- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-MAC地址认证典型配置举例
本章节下载: 02-MAC地址认证典型配置举例 (1.24 MB)
目 录
本文档介绍了使用MAC地址认证功能实现用户安全接入的典型配置案例。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解MAC地址认证特性。
如图3-1所示,通过配置MAC地址本地认证功能,实现在无需架设服务器的情况下,完成接入用户的安全认证,控制其对Internet的访问。
图3-1 开启MAC地址认证对接入用户进行本地认证
· 在Device与用户端相连的端口Twenty-FiveGigE1/0/1上配置MAC地址认证。
· 认证用户属于域bbb,用户名和密码都为用户端的MAC地址:08-00-27-00-98-d2。
· 为了防止非法MAC短时间内的重复认证,可配置MAC地址认证定时器。
表3-1 适用产品及版本
|
产品 |
软件版本 |
|
S6550X-HI系列 |
Release 1213P01及以上版本 |
|
S6880系列 |
Release 1213P01及以上版本 |
|
S9820-8M |
Release 1213P01及以上版本 |
|
S5580X-HI系列 |
Release 1213P01及以上版本 |
|
S5580X-EI系列 |
Release 1213P01及以上版本 |
|
S5580S-EI系列 |
Release 1213P01及以上版本 |
· 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
· 创建本地用户时,需要注意用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
# 添加本地接入用户。
<Device> system-view
[Device] local-user 08-00-27-00-98-d2 class network
[Device-luser-network-08-00-27-00-98-d2] password simple 08-00-27-00-98-d2
[Device-luser-network-08-00-27-00-98-d2] service-type lan-access
[Device-luser-network-08-00-27-00-98-d2] quit
# 配置ISP域,使用本地认证方式。
[Device] domain bbb
[Device-isp-bbb] authentication lan-access local
[Device-isp-bbb] quit
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址认证的下线定时器和静默定时器。即设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址认证的用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启端口Twenty-FiveGigE1/0/1的MAC地址认证。
[Device] interface twenty-fivegige 1/0/1
[Device-Twenty-FiveGigE1/0/1] mac-authentication
[Device-Twenty-FiveGigE1/0/1] quit
# 开启全局MAC地址认证特性。
[Device] mac-authentication
# 显示全局MAC地址配置信息。
<Device>display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
MAC range accounts : 0
MAC address Mask Username
Offline detect period : 180 s
Quiet period : 180 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for critical VSI : 1000 s
User aging period for guest VLAN : 1000 s
User aging period for guest VSI : 1000 s
User aging period for critical microsegment: 1000 s
Authentication domain : bbb
HTTP proxy port list : Not configured
HTTPS proxy port list : Not configured
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
Twenty-FiveGigE1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Disabled
Guest VSI : Not configured
Guest VSI reauthentication : Enabled
Guest VSI auth-period : 30 s
Critical VSI : Not configured
Critical microsegment ID : Not configured
URL user logoff : No
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
0800-2700-98d2 Authenticated
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
mac-authentication domain bbb
mac-authentication user-name-format mac-address with-hyphen lowercase
domain bbb
authentication lan-access local
#
local-user 08-00-27-00-98-d2 class network
password cipher $c$3$rTXB/eL1h+bXc/t2nyQOrhDMC0PWfyiPb93BqMCK+JFYwvn5
service-type lan-access
authorization-attribute user-role network-operator
#
interface Twenty-FiveGigE1/0/1
mac-authentication
#
如图4-1所示,一台主机通过Device(作为VTEP设备)接入VXLAN网络,认证服务器为RADIUS服务器。现有如下组网需求:
