目 錄1 MAC地址認證配置.....................................................................................

目 錄

1 MAC地址認證配置............................................................................................................................. 1-1

1.1 MAC地址認證簡介............................................................................................................................. 1-1

1.1.1 RADIUS服務(wù)器認證方式進行MAC 地址認證........................................................................... 1-1

1.1.2 本地認證方式進行MAC 地址認證............................................................................................ 1-1

1.2 相關(guān)概念............................................................................................................................................ 1-1

1.2.1 MAC地址認證定時器.............................................................................................................. 1-1

1.2.2 靜默MAC ................................................................................................................................ 1-2

1.3 MAC地址認證基本功能配置.............................................................................................................. 1-2

1.3.1 MAC地址認證基本功能配置................................................................................................... 1-2

1.4 MAC地址認證增強功能配置.............................................................................................................. 1-3

1.4.1 MAC地址認證增強功能配置任務(wù)............................................................................................ 1-3

1.4.2 配置Guest VLAN....................................................................................................................1-3

1.4.3 配置端口下MAC 地址認證用戶的最大數(shù)量.............................................................................. 1-5

1.4.4 配置端口的靜默MAC 功能....................................................................................................... 1-5

1.5 MAC地址認證配置顯示和維護.......................................................................................................... 1-5

1.6 MAC地址認證配置舉例..................................................................................................................... 1-6

i

1 MAC 地址認證配置

1.1 MAC地址認證簡介

MAC 地址認證是一種基于端口和MAC 地址對用戶訪問網(wǎng)絡(luò)的權(quán)限進行控制的認證方法，它不需要用戶安裝任何客戶端認證軟件。交換機在首次檢測到用戶的MAC 地址以后，即啟動對該用戶的認證操作。認證過程中，也不需要用戶手動輸入用戶名或者密碼。

S3100系列以太網(wǎng)交換機進行MAC 地址認證時，可采用兩種認證方式：

z

z 通過RADIUS 服務(wù)器認證 本地認證

當認證方式確定后，用戶可根據(jù)需求選擇以下一種類型的認證用戶名：

z

z MAC 地址用戶名：使用用戶的MAC 地址作為認證時的用戶名和密碼。 固定用戶名：所有用戶均使用在交換機上預(yù)先配置的本地用戶名和密碼進行認證，因此用戶

能否通過認證取決于該用戶名和密碼是否正確及此用戶名的最大用戶數(shù)屬性控制（具體內(nèi)容請參見本手冊“AAA ”中的配置本地用戶屬性部分）。

1.1.1 RADIUS服務(wù)器認證方式進行MAC 地址認證

當選用RADIUS 服務(wù)器認證方式進行MAC 地址認證時，交換機作為RADIUS 客戶端，與RADIUS 服務(wù)器配合完成MAC 地址認證操作：

z 采用MAC 地址用戶名時，交換機將檢測到的用戶MAC 地址作為用戶名和密碼發(fā)送給RADIUS

服務(wù)器。

z 采用固定用戶名時，交換機將已經(jīng)在本地配置的用戶名和密碼作為待認證用戶的用戶名和密

碼，發(fā)送給RADIUS 服務(wù)器。

RADIUS 服務(wù)器完成對該用戶的認證后，認證通過的用戶可以訪問網(wǎng)絡(luò)。

1.1.2 本地認證方式進行MAC 地址認證

當選用本地認證方式進行MAC 地址認證時，直接在交換機上完成對用戶的認證。需要在交換機上配置本地用戶名和密碼：

z 采用MAC 地址用戶名時，需要配置的本地用戶名為接入用戶的MAC 地址，本地用戶名是否

使用分隔符“-”要與mac-authentication authmode usernameasmacaddress usernameformat 命令設(shè)置的格式相同，否則會導(dǎo)致認證失敗。

