• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全配置指导

03-MAC地址认证配置

本章节下载 03-MAC地址认证配置  (365.57 KB)

03-MAC地址认证配置


1 MAC地址认证

1.1  MAC地址认证简介

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,无需安装客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被设置为静默MAC。在静默时间内,来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。

1.1.1  MAC地址认证用户的帐号格式

MAC地址认证用户使用的帐号格式分为两种:

·     MAC地址帐号:设备使用源MAC地址作为用户认证时的用户名和密码,如图1-1所示。

·     固定用户名帐号:所有MAC地址认证用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证,如图1-2所示。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。

图1-1 MAC地址帐号的MAC地址认证示意图

 

图1-2 固定用户名帐号的MAC地址认证示意图

 

1.1.2  MAC地址认证的认证方式

目前设备支持两种方式的MAC地址认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证。有关远程RADIUS认证和本地认证的详细介绍请参见“安全配置指导”中的“AAA”。

1. RADIUS服务器认证方式进行MAC地址认证

当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:

·     若采用MAC地址帐号,则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。

·     若采用固定用户名帐号,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码,发送给RADIUS服务器进行验证。

RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。

2. 本地认证方式进行MAC地址认证

当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:

·     若采用MAC地址帐号,则设备将检测到的用户MAC地址作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。

·     若采用固定用户名帐号,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。

用户名和密码匹配成功后,用户可以访问网络。

1.1.3  MAC地址认证支持VLAN下发

1. 授权VLAN

为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和未认证的用户划分到不同的VLAN。MAC地址认证支持远程AAA服务器/接入设备下发授权VLAN,即当用户通过MAC地址认证后,远程AAA服务器/接入设备将指定的受限网络资源所在的VLAN作为授权VLAN下发到用户进行认证的端口。该端口被加入到授权VLAN中后,用户便可以访问这些受限的网络资源。

2. 远程AAA授权

该方式下,需要在AAA服务器上指定下发给用户的授权VLAN信息,下发的授权VLAN信息可以有多种形式,包括数字型VLAN和字符型VLAN,字符型VLAN又可分为VLAN名称、VLAN组名、携带后缀的VLAN ID(后缀只能为字母u或t,用于标识是否携带Tag)。

设备收到服务器的授权VLAN信息后,首先对其进行解析,只要解析成功,即以对应的方法下发授权VLAN;如果解析不成功,则用户授权失败。

·     若认证服务器下发的授权VLAN信息为一个VLAN ID或一个VLAN名称,则仅当对应的VLAN不为动态学习到的VLAN、保留VLAN时,该VLAN才是有效的授权VLAN。当认证服务器下发VLAN名称时,对应的VLAN必须为已存在的VLAN。

·     若认证服务器下发的授权VLAN信息为一个VLAN组名,则设备首先会通过组名查找该组内配置的VLAN列表。若查找到授权VLAN列表,则在这一组VLAN中,除动态VLAN以及不存在的VLAN的所有VLAN都有资格被授权给用户。关于VLAN组的相关配置,请参见“二层技术-以太网交换配置指导”中的“VLAN”。

¡     当端口链路类型为access或trunk时:

-     若端口上已有其他在线用户,则查看端口上在线用户的授权VLAN是否存在于该组中:存在,则将此VLAN授权给当前的认证用户;否则,认为当前认证用户授权失败,将被强制下线。

-     若当前用户为端口上第一个在线用户,则直接将该组VLAN中ID最小的VLAN授权给当前的认证用户。

·     若认证服务器下发的授权VLAN信息为一个包含若干VLAN ID以及若干VLAN名称的字符串,则设备首先将其解析为一组VLAN列表,然后采用与解析一个VLAN组名相同的解析逻辑选择一个授权VLAN。

·     若认证服务器下发的授权VLAN信息为一个包含若干个“VLAN ID+后缀”形式的字符串,则只有第一个不携带后缀或者携带untagged后缀的VLAN将被解析为唯一的untagged的授权VLAN,其余VLAN都被解析为tagged的授权VLAN。例如服务器下发字符串“1u 2t 3”,其中的u和t均为后缀,分别表示untagged和tagged。该字符串被解析之后,VLAN 1为untagged的授权VLAN,VLAN 2和VLAN 3为tagged的授权VLAN。该方式下发的授权VLAN仅对端口链路类型为Hybrid或Trunk的端口有效。

¡     端口的缺省VLAN将被修改为untagged的授权VLAN。若不存在untagged的授权VLAN,则不修改端口的缺省VLAN。

¡     端口将允许所有解析成功的授权VLAN通过。

3. 本地AAA授权

该方式下,可以通过配置本地用户的授权属性指定下发给用户的授权VLAN信息,且只能指定一个授权VLAN。设备将此VLAN作为该本地用户的授权VLAN。关于本地用户的相关配置,请参见“安全配置指导”中的“AAA”。

