- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-MAC地址认证命令
本章节下载: 03-MAC地址认证命令 (436.51 KB)
目 录
1.1.1 display mac-authentication
1.1.2 display mac-authentication connection
1.1.3 display mac-authentication mac-address
1.1.4 display mac-authentication user-recovery-profile
1.1.7 mac-authentication access-user log enable
1.1.8 mac-authentication authentication-method
1.1.9 mac-authentication auto-recover-user
1.1.10 mac-authentication carry user-ip
1.1.11 mac-authentication critical vlan
1.1.12 mac-authentication critical vsi
1.1.13 mac-authentication critical-voice-vlan
1.1.14 mac-authentication domain
1.1.15 mac-authentication guest-vlan
1.1.16 mac-authentication guest-vlan auth-period
1.1.17 mac-authentication guest-vlan re-authenticate
1.1.18 mac-authentication guest-vsi
1.1.19 mac-authentication guest-vsi auth-period
1.1.20 mac-authentication guest-vsi re-authenticate
1.1.21 mac-authentication host-mode multi-vlan
1.1.22 mac-authentication mac-range-account
1.1.23 mac-authentication max-user
1.1.24 mac-authentication offline-detect enable
1.1.25 mac-authentication offline-detect mac-address
1.1.26 mac-authentication recover-user
1.1.27 mac-authentication parallel-with-dot1x
1.1.28 mac-authentication re-authenticate
1.1.29 mac-authentication re-authenticate server-unreachable keep-online
1.1.30 mac-authentication server-recovery online-user-sync
1.1.31 mac-authentication timer (interface view)
1.1.32 mac-authentication timer (system view)
1.1.33 mac-authentication unauthenticated-user aging enable
1.1.34 mac-authentication user-name-format
1.1.35 mac-authentication user-recovery-profile
1.1.36 mac-authentication web-proxy
1.1.38 reset mac-authentication access-user
1.1.39 reset mac-authentication critical vlan
1.1.40 reset mac-authentication critical vsi
1.1.41 reset mac-authentication critical-voice-vlan
1.1.42 reset mac-authentication guest-vlan
1.1.43 reset mac-authentication guest-vsi
1.1.44 reset mac-authentication statistics
display mac-authentication命令用来显示MAC地址认证的相关信息。
【命令】
display mac-authentication [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface interface-type interface-number:显示全局及指定端口的MAC地址认证相关信息。interface-type interface-number为端口类型和端口编号。若指定的端口上未使能MAC地址认证,则不显示该端口任何信息。
【使用指导】
如果不指定任何参数,则显示所有在线MAC地址认证的详细信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。
【举例】
# 显示MAC地址认证信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
Username format : MAC address in lowercase(xxxxxxxxxxxx)
Username : mac
Password : Not configured
MAC range accounts : 2
MAC address Mask Username
2222-0000-0000 ffff-0000-0000 user1
4444-0000-0000 ffff-0000-0000 user1
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for critical VSI : 1000 s
User aging period for guest VLAN : 1000 s
User aging period for guest VSI : 1000 s
Temporary user aging period : 60 s
Authentication domain : Not configured, use default domain
HTTP proxy port list : Total 10 ports
1-3, 5, 7, 9, 11-13, 15
HTTPS proxy port list : Not configured
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
0001-0000-0001 100 XGE1/0/2 21
Ten-GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Enabled
Auth-delay period : 60 s
Periodic reauth : Enabled
Reauth period : 120 s
Re-auth server-unreachable : Logoff
Guest VLAN : 100
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 150 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Parallel
User aging : Enabled
Server-recovery online-user-sync : Enabled
Guest VSI : Not configured
Guest VSI reauthentication : Enabled
Guest VSI auth-period : 30 s
Critical VSI : Not configured
Max online users : 4294967295
Authentication attempts : successful 2, failed 3
Current online users : 1
MAC address Auth state
0001-0000-0001 Unauthenticated
表1-1 display mac-authentication命令显示信息描述表
|
字段 |
描述 |
|
Global MAC authentication parameters |
全局MAC地址认证参数 |
|
MAC authentication |
MAC地址认证的开启状态 |
|
Authentication method |
MAC地址认证采用的认证方法 · CHAP:采用CHAP认证方法 · PAP:采用PAP认证方法 |
|
Username format |
MAC地址认证使用的账号格式 · 若采用MAC地址账号,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xxxxxxxxxxxx)”,它表示用户名格式为不带连字符的MAC地址,其中字母为小写 · 若采用固定用户名账号,则显示“Fixed account” |
|
Username |
用户名 · 采用MAC地址账号时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码 · 采用固定用户名账号时,该值为配置的用户名(缺省为mac) |
|
Password |
用户名的密码 · 采用MAC地址账号时,该值显示为“Not configured” · 采用固定用户名账号时,配置的值将显示为****** |
|
MAC range accounts |
指定MAC地址范围的MAC地址认证用户账号信息列表 |
|
MAC address |
指定的MAC地址 |
|
Mask |
MAC地址掩码 |
|
Username |
MAC地址认证用户名称 |
|
Offline detect period |
下线检测定时器的值 |
|
Quiet period |
静默定时器的值 |
|
Server timeout |
服务器连接超时定时器的值 |
|
Reauth period |
重认证定时器的值 |
|
User aging period for critical VLAN |
Critical VLAN中用户的老化时间 |
|
User aging period for critical VSI |
Critical VSI中用户的老化时间 |
|
User aging period for guest VLAN |
Guest VLAN中用户的老化时间 |
|
User aging period for guest VSI |
Guest VSI中用户的老化时间 |
|
Temporary user aging period |
临时MAC地址认证用户的老化时间 |
|
Authentication domain |
系统视图下指定的MAC地址认证用户使用的认证域,如果没有指定认证域,则显示Not configured, use default domain |
|
HTTP proxy port list |
HTTP代理服务器端口 |
|
HTTPS proxy port list |
HTTPS代理服务器端口 |
|
Online MAC-auth wired users |
在线有线用户和正在发起MAC地址认证的有线用户的总数 |
|
Silent MAC users |
静默用户信息(包括设备添加的静默用户和服务器授权下发黑洞MAC的静默用户) |
|
MAC address |
静默用户的MAC地址 |
|
VLAN ID |
静默用户所在的VLAN |
|
From port |
静默用户接入的端口名称 |
|
Port index |
静默用户接入的端口索引号 |
|
Ten-GigabitEthernet1/0/1 is link-up |
端口Ten-GigabitEthernet1/0/1的链路状态 |
|
MAC authentication |
当前端口的MAC地址认证开启状态 · Enabled:处于开启状态 · Enabled (but NOT effective):处于开启状态,但功能未生效。未生效原因为设备上ACL资源全部被占用 · Disabled:处于关闭状态 |
|
Carry User-IP |
MAC地址认证请求携带用户IP地址关闭状态 |
|
Authentication domain |
端口上指定的MAC地址认证用户使用的认证域 |
|
Auth-delay timer |
MAC地址认证延迟功能的开启状态 |
|
Auth-delay period |
配置的认证延迟时间 |
|
Periodic reauth |
端口上MAC地址重认证开启状态 |
|
Reauth period |
端口上配置的MAC地址重认证时间间隔 |
|
Re-auth server-unreachable |
重认证时服务器不可达对MAC地址认证的在线用户采取的动作 · Logoff:重认证服务器不可达,强制MAC地址认证在线用户下线 · Online:重认证服务器不可达,保持MAC地址认证在线用户在线 |
|
Guest VLAN |
端口配置的Guest VLAN,如果没有配置,则显示Not configured |
|
Guest VLAN reauthentication |
Guest VLAN中用户重新认证功能的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Guest VLAN auth-period |
进入Guest VLAN后发起重认证的时间间隔 |
|
Critical VLAN |
端口配置的Critical VLAN,如果没有配置,则显示Not configured |
|
Critical voice VLAN |
端口配置MAC地址认证的Critical Voice VLAN功能的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Host mode |
相同MAC地址用户的工作模式 · 如果配置的是多VLAN模式,则显示Multiple VLAN · 如果配置的是单VLAN模式,则显示Single VLAN |
|
Offline detection |
MAC地址认证用户下线检测的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Authentication order |
MAC地址认证和802.1X认证并行处理 · Default:处于关闭状态 · Parallel:处于开启状态 |
|
User aging |
非认证成功VLAN和VSI中MAC地址认证用户老化功能的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Server-recovery online-user-sync |
RADIUS服务器从不可达状态恢复为可达时,设备同步MAC地址认证的在线用户信息到RADIUS服务器功能的开启状态: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Guest VSI |
端口配置的Guest VSI,如果没有配置,则显示Not configured |
|
Guest VSI reauthentication |
Guest VSI中用户重新认证功能的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Guest VSI auth-period |
进入Guest VSI后发起重认证的时间间隔,单位为秒 |
|
Critical VSI |
端口配置的Critical VSI,如果没有配置,则显示Not configured |
