地址認證之前,請保證端口安全功能關閉,具體配置請參見“安全配置指導”中的“端口安全”。
· 配置MAC地址認證之前,需完成配置ISP域和認證方式,具體配置請參見“安全配置指導”中的“AAA”。
¡ 若采用本地認證方式,還需創建本地用戶並設置其密碼,且本地用戶的服務類型應設置為lan-access。
¡ 若采用遠程RADIUS認證方式,需要確保設備與RADIUS服務器之間的路由可達,並添加MAC地址認證用戶賬號。
隻有全局和端口的MAC地址認證均開啟後,MAC地址認證配置才能在端口上生效。
端口上開啟MAC地址認證之前,請保證端口未加入聚合組。
(1) 進入係統視圖。
system-view
(2) 開啟全局MAC地址認證。
mac-authentication
缺省情況下,全局的MAC地址認證處於關閉狀態。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟端口MAC地址認證。
mac-authentication
缺省情況下,端口的MAC地址認證處於關閉狀態。
當通過認證服務器進行MAC地址認證時,MAC地址認證支持兩種類型的認證方法:
· PAP認證方法通過用戶名和密碼來對用戶進行驗證,其特點是在網絡上以明文方式傳送用戶名和密碼,僅適用於對網絡安全要求相對較低的環境。
· CHAP認證方法使用客戶端與服務器端交互挑戰信息的方式來驗證用戶身份,其特點是在網絡上以明文方式傳送用戶名,以密文方式傳輸密碼。與PAP相比,CHAP認證保密性更好,更為安全可靠。
設備上配置的認證方法必須和RADIUS服務器上采用的認證方法保持一致。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證采用的認證方法。
mac-authentication authentication-method { chap | pap }
缺省情況下,設備采用PAP認證方法進行MAC地址認證。
為了便於接入設備的管理員更為靈活地部署用戶的接入策略,設備支持指定MAC地址認證用戶使用的認證域,可以通過以下兩種配置實現:
· 在係統視圖下指定一個認證域,該認證域對所有開啟了MAC地址認證的端口生效。
· 在接口視圖下指定該端口的認證域,不同的端口可以指定不同的認證域。
端口上接入的MAC地址認證用戶將按照如下順序選擇認證域:端口上指定的認證域 > 係統視圖下指定的認證域 > 係統缺省的認證域。關於認證域的相關介紹請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 指定MAC地址認證用戶使用的認證域。
¡ 配置全局MAC地址認證用戶使用的認證域。
mac-authentication domain domain-name
¡ 配置接口上MAC地址認證用戶使用的認證域。
interface interface-type interface-number
mac-authentication domain domain-name
缺省情況下,未指定MAC地址認證用戶使用的認證域,使用係統缺省的認證域。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證用戶的賬號格式。
¡ 配置MAC地址賬號。
mac-authentication user-name-format mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ]
¡ 配置固定用戶名賬號。
mac-authentication user-name-format fixed [ account name ] [ password { cipher | simple } string ]
缺省情況下,使用用戶的MAC地址作為用戶名與密碼,其中字母為小寫,且不帶連字符“-”
可配置的MAC地址認證定時器包括以下幾種:
· 下線檢測定時器(offline-detect):用來設置用戶空閑超時的時間間隔。若設備在一個下線檢測定時器間隔之內,沒有收到某在線用戶的報文,將切斷該用戶的連接,同時通知RADIUS服務器停止對其計費。
· 靜默定時器(quiet):用來設置用戶認證失敗以後,設備停止對其提供認證服務的時間間隔。在靜默期間,設備不對來自認證失敗用戶的報文進行認證處理,直接丟棄。靜默期後,如果設備再次收到該用戶的報文,則依然可以對其進行認證處理。
· 服務器超時定時器(server-timeout):用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答,則設備將在相應的端口上禁止此用戶訪問網絡。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證定時器。
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
缺省情況下,下線檢測定時器為300秒,靜默定時器為60秒,服務器超時定時器取值為100秒。
· 端口上生成的MAC地址認證Guest VLAN表項會覆蓋已生成的阻塞MAC表項。開啟了端口安全入侵檢測的端口關閉功能時,若端口因檢測到非法報文被關閉,則MAC地址認證的Guest VLAN功能不生效。關於阻塞MAC表項和端口的入侵檢測功能的具體介紹請參見“安全配置指導”中的“端口安全”。
