• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

11-安全命令参考

目录

03-MAC地址认证命令

本章节下载 03-MAC地址认证命令  (613.23 KB)

03-MAC地址认证命令

目  录

1 MAC地址认证

1.1 MAC地址认证配置命令

1.1.1 display mac-authentication

1.1.2 display mac-authentication connection

1.1.3 display mac-authentication mac-address

1.1.4 display mac-authentication user-recovery-profile

1.1.5 login-name

1.1.6 mac-authentication

1.1.7 mac-authentication access-user log enable

1.1.8 mac-authentication authentication-method

1.1.9 mac-authentication auth-server-unavailable escape

1.1.10 mac-authentication auto-recover-user

1.1.11 mac-authentication carry user-ip

1.1.12 mac-authentication critical microsegment

1.1.13 mac-authentication critical profile

1.1.14 mac-authentication critical vlan

1.1.15 mac-authentication critical vsi

1.1.16 mac-authentication critical-voice-vlan

1.1.17 mac-authentication domain

1.1.18 mac-authentication guest-vlan

1.1.19 mac-authentication guest-vlan auth-period

1.1.20 mac-authentication guest-vlan re-authenticate

1.1.21 mac-authentication guest-vsi

1.1.22 mac-authentication guest-vsi auth-period

1.1.23 mac-authentication guest-vsi re-authenticate

1.1.24 mac-authentication host-mode multi-vlan

1.1.25 mac-authentication mac-range-account

1.1.26 mac-authentication max-silent-mac

1.1.27 mac-authentication max-user

1.1.28 mac-authentication offline-detect enable

1.1.29 mac-authentication offline-detect mac-address

1.1.30 mac-authentication recover-user

1.1.31 mac-authentication parallel-with-dot1x

1.1.32 mac-authentication redirect-url

1.1.33 mac-authentication re-authenticate

1.1.34 mac-authentication re-authenticate server-unreachable keep-online

1.1.35 mac-authentication server-recovery online-user-sync

1.1.36 mac-authentication timer (interface view)

1.1.37 mac-authentication timer (system view)

1.1.38 mac-authentication unauthenticated-user aging enable

1.1.39 mac-authentication user-name-format

1.1.40 mac-authentication user-recovery-profile

1.1.41 mac-authentication web-proxy

1.1.42 nas-ip

1.1.43 reset mac-authentication access-user

1.1.44 reset mac-authentication critical microsegment

1.1.45 reset mac-authentication critical vlan

1.1.46 reset mac-authentication critical vsi

1.1.47 reset mac-authentication critical-voice-vlan

1.1.48 reset mac-authentication guest-vlan

1.1.49 reset mac-authentication guest-vsi

1.1.50 reset mac-authentication statistics

1.1.51 server-address

1.1.52 uri

 


1 MAC地址认证

1.1  MAC地址认证配置命令

1.1.1  display mac-authentication

display mac-authentication命令用来显示MAC地址认证的相关信息。

【命令】

display mac-authentication [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

interface interface-type interface-number:显示全局及指定端口的MAC地址认证相关信息。interface-type interface-number为端口类型和端口编号。若指定的端口上未使能MAC地址认证,则不显示该端口任何信息。

【使用指导】

如果不指定任何参数,则显示所有在线MAC地址认证的详细信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。

【举例】

# 显示MAC地址认证信息。

<Sysname> display mac-authentication

 Global MAC authentication parameters:

   MAC authentication                  : Enabled

   Authentication method               : PAP

   M-LAG member configuration conflict : Unknown

   Username format                     : MAC address in lowercase(xxxxxxxxxxxx)

           Username                    : mac

           Password                    : Not configured

   MAC range accounts                  : 2

          MAC address          Mask                 Username

          2222-0000-0000       ffff-0000-0000       user1

          4444-0000-0000       ffff-0000-0000       user1

 

   Offline detect period                      : 300 s

   Quiet period                               : 60 s

   Server timeout                             : 100 s

   Reauth period                              : 3600 s

   User aging period for critical VLAN        : 1000 s

   User aging period for critical VSI         : 1000 s

   User aging period for guest VLAN           : 1000 s

   User aging period for guest VSI            : 1000 s

   User aging period for critical microsegment: 1000 s

   Temporary user aging period                : 60 s

   Authentication domain                      : Not configured, use default domain

   HTTP proxy port list                       : Total 10 ports

     1-3, 5, 7, 9, 11-13, 15

   HTTPS proxy port list                      : Not configured

   Max number of silent MACs                  : 31236 (per slot)

 Online MAC-auth wired users                  : 1

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

          0001-0000-0001    100      XGE1/0/2                21

 

 Ten-GigabitEthernet1/0/1  is link-up

   MAC authentication                         : Enabled

   Carry User-IP                              : Disabled

   Authentication domain                      : Not configured

   Auth-delay timer                           : Enabled

   Auth-delay period                          : 60 s

   Periodic reauth                            : Enabled

       Reauth period                          : 120 s

   Re-auth server-unreachable                 : Logoff

   Guest VLAN                                 : 100

   Guest VLAN reauthentication                : Enabled

     Guest VLAN auth-period                   : 150 s

   Critical VLAN                              : Not configured

   Critical voice VLAN                        : Disabled

   Host mode                                  : Single VLAN

   Offline detection                          : Enabled

   Authentication order                       : Parallel

   User aging                                 : Enabled

   Server-recovery online-user-sync           : Enabled

 

   Guest VSI                                  : Not configured

   Guest VSI reauthentication                 : Enabled

     Guest VSI auth-period                    : 30 s

   Critical VSI                               : Not configured

   Critical microsegment ID                   : 123

   Critical profile                           : Not configured

   URL user logoff                            : No

   Max online users                           : 4294967295

   Max online preauth-domain users            : 4294967295

   Max online Auth-Fail-domain users          : 4294967295

   Auth-server-unavailable escape             :Enabled

   Authentication attempts                    : successful 2, failed 3

   Current online users                       : 1

          MAC address       Auth state

          0001-0000-0001    Unauthenticated

 

表1-1 display mac-authentication命令显示信息描述表

字段

描述

Global MAC authentication parameters

全局MAC地址认证参数

MAC authentication

MAC地址认证的开启状态

Authentication method

MAC地址认证采用的认证方法

·     CHAP:采用CHAP认证方法

·     PAP:采用PAP认证方法

M-LAG member configuration conflict

‌两台M-LAG设备配置检查结果

·     Conflicted:两台M-LAG设备上的配置不匹配

·     Not conflicted:两台M-LAG设备上的配置相匹配

·     Unknown:无法检测两台M-LAG设备上的配置是否匹配

Username format

MAC地址认证使用的用户名格式

·     若采用MAC地址用户名,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xxxxxxxxxxxx)”,它表示用户名格式为不带连字符的MAC地址,其中字母为小写

·     若采用固定用户名用户名,则显示“Fixed account”

Username

用户名

·     采用MAC地址用户名时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码

·     采用固定用户名用户名时,该值为配置的用户名(缺省为mac)

Password

用户名的密码

·     采用MAC地址用户名时,该值显示为“Not configured”

·     采用固定用户名用户名时,配置的值将显示为******

MAC range accounts

指定MAC地址范围的MAC地址认证用户用户名信息列表

MAC address

指定的MAC地址

Mask

MAC地址掩码

Username

MAC地址认证用户名称

Offline detect period

下线检测定时器的值

Quiet period

静默定时器的值

Server timeout

服务器连接超时定时器的值

Reauth period

重认证定时器的值

User aging period for critical VLAN

Critical VLAN中用户的老化时间

User aging period for critical VSI

Critical VSI中用户的老化时间

User aging period for guest VLAN

Guest VLAN中用户的老化时间

User aging period for guest VSI

Guest VSI中用户的老化时间

User aging period for critical microsegment

Critical微分段中用户的老化时间

Temporary user aging period

临时MAC地址认证用户的老化时间

Authentication domain

系统视图下指定的MAC地址认证用户使用的认证域,如果没有指定认证域,则显示Not configured, use default domain

HTTP proxy port list

HTTP代理服务器端口

HTTPS proxy port list

HTTPS代理服务器端口

Max number of silent MACs

指定单元上同时存在的最大静默MAC数

Online MAC-auth wired users

在线有线用户和正在发起MAC地址认证的有线用户的总数

Silent MAC users

静默用户信息(包括设备添加的静默用户和服务器授权下发黑洞MAC的静默用户)

MAC address

静默用户的MAC地址

VLAN ID

静默用户所在的VLAN

From port

静默用户接入的端口名称

Port index

静默用户接入的端口索引号

Ten-GigabitEthernet1/0/1 is link-up

端口Ten-GigabitEthernet1/0/1的链路状态

MAC authentication

当前端口的MAC地址认证开启状态

·     Enabled:处于开启状态

·     Enabled (but NOT effective):处于开启状态,但功能未生效。未生效原因为设备上ACL资源全部被占用

·     Disabled:处于关闭状态

Carry User-IP

MAC地址认证请求携带用户IP地址关闭状态

Authentication domain

端口上指定的MAC地址认证用户使用的认证域

Auth-delay timer

MAC地址认证延迟功能的开启状态

Auth-delay period

配置的认证延迟时间

Periodic reauth

端口上MAC地址重认证开启状态

Reauth period

端口上配置的MAC地址重认证定时器的值,若端口上未配置重认证定时器,则显示为N/A;若未开启重认证功能,则不显示本字段

Re-auth server-unreachable

重认证时服务器不可达对MAC地址认证的在线用户采取的动作

·     Logoff:重认证服务器不可达,强制MAC地址认证在线用户下线

·     Online:重认证服务器不可达,保持MAC地址认证在线用户在线

Guest VLAN

端口配置的Guest VLAN,如果未配置此功能,则显示Not configured

Guest VLAN reauthentication

Guest VLAN中用户重新认证功能的开启状态

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

Guest VLAN auth-period

进入Guest VLAN后发起重认证的时间间隔

Critical VLAN

端口配置的Critical VLAN,如果未配置此功能,则显示Not configured

Critical voice VLAN

端口配置MAC地址认证的Critical Voice VLAN功能的开启状态

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

Host mode

‌相同MAC地址用户的工作模式

·     如果配置的是多VLAN模式,则显示Multiple VLAN

·     如果配置的是单VLAN模式,则显示Single VLAN

Offline detection

MAC地址认证用户下线检测的开启状态

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

Authentication order

MAC地址认证和802.1X认证并行处理

·     Default:处于关闭状态

·     Parallel:处于开启状态

User aging

非认证成功微分段、VLAN和VSI中MAC地址认证用户老化功能的开启状态

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

Server-recovery online-user-sync

RADIUS服务器从不可达状态恢复为可达时,设备同步MAC地址认证的在线用户信息到RADIUS服务器功能的开启状态:

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

Guest VSI

端口配置的Guest VSI,如果未配置此功能,则显示Not configured

Guest VSI reauthentication

Guest VSI中用户重新认证功能的开启状态

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

Guest VSI auth-period

进入Guest VSI后发起重认证的时间间隔,单位为秒

Critical VSI

端口配置的Critical VSI,如果未配置此功能,则显示Not configured

Critical microsegment ID

端口配置的Critical微分段ID,如果未配置此功能,则显示Not configured

Critical profile

认证服务器不可达时,MAC地址认证用户使用的逃生策略模板,如果未配置此功能,则显示Not configured

URL user logoff

首个用户加入Critical微分段或Critical VSI后,是否强制授权URL的MAC认证用户下线:

·     Yes:是

·     No:否

Max online users

本端口最多可容纳的接入用户数

Max online preauth-domain users

本端口最多可容纳的前域用户数

Max online Auth-Fail-domain users

本端口最多可容纳的失败域用户数

Auth-server-unavailable escape

RADIUS服务器不可达时,MAC地址认证在线用户逃生功能的开启状态:

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

Authentication attempts: successful 1, failed 0

端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数

MAC address

接入用户的MAC地址

Auth state

接入用户的状态

·     Authenticated:认证成功

·     Unauthenticated:尚未认证成功

1.1.2  display mac-authentication connection

display mac-authentication connection命令用来显示MAC地址认证在线用户的详细信息。

【命令】

(独立运行模式)

display mac-authentication connection [ open ] [ [ m-lag [ local | peer ] ] [ interface interface-type interface-number | online-type { auth-fail-domain | critical-domain | preauth-domain | success | url-unavailable-domain } | slot slot-number | user-name user-name ] | user-mac mac-address ]

