03-MAC地址认证命令
本章节下载: 03-MAC地址认证命令 (323.77 KB)
目 录
1.1.1 display mac-authentication
1.1.2 display mac-authentication connection
1.1.3 display mac-authentication mac-address
1.1.5 mac-authentication access-user log enable
1.1.6 mac-authentication auto-tag
1.1.7 mac-authentication carry user-ip
1.1.8 mac-authentication critical vlan
1.1.9 mac-authentication critical-voice-vlan
1.1.10 mac-authentication domain
1.1.11 mac-authentication guest-vlan
1.1.12 mac-authentication guest-vlan auth-period
1.1.13 mac-authentication guest-vlan re-authenticate
1.1.14 mac-authentication host-mode multi-vlan
1.1.15 mac-authentication max-user
1.1.16 mac-authentication offline-detect enable
1.1.17 mac-authentication parallel-with-dot1x
1.1.18 mac-authentication re-authenticate
1.1.19 mac-authentication re-authenticate server-unreachable keep-online
1.1.20 mac-authentication timer (interface view)
1.1.21 mac-authentication timer (system view)
1.1.22 mac-authentication unauthenticated-user aging enable
1.1.23 mac-authentication user-name-format
1.1.24 reset mac-authentication access-user
1.1.25 reset mac-authentication critical vlan
1.1.26 reset mac-authentication critical-voice-vlan
1.1.27 reset mac-authentication guest-vlan
1.1.28 reset mac-authentication statistics
display mac-authentication命令用来显示MAC地址认证的相关信息。
【命令】
display mac-authentication [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示全局及指定端口的MAC地址认证相关信息。interface-type interface-number为端口类型和端口编号。若指定的端口上未使能MAC地址认证,则不显示该端口任何信息。
【使用指导】
如果不指定任何参数,则显示所有在线MAC地址认证的详细信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。
【举例】
# 显示MAC地址认证信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
Username format : MAC address in lowercase(xxxxxxxxxxxx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : Not configured, use default domain
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
0001-0000-0001 100 GE1/0/2 21
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Enabled
Auth-delay period : 60 s
Periodic reauth : Enabled
Reauth period : 120 s
Re-auth server-unreachable : Logoff
Guest VLAN : 100
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 150 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Multiple VLAN
Offline detection : Enabled
Authentication order : Parallel
User aging : Enabled
Server-recovery online-user-sync : Disabled
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 2, failed 3
Current online users : 1
MAC address Auth state
0001-0000-0001 Unauthenticated
表1-1 display mac-authentication命令显示信息描述表
字段 |
描述 |
Global MAC authentication parameters |
全局MAC地址认证参数 |
MAC authentication |
MAC地址认证的开启状态 |
Authentication method |
MAC地址认证采用的认证方法,目前仅支持PAP认证方法 |
Username format |
MAC地址认证使用的账号格式 · 若采用MAC地址账号,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xxxxxxxxxxxx)”,它表示用户名格式为不带连字符的MAC地址,其中字母为小写 · 若采用固定用户名账号,则显示“Fixed account” |
Username |
用户名 · 采用MAC地址账号时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码 · 采用固定用户名账号时,该值为配置的用户名(缺省为mac) |
Password |
用户名的密码 · 采用MAC地址账号时,该值显示为“Not configured” · 采用固定用户名账号时,配置的值将显示为****** |
Offline detect period |
下线检测定时器的值 |
Quiet period |
静默定时器的值 |
Server timeout |
服务器连接超时定时器的值 |
Reauth period |
重认证定时器的值 |
User aging period for critical VLAN |
Critical VLAN中用户的老化时间 |
User aging period for guest VLAN |
Guest VLAN中用户的老化时间 |
Authentication domain |
系统视图下指定的MAC地址认证用户使用的认证域,如果没有指定认证域,则显示Not configured, use default domain |
Online MAC-auth wired users |
在线有线用户和正在发起MAC地址认证的有线用户的总数 |
Silent MAC users |
静默用户信息 |
MAC address |
静默用户的MAC地址 |
VLAN ID |
静默用户所在的VLAN |
From port |
静默用户接入的端口名称 |
Port index |
静默用户接入的端口索引号 |
GigabitEthernet1/0/1 is link-up |
端口GigabitEthernet1/0/1的链路状态 |
MAC authentication |
当前端口的MAC地址认证开启状态 |
Carry User-IP |
(暂不支持)MAC地址认证请求携带用户IP地址关闭状态 |
Authentication domain |
端口上指定的MAC地址认证用户使用的认证域 |
Auth-delay timer |
MAC地址认证延迟功能的开启状态 |
Auth-delay period |
配置的认证延迟时间 |
Periodic reauth |
端口上MAC地址重认证开启状态 |
Reauth period |
端口上配置的MAC地址重认证时间间隔 |