|
Max online users |
本端口最多可容纳的接入用户数 |
|
Authentication attempts: successful 1, failed 0 |
端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数 |
|
MAC address |
接入用户的MAC地址 |
|
Auth state |
接入用户的状态 · Authenticated:认证成功 · Unauthenticated:尚未认证成功 |
display mac-authentication connection命令用来显示MAC地址认证在线用户的详细信息。
【命令】
(独立运行模式)
display mac-authentication connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-address | user-name user-name ]
(IRF模式)
display mac-authentication connection [ open ] [ chassis chassis-number slot slot-number | interface interface-type interface-number | user-mac mac-address | user-name user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
open:只显示在开放认证模式下使用不存在的用户名或者错误的密码接入的MAC地址认证的用户信息。若不指定本参数,则显示设备上所有MAC地址认证在线用户的信息。
interface interface-type interface-number:显示指定端口的MAC地址认证用户信息。其中interface-type interface-number表示绑定的端口类型和端口编号。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
slot slot-number:显示指定单板上的MAC地址认证用户信息。slot-number表示单板所在的槽位号。若不指定本参数,则显示所有单板上的MAC地址认证用户信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的MAC地址认证用户信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定本参数,则显示所有单板上的MAC地址认证用户信息。(IRF模式)
user-mac mac-address:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
【举例】
# 显示所有MAC地址认证在线用户信息。(独立运行模式)
<Sysname> display mac-authentication connection
Total connections: 1
Slot ID: 0
User MAC address: 0015-e9a6-7cfe
Access interface: Ten-GigabitEthernet1/0/1
Username: ias
User access state: Successful
Authentication domain: macusers
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
IPv4 address source: User packet
IPv6 address source: User packet
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization ACL number/name: 3001
Authorization CAR: N/A
Authorization URL: N/A
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Radius-request
Session timeout period: 2 sec
Offline detection: 100 sec (server-assigned)
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
Port-down keep online: Enabled
表1-2 display mac-authentication connection 命令显示信息描述表
|
字段 |
描述 |
|
Total connections |
在线MAC地址认证用户个数 |
|
User MAC address |
用户的MAC地址 |
|
Access interface |
用户的接入接口名称 |
|
Username |
用户名 |
|
User access state |
用户的接入状态 · Successful:MAC地址认证成功并接入 · Open:使用不存在的用户名或者错误的密码进行开放认证并接入 · Temporary:通过端口安全模式macAddressAndUserLoginSecureExt方式认证的临时MAC地址认证用户 |
|
Authentication domain |
认证时所用的ISP域的名称 |
|
IPv4 address |
用户IPv4地址 若未获取到用户的IP地址,则不显示该字段 |
|
IPv6 address |
用户IPv6地址 若未获取到用户的IP地址,则不显示该字段 |
|
IPv4 address source |
表示获取到的用户IPv4地址来源 · User packet:从用户报文中获取 · IP Source Guard:IP Source Guard模块通知 |
|
IPv6 address source |
表示获取到的用户IPv6地址来源 · User packet:从用户报文中获取 · IP Source Guard:IP Source Guard模块通知 |
|
Initial VLAN |
初始的VLAN |
|
Authorization untagged VLAN |
授权的untagged VLAN |
|
Authorization tagged VLAN |
授权的tagged VLAN |
|
Authorization VSI |
授权的VSI |
|
Authorization ACL number/name |
授权的ACL编号或名称。若未授权ACL,则显示为N/A 若未授权成功,则在ACL编号或名称后显示“(NOT effective)” |
|
Authorization CAR |
(暂不支持)当服务器未授权用户CAR属性时,该字段显示为N/A。 |
|
Authorization URL |
授权的重定向URL |
|
Start accounting |
表示开始计费请求的结果 · Successful:开始计费成功 · Failed:开始计费失败 |
|
Real-time accounting-update failures |
表示实时计费更新连续失败的次数 |
|
Termination action |
服务器下发的终止动作类型: · Default:会话超时时间到达后,强制用户下线 · Radius-Request:会话超时时间到达后,请求MAC地址认证用户进行重认证 用户采用本地认证时,该字段显示为Default |
|
Session timeout period |
服务器下发的会话超时时间,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Termination action字段的取值决定 |
|
Offline detection |
用户进行下线检测的属性: · Ignore (command-configured):命令行配置该用户不进行下线检测 · timer (command-configured):命令行配置的下线检测时间 · Ignore (server-assigned):RADIUS服务器授权该用户不进行下线检测 · timer (server-assigned):RADIUS服务器授权的下线检测时间 |
|
Online from |
MAC认证用户的上线时间 |
|
Online duration |
MAC认证用户的在线时长 |
|
Port-down keep online |
端口状态变为Down后,用户继续保持在线功能: · Enabled:处于开启状态。服务器授权下发了取值非0的私有属性shutdown-keep-online · Disabled (offline):处于关闭状态,用户下线。服务器授权下发了取值为0的私有属性shutdown-keep-online,或者没有下发该属性 |
display mac-authentication mac-address命令用来显示指定类型的VLAN或VSI中的MAC地址认证用户的MAC地址信息。
【命令】
display mac-authentication mac-address { critical-vlan | critical-vsi | guest-vlan | guest-vsi } [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
critical-vlan:显示MAC地址认证Critical VLAN中的用户MAC地址信息。
critical-vsi:显示MAC地址认证Critical VSI中的用户MAC地址信息。
guest-vlan:显示MAC地址认证Guest VLAN中的用户MAC地址信息。
guest-vsi:显示MAC地址认证Guest VSI中的用户MAC地址信息。
interface interface-type interface-number:显示VLAN或VSI中指定端口的MAC地址认证用户的MAC地址信息。其中interface-type interface-number表示端口类型和端口编号。若不指定本参数,则显示指定类型的VLAN或VSI中所有端口的MAC地址认证用户的MAC地址信息。
【使用指导】
查询到的MAC地址数量以及MAC地址明细为粗略统计,当有大量用户频繁进行认证时可能不能完全精准显示。
【举例】
# 显示所有MAC地址认证Guest VLAN中的用户的MAC地址信息。
<Sysname> display mac-authentication mac-address guest-vlan
Total MAC addresses: 10
Interface: Ten-GigabitEthernet1/0/1 Guest VLAN: 3 Aging time: N/A
MAC addresses: 8
0800-2700-9427 0800-2700-2341 0800-2700-2324 0800-2700-2351
0800-2700-5627 0800-2700-2251 0800-2700-8624 0800-2700-3f51
Interface: Ten-GigabitEthernet1/0/2 Guest VLAN: 5 Aging time: 30 sec
MAC addresses: 2
0801-2700-9427 0801-2700-2341
# 显示所有MAC地址认证Guest VSI中的用户的MAC地址信息。
<Sysname> display mac-authentication mac-address guest-vsi
Total MAC addresses: 10
Interface: Ten-GigabitEthernet1/0/3 Guest VSI: text-vsi Aging time: N/A
MAC addresses: 8
0800-2700-9427 0800-2700-2341 0800-2700-2324 0800-2700-2351
0800-2700-5627 0800-2700-2251 0800-2700-8624 0800-2700-3f51
Interface: Ten-GigabitEthernet1/0/4 Guest VSI: text1-vsi Aging time: 30 sec
MAC addresses: 2
0801-2700-9427 0801-2700-2341
表1-3 display mac-authentication mac-address命令显示信息描述表
|
字段 |
描述 |
|
Total MAC addresses |
指定类型的VLAN或VSI中的所有MAC地址总数 |
|
Interface |
用户的接口名称 |
|
Type VLAN/VSI |
显示MAC地址认证用户所在的VLAN或VSI信息,Type包含如下取值: · Critical VLAN · Critical VSI · Guest VLAN · Guest VSI |
|
Aging time |
MAC地址老化时间,单位秒。N/A表示该地址不老化 |
|
MAC addresses |
MAC地址数 |
|
xxxx-xxxx-xxxx |
MAC地址 |
【相关命令】
· mac-authentication critical vlan
· mac-authentication critical vsi
· mac-authentication guest-vlan
· mac-authentication guest-vsi
display mac-authentication user-recovery-profile命令用来显示MAC地址认证user-recovery Profile的配置信息。
【命令】
display mac-authentication user-recovery-profile [ profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
profile-name:user-recovery Profile名称,为1~31个字符的字符串,不区分大小写。如果不指定该参数,则表示显示所有user-recovery Profile。
【举例】
# 显示所有MAC地址认证user-recovery Profile的配置信息。
<Sysname> display mac-authentication user-recovery-profile
User-recovery profile: profile1
Server IP : 3.3.3.3
Port : 8080
VPN : Not configured
Login name : user1
NAS IP address: 10.1.1.1
URI : dumbtermina/list
User-recovery profile: profile2
Server IP : 1.1.1.2
Port : 80
VPN : Not configured
Login name : user1
NAS IP address: 1:2::3:4
URI : dumbtermina/list
表1-4 display mac-authentication user-recovery-profile命令显示信息描述表
|
字段 |
描述 |
|
User-recovery profile |
user-recovery Profile名称 |
|
Server IP |
RESTful服务器的IP地址 |
|
Port |
RESTful服务器的端口号 |
|
VPN |
RESTful服务器所属的VPN实例 |
|
Login name |
登录到RESTful服务器所需的用户名 |
|
NAS IP address |
设备和RESTful服务器交互时使用的NAS-IP地址 |
|
URI |
RESTful服务器提供用户资源服务的URI |
【相关命令】
· mac-authentication user-recovery-profile