4. 不同类型的端口加入授权VLAN

设备根据用户接入的端口链路类型和授权的VLAN是否携带Tag,按如下情况将端口加入到下发的授权VLAN中。需要注意的是,仅远程AAA服务器支持授权携带Tag的VLAN。

授权VLAN未携带Tag的情况下:

·     若用户从Access类型的端口接入,则端口离开当前VLAN并加入第一个通过认证的用户的授权VLAN中。

·     若用户从Trunk类型的端口接入,则设备允许下发的授权VLAN通过该端口,并且修改该端口的缺省VLAN为第一个通过认证的用户的授权VLAN。

·     若用户从Hybrid类型的端口接入,则设备允许授权下发的授权VLAN以不携带Tag的方式通过该端口,并且修改该端口的缺省VLAN为第一个通过认证的用户的授权VLAN。

授权VLAN携带Tag的情况下:

·     若用户从Access类型的端口接入,则不支持下发带Tag的VLAN。

·     若用户从Trunk类型的端口接入,则设备允许授权下发的VLAN以携带Tag的方式通过该端口,但是不会修改该端口的缺省VLAN。

·     若用户从Hybrid类型的端口接入,则设备允许授权下发的VLAN以携带Tag的方式通过该端口,但是不会修改该端口的缺省VLAN。

授权VLAN并不影响端口的配置。但是,对于Access端口和Trunk端口,授权VLAN的优先级高于端口配置的VLAN,即通过认证后起作用的VLAN是授权VLAN,端口配置的VLAN在用户下线后生效。对于Hybrid端口,当授权VLAN携带Tag的情况与端口配置的VLAN情况不一致(例如授权VLAN携带Tag,而端口配置的VLAN不携带Tag)时,授权VLAN不生效,通过认证后起作用的VLAN仍为端口配置的VLAN;当授权VLAN携带Tag的情况与端口配置的VLAN情况一致时,授权VLAN的优先级高于端口配置的VLAN。

说明

·     对于Hybrid端口,如果认证用户的报文携带VLAN Tag,则应通过port hybrid vlan命令配置该端口在转发指定的VLAN报文时携带VLAN Tag;如果认证用户的报文不携带VLAN Tag,则应配置该端口在转发指定的VLAN报文时不携带VLAN Tag。否则,当服务器没有授权下发VLAN时,用户虽然可以通过认证但不能访问网络。

·     在授权VLAN未携带Tag的情况下,授权给所有用户的VLAN必须相同,否则仅第一个通过认证的用户可以成功上线。

·     在授权VLAN携带Tag的情况下,设备会给不同的用户授权不同的VLAN。

 

1.1.4  MAC地址认证支持ACL下发

由远程AAA服务器/接入设备下发给用户的ACL被称为授权ACL,它为用户访问网络提供了良好的过滤条件设置功能。当用户通过MAC地址认证后,如果远程AAA服务器/接入设备上为用户指定了授权ACL,则设备会根据下发的授权ACL对用户所在端口的数据流进行控制,与授权ACL规则匹配的流量,将按照规则中指定的permit或deny动作进行处理。为使下发的授权ACL生效,需要提前在设备上配置相应的ACL规则。而且在用户访问网络的过程中,可以通过改变远程AAA服务器/设备本地的授权ACL设置来改变用户的访问权限。

说明

MAC地址认证可成功授权的ACL类型为基本ACL(ACL编号为2000~2999)、高级ACL(ACL编号为3000~3999)和二层ACL(ACL编号为4000~4999)。但当下发的ACL不存在、未配置ACL规则或ACL规则配置了counting、established、fragment、source-mac或logging参数时,授权ACL不生效。有关ACL规则的具体介绍,请参见“ACL和QoS命令参考”中的“ACL”。

1.1.5  MAC地址认证支持URL重定向功能

用户通过MAC地址认证后,设备会根据RADIUS服务器下发的重定向URL属性,将用户的HTTP或HTTPS请求重定向到指定的Web认证页面。Web认证通过后,RADIUS服务器记录用户的MAC地址信息,并通过DM报文强制Web用户下线。此后该用户再次进行MAC地址认证,由于RADIUS服务器上已记录该用户和其MAC地址的对应信息,用户可以成功上线。

说明

若需要对MAC地址认证用户的HTTPS请求进行重定向,需要在设备上配置对HTTPS报文进行重定向的内部侦听端口号,具体配置请参见“三层技术-IP业务配置指导”中的“HTTP重定向”。

