64-MAC地址认证典型配置举例
本章节下载: 64-MAC地址认证典型配置举例 (457.47 KB)
目 录
本文档介绍了使用MAC地址认证功能实现用户安全接入的典型配置案例。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解MAC地址认证特性。
如图3-1所示,通过配置MAC地址本地认证功能,实现在无需架设服务器的情况下,完成接入用户的安全认证,控制其对Internet的访问。
图3-1 开启MAC地址认证对接入用户进行本地认证
· 在Device与用户端相连的端口GigabitEthernet1/0/1上配置MAC地址认证。
· 认证用户属于域bbb,用户名和密码都为用户端的MAC地址:08-00-27-00-98-d2。
· 为了防止非法MAC短时间内的重复认证,可配置MAC地址认证定时器。
表3-1 适用产品及版本
产品 |
软件版本 |
S5560X-EI系列 |
Release 63xx系列 |
S5560X-HI系列 |
Release 63xx系列 |
S5500V2-EI系列 |
Release 63xx系列 |
MS4520V2-30F |
Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 |
Release 63xx系列 |
S6520X-SI系列 S6520-SI系列 |
Release 63xx系列 |
S5000-EI系列 |
Release 63xx系列 |
MS4600系列 |
Release 63xx系列 |
S5560S-EI系列 S5560S-SI系列 |
Release 63xx系列 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 |
Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 |
Release 63xx系列 |
S3100V3-EI系列 S3100V3-SI系列 |
Release 63xx系列 |
S5110V2系列 |
Release 63xx系列 |
S5110V2-SI系列 |
Release 63xx系列 |
S5000V3-EI系列 |
Release 63xx系列 |
S5000E-X系列 |
Release 63xx系列 |
E128C E152C E500C系列 E500D系列 |
Release 63xx系列 |
MS4520V2系列(除MS4520V2-30F) |
Release 63xx系列 |
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列 |
Release 63xx系列 |
WS5850-WiNet系列 |
Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 |
Release 63xx系列 |
WAS6000系列 |
Release 63xx系列 |
· 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
· 创建本地用户时,需要注意用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
# 添加本地接入用户。
<Device> system-view
[Device] local-user 08-00-27-00-98-d2 class network
[Device-luser-network-08-00-27-00-98-d2] password simple 08-00-27-00-98-d2
[Device-luser-network-08-00-27-00-98-d2] service-type lan-access
[Device-luser-network-08-00-27-00-98-d2] quit
# 配置ISP域,使用本地认证方式。
[Device] domain bbb
[Device-isp-bbb] authentication lan-access local
[Device-isp-bbb] quit
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址认证的下线定时器和静默定时器。即设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址认证的用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启端口GigabitEthernet1/0/1的MAC地址认证。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 开启全局MAC地址认证特性。
[Device] mac-authentication
部分产品系列不支持VSI、微分段相关显示信息。
# 显示全局MAC地址配置信息。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
MAC range accounts : 0
MAC address Mask Username
Offline detect period : 180 s
Quiet period : 180 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for critical VSI : 1000 s
User aging period for guest VLAN : 1000 s
User aging period for guest VSI : 1000 s
User aging period for critical microsegment: 1000 s
Authentication domain : bbb
HTTP proxy port list : Not configured
HTTPS proxy port list : Not configured
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Disabled
Guest VSI : Not configured
Guest VSI reauthentication : Enabled
Guest VSI auth-period : 30 s
Critical VSI : Not configured
Critical microsegment ID : Not configured
URL user logoff : No
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
0800-2700-98d2 Authenticated
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
mac-authentication domain bbb
mac-authentication user-name-format mac-address with-hyphen lowercase
domain bbb
authentication lan-access local
#
local-user 08-00-27-00-98-d2 class network
password cipher $c$3$rTXB/eL1h+bXc/t2nyQOrhDMC0PWfyiPb93BqMCK+JFYwvn5
service-type lan-access
authorization-attribute user-role network-operator
#
interface GigabitEthernet1/0/1
mac-authentication
#
如图4-1所示,一台主机通过Device(作为VTEP设备)接入VXLAN网络,认证服务器为RADIUS服务器。现有如下组网需求:
· 一台iMC服务器(IP地址为10.1.1.1/24)作为RADIUS认证授权计费服务器。