· 如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的MAC地址認證的Guest VLAN;同樣,如果某個VLAN被指定為某個端口的MAC地址認證的Guest VLAN,則該VLAN不能被指定為Super VLAN。關於Super VLAN的詳細內容請參見“二層技術-以太網交換配置指導”中的“Super VLAN”。
· MAC地址認證Guest VLAN功能的優先級高於MAC地址認證的靜默MAC功能,即認證失敗的用戶可訪問指定的Guest VLAN中的資源,且該用戶的MAC地址不會被加入靜默MAC。
配置MAC地址認證的Guest VLAN之前,需要進行以下配置準備,具體配置方法可參見“二層技術-以太網交換”中的“VLAN配置”:
· 創建需要配置為Guest VLAN的VLAN。
· 配置端口類型為Hybrid,並建議將指定的Guest VLAN修改為不攜帶Tag的方式。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口的MAC地址認證Guest VLAN。
mac-authentication guest-vlan guest-vlan-id
缺省情況下,未配置MAC地址認證的Guest VLAN。
不同的端口可以指定不同的MAC地址認證 Guest VLAN,一個端口最多隻能指定一個MAC地址認證Guest VLAN。
(4) 配置設備對MAC地址認證Guest VLAN中的用戶進行重新認證的時間間隔。
mac-authentication guest-vlan auth-period period-value
缺省情況下,設備對Guest VLAN中的用戶進行重新認證的時間間隔為30秒。
· 端口上生成的MAC地址認證Critical VLAN表項會覆蓋已生成的阻塞MAC表項。開啟了端口安全入侵檢測的端口關閉功能時,MAC地址認證的Critical VLAN功能不生效。關於阻塞MAC表項和端口的入侵檢測功能的具體介紹請參見“安全配置指導”中的“端口安全”。
· 如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的MAC地址認證的Critical VLAN;同樣,如果某個VLAN被指定為某個端口的MAC地址認證的Critical VLAN,則該VLAN不能被指定為Super VLAN。關於Super VLAN的詳細內容請參見“二層技術-以太網交換配置指導”中的“Super VLAN”。
· 當端口上的用戶加入指定的Critical VLAN後,該用戶的MAC地址不會被加入靜默MAC。
配置MAC地址認證的Critical VLAN之前,需要進行以下配置準備:
· 創建需要配置為Critical VLAN的VLAN。
· 配置端口類型為Hybrid,且建議將指定的Critical VLAN修改為不攜帶Tag的方式。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口的Critical VLAN。
mac-authentication critical vlan critical-vlan-id
缺省情況下,未配置MAC認證的Critical VLAN。
不同的端口可以指定不同的MAC地址認證 Critical VLAN,一個端口最多隻能指定一個MAC地址認證Critical VLAN。
配置MAC地址認證Critical Voice VLAN之前,需要進行以下配置準備:
· 全局和端口的LLDP(Link Layer Discovery Protocol,鏈路層發現協議)已經開啟,設備通過LLDP來判斷用戶是否為語音用戶。有關LLDP功能的詳細介紹請參見“二層技術-以太網交換配置指導”中的“LLDP”。
· 端口的語音VLAN功能已經開啟。有關語音VLAN的詳細介紹請參見“二層技術-以太網交換配置指導”中的“VLAN”。
· 在該端口上配置了MAC地址認證的Critical VLAN。若端口上的語音用戶在認證時所有認證服務器都不可達,且端口暫未將其識別為語音用戶,則可以將其先加入Critical VLAN。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟Critical Voice VLAN功能。
mac-authentication critical-voice-vlan
缺省情況下,端口下MAC地址認證的Critical Voice VLAN功能處於關閉狀態。
由於係統資源有限,如果當前端口下接入的用戶過多,接入用戶之間會發生資源的爭用,因此適當地配置該值可以使端口上已經接入的用戶獲得可靠的性能保障。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口上最多允許同時接入的MAC地址認證用戶數。
mac-authentication max-user max-number
缺省情況下,端口上最多允許同時接入的MAC地址認證用戶數為4294967295。
MAC地址認證的端口可以工作在單VLAN模式或多VLAN模式。端口工作在單VLAN模式時,在賬號已通過MAC地址認證,且沒有被下發授權VLAN情況下,如果此賬號在相同端口上的不同VLAN再次接入,則設備將讓原賬號下線,使得該賬號能夠在新的VLAN內重新開始認證。如果已通過MAC地址認證的賬號被下發了授權VLAN,則此賬號在屬於不同VLAN的相同端口再次接入時不會被強製下線。端口工作在多VLAN模式時,如果相同MAC地址的賬號在相同端口上的不同VLAN再次接入,設備將能夠允許賬號的流量在新的VLAN內通過,且允許該用戶的報文無需重新認證而在多個VLAN中轉發。
