• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-安全配置指导

目录

04-MAC地址认证配置

本章节下载 04-MAC地址认证配置  (231.35 KB)

04-MAC地址认证配置


1 MAC地址认证

1.1  MAC地址认证简介

1.1.1  MAC地址认证概述

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为静默MAC。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。

说明

若配置的静态MAC或者当前认证通过的MAC地址与静默MAC相同,则MAC地址认证失败后的MAC静默功能将会失效。

 

1.1.2  使用不同用户名格式的MAC地址认证

目前设备支持两种方式的MAC地址认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证。有关远程RADIUS认证和本地认证的详细介绍请参见“安全配置指导”中的“AAA”。

根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户名格式分为两种类型:

·     MAC地址用户名格式:使用用户的MAC地址作为认证时的用户名和密码;

·     固定用户名格式:不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。

图1-1 不同用户名格式下的MAC地址认证示意图

 

 

1. RADIUS服务器认证方式进行MAC地址认证

当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:

·     若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。

·     若采用固定用户名格式,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码,发送给RADIUS服务器进行验证。

RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。

2. 本地认证方式进行MAC地址认证

当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:

·     若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。

·     若采用固定用户名,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。

用户名和密码匹配成功后,用户可以访问网络。

1.1.3  MAC地址认证定时器

可配置的MAC地址认证定时器包括以下几种:

·     下线检测定时器(offline-detect):用来设置用户空闲超时的时间间隔。如果在两个时间间隔之内,某在线用户没有流量通过设备,设备将切断该用户的连接,同时通知RADIUS服务器,停止对该用户的计费。

·     静默定时器(quiet):用来设置用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自该用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。

·     服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。

1.1.4  和MAC地址认证配合使用的下发VLAN特性

为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和用户划分到不同的VLAN。MAC地址认证支持认证服务器(远程或本地)授权下发VLAN功能,即当用户通过MAC地址认证后,认证服务器将指定的受限网络资源所在的VLAN作为授权VLAN下发到用户认证的端口。该端口被加入到授权VLAN中后,用户便可以访问这些受限的网络资源。

设备根据用户接入的端口链路类型,按以下三种情况将端口加入下发的授权VLAN中。

·     若用户从Access类型的端口接入,则端口离开当前VLAN并加入下发的授权VLAN中。

·     若用户从Trunk类型的端口接入,则设备允许下发的授权VLAN通过该端口,并且修改该端口的缺省VLAN为下发的授权VLAN。

·     若用户从Hybrid类型的端口接入,则设备允许授权下发的VLAN以不携带Tag的方式通过该端口,并且修改该端口的缺省VLAN为下发的授权VLAN。需要注意的是,若该端口上使能了MAC VLAN功能,则设备将根据认证服务器下发的授权VLAN动态地创建基于用户MAC的VLAN,而端口的缺省VLAN并不改变。

1.2  MAC地址认证配置任务简介

表1-1 MAC地址认证配置任务简介

配置任务

说明

详细配置

MAC地址认证基本配置

必选

1.3 

配置MAC地址认证用户使用的认证域

可选

1.4 

 

1.3  MAC地址认证基本配置

1.3.1  配置准备

1. 本地认证

·     创建并配置ISP域,详细请参见“安全命令参考/AAA”中的domain命令。

·     配置本地用户名和密码,且配置的本地用户名和密码必须和用户待认证的用户名和密码保持一致。详细请参见“安全命令参考/AAA”中的local-userpassword命令。

·     将本地用户的服务类型设置为lan-access,详细请参见“安全命令参考/AAA”中的service-type命令。

2. 通过RADIUS服务器认证

·     创建并配置ISP域,详细请参见“安全命令参考/AAA”中的domain命令。

·     确保设备与RADIUS服务器之间的路由可达。

·     在RADIUS服务器上正确添加接入用户帐户:用户名和密码必须和待认证的用户名和密码保持一致。

1.3.2  配置过程

注意

只有全局和端口的MAC地址认证特性均开启后,MAC地址认证配置才能在端口上生效。

 

