- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-MAC地址认证命令
本章节下载: 03-MAC地址认证命令 (258.54 KB)
目 录
1.1.1 display mac-authentication
1.1.2 display mac-authentication connection
1.1.4 mac-authentication critical vlan
1.1.5 mac-authentication critical-voice-vlan
1.1.6 mac-authentication domain
1.1.7 mac-authentication guest-vlan
1.1.8 mac-authentication guest-vlan auth-period
1.1.9 mac-authentication host-mode
1.1.10 mac-authentication max-user
1.1.11 mac-authentication offline-detect enable
1.1.12 mac-authentication parallel-with-dot1x
1.1.13 mac-authentication re-authenticate
1.1.14 mac-authentication re-authenticate server-unreachable keep-online
1.1.15 mac-authentication timer
1.1.16 mac-authentication timer auth-delay
1.1.17 mac-authentication timer reauth-period
1.1.18 mac-authentication user-name-format
1.1.19 reset mac-authentication critical-vlan
1.1.20 reset mac-authentication critical-voice-vlan
1.1.21 reset mac-authentication guest-vlan
1.1.22 reset mac-authentication statistics
display mac-authentication命令用来显示MAC地址认证的相关信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。
display mac-authentication [ interface interface-type interface-number ]
interface interface-type interface-number:显示全局及指定端口的MAC地址认证相关信息,interface-type interface-number为端口类型和端口编号。若指定的端口上未使能MAC地址认证,则不显示该端口任何信息。
如果不指定端口类型和端口编号,则显示全局及所有使能了MAC地址认证的端口上的MAC地址认证信息。
# 显示MAC地址认证信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
User name format : MAC address in lowercase(xxxxxxxxxxxx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
Authentication domain : Not configured, use default domain
Max MAC-auth users : 4294967295 per slot
Online MAC-auth users : 0
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN auth-period : 180 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
Max online users : 4294967295
Authentication attempts : successful 0, failed 0
Current online users : 0
MAC address Auth state
表1-1 display mac-authentication命令显示信息描述表
|
全局MAC地址认证参数 |
|
|
MAC地址认证的开启状态 |
|
|
MAC地址认证使用的用户名格式,有以下两种情况: · 若采用MAC地址形式,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xxxxxxxxxxxx)”,它表示用户名格式为不带连字符的MAC地址,其中字母为小写 |
|
|
· 采用MAC地址格式时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名 |
|
|
· 用户名为MAC地址格式时: ¡ 如果配置了密码,配置的值将显示为****** ¡ 如果没有配置密码,该值显示为“mac”,表示采用MAC地址作为密码 · 用户名为固定用户名格式时: ¡ 如果配置了密码,配置的值将显示为****** ¡ 如果没有配置密码,该值显示为“Not Configured” |
|
|
Reauth period |
重认证定时器的值 |
|
系统视图下指定的MAC地址认证用户使用的认证域 |
|
|
每台设备能够支持的最大MAC地址认证用户数 |
|
|
当前在线MAC地址认证用户数 |
|
|
静默用户的MAC地址 |
|
|
当前端口的MAC地址认证开启状态 |
|
|
端口上指定的MAC地址认证用户使用的认证域 |
|
|
MAC地址认证延迟功能的开启状态 |
|
|
Periodic reauth |
端口上MAC地址重认证开启状态 |
|
Reauth period |
端口上配置的MAC地址重认证时间间隔 |
|
重认证时服务器不可达对MAC地址认证的在线用户采取的动作 |
|
|
Guest VLAN auth-period |
进入Guest VLAN后发起重认证的时间间隔 |
|
Critical voice VLAN |
端口配置的Critical voice VLAN |
|
Host mode |
相同MAC地址用户的工作模式 · 如果配置的是多VLAN模式,则显示Multiple VLAN · 如果配置的是单VLAN模式,则显示Single VLAN |
|
Offline detection |
MAC地址认证用户下线检测的开启状态,取值包括如下: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Authentication order |
接入用户使用认证方式的顺序 |
|
端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数 |
|
|
接入用户的MAC地址 |
|
|
· Authenticated:认证成功 · Unauthenticated:认证失败 |
display mac-authentication connection命令用来显示当前MAC地址认证在线用户的详细信息。
interface interface-type interface-number:显示指定端口的MAC地址认证用户信息。其中interface-type interface-number表示绑定的端口类型和端口编号。
slot slot-number:显示指定成员设备上的MAC地址认证用户信息,slot-number表示设备在IRF中的成员编号。
user-mac mac-addr:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。
user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。
若不指定任何参数,则显示所有端口上的MAC地址认证在线用户信息。
# 显示所有MAC地址认证在线用户信息。
<Sysname> display mac-authentication connection