· 一台iMC服务器(IP地址为10.1.1.1/24)作为RADIUS认证授权计费服务器。
· 设备的管理者希望在端口Twenty-FiveGigE1/0/1上对用户接入进行MAC地址认证,以控制其对Internet的访问。
· 用户认证成功上线后,认证服务器下发VSI bbb,此时Host的流量被映射到VSI bbb对应的VXLAN 5内,Host可以访问对应的资源。
· 所有用户都属于域2000,认证时采用MAC地址用户名格式,用户名和密码为用户的MAC地址(本例为d4-85-64-be-c6-3e)。
图4-1 MAC地址认证支持授权VSI下发
· 在RADIUS服务器上添加接入设备和用户帐号,并指定授权下发VSI。
· 在Device上配置RADIUS方案,并配置授权VSI下的VXLAN。
· 在Device与用户端相连的端口上配置MAC地址认证。
表4-1 适用产品及版本
|
产品 |
软件版本 |
|
S6550X-HI系列 |
Release 1213P01及以上版本 |
|
S6880系列 |
Release 1213P01及以上版本 |
|
S9820-8M |
Release 1213P01及以上版本 |
|
S5580X-HI系列 |
Release 1213P01及以上版本 |
|
S5580X-EI系列 |
Release 1213P01及以上版本 |
|
S5580S-EI系列 |
Release 1213P01及以上版本 |
· 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
· 在RADIUS服务器上添加用户帐号,用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
· 在标准的RADIUS协议中,RADIUS服务器的认证端口为UDP端口1812,我司设备作为RADIUS服务器时认证端口为UDP端口1645。
若实际组网中认证/授权服务器采用的是ADCAM服务器,有关MAC地址认证支持下发VSI的相关配置需要在ADCAM服务器端完成,再自动下发到设备上。因此,Device上不需要做认证相关配置。
下面以iMC为例(使用iMC版本为:iMC PLAT 7.3(E0506)、iMC EIA 7.3(E0503)、iMC EIP 7.3(E0503)),说明RADIUS服务器的基本配置。
在RADIUS服务器上添加用户账户(用户名为d4-85-64-be-c6-3e,密码为d4-85-64-be-c6-3e),指定要授权下发的VSI,并保证用户的认证/授权/计费功能正常运行。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证端口和计费端口分别为“1812”和“1813”;
· 选择接入设备类型为“H3C (General)”;
· 设置与Switch交互报文时的认证、计费共享密钥为“expert”;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
· 其它参数采用缺省值;
· 单击<确定>按钮完成操作。
添加的接入设备IP地址要与Device发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
图4-2 增加接入设备页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。在该页面中单击<增加>按钮,进入增加接入策略页面。
· 输入接入策略名称“MACauth”;
· 配置授权下发的VSI名称为“bbb”;
· 本配置页面中还有其它策略配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图4-3 增加接入策略页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。在该页面中单击<增加>按钮,进入增加服务配置页面。
· 输入服务名“MACauth Service”、服务后缀为“2000”,此服务后缀为MAC地址认证用户使用的认证域。指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名;
· 选择缺省接入策略为“MACauth”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图4-4 增加服务配置页面
选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。在该页面中单击<增加>按钮,进入增加接入用户页面。
· 选择或者手工增加用户姓名“test”;
· 输入账号名“d4-85-64-be-c6-3e”和密码“d4-85-64-be-c6-3e”;
· 选择该用户所关联的接入服务为“MACauth Service”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图4-5 增加接入用户页面
# 配置RADIUS方案。
<Device> system-view
[Device] radius scheme bbb
[Device-radius-bbb] primary authentication 10.1.1.1
[Device-radius-bbb] primary accounting 10.1.1.2
[Device-radius-bbb] key authentication simple expert
[Device-radius-bbb] key accounting simple expert
[Device-radius-bbb] user-name-format with-domain
[Device-radius-bbb] quit
# 配置ISP域的2000方法。
[Device] domain 2000
[Device-isp-2000] authentication lan-access radius-scheme bbb
[Device-isp-2000] authorization lan-access radius-scheme bbb
[Device-isp-2000] accounting lan-access radius-scheme bbb
[Device-isp-2000] quit
# 开启端口Twenty-FiveGigE1/0/1的MAC地址认证。
[Device] interface twenty-fivegige 1/0/1
[Device-Twenty-FiveGigE1/0/1] mac-authentication
# 在端口Twenty-FiveGigE1/0/1开启动态创建的以太网服务实例匹配MAC地址功能。
[Device-Twenty-FiveGigE1/0/1] mac-based ac