· server-address
· login-user
· nas-ip
· uri
login-name命令用来配置登录到RESTful服务器所需的用户名和密码。
undo login-name命令用来恢复缺省情况。
【命令】
login-name username [ password { cipher | simple } string ]
undo login-name
【缺省情况】
未配置登录到RESTful服务器所需的用户名和密码。
【视图】
user-recovery Profile视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
username:表示用户名,为1~55字符的字符串,区分大小写。
password:表示密码。若未指定本参数,则表示登录到RESTful服务器时不需要密码。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
【使用指导】
设备与RESTful服务器建立连接时,服务器首先需要验证连接请求发起方的合法性。本命令配置的用户名和密码,即为设备向RESTful服务器提供的身份信息。RESTful服务器验证该用户名和密码成功后,才允许连接请求发起方与之建立连接,以及获取相应的服务器资源。
本命令指定的用户名和密码,必须在RESTful服务器上已经存在。
【举例】
# 在名称为profile1的user-recovery Profile视图下,配置与RESTful服务器建立连接时使用的登录用户名为abc,密码为明文123。
<Sysname> system-view
[Sysname] mac-authentication user-recove-profile profile1
[Sysname-user-recovery-profile-profile1] login-name abc password simple 123
【相关命令】
· display mac-authentication user-recovery-profile
mac-authentication命令用来开启端口上或全局的MAC地址认证。
undo mac-authentication命令用来关闭端口上或全局的MAC地址认证。
【命令】
mac-authentication
undo mac-authentication
【缺省情况】
所有端口及全局的MAC地址认证都处于关闭状态。
【视图】
系统视图
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
【举例】
# 开启全局的MAC地址认证。
<Sysname> system-view
[Sysname] mac-authentication
# 开启端口Ten-GigabitEthernet1/0/1上的MAC地址认证。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication
【相关命令】
· display mac-authentication
mac-authentication access-user log enable命令用来开启MAC地址认证接入用户日志信息功能。
undo mac-authentication access-user log enable命令用来关闭MAC地址认证接入用户日志信息功能。
【命令】
mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
undo mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
【缺省情况】
MAC地址认证接入用户日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
failed-login:MAC地址认证用户上线失败的日志信息。
logoff:MAC地址认证用户下线的日志信息。
successful-login:MAC地址认证用户上线成功的日志信息。
【使用指导】
为了防止设备输出过多的MAC地址认证接入用户日志信息,一般情况下建议关闭此功能。
配置本命令时,如果未指定任何参数,将同时开启或关闭本命令所有参数对应的日志功能。
【举例】
# 开启MAC地址认证接入用户上线失败的日志信息。
<Sysname> system-view
[Sysname] mac-authentication access-user log enable failed-login
【相关命令】
· info-center source maca logfile deny(网络管理和监控命令参考/信息中心)
mac-authentication authentication-method命令用来配置MAC地址认证采用的认证方法。
undo mac-authentication authentication-method命令用来恢复缺省情况。
【命令】
mac-authentication authentication-method { chap | pap }
undo mac-authentication authentication-method
【缺省情况】
设备采用PAP认证方法进行MAC地址认证。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
chap:采用CHAP类型的认证方法。
pap:采用PAP类型的认证方法。
【使用指导】
通过该命令可以配置设备进行MAC地址认证时,与RADIUS服务器之间采用的认证方法。PAP和CHAP认证方法的详细介绍如下:
· PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。
· CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。
【举例】
# 配置设备采用CHAP认证方法进行MAC地址认证。
<Sysname> system-view
[Sysname] mac-authentication authentication-method chap
【相关命令】
mac-authentication auto-recover-user命令用来开启MAC地址认证自动恢复用户功能。
undo mac-authentication auto-recover-user命令用来关闭MAC地址认证自动恢复用户功能。
【命令】
mac-authentication auto-recover-user profile profile-name
undo mac-authentication auto-recover-user profile profile-name
【缺省情况】
MAC地址认证的自动恢复用户功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
profile profile-name:user-recovery Profile名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
本功能的典型应用场景是,有大量哑终端(例如打印机)通过MAC地址认证接入网络。当设备或接口板重启、接口故障时,哑终端用户下线后只能等待下次业务报文触发MAC地址认证,而这种在线状态恢复的不及时性将会影响该类终端后续的正常工作。
为指定的user-recovery Profile开启恢复用户功能后,若设备或接口板重启、接口故障恢复,当设备和Profile中指定的RESTful服务器之间路由可达后,设备会主动从该服务器上获取相关接口上的MAC地址认证用户账户信息,并自动使用这些信息为用户重新进行认证,达到不需要用户干预的情况下为其恢复在线状态的目的。
系统最多支持为16个user-recovery Profile开启恢复用户功能。通常,不同的Profile对应不同的RESTful服务器以及服务器上的用户信息。
开启本功能后,请执行save命令,并将配置文件设置为下次启动配置文件保证本功能在设备下次重启后生效。关于save命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。(独立运行模式)
多台设备组成IRF环境下,开启本功能后,请执行save命令,并将配置文件设置为下次启动配置文件保证本功能在主设备下次重启后生效。关于save命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。(IRF模式)
RADIUS的accounting-on功能与MAC地址认证恢复用户功能互斥,不建议同时开启。关于accounting-on功能详细介绍,请参见“安全配置指导”中的“AAA”。
【举例】
# 开启MAC地址认证的自动恢复用户功能,并指定user-recovery Profile为profile1。
<Sysname> system-view
[Sysname] mac-authentication auto-recover-user profile profile1
【相关命令】
· accounting-on enable(安全命令参考/AAA)
· display mac-authentication user-recovery-profile
mac-authentication carry user-ip命令用来配置MAC地址认证请求中携带用户IP地址。
undo mac-authentication carry user-ip命令用来恢复缺省情况。
【命令】
mac-authentication carry user-ip [ exclude-ip acl acl-number ]
undo mac-authentication carry user-ip
【缺省情况】
MAC地址认证请求中不携带用户IP地址。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
exclude-ip:指定不合法的IP地址范围,不对携带不合法IP地址的用户进行MAC地址认证。
acl acl-number:指定包含deny规则的ACL。其中acl-number表示ACL的编号,仅支持基本ACL,取值范围为2000~2999。
【使用指导】
在终端用户采用静态IP地址方式接入的组网环境中,如果终端用户擅自修改自己的IP地址,则整个网络环境中可能会出现IP地址冲突等问题。
为了解决以上问题,管理员可以在端口上开启MAC地址认证请求中携带用户IP地址的功能,用户在进行MAC地址认证时,设备会把用户的IP地址上传到iMC服务器。然后iMC服务器会把认证用户的IP地址和MAC地址与服务器上已经存在的IP与MAC的绑定表项进行匹配,如果匹配成功,则该用户MAC地址认证成功;否则,MAC地址认证失败。
配置mac-authentication carry user-ip命令后,当有用户接入时,设备会检查用户报文中的IP地址是否合法,并进行相应处理:
· 当用户的IP地址合法时,设备携带用户IP地址向服务器发起MAC地址认证请求;
· 当用户报文未携带IP地址或用户的IP地址不合法时,设备不对用户进行MAC地址认证。
· 收到源IP为0.0.0.0的DHCP报文时,设备会向服务器发起MAC地址认证请求,但认证报文中不携带IP地址。认证是否通过取决于认证服务器侧的配置。
iMC服务器上IP与MAC地址信息绑定表项的生成方式如下:
· 如果在iMC服务器上创建用户时手工指定了用户的IP地址和MAC地址信息,则服务器使用手工指定的IP和MAC信息生成该用户的IP与MAC地址的绑定表项。
· 如果在iMC服务器上创建用户时未手工指定用户的IP地址和MAC地址信息,则服务器使用用户初次进行MAC地址认证时使用的IP地址和MAC地址生成该用户的IP与MAC地址的绑定表项。
终端用户采用静态IP地址接入时,实际组网应用中会出现用户报文中携带的IP地址并非用户实际IP地址的情况,例如在IPv4静态地址组网中,用户报文携带的IP地址为以fe80开头的IPv6链路本地地址。配置mac-authentication carry user-ip命令后,设备会携带非用户实际的IP地址向服务器发起MAC地址认证请求,此种情况会导致服务器为用户绑定错误的IP地址或IP地址与MAC地址匹配失败。为避免上述情况发生,可以指定exclude-ip acl参数,不允许ACL中指定网段的用户进行MAC地址认证。
配置exclude-ip acl时,仅根据规则中配置的源IP地址进行过滤。建议ACL中配置deny规则来拒绝指定网段的用户进行MAC地址认证。如果ACL中仅配置了permit规则,则表示允许指定网段的用户进行MAC地址认证,这样的配置并没有实际意义。如果希望只允许某个网段用户进行MAC地址认证,可在ACL中同时配置一条指定网段的permit规则以及一条deny all规则来实现。
通过exclude-ip acl指定ACL后,设备对于IPv4报文按照对应编号的IPv4 ACL规则进行处理;对于IPv6报文则按照对应编号的IPv6 ACL规则进行处理。例如,当配置了mac-authenication carry user-ip exclude-ip acl 2000时,如果用户报文为IPv4报文,则按照IPv4 ACL 2000的规则进行处理;如果用户报文为IPv6报文,则按照IPv6 ACL 2000的规则进行处理。
在开启了MAC地址认证的端口上,不建议将本命令与mac-authentication guest-vlan或mac-authentication guest-vsi命令同时配置;否则,加入Guest VLAN或Guest VSI的用户无法再次发起MAC地址认证,用户会一直停留在Guest VLAN或Guest VSI中。
【举例】
# 在端口Ten-GigabitEthernet1/0/1上配置MAC地址认证请求携带用户IP地址功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication carry user-ip
# 在端口Ten-GigabitEthernet1/0/1上配置MAC地址认证请求携带用户IP地址功能,并禁止携带IPv6链路本地地址的报文在此端口触发认证。
<Sysname> system-view
[Sysname]acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000] rule deny source fe80:0::0:0 16
[Sysname-acl-ipv6-basic-2000] quit
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication carry user-ip exclude-ip acl 2000
【相关命令】
· mac-authentication
mac-authentication critical vlan命令用来配置端口的MAC地址认证的Critical VLAN。
undo mac-authentication critical vlan命令用来恢复缺省情况。
【命令】
mac-authentication critical vlan critical-vlan-id
undo mac-authentication critical vlan
【缺省情况】
端口上未配置MAC地址认证的Critical VLAN。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
critical-vlan-id:端口上指定的Critical VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【使用指导】
配置此功能后,当MAC用户认证时对应的ISP域下所有认证服务器都不可达的情况下被授权访问Critical VLAN内的资源。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Critical VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Critical VLAN,则该VLAN不能被指定为Super VLAN。