Total connection: 1
Slot ID: 1
User MAC address: 0015-e9a6-7cfe
Access interface: GigabitEthernet1/0/1
Username: ias
Authentication domain: bbb
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization ACL ID: 3001
Authorization user profile: N/A
Termination action: Radius-request
Session timeout period: 2 s
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
表1-1 display mac-authentication connection 命令显示信息描述表
|
Total connections |
在线MAC地址认证用户个数 |
|
当前设备在IRF中的成员编号 |
|
|
用户的MAC地址 |
|
|
认证时所用的ISP域的名称 |
|
|
Authorization tagged VLAN |
授权的tagged VLAN |
|
授权ACL编号 |
|
|
· Default:Session超时时间到达后,强制用户下线 · Radius-Request:Session超时时间到达后,请求MAC地址认证用户进行重认证 · N/A:无效值 |
|
|
服务器下发的Session超时时间,具体涵义请参考Terminate action字段 |
|
|
MAC认证用户的上线时间 |
|
|
MAC认证用户的在线时长 |
mac-authentication命令用来开启指定端口上或全局的MAC地址认证。
undo mac-authentication命令用来关闭指定端口上或全局的MAC地址认证。
所有端口及全局的MAC地址认证都处于关闭状态。
系统视图/二层以太网接口视图
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
# 开启全局的MAC地址认证。
[Sysname] mac-authentication
# 开启端口GigabitEthernet1/0/1上的MAC地址认证。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication
mac-authentication critical vlan命令用来配置指定端口的MAC地址认证的Critical VLAN,即当MAC用户认证时对应的ISP域下所有认证服务器都不可达的情况下被授权访问Critical VLAN内的资源。
undo mac-authentication critical vlan命令用来恢复缺省情况。
mac-authentication critical vlan critical-vlan-id
undo mac-authentication critical vlan
端口上未配置MAC地址认证的Critical VLAN。
critical-vlan-id:端口上指定的Critical VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Critical VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Critical VLAN,则该VLAN不能被指定为Super VLAN。
禁止删除已被配置为Critical VLAN的VLAN,若要删除该VLAN,请先使用命令undo mac-authentication critica vlan取消MAC地址认证的Critical VLAN配置。
# 配置端口GigabitEthernet1/0/1的Critical VLAN为VLAN 100 。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication critical vlan 100
· reset mac-authentication critical-vlan
mac-authentication critical-voice-vlan命令用来开启端口下MAC地址认证的Critical voice VLAN功能。
undo mac-authentication critical-voice-vlan命令用来恢复缺省情况。
【命令】
mac-authentication critical-voice-vlan
undo mac-authentication critical-voice-vlan
【缺省情况】
MAC地址认证的Critical voice VLAN功能处于关闭状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
端口上开启MAC地址认证的Critical voice VLAN功能后,当MAC地址认证语音用户采用的ISP域中的所有认证服务器都不可达时,端口将被加入到此端口上已配置的语音VLAN中,在此也被称为MAC地址认证的Critical voice VLAN。端口上的语音VLAN通过voice-vlan enable命令配置,有关此命令的详细介绍请参见“二层技术-以太网交换命令参考”中的“VLAN”。
设备通过LLDP(Link Layer Discovery Protocol,链路层发现协议)来判断用户是否为语音用户,因此为保证MAC地址认证Critical voice VLAN功能可以正常工作,请在开启此功能之前务必确保设备的全局和相应端口下均已开启LLDP功能。有关LLDP功能的详细介绍请参见“二层技术-以太网交换命令参考”中的“LLDP”。
【举例】
# 打开端口GigabitEthernet1/0/1的Critical voice VLAN开关 。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication critical-voice-vlan
【相关命令】
· display mac-authentication
· lldp enable(二层技术-以太网交换命令参考/LLDP)
· lldp global enable(二层技术-以太网交换命令参考/LLDP)
· reset mac-authentication critical-voice-vlan
· voice-vlan enable(二层技术-以太网交换命令参考/VLAN)
mac-authentication domain命令用来指定MAC地址认证用户使用的认证域。
undo mac-authentication domain命令用来恢复缺省情况。
mac-authentication domain domain-name
undo mac-authentication domain
未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domain default enable。
系统视图/二层以太网接口视图
domain-name:ISP域名,为1~24个字符的字符串,不区分大小写。
· 系统视图下指定的认证域对所有开启了MAC地址认证的端口生效。
· 以太网接口视图下指定的认证域仅对本端口有效。不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。
# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。
[Sysname] mac-authentication domain domain1
# 指定端口GigabitEthernet1/0/1上接入的MAC地址认证用户使用的认证域为aabbcc。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication domain aabbcc
· domain default enable(安全命令参考/AAA)
mac-authentication guest-vlan命令用来配置指定端口的MAC地址认证的Guest VLAN,即MAC地址认证失败的用户被授权访问的VLAN。
