• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全配置指导

目录

03-MAC地址认证配置

本章节下载 03-MAC地址认证配置  (366.92 KB)

03-MAC地址认证配置


1 MAC地址认证

1.1  MAC地址认证简介

1.1.1  MAC地址认证概述

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被设置为静默MAC。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。

说明

若配置的静态MAC或者当前认证通过的MAC地址与静默MAC相同,则MAC地址认证失败后的MAC静默功能将会失效。

 

1.1.2  使用不同用户名格式的MAC地址认证

目前设备支持两种方式的MAC地址认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证。有关远程RADIUS认证和本地认证的详细介绍请参见“安全配置指导”中的“AAA”。

根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户帐户格式分为两种类型:

·     MAC地址用户名格式:使用用户的MAC地址作为认证时的用户名和密码。

·     固定用户名格式:不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。

图1-1 不同用户名格式下的MAC地址认证示意图

 

1. RADIUS服务器认证方式进行MAC地址认证

当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:

·     若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。

·     若采用固定用户名格式,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码,发送给RADIUS服务器进行验证。

RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。

2. 本地认证方式进行MAC地址认证

当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:

·     若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。

·     若采用固定用户名,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。

用户名和密码匹配成功后,用户可以访问网络。

1.2  MAC地址认证支持VLAN下发

1.2.1  授权VLAN

为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和未认证的用户划分到不同的VLAN。MAC地址认证支持远程AAA服务器/接入设备下发授权VLAN,即当用户通过MAC地址认证后,远程AAA服务器/接入设备将指定的受限网络资源所在的VLAN作为授权VLAN下发到用户进行认证的端口。该端口被加入到授权VLAN中后,用户便可以访问这些受限的网络资源。

需要注意的是,仅远程AAA服务器支持授权携带Tag的VLAN。

设备根据用户接入的端口链路类型和授权的VLAN是否携带Tag,按如下情况将端口加入到下发的授权VLAN中。

授权VLAN未携带Tag的情况下:

·     若用户从Access类型的端口接入,则端口离开当前VLAN并加入第一个通过认证的用户的授权VLAN中。

·     若用户从Trunk类型的端口接入,则设备允许下发的授权VLAN通过该端口,并且修改该端口的缺省VLAN为第一个通过认证的用户的授权VLAN。

·     若用户从Hybrid类型的端口接入,则设备允许授权下发的授权VLAN以不携带Tag的方式通过该端口,并且修改该端口的缺省VLAN为第一个通过认证的用户的授权VLAN。需要注意的是,若该端口上使能了MAC VLAN功能,则设备将根据认证服务器/接入设备下发的授权VLAN动态地创建基于用户MAC地址的VLAN,而端口的缺省VLAN并不改变。

授权VLAN携带Tag的情况下:

·     若用户从Access类型的端口接入,则不支持下发带Tag的VLAN。

·     若用户从Trunk类型的端口接入,则设备允许授权下发的VLAN以携带Tag的方式通过该端口,但是不会修改该端口的缺省VLAN。

·     若用户从Hybrid类型的端口接入,则设备允许授权下发的VLAN以携带Tag的方式通过该端口,但是不会修改该端口的缺省VLAN。

说明

·     对于Hybrid端口,如果认证用户的报文携带VLAN Tag,则应通过port hybrid vlan命令配置该端口在转发指定的VLAN报文时携带VLAN Tag;如果认证用户的报文不携带VLAN Tag,则应配置该端口在转发指定的VLAN报文时不携带VLAN Tag。否则,当服务器没有授权下发VLAN时,用户虽然可以通过认证但不能访问网络。

·     在授权VLAN未携带Tag的情况下,只有开启了MAC VLAN功能的端口上才允许给不同的用户MAC授权不同的VLAN。如果没有开启MAC VLAN功能,授权给所有用户的VLAN必须相同,否则仅第一个通过认证的用户可以成功上线。

·     在授权VLAN携带Tag的情况下,无论是否开启了MAC VLAN功能,设备都会给不同的用户授权不同的VLAN,一个VLAN只能授权给一个用户。

 

1.2.2  MAC地址认证Guest VLAN

MAC地址认证的Guest VLAN功能允许用户在认证失败的情况下访问某一特定VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。这个VLAN称之为Guest VLAN。

需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。

如果接入用户的端口上配置了Guest VLAN,则该端口上认证失败的用户会被加入Guest VLAN,且设备允许Guest VLAN以不携带Tag的方式通过该端口,即该用户被授权访问Guest VLAN里的资源。若Guest VLAN中的用户再次发起认证未成功,则该用户将仍然处于Guest VLAN内;若认证成功,则会根据AAA服务器/接入设备是否下发授权VLAN决定是否将用户加入到下发的授权VLAN中,在AAA服务器/接入设备未下发授权VLAN的情况下,用户回到缺省VLAN中。