端口下配置MAC地址认证的Critical VLAN与配置MAC地址认证的Guest VSI或Critical VSI互斥。禁止删除已被配置为Critical VLAN的VLAN,若要删除该VLAN,请先通过undo mac-authentication critical vlan命令取消MAC地址认证的Critical VLAN配置。
【举例】
# 配置端口Ten-GigabitEthernet1/0/1的Critical VLAN为VLAN 100。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical vlan 100
【相关命令】
· display mac-authentication
· reset mac-authentication critical vlan
mac-authentication critical vsi命令用来在端口上配置MAC地址认证的Critical VSI。
undo mac-authentication critical vsi命令用来恢复缺省情况。
【命令】
mac-authentication critical vsi critical-vsi-name [ url-user-logoff ]
undo mac-authentication critical vsi
【缺省情况】
端口上未配置MAC地址认证的Critical VSI。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
critical-vsi-name:端口上指定的Critical VSI名称,为1~31个字符的字符串,区分大小写。
url-user-logoff:表示在添加第一个Critical VSI用户时,会强制让当前端口上授权了重定向URL的MAC地址认证用户下线。若不指定此参数,则端口上的授权了重定向URL的MAC地址认证用户一直保持在线,直到MAC地址认证下线检测功能发现其没有流量时下线。
【使用指导】
配置此功能后,当用户进行MAC认证时,若对应的ISP域下所有认证服务器都不可达,则用户会被加入Critical VSI对应的VXLAN中。
不同的端口可以指定不同的MAC地址认证Critical VSI,一个端口最多只能指定一个MAC地址认证Critical VSI。
端口下配置MAC地址认证的Critical VSI与配置MAC地址认证的Guest VLAN或Critical VLAN互斥。
【举例】
# 配置端口Ten-GigabitEthernet1/0/1上MAC地址认证的Critical VSI名称为vpna。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical vsi vpna
【相关命令】
· display mac-authentication
· reset mac-authentication critical vsi
mac-authentication critical-voice-vlan命令用来开启端口上MAC地址认证的Critical Voice VLAN功能。
undo mac-authentication critical-voice-vlan命令用来关闭端口上MAC地址认证的Critical Voice VLAN功能。
【命令】
mac-authentication critical-voice-vlan
undo mac-authentication critical-voice-vlan
【缺省情况】
端口下MAC地址认证的Critical Voice VLAN功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
端口上开启MAC地址认证Critical Voice VLAN功能后,当语音用户进行MAC地址认证采用的ISP域中的所有认证服务器都不可达时,端口将被加入到此端口上的Voice VLAN中。端口上语音VLAN的配置命令请参见“二层技术-以太网交换命令参考”中的“VLAN”。
设备通过LLDP(Link Layer Discovery Protocol,链路层发现协议)来判断用户是否为语音用户,因此为保证MAC地址认证Critical Voice VLAN功能可以正常工作,请在开启此功能之前务必确保全局和相应端口下均已开启LLDP功能。有关LLDP功能的配置命令介绍请参见“二层技术-以太网交换命令参考”中的“LLDP”。
开启MAC地址认证Critical Voice VLAN功能前,请保证该端口上已经配置了MAC地址认证Critical VLAN。若端口上的语音用户在认证时所有认证服务器都不可达,且端口暂未将其识别为语音用户,则可以将其先加入Critical VLAN。
【举例】
# 开启端口Ten-GigabitEthernet1/0/1上MAC地址认证Critical Voice VLAN功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical-voice-vlan
【相关命令】
· display mac-authentication
· lldp enable(二层技术-以太网交换命令参考/LLDP)
· lldp global enable(二层技术-以太网交换命令参考/LLDP)
· reset mac-authentication critical-voice-vlan
· voice-vlan enable(二层技术-以太网交换命令参考/VLAN)
mac-authentication domain命令用来指定MAC地址认证用户使用的认证域。
undo mac-authentication domain命令用来恢复缺省情况。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情况】
未指定MAC地址认证用户使用的认证域时,使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domain default enable。
【视图】
系统视图
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
不同视图下指定的认证域的生效范围不同:
· 系统视图下指定的认证域对所有开启了MAC地址认证的端口生效。
· 二层以太网接口视图或二层聚合接口视图下指定的认证域仅对本端口有效。不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域 > 系统视图下指定的认证域 > 系统缺省的认证域。
【举例】
# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。
<Sysname> system-view
[Sysname] mac-authentication domain domain1
# 指定端口Ten-GigabitEthernet1/0/1上接入的MAC地址认证用户使用的认证域为aabbcc。
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication domain aabbcc
【相关命令】
· display mac-authentication
· domain default enable(安全命令参考/AAA)
mac-authentication guest-vlan命令用来配置端口的MAC地址认证的Guest VLAN。
undo mac-authentication guest-vlan命令用来恢复缺省情况。
【命令】
mac-authentication guest-vlan guest-vlan-id
undo mac-authentication guest-vlan
【缺省情况】
端口上未配置MAC地址认证的Guest VLAN。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【使用指导】
配置此功能后,当MAC地址认证失败的情况下,用户可以继续被授权访问的Guest VLAN内的资源。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Guest VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Guest VLAN,则该VLAN不能被指定为Super VLAN。
端口下配置MAC地址认证的Guest VLAN与配置MAC地址认证的Guest VSI或Critical VSI互斥。
禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先通过undo mac-authentication guest-vlan命令取消MAC地址认证的Guest VLAN配置。
【举例】
# 配置端口Ten-GigabitEthernet1/0/1的Guest VLAN为VLAN 100。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan 100
【相关命令】
· display mac-authentication
· reset mac-authentication guest-vlan
mac-authentication guest-vlan auth-period命令用来配置设备对Guest VLAN中的用户进行重新认证的时间间隔。
undo mac-authentication guest-vlan auth-period命令用来恢复缺省情况。
【命令】
mac-authentication guest-vlan auth-period period-value
undo mac-authentication guest-vlan auth-period
【缺省情况】
设备对Guest VLAN中的用户进行重新认证的时间间隔为30秒。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
period-value:表示设备重新发起认证的时间间隔,取值范围为1~3600,单位为秒。
【使用指导】
只有通过mac-authentication guest-vlan re-authenticate命令开启了Guest VLAN中用户的重新认证功能,通过本命令设置的重新认证时间间隔才生效。
当端口上同时进行认证的用户数大于300时,建议将重新认证时间设置为30秒以上。
【举例】
# 在端口Ten-GigabitEthernet1/0/1上配置设备对Guest VLAN中的用户进行重新认证的时间间隔为150秒。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan auth-period 150
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan
· mac-authentication guest-vlan re-authenticate
mac-authentication guest-vlan re-authenticate命令用来开启Guest VLAN中用户的重新认证功能。
undo mac-authentication guest-vlan re-authenticate命令用来关闭Guest VLAN中用户的重新认证功能。
【命令】
mac-authentication guest-vlan re-authenticate
undo mac-authentication guest-vlan re-authenticate
【缺省情况】
Guest VLAN中用户的重新认证功能处于开启状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
用户认证失败后会加入到Guest VLAN。当开启Guest VLAN中用户的重新认证功能后,设备会按照mac-authentication guest-vlan auth-period命令配置的时间间隔对Guest VLAN中的用户定期进行重新认证。若Guest VLAN中的用户重新认证失败,设备会打印日志信息。认证失败用户较多时,会导致日志信息过多。
关闭Guest VLAN中用户的重新认证功能后,加入到Guest VLAN中的用户不会重新发起认证。如果开启了非认证成功VLAN的用户老化功能(通过命令mac-authentication unauthenticated-user aging enable),则用户可以按照mac-authentication timer user-aging guest-vlan aging-time-value命令配置的老化时间进行老化并退出Guest VLAN,并在需要访问网络时重新发起认证。
可通过执行undo mac-authentication guest-vlan re-authenticate命令关闭Guest VLAN中用户的重新认证功能,并根据业务需求调整Guest VLAN用户的老化时间。
【举例】
# 开启接口Ten-GigabitEthernet1/0/1上Guest VLAN内用户的重新认证功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan re-authenticate
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan
· mac-authentication guest-vlan auth-period
· mac-authentication timer
mac-authentication guest-vsi命令用来配置端口的MAC地址认证的Guest VSI。
undo mac-authentication guest-vsi命令用来恢复缺省情况。
【命令】
mac-authentication guest-vsi guest-vsi-name
undo mac-authentication guest-vsi
【缺省情况】
端口上未配置MAC地址认证的Guest VSI。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
guest-vsi-name:端口上指定的Guest VSI名称,为1~31个字符的字符串,区分大小写。
【使用指导】
配置此功能后,端口上MAC地址认证失败的用户会被加入到MAC地址认证的Guest VSI对应的VXLAN。
不同的端口可以配置不同的MAC认证的Guest VSI,但一个端口最多只能配置一个MAC认证的Guest VSI。
端口下配置MAC地址认证的Guest VSI与配置MAC地址认证的Guest VLAN或Critical VLAN互斥。
【举例】
# 配置端口Ten-GigabitEthernet1/0/1的Guest VSI名称为vpna。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vsi vpna
【相关命令】
· display mac-authentication
· reset mac-authentication guest-vsi
mac-authentication guest-vsi auth-period命令用来配置设备对Guest VSI中的用户进行重新认证的时间间隔。
undo mac-authentication guest-vsi auth-period命令用来恢复缺省情况。
【命令】
mac-authentication guest-vsi auth-period period-value
undo mac-authentication guest-vsi auth-period
【缺省情况】
设备对Guest VSI中的用户进行重新认证的时间间隔为30秒。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