(IRF模式)

display mac-authentication connection [ open ] [ [ m-lag [ local | peer ] ] [ chassis chassis-number slot slot-number | interface  interface-type interface-number | online-type { auth-fail-domain | critical-domain | preauth-domain | success | url-unavailable-domain } | user-name user-name ] | user-mac mac-address ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

open:只显示在开放认证模式下使用不存在的用户名或者错误的密码接入的MAC地址认证的用户信息。若不指定本参数,则显示设备上所有MAC地址认证在线用户的信息。

m-lag [ local | peer ]显示M-LAG组网中,M-LAG接口上MAC地址认证在线用户的信息。如果不指定该参数,则显示设备上所有MAC地址认证在线用户的信息。

·     local显示本端M-LAG设备上MAC地址认证在线用户的信息。

·     peer显示对端M-LAG设备上MAC地址认证在线用户的信息。

如果不指定localpeer参数,则显示本地M-LAG设备和对端M-LAG设备上所有MAC地址认证在线用户的信息。

interface interface-type interface-number:显示指定端口的MAC地址认证用户信息。其中interface-type interface-number表示绑定的端口类型和端口编号。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。

online-type:显示指定类型的MAC地址认证在线用户信息。

·     auth-fail-domain:显示认证失败域内的MAC地址认证用户信息。

·     critical-domain:显示逃生域内的MAC地址认证用户信息。

·     preauth-domain:显示认证前域内的MAC地址认证用户信息。

·     success:显示认证成功的MAC地址认证用户信息。

·     url-unavailable-domain:显示URL不可达逃生域内的MAC地址认证用户信息。

slot slot-number:显示指定单板上的MAC地址认证用户信息。slot-number表示单板所在的槽位号。若不指定本参数,则显示所有单板上的MAC地址认证用户信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备上指定单板的MAC地址认证用户信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定本参数,则显示所有单板上的MAC地址认证用户信息。(IRF模式)

user-mac mac-address:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。

user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。

【举例】

# 显示所有MAC地址认证在线用户信息。(独立运行模式)

<Sysname> display mac-authentication connection

Total connections: 1

Slot ID: 0

User MAC address: 0015-e9a6-7cfe

Access interface: Ten-GigabitEthernet1/0/1

Username: ias

User access state: Successful

Authentication domain: macusers

IPv4 address: 192.168.1.1

IPv6 address: 2000:0:0:0:1:2345:6789:abcd

IPv4 address source: User packet

IPv6 address source: User packet

Initial VLAN: 1

Authorization untagged VLAN: 100

Authorization tagged VLAN: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: 3001

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: RADIUS-request

Session timeout period: 2 sec

Offline detection: 100 sec (server-assigned)

Topology change detection:

  Max attempts: 5

  Remaining attempts: 3

Online from: 2013/03/02  13:14:15

Online duration: 0h 2m 15s

Port-down keep online: Enabled

 

User MAC address: 0015-e9a6-abcd

M-LAG NAS-IP type: Local

M-LAG user state: Active

Access interface: Bridge-Aggregation1

Username: luser

User access state: Successful

Authentication domain: macusers

IPv4 address: 192.168.1.1

IPv6 address: 2000:0:0:0:1:2345:6789:abcd

IPv4 address source: User packet

IPv6 address source: User packet

Initial VLAN: 1

Authorization untagged VLAN: 100

Authorization tagged VLAN: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: 3001

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR:

  Average input rate: 102400 bps

  Peak input rate: 204800 bps

  Average output rate: 102400 bps

  Peak output rate: 204800 bps

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: RADIUS-request

Session timeout period: 2 sec

Offline detection: 100 sec (server-assigned)

Topology change detection:

  Max attempts: 5

  Remaining attempts: 3

Online from: 2020/12/02  13:14:15

Online duration: 0h 7m 15s

Port-down keep online: Enabled

表1-2 display mac-authentication connection 命令显示信息描述表

字段

描述

Total connections

在线MAC地址认证用户个数

User MAC address

用户的MAC地址

M-LAG NAS-IP type

M-LAG组网中,M-LAG接口上的用户认证时采用的NAS-IP地址类型

·     Local:本地NAS-IP地址,即使用本端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址

·     Peer:对端NAS-IP地址,使用对端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址

M-LAG user state

M-LAG组网中,M-LAG接口上的用户状态

·     Active:激活状态,此时由本端M-LAG设备与AAA服务器交互用户认证信息

·     Inactive:未激活状态,此时由对端M-LAG设备与AAA服务器交互用户认证信息

Access interface

用户的接入接口名称

Username

用户名

User access state

用户的接入状态

·     Auth-Fail domain:接入用户处于认证失败域中

·     Critical domain:接入用户处于认证逃生域中

·     Preauth domain:接入用户处于认证前域中

·     Successful:MAC地址认证成功并接入

·     URL-unavailable domain:接入用户处于URL不可达逃生域中

·     Open:使用不存在的用户名或者错误的密码进行开放认证并接入

·     Temporary:通过端口安全模式macAddressAndUserLoginSecureExt方式认证的临时MAC地址认证用户

Authentication domain

认证时所用的ISP域的名称

IPv4 address

用户IPv4地址

若未获取到用户的IP地址,则不显示该字段

IPv6 address

用户IPv6地址

若未获取到用户的IP地址,则不显示该字段

IPv4 address source

表示获取到的用户IPv4地址来源

·     User packet:从用户报文中获取

·     IP Source Guard:IP Source Guard模块通知

IPv6 address source

表示获取到的用户IPv6地址来源

·     User packet:从用户报文中获取

·     IP Source Guard:IP Source Guard模块通知

Initial VLAN

初始的VLAN

Authorization untagged VLAN

授权的untagged VLAN

Authorization tagged VLAN

授权的tagged VLAN

Authorization VSI

授权的VSI

Authorization microsegment ID

授权的微分段ID

Authorization ACL number/name

授权的静态ACL的编号或名称。若未授权静态ACL,则显示为N/A

若未授权成功,则在ACL编号或名称后显示“(NOT effective)”

Authorization dynamic ACL name

授权的动态ACL的名称。若未授权动态ACL,则显示N/A

若未授权成功,则在ACL名称后显示“(NOT effective)”

Authorization user profile

授权用户的User profile名称

Authorization CAR

(暂不支持)当服务器未授权用户CAR属性时,该字段显示为N/A。

Authorization URL

授权的重定向URL

Authorization IPv6 URL

授权的IPv6重定向URL

Authorization temporary redirect

表示是否授权暂时重定向功能

·     Enabled:授权了暂时重定向功能,发送给用户的HTTP/HTTPS重定向报文中携带的状态码为302

·     Disabled:未授权暂时重定向功能,发送给用户的HTTP/HTTPS重定向报文中携带的状态码为200

Start accounting

表示开始计费请求的结果

·     Successful:开始计费成功

·     Failed:开始计费失败

前域用户不支持计费,本字段显示为N/A

Real-time accounting-update failures

表示实时计费更新连续失败的次数

Termination action

服务器下发的终止动作类型:

·     Default:会话超时时间到达后,强制用户下线

·     RADIUS-request:会话超时时间到达后,请求MAC地址认证用户进行重认证

用户采用本地认证时,该字段显示为Default

Session timeout period

服务器下发的会话超时时间,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Termination action字段的取值决定

Offline detection

用户进行下线检测的属性:

·     Ignore (command-configured):命令行配置该用户不进行下线检测

·     timer (command-configured):命令行配置的下线检测时间

·     Ignore (server-assigned):RADIUS服务器授权该用户不进行下线检测

·     timer (server-assigned):RADIUS服务器授权的下线检测时间

Topology change detection

网络拓扑改变时的ARP/NS报文探测功能信息

Online from

MAC认证用户的上线时间

Online duration

MAC认证用户的在线时长

Port-down keep online

端口状态变为Down后,用户继续保持在线功能:

·     Enabled:处于开启状态。服务器授权下发了取值非0的私有属性shutdown-keep-online

·     Disabled (offline):处于关闭状态,用户下线。服务器授权下发了取值为0的私有属性shutdown-keep-online,或者没有下发该属性

 

1.1.3  display mac-authentication mac-address

display mac-authentication mac-address命令用来显示非认证成功微分段、VLAN或VSI中的MAC地址认证用户的MAC地址信息。

【命令】

display mac-authentication mac-address { critical-microsegment | critical-vlan | critical-vsi | guest-vlan | guest-vsi } [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

critical-microsegment:显示MAC地址认证Critical微分段中的用户MAC地址信息。

critical-vlan:显示MAC地址认证Critical VLAN中的用户MAC地址信息。

critical-vsi:显示MAC地址认证Critical VSI中的用户MAC地址信息。

guest-vlan:显示MAC地址认证Guest VLAN中的用户MAC地址信息。

guest-vsi:显示MAC地址认证Guest VSI中的用户MAC地址信息。

interface interface-type interface-number:显示微分段、VLAN或VSI中指定端口的MAC地址认证用户的MAC地址信息。其中interface-type interface-number表示端口类型和端口编号。若不指定本参数,则显示指定类型的微分段、VLAN或VSI中所有端口的MAC地址认证用户的MAC地址信息。

【使用指导】

查询到的MAC地址数量以及MAC地址明细为粗略统计,当有大量用户频繁进行认证时可能不能完全精准显示。

【举例】

# 显示所有MAC地址认证Critical微分段中的用户MAC地址信息。

<Sysname> display mac-authentication mac-address critical-microsegment

Total MAC addresses: 10

Interface:Ten-GigabitEthernet1/0/1       Critical microsegment: 1       Aging time: N/A

MAC addresses: 8

  0800-2700-9427    0800-2700-2341    0800-2700-2324    0800-2700-2351

  0800-2700-5627    0800-2700-2251    0800-2700-8624    0800-2700-3f51

 

Interface:Ten-GigabitEthernet1/0/2       Critical microsegment: 1       Aging time: 30 sec

MAC addresses: 2

  0801-2700-9427    0801-2700-2341

# 显示所有MAC地址认证Guest VLAN中的用户的MAC地址信息。

<Sysname> display mac-authentication mac-address guest-vlan

Total MAC addresses: 10

Interface: Ten-GigabitEthernet1/0/1        Guest VLAN: 3           Aging time: N/A

MAC addresses: 8

  0800-2700-9427    0800-2700-2341    0800-2700-2324    0800-2700-2351

  0800-2700-5627    0800-2700-2251    0800-2700-8624    0800-2700-3f51

 

Interface: Ten-GigabitEthernet1/0/2        Guest VLAN: 5            Aging time: 30 sec

MAC addresses: 2

  0801-2700-9427    0801-2700-2341 

# 显示所有MAC地址认证Guest VSI中的用户的MAC地址信息。

<Sysname> display mac-authentication mac-address guest-vsi

Total MAC addresses: 10

Interface: Ten-GigabitEthernet1/0/3       Guest VSI: text-vsi   Aging time: N/A

MAC addresses: 8

  0800-2700-9427    0800-2700-2341    0800-2700-2324    0800-2700-2351

  0800-2700-5627    0800-2700-2251    0800-2700-8624    0800-2700-3f51

 

Interface: Ten-GigabitEthernet1/0/4        Guest VSI: text1-vsi   Aging time: 30 sec

MAC addresses: 2

  0801-2700-9427    0801-2700-2341

表1-3 display mac-authentication mac-address命令显示信息描述表

字段

描述

Total MAC addresses

指定类型的微分段、VLAN或VSI中的所有MAC地址总数

Interface

用户的接口名称

Type microsegment/VLAN/VSI

显示MAC地址认证用户所在的位置信息,包含如下取值:

·     Critical microsegment

·     Critical VLAN

·     Critical VSI

·     Guest VLAN

·     Guest VSI

Aging time

MAC地址老化时间,单位秒。N/A表示该地址不老化

MAC addresses

MAC地址数

xxxx-xxxx-xxxx

MAC地址

 

【相关命令】

·     mac-authentication critical microsegment

·     mac-authentication critical vlan

·     mac-authentication critical vsi

·     mac-authentication guest-vlan

·     mac-authentication guest-vsi

1.1.4  display mac-authentication user-recovery-profile

display mac-authentication user-recovery-profile命令用来显示MAC地址认证user-recovery Profile的配置信息。

【命令】

display mac-authentication user-recovery-profile [ profile-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

profile-name:user-recovery Profile名称,为1~31个字符的字符串,不区分大小写。如果不指定该参数,则表示显示所有user-recovery Profile。

【举例】

# 显示所有MAC地址认证user-recovery Profile的配置信息。

<Sysname> display mac-authentication user-recovery-profile

 

User-recovery profile: profile1

  Server IP     : 3.3.3.3

  Port          : 8080

  VPN           : Not configured

  Login name    : user1

  NAS IP address: 10.1.1.1

  URI           : dumbtermina/list

User-recovery profile: profile2

  Server IP     : 1.1.1.2

  Port          : 80

  VPN           : Not configured

  Login name    : user1

  NAS IP address: 1:2::3:4

  URI           : dumbtermina/list

表1-4 display mac-authentication user-recovery-profile命令显示信息描述表

字段

描述

User-recovery profile

user-recovery Profile名称

Server IP

RESTful服务器的IP地址

Port

RESTful服务器的端口号

VPN

RESTful服务器所属的VPN实例

Login name

登录到RESTful服务器所需的用户名

NAS IP address

设备和RESTful服务器交互时使用的NAS-IP地址

URI

RESTful服务器提供用户资源服务的URI

 