undo mac-authentication guest-vlan命令用来恢复缺省情况。
mac-authentication guest-vlan guest-vlan-id
undo mac-authentication guest-vlan
端口上未配置MAC地址认证的Guest VLAN。
guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Guest VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Guest VLAN,则该VLAN不能被指定为Super VLAN。
禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先使用命令undo mac-authentication guest-vlan取消MAC地址认证的Guest VLAN配置。
# 配置端口GigabitEthernet1/0/1的Guest VLAN为VLAN 100 。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication guest-vlan 100
· reset mac-authentication guest-vlan
mac-authentication guest-vlan auth-period命令用来配置设备对Guest VLAN中的用户进行重新认证的时间间隔。
undo mac-authentication guest-vlan auth-period命令用来恢复缺省情况。
【命令】
mac-authentication guest-vlan auth-period period-value
undo mac-authentication guest-vlan auth-period
【缺省情况】
设备对Guest VLAN中的用户进行重新认证的时间间隔为30秒。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
period-value:表示设备重新发起认证的时间间隔,取值范围1~3600,单位为秒。
【使用指导】
在MAC地址认证中,如果接入用户的端口上配置了Guest VLAN,则该端口上认证失败的用户会被加入此Guest VLAN。用户被加入Guest VLAN之后,设备将以指定的时间间隔对该用户发起重新认证,直到该用户认证成功。
【举例】
# 配置MAC地址认证失败,进入Guest VLAN后设备发起重新认证的时间间隔为150秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication guest-vlan auth-period 150
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan
mac-authentication host-mode multi-vlan命令用来指定端口工作在MAC地址认证的多VLAN 模式。
undo mac-authentication host-mode命令用来恢复缺省情况。
【命令】
mac-authentication host-mode multi-vlan
undo mac-authentication host-mode
【缺省情况】
端口工作在MAC地址认证的单VLAN 模式。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
端口工作在多VLAN模式下时,如果相同MAC地址的用户在属于不同VLAN的相同端口再次接入,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。
端口工作在单VLAN模式下时,在用户已上线,且没有被下发授权VLAN情况下,如果此用户在属于不同VLAN的相同端口再次接入,则,设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。如果已上线用户被下发了授权VLAN,则此用户在属于不同VLAN的相同端口再次接入时不会被强制下线。
对于接入IP电话类用户的端口,指定端口工作在MAC地址认证的多VLAN 模式,可避免IP电话终端的报文所携带的VLAN tag发生变化后,因用户流量需要重新认证带来语音报文传输质量受干扰的问题。
【举例】
# 配置端口GigabitEthernet1/0/1工作在MAC地址认证的多VLAN模式。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication host-mode multi-vlan
mac-authentication max-user命令用来配置端口上最多允许同时接入的MAC地址认证用户数。当接入此端口的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
undo mac-authentication max-user命令用来恢复缺省情况。
mac-authentication max-user user-number
undo mac-authentication max-user
端口上最多允许同时接入的MAC地址认证用户数为4294967295。
user-number:端口允许同时接入的MAC地址认证用户数的最大值,取值范围为1~4294967295。
# 配置端口GigabitEthernet1/0/1最多允许同时接入32个MAC地址认证用户。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication max-user 32
mac-authentication offline-detect enable命令用来开启端口的MAC地址认证下线检测功能。
undo mac-authentication offline-detect enable命令用来关闭端口的MAC地址认证下线检测功能。
【命令】
mac-authentication offline-detect enable
undo mac-authentication offline-detect enable
【缺省情况】
端口的MAC地址认证下线检测功能处于开启状态。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【举例】
# 关闭端口GigabitEthernet1/0/1上的MAC地址认证下线检测功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] undo mac-authentication offline-detect enable
【相关命令】
· mac-authentication timer
mac-authentication parallel-with-dot1x命令用来配置端口MAC地址认证和802.1X认证并行处理功能。
undo mac-authentication parallel-with-dot1x命令用来恢复缺省情况。
【命令】
mac-authentication parallel-with-dot1x
undo mac-authentication parallel-with-dot1x
【缺省情况】
端口在收到源MAC地址未知的报文触发认证时,按照802.1X认证完成后再进行MAC地址认证的顺序进行处理。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,在端口采用802.1X和MAC地址组合认证功能,并配置了802.1X单播触发功能时,端口收到源MAC地址未知的报文,在向该MAC地址单播发送EAP-Request/Identity报文后,不需要等待802.1X认证处理完成,就同时进行MAC地址认证的处理。
端口采用802.1X和MAC地址组合认证功能适用于如下情况:
· 端口上同时开启了802.1X和MAC地址认证功能,并配置了802.1X认证的端口的接入控制方式为macbased。
· 开启了端口安全功能,并配置了端口安全模式为userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。