· 设备的管理者希望在端口GigabitEthernet1/0/1上对用户接入进行MAC地址认证,以控制其对Internet的访问。
· 用户认证成功上线后,认证服务器下发VSI bbb,此时Host的流量被映射到VSI bbb对应的VXLAN 5内,Host可以访问对应的资源。
· 所有用户都属于域2000,认证时采用MAC地址用户名格式,用户名和密码为用户的MAC地址(本例为d4-85-64-be-c6-3e)。
图4-1 MAC地址认证支持授权VSI下发
· 在RADIUS服务器上添加接入设备和用户帐号,并指定授权下发VSI。
· 在Device上配置RADIUS方案,并配置授权VSI下的VXLAN。
· 在Device与用户端相连的端口上配置MAC地址认证。
表4-1 适用产品及版本
产品 |
软件版本 |
S5560X-EI系列 |
Release 63xx系列 |
S5560X-HI系列 |
Release 63xx系列 |
S5500V2-EI系列 |
Release 63xx系列 |
MS4520V2-30F |
Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 |
Release 63xx系列 |
S6520X-SI系列 S6520-SI系列 |
Release 63xx系列 |
S5000-EI系列 |
Release 63xx系列 |
MS4600系列 |
Release 63xx系列 |
S5560S-EI系列 S5560S-SI系列 |
不支持 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 |
不支持 |
S5120V2-SI系列 S5120V2-LI系列 |
不支持 |
S3100V3-EI系列 S3100V3-SI系列 |
不支持 |
S5110V2系列 |
不支持 |
S5110V2-SI系列 |
不支持 |
S5000V3-EI系列 |
不支持 |
S5000E-X系列 |
不支持 |
E128C E152C E500C系列 E500D系列 |
不支持 |
MS4520V2系列(除MS4520V2-30F) |
不支持 |
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列 |
不支持 |
WS5850-WiNet系列 |
不支持 |
WS5820-WiNet系列 WS5810-WiNet系列 |
不支持 |
WAS6000系列 |
不支持 |
· 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
· 在RADIUS服务器上添加用户帐号,用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
· 在标准的RADIUS协议中,RADIUS服务器的认证端口为UDP端口1812,我司设备作为RADIUS服务器时认证端口为UDP端口1645。
若实际组网中认证/授权服务器采用的是H3C ADCAM服务器,有关MAC地址认证支持下发VSI的相关配置需要在H3C ADCAM服务器端完成,再自动下发到设备上。因此,Device上不需要做认证相关配置。
下面以iMC为例(使用iMC版本为:iMC PLAT 7.3(E0506)、iMC EIA 7.3(E0503)、iMC EIP 7.3(E0503)),说明RADIUS服务器的基本配置。
在RADIUS服务器上添加用户账户(用户名为d4-85-64-be-c6-3e,密码为d4-85-64-be-c6-3e),指定要授权下发的VSI,并保证用户的认证/授权/计费功能正常运行。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证端口和计费端口分别为“1812”和“1813”;
· 选择接入设备类型为“H3C (General)”;
· 设置与Switch交互报文时的认证、计费共享密钥为“expert”;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
· 其它参数采用缺省值;
· 单击<确定>按钮完成操作。
添加的接入设备IP地址要与Device发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
图4-2 增加接入设备页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。在该页面中单击<增加>按钮,进入增加接入策略页面。
· 输入接入策略名称“MACauth”;
· 配置授权下发的VSI名称为“bbb”;
· 本配置页面中还有其它策略配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图4-3 增加接入策略页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。在该页面中单击<增加>按钮,进入增加服务配置页面。
· 输入服务名“MACauth Service”、服务后缀为“2000”,此服务后缀为MAC地址认证用户使用的认证域。指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名;
· 选择缺省接入策略为“MACauth”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图4-4 增加服务配置页面
选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。在该页面中单击<增加>按钮,进入增加接入用户页面。
· 选择或者手工增加用户姓名“test”;
· 输入账号名“d4-85-64-be-c6-3e”和密码“d4-85-64-be-c6-3e”;
· 选择该用户所关联的接入服务为“MACauth Service”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图4-5 增加接入用户页面
# 配置RADIUS方案。
<Device> system-view
[Device] radius scheme bbb
[Device-radius-bbb] primary authentication 10.1.1.1
[Device-radius-bbb] primary accounting 10.1.1.2
[Device-radius-bbb] key authentication simple bbb
[Device-radius-bbb] key accounting simple bbb
[Device-radius-bbb] user-name-format without-domain
[Device-radius-bbb] quit
# 配置ISP域的2000方法。
[Device] domain 2000
[Device-isp-2000] authentication lan-access radius-scheme bbb
[Device-isp-2000] authorization lan-access radius-scheme bbb
[Device-isp-2000] accounting lan-access radius-scheme bbb
[Device-isp-2000] quit
# 开启端口GigabitEthernet1/0/1的MAC地址认证。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
# 在端口GigabitEthernet1/0/1开启动态创建的以太网服务实例匹配MAC地址功能。
[Device-GigabitEthernet1/0/1] mac-based ac
[Device-GigabitEthernet1/0/1] quit
# 开启L2VPN功能。
[Device] l2vpn enable
# 配置授权VSI下的VXLAN。
[Device] vsi bbb
[Device-vsi-bbb] vxlan 5
[Device-vsi-bbb-vxlan-5] quit