[Device-Twenty-FiveGigE1/0/1] quit
# 开启L2VPN功能。
[Device] l2vpn enable
# 配置授权VSI下的VXLAN。
[Device] vsi bbb
[Device-vsi-bbb] vxlan 5
[Device-vsi-bbb-vxlan-5] quit
[Device-vsi-bbb] quit
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain 2000
# 配置MAC地址认证使用MAC地址用户名格式,且携带连字符,字母小写。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启全局MAC地址认证。
[Device] mac-authentication
在用户认证成功之后,通过命令display mac-authtication connection可以看到服务器已下发授权VSI bbb。
[Device] display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: d485-64be-c63e
Access interface: Twenty-FiveGigE1/0/1
Username: d4-85-64-be-c6-3e
User access state: Successful
Authentication domain: 2000
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
Initial VLAN: 1
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: bbb
Authorization microsegment ID: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization CAR:
Average input rate: 102400 bps
Peak input rate: 204800 bps
Average output rate: 102400 bps
Peak output rate: 204800 bps
Authorization URL: N/A
Termination action: N/A
Session timeout period: N/A
Offline detection: 100 sec (server-assigned)
Online from: 2016/06/13 09:06:37
Online duration: 0h 0m 35s
通过命令display l2vpn forwording ac verbose可以看到成功创建动态AC。
[Device] display l2vpn forwarding ac verbose
VSI Name: bbb
Interface: WGE1/0/1 Service Instance: 1
Link ID : 0
Access Mode : VLAN
Encapsulation: untagged
Type : Dynamic (MAC-based)
MAC address : d485-64be-c63e
#
radius scheme bbb
primary authentication 10.1.1.1
primary accounting 10.1.1.2
key authentication cipher $c$3$+zuETC3Y0LHiW3bxzBb+UNEuWlxHkQ==
key accounting cipher $c$3$2b8hx6mbWlnMMQY82TeUzgh0VnWXbg==
user-name-format with-domain
#
domain 2000
authentication lan-access radius-scheme bbb
accounting lan-access radius-scheme bbb
#
interface Twenty-FiveGigE1/0/1
mac-authentication
mac-based ac
#
vsi bbb
vxlan 5
#
l2vpn enable
#
mac-authentication domain 2000
#
mac-authentication user-name-format mac-address with-hyphen lowercase
#
mac-authentication
#
如图5-1所示,用户主机Host通过端口Twenty-FiveGigE1/0/1连接到设备上,设备通过RADIUS服务器对用户进行认证、授权和计费,Internet网络中有一台FTP服务器,IP地址为10.0.0.1。现有如下组网需求:
· 一台iMC服务器(IP地址为10.1.1.1/24)作为RADIUS认证授权计费服务器。
· 在端口Twenty-FiveGigE1/0/1上对用户接入进行MAC地址认证,以控制其对Internet的访问。认证时使用用户的源MAC地址做用户名和密码,其中MAC地址带连字符、字母小写。
· 用户认证成功后可以访问Internet,但不能访问FTP服务器。
图5-1 MAC地址认证支持下发ACL
· 在RADIUS服务器上添加接入设备和用户帐号,并指定授权下发ACL 3000。
· 在Device上配置RADIUS方案,并配置ACL规则。
· 在Device与用户端相连的端口上配置MAC地址认证。
表5-1 适用产品及版本
|
产品 |
软件版本 |
|
S6550X-HI系列 |
Release 1213P01及以上版本 |
|
S6880系列 |
Release 1213P01及以上版本 |
|
S9820-8M |
Release 1213P01及以上版本 |
|
S5580X-HI系列 |
Release 1213P01及以上版本 |
|
S5580X-EI系列 |
Release 1213P01及以上版本 |
|
S5580S-EI系列 |
Release 1213P01及以上版本 |
· 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
· 在RADIUS服务器上添加用户帐号,用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
· 在标准的RADIUS协议中,RADIUS服务器的认证端口为UDP端口1812,我司设备作为RADIUS服务器时认证端口为UDP端口1645。