對於接入IP電話類用戶的端口,指定端口工作在MAC地址認證的多VLAN模式或為IP電話類用戶授權VLAN,可避免IP電話終端的報文所攜帶的VLAN tag發生變化後,因用戶流量需要重新認證帶來語音報文傳輸質量受幹擾的問題。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置端口工作在MAC地址認證的多VLAN模式。
mac-authentication host-mode multi-vlan
缺省情況下,端口工作在MAC地址認證的單VLAN模式。
端口同時開啟了MAC地址認證和802.1X認證的情況下,某些組網環境中希望設備對用戶報文先進行802.1X認證。例如,有些客戶端在發送802.1X認證請求報文之前,就已經向設備發送了其它報文,比如DHCP報文,因而觸發了並不期望的MAC地址認證。這種情況下,可以開啟端口的MAC地址認證延時功能。開啟該功能後,端口就不會在收到用戶報文時立即觸發MAC地址認證,而是會等待一定的延遲時間,若在此期間該用戶一直未進行802.1X認證或未成功通過802.1X認證,則延遲時間超時後端口會對之前收到的用戶報文進行MAC地址認證。
開啟了MAC地址認證延遲功能的端口上不建議同時配置端口安全的模式為mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否則MAC地址認證延遲功能不生效。端口安全模式的具體配置請參見“安全配置指導”中的“端口安全”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟MAC地址認證延遲功能,並指定延遲時間。
mac-authentication timer auth-delay time
缺省情況下,MAC地址認證延遲功能處於關閉狀態。
在終端用戶采用靜態IP地址方式接入的組網環境中,如果終端用戶擅自修改自己的IP地址,則整個網絡環境中可能會出現IP地址衝突等問題。
為了解決以上問題,管理員可以在端口上開啟MAC地址認證請求中攜帶用戶IP地址的功能,用戶在進行MAC地址認證時,設備會把用戶的IP地址上傳到iMC服務器。然後iMC服務器會把認證用戶的IP地址和MAC地址與服務器上已經存在的IP與MAC的綁定表項進行匹配,如果匹配成功,則該用戶MAC地址認證成功;否則,MAC地址認證失敗。
配置本功能後,當有用戶接入時,設備會檢查用戶報文中的IP地址是否合法,並進行相應處理:
· 當用戶的IP地址合法時,設備攜帶用戶IP地址向服務器發起MAC地址認證請求;
· 當用戶報文未攜帶IP地址或用戶的IP地址不合法時,設備不對用戶進行MAC地址認證。
· 收到源IP為全0的DHCP報文時,設備會向服務器發起MAC地址認證請求,但認證報文中不攜帶IP地址。認證是否通過取決於認證服務器側的配置。
iMC服務器上IP與MAC地址信息綁定表項的生成方式如下:
· 如果在iMC服務器上創建用戶時手工指定了用戶的IP地址和MAC地址信息,則服務器使用手工指定的IP和MAC信息生成該用戶的IP與MAC地址的綁定表項。
· 如果在iMC服務器上創建用戶時未手工指定用戶的IP地址和MAC地址信息,則服務器使用用戶初次進行MAC地址認證時使用的IP地址和MAC地址生成該用戶的IP與MAC地址的綁定表項。
在開啟了MAC地址認證的端口上,不建議將本命令與mac-authentication guest-vlan命令同時配置;否則,加入Guest VLAN的用戶無法再次發起MAC地址認證,用戶會一直停留在Guest VLAN中。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置MAC地址認證請求中攜帶用戶IP地址。
mac-authentication carry user-ip
缺省情況下,MAC地址認證請求中不攜帶用戶IP地址。
是否對MAC地址在線用戶進行周期性重認證由認證服務器決定。重認證的目的是檢測用戶連接狀態的變化、確保用戶的正常在線,並及時更新服務器下發的授權屬性(例如ACL、VLAN、User Profile)。認證服務器通過下發RADIUS屬性(session-timeout、terminal-action)來指定用戶會話超時時長以及會話中止的動作類型,它們共同決定了如何對用戶進行重認證。
· 當會話中止的動作類型為要求用戶進行重認證時,端口會在用戶會話超時時長到達後對該用戶進行重認證;
· 當會話中止的動作類型為要求用戶下線時,端口會在用戶會話超時時長到達強製該用戶下線;
· 當認證服務器未下發用戶會話超時時長時,設備不會對用戶進行重認證。
認證服務器上如何下發以上RADIUS屬性的具體配置以及是否可以下發重認證周期的情況與服務器類型有關,請參考具體的認證服務器實現。
端口對用戶進行重認證過程中,重認證服務器不可達時端口上的MAC地址認證用戶狀態由端口上的配置決定。在網絡連通狀況短時間內不良的情況下,合法用戶是否會因為服務器不可達而被強製下線,需要結合實際的網絡狀態來調整。若配置為保持用戶在線,當服務器在短時間內恢複可達,則可以避免用戶頻繁上下線;若配置為強製下線,當服務器可達性在短時間內不可恢複,則可避免用戶在線狀態長時間與實際不符。