Re-auth server-unreachable |
重认证时服务器不可达对MAC地址认证的在线用户采取的动作 · Logoff:重认证服务器不可达,强制MAC地址认证在线用户下线 · Online:重认证服务器不可达,保持MAC地址认证在线用户在线 |
Guest VLAN |
端口配置的Guest VLAN,如果没有配置,则显示Not configured |
Guest VLAN reauthentication |
Guest VLAN中用户重新认证功能的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
Guest VLAN auth-period |
进入Guest VLAN后发起重认证的时间间隔 |
Critical VLAN |
端口配置的Critical VLAN,如果没有配置,则显示Not configured |
Critical voice VLAN |
端口配置MAC地址认证的Critical Voice VLAN功能的开启状态 · Enabled:打开 · Disabled:关闭 |
Host mode |
相同MAC地址用户的工作模式 · 如果配置的是多VLAN模式,则显示Multiple VLAN · 如果配置的是单VLAN模式,则显示Single VLAN |
Offline detection |
MAC地址认证用户下线检测的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
Authentication order |
MAC地址认证和802.1X认证并行处理 · Default:处于关闭状态 · Parallel:处于开启状态 |
User aging |
非认证成功VLAN中MAC地址认证用户老化功能的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
Server-recovery online-user-sync |
(暂不支持)RADIUS服务器从不可达状态恢复为可达时,设备同步MAC地址认证的在线用户信息到RADIUS服务器功能的开启状态: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
Auto-tag feature |
端口上MAC地址认证授权VLAN自动Tag功能 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
VLAN tag configuration ignoring |
端口上MAC地址认证授权VLAN自动Tag忽略静态VLAN配置功能 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
Max online users |
本端口最多可容纳的接入用户数 |
Authentication attempts: successful 1, failed 0 |
端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数 |
MAC address |
接入用户的MAC地址 |
Auth state |
接入用户的状态 · Authenticated:认证成功 · Unauthenticated:认证失败 |
display mac-authentication connection命令用来显示MAC地址认证在线用户的详细信息。
【命令】
display mac-authentication connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
open:只显示在开放认证模式下使用不存在的用户名或者错误的密码接入的MAC地址认证的用户信息。若不指定本参数,则显示设备上所有MAC地址认证在线用户的信息。
interface interface-type interface-number:显示指定端口的MAC地址认证用户信息。其中interface-type interface-number表示绑定的端口类型和端口编号。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
slot slot-number:显示指定成员设备上的MAC地址认证用户信息。slot-number表示设备在IRF中的成员编号。若不指定本参数,则显示所有成员设备上的MAC地址认证用户信息。
user-mac mac-addr:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
【举例】
# 显示所有MAC地址认证在线用户信息。
<Sysname> display mac-authentication connection
Total connections: 1
Slot ID: 0
User MAC address: 0015-e9a6-7cfe
Access interface: GigabitEthernet1/0/1
Username: ias
User access state: Successful
Authentication domain: macusers
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization ACL ID: 3001
Authorization user profile: N/A
Authorization CAR:N/A
Termination action: Radius-request
Session timeout period: 2 s
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
表1-2 display mac-authentication connection 命令显示信息描述表
字段 |
描述 |
Total connections |
在线MAC地址认证用户个数 |
User MAC address |
用户的MAC地址 |
Access interface |
用户的接入接口名称 |
Username |
用户名 |
User access state |
用户的接入状态 · Successful:MAC地址认证成功并接入 · Open:使用不存在的用户名或者错误的密码进行开放认证并接入 |
Authentication domain |
认证时所用的ISP域的名称 |
IPv4 address |
用户IPv4地址 若未获取到用户的IP地址,则不显示该字段 |
IPv6 address |
用户IPv6地址 若未获取到用户的IP地址,则不显示该字段 |
Initial VLAN |
初始的VLAN |
Authorization untagged VLAN |
授权的untagged VLAN |
Authorization tagged VLAN |
授权的tagged VLAN |
Authorization VSI |
(暂不支持)授权的VSI |
Authorization ACL ID |
授权ACL编号 |
Authorization user profile |
授权用户的User profile名称 |
Authorization CAR |
(暂不支持)当服务器未授权用户CAR属性时,该字段显示为N/A。 |
Authorization URL |
授权的重定向URL |
Terminate action |
服务器下发的终止动作类型: · Default:会话超时时间到达后,强制用户下线 · Radius-Request:会话超时时间到达后,请求MAC地址认证用户进行重认证 用户采用本地认证时,该字段显示为Default |
Session timeout period |
服务器下发的会话超时时间,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Terminate action字段的取值决定 |
Online from |
MAC认证用户的上线时间 |
Online duration |
MAC认证用户的在线时长 |
display mac-authentication mac-address命令用来显示指定类型的VLAN中的MAC地址认证用户的MAC地址信息。
【命令】
display mac-authentication mac-address { critical-vlan | guest-vlan } [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
critical-vlan:显示MAC地址认证Critical VLAN中的用户MAC地址信息。
guest-vlan:显示MAC地址认证Guest VLAN中的用户MAC地址信息。