1.1.6  MAC地址认证支持下发黑洞MAC

用户通过MAC地址认证后,如果收到服务器通过COA报文授权当前用户MAC地址为黑洞MAC,设备将强制该MAC地址认证用户下线,并添加该用户为静默用户(可通过display mac-authentication查看),静默时间固定为10分钟。在静默时间内,设备不对来自该MAC地址用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则可以对其进行认证处理。

1.1.7  MAC地址重认证

MAC地址重认证是指设备周期性对端口上在线的MAC地址认证用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN等)。

认证服务器可以通过下发RADIUS属性(session-timeout、Termination-action)来指定用户会话超时时长以及会话中止的动作类型。认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现。

设备作为RADIUS DAE服务器,认证服务器作为RADIUS DAE客户端时,后者可以通过COA(Change of Authorization)Messages向用户下发重认证属性,这种情况下,无论设备上是否开启了周期性重认证功能,端口都会立即对该用户发起重认证。关于RADIUS DAE服务器的详细内容,请参见“安全配置指导”中的“AAA”。

MAC地址认证用户认证通过后,端口对用户的重认证功能具体实现如下:

·     当认证服务器下发了用户会话超时时长,且指定的会话中止的动作类型为要求用户进行重认证时,则无论设备上是否开启周期性重认证功能,端口均会在用户会话超时时长到达后对该用户进行重认证;

·     当认证服务器下发了用户会话超时时长,且指定的会话中止的动作类型为要求用户下线时:

¡     若设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线MAC地址认证用户发起重认证;若设备上配置的重认证定时器值大于等于用户会话超时时长,则端口会在用户会话超时时长到达后强制该用户下线;

¡     若设备上未开启周期性重认证功能,则端口会在用户会话超时时长到达后强制该用户下线。

·     当认证服务器未下发用户会话超时时长时,是否对用户进行重认证,由设备上配置的重认证功能决定。

·     对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

·     MAC地址重认证过程中,重认证服务器不可达时端口上的MAC地址认证用户状态由端口上的配置决定。在网络连通状况短时间内不良的情况下,合法用户是否会因为服务器不可达而被强制下线,需要结合实际的网络状态来调整。若配置为保持用户在线,当服务器在短时间内恢复可达,则可以避免用户频繁上下线;若配置为强制下线,当服务器可达性在短时间内不可恢复,则可避免用户在线状态长时间与实际不符。

·     在用户名不改变的情况下,端口允许重认证前后服务器向该用户下发不同的VLAN。

1.2  MAC地址认证配置限制和指导

·     请不要在LSCM1TGS48SE0和LSCM1QGS8CSSE0单板 上同时配置MAC地址认证和IP Source Guard功能。关于配置IP Source Guard功能的详细介绍,请参见“安全配置指导”中的“IP Source Guard”。

·     目前仅二层以太网接口支持配置MAC地址认证功能。

·     若配置的静态MAC或者当前认证通过的MAC地址与静默MAC相同,则MAC地址认证失败后的MAC静默功能将会失效。

·     请不要在AAA服务器或设备授权用户的ACL(配置authorization-attribute acl acl-number 命令)中配置携带源MAC地址信息的规则,否则,引用该ACL的用户均不能正常上线。关于设备授权用户ACL的详细介绍,请参见“安全命令参考”中的“AAA”。

1.3  MAC地址认证配置任务简介

MAC地址认证配置任务如下:

(1)     开启MAC地址认证

(2)     配置MAC地址认证基本功能

¡     指定MAC地址认证用户使用的认证域

¡     配置MAC地址认证用户的帐号格式

¡     (可选)配置MAC地址认证定时器

(3)     (可选)配置MAC地址认证其它功能

¡     启MAC地址认证下线检测功能

¡     配置端口上最多允许同时接入的MAC地址认证用户数

¡     配置端口工作在MAC地址认证的多VLAN模式

允许用户在相同端口的不同VLAN间迁移时无须重认证。

¡     配置MAC地址认证延迟功能

¡     配置MAC地址认证的重认证

¡     配置MAC地址认证请求中携带用户IP地址

¡     配置端口MAC地址认证和802.1X认证并行处理功能

¡     配置MAC地址认证接入用户日志信息功能

1.4  MAC地址认证配置准备

·     配置MAC地址认证之前,需完成配置ISP域和认证方式,具体配置请参见“安全配置指导”中的“AAA”。

¡     若采用本地认证方式,还需创建本地用户并设置其密码,且本地用户的服务类型应设置为lan-access

¡     若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证用户帐号。

1.5  开启MAC地址认证

1. 配置限制和指导

只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。

如果设备上ACL资源全部被占用,则进行如下操作时,对应接口上的MAC地址认证功能不能生效:

·     系统视图下使能了MAC地址认证时,二层以太网接口下的MAC地址认证由未使能改为使能。

·     二层以太网接口下使能了MAC地址认证时,系统视图下的MAC地址认证由未使能改为使能。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启全局MAC地址认证。

mac-authentication

缺省情况下,全局的MAC地址认证处于关闭状态。

(3)     进入接口视图。

interface interface-type interface-number

(4)     开启端口MAC地址认证。

mac-authentication

缺省情况下,端口的MAC地址认证处于关闭状态。

1.6  指定MAC地址认证用户使用的认证域

1. 功能简介

为了便于接入设备的管理员更为灵活地部署用户的接入策略,设备支持指定MAC地址认证用户使用的认证域,可以通过以下两种配置实现:

·     在系统视图下指定一个认证域,该认证域对所有开启了MAC地址认证的端口生效。

·     在接口视图下指定该端口的认证域,不同的端口可以指定不同的认证域。

端口上接入的MAC地址认证用户将按照如下顺序选择认证域:端口上指定的认证域 > 系统视图下指定的认证域 > 系统缺省的认证域。关于认证域的相关介绍请参见“安全配置指导”中的“AAA”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     指定MAC地址认证用户使用的认证域。

¡     配置全局MAC地址认证用户使用的认证域。

mac-authentication domain domain-name

¡     配置接口上MAC地址认证用户使用的认证域。

interface interface-type interface-number

mac-authentication domain domain-name

缺省情况下,未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域。

1.7  配置MAC地址认证用户的帐号格式

(1)     进入系统视图。

system-view

(2)     配置MAC地址认证用户的帐号格式。

¡     配置MAC地址帐号。

mac-authentication user-name-format mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ]

¡     配置固定用户名帐号。

mac-authentication user-name-format fixed [ account name ] [ password { cipher | simple } string ]

缺省情况下,使用用户的MAC地址作为用户名与密码,其中字母为小写,且不带连字符“-”

1.8  配置MAC地址认证定时器

1. 功能简介

可配置的MAC地址认证定时器包括以下几种:

·     下线检测定时器(offline-detect):用来设置用户空闲超时的时间间隔。若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。配置offline-detect时,需要将MAC地址老化时间配成相同时间,否则会导致用户异常下线。

·     静默定时器(quiet):用来设置用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。

·     服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则MAC地址认证失败。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置MAC地址认证定时器。

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

缺省情况下,下线检测定时器为300秒,静默定时器为60秒,服务器超时定时器取值为100秒。

1.9  开启MAC地址认证下线检测功能

1. 功能简介

开启端口的MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。

关闭端口的MAC地址认证下线检测功能后,设备将不会对在线用户的状态进行检测。

设备缺省开启端口的MAC地址认证的下线检测,且缺省已配置下线检测定时器。通过配置指定MAC地址用户下线检测功能可以单独设置端口上某些用户的检查参数,或者设置不对某些用户进行下线检测:

·     对指定MAC地址用户设置下线检测定时器后,若设备在一个下线检测周期之内,未收到该在线用户的报文,或设备不存在该MAC地址对应的ARP Snooping表项,则切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。

·     关闭指定MAC地址用户下线检测的功能应用于哑终端的认证,避免哑终端用户因为MAC地址认证的下线检测功能开启导致哑终端下线后不能再次上线的问题,保证哑终端用户长期在线。

对指定MAC地址用户进行下线检测设置的优先级由高到低依次为:设备配置的指定MAC地址用户的下线检测设置、RADIUS服务器下发的下线检测设置、端口上的下线检测设置。其中,RADIUS服务器通过RADIUS属性为用户下发下线检测时间、是否检查ARP Snooping表项,或是否进行下线检测。

2. 配置限制和指导

如果关闭端口的MAC地址认证下线检测功能,则不会对端口上的MAC地址认证用户进行下线检测,此时配置指定MAC地址用户的下线检测功能不生效。

指定MAC地址用户的下线检测功能对在线用户立即生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     (可选)配置指定MAC地址用户的下线检测功能。

mac-authentication offline-detect mac-address mac-address { ignore | timer offline-detect-value [ check-arp-or-nd-snooping ] }