下面以iMC为例(使用iMC版本为:iMC PLAT 7.3(E0506)、iMC EIA 7.3(E0503)、iMC EIP 7.3(E0503)),说明RADIUS服务器的基本配置。
在RADIUS服务器上添加用户账户(用户名为d4-85-64-be-c6-3e,密码为d4-85-64-be-c6-3e),指定要授权下发的VSI和ACL编号,并保证用户的认证/授权/计费功能正常运行。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证端口和计费端口分别为“1812”和“1813”;
· 选择接入设备类型为“H3C (General)”;
· 设置与Switch交互报文时的认证、计费共享密钥为“expert”;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
· 其它参数采用缺省值;
· 单击<确定>按钮完成操作。
添加的接入设备IP地址要与Device发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
图5-2 增加接入设备页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。在该页面中单击<增加>按钮,进入增加接入策略页面。
· 输入接入策略名称“MACauth”;
· 配置下发ACL,并手工输入ACL编号“3000”;
· 本配置页面中还有其它策略配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图5-3 增加接入策略页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。在该页面中单击<增加>按钮,进入增加服务配置页面。
· 输入服务名“MACauth Service”、服务后缀为“2000”,此服务后缀为MAC地址认证用户使用的认证域。指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名;
· 选择缺省接入策略为“MACauth”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图5-4 增加服务配置页面
选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。在该页面中单击<增加>按钮,进入增加接入用户页面。
· 选择或者手工增加用户姓名“test”;
· 输入账号名“d4-85-64-be-c6-3e”和密码“d4-85-64-be-c6-3e”;
· 选择该用户所关联的接入服务为“MACauth Service”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图5-5 增加接入用户页面
(1) 配置授权ACL
# 配置ACL 3000,拒绝目的IP地址为10.0.0.1的报文通过。
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[Device-acl-ipv4-adv-3000] quit
(2) 配置使用RADIUS服务器进行MAC地址认证
# 配置RADIUS方案。
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple expert
[Device-radius-2000] key accounting simple expert
[Device-radius-2000] user-name-format with-domain
[Device-radius-2000] quit
# 配置ISP域的AAA方法。
[Device] domain bbb
[Device-isp-bbb] authentication default radius-scheme 2000
[Device-isp-bbb] authorization default radius-scheme 2000
[Device-isp-bbb] accounting default radius-scheme 2000
[Device-isp-bbb] quit
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址认证用户的账号格式:使用带连字符的MAC地址做用户名与密码,其中字母小写。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启端口Twenty-FiveGigE1/0/1上的MAC地址认证。
[Device] interface twenty-fivegige 1/0/1
[Device-Twenty-FiveGigE1/0/1] mac-authentication
[Device-Twenty-FiveGigE1/0/1] quit
# 开启全局MAC地址认证。
[Device] mac-authentication
# 显示MAC地址认证配置信息。
<Device> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enable
Authentication method : PAP
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for critical VSI : 1000 s
User aging period for guest VLAN : 1000 s
User aging period for guest VSI : 1000 s
User aging period for critical microsegment: 1000 s
Authentication domain : bbb
HTTP proxy port list : Not configured
HTTPS proxy port list : Not configured
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
Twenty-FiveGigE1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 30 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
User aging : Enabled
Server-recovery online-user-sync : Enabled
Guest VSI : Not configured
Guest VSI reauthentication : Enabled
Guest VSI auth-period : 30 s
Critical VSI : Not configured