period-value:表示设备重新发起认证的时间间隔,取值范围为1~3600,单位为秒。
【使用指导】
只有通过mac-authentication guest-vsi re-authenticate命令开启了Guest VSI中用户的重新认证功能,通过本命令设置的重新认证时间间隔才生效。
当端口上同时进行认证的用户数大于300时,建议将重新认证时间设置为30秒以上。
【举例】
# 在端口Ten-GigabitEthernet1/0/1上配置设备对Guest VSI中的用户进行重新认证的时间间隔为150秒。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vsi auth-period 150
【相关命令】
· display mac-authentication
· mac-authentication guest-vsi
· mac-authentication guest-vsi re-authenticate
mac-authentication guest-vsi re-authenticate命令用来开启Guest VSI中用户的重新认证功能。
undo mac-authentication guest-vsi re-authenticate命令用来关闭Guest VSI中用户的重新认证功能。
【命令】
mac-authentication guest-vsi re-authenticate
undo mac-authentication guest-vsi re-authenticate
【缺省情况】
Guest VSI中用户的重新认证功能处于开启状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
用户认证失败后会加入到Guest VSI。当开启Guest VSI中用户的重新认证功能后,设备会按照mac-authentication guest-vsi auth-period命令配置的时间间隔对Guest VSI中的用户定期进行重新认证。若Guest VSI中的用户重新认证失败,设备会打印日志信息。认证失败用户较多时,会导致日志信息过多。
关闭Guest VSI中用户的重新认证功能后,加入到Guest VSI中的用户不会重新发起认证。如果开启了非认证成功VSI的用户老化功能(通过命令mac-authentication unauthenticated-user aging enable),则用户可以按照mac-authentication timer user-aging guest-vsi aging-time-value命令配置的老化时间进行老化并退出Guest VSI,并在需要访问网络时重新发起认证。
可通过执行undo mac-authentication guest-vsi re-authenticate命令关闭Guest VSI中用户的重新认证功能,并根据业务需求调整Guest VSI用户的老化时间。
【举例】
# 开启接口Ten-GigabitEthernet1/0/1上Guest VSI内用户的重新认证功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vsi re-authenticate
【相关命令】
· display mac-authentication
· mac-authentication guest-vsi
· mac-authentication guest-vsi auth-period
· mac-authentication timer
mac-authentication host-mode multi-vlan命令用来指定端口工作在MAC地址认证的多VLAN 模式。
undo mac-authentication host-mode命令用来恢复缺省情况。
【命令】
mac-authentication host-mode multi-vlan
undo mac-authentication host-mode
【缺省情况】
端口工作在MAC地址认证的单VLAN 模式。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
端口工作在不同VLAN模式时,如果相同MAC地址的用户在同一端口下的不同VLAN(指不同于上一次发起认证时所在的VLAN)再次接入,设备对用户的处理方式如下:
· 端口工作在多VLAN模式下时,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。
· 端口工作在单VLAN模式下时,在用户已上线,且没有被下发授权VLAN情况下,设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。
· 在VXLAN组网中,端口工作在单VLAN模式下时,如果已上线用户被下发了授权VLAN,对用户的处理与是否允许用户迁移到同一端口下其它VLAN接入(通过port-security mac-move permit命令)有关:
¡ 如果不允许用户迁移到同一端口下其它VLAN接入,则此用户在同一端口下的不同VLAN接入失败,原用户保持在线。
¡ 如果允许用户迁移到同一端口下其它VLAN接入,则用户在新的VLAN内需要重新认证,且在用户重新上线后,原用户下线。
【举例】
# 配置端口Ten-GigabitEthernet1/0/1工作在MAC地址认证的多VLAN模式。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication host-mode multi-vlan
【相关命令】
· display mac-authentication
· port-security mac-move permit(安全命令参考/端口安全)
mac-authentication mac-range-account命令用来配置对指定MAC地址范围的MAC地址认证用户设置用户名和密码。
undo mac-authentication mac-range-account命令用来恢复缺省情况。
【命令】
mac-authentication mac-range-account mac-address mac-address mask { mask | mask-length } account name password { cipher | simple } string
undo mac-authentication mac-range-account { all | mac-address mac-address }
【缺省情况】
未对指定MAC地址范围的MAC地址认证用户设置用户名和密码,MAC地址认证用户采用mac-authentication user-name-format命令设置的用户名和密码接入设备。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
mac-address mac-address:指定的MAC地址,格式为H-H-H。
mask mask:表示MAC地址的掩码。格式为H-H-H,该掩码转为二进制时,高位必须为连续的1。
mask mask-length:MAC地址掩码长度,即掩码中连续“1”的数量,取值范围为1~48。
account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@。
password:指定用户的密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
all:表示删除所有指定的MAC地址范围。
【使用指导】
如果需要对特定MAC地址范围的用户单独设置用户名和密码(例如对指定OUI的MAC地址单独设置用户名和密码)时,可以执行本命令。本命令的优先级高于mac-authentication user-name-format命令。
可通过多次执行本命令来配置多个MAC地址段的用户名和密码,但不允许指定的MAC地址重叠。如果新配置命令的MAC地址范围与已有的MAC地址范围完全相同,则后配置的命令会覆盖已有的命令。
本命令仅对单播MAC地址范围有效。若配置的MAC地址范围仅包含组播地址,则配置失败;若既包含组播地址,也包含单播地址,则仅单播地址范围部分有效,组播地址范围部分无效。其中,全零MAC地址也不属于有效MAC地址,一个全零的MAC地址用户不能通过MAC地址认证。
设备最多允许配置16个MAC地址范围。
【举例】
# 配置以aaaa开头的MAC地址,进行MAC地址认证时使用的用户名为user1,明文密码为1234。
<Sysname> system-view
[Sysname] mac-authentication mac-range-account mac-address aaaa-0000-0000 mask ffff-0000-0000 account user1 password simple 1234
【相关命令】
· display mac-authentication
· mac-authentication user-name-format
mac-authentication max-user命令用来配置端口上最多允许同时接入的MAC地址认证用户数。undo mac-authentication max-user命令用来恢复缺省情况。
【命令】
mac-authentication max-user max-number
undo mac-authentication max-user
【缺省情况】
端口上最多允许同时接入的MAC地址认证用户数为4294967295。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
max-number:端口允许同时接入的MAC地址认证用户数的最大值,取值范围为1~4294967295。
【使用指导】
由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
【举例】
# 配置端口Ten-GigabitEthernet1/0/1最多允许同时接入32个MAC地址认证用户。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication max-user 32
【相关命令】
· display mac-authentication
mac-authentication offline-detect enable命令用来开启端口的MAC地址认证下线检测功能。
undo mac-authentication offline-detect enable命令用来关闭端口的MAC地址认证下线检测功能。
【命令】
mac-authentication offline-detect enable
undo mac-authentication offline-detect enable
【缺省情况】
端口的MAC地址认证下线检测功能处于开启状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启端口的MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。
关闭端口的MAC地址认证下线检测功能后,设备将不会对在线用户的状态进行检测。
【举例】
# 关闭端口Ten-GigabitEthernet1/0/1上的MAC地址认证下线检测功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] undo mac-authentication offline-detect enable
【相关命令】
· mac-authentication timer
mac-authentication offline-detect mac-address命令用来配置指定MAC地址用户的下线检测功能。
undo mac-authentication offline-detect mac-address命令用来恢复缺省情况。
【命令】
mac-authentication offline-detect mac-address mac-address { ignore | timer offline-detect-value [ check-arp-or-nd-snooping ] }
undo mac-authentication offline-detect mac-address mac-address
【缺省情况】
由端口的下线检测开关控制是否进行下线检测,且使用全局下线检测定时器作为检测周期。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
mac-address:指定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
ignore:表示不对指定MAC地址用户进行下线检测。
timer offline-detect-value:表示设置下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。
check-arp-or-nd-snooping:表示检查是否存在该MAC地址对应的ARP Snooping表项或ND Snooping表项。
【使用指导】
端口上开启了MAC地址认证的下线检测功能后,如需对某些用户的检查参数进行单独设置,或者不对某些用户进行下线检测,则可通过执行本命令实现。
设置下线检测定时器后,设备在一个下线检测周期之内检测到如下情况时,会切断指定用户的连接,同时通知RADIUS服务器停止对此用户进行计费:
· 对指定MAC地址用户设置下线检测定时器且不指定check-arp-or-nd-snooping参数时,设备在一个下线检测周期之内,未收到该在线用户的报文;
· 对指定MAC地址用户设置下线检测定时器且指定check-arp-or-nd-snooping参数时,设备会检查在一个下线检测周期之内,是否存在该MAC地址对应的ARP Snooping或ND Snooping表项,若不存在则检查是否收到该在线用户的报文,若未收到则切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。
如果关闭端口的MAC地址认证下线检测功能(通过undo mac-authentication offline-detect enable命令),则不会对端口上的MAC地址认证用户进行下线检测,且本命令不生效。
通过ignore参数关闭用户下线检测的功能应用于哑终端的认证,避免哑终端用户因为MAC地址认证的下线检测功能开启导致哑终端下线后不能再次上线的问题,保证哑终端用户长期在线。
本命令对在线用户立即生效。
用户进行下线检测设置的优先级由高到低依次为:设备配置的指定MAC地址用户的下线检测设置、RADIUS服务器下发的下线检测设置、端口上的下线检测设置。其中,RADIUS服务器通过RADIUS属性为用户下发下线检测时间、是否检查ARP Snooping或ND Snooping表项,或是否进行下线检测。
【举例】
# 配置对MAC地址为000a-eb29-7511的MAC地址认证用户不进行下线检测。
<Sysname> system-view
[Sysname] mac-authentication offline-detect mac-address 000a-eb29-7511 ignore
# 配置对MAC地址为000a-eb29-7511的MAC地址认证用户进行下线检测时间为24小时。
<Sysname> system-view
[Sysname] mac-authentication offline-detect mac-address 000a-eb29-7511 timer 86400
【相关命令】
· display mac-authentication connection
· mac-authentication offline-detect enable
· mac-authentication timer (system view)