修改設備上配置的認證域或MAC地址認證用戶的賬號格式,都不會影響在線用戶的重認證,隻對配置之後新上線的用戶生效。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置重認證服務器不可達時端口上的MAC地址認證用戶保持在線狀態。
mac-authentication re-authenticate server-unreachable keep-online
缺省情況下,端口上的MAC地址在線用戶重認證時,若認證服務器不可達,則用戶會被強製下線。
強製MAC地址認證用戶下線後,設備會刪除對應的用戶信息,用戶再次上線時,需要重新進行MAC地址認證。
執行reset mac-authentication access-user命令時,可通過攜帶不同的參數強製不同範圍的MAC地址認證用戶下線:
· interface:強製指定端口下的用戶下線。
· mac:強製指定MAC地址的用戶下線。
· vlan:強製指定VLAN內的用戶下線。指定的VLAN是指當前用戶所在VLAN,可通過display mac-address命令查看。
¡ 對於正在認證中的用戶,需要指定初始VLAN。
¡ 對於已經認證成功且服務器授權了VLAN的用戶,需要指定授權VLAN;
¡ 對於已認證成功但服務器未授權VLAN的用戶,需要指定對用戶當前生效的VLAN。
· vsi:強製指定VSI內的用戶下線。
請在用戶視圖下執行本命令,強製MAC地址認證用戶下線。
reset mac-authentication access-user [ interface interface-type interface-number | mac mac-address | username username | vlan vlan-id | vsi vsi-name ]
MAC地址認證接入用戶日誌信息是為了滿足網絡管理員維護的需要,對MAC地址認證用戶的接入信息進行記錄。設備生成的MAC地址認證接入用戶日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
為了防止設備輸出過多的MAC地址認證接入用戶日誌信息,一般情況下建議關閉此功能。
(1) 進入係統視圖。
system-view
(2) 開啟MAC地址認證接入用戶日誌信息功能。
mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
缺省情況下,MAC地址認證接入用戶日誌信息功能處於關閉狀態。
配置本命令時,如果未指定任何參數,將同時開啟所有參數對應的日誌功能。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MAC地址認證的運行情況,通過查看顯示信息驗證配置的效果。
在AC設備任意視圖下執行display mac-authentication connection-backup命令可以顯示客戶端上MAC地址認證用戶的備份信息,具體介紹請參見“WLAN配置指導”中的“WLAN高可靠性”的客戶端熱備份部分。
在用戶視圖下,執行reset命令可以清除相關統計信息。
表1-1 MAC地址認證的顯示和維護
|
操作 |
命令 |
|
顯示MAC地址認證的相關信息 |
display mac-authentication [ interface interface-type interface-number ] |
|
顯示MAC地址認證連接信息 |
(獨立運行模式) display mac-authentication connection [ interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name user-name ] (IRF模式) display mac-authentication connection [ chassis chassis-number slot slot-number | interface interface-type interface-number | user-mac mac-addr | user-name user-name ] |
|
顯示AC上備份的MAC地址認證用戶信息 |
display mac-authentication connection-backup [ ap ap-name [ radio radio-id ] ] slot slot-number |
|
清除MAC地址認證的統計信息 |
reset mac-authentication statistics [ interface interface-type interface-number ] |
|
清除Critical VLAN內MAC地址認證用戶 |
reset mac-authentication critical-vlan interface interface-type interface-number [ mac-address mac-address ] |
|
清除Critical Voice VLAN內MAC地址認證用戶 |
reset mac-authentication critical-voice-vlan interface interface-type interface-number [ mac-address mac-address ] |
