19-MAC地址认证操作
本章节下载 (214.25 KB)
MAC地址认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法,它不需要用户安装任何客户端认证软件。交换机在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。
S2000-EA系列以太网交换机进行MAC地址认证时,可采用两种认证方式:
l 通过RADIUS服务器认证
l 本地认证
当认证方式确定后,用户可根据需求选择以下一种类型的认证用户名:
l MAC地址用户名:使用用户的MAC地址作为认证时的用户名和密码。
l 固定用户名:所有用户均使用在交换机上预先配置的本地用户名和密码进行认证,因此用户能否通过认证取决于该用户名和密码是否正确及此用户名的最大用户数属性控制(具体内容请参见本手册“AAA”中的配置本地用户属性部分)。
当选用RADIUS服务器认证方式进行MAC地址认证时,交换机作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
l 采用MAC地址用户名时,交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。
l 采用固定用户名时,交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密码,发送给RADIUS服务器。
RADIUS认证流程是与PAP方式的802.1X认证流程一致的。具体请参见“802.1x及System-Guard”相关介绍。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
当选用本地认证方式进行MAC地址认证时,直接在交换机上完成对用户的认证。需要在交换机上配置本地用户名和密码:
l 采用MAC地址用户名时,需要配置的本地用户名为接入用户的MAC地址,本地用户名是否使用分隔符“-”要与mac-authentication authmode usernameasmacaddress usernameformat命令设置的格式相同,否则会导致认证失败。
l 采用固定用户名时,所有用户MAC将自动匹配到已配置的本地用户名和密码。
本地用户的服务类型应设置为lan-access。
MAC地址认证过程受以下定时器的控制:
l 下线检测定时器(offline-detect):用来设置交换机检查用户是否已经下线的时间间隔。当检测到用户下线后,交换机立即通知RADIUS服务器,停止对该用户的计费。
l 静默定时器(quiet):用来设置用户认证失败以后,该用户需要等待的时间间隔。在静默期间,交换机不处理该用户的认证功能,静默之后交换机再重新对用户发起认证。
l 服务器超时定时器(server-timeout):用来设置交换机同RADIUS服务器的连接超时时间。在用户的认证过程中,如果服务器超时定时器超时,则此次认证失败。
l 重认证定时器(guest-vlan-reauth):用来配置交换机对MAC地址认证的Guest VLAN内的用户进行重认证的时间间隔。
当一个MAC地址认证失败后,此MAC就被设置为静默MAC。在静默定时器时长之内,对来自此MAC地址的数据报文,交换机直接做丢弃处理。静默MAC的功能主要是防止非法MAC短时间内的重复认证。
l 若配置的静态MAC或者认证通过的MAC地址与静默MAC相同,则此MAC地址的静默功能失效。
l S2000-EA系列以太网交换机支持在端口下配置是否开启静默MAC功能。
表1-1 MAC地址认证基本功能配置
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启全局MAC地址认证特性 |
mac-authentication |
必选 缺省情况下,全局MAC地址认证特性处于关闭状态 |
|
开启指定端口的MAC地址认证特性 |
系统视图下 |
mac-authentication interface interface-list |
二者必选其一 缺省情况下,所有端口的MAC地址认证特性处于关闭状态 |
端口视图下 |
interface interface-type interface-number |
||
mac-authentication |
|||
quit |
|||
设置采用MAC地址用户名 |
mac-authentication authmode usernameasmacaddress [ usernameformat { with-hyphen | without-hyphen } { lowercase | uppercase } | fixedpassword password ] |
可选 缺省情况下,采用MAC地址用户名 |
|
设置采用固定用户名 |
设置采用固定用户名 |
mac-authentication authmode usernamefixed |
可选 缺省情况下,采用固定用户名时的用户名为“mac”,未配置密码 |
设置用户名 |
mac-authentication authusername username |
||
设置密码 |
mac-authentication authpassword password |
||
配置认证用户所使用的ISP域 |
mac-authentication domain isp-name |
必选 缺省情况下,未配置认证用户使用的域,使用缺省域作为ISP域 |
|
配置MAC地址认证定时器 |
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value } |