1.2.3  MAC地址认证Critical VLAN

MAC地址认证Critical VLAN功能允许用户在所有认证服务器都不可达的情况下访问某一特定VLAN中的资源,这个VLAN称之为Critical VLAN。在端口上配置Critical VLAN后,若该端口上有用户认证时,所有认证服务器都不可达,则端口将允许Critical VLAN通过,用户将被授权访问Critical VLAN里的资源。已经加入Critical VLAN的端口上有用户发起认证时,如果所有认证服务器不可达,则端口仍然在Critical VLAN内;如果服务器可达且认证失败,且端口配置了Guest VLAN,则该端口将会加入Guest VLAN,否则回到缺省VLAN中;如果服务器可达且认证成功,则会根据AAA服务器是否下发授权VLAN决定是否将用户加入到下发的授权VLAN中,在AAA服务器未下发授权VLAN的情况下,用户回到缺省VLAN中。

1.3  MAC地址认证支持ACL下发

MAC地址认证过程中,会对授权ACL规则中的信息参数进行检查,当前只支持检查源MAC地址、源IP地址、目的IP地址、IPv4/IPv6承载的协议类型、以太网类型、源端口、目的端口、DSCP优先级等字段。关于信息参数的详细字段,请参见“ACL和QOS配置命令参考”中的“ACL”。

由远程AAA服务器/接入设备下发给用户的ACL被称为授权ACL,它为用户访问网络提供了良好的过滤条件设置功能。当用户通过MAC地址认证后,如果远程AAA服务器/接入设备上为用户指定了授权ACL,则设备会根据下发的授权ACL对用户所在端口的数据流进行控制。为使下发的授权ACL生效,需要提前在设备上配置相应的ACL规则。而且在用户访问网络的过程中,可以通过改变远程AAA服务器/设备本地的授权ACL设置来改变用户的访问权限。需要注意的是,指定源MAC地址的二层ACL为授权ACL时,源MAC地址必须和用户MAC地址保持一致,否则会下发失败。

1.4  MAC地址认证支持URL重定向功能

用户通过MAC地址认证后,设备会根据RADIUS服务器下发的重定向URL属性,将用户的HTTP或HTTPS请求重定向到指定的Web认证页面。Web认证通过后,RADIUS服务器记录用户的MAC地址信息,并通过DM报文强制Web用户下线。此后该用户再次进行MAC地址认证,由于RADIUS服务器上已记录该用户和其MAC地址的对应信息,用户可以成功上线。

说明

若需要对MAC地址认证用户的HTTPS请求进行重定向,需要在设备上配置对HTTPS报文进行重定向的内部侦听端口号,具体配置请参见“三层技术-IP业务配置指导”中的“HTTP重定向”。

 

1.5  MAC地址认证配置限制和指导

·     要支持授权VSI、MAC地址认证Guest VSI和Critical VSI功能,必须先开启动态创建的以太网服务实例匹配MAC地址功能(配置命令mac-based ac)。

·     端口上配置MAC地址认证的Guest VLAN、Critical VLAN与配置MAC地址认证的Guest VSI、Critical VSI互斥。

·     为使MAC地址认证支持VLAN下发或VSI下发功能的正常应用,请保证设备和服务器配置的一致性:若设备上配置了Guest VLAN或Critical VLAN,则需要在服务器上配置为MAC地址认证用户授权VLAN;若设备上配置了Guest VSI或Critical VSI,则需要在服务器配置为MAC地址认证用户授权VSI。

·     二层以太网接口加入聚合组后,在该接口上配置的MAC地址认证功能不生效。

·     请不要同时配置MAC地址认证支持VSI下发功能和MAC地址认证请求中携带用户IP地址功能,否则会导致MAC地址认证用户认证失败。

·     在二层聚合接口上有MAC地址认证用户在线的情况下,请不要删除该二层聚合接口。

·     请不要在同一端口上同时开启MAC地址认证功能和配置VLAN映射,否则会导致MAC地址认证功能异常。有关VLAN映射的介绍,请参见“二层技术-以太网交换配置指导”中的“VLAN映射”。

1.6  MAC地址认证配置任务简介

表1-1 MAC地址认证配置任务简介

配置任务

说明

详细配置

开启MAC地址认证

必选

1.7 

配置MAC地址认证用户使用的认证域

可选

1.8 

配置MAC地址认证用户名格式

可选

1.9 

配置MAC地址认证定时器

可选

1.10 

配置端口上最多允许同时接入的MAC地址认证用户数

可选

1.11 

配置接口工作在MAC地址认证的多VLAN模式

可选

1.12 

配置MAC地址认证延迟功能

可选

1.13 

配置端口MAC地址认证和802.1X认证并行处理功能

可选

1.14 

配置MAC地址认证的Guest VLAN

可选

1.15 

配置MAC地址认证的Critical VLAN

可选

1.16 

配置MAC地址认证的Critical Voice VLAN

可选

1.17 

配置MAC地址认证重认证

可选

1.18 

配置MAC地址认证请求中携带用户IP地址

可选

1.19 

配置MAC地址认证Guest VLAN中的用户进行重新认证的时间间隔

可选

1.20 

开启端口的MAC地址认证下线检测功能

可选

1.21 

 