|
清除Guest VLAN內MAC地址認證用戶 |
reset mac-authentication guest-vlan interface interface-type interface-number [ mac-address mac-address ] |
如圖1-3所示,某子網的用戶主機與設備的端口GigabitEthernet1/0/1相連接。
· 設備的管理者希望在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製它們對Internet的訪問。
· 要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於ISP域bbb,認證時使用本地認證的方式。
· 使用用戶的MAC地址作用戶名和密碼,其中MAC地址帶連字符、字母小寫。
圖1-3 啟動MAC地址認證對接入用戶進行本地認證
# 添加網絡接入類本地接入用戶。本例中添加Host A的本地用戶,用戶名和密碼均為Host A的MAC地址08-00-27-12-34-56,服務類型為lan-access。
<Device> system-view
[Device] local-user 08-00-27-12-34-56 class network
[Device-luser-network-08-00-27-12-34-56] password simple 08-00-27-12-34-56
[Device-luser-network-08-00-27-12-34-56] service-type lan-access
[Device-luser-network-08-00-27-12-34-56] quit
# 配置ISP域,使用本地認證方法。
[Device] domain bbb
[Device-isp-bbb] authentication lan-access local
[Device-isp-bbb] quit
# 開啟端口GigabitEthernet1/0/1的MAC地址認證。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證的定時器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址認證用戶的賬號格式:使用帶連字符的MAC地址作為用戶名與密碼,其中字母小寫。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 當用戶接入端口GigabitEthernet1/0/1之後,可以通過如下顯示信息看到Host A成功通過認證,處於上線狀態,Host B沒有通過認證,它的MAC地址被加入靜默MAC列表。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
User name format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 180 s
Quiet period : 180 s
Server timeout : 100 s
Authentication domain : bbb
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
0800-2711-1111 8 Gigabitethernet1/0/1 1
Gigabitethernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
0800-2712-3456 Authenticated
如圖1-4所示,用戶主機Host通過端口GigabitEthernet1/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費。
· 設備的管理者希望在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。
· 要求設備每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於域2000,認證時采用固定用戶名賬號,用戶名為aaa,密碼為123456TESTplat&!TESTplat&!。
圖1-4 啟動MAC地址認證對接入用戶進行RADIUS認證
(1) 配置RADIUS服務器,添加接入用戶賬戶:用戶名為aaa,密碼為123456TESTplat&!TESTplat&!,並保證用戶的認證/授權/計費功能正常運行(略)
(2) 配置使用RADIUS服務器進行MAC地址認證
# 配置RADIUS方案。
<Device> system-view
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置ISP域的AAA方法。
[Device] domain bbb
[Device-isp-bbb] authentication default radius-scheme 2000
[Device-isp-bbb] authorization default radius-scheme 2000