Critical microsegment ID : Not configured
URL user logoff : No
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
0800-2712-3456 Authenticated
用户认证上线后,Ping FTP服务器,发现服务器不可达,说明认证服务器下发的ACL 3000已生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
#
acl advanced 3000
rule 0 deny ip destination 10.0.0.1 0
#
radius scheme 2000
primary authentication 10.1.1.1
primary accounting 10.1.1.2
key authentication cipher $c$3$PJM7Px3rbC96Kvh8RyFWHMLatExagQ==
key accounting cipher $c$3$rr7AO7ZuSNZ+b+deWrfb/Qg1JPc97g==
user-name-format with-domain
#
domain bbb
authentication default radius-scheme 2000
authorization default radius-scheme 2000
accounting default radius-scheme 2000
#
mac-authentication domain bbb
#
mac-authentication user-name-format mac-address with-hyphen lowercase
#
interface Twenty-FiveGigE1/0/1
mac-authentication
#
mac-authentication
#
如图6-1所示,某公司准备在办公区和会议室内部署IP电话,为保证通话质量,需要区分语音VLAN和数据VLAN,且为了防止非法IP电话接入,IP电话必须通过MAC地址认证后才能加入特定的语音VLAN。
现要求实现如下需求:
· 办公区的IP电话自动加入Voice VLAN 200。
· 会议室的IP电话手动加入Voice VLAN 400。
· 办公区主机的数据报文使用VLAN 100进行通信。
· 办公区和会议室的IP电话都必须通过MAC地址认证成功后才能加入Voice VLAN。
· 办公区IP电话下挂的主机用户都必须通过802.1X认证成功后才能上线。
图6-1 MAC地址认证授权Voice VLAN配置组网图
· 在IP电话的接入端口上指定Voice VLAN,并通过删除IP电话匹配的OUI配置确保认证前Voice VLAN功能不生效。
· 通过授权Voice VLAN私有属性,让认证通过的IP电话加入Voice VALN。
· 在IP电话的接入端口配置MAC地址认证和802.1X认证功能。
表6-1 适用产品及版本
|
产品 |
软件版本 |
|
S6550X-HI系列 |
Release 1213P01及以上版本 |
|
S6880系列 |
Release 1213P01及以上版本 |
|
S9820-8M |
Release 1213P01及以上版本 |
|
S5580X-HI系列 |
Release 1213P01及以上版本 |
|
S5580X-EI系列 |
Release 1213P01及以上版本 |
|
S5580S-EI系列 |
Release 1213P01及以上版本 |
· 端口下指定Voice VLAN和端口使能Voice VLAN为同一条命令。端口下指定Voice VLAN后,当IP电话匹配上Device配置的OUI地址时,其所在端口将被自动加入该Voice VLAN。因此,如果IP电话必须先通过MAC地址认证后才能加入Voice VLAN,则认证前IP电话不能匹配上Device上配置的OUI。
· 使能LLDP的情况下,接口下Voice VLAN需配置手动模式。
· 如果IP电话流量带的VLAN tag与接口下配置的Voice VLAN一致,则全局需要undo voice-vlan security enable。
· Device和RADIUS服务器对于是否携带域名的配置必须一致。
# 创建VLAN 100、VLAN 200和VLAN 400。
<Device> system-view
[Device] vlan 100
[Device-vlan100] quit
[Device] vlan 200
[Device-vlan200] quit
[Device] vlan 400
[Device-vlan400] quit
# 配置各VLAN的VLAN接口地址(略)。
# 把端口Twenty-FiveGigE1/0/1加入数据VLAN 100。
[Device] interface twenty-fivegige 1/0/1
[Device-Twenty-FiveGigE1/0/1] port link-type hybrid
[Device-Twenty-FiveGigE1/0/1] port hybrid pvid vlan 100
[Device-Twenty-FiveGigE1/0/1] port hybrid vlan 100 untagged
# 将端口Twenty-FiveGigE1/0/1上Voice VLAN的工作模式配置为自动模式。(可选,缺省情况下,端口的Voice VLAN工作在自动模式。)
[Device-Twenty-FiveGigE1/0/1] voice-vlan mode auto
# 指定端口Twenty-FiveGigE1/0/1认证成功后加入的Voice VLAN为VLAN 200。
[Device-Twenty-FiveGigE1/0/1] voice-vlan 200 enable
[Device-Twenty-FiveGigE1/0/1] quit
# 配置端口Twenty-FiveGigE1/0/2为Hybrid类型,加入的Voice VLAN为VLAN 400。
[Device] interface twenty-fivegige 1/0/2
[Device-Twenty-FiveGigE1/0/2] port link-type hybrid
[Device-Twenty-FiveGigE1/0/2] port hybrid vlan 400 tagged
# 将端口Twenty-FiveGigE1/0/2上Voice VLAN的工作模式配置为手动模式,且认证成功后加入的Voice VLAN为VLAN 400。
[Device-Twenty-FiveGigE1/0/2] undo voice-vlan mode auto
