- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-MAC地址认证配置
本章节下载: 04-MAC地址认证配置 (173.09 KB)
目 录
l 产品对相关命令参数的支持情况、缺省值及取值范围的差异内容请参见“特性差异化列表”部分。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
l 本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备。
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。
目前设备支持两种方式的MAC地址认证:
l 通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器认证。
l 本地认证。
有关远程RADIUS认证和本地认证的详细介绍请参见“AAA配置”。
认证方式确定后,可根据需求选择MAC认证用户名的类型,包括以下两种方式:
l MAC地址用户名:使用用户的MAC地址作为认证时的用户名和密码;
l 固定用户名:不论用户的MAC地址为何值,所有用户均使用在设备上预先配置的用户名和密码进行认证。同一个端口下可以有多个用户进行认证,且均使用同一个固定用户名通过认证。
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
l 采用MAC地址用户名时,设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。
l 采用固定用户名时,设备将已经在本地配置的用户名和密码作为待认证用户的用户名和密码,发送给RADIUS服务器。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
l 采用MAC地址用户名时,需要配置的本地用户名为各接入用户的MAC地址。
l 采用固定用户名时,需要配置的本地用户名为自定义的,所有用户对应的用户名和密码与自定义的一致。
MAC地址认证过程受以下定时器的控制:
l 下线检测定时器(offline-detect):用来设置设备检查用户是否已经下线的时间间隔。如果在两个时间间隔之内,没有来自用户的流量通过,设备将切断用户的连接,同时通知RADIUS服务器,停止对该用户的计费。
l 静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不处理该用户的认证功能,静默之后设备再重新对用户发起认证。
l 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果服务器超时定时器超时,设备将在相应的端口上禁止此用户访问网络。
当一个MAC地址认证失败后,此MAC就被添加为静默MAC,在静默时间内,来自此MAC地址的数据报文到达时,设备直接做丢弃处理。静默MAC的功能主要是防止非法MAC短时间内的重复认证。
若配置的静态MAC或者同时有认证通过的MAC地址与静默MAC相同,则此MAC地址的静默功能失效。
为了将受限的网络资源与用户隔离,通常将受限的网络资源和用户划分到不同的VLAN。当用户通过身份认证后,受限的网络资源所在的VLAN会作为授权VLAN从授权服务器上下发。同时用户所在的端口被加入到此授权VLAN中,用户可以访问这些受限的网络资源。
从授权服务器下发的ACL被称为授权ACL,它为用户访问网络提供了良好的过滤条件设置功能。当用户上线时,如果RADIUS服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制。而且在用户访问网络的过程中,可以通过改变服务器的授权ACL设置来改变用户的访问权限。
通过使用MAC地址认证,可以对用户的网络访问权限进行控制。
l 创建并配置ISP域。
l 若采用本地认证方式,需建立本地用户并设置其密码。
l 若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加用户名及密码。
本地或远程服务器上配置用户名和密码时,需要注意以下事项:
l 用户名和密码的类型必须与设备上配置的MAC地址认证的用户名和密码类型保持一致。
l 若用户名和密码为MAC地址形式,则MAC地址中的字母必须为小写字母。
l 本地用户的服务类型应设置为lan-access。
表1-1 MAC地址认证配置过程
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动全局的MAC地址认证 |
mac-authentication |
必选 缺省情况下,全局的MAC地址认证为关闭状态 |
|
启动端口的MAC地址认证 |
mac-authentication interface interface-list |
二者必选其一 缺省情况下,端口的MAC地址认证为关闭状态 |
|
或者在以WLAN-BSS接口视图下 interface wlan-bss interface-number mac-authentication quit |
||
|
配置下线检测定时器 |
mac-authentication timer offline-detect offline-detect-value |
可选 缺省情况下,下线检测定时器为300秒 |
|
配置静默定时器 |
mac-authentication timer quiet quiet-value |
可选 缺省情况下,静默定时器为60秒 |
|
配置服务器超时定时器 |
mac-authentication timer server-timeout server-timeout-value |
可选 缺省情况下,服务器超时定时器取值为100秒 |
|
配置MAC地址认证的用户名与密码 |
mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } password ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] } |
可选 缺省情况下,使用用户的源MAC地址做用户名与密码,其中字母为小写。 |
|
配置端口同时可容纳接入的MAC地址认证用户数量的最大值 |
接口视图下 interface interface-type interface-number mac-authentication max-user user-number |
可选 端口同时可容纳接入用户数量的最大值为128。 |
l 在全局MAC地址认证没有开启之前端口可以启动MAC地址认证,但不起作用;只有在全局MAC地址认证启动后,各端口的MAC地址认证配置才会立即生效。
l 关于缺省ISP域的详细介绍请参见“AAA配置”。
缺省情况下,对端口上接入的用户进行MAC地址认证时,使用的系统缺省的认证域。为了便于接入设备的管理员更为灵活的部署用户的接入策略,设备支持指定MAC地址认证用户使用的认证域,可以通过以下两种配置实现:
l 在系统视图下指定一个认证域,该认证域对所有使能了MAC地址认证的端口生效。
l 在接口视图下指定该端口的认证域,不同的端口可以指定不同的认证域。
如果系统视图和接口视图下都指定了认证域,则端口优先采用本端口上指定的认证域。
表1-2 指定MAC地址认证用户使用的认证域
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
指定MAC地址认证用户使用的认证域 |
mac-authentication domain domain-name |
二者至少选其一 缺省情况下,未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域 |
|
interface interface-type interface-number mac-authentication domain domain-name |
端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。关于系统缺省认证域的相关介绍请参见“AAA配置”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后MAC地址认证的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除相关统计信息。
表1-3 MAC地址认证的显示和维护
|
操作 |
命令 |
|
显示全局或指定端口的MAC地址认证信息 |
display mac-authentication [ interface interface-list ] |
|
清除MAC地址认证的统计信息 |
reset mac-authentication statistics [ interface interface-list ] |
MAC地址认证配置举例请参见“端口安全配置”中的相关配置举例。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