1.7  开启MAC地址认证

1. 配置准备

(1)     缺省情况下,对端口上接入的用户进行MAC地址认证时,使用系统缺省的认证域(由命令domain default enable指定)。若需要使用非缺省的认证域进行MAC地址认证,则需指定MAC地址认证用户使用的认证域(参见“1.8  指定MAC地址认证用户使用的认证域”),并配置该认证域。认证域的具体配置请参见“安全配置指导”中的“AAA”。

·     若采用本地认证方式,还需创建本地用户并设置其密码,且本地用户的服务类型应设置为lan-access

·     若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证用户帐号。

(2)     保证端口安全功能关闭。具体配置请参见“安全配置指导”中的“端口安全”。

2. 配置步骤

说明

端口上开启MAC地址认证之前,请保证端口未加入聚合组或业务环回组。

 

只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。

表1-2 开启MAC地址认证

操作

命令

说明

进入系统视图

system-view

-

开启全局MAC地址认证

mac-authentication

缺省情况下,全局的MAC地址认证处于关闭状态

进入接口视图

interface interface-type interface-number

-

开启端口MAC地址认证

mac-authentication

缺省情况下,端口的MAC地址认证处于关闭状态

 

1.8  指定MAC地址认证用户使用的认证域

为了便于接入设备的管理员更为灵活地部署用户的接入策略,设备支持指定MAC地址认证用户使用的认证域,可以通过以下两种配置实现:

·     在系统视图下指定一个认证域,该认证域对所有开启了MAC地址认证的端口生效。

·     在接口视图下指定该端口的认证域,不同的端口可以指定不同的认证域。

端口上接入的MAC地址认证用户将按照如下顺序选择认证域:端口上指定的认证域 > 系统视图下指定的认证域 > 系统缺省的认证域。关于认证域的相关介绍请参见“安全配置指导”中的“AAA”。

表1-3 指定MAC地址认证用户使用的认证域

配置步骤

命令

说明

进入系统视图

system-view

-

指定MAC地址认证用户使用的认证域

mac-authentication domain domain-name

二者至少选其一

缺省情况下,未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域

interface interface-type interface-number

mac-authentication domain domain-name

 

1.9  配置MAC地址认证用户名格式

表1-4 配置MAC地址认证用户名格式

操作

命令

说明

进入系统视图

system-view

-

配置MAC地址认证用户的用户名格式

MAC地址格式

mac-authentication user-name-format mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ]

二者选其一

缺省情况下,使用用户的MAC地址作为用户名与密码,其中字母为小写,且不带连字符“-”

固定用户名格式

mac-authentication user-name-format fixed [ account name ] [ password { cipher | simple } string ]

 

1.10  配置MAC地址认证定时器

可配置的MAC地址认证定时器包括以下几种:

·     下线检测定时器(offline-detect):用来设置用户空闲超时的时间间隔。若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。

·     静默定时器(quiet):用来设置用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。

·     服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。

表1-5 配置MAC地址认证定时器

操作

命令

说明

进入系统视图

system-view

-

配置MAC地址认证定时器

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

缺省情况下,下线检测定时器为300秒,静默定时器为60秒,服务器超时定时器取值为100秒

 

1.11  配置端口上最多允许同时接入的MAC地址认证用户数

由于系统资源有限,如果当前端口下接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使端口上已经接入的用户获得可靠的性能保障。

表1-6 配置端口上最多允许同时接入的MAC地址认证用户数

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置端口上最多允许同时接入的MAC地址认证用户数

mac-authentication max-user max-number

缺省情况下,端口上最多允许同时接入的MAC地址认证用户数为4294967295

 

1.12  配置端口工作在MAC地址认证的多VLAN模式

端口工作在单VLAN模式下时,在用户已上线,且没有被下发授权VLAN情况下,如果此用户在属于不同VLAN的相同端口再次接入,则,设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。如果已上线用户被下发了授权VLAN,则此用户在属于不同VLAN的相同端口再次接入时不会被强制下线。

端口工作在多VLAN模式下时,如果相同MAC地址的用户在属于不同VLAN的相同端口再次接入,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。

对于接入IP电话类用户的端口,指定端口工作在MAC地址认证的多VLAN模式或为IP电话类用户授权VLAN,可避免IP电话终端的报文所携带的VLAN tag发生变化后,因用户流量需要重新认证带来语音报文传输质量受干扰的问题。

配置端口工作在MAC地址认证的多VLAN模式

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置端口工作在MAC地址认证的多VLAN模式

mac-authentication host-mode multi-vlan

缺省情况下,端口工作在MAC地址认证的单VLAN模式

 