【相关命令】

·     mac-authentication user-recovery-profile

·     server-address

·     login-user

·     nas-ip

·     uri

1.1.5  login-name

login-name命令用来配置登录到RESTful服务器所需的用户名和密码。

undo login-name命令用来恢复缺省情况。

【命令】

login-name username [ password { cipher | simple } string ]

undo login-name

【缺省情况】

未配置登录到RESTful服务器所需的用户名和密码。

【视图】

user-recovery Profile视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

username:表示用户名,为1~55字符的字符串,区分大小写。

password:表示密码。若未指定本参数,则表示登录到RESTful服务器时不需要密码。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密码将以密文形式存储。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。

【使用指导】

设备与RESTful服务器建立连接时,服务器首先需要验证连接请求发起方的合法性。本命令配置的用户名和密码,即为设备向RESTful服务器提供的身份信息。RESTful服务器验证该用户名和密码成功后,才允许连接请求发起方与之建立连接,以及获取相应的服务器资源。

本命令指定的用户名和密码,必须在RESTful服务器上已经存在。

【举例】

# 在名称为profile1的user-recovery Profile视图下,配置与RESTful服务器建立连接时使用的登录用户名为abc,密码为明文123。

<Sysname> system-view

[Sysname] mac-authentication user-recove-profile profile1

[Sysname-user-recovery-profile-profile1] login-name abc password simple 123

【相关命令】

·     display mac-authentication user-recovery-profile

1.1.6  mac-authentication

mac-authentication命令用来开启端口上或全局的MAC地址认证。

undo mac-authentication命令用来关闭端口上或全局的MAC地址认证。

【命令】

mac-authentication

undo mac-authentication

【缺省情况】

所有端口及全局的MAC地址认证都处于关闭状态。

【视图】

系统视图

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。

【举例】

# 开启全局的MAC地址认证。

<Sysname> system-view

[Sysname] mac-authentication

# 开启端口Ten-GigabitEthernet1/0/1上的MAC地址认证。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication

【相关命令】

·     display mac-authentication

1.1.7  mac-authentication access-user log enable

mac-authentication access-user log enable命令用来开启MAC地址认证接入用户日志信息功能。

undo mac-authentication access-user log enable命令用来关闭MAC地址认证接入用户日志信息功能。

【命令】

mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *

undo mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *

【缺省情况】

MAC地址认证接入用户日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

failed-login:MAC地址认证用户上线失败的日志信息。

logoff:MAC地址认证用户下线的日志信息。

successful-login:MAC地址认证用户上线成功的日志信息。

【使用指导】

为了防止设备输出过多的MAC地址认证接入用户日志信息,一般情况下建议关闭此功能。

配置本命令时,如果未指定任何参数,将同时开启或关闭本命令所有参数对应的日志功能。

【举例】

# 开启MAC地址认证接入用户上线失败的日志信息。

<Sysname> system-view

[Sysname] mac-authentication access-user log enable failed-login

【相关命令】

·     info-center source maca logfile deny(网络管理和监控命令参考/信息中心)

1.1.8  mac-authentication authentication-method

mac-authentication authentication-method命令用来配置MAC地址认证采用的认证方法。

undo mac-authentication authentication-method命令用来恢复缺省情况。

【命令】

mac-authentication authentication-method { chap | pap }

undo mac-authentication authentication-method

【缺省情况】

设备采用PAP认证方法进行MAC地址认证。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

chap:采用CHAP类型的认证方法。

pap:采用PAP类型的认证方法。

【使用指导】

通过该命令可以配置设备进行MAC地址认证时,与RADIUS服务器之间采用的认证方法。PAP和CHAP认证方法的详细介绍如下:

·     PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。

·     CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。

【举例】

# 配置设备采用CHAP认证方法进行MAC地址认证。

<Sysname> system-view

[Sysname] mac-authentication authentication-method chap

【相关命令】

·     display mac-authentication

1.1.9  mac-authentication auth-server-unavailable escape

mac-authentication auth-server-unavailable escape命令用来开启RADIUS认证服务器不可达时,MAC地址认证在线用户逃生功能。

undo mac-authentication auth-server-unavailable escape命令用来关闭RADIUS认证服务器不可达时,MAC地址认证在线用户逃生功能。

【命令】

mac-authentication auth-server-unavailable escape

undo mac-authentication auth-server-unavailable escape

【缺省情况】

RADIUS认证服务器不可达时,MAC地址认证在线用户逃生功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

缺省情况下,当ISP域下所有RADIUS认证服务器均不可达时,如果此时设备上同时开启了MAC地址认证下线检测功能,若设备在一个下线检测定时器间隔内未收到接口下某MAC地址认证在线用户的报文,则将切断与该用户的连接,导致该MAC地址认证在线用户下线。

当RADIUS认证服务器可达时,用户需要使用MAC地址认证下线检测功能,同时又希望RADIUS认证服务器均不可达时,能够保持MAC地址认证用户的在线状态,可在设备上开启本功能。

配置本功能后,当RADIUS认证服务器不可达时,设备会自动关闭接口上的MAC认证用户的在线检测功能,使得MAC用户保持在线状态。

本命令只适用于将RADIUS作为认证方法且不配置local/none作为备选认证方法的应用场景,否则可能导致用户通过备选认证方法上线后下线检测功能被自动关闭。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上配置RADIUS认证服务器不可达时,MAC地址认证在线用户逃生功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication auth-server-unavailable escape

【相关命令】

·     mac-authentication offline-detect enable

1.1.10  mac-authentication auto-recover-user

mac-authentication auto-recover-user命令用来开启MAC地址认证自动恢复用户功能。

undo mac-authentication auto-recover-user命令用来关闭MAC地址认证自动恢复用户功能。

【命令】

mac-authentication auto-recover-user profile profile-name

undo mac-authentication auto-recover-user profile profile-name

【缺省情况】

MAC地址认证的自动恢复用户功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

profile profile-name:user-recovery Profile名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

本功能的典型应用场景是,有大量哑终端(例如打印机)通过MAC地址认证接入网络。当设备或接口板重启、接口故障时,哑终端用户下线后只能等待下次业务报文触发MAC地址认证,而这种在线状态恢复的不及时性将会影响该类终端后续的正常工作。

为指定的user-recovery Profile开启恢复用户功能后,若设备或接口板重启、接口故障恢复,当设备和Profile中指定的RESTful服务器之间路由可达后,设备会主动从该服务器上获取相关接口上的MAC地址认证用户账户信息,并自动使用这些信息为用户重新进行认证,达到不需要用户干预的情况下为其恢复在线状态的目的。

系统最多支持为16个user-recovery Profile开启恢复用户功能。通常,不同的Profile对应不同的RESTful服务器以及服务器上的用户信息。

开启本功能后,请执行save命令,并将配置文件设置为下次启动配置文件保证本功能在设备下次重启后生效。关于save命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。(独立运行模式)

多台设备组成IRF环境下,开启本功能后,请执行save命令,并将配置文件设置为下次启动配置文件保证本功能在主设备下次重启后生效。关于save命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。(IRF模式)

RADIUS的accounting-on功能与MAC地址认证恢复用户功能互斥,不建议同时开启。关于accounting-on功能详细介绍,请参见“安全配置指导”中的“AAA”。

【举例】

# 开启MAC地址认证的自动恢复用户功能,并指定user-recovery Profile为profile1。

<Sysname> system-view

[Sysname] mac-authentication auto-recover-user profile profile1

【相关命令】

·     accounting-on enable(安全命令参考/AAA)

·     display mac-authentication user-recovery-profile

·     mac-authentication user-recovery-profile

1.1.11  mac-authentication carry user-ip

mac-authentication carry user-ip命令用来配置MAC地址认证请求中携带用户IP地址。

undo mac-authentication carry user-ip命令用来恢复缺省情况。

【命令】

mac-authentication carry user-ip [ exclude-ip acl acl-number ]

undo mac-authentication carry user-ip

【缺省情况】

MAC地址认证请求中不携带用户IP地址。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

exclude-ip:指定不合法的IP地址范围,不对携带不合法IP地址的用户进行MAC地址认证。

acl acl-number:指定包含deny规则的ACL。其中acl-number表示ACL的编号,仅支持基本ACL和用户自定义ACL,取值范围为2000~2999、5000~5999。

【使用指导】

在终端用户采用静态IP地址方式接入的组网环境中,如果终端用户擅自修改自己的IP地址,则整个网络环境中可能会出现IP地址冲突等问题。

为了解决以上问题,管理员可以在端口上开启MAC地址认证请求中携带用户IP地址的功能,用户在进行MAC地址认证时,设备会把用户的IP地址上传到iMC服务器。然后iMC服务器会把认证用户的IP地址和MAC地址与服务器上已经存在的IP与MAC的绑定表项进行匹配,如果匹配成功,则该用户MAC地址认证成功;否则,MAC地址认证失败。

配置mac-authentication carry user-ip命令后,当有用户接入时,设备会检查用户报文中的IP地址是否合法,并进行相应处理:

·     当用户的IP地址合法时,设备携带用户IP地址向服务器发起MAC地址认证请求;

·     当用户报文未携带IP地址或用户的IP地址不合法时,设备不对用户进行MAC地址认证。

·     收到源IP为全0的DHCP报文时,设备会向服务器发起MAC地址认证请求,但认证报文中不携带IP地址。认证是否通过取决于认证服务器侧的配置。

iMC服务器上IP与MAC地址信息绑定表项的生成方式如下:

·     如果在iMC服务器上创建用户时手工指定了用户的IP地址和MAC地址信息,则服务器使用手工指定的IP和MAC信息生成该用户的IP与MAC地址的绑定表项。

·     如果在iMC服务器上创建用户时未手工指定用户的IP地址和MAC地址信息,则服务器使用用户初次进行MAC地址认证时使用的IP地址和MAC地址生成该用户的IP与MAC地址的绑定表项。

终端用户采用静态IP地址接入时,实际组网应用中会出现用户报文中携带的IP地址并非用户实际IP地址的情况,例如在IPv4静态地址组网中,用户报文携带的IP地址为以fe80开头的IPv6链路本地地址。配置mac-authentication carry user-ip命令后,设备会携带非用户实际的IP地址向服务器发起MAC地址认证请求,此种情况会导致服务器为用户绑定错误的IP地址或IP地址与MAC地址匹配失败。为避免上述情况发生,可以指定exclude-ip acl参数,不允许ACL中指定网段的用户进行MAC地址认证。

配置exclude-ip acl时,仅根据规则中配置的源IP地址进行过滤。建议ACL中配置deny规则来拒绝指定网段的用户进行MAC地址认证。如果ACL中仅配置了permit规则,则表示允许指定网段的用户进行MAC地址认证,这样的配置并没有实际意义。如果希望只允许某个网段用户进行MAC地址认证,可在ACL中同时配置一条指定网段的permit规则以及一条deny all规则来实现。

通过exclude-ip acl指定ACL后,设备对于IPv4报文按照对应编号的IPv4 ACL规则进行处理;对于IPv6报文则按照对应编号的IPv6 ACL规则进行处理。例如,当配置了mac-authenication carry user-ip exclude-ip acl 2000时,如果用户报文为IPv4报文,则按照IPv4 ACL 2000的规则进行处理;如果用户报文为IPv6报文,则按照IPv6 ACL 2000的规则进行处理。

若通过exclude-ip acl指定的ACL为用户自定义ACL(ACL编号为5000~5999),设备仅支持匹配ipv4 ipv6any类型的ACL规则,不支持匹配其他类型的规则,且为自定义ACL配置的规则必须只包含源IP地址。

引用ACL时,需要注意的是:

·     若引用的ACL不存在或者引用的ACL中没有配置匹配规则,则认为所有网段用户都符合要求,所有用户都可以进行MAC地址认证。

·     若引用的ACL匹配规则中不存在源地址信息,则认为所有网段用户都不符合要求,不允许任何用户进行MAC地址认证。

·     在引用的ACL中,若某规则指定了vpn-instance参数,则该规则将不生效。

在开启了MAC地址认证的端口上,不建议将本命令与mac-authentication guest-vlanmac-authentication guest-vsi命令同时配置;否则,加入Guest VLAN或Guest VSI的用户无法再次发起MAC地址认证,用户会一直停留在Guest VLAN或Guest VSI中。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上配置MAC地址认证请求携带用户IP地址功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication carry user-ip