在端口采用802.1X认证和MAC地址组合认证的情况下,如果想要在端口加入到802.1X Guest VLAN之前进行MAC地址认证并下发授权VLAN,请通过本命令开启端口MAC地址认证和802.1X认证并行处理功能,并配置端口延迟加入802.1X Guest VLAN功能。
开启了MAC地址认证和802.1X认证并行处理功能后,不建议配置端口的MAC地址认证延迟功能。
【举例】
# 在端口GigabitEthernet1/0/1上开启MAC地址认证和802.1X认证并行处理功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication parallel-with-dot1x
mac-authentication re-authenticate命令用来开启MAC地址周期性重认证功能。
undo mac-authentication re-authenticate命令用来恢复缺省情况。
【命令】
mac-authentication re-authenticate
undo mac-authentication re-authenticate
【缺省情况】
MAC地址周期性重认证功能处于关闭状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
端口开启了MAC地址认证用户的周期性重认证功能后,设备会根据周期性重认证定时器(mac-authentication timer reauth-period)设定的时间间隔定期启动对该端口上的在线用户进行MAC地址认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN)。
【举例】
# 在端口GigabitEthernet1/0/1上开启MAC地址重认证功能,并配置全局周期性重认证时间间隔为1800秒。
<Sysname> system-view
[Sysname] mac-authentication timer reauth-period 1800
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication re-authenticate
【相关命令】
· display mac-authentication
· mac-authentication timer
mac-authentication re-authenticate server-unreachable keep-online命令用来配置重认证服务器不可达时端口上的MAC地址认证用户保持在线状态。
undo mac-authentication re-authenticate server-unreachable命令用来恢复缺省情况。
mac-authentication re-authenticate server-unreachable keep-online
undo mac-authentication re-authenticate server-unreachable
端口上的MAC地址认证在线用户重认证时,若认证服务器不可达,则会被强制下线。
# 配置端口GigabitEthernet1/0/1上的MAC地址认证在线用户进行重认证时,若服务器不可达,则保持在线状态。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication re-authenticate server-unreachable keep-online
mac-authentication timer命令用来配置MAC地址认证的定时器参数。
undo mac-authentication timer命令用来恢复缺省情况。
undo mac-authentication timer { offline-detect | quiet | reauth-period | server-timeout }【缺省情况】
下线检测定时器的值为300秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,服务器超时定时器的值为100秒。【视图】
offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围60~2147483647,单位为秒。
quiet quiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围1~3600,单位为秒。
reauth-period reauth-period-value:表示MAC地址认证周期性重认证定时器。其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~7200,单位为秒。
server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。
MAC地址认证过程受以下定时器的控制:
· 下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。建议配置的检测时间间隔等于用户MAC地址表项的老化时间,否则会导致用户异常下线。
· 静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 周期性重认证定时器(reauth-period):端口下开启了周期性重认证功能(通过命令mac-authentication re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
# 设置服务器超时定时器时长为150秒。
[Sysname] mac-authentication timer server-timeout 150
mac-authentication timer auth-delay命令用来开启MAC地址认证延迟功能,并配置MAC地址认证的延时时间。
undo mac-authentication timer auth-delay命令用来恢复缺省情况。
mac-authentication timer auth-delay time
undo mac-authentication timer auth-delay
MAC地址认证延迟功能处于关闭状态,如果用户报文触发MAC地址认证,认证将会立刻开始。
time:延迟MAC地址认证的时间,取值范围为1~180,单位为秒。
端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。
开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是在等待一定的延迟时间之后,再会对之前收到的用户报文进行MAC地址认证。在此认证延迟期间,端口对用户报文的其它认证过程并不受影响。
开启了MAC地址认证延迟功能的接口上不建议同时配置端口安全的模式为mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。
# 开启MAC地址延迟认证功能,并指定MAC地址认证的延时时间为10秒。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication timer auth-delay 10
· port-security port-mode(安全命令参考/端口安全)
mac-authentication timer reauth-period命令用来配置端口上MAC地址重认证的定时器参数。
undo mac-authentication timer reauth-period命令用来恢复缺省情况。
【命令】
mac-authentication timer reauth-period reauth-period-value
undo mac-authentication timer reauth-period
【缺省情况】
端口上未配置MAC地址周期性重认证定时器,端口使用全局配置的MAC地址周期性重认证定时器的取值。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