1.13  配置MAC地址认证延迟功能

端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。

开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是会等待一定的延迟时间,若在此期间该用户一直未进行802.1X认证或未成功通过802.1X认证,则延迟时间超时后端口会对之前收到的用户报文进行MAC地址认证。

需要注意的是,开启了MAC地址认证延迟功能的接口上不建议同时配置端口安全的模式为mac-else-userlogin-securemac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全配置指导”中的“端口安全”。

表1-7 配置MAC地址认证延迟功能

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

开启MAC地址认证延迟功能,并指定延迟时间

mac-authentication timer auth-delay time

缺省情况下,MAC地址认证延迟功能处于关闭状态

 

1.14  配置端口MAC地址认证和802.1X认证并行处理功能

端口采用802.1X和MAC地址组合认证,且端口所连接的用户有不能主动发送EAP报文触发802.1X认证的情况下,如果端口配置了802.1X单播触发功能,则端口收到源MAC地址未知的报文,会先进行802.1X认证处理,完成后再进行MAC地址认证处理。

配置端口的MAC地址认证和802.1X认证并行处理功能后,在上述情况下,端口收到源MAC地址未知的报文,会向该MAC地址单播发送EAP-Request帧来触发802.1X认证,但不等待802.1X认证处理完成,就同时进行MAC地址认证的处理。

在某些组网环境下,例如用户不希望端口先被加入802.1X的Guest VLAN中,接收到源MAC地址未知的报文后,先触发MAC地址认证,认证成功后端口直接加入MAC地址认证的授权VLAN中,那么需要配置MAC地址认证和802.1X认证并行处理功能和端口延迟加入802.1X Guest VLAN功能。关于端口延迟加入802.1X Guest VLAN功能的详细介绍,请参见“安全配置指导”中的“802.1X”。

端口采用802.1X和MAC地址组合认证功能适用于如下情况:

·     端口上同时开启了802.1X和MAC地址认证功能,并配置了802.1X认证的端口的接入控制方式为macbased。

·     开启了端口安全功能,并配置了端口安全模式为userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。

为保证MAC地址认证和802.1X认证并行处理功能的正常使用,不建议配置端口的MAC地址认证延迟功能,否则端口触发802.1X认证后,仍会等待一定的延迟后再进行MAC地址认证。

表1-8 配置端口的MAC地址认证和802.1X认证并行处理功能

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

配置端口的MAC地址认证和802.1X认证并行处理功能

mac-authentication parallel-with-dot1x

缺省情况下,端口在收到源MAC地址未知的报文触发认证时,按照802.1X完成后再进行MAC地址认证的顺序进行处理

 

1.15  配置MAC地址认证的Guest VLAN

·     端口上生成的MAC地址认证Guest VLAN表项会覆盖已生成的阻塞MAC表项。开启了端口安全入侵检测的端口关闭功能时,若端口因检测到非法报文被关闭,则MAC地址认证的Guest VLAN功能不生效。关于阻塞MAC表项和端口的入侵检测功能的具体介绍请参见“安全配置指导”中的“端口安全”。

·     如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Guset VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Guset VLAN,则该VLAN不能被指定为Super VLAN。关于Super VLAN的详细内容请参见“二层技术-以太网交换配置指导”中的“Super VLAN”。

 

配置MAC地址认证的Guest VLAN之前,需要进行以下配置准备:

·     保证端口类型为Hybrid,端口上的MAC VLAN功能处于使能状态,且不建议将指定的Guest VLAN修改为携带Tag的方式。

·     创建需要配置为Guest VLAN的VLAN。

需要注意的是:

MAC地址认证Guest VLAN功能的优先级高于MAC地址认证的静默MAC功能,即认证失败的用户可访问指定的Guest VLAN中的资源,且该用户的MAC地址不会被加入静默MAC。

表1-9 配置MAC地址认证的Guest VLAN

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置端口的MAC地址认证Guest VLAN

mac-authentication guest-vlan guest-vlan-id

缺省情况下,未配置MAC地址认证的Guest VLAN

不同的端口可以指定不同的MAC地址认证 Guest VLAN,一个端口最多只能指定一个MAC地址认证Guest VLAN

 

1.16  配置MAC地址认证的Critical VLAN

提示

·     端口上生成的MAC地址认证Critical VLAN表项会覆盖已生成的阻塞MAC表项。开启了端口安全入侵检测的端口关闭功能时,MAC地址认证的Critical VLAN功能不生效。关于阻塞MAC表项和端口的入侵检测功能的具体介绍请参见“安全配置指导”中的“端口安全”。

·     如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Critical VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Critical VLAN,则该VLAN不能被指定为Super VLAN。关于Super VLAN的详细内容请参见“二层技术-以太网交换配置指导”中的“Super VLAN”。

 

配置MAC地址认证的Critical VLAN之前,需要进行以下配置准备:

·     保证端口类型为Hybrid,端口上的MAC VLAN功能处于使能状态,且不建议将指定的Critical VLAN修改为携带Tag的方式。

·     创建需要配置为Critical VLAN的VLAN。

需要注意的是,当端口上的用户加入指定的Critical VLAN后,该用户的MAC地址不会被加入静默MAC。

表1-10 配置Critical VLAN

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置端口的Critical VLAN

mac-authentication critical vlan critical-vlan-id

缺省情况下,未配置MAC认证的Critical VLAN

不同的端口可以指定不同的MAC地址认证 Critical VLAN,一个端口最多只能指定一个MAC地址认证Critical VLAN

 

1.17  配置MAC地址认证的Critical Voice VLAN

端口上开启MAC地址认证的Critical Voice VLAN功能后,当语音用户进行MAC地址认证采用的ISP域中的所有认证服务器都不可达时,端口将被加入到此端口上已配置的Voice VLAN中,在此也被称为MAC地址认证的Critical Voice VLAN。

1.17.1  配置准备

配置MAC地址认证Critical Voice VLAN之前,需要进行以下配置准备:

·     全局和端口的LLDP(Link Layer Discovery Protocol,链路层发现协议)已经开启,设备通过LLDP来判断用户是否为语音用户。有关LLDP功能的详细介绍请参见“二层技术-以太网交换配置指导”中的“LLDP”。

·     端口的语音VLAN功能已经开启。有关语音VLAN的详细介绍请参见“二层技术-以太网交换配置指导”中的“VLAN”。

1.17.2  配置步骤

表1-11 配置MAC地址认证的Critical Voice VLAN

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置指定端口的Critical VLAN

mac-authentication critical-voice vlan

缺省情况下,端口下MAC地址认证的Critical Voice VLAN功能处于关闭状态

 

1.18  配置MAC地址认证重认证

MAC地址重认证是指设备周期性对端口上在线的MAC地址认证用户发起重认证,以检测用户连接状态的变化,确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN等)。

对MAC地址认证用户进行重认证时,设备将按照如下由高到低的顺序为其选择重认证时间间隔:服务器下发的重认证时间间隔、接口视图下配置的周期性重认证定时器的值、系统视图下配置的周期性重认证定时器的值、设备缺省的周期性重认证定时器的值。

认证服务器可以通过下发RADIUS属性(session-timeout、terminal-action)来指定用户会话超时时长以及会话中止的动作类型。认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现。

·     当认证服务器下发了用户会话超时时长,且指定的会话中止的动作类型为要求用户进行重认证时,则无论设备上是否开启周期性重认证功能,端口均会在用户会话超时时长到达后对该用户进行重认证;

·     当认证服务器下发了用户会话超时时长,且指定的会话中止的动作类型为要求用户下线时:

¡     若设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线802.1X用户发起重认证;若设备上配置的重认证定时器值大于等于用户会话超时时长,则端口会在用户会话超时时长到达后强制该用户下线;

¡     若设备上未开启周期性重认证功能,则端口会在用户会话超时时长到达后强制该用户下线。

·     当认证服务器未下发用户会话超时时长时,是否对用户进行重认证,由设备上配置的重认证功能决定。

·     对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

·     端口对用户进行重认证过程中,重认证服务器不可达时端口上的MAC地址认证用户状态由端口上的配置决定。在网络连通状况短时间内不良的情况下,合法用户是否会因为服务器不可达而被强制下线,需要结合实际的网络状态来调整。若配置为保持用户在线,当服务器在短时间内恢复可达,则可以避免用户频繁上下线;若配置为强制下线,当服务器可达性在短时间内不可恢复,则可避免用户在线状态长时间与实际不符。

·     在用户名不改变的情况下,端口允许重认证前后服务器向该用户下发不同的VLAN。

表1-12 配置重认证服务器不可达时保持用户在线状态

配置步骤

命令

说明

进入系统视图

system-view

-

(可选)配置全局周期性重认证定时器

mac-authentication timer reauth-period reauth-period-value

缺省情况下,全局周期性重认证定时器的值为3600秒

进入接口视图

interface interface-type interface-number

-

开启周期性重认证功能

mac-authentication re-authenticate

缺省情况下,周期性重认证功能关闭

(可选)配置端口周期性重认证定时器

mac-authentication timer reauth-period reauth-period-value

缺省情况下,端口上未配置MAC地址周期性重认证定时器,端口使用系统视图下配置的MAC地址周期性重认证定时器的取值

配置重认证服务器不可达时端口上的MAC地址认证用户保持在线状态

mac-authentication re-authenticate server-unreachable keep-online

缺省情况下,端口上的MAC地址在线用户重认证时,若认证服务器不可达,则用户会被强制下线

 

