03-MAC地址认证配置
本章节下载: 03-MAC地址认证配置 (216.07 KB)
目 录
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被设置为静默MAC。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
若配置的静态MAC或者当前认证通过的MAC地址与静默MAC相同,则MAC地址认证失败后的MAC静默功能将会失效。
目前设备支持两种方式的MAC地址认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证。有关远程RADIUS认证和本地认证的详细介绍请参见“安全配置指导”中的“AAA”。
根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户帐户格式分为两种类型:
· MAC地址用户名格式:使用用户的MAC地址作为认证时的用户名和密码;
· 固定用户名格式:不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
图1-1 不同用户名格式下的MAC地址认证示意图
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
· 若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。
· 若采用固定用户名格式,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码,发送给RADIUS服务器进行验证。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
· 若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。
· 若采用固定用户名,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。
表1-1 MAC地址认证配置任务简介
开启MAC地址认证 |
||
配置MAC地址认证用户使用的认证域 |
||
配置MAC地址认证用户名格式 |
||
配置MAC地址认证定时器 |
||
配置端口上最多允许同时接入的MAC地址认证用户数 |
||
配置MAC地址认证延迟功能 |
(1) 缺省情况下,对端口上接入的用户进行MAC地址认证时,使用系统缺省的认证域(由命令domain default enable指定)。若需要使用非缺省的认证域进行MAC地址认证,则需指定MAC地址认证用户使用的认证域(参见“1.4 指定MAC地址认证用户使用的认证域”),并配置该认证域。认证域的具体配置请参见“安全配置指导”中的“AAA”。
· 若采用本地认证方式,还需创建本地用户并设置其密码,且本地用户的服务类型应设置为lan-access。
· 若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证用户帐号。
(2) 保证端口安全功能关闭。具体配置请参见“安全配置指导”中的“端口安全”。
端口上开启MAC地址认证之前,请保证端口未加入聚合组或业务环回组。
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
表1-2 开启MAC地址认证
开启全局MAC地址认证 |
缺省情况下,全局的MAC地址认证处于关闭状态 |
|
开启端口MAC地址认证 |
缺省情况下,端口的MAC地址认证处于关闭状态 |
为了便于接入设备的管理员更为灵活地部署用户的接入策略,设备支持指定MAC地址认证用户使用的认证域,可以通过以下两种配置实现:
· 在系统视图下指定一个认证域,该认证域对所有开启了MAC地址认证的端口生效。
· 在二层以太网接口视图下指定该端口的认证域,不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下顺序选择认证域:端口上指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。关于认证域的相关介绍请参见“安全配置指导”中的“AAA”。
表1-3 指定MAC地址认证用户使用的认证域
指定MAC地址认证用户使用的认证域 |
缺省情况下,未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域 |
|
interface interface-type interface-number |
表1-4 配置MAC地址认证用户名格式
配置MAC地址认证用户的用户名格式 |
MAC地址格式 |
缺省情况下,使用用户的MAC地址作为用户名与密码,其中字母为小写。MAC地址不带连字符“-” |
|
mac-authentication user-name-format fixed [ account name ] [ password { cipher | simple } password ] |
可配置的MAC地址认证定时器包括以下几种:
· 下线检测定时器(offline-detect):用来设置用户空闲超时的时间间隔。若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。
· 静默定时器(quiet):用来设置用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
表1-5 配置MAC地址认证定时器
配置MAC地址认证定时器 |
缺省情况下,下线检测定时器为300秒,静默定时器为60秒,服务器超时定时器取值为100秒 |
由于系统资源有限,如果当前端口下接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使端口上已经接入的用户获得可靠的性能保障。
表1-6 配置端口上最多允许同时接入的MAC地址认证用户数
配置端口上最多允许同时接入的MAC地址认证用户数 |
端口上最多允许同时接入的MAC地址认证用户数为2048 |
端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。
开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是会等待一定的延迟时间,若在此期间该用户一直未进行802.1X认证或未成功通过802.1X认证,则延迟时间超时后端口会对之前收到的用户报文进行MAC地址认证。
需要注意的是,开启了MAC地址认证延迟功能的接口上不建议同时配置端口安全的模式为mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全配置指导”中的“端口安全”。
表1-7 配置MAC地址认证延迟功能
开启MAC地址认证延迟功能,并指定延迟时间 |
缺省情况下,MAC地址认证延迟功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后MAC地址认证的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除相关统计信息。
表1-8 MAC地址认证的显示和维护
显示MAC地址认证的相关信息 |
display mac-authentication [ interface interface-type interface-number ] |
清除MAC地址认证的统计信息 |
reset mac-authentication statistics [ interface interface-type interface-number ] |
如图1-2所示,某子网的用户主机与设备的端口Ten-GigabitEthernet1/0/1相连接。
· 设备的管理者希望在端口Ten-GigabitEthernet1/0/1上对用户接入进行MAC地址认证,以控制它们对Internet的访问。
· 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待180秒后才能对用户再次发起认证。
· 所有用户都属于ISP域bbb,认证时使用本地认证的方式。