interface interface-type interface-number:显示VLAN中指定端口的MAC地址认证用户的MAC地址信息。其中interface-type interface-number表示端口类型和端口编号。若不指定本参数,则显示指定类型的VLAN中所有端口的MAC地址认证用户的MAC地址信息。
【使用指导】
查询到的MAC地址数量以及MAC地址明细为粗略统计,当有大量用户频繁进行认证时可能不能完全精准显示。
【举例】
# 显示所有MAC地址认证Guest VLAN中的用户的MAC地址信息。
<Sysname> display mac-authentication mac-address guest-vlan
Total MAC addresses: 10
Interface: GigabitEthernet1/0/1 Guest VLAN: 3 Aging time: N/A
MAC addresses: 8
0800-2700-9427 0800-2700-2341 0800-2700-2324 0800-2700-2351
0800-2700-5627 0800-2700-2251 0800-2700-8624 0800-2700-3f51
Interface: GigabitEthernet1/0/2 Guest VLAN: 5 Aging time: 30 sec
MAC addresses: 2
0801-2700-9427 0801-2700-2341
表1-3 display mac-authentication mac-address命令显示信息描述表
字段 |
描述 |
Total MAC addresses |
指定类型的VLAN中的所有MAC地址总数 |
Interface |
用户的接口名称 |
Type VLAN |
显示MAC地址认证用户所在的VLAN信息,Type包含如下取值: · Critical VLAN · Guest VLAN |
Aging time |
MAC地址老化时间(老化定时器探测周期 * 探测次数),单位秒。N/A表示该地址不老化 |
MAC addresses |
MAC地址数 |
xxxx-xxxx-xxxx |
MAC地址 |
mac-authentication命令用来开启端口上或全局的MAC地址认证。
undo mac-authentication命令用来关闭端口上或全局的MAC地址认证。
【命令】
mac-authentication
undo mac-authentication
【缺省情况】
所有端口及全局的MAC地址认证都处于关闭状态。
【视图】
系统视图
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
【举例】
# 开启全局的MAC地址认证。
<Sysname> system-view
[Sysname] mac-authentication
# 开启端口GigabitEthernet1/0/1上的MAC地址认证。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication
【相关命令】
· display mac-authentication
mac-authentication access-user log enable命令用来开启MAC地址认证接入用户日志信息功能。
undo mac-authentication access-user log enable命令用来关闭MAC地址认证接入用户日志信息功能。
【命令】
mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
undo mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
【缺省情况】
MAC地址认证接入用户日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
failed-login:MAC地址认证用户上线失败的日志信息。
logoff:MAC地址认证用户下线的日志信息。
successful-login:MAC地址认证用户上线成功的日志信息。
【使用指导】
为了防止设备输出过多的MAC地址认证接入用户日志信息,一般情况下建议关闭此功能。
配置本命令时,如果未指定任何参数,将同时开启或关闭本命令所有参数对应的日志功能。
【举例】
# 开启MAC地址认证接入用户上线失败的日志信息。
<Sysname> system-view
[Sysname] mac-authentication access-user log enable failed-login
【相关命令】
· info-center source maca logfile deny(网络管理和监控/信息中心)
mac-authentication auto-tag命令用来开启端口上MAC地址认证授权VLAN自动Tag功能。
undo mac-authentication auto-tag命令用来关闭端口上MAC地址认证授权VLAN自动Tag功能。
【命令】
mac-authentication auto-tag [ ignore-config ]
undo mac-authentication auto-tag
【缺省情况】
MAC地址认证授权VLAN自动Tag功能处于关闭状态,即端口加入授权VLAN的Tag方式由AAA服务器决定。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
ignore-config:通过MAC地址认证授权VLAN自动Tag功能决定端口是否带Tag加入授权VLAN,忽略端口上VLAN Tag的静态配置。
【使用指导】
本命令仅对开启了MAC VLAN功能,且接入类型为Hybrid的端口生效。
本命令配置的优先级高于AAA服务器配置的授权VLAN是否携带Tag,但对端口的缺省VLAN不生效,即当服务器授权下发的是缺省VLAN时,本命令不修改端口加入到缺省VLAN的Tag方式。
如果不指定ignore-config参数,端口上的port hybrid vlan vlan-list { tagged | untagged }配置优先级高于MAC地址认证授权VLAN自动Tag功能,也就是MAC地址认证授权VLAN如果为port hybrid vlan命令指定的以Tag/Untag方式通过当前Hybrid端口的VLAN,则以端口配置为准。
开启了MAC地址认证授权VLAN自动Tag功能的端口上有用户上线后,不允许在系统视图下使用undo vlan命令删除该用户已下发的授权VLAN。
当端口上有MAC地址用户在线时,不允许配置或取消配置本命令。
【举例】
# 在端口GigabitEthernet1/0/1上开启MAC地址认证授权VLAN自动Tag功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication auto-tag ignore-config
【相关命令】
· mac-authentication
· display mac-authentication connection
· display mac-authentication
mac-authentication carry user-ip命令用来配置MAC地址认证请求中携带用户IP地址。
undo mac-authentication carry user-ip命令用来恢复缺省情况。
【命令】
mac-authentication carry user-ip
undo mac-authentication carry user-ip
【缺省情况】
MAC地址认证请求中不携带用户IP地址。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
在终端用户采用静态IP地址方式接入的组网环境中,如果终端用户擅自修改自己的IP地址,则整个网络环境中可能会出现IP地址冲突等问题。
为了解决以上问题,管理员可以在端口上开启MAC地址认证请求中携带用户IP地址的功能,用户在进行MAC地址认证时,设备会把用户的IP地址上传到iMC服务器。然后iMC服务器会把认证用户的IP地址和MAC地址与服务器上已经存在的IP与MAC的绑定表项进行匹配,如果匹配成功,则该用户MAC地址认证成功;否则,MAC地址认证失败。
H3C的iMC服务器上IP与MAC地址信息绑定表项的生成方式如下:
· 如果在iMC服务器上创建用户时手工指定了用户的IP地址和MAC地址信息,则服务器使用手工指定的IP和MAC信息生成该用户的IP与MAC地址的绑定表项。
· 如果在iMC服务器上创建用户时未手工指定用户的IP地址和MAC地址信息,则服务器使用用户初次进行MAC地址认证时使用的IP地址和MAC地址生成该用户的IP与MAC地址的绑定表项。
此功能仅对采用静态IP地址方式接入的认证用户才有效。在采用DHCP方式获取IP地址的情况下,因为用户MAC地址认证成功之后才可以进行IP地址获取,所以用户在进行MAC地址认证时,设备无法上传用户的IP地址。