1.19  配置MAC地址认证请求中携带用户IP地址

在终端用户采用静态IP地址方式接入的组网环境中,如果终端用户擅自修改自己的IP地址,则整个网络环境中可能会出现IP地址冲突等问题。

为了解决以上问题,管理员可以在接口上开启MAC地址认证请求中携带用户IP地址的功能,用户在进行MAC地址认证时,设备会把用户的IP地址上传到iMC服务器。然后iMC服务器会把认证用户的IP地址和MAC地址与服务器上已经存在的IP与MAC的绑定表项进行匹配,如果匹配成功,则该用户MAC地址认证成功;否则,MAC地址认证失败。

H3C的iMC服务器上IP与MAC地址信息绑定表项的生成方式如下:

·     如果在iMC服务器上创建用户时手工指定了用户的IP地址和MAC地址信息,则服务器使用手工指定的IP和MAC信息生成该用户的IP与MAC地址的绑定表项。

·     如果在iMC服务器上创建用户时未手工指定用户的IP地址和MAC地址信息,则服务器使用用户初次进行MAC地址认证时使用的IP地址和MAC地址生成该用户的IP与MAC地址的绑定表项。

此功能仅对采用静态IP地址方式接入的认证用户才有效。在采用DHCP方式获取IP地址的情况下,因为用户MAC地址认证成功之后才可以进行IP地址获取,所以用户在进行MAC地址认证时,设备无法上传用户的IP地址。

在开启了MAC地址认证的接口上,不建议同时配置mac-authentication carry user-ipmac-authentication guest-vlan命令;因为当同时配置了以上两条命令之后,加入Guest VLAN的用户无法再次发起MAC地址认证,用户会一直停留在Guest VLAN中。

需要注意的是:

·     请不要同时配置MAC地址认证请求中携带用户IP地址功能和端口安全的Free VLAN功能,关于端口安全的Free VLAN功能的详细介绍,请参见“安全配置指导”中的“端口安全”。

·     请不要在二层聚合接口上配置MAC地址认证请求中携带用户IP地址功能。

表1-13 开启MAC地址认证请求中携带用户IP地址功能

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置MAC地址认证请求中携带用户IP地址

mac-authentication carry user-ip

缺省情况下,MAC地址认证请求中不携带用户IP地址

 

1.20  配置MAC地址认证Guest VLAN中的用户进行重新认证的时间间隔

在MAC地址认证中,如果接入用户的端口上配置了Guest VLAN,则该端口上认证失败的用户会被加入此Guest VLAN。用户被加入Guest VLAN之后,设备将以指定的时间间隔对该用户发起重新认证,直到该用户认证成功。

表1-14 配置MAC地址认证中设备对Guest VLAN中的用户进行重新认证的时间间隔

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置MAC地址认证中设备对Guest VLAN中的用户进行重新认证的时间间隔

mac-authentication guest-vlan auth-period period-value

缺省情况下,设备对Guest VLAN中的用户进行重新认证的时间间隔为30秒

 

1.21  开启端口的MAC地址认证下线检测功能

开启端口的MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。

关闭端口的MAC地址认证下线检测功能后,设备将不会对在线用户的状态进行检测。

表1-15 开启端口的MAC地址认证下线检测功能

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

开启端口的MAC地址认证下线检测功能

mac-authentication offline-detect enable

缺省情况下,端口的MAC地址认证下线检测功能处于开启状态

 

1.22  MAC地址认证的显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后MAC地址认证的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除相关统计信息。

表1-16 MAC地址认证的显示和维护

操作

命令

显示MAC地址认证的相关信息

display mac-authentication [ interface interface-type interface-number ]

显示MAC地址认证连接信息(独立运行模式)

display mac-authentication connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name user-name ]

显示MAC地址认证连接信息(IRF模式)

display mac-authentication connection [ open ] [ chassis chassis-number slot slot-number | interface  interface-type interface-number | user-mac mac-addr | user-name user-name ]

清除MAC地址认证的统计信息

reset mac-authentication statistics [ interface interface-type interface-number ]

清除Critical VLAN内MAC地址认证用户

reset mac-authentication critical-vlan interface interface-type interface-number [ mac-address mac-address ]

清除Critical voice VLAN内MAC地址认证用户

reset mac-authentication critical-voice-vlan interface interface-type interface-number [ mac-address mac-address ]

清除Guest VLAN内MAC地址认证用户

reset mac-authentication guest-vlan interface  interface-type interface-number [ mac-address mac-address ]

 