# 在端口Ten-GigabitEthernet1/0/1上配置MAC地址认证请求携带用户IP地址功能,并禁止携带IPv6链路本地地址的报文在此端口触发认证。

<Sysname> system-view

[Sysname]acl ipv6 basic 2000

[Sysname-acl-ipv6-basic-2000] rule deny source fe80:0::0:0 16

[Sysname-acl-ipv6-basic-2000] quit

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication carry user-ip exclude-ip acl 2000

【相关命令】

·     mac-authentication

1.1.12  mac-authentication critical microsegment

mac-authentication critical microsegment命令用来在端口上配置MAC地址认证的Critical微分段。

undo mac-authentication critical microsegment命令用来恢复缺省情况。

【命令】

mac-authentication critical microsegment microsegment-id [ vsi vsi-name ] [ url-user-logoff ]

undo mac-authentication critical microsegment

【缺省情况】

端口上未配置MAC地址认证的Critical微分段。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

microsegment-id:微分段ID,取值范围为1~65535。

vsi vsi-name:VSI名称,为1~31个字符的字符串,区分大小写。此参数仅在VXLAN组网环境下使用,但是是否需要配置要根据具体组网情况而定。

url-user-logoff:强制当前端口上授权了重定向URL的MAC地址认证的所有用户均下线。若不指定此参数,则端口上的授权了重定向URL的MAC地址认证用户一直保持在线,直到MAC地址认证下线检测功能发现其没有流量时下线。

【使用指导】

配置此功能后,当用户进行MAC地址认证时,若对应的ISP域下所有认证服务器都不可达,则端口上的MAC地址认证用户会被加入Critical微分段中并授权Critical微分段ID。

通过本命令配置MAC地址认证的Critical微分段ID时,不同的端口可以指定不同的Critical微分段ID,也可以指定相同的Critical微分段ID;一个端口最多只能指定一个微分段ID,并最多指定一个Critical VSI。

端口下配置的Critical微分段与MAC地址认证的Guest VLAN、Critical VLAN、Guest VSI、Critical VSI及Critical profile均互斥。

多次执行本命令,最后一次执行的配置生效。

对于接口上从某个VSI上接入的MAC地址认证用户,本命令指定的VSI不会生效。

指定了url-user-logoff参数的情况下,至少满足以下任一条件,才能强制当前端口上授权了重定向URL的MAC地址认证用户下线:

·     设备探测到下发给用户的重定向URL不可达,探测配置通过mac-authentication redirect-url命令指定

·     配置了mac-authentication auth-server-unavailable escape命令,且设备检测到RADIUS认证服务器不可达。

·     接口上添加了第一个Critical微分段用户。

如果首次上线时RADIUS服务器或者Web认证服务器不可达,则端口上授权了重定向URL的MAC地址认证用户下线后将不能加入Critical微分段,只有再次上线认证时检测到RADIUS服务器或者Web认证服务器仍不可达,用户才会加入Critical微分段。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上配置MAC地址认证的Critical微分段ID为1,并指定VSI名称为vpna。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical microsegment 1 vsi vpna

【相关命令】

·     display mac-authentication

·     mac-authentication guest vlan

·     mac-authentication critical vlan

·     mac-authentication critical vsi

1.1.13  mac-authentication critical profile

mac-authentication critical profile命令用来指定MAC地址认证用户使用的逃生策略模板。

undo mac-authentication critical profile命令用来恢复缺省情况。

【命令】

mac-authentication critical profile profile-name

undo mac-authentication critical profile

【缺省情况】

未指定MAC地址认证用户使用的逃生策略模板。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

profile-name:指定逃生模板的模板名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

端口上引用逃生策略模板后,在MAC地址认证用户认证时,若对应的ISP域下所有认证服务器都不可达,此MAC地址认证用户可以继续访问逃生策略模板中定义的相关资源。

端口上配置MAC地址认证用户使用的逃生策略模板与配置MAC地址认证的Critical VLAN、Critical VSI、Critical微分段均互斥。

多次执行本命令,最后一次执行的配置生效。

【举例】

# 指定端口Ten-GigabitEthernet1/0/1上的MAC地址认证用户使用的逃生策略模板为abc。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical profile abc

【相关命令】

·     aaa critical-profile

·     display mac-authentication

·     mac-authentication guest vlan

·     mac-authentication critical microsegment

·     mac-authentication critical vlan

·     mac-authentication critical vsi

1.1.14  mac-authentication critical vlan

mac-authentication critical vlan命令用来配置端口的MAC地址认证的Critical VLAN。

undo mac-authentication critical vlan命令用来恢复缺省情况。

【命令】

mac-authentication critical vlan critical-vlan-id [ url-user-logoff ]

undo mac-authentication critical vlan

【缺省情况】

端口上未配置MAC地址认证的Critical VLAN。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

critical-vlan-id:端口上指定的Critical VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

url-user-logoff:强制当前端口上授权了重定向URL的MAC地址认证用户下线。若不指定此参数,则端口上的授权了重定向URL的MAC地址认证用户一直保持在线,直到MAC地址认证下线检测功能发现其没有流量时下线。

【使用指导】

配置此功能后,当MAC用户认证时对应的ISP域下所有认证服务器都不可达的情况下被授权访问Critical VLAN内的资源。

如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Critical VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Critical VLAN,则该VLAN不能被指定为Super VLAN。

端口下配置MAC地址认证的Critical VLAN与配置MAC地址认证的Guest VSI、Critical VSI、Critical微分段及Critical profile互斥。禁止删除已被配置为Critical VLAN的VLAN,若要删除该VLAN,请先通过undo mac-authentication critical vlan命令取消MAC地址认证的Critical VLAN配置。

指定了url-user-logoff参数的情况下,至少满足以下任一条件,才能强制当前端口上授权了重定向URL的MAC地址认证用户下线:

·     设备探测到下发给用户的重定向URL不可达,探测配置通过mac-authentication redirect-url命令指定

·     配置了mac-authentication auth-server-unavailable escape命令,且设备检测到RADIUS认证服务器不可达。

·     接口上添加了第一个Critical VLAN用户。

如果首次上线时RADIUS服务器或者Web认证服务器不可达,则端口上授权了重定向URL的MAC地址认证用户下线后将不能加入Critical VLAN,只有再次上线认证时检测到RADIUS服务器或者Web认证服务器仍不可达,用户才会加入Critical VLAN。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1的Critical VLAN为VLAN 100。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical vlan 100

【相关命令】

·     display mac-authentication

·     mac-authentication critical microsegment

·     reset mac-authentication critical vlan

1.1.15  mac-authentication critical vsi

mac-authentication critical vsi命令用来在端口上配置MAC地址认证的Critical VSI。

undo mac-authentication critical vsi命令用来恢复缺省情况。

【命令】

mac-authentication critical vsi critical-vsi-name [ url-user-logoff ]

undo mac-authentication critical vsi

【缺省情况】

端口上未配置MAC地址认证的Critical VSI。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

critical-vsi-name:端口上指定的Critical VSI名称,为1~31个字符的字符串,区分大小写。

url-user-logoff:强制当前端口上授权了重定向URL的MAC地址认证用户下线。若不指定此参数,则端口上的授权了重定向URL的MAC地址认证用户一直保持在线,直到MAC地址认证下线检测功能发现其没有流量时下线。

【使用指导】

配置此功能后,当用户进行MAC认证时,若对应的ISP域下所有认证服务器都不可达,则用户会被加入Critical VSI对应的VXLAN中。

不同的端口可以指定不同的MAC地址认证Critical VSI,一个端口最多只能指定一个MAC地址认证Critical VSI。

端口下配置MAC地址认证的Critical VSI与配置MAC地址认证的Guest VLAN、Critical VLAN、Critical微分段及Critical profile互斥。

指定了url-user-logoff参数的情况下,至少满足以下任一条件,才能强制当前端口上授权了重定向URL的MAC地址认证用户下线:

·     设备探测到下发给用户的重定向URL不可达,探测配置通过mac-authentication redirect-url命令指定

·     配置了mac-authentication auth-server-unavailable escape命令,且设备检测到RADIUS认证服务器不可达。

·     接口上添加了第一个Critical VSI用户。

如果首次上线时RADIUS服务器或者Web认证服务器不可达,则端口上授权了重定向URL的MAC地址认证用户下线后将不能加入Critical VSI,只有再次上线认证时检测到RADIUS服务器或者Web认证服务器仍不可达,用户才会加入Critical VSI。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1上MAC地址认证的Critical VSI名称为vpna。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical vsi vpna

【相关命令】

·     display mac-authentication

·     mac-authentication critical microsegment

·     reset mac-authentication critical vsi

1.1.16  mac-authentication critical-voice-vlan

mac-authentication critical-voice-vlan命令用来开启端口上MAC地址认证的Critical Voice VLAN功能。

undo mac-authentication critical-voice-vlan命令用来关闭端口上MAC地址认证的Critical Voice VLAN功能。

【命令】

mac-authentication critical-voice-vlan

undo mac-authentication critical-voice-vlan

【缺省情况】

端口下MAC地址认证的Critical Voice VLAN功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

端口上开启MAC地址认证Critical Voice VLAN功能后,当语音用户进行MAC地址认证采用的ISP域中的所有认证服务器都不可达时,端口将被加入到此端口上的Voice VLAN中。端口上语音VLAN的配置命令请参见“二层技术-以太网交换命令参考”中的“VLAN”。

设备通过LLDP(Link Layer Discovery Protocol,链路层发现协议)来判断用户是否为语音用户,因此为保证MAC地址认证Critical Voice VLAN功能可以正常工作,请在开启此功能之前务必确保全局和相应端口下均已开启LLDP功能。有关LLDP功能的配置命令介绍请参见“二层技术-以太网交换命令参考”中的“LLDP”。

开启MAC地址认证Critical Voice VLAN功能前,请保证该端口上已经配置了MAC地址认证Critical VLAN。若端口上的语音用户在认证时所有认证服务器都不可达,且端口暂未将其识别为语音用户,则可以将其先加入Critical VLAN。

【举例】

# 开启端口Ten-GigabitEthernet1/0/1上MAC地址认证Critical Voice VLAN功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical-voice-vlan

【相关命令】

·     display mac-authentication

·     lldp enable(二层技术-以太网交换命令参考/LLDP)

·     lldp global enable(二层技术-以太网交换命令参考/LLDP)

·     reset mac-authentication critical-voice-vlan

·     voice-vlan enable(二层技术-以太网交换命令参考/VLAN)

1.1.17  mac-authentication domain

mac-authentication domain命令用来指定MAC地址认证用户使用的认证域。

undo mac-authentication domain命令用来恢复缺省情况。

【命令】

mac-authentication domain domain-name

undo mac-authentication domain

【缺省情况】

未指定MAC地址认证用户使用的认证域时,使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domain default enable

【视图】

系统视图

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

不同视图下指定的认证域的生效范围不同:

·     系统视图下指定的认证域对所有开启了MAC地址认证的端口生效。

·     二层以太网接口视图或二层聚合接口视图下指定的认证域仅对本端口有效。不同的端口可以指定不同的认证域。

端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域 > 系统视图下指定的认证域 > 系统缺省的认证域。

【举例】

# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。

<Sysname> system-view

[Sysname] mac-authentication domain domain1

# 指定端口Ten-GigabitEthernet1/0/1上接入的MAC地址认证用户使用的认证域为aabbcc。

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication domain aabbcc

【相关命令】

·     display mac-authentication

·     domain default enable(安全命令参考/AAA)

1.1.18  mac-authentication guest-vlan

mac-authentication guest-vlan命令用来配置端口的MAC地址认证的Guest VLAN。

undo mac-authentication guest-vlan命令用来恢复缺省情况。

【命令】

mac-authentication guest-vlan guest-vlan-id

undo mac-authentication guest-vlan

【缺省情况】

端口上未配置MAC地址认证的Guest VLAN。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

【使用指导】

配置此功能后,当MAC地址认证失败的情况下,用户可以继续被授权访问的Guest VLAN内的资源。

如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Guest VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Guest VLAN,则该VLAN不能被指定为Super VLAN。

端口下配置MAC地址认证的Guest VLAN与配置MAC地址认证的Guest VSI、Critical VSI、Critical微分段互斥。

禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先通过undo mac-authentication guest-vlan命令取消MAC地址认证的Guest VLAN配置。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1的Guest VLAN为VLAN 100。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan 100