1. 配置全局MAC地址认证

表1-2 配置全局MAC地址认证

操作

命令

说明

进入系统视图

system-view

-

启动全局的MAC地址认证特性

mac-authentication

必选

缺省情况下,全局的MAC地址认证特性为关闭状态

配置MAC地址认证定时器

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

可选

缺省情况下,下线检测定时器为300秒,静默定时器为60秒,服务器超时定时器取值为100秒

配置MAC地址认证的用户名格式

mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } password ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] }

可选

缺省情况下,用户名和密码为用户的源MAC地址,其中字母为小写。设备默认的MAC地址不带连字符“-”

 

2. 配置端口MAC地址认证

表1-3 配置端口MAC地址认证

配置步骤

命令

说明

进入系统视图

system-view

-

开启端口MAC地址认证特性

系统视图

mac-authentication [ interface interface-list ]

二者必选其一

缺省情况下,端口的MAC地址认证特性为关闭状态

接口视图

interface interface-type interface-number

mac-authentication

配置端口同时可容纳接入的MAC地址认证用户数量的最大值

mac-authentication max-user user-number

可选

缺省情况下,端口同时可容纳接入用户数量的最大值为4096

 

说明

端口启动MAC地址认证与端口加入聚合组互斥,关于端口聚合的详细信息请参见“二层技术-以太网交换配置指导”和“二层技术-以太网交换命令参考”中的“以太网链路聚合”。

 

1.4  配置MAC地址认证用户使用的认证域

缺省情况下,对端口上接入的用户进行MAC地址认证时,使用系统缺省的认证域。为了便于接入设备的管理员更为灵活地部署用户的接入策略,设备支持指定MAC地址认证用户使用的认证域,可以通过以下两种配置实现:

·     在系统视图下指定一个认证域,该认证域对所有使能了MAC地址认证的端口生效。

·     在接口视图下指定一个认证域,该认证域对该端口生效,不同的端口可以指定不同的认证域。

如果系统视图和接口视图下都指定了认证域,则端口优先采用接口视图下指定的认证域。

表1-4 配置MAC地址认证用户使用的认证域

配置步骤

命令

说明

进入系统视图

system-view

-

指定MAC地址认证用户使用的认证域

mac-authentication domain domain-name

二者至少选其一

缺省情况下,未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域

interface interface-type interface-number

mac-authentication domain domain-name

 

说明

MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。关于系统缺省的认证域的相关介绍请参见“安全配置指导”中的“AAA”。

 

1.5  MAC地址认证的显示和维护

在完成上述配置后,在任意视图下执行display命令可以查看显示显示配置后MAC地址认证的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除相关统计信息。

表1-5 MAC地址认证的显示和维护

操作

命令

显示MAC地址认证的相关信息

display mac-authentication [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]

清除MAC地址认证的统计信息

reset mac-authentication statistics [ interface interface-list ]

 

1.6  MAC地址认证典型配置举例

说明

缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP

 

1.6.1  本地认证

1. 组网需求

图1-2所示,某用户的工作站与以太网设备的端口GigabitEthernet3/0/1相连接。

·     设备的管理者希望在端口GigabitEthernet3/0/1上对用户接入进行MAC地址认证,以控制其对Internet的访问。

·     要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待180秒后才能对用户再次发起认证。

·     所有用户都使用域example.com作为认证域,认证时使用本地认证的方式。使用用户的源MAC地址作为用户名和密码所有用户都属于域:example.com,认证时使用本地认证的方式。

·     使用用户的MAC地址做用户名和密码,其中MAC地址带连字符、字母小写。

2. 组网图

图1-2 启动MAC地址认证对接入用户进行本地认证

 

3. 配置步骤

(1)     配置本地MAC地址认证

# 添加本地接入用户。用户名和密码均为接入用户的MAC地址00-e0-fc-12-34-56,服务类型为lan-access

<Device> system-view

[Device] local-user 00-e0-fc-12-34-56

[Device-luser-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56

[Device-luser-00-e0-fc-12-34-56] service-type lan-access

[Device-luser-00-e0-fc-12-34-56] quit

# 配置ISP域,使用本地认证方法。

[Device] domain example.com

[Device-isp-example.com] authentication lan-access local

[Device-isp-example.com] quit

# 开启全局MAC地址认证特性。

[Device] mac-authentication

# 开启端口GigabitEthernet3/0/1的MAC地址认证特性。

[Device] mac-authentication interface gigabitethernet 3/0/1

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain example.com

# 配置MAC地址认证的定时器。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址认证用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。

[Device] mac-authentication user-name-format mac-address with-hyphen

(2)     验证配置结果

# 显示MAC地址配置信息。

<Device> display mac-authentication

MAC address authentication is enabled.