1.23  MAC地址认证典型配置举例

1.23.1  本地MAC地址认证

1. 组网需求

图1-2所示,某子网的用户主机与设备的端口GigabitEthernet1/0/1相连接。

·     设备的管理者希望在端口GigabitEthernet1/0/1上对用户接入进行MAC地址认证,以控制它们对Internet的访问。

·     要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待180秒后才能对用户再次发起认证。

·     所有用户都属于ISP域bbb,认证时使用本地认证的方式。

·     使用用户的MAC地址作用户名和密码,其中MAC地址带连字符、字母小写。

2. 组网图

图1-2 启动MAC地址认证对接入用户进行本地认证

3. 配置步骤

# 添加网络接入类本地接入用户。本例中添加Host A的本地用户,用户名和密码均为Host A的MAC地址00-e0-fc-12-34-56,服务类型为lan-access

<Device> system-view

[Device] local-user 00-e0-fc-12-34-56 class network

[Device-luser-network-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56

[Device-luser-network-00-e0-fc-12-34-56] service-type lan-access

[Device-luser-network-00-e0-fc-12-34-56] quit

# 配置ISP域,使用本地认证方法。

[Device] domain bbb

[Device-isp-bbb] authentication lan-access local

[Device-isp-bbb] quit

# 开启端口GigabitEthernet1/0/1的MAC地址认证。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] mac-authentication

[Device-GigabitEthernet1/0/1] quit

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain bbb

# 配置MAC地址认证的定时器。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址认证用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。

[Device] mac-authentication user-name-format mac-address with-hyphen lowercase

# 开启全局MAC地址认证。

[Device] mac-authentication

4. 验证配置

# 当用户接入端口GigabitEthernet1/0/1之后,可以通过如下显示信息看到Host A成功通过认证,处于上线状态,Host B没有通过认证,它的MAC地址被加入静默MAC列表。

<Device> display mac-authentication

Global MAC authentication parameters:

   MAC authentication     : Enabled

   User name format       : MAC address in lowercase(xx-xx-xx-xx-xx-xx)

           Username       : mac

           Password       : Not configured

   Offline detect period  : 180 s

   Quiet period           : 180 s

   Server timeout         : 100 s

   Reauth period          : 3600 s

   Authentication domain  : bbb

 Online MAC-auth users    : 1

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

          00e0-fc11-1111    8        GE1/0/1                 1

 GigabitEthernet1/0/1 is link-up

   MAC authentication         : Enabled

   Carry User-IP              : Disabled

   Authentication domain      : Not configured

   Auth-delay timer           : Disabled

   Periodic reauth            : Disabled

   Re-auth server-unreachable : Logoff

   Guest VLAN                 : Not configured

   Guest VLAN auth-period     : 30 s

   Critical VLAN              : Not configured

   Critical voice VLAN        : Disabled

   Host mode                  : Single VLAN

   Offline detection          : Enabled

   Authentication order       : Default

 

   Guest VSI                  : Not configured

   Guest VSI auth-period      : 30 s

   Critical VSI               : Not configured

   Max online users           : 256

   Authentication attempts    : successful 1, failed 0

   Current online users       : 1

          MAC address       Auth state

          00e0-fc12-3456    Authenticated

1.23.2  使用RADIUS服务器进行MAC地址认证

1. 组网需求

图1-3所示,用户主机Host通过端口GigabitEthernet1/0/1连接到设备上,设备通过RADIUS服务器对用户进行认证、授权和计费。

·     设备的管理者希望在端口GigabitEthernet1/0/1上对用户接入进行MAC地址认证,以控制其对Internet的访问。

·     要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待180秒后才能对用户再次发起认证。

·     所有用户都属于域bbb,认证时采用固定用户名格式,用户名为aaa,密码为123456。

2. 组网图

图1-3 启动MAC地址认证对接入用户进行RADIUS认证

3. 配置步骤

说明

确保RADIUS服务器与设备路由可达,并成功添加了接入用户帐户:用户名为aaa,密码为123456。

 

# 配置RADIUS方案。

<Device> system-view

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.2 1813

[Device-radius-2000] key authentication simple abc

[Device-radius-2000] key accounting simple abc

[Device-radius-2000] user-name-format without-domain

[Device-radius-2000] quit

# 配置ISP域的AAA方法。

[Device] domain bbb

[Device-isp-bbb] authentication default radius-scheme 2000

[Device-isp-bbb] authorization default radius-scheme 2000

[Device-isp-bbb] accounting default radius-scheme 2000

[Device-isp-bbb] quit

# 开启端口GigabitEthernet1/0/1的MAC地址认证。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] mac-authentication

[Device-GigabitEthernet1/0/1] quit

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain bbb

# 配置MAC地址认证的定时器。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址认证使用固定用户名格式:用户名为aaa,密码为明文123456。

[Device] mac-authentication user-name-format fixed account aaa password simple 123456

# 开启全局MAC地址认证。

[Device] mac-authentication

4. 验证配置

# 显示MAC地址认证配置信息。

<Device> display mac-authentication

Global MAC authentication parameters:

   MAC authentication     : Enabled

   Username format        : Fixed account

           Username       : aaa

           Password       : ******

   Offline detect period  : 180 s

   Quiet period           : 180 s

   Server timeout         : 100 s

   Reauth period          : 3600 s

   Authentication domain  : bbb

 Online MAC-auth users    : 1

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

 