在开启了MAC地址认证的端口上,不建议同时配置mac-authentication carry user-ip和mac-authentication guest-vlan命令,因为当同时配置了以上两条命令之后,加入Guest VLAN的用户无法再次发起MAC地址认证,用户会一直停留在Guest VLAN中。
【举例】
# 在端口GigabitEthernet1/0/1上配置MAC地址认证请求携带用户IP地址功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication carry user-ip
【相关命令】
· mac-authentication
mac-authentication critical vlan命令用来配置端口的MAC地址认证的Critical VLAN。
undo mac-authentication critical vlan命令用来恢复缺省情况。
【命令】
mac-authentication critical vlan critical-vlan-id
undo mac-authentication critical vlan
【缺省情况】
端口上未配置MAC地址认证的Critical VLAN。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
critical-vlan-id:端口上指定的Critical VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【使用指导】
配置此功能后,当MAC用户认证时对应的ISP域下所有认证服务器都不可达的情况下被授权访问Critical VLAN内的资源。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Critical VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Critical VLAN,则该VLAN不能被指定为Super VLAN。
禁止删除已被配置为Critical VLAN的VLAN,若要删除该VLAN,请先通过undo mac-authentication critical vlan命令取消MAC地址认证的Critical VLAN配置。
【举例】
# 配置端口GigabitEthernet1/0/1的Critical VLAN为VLAN 100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication critical vlan 100
【相关命令】
· display mac-authentication
· reset mac-authentication critical vlan
mac-authentication critical-voice-vlan命令用来开启端口上MAC地址认证的Critical Voice VLAN功能。
undo mac-authentication critical-voice-vlan命令用来关闭端口上MAC地址认证的Critical Voice VLAN功能。
【命令】
mac-authentication critical-voice-vlan
undo mac-authentication critical-voice-vlan
【缺省情况】
端口下MAC地址认证的Critical Voice VLAN功能处于关闭状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
端口上开启MAC地址认证Critical Voice VLAN功能后,当语音用户进行MAC地址认证采用的ISP域中的所有认证服务器都不可达时,端口将被加入到此端口上的Voice VLAN中。端口上语音VLAN的配置命令请参见“二层技术-以太网交换命令参考”中的“VLAN”。
设备通过LLDP(Link Layer Discovery Protocol,链路层发现协议)来判断用户是否为语音用户,因此为保证MAC地址认证Critical Voice VLAN功能可以正常工作,请在开启此功能之前务必确保全局和相应端口下均已开启LLDP功能。有关LLDP功能的配置命令介绍请参见“二层技术-以太网交换命令参考”中的“LLDP”。
开启MAC地址认证Critical Voice VLAN功能前,请保证该端口上已经配置了MAC地址认证Critical VLAN。若端口上的语音用户在认证时所有认证服务器都不可达,且端口暂未将其识别为语音用户,则可以将其先加入Critical VLAN。
【举例】
# 开启端口GigabitEthernet1/0/1上MAC地址认证Critical Voice VLAN功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication critical-voice-vlan
【相关命令】
· display mac-authentication
· lldp enable(二层技术-以太网交换命令参考/LLDP)
· lldp global enable(二层技术-以太网交换命令参考/LLDP)
· reset mac-authentication critical-voice-vlan
· voice-vlan enable(二层技术-以太网交换命令参考/VLAN)
mac-authentication domain命令用来指定MAC地址认证用户使用的认证域。
undo mac-authentication domain命令用来恢复缺省情况。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情况】
未指定MAC地址认证用户使用的认证域时,使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domain default enable。
【视图】
系统视图
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
不同视图下指定的认证域的生效范围不同:
· 系统视图下指定的认证域对所有开启了MAC地址认证的端口生效。
· 二层以太网接口视图下指定的认证域仅对本端口有效。不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域 > 系统视图下指定的认证域 > 系统缺省的认证域。
【举例】
# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。
<Sysname> system-view
[Sysname] mac-authentication domain domain1
# 指定端口GigabitEthernet1/0/1上接入的MAC地址认证用户使用的认证域为aabbcc。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication domain aabbcc
【相关命令】
· display mac-authentication
· domain default enable(安全命令参考/AAA)
mac-authentication guest-vlan命令用来配置端口的MAC地址认证的Guest VLAN。
undo mac-authentication guest-vlan命令用来恢复缺省情况。
【命令】
mac-authentication guest-vlan guest-vlan-id
undo mac-authentication guest-vlan
【缺省情况】
端口上未配置MAC地址认证的Guest VLAN。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【使用指导】
配置此功能后,当MAC地址认证失败的情况下,用户可以继续被授权访问的Guest VLAN内的资源。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Guest VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Guest VLAN,则该VLAN不能被指定为Super VLAN。
禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先通过undo mac-authentication guest-vlan命令取消MAC地址认证的Guest VLAN配置。
【举例】
# 配置端口GigabitEthernet1/0/1的Guest VLAN为VLAN 100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication guest-vlan 100
【相关命令】