可选 缺省情况下,下线检测定时器的超时时间为300秒;静默定时器的超时时间为60秒;服务器超时定时器的超时时间为100秒 |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置当前端口MAC地址认证用户下线检测功能 |
mac-authentication timer offline-detect offline-detect-value |
可选 缺省情况下,下线检测定时器的超时时间为300秒 |
l 如果端口开启了MAC地址认证,则不能配置该端口的最大MAC地址学习个数(通过命令mac-address max-mac-count配置),反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上开启MAC地址认证。
l 如果开启了MAC地址认证,则不能配置端口安全(通过命令port-security enable配置),反之,如果配置了端口安全,则禁止在该端口上开启MAC地址认证。
l 各端口的MAC地址认证状态在全局开启之前可以配置,但不会生效;在全局MAC地址认证开启后,已使能MAC地址认证的端口将立即开始进行认证操作。
l 系统视图下指定的用户下线检测定时器的值对所有使能了MAC地址认证的端口生效;以太网端口视图下指定的用户下线检测定时器的值仅对本端口有效。不同的端口可以指定不同的值。
l 端口上接入的MAC地址认证用户将按照如下先后顺序选择下线检测定时器的值:端口上指定的用户下线检测定时器的值-->系统视图下指定的用户下线检测定时器的值。
表1-2 MAC地址认证增强功能配置任务
配置任务 |
说明 |
详细配置 |
配置Guest VLAN或Auth-Fail VLAN |
可选 |
|
配置端口下MAC地址认证用户的最大数量 |
可选 |
|
配置端口的静默MAC功能 |
可选 |
l 本节所指的Guest VLAN或Auth-Fail VLAN是MAC地址认证功能专用的Guest VLAN或Auth-Fail VLAN,与“802.1x及System-Guard”手册中描述的802.1X认证的Guest VLAN或Auth-Fail VLAN不是同一功能。
l MAC地址认证的Guest VLAN和Auth-Fail VLAN都是指用户在MAC地址认证失败的情况下,可以访问的包含某些特定资源的VLAN。
在完成1.3 MAC地址认证基本功能配置介绍的配置任务后,交换机可以对接入用户根据其MAC地址或固定的用户名密码进行认证。对于认证失败的客户端,交换机不会将其MAC地址学习到本地的MAC地址转发表,以防止非法用户访问网络。
在某些情况下,对于认证未通过的客户端,要求其仍然可以访问网络中的部分受限资源,例如病毒库升级服务器等,这时可以使用Guest VLAN或Auth-Fail VLAN功能来实现。
根据VLAN下发方式的不同,可以将MAC地址认证的Guest VLAN/Auth-Fail VLAN划分为:基于端口的Guest VLAN/Auth-Fail VLAN(简称为PGV或PAFV)和基于MAC的Guest VLAN/Auth-Fail VLAN(简称为MGV或MAFV)。
l 基于端口的Guest VLAN/Auth-Fail VLAN:若有用户MAC地址认证失败,则该端口将被加入Guest VLAN或Auth-Fail VLAN,所有在该端口接入的用户将被授权访问Guest VLAN或Auth-Fail VLAN里的资源。
l 基于MAC的Guest VLAN/Auth-Fail VLAN:设备必须同时开启MAC VLAN功能,认证失败的用户,其MAC地址和VLAN将被绑定,只能被授权访问Guest VLAN或Auth-Fail VLAN里的资源。
在PGV或PAFV模式下,当用户认证失败时,交换机将该失败端口加入Guest VLAN或Auth-Fail VLAN,因此,对于Access端口,Guest VLAN或Auth-Fail VLAN可以有效实现隔离未认证用户的功能。但对于Trunk和Hybrid端口,如果接收的报文本身已经带有VLAN Tag,且在端口允许通过的VLAN范围内,该报文将被正确转发,而不受Guest VLAN或Auth-Fail VLAN的影响。即在用户认证失败的情况下,Trunk和Hybrid端口仍能向除Guest VLAN或Auth-Fail VLAN之外的VLAN转发数据。
表1-3 Guest VLAN/Auth-Fail VLAN配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置当前端口MAC地址认证的Guest VLAN |
mac-authentication guest-vlan vlan-id |
必选 缺省情况下,没有配置端口MAC地址认证的Guest VLAN |
配置当前端口MAC地址认证的Auth-Fail VLAN |
mac-authentication auth-fail vlan authfail-vlan-id |
可选 缺省情况下,没有配置端口MAC地址认证的Auth-Fail VLAN |
退出至系统视图 |
quit |
- |
配置交换机对Guest VLAN内用户进行重认证的时间间隔 |
mac-authentication timer guest-vlan-reauth interval |
可选 缺省情况下,交换机对Guest VLAN内用户进行重认证的时间间隔为30秒 |
l MAC地址认证的Auth-Fail VLAN的优先级高于Guest VLAN,如果接入用户的端口上同时配置了MAC地址认证的GV和AFV,且为不同的VLAN,则该端口上MAC地址认证失败的用户会被加入到AFV,即该用户被授权访问Auth-Fail VLAN里的资源;如果接入用户的端口上只配置了GV(或AFV),则该端口上认证失败的用户会被加入到GV(或AFV),即该用户被授权访问Guest VLAN(或Auth-Fail VLAN)里的资源。