(3)     进入接口视图。

interface interface-type interface-number

(4)     开启端口的MAC地址认证下线检测功能。

mac-authentication offline-detect enable

缺省情况下,端口的MAC地址认证下线检测功能处于开启状态。

1.10  配置端口上最多允许同时接入的MAC地址认证用户数

1. 功能简介

由于系统资源有限,如果当前端口下接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使端口上已经接入的用户获得可靠的性能保障。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置端口上最多允许同时接入的MAC地址认证用户数。

mac-authentication max-user max-number

缺省情况下,端口上最多允许同时接入的MAC地址认证用户数为4294967295。

1.11  配置端口工作在MAC地址认证的多VLAN模式

1. 功能简介

MAC地址认证的端口可以工作在单VLAN模式或多VLAN模式。端口工作在单VLAN模式时,在账号已通过MAC地址认证,且没有被下发授权VLAN情况下,如果此账号在相同端口上的不同VLAN再次接入,则设备将让原账号下线,使得该账号能够在新的VLAN内重新开始认证。如果已通过MAC地址认证的账号被下发了授权VLAN,则此账号在属于不同VLAN的相同端口再次接入时不会被强制下线。端口工作在多VLAN模式时,如果相同MAC地址的账号在相同端口上的不同VLAN再次接入,设备将能够允许账号的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。

对于接入IP电话类用户的端口,指定端口工作在MAC地址认证的多VLAN模式或为IP电话类用户授权VLAN,可避免IP电话终端的报文所携带的VLAN tag发生变化后,因用户流量需要重新认证带来语音报文传输质量受干扰的问题。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置端口工作在MAC地址认证的多VLAN模式。

mac-authentication host-mode multi-vlan

缺省情况下,端口工作在MAC地址认证的单VLAN模式。

1.12  配置MAC地址认证延迟功能

1. 功能简介

端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,可以开启端口的MAC地址认证延时功能。开启该功能后,端口就不会在收到用户报文时立即触发MAC地址认证,而是会等待一定的延迟时间,若在此期间该用户一直未进行802.1X认证或未成功通过802.1X认证,则延迟时间超时后端口会对之前收到的用户报文进行MAC地址认证。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启MAC地址认证延迟功能,并指定延迟时间。

mac-authentication timer auth-delay time

缺省情况下,MAC地址认证延迟功能处于关闭状态。

1.13  配置MAC地址认证的重认证

1. 配置限制和指导

·     对MAC地址认证用户进行重认证时,设备将按照如下由高到低的顺序为其选择重认证时间间隔:服务器下发的重认证时间间隔、接口视图下配置的周期性重认证定时器的值、系统视图下配置的周期性重认证定时器的值、设备缺省的周期性重认证定时器的值。

·     修改设备上配置的认证域或MAC地址认证用户的帐号格式,都不会影响在线用户的重认证,只对配置之后新上线的用户生效。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     在系统视图或接口视图下配置周期性重认证定时器。

¡     系统视图下配置周期性重认证定时器。

mac-authentication timer reauth-period reauth-period-value

缺省情况下,周期性重认证定时器的值为3600秒。

¡     依次执行以下命令在接口视图下配置周期性重认证定时器。

interface interface-type interface-number

mac-authentication timer reauth-period reauth-period-value

quit

缺省情况下,端口上未配置MAC地址周期性重认证定时器,端口使用系统视图下的MAC地址周期性重认证定时器的取值。

(3)     进入接口视图。

interface interface-type interface-number

(4)     开启周期性重认证功能

mac-authentication re-authenticate

缺省情况下,周期性重认证功能关闭。

(5)     (可选)配置重认证服务器不可达时端口上的MAC地址认证用户保持在线状态。

mac-authentication re-authenticate server-unreachable keep-online

缺省情况下,端口上的MAC地址在线用户重认证时,若认证服务器不可达,则用户会被强制下线。

1.14  配置MAC地址认证请求中携带用户IP地址

1. 功能简介

终端用户接入网络时,如果擅自修改自己的IP地址,则整个网络环境中可能会出现IP地址冲突等问题。

为了解决以上问题,管理员可以在端口上开启MAC地址认证请求中携带用户IP地址的功能,用户在进行MAC地址认证时,设备会把用户的IP地址上传到iMC服务器。然后iMC服务器会把认证用户的IP地址和MAC地址与服务器上已经存在的IP与MAC的绑定表项进行匹配,如果匹配成功,则该用户MAC地址认证成功;否则,MAC地址认证失败。

H3C的iMC服务器上IP与MAC地址信息绑定表项的生成方式如下:

·     如果在iMC服务器上创建用户时手工指定了用户的IP地址和MAC地址信息,则服务器使用手工指定的IP和MAC信息生成该用户的IP与MAC地址的绑定表项。

·     如果在iMC服务器上创建用户时未手工指定用户的IP地址和MAC地址信息,则服务器使用用户初次进行MAC地址认证时使用的IP地址和MAC地址生成该用户的IP与MAC地址的绑定表项。