· display mac-authentication
· reset mac-authentication guest-vlan
mac-authentication guest-vlan auth-period命令用来配置设备对Guest VLAN中的用户进行重新认证的时间间隔。
undo mac-authentication guest-vlan auth-period命令用来恢复缺省情况。
【命令】
mac-authentication guest-vlan auth-period period-value
undo mac-authentication guest-vlan auth-period
【缺省情况】
设备对Guest VLAN中的用户进行重新认证的时间间隔为30秒。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
period-value:表示设备重新发起认证的时间间隔,取值范围为1~3600,单位为秒。
【使用指导】
只有通过mac-authentication guest-vlan re-authenticate命令开启了Guest VLAN中用户的重新认证功能,通过本命令设置的重新认证时间间隔才生效。
【举例】
# 在端口GigabitEthernet1/0/1上配置设备对Guest VLAN中的用户进行重新认证的时间间隔为150秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication guest-vlan auth-period 150
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan
· mac-authentication guest-vlan re-authenticate
mac-authentication guest-vlan re-authenticate命令用来开启Guest VLAN中用户的重新认证功能。
undo mac-authentication guest-vlan re-authenticate命令用来关闭Guest VLAN中用户的重新认证功能。
【命令】
mac-authentication guest-vlan re-authenticate
undo mac-authentication guest-vlan re-authenticate
【缺省情况】
Guest VLAN中用户的重新认证功能处于开启状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
用户认证失败后会加入到Guest VLAN。当开启Guest VLAN中用户的重新认证功能后,设备会按照mac-authentication guest-vlan auth-period命令配置的时间间隔对Guest VLAN中的用户定期进行重新认证。若Guest VLAN中的用户重新认证失败,设备会打印日志信息。认证失败用户较多时,会导致日志信息过多。
关闭Guest VLAN中用户的重新认证功能后,加入到Guest VLAN中的用户不会重新发起认证,只能按照mac-authentication timer user-aging guest-vlan aging-time-value命令配置的老化时间进行老化并退出Guest VLAN,并在需要访问网络时重新发起认证。
可通过执行undo mac-authentication guest-vlan re-authenticate命令关闭Guest VLAN中用户的重新认证功能,并根据业务需求调整Guest VLAN用户的老化时间来控制日志的打印频率。
当端口上同时进行认证的用户数大于300时,建议将重认证时间设置为30秒以上。
【举例】
# 开启接口GigabitEthernet1/0/1上Guest VLAN内用户的重新认证功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname- GigabitEthernet1/0/1] mac-authentication guest-vlan re-authenticate
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan
· mac-authentication guest-vlan auth-period
· mac-authentication timer
mac-authentication host-mode multi-vlan命令用来指定端口工作在MAC地址认证的多VLAN 模式。
undo mac-authentication host-mode命令用来恢复缺省情况。
【命令】
mac-authentication host-mode multi-vlan
undo mac-authentication host-mode
【缺省情况】
端口工作在MAC地址认证的单VLAN 模式。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
端口工作在多VLAN模式下时,如果相同MAC地址的用户在同一端口下的不同VLAN再次接入,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。
端口工作在单VLAN模式下时,在用户已上线,且没有被下发授权VLAN情况下,如果此用户在同一端口下的不同VLAN再次接入,则设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。
端口工作在单VLAN模式下时,如果已上线用户被下发了授权VLAN,则此用户在同一端口下的不同VLAN再次接入时,对用户的处理与是否允许用户迁移到同一端口下其它VLAN接入(通过port-security mac-move permit命令)有关:
· 如果不允许用户迁移到同一端口下其它VLAN接入,则此用户在同一端口下的不同VLAN接入失败,原用户保持在线。
· 如果允许用户迁移到同一端口下其它VLAN接入,则用户在新的VLAN内需要重新认证,且在用户重新上线后,原用户下线。
对于接入IP电话类用户的端口,指定端口工作在MAC地址认证的多VLAN模式,可避免IP电话终端的报文所携带的VLAN tag发生变化后,因用户流量需要重新认证而导致语音报文传输质量受干扰的问题。
【举例】
# 配置端口GigabitEthernet1/0/1工作在MAC地址认证的多VLAN模式。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication host-mode multi-vlan
【相关命令】
· display mac-authentication
· port-security mac-move permit(安全命令参考/端口安全)
mac-authentication max-user命令用来配置端口上最多允许同时接入的MAC地址认证用户数。undo mac-authentication max-user命令用来恢复缺省情况。
【命令】
mac-authentication max-user max-number
undo mac-authentication max-user
【缺省情况】
端口上最多允许同时接入的MAC地址认证用户数为4294967295。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
max-number:端口允许同时接入的MAC地址认证用户数的最大值,取值范围为1~4294967295。
【使用指导】
由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
【举例】
# 配置端口GigabitEthernet1/0/1最多允许同时接入32个MAC地址认证用户。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication max-user 32
【相关命令】
· display mac-authentication
mac-authentication offline-detect enable命令用来开启端口的MAC地址认证下线检测功能。
undo mac-authentication offline-detect enable命令用来关闭端口的MAC地址认证下线检测功能。
【命令】
mac-authentication offline-detect enable
undo mac-authentication offline-detect enable
【缺省情况】
端口的MAC地址认证下线检测功能处于开启状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
开启端口的MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。