mac-authentication recover-user命令用来手动恢复MAC地址认证用户。
【命令】
mac-authentication recover-user profile profile-name [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
profile profile-name:user-recovery Profile名称,为1~31个字符的字符串,不区分大小写。
interface interface-type interface-number:指定MAC地址认证用户所在的端口。interface-type interface-number为端口类型和端口编号。若不指定该参数,则表示恢复所有端口上的MAC地址认证用户。
【使用指导】
设备或接口板重启、接口故障原因导致设备上MAC认证用户下线后,如果因链路震荡等原因使得设备自动恢复MAC地址认证用户并不完全时,管理员可以执行本命令从指定的RESTful服务器上获取待恢复的在线用户信息,并为这些用户重新认证,达到用户不感知的情况下恢复用户在线状态的目的。
【举例】
# 使用名称为profile1的user-recovery Profile手动恢复MAC地址认证用户。
<Sysname> mac-authentication recover-user profile profile1
【相关命令】
· mac-authentication auto-recover-user
· mac-authentication user-recovery-profile
mac-authentication parallel-with-dot1x命令用来配置端口MAC地址认证和802.1X认证并行处理功能。
undo mac-authentication parallel-with-dot1x命令用来恢复缺省情况。
【命令】
mac-authentication parallel-with-dot1x
undo mac-authentication parallel-with-dot1x
【缺省情况】
端口在收到源MAC地址未知的报文触发认证时,按照802.1X认证完成后再进行MAC地址认证的顺序进行处理。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
端口采用802.1X和MAC地址组合认证功能适用于如下情况:
· 端口上同时开启了802.1X和MAC地址认证功能,并配置了802.1X认证的端口的接入控制方式为macbased。
· 开启了端口安全功能,并配置了端口安全模式为userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。
在端口采用802.1X认证和MAC地址组合认证的情况下,如果想要在端口加入到802.1X Guest VLAN或Guest VSI之前进行MAC地址认证并下发授权VLAN或授权VSI,请通过本命令开启端口MAC地址认证和802.1X认证并行处理功能,并配置端口延迟加入802.1X Guest VLAN或端口延迟加入802.1X Guest VSI功能。关于端口延迟加入802.1X Guest VLAN和端口延迟加入802.1X Guest VSI配置命令的详细介绍,请参见“安全命令参考”中的“802.1X”。
开启了MAC地址认证和802.1X认证并行处理功能后,不建议配置端口的MAC地址认证延迟功能。
【举例】
# 在端口Ten-GigabitEthernet1/0/1上开启MAC地址认证和802.1X认证并行处理功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication parallel-with-dot1x
mac-authentication re-authenticate命令用来开启MAC地址周期性重认证功能。
undo mac-authentication re-authenticate命令用来关闭MAC地址周期性重认证功能。
【命令】
mac-authentication re-authenticate
undo mac-authentication re-authenticate
【缺省情况】
MAC地址周期性重认证功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
端口开启了MAC地址认证用户的周期性重认证功能后,设备会周期性对该端口上的MAC地址认证在线用户进行重认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN等)。
如果同时配置了重认证功能和当RADIUS服务器变为可达后,设备向RADIUS服务器同步MAC地址认证在线用户信息的功能,则当重认证定时器超时时,设备不会对用户进行重认证,而是对用户进行同步操作。
【举例】
# 在端口Ten-GigabitEthernet1/0/1上开启MAC地址重认证功能,并配置周期性重认证时间间隔为1800秒。
<Sysname> system-view
[Sysname] mac-authentication timer reauth-period 1800
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication re-authenticate
【相关命令】
· display mac-authentication
· mac-authentication server-recovery online-user-sync
· mac-authentication timer
mac-authentication re-authenticate server-unreachable keep-online命令用来配置重认证服务器不可达时端口上的MAC地址认证用户保持在线状态。
undo mac-authentication re-authenticate server-unreachable命令用来恢复缺省情况。
【命令】
mac-authentication re-authenticate server-unreachable keep-online
undo mac-authentication re-authenticate server-unreachable
【缺省情况】
端口上的MAC地址认证在线用户重认证时,若认证服务器不可达,则会被强制下线。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
配置此命令后,在对MAC地址认证用户重认证过程中,若设备发现认证服务器状态不可达,则保持MAC地址认证用户在线。
是否对MAC地址认证在线用户进行周期性重认证由认证服务器授权的属性所决定。认证服务器通过下发RADIUS属性(session-timeout、Terminal-Action)来指定用户会话超时时长以及会话中止的动作类型,它们共同决定了如何对用户进行重认证。
· 当会话中止的动作类型为要求用户进行重认证时,端口会在用户会话超时时长到达后对该用户进行重认证;
· 当会话中止的动作类型为要求用户下线时,端口会在用户会话超时时长到达强制该用户下线;
· 当认证服务器未下发用户会话超时时长时,设备不会对用户进行重认证。
【举例】
# 配置端口Ten-GigabitEthernet1/0/1上的MAC地址认证在线用户进行重认证时,若服务器不可达,则保持在线状态。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication re-authenticate server-unreachable keep-online
【相关命令】
· display mac-authentication
mac-authentication server-recovery online-user-sync命令用来开启RADIUS服务器变为可达后的MAC地址认证在线用户信息同步功能。
undo mac-authentication server-recovery online-user-sync命令用来关闭MAC地址认证在线用户信息同步功能。
【命令】
mac-authentication server-recovery online-user-sync
undo mac-authentication server-recovery online-user-sync
【缺省情况】
MAC地址认证在线用户信息同步功能处于关闭状态,即当RADIUS服务器从不可达状态恢复为可达后,设备不向RADIUS服务器同步MAC地址认证的在线用户信息。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
设备向RADIUS服务器同步MAC地址认证在线用户信息功能只能与iMC服务器配合使用。
开启本功能后,当通过RADIUS服务器探测功能(具体配置步骤请参见“安全配置指导”中的“AAA”)探测到服务器由不可达变为可达后,设备便主动对端口上的所有在线用户依次向服务器发起认证请求,等到这些用户均通过认证后,达到服务器上的在线用户信息与该端口上的在线用户信息一致的目的。
在设备向RADIUS服务器同步MAC地址认证在线用户过程中,特殊情况处理如下:
· 如果在RADIUS服务器可达情况下,某用户认证失败,则设备强制该用户下线。
· 如果在设备发起下一次RADIUS服务器探测前,RADIUS服务器变为不可达而导致用户认证失败,则用户仍然保持在线。
· 如果有新用户发起认证,则该认证用户的信息不会向RADIUS服务器进行同步。
· 如果设备配置了周期性重认证功能,当重认证定时器超时时,设备不会对在线用户发起重认证,而是对用户进行同步操作。
当RADIUS服务器从不可达变为可达时,处于Critical VLAN或Critical VSI中的用户也会再次发起认证,在设备上MAC地址认证在线用户较多的情况下,如果配置了本功能,会因为同时进行认证的用户数量较大,而导致用户的上线时间变长。
本功能需要与RADIUS服务器探测功能配合使用。
【举例】
# 配置设备向RADIUS服务器同步Ten-GigabitEthernet1/0/1端口下的MAC地址认证在线用户信息。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication server-recovery online-user-sync
【相关命令】
· display mac-authentication
· radius-server test-profile(安全命令参考/AAA)
· timer quiet (RADIUS scheme view)(安全命令参考/AAA)
mac-authentication timer命令用来配置端口上的MAC地址认证的定时器参数。
undo mac-authentication timer命令用来将端口上指定的MAC地址认证定时器恢复为缺省情况。
【命令】
mac-authentication timer { auth-delay auth-delay-time | reauth-period reauth-period-value }
undo mac-authentication timer { auth-delay | reauth-period }
【缺省情况】
端口上未配置MAC地址认证延迟定时器,表示MAC地址认证延迟功能处于关闭状态,如果用户报文触发MAC地址认证,认证将会立刻开始;端口上未配置MAC地址周期性重认证定时器,端口使用系统视图下配置的MAC地址周期性重认证定时器的取值。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
auth-delay auth-delay-time:表示MAC地址认证延迟定时器。其中auth-delay-time表示MAC地址认证延迟定时器的值,取值范围为1~180,单位为秒。
reauth-period reauth-period-value:表示MAC地址认证周期性重认证定时器。其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~7200,单位为秒。
【使用指导】
端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。
开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是在等待一定的延迟时间之后,再会对之前收到的用户报文进行MAC地址认证。在此认证延迟期间,端口对用户报文的其它认证过程并不受影响。
开启了MAC地址认证延迟功能的端口上不建议同时配置端口安全的模式为mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。
对MAC地址认证用户进行重认证时,设备将按照如下由高到低的顺序为其选择重认证时间间隔:服务器下发的重认证时间间隔、接口视图下配置的周期性重认证定时器的值、系统视图下配置的周期性重认证定时器的值、设备缺省的周期性重认证定时器的值。
对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
【举例】
# 开启MAC地址延迟认证功能,并指定MAC地址认证的延时时间为10秒。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication timer auth-delay 10
【相关命令】
· display mac-authentication
· port-security port-mode(安全命令参考/端口安全)
mac-authentication timer命令用来配置MAC地址认证的定时器参数。
undo mac-authentication timer命令用来恢复缺省情况。
【命令】
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | reauth-period reauth-period-value | server-timeout server-timeout-value | temporary-user-aging aging-time-value | user-aging { critical-vlan | critical-vsi | guest-vlan | guest-vsi } aging-time-value }
undo mac-authentication timer { offline-detect | quiet | reauth-period | server-timeout | temporary-user-aging | user-aging { critical-vlan | critical-vsi | guest-vlan | guest-vsi } }
【缺省情况】
下线检测定时器的值为300秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,服务器超时定时器的值为100秒,临时MAC地址认证用户老化定时器的值为60秒,指定类型的非认证成功VLAN或VSI内用户老化定时器的值为1000秒。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。
quiet quiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围为1~3600,单位为秒。
reauth-period reauth-period-value:表示周期性重认证定时器,其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~7200,单位为秒。
server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。