【相关命令】

·     display mac-authentication

·     mac-authentication critical microsegment

·     reset mac-authentication guest-vlan

1.1.19  mac-authentication guest-vlan auth-period

mac-authentication guest-vlan auth-period命令用来配置设备对Guest VLAN中的用户进行重新认证的时间间隔。

undo mac-authentication guest-vlan auth-period命令用来恢复缺省情况。

【命令】

mac-authentication guest-vlan auth-period period-value

undo mac-authentication guest-vlan auth-period

【缺省情况】

设备对Guest VLAN中的用户进行重新认证的时间间隔为30秒。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

period-value:表示设备重新发起认证的时间间隔,取值范围为1~3600,单位为秒。

【使用指导】

只有通过mac-authentication guest-vlan re-authenticate命令开启了Guest VLAN中用户的重新认证功能,通过本命令设置的重新认证时间间隔才生效。

当端口上同时进行认证的用户数大于300时,建议将重新认证时间设置为30秒以上。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上配置设备对Guest VLAN中的用户进行重新认证的时间间隔为150秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan auth-period 150

【相关命令】

·     display mac-authentication

·     mac-authentication guest-vlan

·     mac-authentication guest-vlan re-authenticate

1.1.20  mac-authentication guest-vlan re-authenticate

mac-authentication guest-vlan re-authenticate命令用来开启Guest VLAN中用户的重新认证功能。

undo mac-authentication guest-vlan re-authenticate命令用来关闭Guest VLAN中用户的重新认证功能。

【命令】

mac-authentication guest-vlan re-authenticate

undo mac-authentication guest-vlan re-authenticate

【缺省情况】

Guest VLAN中用户的重新认证功能处于开启状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

用户认证失败后会加入到Guest VLAN。当开启Guest VLAN中用户的重新认证功能后,设备会按照mac-authentication guest-vlan auth-period命令配置的时间间隔对Guest VLAN中的用户定期进行重新认证。若Guest VLAN中的用户重新认证失败,设备会打印日志信息。认证失败用户较多时,会导致日志信息过多。

关闭Guest VLAN中用户的重新认证功能后,加入到Guest VLAN中的用户不会重新发起认证。如果开启了非认证成功VLAN的用户老化功能(通过命令mac-authentication unauthenticated-user aging enable),则用户可以按照mac-authentication timer user-aging guest-vlan aging-time-value命令配置的老化时间进行老化并退出Guest VLAN,并在需要访问网络时重新发起认证。

可通过执行undo mac-authentication guest-vlan re-authenticate命令关闭Guest VLAN中用户的重新认证功能,并根据业务需求调整Guest VLAN用户的老化时间。

【举例】

# 开启接口Ten-GigabitEthernet1/0/1上Guest VLAN内用户的重新认证功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan re-authenticate

【相关命令】

·     display mac-authentication

·     mac-authentication guest-vlan

·     mac-authentication guest-vlan auth-period

·     mac-authentication timer

1.1.21  mac-authentication guest-vsi

mac-authentication guest-vsi命令用来配置端口的MAC地址认证的Guest VSI。

undo mac-authentication guest-vsi命令用来恢复缺省情况。

【命令】

mac-authentication guest-vsi guest-vsi-name

undo mac-authentication guest-vsi

【缺省情况】

端口上未配置MAC地址认证的Guest VSI。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

guest-vsi-name:端口上指定的Guest VSI名称,为1~31个字符的字符串,区分大小写。

【使用指导】

配置此功能后,端口上MAC地址认证失败的用户会被加入到MAC地址认证的Guest VSI对应的VXLAN。

不同的端口可以配置不同的MAC认证的Guest VSI,但一个端口最多只能配置一个MAC认证的Guest VSI。

端口下配置MAC地址认证的Guest VSI与配置MAC地址认证的Guest VLAN、Critical VLAN、Critical微分段互斥。

Guest VSI名称的取值不能与关键字auth-period和re-authenticate从起始字母开始重叠(例如不能为a、auth、r或re等),否则无法配置成功,反而会触发mac-authentication guest-vsi auth-periodmac-authentication guest-vsi re-authenticate配置。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1的Guest VSI名称为vpna。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vsi vpna

【相关命令】

·     display mac-authentication

·     mac-authentication critical microsegment

·     reset mac-authentication guest-vsi

1.1.22  mac-authentication guest-vsi auth-period

mac-authentication guest-vsi auth-period命令用来配置设备对Guest VSI中的用户进行重新认证的时间间隔。

undo mac-authentication guest-vsi auth-period命令用来恢复缺省情况。

【命令】

mac-authentication guest-vsi auth-period period-value

undo mac-authentication guest-vsi auth-period

【缺省情况】

设备对Guest VSI中的用户进行重新认证的时间间隔为30秒。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

period-value:表示设备重新发起认证的时间间隔,取值范围为1~3600,单位为秒。

【使用指导】

只有通过mac-authentication guest-vsi re-authenticate命令开启了Guest VSI中用户的重新认证功能,通过本命令设置的重新认证时间间隔才生效。

当端口上同时进行认证的用户数大于300时,建议将重新认证时间设置为30秒以上。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上配置设备对Guest VSI中的用户进行重新认证的时间间隔为150秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vsi auth-period 150

【相关命令】

·     display mac-authentication

·     mac-authentication guest-vsi

·     mac-authentication guest-vsi re-authenticate

1.1.23  mac-authentication guest-vsi re-authenticate

mac-authentication guest-vsi re-authenticate命令用来开启Guest VSI中用户的重新认证功能。

undo mac-authentication guest-vsi re-authenticate命令用来关闭Guest VSI中用户的重新认证功能。

【命令】

mac-authentication guest-vsi re-authenticate

undo mac-authentication guest-vsi re-authenticate

【缺省情况】

Guest VSI中用户的重新认证功能处于开启状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

用户认证失败后会加入到Guest VSI。当开启Guest VSI中用户的重新认证功能后,设备会按照mac-authentication guest-vsi auth-period命令配置的时间间隔对Guest VSI中的用户定期进行重新认证。若Guest VSI中的用户重新认证失败,设备会打印日志信息。认证失败用户较多时,会导致日志信息过多。

关闭Guest VSI中用户的重新认证功能后,加入到Guest VSI中的用户不会重新发起认证。如果开启了非认证成功VSI的用户老化功能(通过命令mac-authentication unauthenticated-user aging enable),则用户可以按照mac-authentication timer user-aging guest-vsi aging-time-value命令配置的老化时间进行老化并退出Guest VSI,并在需要访问网络时重新发起认证。

可通过执行undo mac-authentication guest-vsi re-authenticate命令关闭Guest VSI中用户的重新认证功能,并根据业务需求调整Guest VSI用户的老化时间。

【举例】

# 开启接口Ten-GigabitEthernet1/0/1上Guest VSI内用户的重新认证功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vsi re-authenticate

【相关命令】

·     display mac-authentication

·     mac-authentication guest-vsi

·     mac-authentication guest-vsi auth-period

·     mac-authentication timer

1.1.24  mac-authentication host-mode multi-vlan

mac-authentication host-mode multi-vlan命令用来指定端口工作在MAC地址认证的多VLAN 模式。

undo mac-authentication host-mode命令用来恢复缺省情况。

【命令】

mac-authentication host-mode multi-vlan

undo mac-authentication host-mode

【缺省情况】

端口工作在MAC地址认证的单VLAN 模式。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

端口工作在不同VLAN模式时,如果相同MAC地址的用户在同一端口下的不同VLAN(指不同于上一次发起认证时所在的VLAN)再次接入,设备对用户的处理方式如下:

·     端口工作在多VLAN模式下时,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。

·     端口工作在单VLAN模式下时,在用户已上线,且没有被下发授权VLAN情况下,设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。

·     端口工作在单VLAN模式下时,如果已上线用户被下发了授权VLAN,对用户的处理与是否允许用户迁移到同一端口下其它VLAN接入(通过port-security mac-move permit命令)有关:

¡     如果不允许用户迁移到同一端口下其它VLAN接入,则此用户在同一端口下的不同VLAN接入失败,原用户保持在线。

¡     如果允许用户迁移到同一端口下其它VLAN接入,则用户在新的VLAN内需要重新认证,且在用户重新上线后,原用户下线。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1工作在MAC地址认证的多VLAN模式。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication host-mode multi-vlan

【相关命令】

·     display mac-authentication

·     port-security mac-move permit(安全命令参考/端口安全)

1.1.25  mac-authentication mac-range-account

mac-authentication mac-range-account命令用来配置对指定MAC地址范围的MAC地址认证用户设置用户名和密码。

undo mac-authentication mac-range-account命令用来恢复缺省情况。

【命令】

mac-authentication mac-range-account mac-address mac-address mask { mask | mask-length } account name password { cipher | simple } string

undo mac-authentication mac-range-account { all | mac-address mac-address }

【缺省情况】

未对指定MAC地址范围的MAC地址认证用户设置用户名和密码,MAC地址认证用户采用mac-authentication user-name-format命令设置的用户名和密码接入设备。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

mac-address mac-address:指定的MAC地址,格式为H-H-H。

mask mask:表示MAC地址的掩码。格式为H-H-H,该掩码转为二进制时,高位必须为连续的1。

mask mask-length:MAC地址掩码长度,即掩码中连续“1”的数量,取值范围为1~48。

account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@。

password:指定用户的密码。

cipher:以密文方式设置密码。

simple:以明文方式设置密码,该密码将以密文形式存储。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。

all:表示删除所有指定的MAC地址范围。

【使用指导】

如果需要对特定MAC地址范围的用户单独设置用户名和密码(例如对指定OUI的MAC地址单独设置用户名和密码)时,可以执行本命令。本命令的优先级高于mac-authentication user-name-format命令。

可通过多次执行本命令来配置多个MAC地址段的用户名和密码,但不允许指定的MAC地址重叠。如果新配置命令的MAC地址范围与已有的MAC地址范围完全相同,则后配置的命令会覆盖已有的命令。

本命令仅对单播MAC地址范围有效。若配置的MAC地址范围仅包含组播地址,则配置失败;若既包含组播地址,也包含单播地址,则仅单播地址范围部分有效,组播地址范围部分无效。其中,全零MAC地址也不属于有效MAC地址,一个全零的MAC地址用户不能通过MAC地址认证。

设备最多允许配置16个MAC地址范围。

【举例】

# 配置以aaaa开头的MAC地址,进行MAC地址认证时使用的用户名为user1,明文密码为1234。

<Sysname> system-view

[Sysname] mac-authentication mac-range-account mac-address aaaa-0000-0000 mask ffff-0000-0000 account user1 password simple 1234

【相关命令】

·     display mac-authentication

·     mac-authentication user-name-format

1.1.26  mac-authentication max-silent-mac

mac-authentication max-silent-mac命令用来配置允许同时存在的最大静默MAC数。

undo mac-authentication max-silent-mac命令用来恢复缺省情况。

【命令】

mac-authentication max-silent-mac max-number

undo mac-authentication max-silent-mac

【缺省情况】

允许同时存在的静默MAC数为1024。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

max-number:允许同时存在的静默MAC数的最大值,取值范围为1000~32000。

【使用指导】

每个单板上默认只允许同时存在1024个静默MAC。在网络环境安全性不高的情况下,可以通过本配置适当增加每个单板上允许同时存在的最大静默MAC数,从而抑制更多短时间重复认证的非法MAC用户,保障合法用户的正常认证。当单板上同时存在的静默MAC数超过配置的最大值后,将不再添加新的静默MAC。

以下情况,用户的MAC地址会被加入到静默MAC中:

·     用户认证失败(用户不存在或者密码错误等原因)。

·     用户授权失败且设备上开启了端口安全授权失败用户下线功能并指定quiet-period参数。

需要注意的是,本命令对服务器授权的黑洞MAC不生效。

【举例】

# 配置每个单板上最多允许同时存在2048个静默MAC。

<Sysname> system-view

[Sysname] mac-authentication max-silent-mac 2048

【相关命令】

·     mac-authentication timer

·     port-security authorization-fail offline(安全命令参考/端口安全)

1.1.27  mac-authentication max-user

mac-authentication max-user命令用来配置端口上最多允许同时接入的MAC地址认证用户数。undo mac-authentication max-user命令用来恢复缺省情况。

【命令】

mac-authentication max-user [ preauth-domain | auth-fail-domain ] max-number

undo mac-authentication max-user [ preauth-domain | auth-fail-domain ]

【缺省情况】

端口上最多允许同时接入的MAC地址认证用户数为4294967295。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

preauth-domain:配置端口允许同时加入前域的MAC地址认证用户数的最大值。

auth-fail-domain:配置端口允许同时加入失败域的MAC地址认证用户数的最大值。

max-number:端口允许同时接入的MAC地址认证用户数的最大值,取值范围为1~4294967295。

【使用指导】

如果未指定preauth-domainauth-fail-domain参数,则表示端口允许接入的所有类型(包括前域、失败域、逃生域内以及认证成功上线的MAC地址认证用户)MAC地址认证用户数的最大值。

由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1最多允许同时接入32个MAC地址认证用户。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication max-user 32