[Device-isp-bbb] accounting default radius-scheme 2000
[Device-isp-bbb] quit
# 開啟端口GigabitEthernet1/0/1的MAC地址認證。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證的定時器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址認證使用固定用戶名賬號:用戶名為aaa,密碼為明文123456TESTplat&!TESTplat&!。
[Device] mac-authentication user-name-format fixed account aaa password simple 123456TESTplat&!TESTplat&!
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 顯示MAC地址認證配置信息。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
Username format : Fixed account
Username : aaa
Password : ******
Offline detect period : 180 s
Quiet period : 180 s
Server timeout : 100 s
Authentication domain : bbb
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
0800-2712-3456 Authenticated
如圖1-5所示,用戶主機Host通過端口GigabitEthernet1/0/1連接到設備上,設備通過RADIUS服務器對用戶進行認證、授權和計費,Internet網絡中有一台FTP服務器,IP地址為10.0.0.1。現有如下組網需求:
· 在端口GigabitEthernet1/0/1上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。認證時使用用戶的源MAC地址做用戶名和密碼,其中MAC地址帶連字符、字母小寫。
· 當用戶認證成功上線後,允許用戶訪問除FTP服務器之外的Internet資源。
圖1-5 下發ACL典型配置組網圖
(1) 配置RADIUS服務器,保證用戶的認證/授權/計費功能正常運行
# 由於該例中使用了MAC地址認證的缺省用戶名和密碼,即使用用戶的源MAC地址做用戶名與密碼,因此還要保證RADIUS服務器上正確添加了接入用戶賬戶:用戶名為08-00-27-12-34-56,密碼為08-00-27-12-34-56。
# 指定RADIUS服務器上的授權ACL為設備上配置的ACL 3000。
(2) 配置授權ACL
# 配置ACL 3000,拒絕目的IP地址為10.0.0.1的報文通過。
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[Device-acl-ipv4-adv-3000] quit
(3) 配置使用RADIUS服務器進行MAC地址認證
# 配置RADIUS方案。
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置ISP域的AAA方法。
[Device] domain bbb
[Device-isp-bbb] authentication default radius-scheme 2000
[Device-isp-bbb] authorization default radius-scheme 2000
[Device-isp-bbb] accounting default radius-scheme 2000
[Device-isp-bbb] quit
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址認證用戶的賬號格式:使用帶連字符的MAC地址做用戶名與密碼,其中字母小寫。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 開啟端口GigabitEthernet1/0/1上的MAC地址認證。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 開啟全局MAC地址認證。
[Device] mac-authentication
# 顯示MAC地址認證配置信息。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enable
Authentication method : PAP
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Authentication domain : bbb
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
0800-2712-3456 Authenticated
用戶認證上線後,Ping FTP服務器,發現服務器不可達,說明認證服務器下發的ACL 3000已生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