temporary-user-aging aging-time-value:表示临时MAC地址认证用户的老化定时器。其中aging-time-value表示临时MAC地址认证用户老化定时器的值,取值范围为60~2147483647,单位为秒。
user-aging:设置加入到指定类型的非认证成功VLAN或VSI中用户的老化定时器。
critical-vlan:加入到Critical VLAN中用户的老化定时器。
critical-vsi:加入到Critical VSI中用户的老化定时器。
guest-vlan:加入到Guest VLAN中用户的老化定时器。
guest-vsi:加入到Guest VSI中用户的老化定时器。
aging-time-value:用户老化定时器的值,取值范围为60~2147483647,单位为秒。
【使用指导】
MAC地址认证过程受以下定时器的控制:
· 下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。开启MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。配置offline-detect时,需要将MAC地址老化时间配成相同时间,否则会导致用户异常下线。只有当端口的MAC地址认证下线检测功能处于开启状态时,该定时器生效。
· 静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 周期性重认证定时器(reauth-period):端口下开启了MAC地址周期性重认证功能后,设备可以此间隔为周期对端口上的在线用户发起重认证。对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
建议将server-timeout的值设定为小于或等于设备发送RADIUS报文的最大尝试次数(retry)与RADIUS服务器响应超时时间(timer response-timeout)之积。如果server-timeout的值大于retry与timer response-timeout之积,则可能在server-timeout设定的服务器超时时间到达前,用户被强制下线。
关于发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间的具体配置请参见“安全配置指导”中的“AAA”。
· 临时MAC地址认证用户的老化定时器(temporary-user-aging):用来设置临时MAC地址认证用户的老化时间。在配置了端口安全模式为macAddressAndUserLoginSecureExt的端口上,用户MAC地址认证成功后为其启用该定时器。如果到达设定的老化时间后端口仍没有收到该MAC地址用户的802.1X协议报文,则临时MAC地址认证用户下线,用户认证失败。关于端口安全模式的详细介绍,请参见“安全配置指导”中的“端口安全”。
· 用户老化定时器(user-aging):用来设置指定类型的VLAN或VSI内用户老化时间。用户加入到Guest VLAN、Critical VLAN或加入到Guest VSI、Critical VSI后,设备启动该定时器。如果到达设定的老化时间,则用户离开指定的VLAN或VSI。
只有通过mac-authentication unauthenticated-user aging enable命令开启非认证成功VLAN和VSI中MAC地址认证用户的老化功能时,该定时器生效。
请不要将Guest VLAN或Guest VSI内用户老化时间设置为用户进行重新认证的时间间隔(通过命令mac-authentication guest-vlan auth-period/mac-authentication guest-vsi auth-period进行配置)的整数倍,否则会导致用户老化定时器失效。
【举例】
# 设置服务器超时定时器时长为150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan auth-period
· mac-authentication guest-vsi auth-period
· mac-authentication unauthenticated-user aging enable
· port-security port-mode(安全命令参考/端口安全)
· retry(安全命令参考/AAA)
· timer response-timeout (RADIUS scheme view)(安全命令参考/AAA)
mac-authentication unauthenticated-user aging enable命令用来开启非认证成功VLAN和VSI中MAC地址认证用户的老化功能。
undo mac-authentication unauthenticated-user aging enable命令用来关闭非认证成功VLAN和VSI中MAC地址认证用户的老化功能。
【命令】
mac-authentication unauthenticated-user aging enable
undo mac-authentication unauthenticated-user aging enable
【缺省情况】
非认证成功VLAN和VSI中MAC地址认证用户的老化功能处于开启状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启非认证成功VLAN和VSI中MAC地址认证用户的老化功能后,当MAC地址认证用户加入到Critical VLAN、Guest VLAN或加入到Critical VSI、Guest VSI时,设备启动用户老化定时器,到达老化时间(通过mac-authentication timer user-aging命令配置)后,用户离开对应的VLAN或VSI。
当端口上非认证成功VLAN或VSI的用户需要迁移到其它端口接入时,请开启本端口上非认证成功VLAN和VSI用户的老化功能,将本端口上的用户MAC地址老化删除。反之,当本端口非认证成功VLAN或VSI的用户不需要迁移到其它端口接入时,建议关闭本功能,以免用户老化退出后无法访问对应VLAN或VSI中的资源。
【举例】
# 关闭端口Ten-GigabitEthernet1/0/1上非认证成功VLAN和VSI中MAC地址认证用户的老化功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] undo mac-authentication unauthenticated-user aging enable
【相关命令】
· mac-authentication timer
mac-authentication user-name-format命令用来配置MAC地址认证用户的账号格式。
undo mac-authentication user-name-format命令用来恢复缺省情况。
【命令】
mac-authentication user-name-format { fixed [ account name ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] } [ password { cipher | simple } string ]
undo mac-authentication user-name-format
【缺省情况】
使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符“-”。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
fixed:表示采用固定用户名账号。
account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。
mac-address:表示使用用户的MAC地址作为用户名。
with-hyphen:带连字符“-”的MAC地址格式,例如xx-xx-xx-xx-xx-xx。
without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx。
lowercase:MAC地址中的字母为小写。
uppercase:MAC地址中的字母为大写。
password:指定用户的密码。使用用户的MAC地址作为用户名时,若不配置password参数,则表示使用用户的MAC地址同时作为用户名和密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。若不指定该参数,则在使用用户的MAC地址作为用户名的情况下,表示使用用户的MAC地址作为密码;对于采用固定用户名的情况,表示无密码。
【使用指导】
指定用户的MAC地址为用户名时,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户账户。
若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名账号进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
【举例】
# 配置MAC地址认证的用户名为abc,密码是明文xyz。
<Sysname> system-view
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用户的MAC地址为用户名和密码,使用带连字符“-”的MAC地址格式,其中字母大写。
<Sysname> system-view
[Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase
【相关命令】
· display mac-authentication
mac-authentication user-recovery-profile命令用来创建MAC地址认证user-recovery Profile,并进入user-recovery Profile视图。如果指定的user-recovery Profile已存在,则直接进入user-recovery Profile视图。
undo mac-authentication user-recovery-profile命令用来删除指定的MAC地址认证user-recovery Profile。
【命令】
mac-authentication user-recovery-profile profile-name
undo mac-authentication user-recovery-profile profile-name
【缺省情况】
不存在MAC地址认证user-recovery Profile。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
profile-name:user-recovery Profile名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
user-recovery Profile中定义了RESTful服务器的相关参数,主要包括服务器的IP地址、用户资源URI和登录到该服务器所需的用户名和密码。设备与RESTful服务器成功建立连接之后,可以从该服务器上手工或自动获取在线用户的账户信息,用于设备或接口板重启、接口故障恢复后的用户状态恢复。
系统最多支持配置16个user-recovery Profile。
【举例】
# 创建一个名称为profile1的MAC地址认证user-recovery Profile,并进入其视图。
<Sysname> system-view
[Sysname] mac-authentication user-recovery-profile profile1
[Sysname-user-recovery-profile-profile1]
New user-recovery profile created
【相关命令】
· display mac-authentication user-recovery-profile
· mac-authentication auto-recover-user
· mac-authentication recover-user
mac-authentication web-proxy命令用来配置允许触发MAC地址认证URL重定向的Web代理服务器端口。
undo mac-authentication web-proxy命令用来删除指定或所有的Web代理服务器端口。
【命令】
mac-authentication web-proxy { http | https } port port-number
undo mac-authentication web-proxy { { http | https } port port-number | all-port }
【缺省情况】
未配置允许触发MAC地址认证URL重定向的Web代理服务器端口。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
http:表示HTTP请求触发MAC地址认证URL重定向功能。
https:表示HTTPS请求触发MAC地址认证URL重定向功能。
port port-number:MAC地址认证URL重定向功能的Web代理服务器的TCP端口号,取值范围为1~65535。其中,80和443端口是MAC地址认证URL重定向功能的预留端口号,不可配置。
all-port:指定所有MAC地址认证URL重定向功能的Web代理服务器的TCP端口号。
【使用指导】
设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP/HTTPS请求才能触发MAC地址认证URL重定向功能。若用户使用配置了Web代理服务器的浏览器上网,则用户在通过MAC地址认证之后发送的HTTP/HTTPS请求报文将被丢弃。这种情况下,网络管理员可以通过在设备上添加Web代理服务器的TCP端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP/HTTPS请求也可以触发MAC地址认证的URL重定向。
配置允许触发MAC地址认证URL重定向功能的Web代理服务器端口,需要注意的是:
· 通过多次执行本命令,最多可以添加64个允许触发MAC地址认证URL重定向功能的Web代理服务器端口。
· HTTP和HTTPS请求允许触发MAC地址认证URL重定向功能的Web代理服务器端口不能相同。
· 在有MAC地址认证用户在线的情况下,通过本命令新增或删除Web代理端口号时,设备会强制让所有授权了重定向URL的MAC地址认证用户下线。
【举例】
# 配置HTTP请求允许触发MAC地址认证URL重定向的Web代理服务器端口号为8080。
<Sysname> system-view
[Sysname] mac-authentication web-proxy http port 8080
【相关命令】
· display mac-authentication
nas-ip命令用来配置设备和RESTful服务器交互时使用的NAS-IP地址。
undo nas-ip命令用来删除设备和RESTful服务器交互时使用的NAS-IP地址。
【命令】
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip
【缺省情况】
未配置设备和RESTful服务器交互时使用的NAS-IP地址。
【视图】
user-recovery Profile视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:指定的IPv4 NAS-IP地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的IPv6 NAS-IP地址,必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
RESTful服务器上通过IP地址来标识接入设备,它会根据收到的RESTful请求中携带的NAS-IP地址参数来匹配接入设备,然后将匹配上的接入设备的用户信息发送给该接入设备。