2. 配置限制和指导

MAC地址认证请求中携带用户IP地址功能仅对采用静态IP地址方式接入的认证用户才有效。在采用DHCP方式获取IP地址的情况下,因为用户MAC地址认证成功之后才可以进行IP地址获取,所以用户在进行MAC地址认证时,设备无法上传用户的IP地址。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置MAC地址认证请求中携带用户IP地址。

mac-authentication carry user-ip

缺省情况下,MAC地址认证请求中不携带用户IP地址。

1.15  配置端口MAC地址认证和802.1X认证并行处理功能

1. 功能简介

端口采用802.1X和MAC地址组合认证,且端口所连接的用户有不能主动发送EAP报文触发802.1X认证的情况下,如果端口配置了802.1X单播触发功能,则端口收到源MAC地址未知的报文,会先进行802.1X认证处理,完成后再进行MAC地址认证处理。

配置端口的MAC地址认证和802.1X认证并行处理功能后,在上述情况下,端口收到源MAC地址未知的报文,会向该MAC地址单播发送EAP-Request帧来触发802.1X认证,但不等待802.1X认证处理完成,就同时进行MAC地址认证的处理。

2. 配置限制和指导

端口采用802.1X和MAC地址组合认证功能适用于如下情况:端口上同时开启了802.1X和MAC地址认证功能,并配置了802.1X认证的端口的接入控制方式为macbased。

为保证MAC地址认证和802.1X认证并行处理功能的正常使用,不建议配置端口的MAC地址认证延迟功能,否则端口触发802.1X认证后,仍会等待一定的延迟后再进行MAC地址认证。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置端口的MAC地址认证和802.1X认证并行处理功能。

mac-authentication parallel-with-dot1x

缺省情况下,端口在收到源MAC地址未知的报文触发认证时,按照802.1X完成后再进行MAC地址认证的顺序进行处理。

1.16  配置MAC地址认证接入用户日志信息功能

1. 功能简介

MAC地址认证接入用户日志信息是为了满足网络管理员维护的需要,对MAC地址认证用户的接入信息进行记录。设备生成的MAC地址认证接入用户日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

2. 配置限制和指导

为了防止设备输出过多的MAC地址认证接入用户日志信息,一般情况下建议关闭此功能。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启MAC地址认证接入用户日志信息功能。

mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *

缺省情况下,MAC地址认证接入用户日志信息功能处于关闭状态。

配置本命令时,如果未指定任何参数,将同时开启所有参数对应的日志功能。

1.17  MAC地址认证的显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后MAC地址认证的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除相关统计信息。

表1-1 MAC地址认证的显示和维护

操作

命令

显示MAC地址认证的相关信息

display mac-authentication [ interface interface-type interface-number ]

显示MAC地址认证连接信息

(独立运行模式)

display mac-authentication connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name user-name ]

(IRF模式)

display mac-authentication connection [ open ] [ chassis chassis-number slot slot-number | interface  interface-type interface-number | user-mac mac-addr | user-name user-name ]

清除MAC地址认证的统计信息

reset mac-authentication statistics [ interface interface-type interface-number ]

 

1.18  MAC地址认证典型配置举例

1.18.1  本地MAC地址认证配置举例

1. 组网需求

图1-3所示,某子网的用户主机与设备的端口Ten-GigabitEthernet1/0/25相连接。

·     设备的管理者希望在端口Ten-GigabitEthernet1/0/25上对用户接入进行MAC地址认证,以控制它们对Internet的访问。

·     要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待180秒后才能对用户再次发起认证。

·     所有用户都属于ISP域bbb,认证时使用本地认证的方式。

·     使用用户的MAC地址作用户名和密码,其中MAC地址带连字符、字母小写。

2. 组网图

图1-3 启动MAC地址认证对接入用户进行本地认证

3. 配置步骤

 

# 添加网络接入类本地接入用户。本例中添加Host A的本地用户,用户名和密码均为Host A的MAC地址00-e0-fc-12-34-56,服务类型为lan-access

<Device> system-view

[Device] local-user 00-e0-fc-12-34-56 class network

[Device-luser-network-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56

[Device-luser-network-00-e0-fc-12-34-56] service-type lan-access

[Device-luser-network-00-e0-fc-12-34-56] quit

# 配置ISP域,使用本地认证方法。

[Device] domain bbb

[Device-isp-bbb] authentication lan-access local

[Device-isp-bbb] quit

# 开启端口Ten-GigabitEthernet1/0/25的MAC地址认证。

[Device] interface ten-gigabitethernet 1/0/25

[Device-Ten-GigabitEthernet1/0/25] mac-authentication

[Device-Ten-GigabitEthernet1/0/25] quit

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain bbb

# 配置MAC地址认证的定时器。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址认证用户的帐号格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。

