22-集中式MAC地址认证操作
本章节下载 (152.88 KB)
目 录
集中式MAC地址认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法,它不需要用户安装任何客户端软件,交换机在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。
集中式MAC地址认证有两种方式:
l MAC地址方式:使用用户的MAC地址作为认证时的用户名和密码。
l 固定方式:使用在交换机上预先配置用户名和密码进行认证。此时,要求所有用户都和交换机上配置的用户名和密码一一对应。
S3600系列以太网交换机支持通过RADIUS服务器或通过本地进行集中式MAC地址认证。
(1) 当采用RADIUS服务器进行认证时,交换机作为RADIUS客户端,与RADIUS服务器配合完成集中式MAC地址认证操作:
l 对于MAC地址方式,交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器,其余处理过程与普通RADIUS认证相同。
l 对于固定方式,交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密码,发送给RADIUS服务器,并将RADIUS报文的calling-station-id属性更改为用户的MAC地址,其余处理过程与普通RADIUS认证相同。
l RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
(2) 当采用本地认证时,直接在交换机上完成对用户的认证。在交换机上配置本地用户名和密码时请注意:
l 对于MAC地址方式,用户可以通过命令设置输入作为用户名、密码的MAC地址时是否使用分隔符“-”,输入的格式要与命令设置的格式相同,否则会导致认证失败。
l 对于固定方式,本地用户的用户名和密码配置成固定方式的用户名和密码即可。
l 本地用户的服务类型应设置为lan-access。
集中式MAC地址认证配置包括:
注意:
如果端口启动了集中式MAC地址认证,则不能配置该端口的最大MAC地址学习个数(通过命令mac-address max-mac-count配置),反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动集中式MAC地址认证。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启全局集中式MAC地址认证特性 |
mac-authentication |
必选 缺省情况下,全局集中式MAC地址认证特性为关闭状态 |
用户可以在系统视图或以太网端口视图下开启端口的集中式MAC地址认证特性。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启指定端口的集中式MAC地址认证特性 |
mac-authentication interface interface-list |
必选 缺省情况下,所有端口的集中式MAC地址认证特性为关闭状态 |
表1-3 在以太网端口视图下开启端口的集中式MAC地址认证特性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
开启当前端口的集中式MAC地址认证特性 |
mac-authentication |
必选 缺省情况下,所有端口的集中式MAC地址认证特性为关闭状态 |
各端口的集中式MAC地址认证状态在全局没有开启之前可以配置,但不会生效;在全局集中式MAC地址认证启动后,已使能集中式MAC地址认证的端口将立即开始进行认证操作。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置集中式MAC地址认证方式为MAC地址方式 |
mac-authentication authmode usernameasmacaddress [ usernameformat { with-hyphen | without-hyphen } ] |
可选 缺省情况下,集中式MAC地址认证的认证方式为MAC地址方式 |
设置集中式MAC地址认证方式为固定方式 |
mac-authentication authmode usernamefixed |
可选 |
设置集中式MAC地址认证采用固定方式时的用户名 |
mac-authentication authusername username |
固定方式时必选 缺省情况下,集中式MAC地址认证采用固定方式时的用户名为“mac”,未配置密码 |
设置集中式MAC地址认证采用固定方式时的密码 |
mac-authentication authpassword password |
可选 |
可以通过下面的命令配置集中式MAC地址认证的用户所使用的ISP域名。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置集中式MAC地址认证用户所使用的ISP域 |
mac-authentication domain isp-name |
必选 缺省情况下,未配置认证用户使用的域,使用“default domain”作为ISP域名 |
集中式MAC地址认证的定时器包括:
l 下线检测定时器(offline-detect):配置交换机定时检查用户是否已经下线的时间间隔。当检测到用户下线后,交换机立即通知RADIUS服务器,停止对该用户计费。
l 静默定时器(quiet):用户认证失败以后,交换机需要静默一段时间(该时间由静默定时器设置)后才能再次处理此用户的下一次认证请求。在静默期间,交换机不处理此用户的认证请求。
l 服务器超时定时器(server-timeout):在用户的认证过程中,如果交换机同RADIUS服务器的连接超时,交换机将在用户当前连接的端口上禁止此用户访问网络,此时用户可以通过接入交换机的其他端口重新开始认证。
可以通过下面的命令配置集中式MAC地址认证的定时器。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置集中式MAC地址认证定时器 |
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value } |
可选 缺省情况下,下线检测定时器的超时时间为300秒;静默定时器的超时时间为60秒;服务器超时定时器的超时时间为100秒 |
完成上述配置后,在任意视图下执行display命令,可以显示配置集中式MAC地址认证后的运行情况。通过查看显示信息,用户可以验证配置的效果。在用户视图下执行reset命令清除集中式MAC地址认证的统计信息。
操作 |
命令 |
说明 |
显示集中式MAC地址认证的全局或端口信息 |
display mac-authentication [ interface interface-list ] |
display命令可以在任意视图下执行 |
清除集中式MAC地址认证的全局或端口统计信息 |
reset mac-authentication statistics [ interface interface-type interface-number ] |
reset命令在用户视图下执行 |
& 说明:
集中式MAC地址认证的配置与802.1x类似,在本例中,二者的区别是:
l 在端口和全局下使能集中式MAC地址认证;
l 对于MAC地址方式,本地认证的用户名和密码需要配置为该用户的MAC地址;
l 对于MAC地址方式,RADIUS服务器上的用户名和密码需要配置为该用户的MAC地址。
在端口和全局使能集中式MAC地址认证,以及如何配置本地用户的方法如下,其他配置请参见“802.1x”中的典型配置举例部分。
# 开启指定端口Ethernet 1/0/2的集中式MAC地址认证特性。
<H3C> system-view
[H3C] mac-authentication interface Ethernet 1/0/2
# 配置集中式MAC地址认证的方式为MAC地址方式,并指定使用带有分隔符的MAC地址作为验证的用户名和密码。
[H3C] mac-authentication authmode usernameasmacaddress userformat with-hyphen
# 添加本地接入用户。
l 配置本地用户的用户名和密码。
[H3C] local-user 00-0f-e2-0f-01-01
[H3C-luser-00-0f-e2-0f-01-01] password simple 00-0f-e2-0f-01-01
l 设置本地用户服务类型为lan-access。
[H3C-luser-00-0f-e2-0f-01-01] service-type lan-access
# 开启全局集中式MAC地址认证特性。
[H3C-luser-00-0f-e2-0f-01-01] quit
[H3C] mac-authentication
# 配置MAC地址认证用户所使用的域名为aabbcc163.net。
[H3C] mac-authentication domain aabbcc163.net
有关域的配置请参见“802.1x”中的典型配置举例部分
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!