reauth-period reauth-period-value:表示MAC地址认证周期性重认证定时器。其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~7200,单位为秒。
【使用指导】
端口上开启了周期性重认证功能(通过命令mac-authentication re-authenticate)后,设备端以周期性重认证定时器的值为间隔,对端口上的在线用户发起重认证。对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
MAC地址认证用户进行重认证时,设备将按照如下由高到低的顺序为其选择周期性重认证超时间隔时间:服务器下发的重认证时间、端口上配置的重认证时间、系统视图配置的重认证时间、设备缺省的重认证时间。
【举例】
# 在端口GigabitEthernet1/0/1上配置MAC地址周期性重认证的时间间隔为90秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication timer reauth-period 90
【相关命令】
· display mac-authentication
mac-authentication user-name-format命令用来配置MAC地址认证的用户名格式。
undo mac-authentication user-name-format命令用来恢复缺省情况。
mac-authentication user-name-format { fixed [ account name ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] } [ password { cipher | simple } password ]
undo mac-authentication user-name-format
使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符“-”。
fixed:表示采用固定用户名格式。
account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。
password:指定固定用户名的密码或MAC地址认证用户的认证密码。
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码。
password:设置的明文密码或密文密码,区分大小写。明文密码为1~63个字符的字符串;密文密码为1~117个字符的字符串。
mac-address:如果指定mac-address的同时指定了password,表示使用用户的MAC地址作为用户名,并使用password配置的密码;如果指定mac-address的同时未指定password,表示使用用户的MAC地址作为用户名和密码。
with-hyphen:带连字符“-”的MAC地址格式,例如xx-xx-xx-xx-xx-xx。
without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx。
lowercase:MAC地址中的字母为小写。
uppercase:MAC地址中的字母为大写。
指定用户的MAC地址为用户名的情况下,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户帐户。
若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
以明文或密文方式设置的密码,均以密文的方式保存在配置文件中。
# 配置MAC地址认证的用户名为abc,密码是明文xyz。
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用户的MAC地址为用户名和密码,使用带连字符“-”的MAC地址格式,其中字母大写。
[Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase
reset mac-authentication critical-vlan命令用来清除Critical VLAN内的MAC地址认证用户。
interface interface-type interface-number:表示使指定端口上的用户退出Critical VLAN,interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定 MAC地址的用户退出Critical VLAN。
# 在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Critical VLAN。
<Sysname> reset mac-authentication critical-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
· mac-authentication critical vlan
reset mac-authentication critical-voice-vlan命令用来清除MAC地址认证Critical voice VLAN内的MAC地址认证用户。
【命令】
reset mac-authentication critical-voice-vlan interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出MAC地址认证的Critical voice VLAN,interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Critical voice VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Critical voice VLAN。
【举例】
# 在端口GigabitEthernet1/0/1上使MAC地址为1-1-1的MAC地址认证用户退出Critical voice VLAN。
<Sysname> reset mac-authentication critical-voice-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
reset mac-authentication guest-vlan命令用来清除Guest VLAN内的MAC地址认证用户。
interface interface-type interface-number:表示使指定端口上的用户退出Guest VLAN,interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定 MAC地址的用户退出Guest VLAN。
# 在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Guest VLAN。
<Sysname> reset mac-authentication guest-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
· mac-authentication guest-vlan
reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。
reset mac-authentication statistics [ interface interface-type interface-number ]
interface interface-type interface-number:清除指定端口的MAC地址认证统计信息,interface-type interface-number为端口类型和端口编号。
如果不指定端口类型和端口编号,则清除设备上的全局及所有端口的MAC认证统计信息。
# 清除以太网端口GigabitEthernet1/0/1上的MAC认证统计信息。
<Sysname> reset mac-authentication statistics interface gigabitethernet 1/0/1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