【相关命令】

·     display mac-authentication

1.1.28  mac-authentication offline-detect enable

mac-authentication offline-detect enable命令用来开启端口的MAC地址认证下线检测功能。

undo mac-authentication offline-detect enable命令用来关闭端口的MAC地址认证下线检测功能。

【命令】

mac-authentication offline-detect enable

undo mac-authentication offline-detect enable

【缺省情况】

端口的MAC地址认证下线检测功能处于开启状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

开启端口的MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。

关闭端口的MAC地址认证下线检测功能后,设备将不会对在线用户的状态进行检测。

本功能对认证成功在线用户以及非认证成功在线用户(Guest VLAN/VSI、Critical VLAN/VSI/微分段用户)均生效:

·     认证成功在线用户的下线检测周期可通过mac-authentication timer offline-detect命令设置。

·     非认证成功在线用户的下线检测周期可通过mac-authentication timer user-aging命令设置。开启下线检测功能后,非认证成功在线用户不会因到达老化时间而下线,是否下线仅取决于下线检测结果。

【举例】

# 关闭端口Ten-GigabitEthernet1/0/1上的MAC地址认证下线检测功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] undo mac-authentication offline-detect enable

【相关命令】

·     mac-authentication timer

1.1.29  mac-authentication offline-detect mac-address

mac-authentication offline-detect mac-address命令用来配置指定MAC地址用户的下线检测功能。

undo mac-authentication offline-detect mac-address命令用来恢复缺省情况。

【命令】

mac-authentication offline-detect mac-address mac-address { ignore | timer offline-detect-value [ check-arp-or-nd-snooping ] }

undo mac-authentication offline-detect mac-address mac-address

【缺省情况】

由端口的下线检测开关控制是否进行下线检测,且使用全局下线检测定时器作为检测周期。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

mac-address:指定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。

ignore:表示不对指定MAC地址用户进行下线检测。

timer offline-detect-value:表示设置下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。

check-arp-or-nd-snooping:表示检查是否存在该MAC地址对应的ARP Snooping表项或ND Snooping表项。

【使用指导】

端口上开启了MAC地址认证的下线检测功能后,如需对某些用户的检查参数进行单独设置,或者不对某些用户进行下线检测,则可通过执行本命令实现。

设置下线检测定时器后,设备在一个下线检测周期之内检测到如下情况时,会切断指定用户的连接,同时通知RADIUS服务器停止对此用户进行计费:

·     对指定MAC地址用户设置下线检测定时器且不指定check-arp-or-nd-snooping参数时,设备在一个下线检测周期之内,未收到该在线用户的报文;

·     对指定MAC地址用户设置下线检测定时器且指定check-arp-or-nd-snooping参数时,设备会检查在一个下线检测周期之内,是否存在该MAC地址对应的ARP Snooping或ND Snooping表项,若不存在则检查是否收到该在线用户的报文,若未收到则切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。

如果关闭端口的MAC地址认证下线检测功能(通过undo mac-authentication offline-detect enable命令),则不会对端口上的MAC地址认证用户进行下线检测,且本命令不生效。

通过ignore参数关闭用户下线检测的功能应用于哑终端的认证,避免哑终端用户因为MAC地址认证的下线检测功能开启导致哑终端下线后不能再次上线的问题,保证哑终端用户长期在线。

本命令对在线用户立即生效。

用户进行下线检测设置的优先级由高到低依次为:设备配置的指定MAC地址用户的下线检测设置、RADIUS服务器下发的下线检测设置、端口上的下线检测设置。其中,RADIUS服务器通过RADIUS属性为用户下发下线检测时间、是否检查ARP Snooping或ND Snooping表项,或是否进行下线检测。

【举例】

# 配置对MAC地址为000a-eb29-7511的MAC地址认证用户不进行下线检测。

<Sysname> system-view

[Sysname] mac-authentication offline-detect mac-address 000a-eb29-7511 ignore

# 配置对MAC地址为000a-eb29-7511的MAC地址认证用户进行下线检测时间为24小时。

<Sysname> system-view

[Sysname] mac-authentication offline-detect mac-address 000a-eb29-7511 timer 86400

【相关命令】

·     display mac-authentication connection

·     mac-authentication offline-detect enable

·     mac-authentication timer (system view)

1.1.30  mac-authentication recover-user

mac-authentication recover-user命令用来手动恢复MAC地址认证用户。

【命令】

mac-authentication recover-user profile profile-name [ interface interface-type interface-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

profile profile-name:user-recovery Profile名称,为1~31个字符的字符串,不区分大小写。

interface interface-type interface-number:指定MAC地址认证用户所在的端口。interface-type interface-number为端口类型和端口编号。若不指定该参数,则表示恢复所有端口上的MAC地址认证用户。

【使用指导】

设备或接口板重启、接口故障原因导致设备上MAC认证用户下线后,如果因链路震荡等原因使得设备自动恢复MAC地址认证用户并不完全时,管理员可以执行本命令从指定的RESTful服务器上获取待恢复的在线用户信息,并为这些用户重新认证。

【举例】

# 使用名称为profile1的user-recovery Profile手动恢复MAC地址认证用户。

<Sysname> mac-authentication recover-user profile profile1

【相关命令】

·     mac-authentication auto-recover-user

·     mac-authentication user-recovery-profile

1.1.31  mac-authentication parallel-with-dot1x

mac-authentication parallel-with-dot1x命令用来配置端口MAC地址认证和802.1X认证并行处理功能。

undo mac-authentication parallel-with-dot1x命令用来恢复缺省情况。

【命令】

mac-authentication parallel-with-dot1x

undo mac-authentication parallel-with-dot1x

【缺省情况】

端口在收到源MAC地址未知的报文触发认证时,按照802.1X认证完成后再进行MAC地址认证的顺序进行处理。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

端口采用802.1X和MAC地址组合认证功能适用于如下情况:

·     端口上同时开启了802.1X和MAC地址认证功能,并配置了802.1X认证的端口的接入控制方式为macbased。

·     开启了端口安全功能,并配置了端口安全模式为userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。

在端口采用802.1X认证和MAC地址组合认证的情况下,如果想要在端口加入到802.1X Guest VLAN或Guest VSI之前进行MAC地址认证并下发授权VLAN或授权VSI,请通过本命令开启端口MAC地址认证和802.1X认证并行处理功能,并配置端口延迟加入802.1X Guest VLAN或端口延迟加入802.1X Guest VSI功能。关于端口延迟加入802.1X Guest VLAN和端口延迟加入802.1X Guest VSI配置命令的详细介绍,请参见“安全命令参考”中的“802.1X”。

开启了MAC地址认证和802.1X认证并行处理功能后,不建议配置端口的MAC地址认证延迟功能。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上开启MAC地址认证和802.1X认证并行处理功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication parallel-with-dot1x

1.1.32  mac-authentication redirect-url

mac-authentication redirect-url命令用来配置需要探测状态的Web服务器的重定向URL。

undo mac-authentication redirect-url命令用来取消重定向URL与Track项的关联状态。

【命令】

mac-authentication redirect-url url-string track track-entry-number

undo mac-authentication redirect-url url-string

【缺省情况】

未配置需要探测状态的Web服务器的重定向URL。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

url-string:RADIUS服务器下发的重定向URL地址,为1~255个字符的字符串,区分大小写。URL必须以http://或者https://开头。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。

track track-entry-number:指定重定向URL关联的Track项。track-entry-number表示Track项的序号,取值范围为1~1024。

【使用指导】

缺省情况下,MAC地址认证通过后,RADIUS服务器下发的重定向URL指定的Web服务器状态一直为active,设备并不能感知到Web服务器的真实状态。通过对重定向URL关联Track项,MAC地址认证模块能够根据Track项的状态及时确定Web服务器的可达性,以便在Web服务器不可达时,让授权了重定向URL的MAC地址认证用户快速下线。

建议将被关联的Track项与HTTP类型的NQA测试组联动,由NQA测试组来判断Web重定向服务器的连通性及性能。有关Track项的详细介绍,请参见“可靠性配置指导”中的“Track”。有关NQA的详细介绍,请参见“网络管理和监控配置指导”中的“NQA”。

一个URL只能关联一个Track项,新配置将覆盖已有配置。

【举例】

#配置需要探测状态的Web服务器的重定向URL为http://192.168.1.1:80/portal/。

<Sysname> system-view

[Sysname] mac-authentication redirect-url http://192.168.1.1:80/portal/ track 1

【相关命令】

·     nqa schedule(网络管理和监控命令参考/NQA)

·     track nqa(可靠性命令参考/Track)

1.1.33  mac-authentication re-authenticate

mac-authentication re-authenticate命令用来开启MAC地址周期性重认证功能。

undo mac-authentication re-authenticate命令用来关闭MAC地址周期性重认证功能。

【命令】

mac-authentication re-authenticate

undo mac-authentication re-authenticate

【缺省情况】

MAC地址周期性重认证功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

端口开启了MAC地址认证用户的周期性重认证功能后,设备会周期性对该端口上的MAC地址认证在线用户进行重认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN等)。

如果同时配置了重认证功能和当RADIUS服务器变为可达后,设备向RADIUS服务器同步MAC地址认证在线用户信息的功能,则当重认证定时器超时时,设备不会对用户进行重认证,而是对用户进行同步操作。

如果设备配置了周期性重认证功能,当重认证定时器超时时,设备不会对在线用户发起重认证,而是对用户进行同步操作。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上开启MAC地址重认证功能,并配置周期性重认证时间间隔为1800秒。

<Sysname> system-view

[Sysname] mac-authentication timer reauth-period 1800

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication re-authenticate

【相关命令】

·     display mac-authentication

·     mac-authentication server-recovery online-user-sync

·     mac-authentication timer

1.1.34  mac-authentication re-authenticate server-unreachable keep-online

mac-authentication re-authenticate server-unreachable keep-online命令用来配置重认证服务器不可达时端口上的MAC地址认证用户保持在线状态。

undo mac-authentication re-authenticate server-unreachable命令用来恢复缺省情况。

【命令】

mac-authentication re-authenticate server-unreachable keep-online

undo mac-authentication re-authenticate server-unreachable

【缺省情况】

端口上的MAC地址认证在线用户重认证时,若认证服务器不可达,则会被强制下线。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

配置此命令后,在对MAC地址认证用户重认证过程中,若设备发现认证服务器状态不可达,则保持MAC地址认证用户在线。

是否对MAC地址认证在线用户进行周期性重认证由认证服务器授权的属性所决定。认证服务器通过下发RADIUS属性(session-timeout、Terminal-Action)来指定用户会话超时时长以及会话中止的动作类型,它们共同决定了如何对用户进行重认证。

·     当会话中止的动作类型为要求用户进行重认证时,端口会在用户会话超时时长到达后对该用户进行重认证;

·     当会话中止的动作类型为要求用户下线时,端口会在用户会话超时时长到达强制该用户下线;

·     当认证服务器未下发用户会话超时时长时,设备不会对用户进行重认证。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1上的MAC地址认证在线用户进行重认证时,若服务器不可达,则保持在线状态。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication re-authenticate server-unreachable keep-online

【相关命令】

·     display mac-authentication

1.1.35  mac-authentication server-recovery online-user-sync

mac-authentication server-recovery online-user-sync命令用来开启RADIUS服务器变为可达后的MAC地址认证在线用户信息同步功能。

undo mac-authentication server-recovery online-user-sync命令用来关闭MAC地址认证在线用户信息同步功能。

【命令】

mac-authentication server-recovery online-user-sync

undo mac-authentication server-recovery online-user-sync

【缺省情况】

MAC地址认证在线用户信息同步功能处于关闭状态,即当RADIUS服务器从不可达状态恢复为可达后,设备不向RADIUS服务器同步MAC地址认证的在线用户信息。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

设备向RADIUS服务器同步MAC地址认证在线用户信息功能只能与iMC服务器配合使用。

开启本功能后,当通过RADIUS服务器探测功能(具体配置步骤请参见“安全配置指导”中的“AAA”)探测到服务器由不可达变为可达后,设备便主动对端口上的所有在线用户依次向服务器发起认证请求,等到这些用户均通过认证后,达到服务器上的在线用户信息与该端口上的在线用户信息一致的目的。

在设备向RADIUS服务器同步MAC地址认证在线用户过程中,特殊情况处理如下:

·     如果在RADIUS服务器可达情况下,某用户认证失败,则设备强制该用户下线。

·     如果在设备发起下一次RADIUS服务器探测前,RADIUS服务器变为不可达而导致用户认证失败,则用户仍然保持在线。

·     如果有新用户发起认证,则该认证用户的信息不会向RADIUS服务器进行同步。

当RADIUS服务器从不可达变为可达时,处于Critical VLAN或Critical VSI中的用户也会再次发起认证,在设备上MAC地址认证在线用户较多的情况下,如果配置了本功能,会因为同时进行认证的用户数量较大,而导致用户的上线时间变长。