关闭端口的MAC地址认证下线检测功能后,设备将不会对在线用户的状态进行检测。
【举例】
# 关闭端口GigabitEthernet1/0/1上的MAC地址认证下线检测功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] undo mac-authentication offline-detect enable
【相关命令】
· mac-authentication timer
mac-authentication parallel-with-dot1x命令用来配置端口MAC地址认证和802.1X认证并行处理功能。
undo mac-authentication parallel-with-dot1x命令用来恢复缺省情况。
【命令】
mac-authentication parallel-with-dot1x
undo mac-authentication parallel-with-dot1x
【缺省情况】
端口在收到源MAC地址未知的报文触发认证时,按照802.1X认证完成后再进行MAC地址认证的顺序进行处理。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
端口采用802.1X和MAC地址组合认证功能适用于如下情况:
· 端口上同时开启了802.1X和MAC地址认证功能,并配置了802.1X认证的端口的接入控制方式为macbased。
· 开启了端口安全功能,并配置了端口安全模式为userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。
在端口采用802.1X认证和MAC地址组合认证的情况下,如果想要在端口加入到802.1X Guest VLAN之前进行MAC地址认证并下发授权VLAN,请通过本命令开启端口MAC地址认证和802.1X认证并行处理功能,并配置端口延迟加入802.1X Guest VLAN功能。关于端口延迟加入802.1X Guest VLAN配置命令的详细介绍,请参见“安全命令参考”中的“802.1X”。
开启了MAC地址认证和802.1X认证并行处理功能后,不建议配置端口的MAC地址认证延迟功能。
【举例】
# 在端口GigabitEthernet1/0/1上开启MAC地址认证和802.1X认证并行处理功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication parallel-with-dot1x
mac-authentication re-authenticate命令用来开启MAC地址周期性重认证功能。
undo mac-authentication re-authenticate命令用来关闭MAC地址周期性重认证功能。
【命令】
mac-authentication re-authenticate
undo mac-authentication re-authenticate
【缺省情况】
MAC地址周期性重认证功能处于关闭状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
端口开启了MAC地址认证用户的周期性重认证功能后,设备会周期性对该端口上的MAC地址认证在线用户进行重认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN等)。
【举例】
# 在端口GigabitEthernet1/0/1上开启MAC地址重认证功能,并配置周期性重认证时间间隔为1800秒。
<Sysname> system-view
[Sysname] mac-authentication timer reauth-period 1800
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication re-authenticate
【相关命令】
· display mac-authentication
· mac-authentication timer
mac-authentication re-authenticate server-unreachable keep-online命令用来配置重认证服务器不可达时端口上的MAC地址认证用户保持在线状态。
undo mac-authentication re-authenticate server-unreachable命令用来恢复缺省情况。
【命令】
mac-authentication re-authenticate server-unreachable keep-online
undo mac-authentication re-authenticate server-unreachable
【缺省情况】
端口上的MAC地址认证在线用户重认证时,若认证服务器不可达,则会被强制下线。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
配置此命令后,在对MAC地址认证用户重认证过程中,若设备发现认证服务器状态不可达,则保持MAC地址认证用户在线。
是否对MAC地址认证在线用户进行周期性重认证由认证服务器授权的属性所决定。认证服务器通过下发RADIUS属性(session-timeout、Terminal-Action)来指定用户会话超时时长以及会话中止的动作类型,它们共同决定了如何对用户进行重认证。
· 当会话中止的动作类型为要求用户进行重认证时,端口会在用户会话超时时长到达后对该用户进行重认证;
· 当会话中止的动作类型为要求用户下线时,端口会在用户会话超时时长到达强制该用户下线;
· 当认证服务器未下发用户会话超时时长时,设备不会对用户进行重认证。
【举例】
# 配置端口GigabitEthernet1/0/1上的MAC地址认证在线用户进行重认证时,若服务器不可达,则保持在线状态。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication re-authenticate server-unreachable keep-online
【相关命令】
· display mac-authentication
mac-authentication timer命令用来配置端口上的MAC地址认证的定时器参数。
undo mac-authentication timer命令用来将端口上指定的MAC地址认证定时器恢复为缺省情况。
【命令】
mac-authentication timer { auth-delay auth-delay-time | reauth-period reauth-period-value }
undo mac-authentication timer { auth-delay | reauth-period }
【缺省情况】
端口上未配置MAC地址认证延迟定时器,表示MAC地址认证延迟功能处于关闭状态,如果用户报文触发MAC地址认证,认证将会立刻开始;端口上未配置MAC地址周期性重认证定时器,端口使用系统视图下配置的MAC地址周期性重认证定时器的取值。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
auth-delay auth-delay-time:表示MAC地址认证延迟定时器。其中auth-delay-time表示MAC地址认证延迟定时器的值,取值范围为1~180,单位为秒。
reauth-period reauth-period-value:表示MAC地址认证周期性重认证定时器。其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~7200,单位为秒。
【使用指导】
端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。
开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是在等待一定的延迟时间之后,再会对之前收到的用户报文进行MAC地址认证。在此认证延迟期间,端口对用户报文的其它认证过程并不受影响。
开启了MAC地址认证延迟功能的端口上不建议同时配置端口安全的模式为mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。
对MAC地址认证用户进行重认证时,设备将按照如下由高到低的顺序为其选择重认证时间间隔:服务器下发的重认证时间间隔、接口视图下配置的周期性重认证定时器的值、系统视图下配置的周期性重认证定时器的值、设备缺省的周期性重认证定时器的值。
对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
【举例】
# 开启MAC地址延迟认证功能,并指定MAC地址认证的延时时间为10秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication timer auth-delay 10
【相关命令】