[Device-Twenty-FiveGigE1/0/2] voice-vlan 400 enable
# 删除缺省OUI。(可选,如果IP电话能匹配上设备的缺省OUI,请删除缺省OUI配置。此处以删除H3C的缺省OUI 000f-e200-0000为例)
[Device] undo voice-vlan mac-address 000f-e200-0000
# 配置Voice VLAN工作在安全模式,即Voice VLAN只用于传输语音报文。(可选,缺省情况下,Voice VLAN工作在安全模式。)
[Device] voice-vlan security enable
# 配置Voice VLAN的老化时间为30分钟。
[Device] voice-vlan aging 30
(1) 配置RADIUS方案
# 创建RADIUS方案,并配置RADIUS方案主认证/计费服务器及其通信密钥,发送给RADIUS服务器的用户名不携带域名。
[Device] radius scheme radius1
[Device-radius-radius1] primary authentication 192.168.56.10
[Device-radius-radius1] primary accounting 192.168.56.10
[Device-radius-radius1] key authentication simple 123456
[Device-radius-radius1] key accounting simple 123456
[Device-radius-radius1] user-name-format without-domain
[Device-radius-radius1] quit
# 创建域bbb,并配置认证用户使用RADIUS方案radius1进行认证、授权、计费。
[Device] domain bbb
[Device-isp-bbb] authentication lan-access radius-scheme radius1
[Device-isp-bbb] authorization lan-access radius-scheme radius1
[Device-isp-bbb] accounting lan-access radius-scheme radius1
[Device-isp-bbb] quit
(2) 配置MAC地址认证
# 开启端口Twenty-FiveGigE1/0/1和Twenty-FiveGigE1/0/2的MAC地址认证。
[Device] interface twenty-fivegige 1/0/1
[Device-Twenty-FiveGigE1/0/1] mac-authentication
[Device-Twenty-FiveGigE1/0/1] quit
[Device] interface twenty-fivegige 1/0/2
[Device-Twenty-FiveGigE1/0/2] mac-authentication
[Device-Twenty-FiveGigE1/0/2] quit
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址认证使用MAC地址作为用户名和密码,且MAC地址携带连字符,字母小写。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启全局MAC地址认证。
[Device] mac-authentication
(3) 配置802.1X认证
# 开启端口Twenty-FiveGigE1/0/2的802.1X。
[Device] interface twenty-fivegige 1/0/2
[Device-Twenty-FiveGigE1/0/2] dot1x
# 指定端口上接入的802.1X用户使用认证域bbb。
[Device-Twenty-FiveGigE1/0/2] dot1x mandatory-domain bbb
[Device] quit
# 开启全局802.1X。
[Device] dot1x
· 下面以iMC为例(使用iMC版本为:iMC PLAT 7.3(E0703)、iMC EIA 7.3(E0611)、iMC EIP 7.3(E0611)),说明RADIUS服务器的基本配置。
· RADIUS服务器配置仅以IP电话授权Voice VLAN私有属性为例,其余接入用户和授权需求配置类似。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。在该页面中单击“增加”按钮,进入增加接入设备页面。
(1) 设置认证端口和计费端口分别为“1812”和“1813”;
(2) 选择接入设备类型为“H3C (General)”;
(3) 设置与Device交互报文时的认证、计费共享密钥为“123456”;
(4) 选择或手工增加接入设备,添加IP地址为192.168.56.20的接入设备;
(5) 其它参数采用缺省值;
(6) 单击<确定>按钮完成操作。
添加的接入设备IP地址要与Device发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的端口IP地址。若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
图6-2 增加接入设备页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 私有属性下发策略配置”菜单项,进入私有属性下发策略配置页面。在该页面中单击“增加”按钮,进入增加私有属性下发策略页面。
(1) 输入私有属性下发策略名称“Voice”;
(2) 属性列表处点击<增加>按钮;
(3) 搜索“H3C_AVPair”属性,选择后点击<确定>按钮;
(4) 属性值选择<认证成功报文>,并携带Voice VLAN私有属性“device-traffic-class=voice”;
(5) 单击<确定>按钮完成操作。
选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。在该页面中单击<增加>按钮,进入增加接入策略页面。
(1) 输入接入策略名称“MACauth”;
(2) 其它策略配置选项,请根据实际情况选择配置;
(3) 单击<确定>按钮完成操作。
图6-3 增加接入策略页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。在该页面中单击<增加>按钮,进入增加接入服务配置页面。
(1) 输入服务名“MACauth Service”。因为接入设备上配置了用户名中不携带域名,所以服务器上不指定服务后缀;
(2) 选择缺省接入策略为“MACauth”;
(3) 选择缺省私有属性下发策略“Voice”;