本功能需要与RADIUS服务器探测功能配合使用。

【举例】

# 配置设备向RADIUS服务器同步Ten-GigabitEthernet1/0/1端口下的MAC地址认证在线用户信息。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication server-recovery online-user-sync

【相关命令】

·     display mac-authentication

·     radius-server test-profile(安全命令参考/AAA)

·     timer quiet (RADIUS scheme view)(安全命令参考/AAA)

1.1.36  mac-authentication timer (interface view)

mac-authentication timer命令用来配置端口上的MAC地址认证的定时器参数。

undo mac-authentication timer命令用来将端口上指定的MAC地址认证定时器恢复为缺省情况。

【命令】

mac-authentication timer { auth-delay auth-delay-time | reauth-period reauth-period-value }

undo mac-authentication timer { auth-delay | reauth-period }

【缺省情况】

端口上未配置MAC地址认证延迟定时器,表示MAC地址认证延迟功能处于关闭状态,如果用户报文触发MAC地址认证,认证将会立刻开始;端口上未配置MAC地址周期性重认证定时器,端口使用系统视图下配置的MAC地址周期性重认证定时器的取值。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

auth-delay auth-delay-time:表示MAC地址认证延迟定时器。其中auth-delay-time表示MAC地址认证延迟定时器的值,取值范围为1~180,单位为秒。

reauth-period reauth-period-value:表示MAC地址认证周期性重认证定时器。其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~86400,单位为秒。

【使用指导】

端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。

开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是在等待一定的延迟时间之后,再会对之前收到的用户报文进行MAC地址认证。在此认证延迟期间,端口对用户报文的其它认证过程并不受影响。

开启了MAC地址认证延迟功能的端口上不建议同时配置端口安全的模式为mac-else-userlogin-securemac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。

对MAC地址认证用户进行重认证时,设备将按照如下由高到低的顺序为其选择重认证时间间隔:服务器下发的重认证时间间隔、接口视图下配置的周期性重认证定时器的值、系统视图下配置的周期性重认证定时器的值、设备缺省的周期性重认证定时器的值。

对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

【举例】

# 开启MAC地址延迟认证功能,并指定MAC地址认证的延时时间为10秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication timer auth-delay 10

【相关命令】

·     display mac-authentication

·     port-security port-mode(安全命令参考/端口安全)

1.1.37  mac-authentication timer (system view)

mac-authentication timer命令用来配置MAC地址认证的定时器参数。

undo mac-authentication timer命令用来恢复缺省情况。

【命令】

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | reauth-period reauth-period-value | server-timeout server-timeout-value | temporary-user-aging aging-time-value | user-aging { critical-microsegment | critical-vlan | critical-vsi | guest-vlan | guest-vsi } aging-time-value }

undo mac-authentication timer { offline-detect | quiet | reauth-period | server-timeout | temporary-user-aging | user-aging { critical-microsegment | critical-vlan | critical-vsi | guest-vlan | guest-vsi } }

【缺省情况】

下线检测定时器的值为300秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,服务器超时定时器的值为100秒,临时MAC地址认证用户老化定时器的值为60秒,指定类型的非认证成功微分段、VLAN或VSI内用户老化定时器的值为1000秒。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。

quiet quiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围为1~3600,单位为秒。

reauth-period reauth-period-value:表示周期性重认证定时器,其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~86400,单位为秒。

server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。

temporary-user-aging aging-time-value:表示临时MAC地址认证用户的老化定时器。其中aging-time-value表示临时MAC地址认证用户老化定时器的值,取值范围为60~2147483647,单位为秒。

user-aging:设置加入到指定类型的非认证成功VLAN或VSI中用户的老化定时器。

critical-microsegment:加入到Critical微分段中用户的老化定时器。

critical-vlan:加入到Critical VLAN中用户的老化定时器。

critical-vsi:加入到Critical VSI中用户的老化定时器。

guest-vlan:加入到Guest VLAN中用户的老化定时器。

guest-vsi:加入到Guest VSI中用户的老化定时器。

aging-time-value:用户老化定时器的值,取值范围为60~2147483647,单位为秒。

【使用指导】

MAC地址认证过程受以下定时器的控制:

·     下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。

开启MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。配置offline-detect时,需要将MAC地址老化时间配成相同时间,否则会导致用户异常下线。只有当端口的MAC地址认证下线检测功能处于开启状态时,该定时器生效。考虑到板间或设备间同步用户信息会消耗时间,实际上,聚合口下线检测时间间隔会在本命令配置的基础上增加3分钟,M-LAG口下线检测时间间隔会在本命令配置的基础上增加25分钟。

·     静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。

·     周期性重认证定时器(reauth-period):端口下开启了MAC地址周期性重认证功能后,设备可以此间隔为周期对端口上的在线用户发起重认证。对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

·     服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。

建议将server-timeout的值设定为小于或等于设备发送RADIUS报文的最大尝试次数(retry)与RADIUS服务器响应超时时间(timer response-timeout)之积。如果server-timeout的值大于retrytimer response-timeout之积,则可能在server-timeout设定的服务器超时时间到达前,用户被强制下线。

关于发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间的具体配置请参见“安全配置指导”中的“AAA”。

·     临时MAC地址认证用户的老化定时器(temporary-user-aging):用来设置临时MAC地址认证用户的老化时间。在配置了端口安全模式为macAddressAndUserLoginSecureExt的端口上,用户MAC地址认证成功后为其启用该定时器。如果到达设定的老化时间后端口仍没有收到该MAC地址用户的802.1X协议报文,则临时MAC地址认证用户下线,用户认证失败。关于端口安全模式的详细介绍,请参见“安全配置指导”中的“端口安全”。

·     用户老化定时器(user-aging):用来设置指定类型的微分段、VLAN或VSI内用户老化时间。用户加入到Critical微分段、Guest VLAN、Critical VLAN、Guest VSI、Critical VSI后,设备启动该定时器。如果到达设定的老化时间,则用户离开指定的微分段、VLAN或VSI。

只有通过mac-authentication unauthenticated-user aging enable命令开启非认证成功微分段、VLAN和VSI中MAC地址认证用户的老化功能时,该定时器生效。

请不要将Guest VLAN或Guest VSI内用户老化时间设置为用户进行重新认证的时间间隔(通过命令mac-authentication guest-vlan auth-period/mac-authentication guest-vsi auth-period进行配置)的整数倍,否则会导致用户老化定时器失效。

【举例】

# 设置服务器超时定时器时长为150秒。

<Sysname> system-view

[Sysname] mac-authentication timer server-timeout 150

【相关命令】

·     display mac-authentication

·     mac-authentication guest-vlan auth-period

·     mac-authentication guest-vsi auth-period

·     mac-authentication unauthenticated-user aging enable

·     port-security port-mode(安全命令参考/端口安全)

·     retry(安全命令参考/AAA)

·     timer response-timeout (RADIUS scheme view)(安全命令参考/AAA)

1.1.38  mac-authentication unauthenticated-user aging enable

mac-authentication unauthenticated-user aging enable命令用来开启非认证成功 VLAN、VSI和微分段中MAC地址认证用户的老化功能。

undo mac-authentication unauthenticated-user aging enable命令用来关闭非认证成功VLAN、VSI和微分段中MAC地址认证用户的老化功能。

【命令】

mac-authentication unauthenticated-user aging enable

undo mac-authentication unauthenticated-user aging enable

【缺省情况】

非认证成功VLAN、VSI和微分段中MAC地址认证用户的老化功能处于开启状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

开启非认证成功VLAN、VSI和微分段中MAC地址认证用户的老化功能后,当MAC地址认证用户加入到Critical VLAN、Guest VLAN、Critical VSI、Guest VSI或Critical微分段时,设备启动用户老化定时器,到达老化时间(通过mac-authentication timer user-aging命令配置)后,用户离开对应的VLAN、VSI或微分段。

当端口上非认证成功VLAN、VSI或微分段的用户需要迁移到其它端口接入时,请开启本端口上非认证成功VLAN、VSI或微分段用户的老化功能,将本端口上的用户MAC地址老化删除。反之,当本端口非认证成功VLAN、VSI或微分段的用户不需要迁移到其它端口接入时,建议关闭本功能,以免用户老化退出后无法访问对应VLAN、VSI或微分段中的资源。

【举例】

# 关闭端口Ten-GigabitEthernet1/0/1上非认证成功VLAN、VSI和微分段中MAC地址认证用户的老化功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] undo mac-authentication unauthenticated-user aging enable

【相关命令】

·     mac-authentication timer

1.1.39  mac-authentication user-name-format

mac-authentication user-name-format命令用来配置MAC地址认证用户的用户名格式。

undo mac-authentication user-name-format命令用来恢复缺省情况。

【命令】

mac-authentication user-name-format { fixed [ account name ] | mac-address [ { with-hyphen [ separator colon ] | without-hyphen } [ lowercase | uppercase ] ] } [ password { cipher | simple } string ]

undo mac-authentication user-name-format

【缺省情况】

使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

fixed:表示采用固定用户名用户名。

account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。

mac-address:表示使用用户的MAC地址作为用户名。

with-hyphen:带连字符的MAC地址格式,例如xx-xx-xx-xx-xx-xx。

separator colon带连字符“:”的MAC地址格式,例如xx:xx:xx:xx:xx:xx或XX:XX:XX:XX:XX:XX。如果未指定本参数,则表示MAC地址中使用“-”作为连字符,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX。

without-hyphen:不带连字符的MAC地址格式,例如xxxxxxxxxxxx或XXXXXXXXXXXX。

lowercase:MAC地址中的字母为小写。

uppercase:MAC地址中的字母为大写。

password:指定用户的密码。使用用户的MAC地址作为用户名时,若不配置password参数,则表示使用用户的MAC地址同时作为用户名和密码;对于采用固定用户名的情况,若不配置password参数,则表示无密码。

·     cipher:以密文方式设置密码。

·     simple:以明文方式设置密码,该密码将以密文形式存储。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。

【使用指导】

指定用户的MAC地址为用户名时,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户账户。

若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名用户名进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。

【举例】

# 配置MAC地址认证的用户名为abc,密码是明文xyz。

<Sysname> system-view

[Sysname] mac-authentication user-name-format fixed account abc password simple xyz

# 配置用户的MAC地址为用户名和密码,使用带连字符的MAC地址格式,其中字母大写。

<Sysname> system-view

[Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase

【相关命令】

·     display mac-authentication

1.1.40  mac-authentication user-recovery-profile

mac-authentication user-recovery-profile命令用来创建MAC地址认证user-recovery Profile,并进入user-recovery Profile视图。如果指定的user-recovery Profile已存在,则直接进入user-recovery Profile视图。

undo mac-authentication user-recovery-profile命令用来删除指定的MAC地址认证user-recovery Profile。

【命令】

mac-authentication user-recovery-profile profile-name

undo mac-authentication user-recovery-profile profile-name

【缺省情况】

不存在MAC地址认证user-recovery Profile。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

profile-name:user-recovery Profile名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

user-recovery Profile中定义了RESTful服务器的相关参数,主要包括服务器的IP地址、用户资源URI和登录到该服务器所需的用户名和密码。设备与RESTful服务器成功建立连接之后,可以从该服务器上手工或自动获取在线用户的账户信息,用于设备或接口板重启、接口故障恢复后的用户状态恢复。

系统最多支持配置16个user-recovery Profile。

【举例】

# 创建一个名称为profile1的MAC地址认证user-recovery Profile,并进入其视图。

<Sysname> system-view

[Sysname] mac-authentication user-recovery-profile profile1

New user-recovery profile created.