User name format is MAC address, like xx-xx-xx-xx-xx-xx

 Fixed username:mac

 Fixed password:not configured

          Offline detect period is 180s

          Quiet period is 180s.

          Server response timeout value is 100s

          The max allowed user number is 4096 per slot

          Current user number amounts to 1

          Current domain is example.com

Silent Mac User info:

         MAC Addr               From Port           Port Index

Gigabitethernet3/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

  Current online user number is 1

    MAC Addr         Authenticate state           Auth Index

00e0-fc12-3456   MAC_AUTHENTICATOR_SUCCESS     29

# 用户认证成功后,可通过如下显示命令查看上线用户的连接信息。

<Device> display connection

slot:3

Index=29  ,Username=00-e0-fc-12-34-56@example.com

IP=N/A

Ipv6=N/A

MAC=00e0-fc12-3456

Total 1 connection(s) matched on slot 3.

Total 1 connection(s) matched.

 

1.6.2  使用RADIUS服务器进行MAC地址认证

1. 组网需求

图1-3所示,用户主机Host通过端口GigabitEthernet3/0/1连接到设备上,设备通过RADIUS服务器对用户进行认证、授权和计费。

·     设备的管理者希望在端口GigabitEthernet3/0/1上对用户接入进行MAC地址认证,以控制其对Internet的访问。

·     要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待180秒后才能对用户再次发起认证。

·     所有用户都属于域2000,认证时采用固定用户名格式,用户名为aaa,密码为123456。

2. 组网图

图1-3 启动MAC地址认证对接入用户进行RADIUS认证

 

3. 配置步骤

说明

确保RADIUS服务器与设备路由可达,并成功添加了接入用户帐户:用户名为aaa,密码为123456。

 

(1)     配置使用RADIUS服务器进行MAC地址认证

# 配置RADIUS方案。

<Device> system-view

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.2 1813

[Device-radius-2000] key authentication abc

[Device-radius-2000] key accounting abc

[Device-radius-2000] user-name-format without-domain

[Device-radius-2000] quit

# 配置ISP域的AAA方法。

[Device] domain 2000

[Device-isp-2000] authentication default radius-scheme 2000

[Device-isp-2000] authorization  default radius-scheme 2000

[Device-isp-2000] accounting default radius-scheme 2000

[Device-isp-2000] quit

# 开启全局MAC地址认证特性。

[Device] mac-authentication

# 开启端口GigabitEthernet3/0/1的MAC地址认证特性。

[Device] mac-authentication interface gigabitethernet 3/0/1

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain 2000

# 配置MAC地址认证的定时器。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址认证使用固定用户名格式:用户名为aaa,密码为明文123456。

[Device] mac-authentication user-name-format fixed account aaa password simple 123456

(2)     验证配置结果

# 显示MAC地址配置信息。

<Device> display mac-authentication

MAC address authentication is enabled.

User name format is fixed account

 Fixed username:aaa

 Fixed password: ******

          Offline detect period is 180s

          Quiet period is 180s.

          Server response timeout value is 100s

          The max allowed user number is 4096 per slot

          Current user number amounts to 1

          Current domain is 2000

Silent Mac User info:

         MAC ADDR               From Port           Port Index

Gigabitethernet3/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

  Current online user number is 1

    MAC ADDR         Authenticate state           AuthIndex

00e0-fc12-3456   MAC_AUTHENTICATOR_SUCCESS     29

# 用户认证成功后,可通过如下显示命令查看上线用户的连接信息。

<Device> display connection

slot:3

Index=29  ,Username=aaa@2000

IP=N/A

Ipv6=N/A

MAC=00e0-fc12-3456

Total 1 connection(s) matched on slot 3.

Total 1 connection(s) matched.

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们