· 使用用户的MAC地址作用户名和密码,其中MAC地址带连字符、字母小写。
图1-2 启动MAC地址认证对接入用户进行本地认证
# 添加网络接入类本地接入用户。本例中添加Host A的本地用户,用户名和密码均为Host A的MAC地址00-e0-fc-12-34-56,服务类型为lan-access。
[Device] local-user 00-e0-fc-12-34-56 class network
[Device-luser-network-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56
[Device-luser-network-00-e0-fc-12-34-56] service-type lan-access
[Device-luser-network-00-e0-fc-12-34-56] quit
# 配置ISP域,使用本地认证方法。
[Device-isp-bbb] authentication lan-access local
[Device-isp-bbb] quit
# 开启端口Ten-GigabitEthernet1/0/1的MAC地址认证。
[Device] interface ten-gigabitethernet 1/0/1
[Device-Ten-GigabitEthernet1/0/1] mac-authentication
[Device-Ten-GigabitEthernet1/0/1] quit
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址认证的定时器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址认证用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启全局MAC地址认证。
#当用户接入端口Ten-GigabitEthernet1/0/1之后,可以通过如下显示信息看到Host A成功通过认证,处于上线状态,Host B没有通过认证,它的MAC地址被加入静默MAC列表。
<Device> display mac-authentication
MAC authentication is enabled
User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx
Fixed username: mac
Fixed password: Not configured
Offline detect period is 180s
Quiet period is 180s
Server response timeout value is 100s
Max number of users is 2048 per slot
Current number of online users is 1
Current authentication domain is bbb
Silent MAC user info:
MAC Addr VLAN ID From Port Port Index
00e0-fc11-1111 8 Ten-GigabitEthernet1/0/1 1
Ten-GigabitEthernet1/0/1 is link-up
MAC authentication is enabled
Max number of online users is 2048
Current number of online users is 1
Current authentication domain: Not configured
MAC auth-delay is disabled
Authentication attempts: successful 1, failed 0
MAC Addr Auth state
00e0-fc12-3456 authenticated
如图1-3所示,用户主机Host通过端口Ten-GigabitEthernet1/0/1连接到设备上,设备通过RADIUS服务器对用户进行认证、授权和计费。
· 设备的管理者希望在端口Ten-GigabitEthernet1/0/1上对用户接入进行MAC地址认证,以控制其对Internet的访问。
· 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待180秒后才能对用户再次发起认证。
· 所有用户都属于域bbb,认证时采用固定用户名格式,用户名为aaa,密码为123456。
图1-3 启动MAC地址认证对接入用户进行RADIUS认证
确保RADIUS服务器与设备路由可达,并成功添加了接入用户帐户:用户名为aaa,密码为123456。
# 配置RADIUS方案。
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置ISP域的AAA方法。
[Device-isp-bbb] authentication default radius-scheme 2000
[Device-isp-bbb] authorization default radius-scheme 2000
[Device-isp-bbb] accounting default radius-scheme 2000
[Device-isp-bbb] quit
# 开启端口Ten-GigabitEthernet1/0/1的MAC地址认证。
[Device] interface ten-gigabitethernet 1/0/1
[Device-Ten-GigabitEthernet1/0/1] mac-authentication
[Device-Ten-GigabitEthernet1/0/1] quit
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址认证的定时器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址认证使用固定用户名格式:用户名为aaa,密码为明文123456。
[Device] mac-authentication user-name-format fixed account aaa password simple 123456
# 开启全局MAC地址认证。
# 显示MAC地址配置信息。
<Device> display mac-authentication
MAC authentication is enabled
User name format is fixed account
Fixed username: aaa
Fixed password: ******
Offline detect period is 180s
Quiet period is 180s
Server response timeout value is 100s
Max number of users is 2048 per slot
Current number of online users is 1
Current authentication domain is bbb
Silent MAC user info:
MAC Addr VLAN ID From Port Port Index
Ten-GigabitEthernet1/0/1 is link-up
MAC authentication is enabled
Max number of online users is 2048
Current number of online users is 1
Current authentication domain: Not configured
MAC auth-delay is disabled
Authentication attempts: successful 1, failed 0
MAC Addr Auth state
00e0-fc12-3456 authenticated
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!