· display mac-authentication
· port-security port-mode(安全命令参考/端口安全)
mac-authentication timer命令用来配置MAC地址认证的定时器参数。
undo mac-authentication timer命令用来恢复缺省情况。
【命令】
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | reauth-period reauth-period-value | server-timeout server-timeout-value | user-aging { critical-vlan | guest-vlan } aging-time-value }
undo mac-authentication timer { offline-detect | quiet | reauth-period | server-timeout | user-aging { critical-vlan | guest-vlan } }
【缺省情况】
下线检测定时器的值为300秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,服务器超时定时器的值为100秒,指定类型的非认证成功VLAN内用户老化定时器的值为1000秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。
quiet quiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围为1~3600,单位为秒。
reauth-period reauth-period-value:表示周期性重认证定时器,其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~7200,单位为秒。
server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。
user-aging:设置加入到指定类型的非认证成功VLAN中用户的老化定时器。
critical-vlan:加入到Critical VLAN中用户的老化定时器。
guest-vlan:加入到Guest VLAN中用户的老化定时器。
aging-time-value:用户老化定时器的值,取值范围为60~2147483647,单位为秒。
【使用指导】
MAC地址认证过程受以下定时器的控制:
· 下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。开启MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。配置offline-detect时,需要将MAC地址老化时间配成相同时间,否则会导致用户异常下线。只有当端口的MAC地址认证下线检测功能处于开启状态时,该定时器生效。
· 静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 周期性重认证定时器(reauth-period):端口下开启了MAC地址周期性重认证功能后,设备可以此间隔为周期对端口上的在线用户发起重认证。对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
建议将server-timeout的值设定为小于或等于设备发送RADIUS报文的最大尝试次数(retry)与RADIUS服务器响应超时时间(timer response-timeout)之积。如果server-timeout的值大于retry与timer response-timeout之积,则可能在server-timeout设定的服务器超时时间到达前,用户被强制下线。
关于发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间的具体配置请参见“安全配置指导”中的“AAA”。
· 用户老化定时器(user-aging):用来设置指定类型的VLAN内用户老化时间。用户加入到Guest VLAN、Critical VLAN后,设备启动该定时器。如果到达设定的老化时间,则用户离开指定的VLAN。
只有通过mac-authentication unauthenticated-user aging enable命令开启非认证成功VLAN中MAC地址认证用户的老化功能时,该定时器生效。
请不要将Guest VLAN内用户老化时间设置为用户进行重新认证的时间间隔(通过命令mac-authentication guest-vlan auth-period进行配置)的整数倍,否则会导致用户老化定时器失效。
【举例】
# 设置服务器超时定时器时长为150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan auth-period
· mac-authentication unauthenticated-user aging enable
· retry(安全命令参考/AAA)
· timer response-timeout (RADIUS scheme view)(安全命令参考/AAA)
mac-authentication unauthenticated-user aging enable命令用来开启非认证成功VLAN中MAC地址认证用户的老化功能。
undo mac-authentication unauthenticated-user aging enable命令用来关闭非认证成功VLAN中MAC地址认证用户的老化功能。
【命令】
mac-authentication unauthenticated-user aging enable
undo mac-authentication unauthenticated-user aging enable
【缺省情况】
非认证成功VLAN中MAC地址认证用户的老化功能处于开启状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
开启非认证成功VLAN中MAC地址认证用户的老化功能后,当MAC地址认证用户加入到Critical VLAN、Guest VLAN时,设备启动用户老化定时器,到达老化时间(通过mac-authentication timer user-aging命令配置)后,用户离开对应的VLAN。
当端口上非认证成功VLAN的用户需要迁移到其它端口接入时,请开启本端口上非认证成功VLAN用户的老化功能,将本端口上的用户MAC地址老化删除。反之,当本端口非认证成功VLAN的用户不需要迁移到其它端口接入时,建议关闭本功能,以免用户老化退出后无法访问对应VLAN中的资源。
【举例】
# 关闭端口GigabitEthernet1/0/1上非认证成功VLAN中MAC地址认证用户的老化功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] undo mac-authentication unauthenticated-user aging enable
【相关命令】
· mac-authentication timer
mac-authentication user-name-format命令用来配置MAC地址认证用户的帐号格式。
undo mac-authentication user-name-format命令用来恢复缺省情况。
【命令】
mac-authentication user-name-format { fixed [ account name ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] } [ password { cipher | simple } string ]
undo mac-authentication user-name-format
【缺省情况】
使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符“-”。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
fixed:表示采用固定用户名账号。
account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。
mac-address:表示使用用户的MAC地址作为用户名。若不配置password参数,则表示使用用户的MAC地址同时作为用户名和密码。
with-hyphen:带连字符“-”的MAC地址格式,例如xx-xx-xx-xx-xx-xx。
without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx。
lowercase:MAC地址中的字母为小写。