此处配置的NAS-IP必须和用户认证使用的RADIUS方案下的NAS-IP配置保持一致,而且同一个user-recovery Profile下配置的NAS-IP地址类型必须和RESTful服务器IP地址类型保持一致,否则设备不会向该视图中指定的RESTful服务器发送请求。
同一个user-recovery Profile下多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为profile1的user-recovery Profile视图下,配置设备和RESTful服务器交互使用的NAS-IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] mac-authentication user-recovery-profile profile1
[Sysname-user-recovery-profile-profile1] nas-ip 10.1.1.1
【相关命令】
· display mac-authentication user-recovery-profile
reset mac-authentication access-user命令用来强制MAC地址认证用户下线。
【命令】
reset mac-authentication access-user [ interface interface-type interface-number | mac mac-address | username username | vlan vlan-id | vsi vsi-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface interface-type interface-number:表示强制指定端口下的MAC地址认证用户下线。interface-type interface-number为端口类型和端口编号。
mac mac-address:表示强制指定MAC地址的MAC地址认证用户下线。mac-address表示MAC地址认证用户的MAC地址,格式为H-H-H。
username username:表示强制指定名称的MAC地址认证用户下线。username表示MAC地址认证用户的名称,为1~253个字符的字符串,区分大小写。
vlan vlan-id:表示强制指定VLAN内的MAC地址认证用户下线。vlan-id表示MAC地址认证用户当前所在VLAN的VLAN ID(可通过display mac-address命令查看),取值范围为1~4094。
vsi vsi-name:表示强制指定VSI内的MAC地址认证用户下线。vsi-name表示MAC地址认证在线用户的授权VSI名称,为1~31个字符的字符串,区分大小写。
【使用指导】
reset mac-authentication access-user命令用来强制指定的MAC地址认证用户下线。强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行MAC地址认证。
指定vsi vsi-name参数时,设备会查找认证成功且已授权VSI的用户,将授权VSI为vsi-name的用户强制下线。
指定vlan vlan-id参数时,设备会对如下几种MAC地址认证用户进行下线处理:
· 对于已经认证成功且服务器已授权VLAN的用户,将服务器授权的VLAN为vlan-id的用户强制下线;
· 对于已认证成功且服务器未授权VLAN的用户,将设备上对用户生效的VLAN为vlan-id的用户强制下线;
· 对于正在认证中的用户,将初始VLAN为vlan-id的用户强制下线。
如果不指定任何参数,则强制设备上所有MAC地址认证用户下线。
【举例】
# 强制端口Ten-GigabitEthernet1/0/1上的所有MAC地址认证用户下线。
<Sysname> reset mac-authentication access-user interface ten-gigabitethernet 1/0/1
【相关命令】
· display mac-authentication connection
reset mac-authentication critical vlan命令用来清除Critical VLAN内的MAC地址认证用户。
【命令】
reset mac-authentication critical vlan interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出Critical VLAN。interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Critical VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Critical VLAN。
【举例】
# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Critical VLAN。
<Sysname> reset mac-authentication critical vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1
【相关命令】
· display mac-authentication
· mac-authentication critical vlan
reset mac-authentication critical vsi命令用来清除Critical VSI内的MAC地址认证用户,使其退出Critical VSI。
【命令】
reset mac-authentication critical vsi interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出Critical VSI。interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Critical VSI。若不指定本参数,则表示使指定端口上的所有用户退出Critical VSI。
【举例】
# 强制端口Ten-GigabitEthernet1/0/1上接入的、MAC地址为1-1-1的MAC地址认证用户退出Critical VSI。
<Sysname> reset mac-authentication critical vsi interface ten-gigabitethernet 1/0/1 mac-address 1-1-1
【相关命令】
· display mac-authentication
· mac-authentication critical vsi
reset mac-authentication critical-voice-vlan命令用来清除MAC地址认证Critical Voice VLAN内的MAC地址认证用户。
【命令】
reset mac-authentication critical-voice-vlan interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出MAC地址认证的Critical Voice VLAN,其中interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示清除指定MAC地址的用户退出MAC地址认证的Critical Voice VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Critical Voice VLAN。
【举例】
# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Critical Voice VLAN。
<Sysname> reset mac-authentication critical-voice-vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1
【相关命令】
· display mac-authentication
· mac-authentication critical-voice-vlan
reset mac-authentication guest-vlan命令用来清除Guest VLAN内的MAC地址认证用户。
【命令】
reset mac-authentication guest-vlan interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出Guest VLAN。interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Guest VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Guest VLAN。
【举例】
# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Guest VLAN。
<Sysname> reset mac-authentication guest-vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan
reset mac-authentication guest-vsi命令用来清除Guest VSI内的MAC地址认证用户,使其退出Guest VSI。
【命令】
reset mac-authentication guest-vsi interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出Guest VSI。interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Guest VSI。若不指定本参数,则表示使指定端口上的所有用户退出Guest VSI。
【举例】
# 强制端口Ten-GigabitEthernet1/0/1上接入的、MAC地址为1-1-1的MAC地址认证用户退出Guest VSI。
<Sysname> reset mac-authentication guest-vsi interface ten-gigabitethernet 1/0/1 mac-address 1-1-1
【相关命令】
· display mac-authentication
· mac-authentication guest-vsi
reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。
【命令】
reset mac-authentication statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface interface-type interface-number:清除指定端口的MAC地址认证统计信息。interface-type interface-number为端口类型和端口编号。如果不指定本参数,则清除所有端口上的MAC地址认证统计信息。
【举例】
# 清除以太网端口Ten-GigabitEthernet1/0/1上的MAC认证统计信息。
<Sysname> reset mac-authentication statistics interface ten-gigabitethernet 1/0/1
【相关命令】
· display mac-authentication
server-address命令用来配置RESTful服务器的IP地址参数。
undo server-address命令用来恢复缺省情况。
【命令】
server-address { ip ipv4-address | ipv6 ipv6-address } [ port port-number ] [ vpn-instance vpn-instance-name ]
undo server-address
【缺省情况】
未配置RESTful服务器的IP地址参数。
【视图】
user-recovery Profile视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip ipv4-address:RESTful服务器的IPv4地址。
ipv6 ipv6-address:RESTful服务器的IPv6地址。
port port-number:RESTful服务器监听请求消息的端口号,取值范围为1~65535,缺省值为80。
vpn-instance vpn-instance-name:RESTful服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定该参数,则表示RESTful服务器位于公网。
【使用指导】
设备或接口板重启、接口故障恢复后,将与指定的RESTful服务器通信,获取接口上的MAC地址认证用户账户信息。
同一个user-recovery Profile下配置的RESTful服务器IP地址类型必须和NAS-IP的地址类型保持一致。
同一个user-recovery Profile下多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为profile1的user-recovery Profile视图下,指定RESTful服务器的IP地址为3.3.3.3,端口号为8080。
<Sysname> system-view
[Sysname] mac-authentication user-recovery-profile profile1
[Sysname-user-recovery-profile-profile1] server-address ip 3.3.3.3 port 8080
【相关命令】
· display mac-authentication user-recovery-profile
· nas-ip
uri命令用来指定RESTful服务器的URI。
undo uri命令用来删除指定的RESTful服务器URI。
【命令】
uri uri-string
undo uri
【缺省情况】
未指定RESTful服务器的URI。
【视图】
user-recovery Profile视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
uri-string:URI名称,为1~255字符的字符串,不区分大小写。
【使用指导】
本命令指定的URI为RESTful服务器上提供用户资源服务的URI。
支持指定的RESTful服务器的URI为imcrs/uam/online/notAgingMuteTerminal,指定为其他URI时,本配置不生效。
设备向RESTful服务器发起请求获取在线用户信息时,HTTP请求的URL地址由该RESTful服务器的IP地址、监听端口号以及本命令指定的URI拼接而成,格式为http://server-ip:port/uri,例如http://3.3.3.3:8080/imcrs/uam/online/notAgingMuteTerminal。
【举例】
# 在名称为profile1的user-recovery Profile视图下,指定向RESTful服务器请求用户信息的URI为imcrs/uam/online/notAgingMuteTerminal。
<Sysname> system-view
[Sysname] mac-authentication user-recovery-profile profile1
[Sysname-user-recovery-profile-profile1] uri imcrs/uam/online/notAgingMuteTerminal
【相关命令】
· display mac-authentication user-recovery-profile
· server-address
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