[Device-vsi-bbb] quit
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain 2000
# 配置MAC地址认证使用MAC地址用户名格式,且携带连字符,字母小写。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启全局MAC地址认证。
[Device] mac-authentication
在用户认证成功之后,通过命令display mac-authtication connection可以看到服务器已下发授权VSI bbb。
[Device] display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: d485-64be-c63e
Access interface: GigabitEthernet1/0/1
Username: d4-85-64-be-c6-3e
User access state: Successful
Authentication domain: 2000
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
Initial VLAN: 1
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: bbb
Authorization microsegment ID: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization CAR:
Average input rate: 102400 bps
Peak input rate: 204800 bps
Average output rate: 102400 bps
Peak output rate: 204800 bps
Authorization URL: N/A
Termination action: N/A
Session timeout period: N/A
Offline detection: 100 sec (server-assigned)
Online from: 2016/06/13 09:06:37
Online duration: 0h 0m 35s
通过命令display l2vpn forwording ac verbose可以看到成功创建动态AC。
[Device] display l2vpn forwarding ac verbose
VSI Name: bbb
Interface: GE1/0/1 Service Instance: 1
Link ID : 0
Access Mode : VLAN
Encapsulation: untagged
Type : Dynamic (MAC-based)
MAC address : d485-64be-c63e
#
radius scheme bbb
primary authentication 10.1.1.1
primary accounting 10.1.1.2
key authentication cipher $c$3$+zuETC3Y0LHiW3bxzBb+UNEuWlxHkQ==
key accounting cipher $c$3$2b8hx6mbWlnMMQY82TeUzgh0VnWXbg==
user-name-format without-domain
#
domain 2000
authentication lan-access radius-scheme bbb
accounting lan-access radius-scheme bbb
#
interface GigabitEthernet1/0/1
mac-authentication
mac-based ac
#
vsi bbb
vxlan 5
#
l2vpn enable
#
mac-authentication domain 2000
#
mac-authentication user-name-format mac-address with-hyphen lowercase
#
mac-authentication
#
如图5-1所示,用户主机Host通过端口GigabitEthernet1/0/1连接到设备上,设备通过RADIUS服务器对用户进行认证、授权和计费,Internet网络中有一台FTP服务器,IP地址为10.0.0.1。现有如下组网需求:
· 一台iMC服务器(IP地址为10.1.1.1/24)作为RADIUS认证授权计费服务器。
· 在端口GigabitEthernet1/0/1上对用户接入进行MAC地址认证,以控制其对Internet的访问。认证时使用用户的源MAC地址做用户名和密码,其中MAC地址带连字符、字母小写。
· 用户认证成功后可以访问Internet,但不能访问FTP服务器。
图5-1 MAC地址认证支持下发ACL
· 在RADIUS服务器上添加接入设备和用户帐号,并指定授权下发ACL 3000。
· 在Device上配置RADIUS方案,并配置ACL规则。
· 在Device与用户端相连的端口上配置MAC地址认证。
表5-1 适用产品及版本
产品 |
软件版本 |
S5560X-EI系列 |
Release 63xx系列 |
S5560X-HI系列 |
Release 63xx系列 |
S5500V2-EI系列 |
Release 63xx系列 |
MS4520V2-30F |
Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 |
Release 63xx系列 |
S6520X-SI系列 S6520-SI系列 |
Release 63xx系列 |
S5000-EI系列 |
Release 63xx系列 |
MS4600系列 |
Release 63xx系列 |
S5560S-EI系列 S5560S-SI系列 |
Release 63xx系列 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 |
Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 |
Release 63xx系列 |
S3100V3-EI系列 S3100V3-SI系列 |
Release 63xx系列 |
S5110V2系列 |
Release 63xx系列 |
S5110V2-SI系列 |
Release 63xx系列 |
S5000V3-EI系列 |
Release 63xx系列 |
S5000E-X系列 |
Release 63xx系列 |
E128C E152C E500C系列 E500D系列 |
Release 63xx系列 |
MS4520V2系列(除MS4520V2-30F) |
Release 63xx系列 |
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列 |
Release 63xx系列 |
WS5850-WiNet系列 |
Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 |
Release 63xx系列 |
WAS6000系列 |
Release 63xx系列 |
· 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
· 在RADIUS服务器上添加用户帐号,用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
· 在标准的RADIUS协议中,RADIUS服务器的认证端口为UDP端口1812,我司设备作为RADIUS服务器时认证端口为UDP端口1645。
下面以iMC为例(使用iMC版本为:iMC PLAT 7.3(E0506)、iMC EIA 7.3(E0503)、iMC EIP 7.3(E0503)),说明RADIUS服务器的基本配置。