uppercase:MAC地址中的字母为大写。
password:指定用户的密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。若不指定该参数,则在使用用户的MAC地址作为用户名的情况下,表示使用用户的MAC地址作为密码;对于采用固定用户名的情况,表示无密码。
【使用指导】
若指定用户的MAC地址为用户名,则用户密码也为用户的MAC地址。这种情况下,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户账户。
若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名账号进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
【举例】
# 配置MAC地址认证的用户名为abc,密码是明文xyz。
<Sysname> system-view
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用户的MAC地址为用户名和密码,使用带连字符“-”的MAC地址格式,其中字母大写。
<Sysname> system-view
[Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase
【相关命令】
· display mac-authentication
reset mac-authentication access-user命令用来强制MAC地址认证用户下线。
【命令】
reset mac-authentication access-user [ interface interface-type interface-number | mac mac-address | username username | vlan vlan-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示强制指定端口下的MAC地址认证用户下线。interface-type interface-number为端口类型和端口编号。
mac mac-address:表示强制指定MAC地址的MAC地址认证用户下线。mac-address表示MAC地址认证用户的MAC地址,格式为H-H-H。
username username:表示强制指定名称的MAC地址认证用户下线。username表示MAC地址认证用户的名称,为1~253个字符的字符串,区分大小写。
vlan vlan-id:表示强制指定VLAN内的MAC地址认证用户下线。vlan-id表示MAC地址认证用户的服务器授权VLAN、设备生效VLAN或初始VLAN的VLAN ID,取值范围为1~4094。
【使用指导】
reset mac-authentication access-user命令用来强制指定的MAC地址认证用户下线。强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行MAC地址认证。
指定vlan vlan-id参数时,设备会对如下几种MAC地址认证用户进行下线处理:
· 对于已经认证成功且服务器已授权VLAN的用户,将服务器授权的VLAN为vlan-id的用户强制下线;
· 对于已经认证成功且服务器未授权VLAN的用户,将设备上对用户生效的VLAN为vlan-id的用户强制下线;
· 对于正在认证中的用户,将初始VLAN为vlan-id的用户强制下线。
如果不指定任何参数,则强制设备上所有MAC地址认证用户下线。
【举例】
# 强制端口GigabitEthernet1/0/1上的所有MAC地址认证用户下线。
<Sysname> reset mac-authentication access-user interface gigabitethernet 1/0/1
【相关命令】
· display mac-authentication connection
reset mac-authentication critical vlan命令用来清除Critical VLAN内的MAC地址认证用户。
【命令】
reset mac-authentication critical vlan interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出Critical VLAN。interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Critical VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Critical VLAN。
【举例】
# 在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Critical VLAN。
<Sysname> reset mac-authentication critical vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
【相关命令】
· display mac-authentication
· mac-authentication critical vlan
reset mac-authentication critical-voice-vlan命令用来清除MAC地址认证Critical Voice VLAN内的MAC地址认证用户。
【命令】
reset mac-authentication critical-voice-vlan interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出MAC地址认证的Critical Voice VLAN,其中interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示清除指定MAC地址的用户退出MAC地址认证的Critical Voice VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Critical Voice VLAN。
【举例】
# 在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Critical Voice VLAN。
<Sysname> reset mac-authentication critical-voice-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
【相关命令】
· display mac-authentication
· mac-authentication critical-voice-vlan
reset mac-authentication guest-vlan命令用来清除Guest VLAN内的MAC地址认证用户。
【命令】
reset mac-authentication guest-vlan interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出Guest VLAN。interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Guest VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Guest VLAN。
【举例】
# 在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Guest VLAN。
<Sysname> reset mac-authentication guest-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan
reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。
【命令】
reset mac-authentication statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定端口的MAC地址认证统计信息。interface-type interface-number为端口类型和端口编号。如果不指定本参数,则清除所有端口上的MAC地址认证统计信息。
【举例】
# 清除以太网端口GigabitEthernet1/0/1上的MAC认证统计信息。
<Sysname> reset mac-authentication statistics interface gigabitethernet 1/0/1
【相关命令】
· display mac-authentication
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!