[Device] mac-authentication user-name-format mac-address with-hyphen lowercase

# 开启全局MAC地址认证。

[Device] mac-authentication

4. 验证配置

# 当用户接入端口Ten-GigabitEthernet1/0/25之后,可以通过如下显示信息看到Host A成功通过认证,处于上线状态,Host B没有通过认证,它的MAC地址被加入静默MAC列表。

<Device> display mac-authentication

Global MAC authentication parameters:

   MAC authentication     : Enabled

   User name format       : MAC address in lowercase(xxxxxxxxxxxx)

           Username       : mac

           Password       : Not configured

   Offline detect period  : 180 s

   Quiet period           : 180 s

   Server timeout         : 100 s

   Reauth period          : 3600 s

   Authentication domain  : bbb

 Online MAC-auth users    : 1

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

          00e0-fc11-1111    8        XGE1/0/25               1

 Ten-GigabitEthernet1/0/25 is link-up

   MAC authentication         : Enabled

   Carry User-IP              : Disabled

   Authentication domain      : Not configured

   Auth-delay timer           : Disabled

   Periodic reauth            : Disabled

   Re-auth server-unreachable : Logoff

   Guest VLAN                 : Not configured                                 

   Guest VLAN auth-period     : 30 s                                           

   Critical VLAN              : Not configured                                 

   Critical voice VLAN        : Disabled                                       

   Host mode                  : Single VLAN

   Offline detection          : Enabled

   Authentication order       : Default

 

   Max online users           : 4294967295

   VLAN tag configuration ignoring : Disabled

   Authentication attempts    : successful 1, failed 0

   Current online users       : 1

          MAC address       Auth state

          00e0-fc12-3456    Authenticated

1.18.2  使用RADIUS服务器进行MAC地址认证配置举例

1. 组网需求

图1-4所示,用户主机Host通过端口Ten-GigabitEthernet1/0/25连接到设备上,设备通过RADIUS服务器对用户进行认证、授权和计费。

·     设备的管理者希望在端口Ten-GigabitEthernet1/0/25上对用户接入进行MAC地址认证,以控制其对Internet的访问。

·     要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待180秒后才能对用户再次发起认证。

·     所有用户都属于域2000,认证时采用固定用户名帐号,用户名为aaa,密码为123456。

2. 组网图

图1-4 启动MAC地址认证对接入用户进行RADIUS认证

3. 配置步骤

说明

 

确保RADIUS服务器与设备路由可达,并成功添加了接入用户账户:用户名为aaa,密码为123456。

 

# 配置RADIUS方案。

<Device> system-view

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.2 1813

[Device-radius-2000] key authentication simple abc

[Device-radius-2000] key accounting simple abc

[Device-radius-2000] user-name-format without-domain

[Device-radius-2000] quit

# 配置ISP域的AAA方法。

[Device] domain bbb

[Device-isp-bbb] authentication default radius-scheme 2000

[Device-isp-bbb] authorization default radius-scheme 2000

[Device-isp-bbb] accounting default radius-scheme 2000

[Device-isp-bbb] quit

# 开启端口Ten-GigabitEthernet1/0/25的MAC地址认证。

[Device] interface ten-gigabitethernet 1/0/25

[Device-Ten-GigabitEthernet1/0/25] mac-authentication

[Device-Ten-GigabitEthernet1/0/25] quit

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain bbb

# 配置MAC地址认证的定时器。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址认证使用固定用户名帐号:用户名为aaa,密码为明文123456。

[Device] mac-authentication user-name-format fixed account aaa password simple 123456

# 开启全局MAC地址认证。

[Device] mac-authentication

4. 验证配置

# 显示MAC地址认证配置信息。

<Device> display mac-authentication

Global MAC authentication parameters:

   MAC authentication     : Enabled

   Username format        : Fixed account

           Username       : aaa

           Password       : ******

   Offline detect period  : 180 s

   Quiet period           : 180 s

   Server timeout         : 100 s

   Reauth period          : 3600 s

   Authentication domain  : bbb

 Online MAC-auth users    : 1

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

 

 Ten-GigabitEthernet1/0/25  is link-up

   MAC authentication         : Enabled

   Carry User-IP              : Disabled

   Authentication domain      : Not configured

   Auth-delay timer           : Disabled

   Periodic reauth            : Disabled

   Re-auth server-unreachable : Logoff

   Guest VLAN                 : Not configured                                 

   Guest VLAN auth-period     : 30 s                                           

   Critical VLAN              : Not configured                                  

   Critical voice VLAN        : Disabled                          

   Host mode                  : Single VLAN

   Offline detection          : Enabled

   Authentication order       : Default

 