 GigabitEthernet1/0/1  is link-up

   MAC authentication         : Enabled

   Carry User-IP              : Disabled

   Authentication domain      : Not configured

   Auth-delay timer           : Disabled

   Periodic reauth            : Disabled

   Re-auth server-unreachable : Logoff

   Guest VLAN                 : Not configured

   Guest VLAN auth-period     : 30 s

   Critical VLAN              : Not configured

   Critical voice VLAN        : Disabled

   Host mode                  : Single VLAN

   Offline detection          : Enabled

   Authentication order       : Default

 

   Guest VSI                  : Not configured

   Guest VSI auth-period      : 30 s

   Critical VSI               : Not configured

Max online users           : 256

   Authentication attempts    : successful 1, failed 0

   Current online users       : 1

          MAC address       Auth state

          00e0-fc12-3456    Authenticated

1.23.3  下发ACL典型配置举例

1. 组网需求

图1-4所示,用户主机Host通过端口GigabitEthernet1/0/1连接到设备上,设备通过RADIUS服务器对用户进行认证、授权和计费,Internet网络中有一台FTP服务器,IP地址为10.0.0.1。现有如下组网需求:

·     在端口GigabitEthernet1/0/1上对用户接入进行MAC地址认证,以控制其对Internet的访问。认证时使用用户的源MAC地址做用户名和密码,其中MAC地址带连字符、字母小写。

·     当用户认证成功上线后,允许用户访问除FTP服务器之外的Internet资源。

2. 组网图

图1-4 下发ACL典型配置组网图

3. 配置步骤

说明

·     确保RADIUS服务器与设备路由可达。

·     由于该例中使用了MAC地址认证的缺省用户名和密码,即使用用户的源MAC地址做用户名与密码,因此还要保证RADIUS服务器上正确添加了接入用户帐户:用户名为00-e0-fc-12-34-56,密码为00-e0-fc-12-34-56。

·     指定RADIUS服务器上的授权ACL为设备上配置的ACL 3000。

 

(1)     配置授权ACL

# 配置ACL 3000,拒绝目的IP地址为10.0.0.1的报文通过。

<Device> system-view

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0

[Device-acl-ipv4-adv-3000] quit

(2)     配置使用RADIUS服务器进行MAC地址认证

# 配置RADIUS方案。

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.2 1813

[Device-radius-2000] key authentication simple abc

[Device-radius-2000] key accounting simple abc

[Device-radius-2000] user-name-format without-domain

[Device-radius-2000] quit

# 配置ISP域的AAA方法。

[Device] domain bbb

[Device-isp-bbb] authentication default radius-scheme 2000

[Device-isp-bbb] authorization default radius-scheme 2000

[Device-isp-bbb] accounting default radius-scheme 2000

[Device-isp-bbb] quit

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain bbb

# 配置MAC地址认证用户名格式:使用带连字符的MAC地址做用户名与密码,其中字母小写。

[Device] mac-authentication user-name-format mac-address with-hyphen lowercase

# 开启端口GigabitEthernet1/0/1上的MAC地址认证。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] mac-authentication

[Device-GigabitEthernet1/0/1] quit

# 开启全局MAC地址认证。

[Device] mac-authentication

4. 验证配置

# 显示MAC地址认证配置信息。

<Device> display mac-authentication

Global MAC authentication parameters:

   MAC authentication     : Enable

   Username format        : MAC address in lowercase(xx-xx-xx-xx-xx-xx)

           Username       : mac

           Password       : Not configured

   Offline detect period  : 300 s

   Quiet period           : 60 s

   Server timeout         : 100 s

   Reauth period          : 3600 s

   Authentication domain  : bbb

 Online MAC-auth users    : 1

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

 

 GigabitEthernet1/0/1  is link-up

   MAC authentication         : Enabled

   Carry User-IP              : Disabled

   Authentication domain      : Not configured

   Auth-delay timer           : Disabled

   Periodic reauth            : Disabled

   Re-auth server-unreachable : Logoff

   Guest VLAN                 : Not configured

   Guest VLAN auth-period     : 30 s

   Critical VLAN              : Not configured

   Critical voice VLAN        : Disabled

   Host mode                  : Single VLAN

   Offline detection          : Enabled

   Authentication order       : Default

 

   Guest VSI                  : Not configured

   Guest VSI auth-period      : 30 s

   Critical VSI               : Not configured

Max online users           : 256

   Authentication attempts    : successful 1, failed 0

   Current online users       : 1

          MAC address       Auth state

          00e0-fc12-3456    Authenticated

用户认证上线后,Ping FTP服务器,发现服务器不可达,说明认证服务器下发的ACL 3000已生效。

C:\>ping 10.0.0.1

 

Pinging 10.0.0.1 with 32 bytes of data:

 

Request timed out.

Request timed out.

Request timed out.

Request timed out.

 

Ping statistics for 10.0.0.1:

   Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们