(4) 其它服务配置选项,请根据实际情况选择配置;
(5) 单击<确定>按钮完成操作。
图6-4 增加服务配置页面
选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。在该页面中单击<增加>按钮,进入增加接入用户页面。
以配置IP Phone B账户为例:
(1) 选择或者手工增加用户姓名“Phone”;
(2) 输入账号名“72-22-1e-f7-02-02”和密码“72-22-1e-f7-02-02”;
(3) 选择该用户所关联的接入服务为“MACauth Service”;
(4) 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
(5) 单击<确定>按钮完成操作。
图6-5 增加接入用户页面
# 登录主机(MAC地址:0200-0000-0003)上的802.1X客户端,输入用户名和密码,成功上线后通过display dot1x connection命令查看802.1X用户的上线情况。
<Device> display dot1x connection
Total connections: 1
Slot ID: 0
User MAC address: 0200-0000-0003
Access interface: Twenty-FiveGigE1/0/1
Username: dot1x
User access state: Successful
Authentication domain: bbb
EAP packet identifier: 2
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 100
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2022/10/21 14:06:26
Online duration: 0h 0m 1s
# IP电话认证成功上线后,可使用命令display mac-authentication connection查看到IP电话的上线情况。
<Device> display mac-authentication connection
Total connections: 2
Slot ID: 0
User MAC address: 7409-0db9-0302
Access interface: Twenty-FiveGigE1/0/1
Username: 74-09-0d-b9-03-02
User access state: Successful
Authentication domain: bbb
Initial VLAN: 100
Authorization untagged VLAN: N/A
Authorization tagged VLAN: 200
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Offline detection: 300 sec (command-configured)
Online from: 2022/10/21 14:08:24
Online duration: 0h 0m 6s
Port-down keep online: Disabled (offline)
Slot ID: 0
User MAC address: 7222-1ef7-0202
Access interface: Twenty-FiveGigE1/0/2
Username: 72-22-1e-f7-02-02
User access state: Successful
Authentication domain: bbb
Initial VLAN: 1
Authorization untagged VLAN: N/A
Authorization tagged VLAN: 400
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Offline detection: 300 sec (command-configured)
Online from: 2022/10/21 14:08:13
Online duration: 0h 0m 17s
Port-down keep online: Disabled (offline)
#
voice-vlan aging 30
undo voice-vlan mac-address 000f-e200-0000
#
dot1x
#
mac-authentication
mac-authentication domain bbb
mac-authentication user-name-format mac-address with-hyphen lowercase
#
vlan 1
#
vlan 100
#
vlan 200
#
vlan 400
#
interface Vlan-interface1
ip address 192.168.56.20 255.255.0.0
#
interface Twenty-FiveGigE1/0/1
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 untagged
port hybrid pvid vlan 100
voice-vlan 200 enable
dot1x
dot1x mandatory-domain bbb
mac-authentication
#
interface Twenty-FiveGigE1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 400 tagged
port hybrid vlan 1 untagged
undo voice-vlan mode auto
voice-vlan 400 enable
mac-authentication
#
interface Twenty-FiveGigE1/0/4
port link-mode bridge
#
radius scheme radius1
primary authentication 192.168.56.10
primary accounting 192.168.56.10
key authentication cipher $c$3$WTVJgwaRYO+vetgJGOiOD7gJjVkPZYjPIw==
key accounting cipher $c$3$tb1uodOzhHSFWneLUEJeyj/O1eiOWdcJqg==
user-name-format without-domain
#
domain bbb
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