   Max online users           : 4294967295

   VLAN tag configuration ignoring : Disabled

   Authentication attempts    : successful 1, failed 0

   Current online users       : 1

          MAC address       Auth state

          00e0-fc12-3456    Authenticated

1.18.3  下发ACL典型配置举例

1. 组网需求

图1-5所示,用户主机Host通过端口Ten-GigabitEthernet1/0/25连接到设备上,设备通过RADIUS服务器对用户进行认证、授权和计费,Internet网络中有一台FTP服务器,IP地址为10.0.0.1。现有如下组网需求:

·     在端口Ten-GigabitEthernet1/0/25上对用户接入进行MAC地址认证,以控制其对Internet的访问。认证时使用用户的源MAC地址做用户名和密码,其中MAC地址带连字符、字母小写。

·     当用户认证成功上线后,允许用户访问除FTP服务器之外的Internet资源。

2. 组网图

图1-5 下发ACL典型配置组网图

3. 配置步骤

说明

 

·     确保RADIUS服务器与设备路由可达。

·     由于该例中使用了MAC地址认证的缺省用户名和密码,即使用用户的源MAC地址做用户名与密码,因此还要保证RADIUS服务器上正确添加了接入用户账户:用户名为00-e0-fc-12-34-56,密码为00-e0-fc-12-34-56。

·     指定RADIUS服务器上的授权ACL为设备上配置的ACL 3000。

 

(1)     配置授权ACL

# 配置ACL 3000,拒绝目的IP地址为10.0.0.1的报文通过。

<Device> system-view

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0

[Device-acl-ipv4-adv-3000] quit

(2)     配置使用RADIUS服务器进行MAC地址认证

# 配置RADIUS方案。

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.2 1813

[Device-radius-2000] key authentication simple abc

[Device-radius-2000] key accounting simple abc

[Device-radius-2000] user-name-format without-domain

[Device-radius-2000] quit

# 配置ISP域的AAA方法。

[Device] domain bbb

[Device-isp-bbb] authentication default radius-scheme 2000

[Device-isp-bbb] authorization default radius-scheme 2000

[Device-isp-bbb] accounting default radius-scheme 2000

[Device-isp-bbb] quit

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain bbb

# 配置MAC地址认证用户的帐号格式:使用带连字符的MAC地址做用户名与密码,其中字母小写。

[Device] mac-authentication user-name-format mac-address with-hyphen lowercase

# 开启端口Ten-GigabitEthernet1/0/25上的MAC地址认证。

[Device] interface ten-gigabitethernet 1/0/25

[Device-Ten-GigabitEthernet1/0/25] mac-authentication

[Device-Ten-GigabitEthernet1/0/25] quit

# 开启全局MAC地址认证。

[Device] mac-authentication

4. 验证配置

# 显示MAC地址认证配置信息。

<Device> display mac-authentication

Global MAC authentication parameters:

   MAC authentication     : Enable

   Username format        : MAC address in lowercase(xxxxxxxxxxxx)

           Username       : mac

           Password       : Not configured

   Offline detect period  : 300 s

   Quiet period           : 60 s

   Server timeout         : 100 s

   Reauth period          : 3600 s

   Authentication domain  : bbb

 Online MAC-auth users    : 1

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

 

 Ten-GigabitEthernet1/0/25  is link-up

   MAC authentication         : Enabled

   Carry User-IP              : Disabled

   Authentication domain      : Not configured

   Auth-delay timer           : Disabled

   Periodic reauth            : Disabled

   Re-auth server-unreachable : Logoff

   Guest VLAN                 : Not configured                                 

   Guest VLAN auth-period     : 30 s                                            

   Critical VLAN              : Not configured                                 

   Critical voice VLAN        : Disabled                          

   Host mode                  : Single VLAN

   Offline detection          : Enabled

   Authentication order       : Default

 

   Max online users           : 4294967295

   VLAN tag configuration ignoring : Disabled

   Authentication attempts    : successful 1, failed 0

   Current online users       : 1

          MAC address       Auth state

          00e0-fc12-3456    Authenticated

用户认证上线后,Ping FTP服务器,发现服务器不可达,说明认证服务器下发的ACL 3000已生效。

C:\>ping 10.0.0.1

 

Pinging 10.0.0.1 with 32 bytes of data:

 

Request timed out.

Request timed out.

Request timed out.

Request timed out.

 

Ping statistics for 10.0.0.1:

   Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们