l 被配置为Guest VLAN的VLAN不能使用undo vlan命令直接删除,必须先删除Guest VLAN配置,才能够删除。undo vlan命令请参见本手册“VLAN”部分的介绍。
l 一个端口只能配置一个Guest VLAN,对应的VLAN必须已经存在,否则将会配置失败。如果需要修改当前端口的Guest VLAN,需要先删除之前的Guest VLAN配置,再重新进行配置。
l MAC地址认证的Guest VLAN功能在端口安全开启的情况下不生效。
用户可以通过配置端口下MAC地址认证用户的最大数量,来控制通过此端口接入的用户数目。当接入用户到达配置的限制数量时,交换机将不会再对之后接入的用户进行认证触发动作,这些用户也就无法正常访问网络。
表1-4 配置端口下MAC地址认证用户的最大数目限制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置端口下MAC地址认证用户的最大数目限制 |
mac-authentication max-auth-num user-number |
必选 缺省情况下,每个端口允许接入的MAC地址认证用户的最大数目为256个 |
l 当端口下同时配置了MAC地址认证用户数量限制和端口安全的用户数量限制时,允许接入的MAC地址认证用户数将为这两种配置中的较小值。端口安全功能的介绍请参见本手册“端口安全”部分。
l 当端口当前有用户在线时,不能配置此端口的MAC地址认证用户的最大数量。
用户可以手动配置端口下是否开启静默MAC功能。开启静默MAC功能后,如果当前端口连接的客户端MAC地址认证失败后,此MAC就被设置为静默MAC。关闭当前端口的静默MAC功能,则不会被设置为静默MAC。
表1-5 配置端口的静默MAC功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置端口的静默MAC功能 |
mac-authentication intrusion-mode block-mac enable |
必选 缺省情况下,端口下开启静默MAC功能 |
完成上述配置后,在任意视图下执行display命令,可以显示配置MAC地址认证后的运行情况。通过查看显示信息,用户可以验证配置的效果。在用户视图下执行reset命令清除MAC地址认证的统计信息。
表1-6 MAC地址认证显示和维护
操作 |
命令 |
说明 |
显示MAC地址认证的全局或端口信息 |
display mac-authentication [ interface interface-list ] |
display命令可以在任意视图下执行 |
清除MAC地址认证的全局或端口统计信息 |
reset mac-authentication statistics [ interface interface-type interface-number ] |
reset命令在用户视图下执行 |
如图1-1所示,某用户的工作站与以太网交换机的端口Ethernet1/0/2相连接。
l 交换机的管理者希望在端口Ethernet1/0/2上对用户接入进行MAC地址认证,以控制用户对Internet的访问。
l 所有用户都属于域:example.com,认证时使用本地认证的方式。用户名和密码都为PC的MAC地址:00-0d-88-f6-44-c1。
图1-1 开启MAC地址认证对接入用户进行本地认证
# 开启指定端口Ethernet 1/0/2的MAC地址认证特性。
<Sysname> system-view
[Sysname] mac-authentication interface Ethernet 1/0/2
# 配置采用MAC地址用户名进行认证,并指定使用带有分隔符的小写形式的MAC地址作为验证的用户名和密码。
[Sysname] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen lowercase
# 添加本地接入用户。
l 配置本地用户的用户名和密码。
[Sysname] local-user 00-0d-88-f6-44-c1
[Sysname-luser-00-0d-88-f6-44-c1] password simple 00-0d-88-f6-44-c1
l 设置本地用户服务类型为lan-access。
[Sysname-luser-00-0d-88-f6-44-c1] service-type lan-access
[Sysname-luser-00-0d-88-f6-44-c1] quit
# 创建MAC地址认证用户所使用的域example.com。
[Sysname] domain example.com
New Domain added.
# 配置域example.com采用本地认证方式。
[Sysname-isp-example.com] scheme local
[Sysname-isp-example.com] quit
# 配置MAC地址认证用户所使用的域名为example.com。
[Sysname] mac-authentication domain example.com
# 开启全局MAC地址认证特性(接入控制相关特性一般将全局配置开启放在最后,否则相关参数未配置完成,会造成合法用户无法访问网络)。
[Sysname] mac-authentication
此时,MAC地址认证生效,只允许MAC地址为00-0d-88-f6-44-c1的用户通过端口Ethernet1/0/2访问网络。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!