[Sysname-user-recovery-profile-profile1]

【相关命令】

·     display mac-authentication user-recovery-profile

·     mac-authentication auto-recover-user

·     mac-authentication recover-user

1.1.41  mac-authentication web-proxy

mac-authentication web-proxy命令用来配置允许触发MAC地址认证URL重定向的Web代理服务器端口。

undo mac-authentication web-proxy命令用来删除指定或所有的Web代理服务器端口。

【命令】

mac-authentication web-proxy { http | https } port port-number

undo mac-authentication web-proxy { { http | https } port port-number | all-port }

【缺省情况】

未配置允许触发MAC地址认证URL重定向的Web代理服务器端口。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

http:表示HTTP请求触发MAC地址认证URL重定向功能。

https:表示HTTPS请求触发MAC地址认证URL重定向功能。

port port-number:MAC地址认证URL重定向功能的Web代理服务器的TCP端口号,取值范围为1~65535。其中,80和443端口是MAC地址认证URL重定向功能的预留端口号,不可配置。

all-port:指定所有MAC地址认证URL重定向功能的Web代理服务器的TCP端口号。

【使用指导】

设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP/HTTPS请求才能触发MAC地址认证URL重定向功能。若用户使用配置了Web代理服务器的浏览器上网,则用户在通过MAC地址认证之后发送的HTTP/HTTPS请求报文将被丢弃。这种情况下,网络管理员可以通过在设备上添加Web代理服务器的TCP端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP/HTTPS请求也可以触发MAC地址认证的URL重定向。

配置允许触发MAC地址认证URL重定向功能的Web代理服务器端口,需要注意的是:

·     通过多次执行本命令,最多可以添加64个允许触发MAC地址认证URL重定向功能的Web代理服务器端口。

·     HTTP和HTTPS请求允许触发MAC地址认证URL重定向功能的Web代理服务器端口不能相同。

·     在有MAC地址认证用户在线的情况下,通过本命令新增或删除Web代理端口号时,设备会强制让所有授权了重定向URL的MAC地址认证用户下线。

【举例】

# 配置HTTP请求允许触发MAC地址认证URL重定向的Web代理服务器端口号为8080。

<Sysname> system-view

[Sysname] mac-authentication web-proxy http port 8080

【相关命令】

·     display mac-authentication

1.1.42  nas-ip

nas-ip命令用来配置设备和RESTful服务器交互时使用的NAS-IP地址。

undo nas-ip命令用来删除设备和RESTful服务器交互时使用的NAS-IP地址。

【命令】

nas-ip { ipv4-address | ipv6 ipv6-address }

undo nas-ip

【缺省情况】

未配置设备和RESTful服务器交互时使用的NAS-IP地址。

【视图】

user-recovery Profile视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv4-address:指定的IPv4 NAS-IP地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address:指定的IPv6 NAS-IP地址,必须是单播地址,不能为环回地址与本地链路地址。

【使用指导】

RESTful服务器上通过IP地址来标识接入设备,它会根据收到的RESTful请求中携带的NAS-IP地址参数来匹配接入设备,然后将匹配上的接入设备的用户信息发送给该接入设备。

此处配置的NAS-IP必须和用户认证使用的RADIUS方案下的NAS-IP配置保持一致,而且同一个user-recovery Profile下配置的NAS-IP地址类型必须和RESTful服务器IP地址类型保持一致,否则设备不会向该视图中指定的RESTful服务器发送请求。

同一个user-recovery Profile下多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为profile1的user-recovery Profile视图下,配置设备和RESTful服务器交互使用的NAS-IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] mac-authentication user-recovery-profile profile1

[Sysname-user-recovery-profile-profile1] nas-ip 10.1.1.1

【相关命令】

·     display mac-authentication user-recovery-profile

·     nas-ip (RADIUS scheme view) (安全命令参考/AAA)

1.1.43  reset mac-authentication access-user

reset mac-authentication access-user命令用来强制MAC地址认证用户下线。

【命令】

reset mac-authentication access-user [ interface interface-type interface-number | mac mac-address | microsegment microsegment-id | online-type { auth-fail-domain | critical-domain | preauth-domain | success | url-unavailable-domain } | username username | vlan vlan-id | vsi vsi-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示强制指定端口下的MAC地址认证用户下线。interface-type interface-number为端口类型和端口编号。

mac mac-address:表示强制指定MAC地址的MAC地址认证用户下线。mac-address表示MAC地址认证用户的MAC地址,格式为H-H-H。

microsegment microsegment-id:表示强制指定微分段内的MAC地址认证用户下线。microsegment-id表示MAC认证在线用户的授权微分段ID,取值范围为1~65535。

online-type:表示强制指定类型的MAC地址认证用户下线。

·     auth-fail-domain:表示强制认证失败域内的MAC地址认证用户下线。

·     critical-domain:表示强制认证逃生域内的MAC地址认证用户下线。

·     preauth-domain:表示强制认证前域内的MAC地址认证用户下线。

·     success:表示强制认证成功的MAC地址认证用户下线。

·     url-unavailable-domain:表示强制URL不可达逃生域内的MAC地址认证用户下线。

username username:表示强制指定名称的MAC地址认证用户下线。username表示MAC地址认证用户的名称,为1~253个字符的字符串,区分大小写。

vlan vlan-id:表示强制指定VLAN内的MAC地址认证用户下线。vlan-id表示MAC地址认证用户当前所在VLAN的VLAN ID(可通过display mac-address命令查看),取值范围为1~4094。

vsi vsi-name:表示强制指定VSI内的MAC地址认证用户下线。vsi-name表示MAC地址认证在线用户的授权VSI名称,为1~31个字符的字符串,区分大小写。

【使用指导】

reset mac-authentication access-user命令用来强制指定的MAC地址认证用户下线。强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行MAC地址认证。

指定microsegment microsegment-id参数时,设备会查找认证成功且已授权微分段的用户,并将微分段ID为microsegment-id的用户强制下线。

指定vsi vsi-name参数时,设备会查找认证成功且已授权VSI的用户,将授权VSI为vsi-name的用户强制下线。

指定vlan vlan-id参数时,设备会对如下几种MAC地址认证用户进行下线处理:

·     对于已经认证成功且服务器已授权VLAN的用户,将服务器授权的VLAN为vlan-id的用户强制下线;

·     对于已认证成功且服务器未授权VLAN的用户,将设备上对用户生效的VLAN为vlan-id的用户强制下线;

·     对于正在认证中的用户,将初始VLAN为vlan-id的用户强制下线。

如果不指定任何参数,则强制设备上所有MAC地址认证用户下线。

【举例】

# 强制端口Ten-GigabitEthernet1/0/1上的所有MAC地址认证用户下线。

<Sysname> reset mac-authentication access-user interface ten-gigabitethernet 1/0/1

【相关命令】

·     display mac-authentication connection

1.1.44  reset mac-authentication critical microsegment

reset mac-authentication critical microsegment命令用来强制指定的MAC地址认证用户退出Critical微分段。

【命令】

reset mac-authentication critical microsegment interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示指定端口上的用户退出Critical微分段。interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示使指定MAC地址的用户退出Critical微分段。若不指定本参数,则表示使指定端口上的所有用户退出Critical微分段。

【使用指导】

该命令用来强制指定端口或指定MAC地址的MAC认证用户退出Critical微分段。退出后用户不能再访问Critical微分段中的资源。

【举例】

# 强制从端口Ten-GigabitEthernet1/0/1上接入的,MAC地址为1-1-1的MAC地址认证用户退出Critical微分段。

<Sysname> reset mac-authentication critical microsegment interface ten-gigabitethernet 1/0/1 mac-address 1-1-1

【相关命令】

·     display mac-authentication mac-address

·     mac-authentication critical microsegment

1.1.45  reset mac-authentication critical vlan

reset mac-authentication critical vlan命令用来清除Critical VLAN内的MAC地址认证用户。

【命令】

reset mac-authentication critical vlan interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出Critical VLAN。interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示使指定MAC地址的用户退出Critical VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Critical VLAN。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Critical VLAN。

<Sysname> reset mac-authentication critical vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1

【相关命令】

·     display mac-authentication mac-address

·     mac-authentication critical vlan

1.1.46  reset mac-authentication critical vsi

reset mac-authentication critical vsi命令用来清除Critical VSI内的MAC地址认证用户,使其退出Critical VSI。

【命令】

reset mac-authentication critical vsi interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出Critical VSI。interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示使指定MAC地址的用户退出Critical VSI。若不指定本参数,则表示使指定端口上的所有用户退出Critical VSI。

【举例】

# 强制端口Ten-GigabitEthernet1/0/1上接入的、MAC地址为1-1-1的MAC地址认证用户退出Critical VSI。

<Sysname> reset mac-authentication critical vsi interface ten-gigabitethernet 1/0/1 mac-address 1-1-1

【相关命令】

·     display mac-authentication mac-address

·     mac-authentication critical vsi

1.1.47  reset mac-authentication critical-voice-vlan

reset mac-authentication critical-voice-vlan命令用来清除MAC地址认证Critical Voice VLAN内的MAC地址认证用户。

【命令】

reset mac-authentication critical-voice-vlan interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出MAC地址认证的Critical Voice VLAN,其中interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示清除指定MAC地址的用户退出MAC地址认证的Critical Voice VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Critical Voice VLAN。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Critical Voice VLAN。

<Sysname> reset mac-authentication critical-voice-vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1

【相关命令】

·     display mac-authentication

·     mac-authentication critical-voice-vlan

1.1.48  reset mac-authentication guest-vlan

reset mac-authentication guest-vlan命令用来清除Guest VLAN内的MAC地址认证用户。

【命令】

reset mac-authentication guest-vlan interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出Guest VLAN。interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示使指定MAC地址的用户退出Guest VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Guest VLAN。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Guest VLAN。

<Sysname> reset mac-authentication guest-vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1

【相关命令】

·     display mac-authentication mac-address

·     mac-authentication guest-vlan

1.1.49  reset mac-authentication guest-vsi

reset mac-authentication guest-vsi命令用来清除Guest VSI内的MAC地址认证用户,使其退出Guest VSI。

【命令】

reset mac-authentication guest-vsi interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出Guest VSI。interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示使指定MAC地址的用户退出Guest VSI。若不指定本参数,则表示使指定端口上的所有用户退出Guest VSI。

【举例】

# 强制端口Ten-GigabitEthernet1/0/1上接入的、MAC地址为1-1-1的MAC地址认证用户退出Guest VSI。

<Sysname> reset mac-authentication guest-vsi interface ten-gigabitethernet 1/0/1 mac-address 1-1-1

【相关命令】

·     display mac-authentication mac-address

·     mac-authentication guest-vsi

1.1.50  reset mac-authentication statistics

reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。

【命令】

reset mac-authentication statistics [ interface interface-type interface-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:清除指定端口的MAC地址认证统计信息。interface-type interface-number为端口类型和端口编号。如果不指定本参数,则清除所有端口上的MAC地址认证统计信息。

【举例】

# 清除以太网端口Ten-GigabitEthernet1/0/1上的MAC认证统计信息。

<Sysname> reset mac-authentication statistics interface ten-gigabitethernet 1/0/1

【相关命令】

·     display mac-authentication

1.1.51  server-address

server-address命令用来配置RESTful服务器的IP地址参数。

undo server-address命令用来恢复缺省情况。

【命令】

server-address { ip ipv4-address | ipv6 ipv6-address } [ port port-number ] [ vpn-instance vpn-instance-name ]

undo server-address

【缺省情况】

未配置RESTful服务器的IP地址参数。

【视图】

user-recovery Profile视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ip ipv4-address:RESTful服务器的IPv4地址。

ipv6 ipv6-address:RESTful服务器的IPv6地址。

port port-number:RESTful服务器监听请求消息的端口号,取值范围为1~65535,缺省值为80。

vpn-instance vpn-instance-name:RESTful服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定该参数,则表示RESTful服务器位于公网。

【使用指导】

设备或接口板重启、接口故障恢复后,将与指定的RESTful服务器通信,获取接口上的MAC地址认证用户账户信息。

同一个user-recovery Profile下配置的RESTful服务器IP地址类型必须和NAS-IP的地址类型保持一致。

同一个user-recovery Profile下多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为profile1的user-recovery Profile视图下,指定RESTful服务器的IP地址为3.3.3.3,端口号为8080。

<Sysname> system-view

[Sysname] mac-authentication user-recovery-profile profile1

[Sysname-user-recovery-profile-profile1] server-address ip 3.3.3.3 port 8080

【相关命令】

·     display mac-authentication user-recovery-profile

·     nas-ip

1.1.52  uri

uri命令用来指定RESTful服务器的URI。

undo uri命令用来删除指定的RESTful服务器URI。

【命令】

uri uri-string

undo uri

【缺省情况】

未指定RESTful服务器的URI。

【视图】

user-recovery Profile视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

uri-string:URI名称,为1~255字符的字符串,区分大小写。

【使用指导】

本命令指定的URI为RESTful服务器上提供用户资源服务的URI。

支持指定的RESTful服务器的URI为imcrs/uam/online/notAgingMuteTerminal,指定为其他URI时,本配置不生效。

设备向RESTful服务器发起请求获取在线用户信息时,HTTP请求的URL地址由该RESTful服务器的IP地址、监听端口号以及本命令指定的URI拼接而成,格式为http://server-ip:port/uri,例如http://3.3.3.3:8080/imcrs/uam/online/notAgingMuteTerminal。

【举例】

# 在名称为profile1的user-recovery Profile视图下,指定向RESTful服务器请求用户信息的URI为imcrs/uam/online/notAgingMuteTerminal。

<Sysname> system-view

[Sysname] mac-authentication user-recovery-profile profile1

[Sysname-user-recovery-profile-profile1] uri imcrs/uam/online/notAgingMuteTerminal

【相关命令】

·     display mac-authentication user-recovery-profile

·     server-address

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们