在RADIUS服务器上添加用户账户(用户名为d4-85-64-be-c6-3e,密码为d4-85-64-be-c6-3e),指定要授权下发的VSI和ACL编号,并保证用户的认证/授权/计费功能正常运行。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证端口和计费端口分别为“1812”和“1813”;
· 选择接入设备类型为“H3C (General)”;
· 设置与Switch交互报文时的认证、计费共享密钥为“expert”;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
· 其它参数采用缺省值;
· 单击<确定>按钮完成操作。
添加的接入设备IP地址要与Device发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
图5-2 增加接入设备页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。在该页面中单击<增加>按钮,进入增加接入策略页面。
· 输入接入策略名称“MACauth”;
· 配置下发ACL,并手工输入ACL编号“3000”;
· 本配置页面中还有其它策略配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图5-3 增加接入策略页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。在该页面中单击<增加>按钮,进入增加服务配置页面。
· 输入服务名“MACauth Service”、服务后缀为“2000”,此服务后缀为MAC地址认证用户使用的认证域。指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名;
· 选择缺省接入策略为“MACauth”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图5-4 增加服务配置页面
选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。在该页面中单击<增加>按钮,进入增加接入用户页面。
· 选择或者手工增加用户姓名“test”;
· 输入账号名“d4-85-64-be-c6-3e”和密码“d4-85-64-be-c6-3e”;
· 选择该用户所关联的接入服务为“MACauth Service”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图5-5 增加接入用户页面
(1) 配置授权ACL
# 配置ACL 3000,拒绝目的IP地址为10.0.0.1的报文通过。
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[Device-acl-ipv4-adv-3000] quit
(2) 配置使用RADIUS服务器进行MAC地址认证
# 配置RADIUS方案。
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置ISP域的AAA方法。
[Device] domain bbb
[Device-isp-bbb] authentication default radius-scheme 2000
[Device-isp-bbb] authorization default radius-scheme 2000
[Device-isp-bbb] accounting default radius-scheme 2000
[Device-isp-bbb] quit
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址认证用户的账号格式:使用带连字符的MAC地址做用户名与密码,其中字母小写。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启端口GigabitEthernet1/0/1上的MAC地址认证。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 开启全局MAC地址认证。
[Device] mac-authentication
部分设备不支持vsi、微分段相关显示信息。
# 显示MAC地址认证配置信息。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enable
Authentication method : PAP
DR member configuration conflict : Unknown
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
MAC range accounts : 0
MAC address Mask Username
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for critical VSI : 1000 s
User aging period for guest VLAN : 1000 s
User aging period for guest VSI : 1000 s
User aging period for critical microsegment: 1000 s
Temporary user aging period : 60 s
Authentication domain : bbb
HTTP proxy port list : Not configured
HTTPS proxy port list : Not configured
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Enabled
Guest VSI : Not configured
Guest VSI reauthentication : Enabled
Guest VSI auth-period : 30 s
Critical VSI : Not configured
Critical microsegment ID : Not configured
URL user logoff : No
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
0800-2712-3456 Authenticated
用户认证上线后,Ping FTP服务器,发现服务器不可达,说明认证服务器下发的ACL 3000已生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
#
acl advanced 3000
rule 0 deny ip destination 10.0.0.1 0
#
radius scheme 2000
primary authentication 10.1.1.1
primary accounting 10.1.1.2
key authentication cipher $c$3$PJM7Px3rbC96Kvh8RyFWHMLatExagQ==
key accounting cipher $c$3$rr7AO7ZuSNZ+b+deWrfb/Qg1JPc97g==
user-name-format without-domain
#
domain bbb
authentication default radius-scheme 2000
authorization default radius-scheme 2000
accounting default radius-scheme 2000
#
mac-authentication domain bbb
#
mac-authentication user-name-format mac-address with-hyphen lowercase
#
interface GigabitEthernet1/0/1
mac-authentication
#
mac-authentication
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!