z 采用固定用戶名時，所有用戶MAC 將自動匹配到已配置的本地用戶名和密碼。

本地用戶的服務(wù)類型應(yīng)設(shè)置為lan-access 。

1.2 相關(guān)概念

1.2.1 MAC地址認證定時器

MAC 地址認證過程受以下定時器的控制：

1-1

z 下線檢測定時器（offline-detect ）：用來設(shè)置交換機檢查用戶是否已經(jīng)下線的時間間隔。當

檢測到用戶下線后，交換機立即通知RADIUS 服務(wù)器，停止對該用戶的計費。

z 靜默定時器（quiet ）：用來設(shè)置用戶認證失敗以后，該用戶需要等待的時間間隔。在靜默期

間，交換機不處理該用戶的認證功能，靜默之后交換機再重新對用戶發(fā)起認證。

z 服務(wù)器超時定時器（server-timeout ）：用來設(shè)置交換機同RADIUS 服務(wù)器的連接超時時間。

在用戶的認證過程中，如果服務(wù)器超時定時器超時，則此次認證失敗。

1.2.2 靜默MAC

當一個MAC 地址認證失敗后，此MAC 就被設(shè)置為靜默MAC 。在靜默定時器時長之內(nèi)，對來自此MAC 地址的數(shù)據(jù)報文，交換機直接做丟棄處理。靜默MAC 的功能主要是防止非法MAC 短時間內(nèi)的重復(fù)認證。

z 若配置的靜態(tài)MAC 或者認證通過的MAC 地址與靜默MAC 相同，則此MAC 地址的靜默功能失效。

S3100系列以太網(wǎng)交換機支持在端口下配置是否開啟靜默MAC 功能。 z

1.3 MAC地址認證基本功能配置

1.3.1 MAC地址認證基本功能配置

表1-1 MAC 地址認證基本功能配置 操作

進入系統(tǒng)視圖

開啟全局MAC 地址

認證特性 system-view 命令 - 必選 mac-authentication 缺省情況下，全局MAC 地址認證特

性處于關(guān)閉狀態(tài) 說明

系統(tǒng)視圖下

開啟指定端口的MAC

地址認證特性 mac-authentication interface interface-list interface interface-type interface-number 二者必選其一 缺省情況下，所有端口的MAC 地址

認證特性處于關(guān)閉狀態(tài) 端口視圖下 mac-authentication

quit

設(shè)置采用MAC 地址

用戶名 mac-authentication authmode 可選 usernameasmacaddress [ usernameformat { with-hyphen | without-hyphen } { lowercase | 缺省情況下，采用MAC 地址用戶名uppercase } | fixedpassword password ]

設(shè)置采用固定

用戶名 mac-authentication authmode usernamefixed

可選

mac-authentication

authusername username

mac-authentication

authpassword password 缺省情況下，采用固定用戶名時的用戶名為“mac ”，未配置密碼 設(shè)置采用固定用戶名 設(shè)置用戶名 設(shè)置密碼

1-2

操作

命令

必選

配置認證用戶所使用的ISP 域

mac-authentication domain isp-name

缺省情況下，未配置認證用戶使用的域，使用“default domain”作為ISP 域名 可選

配置MAC 地址認證定時器

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

缺省情況下，下線檢測定時器的超時時間為300秒；靜默定時器的超時時間為60秒；服務(wù)器超時定時器的超時時間為100秒

說明

如果端口開啟了MAC 地址認證，則不能配置該端口的最大MAC 地址學(xué)習(xí)個數(shù)（通過命令mac-address max-mac-count配置），反之，如果端口配置了最大MAC 地址學(xué)習(xí)個數(shù)，則禁止在該端口上開啟MAC 地址認證。

如果開啟了MAC 地址認證，則不能配置端口安全（通過命令port-security enable配置），反之，如果配置了端口安全，則禁止在該端口上開啟MAC 地址認證。

各端口的MAC 地址認證狀態(tài)在全局開啟之前可以配置，但不會生效；在全局MAC 地址認證開啟后，已使能MAC

地址認證的端口將立即開始進行認證操作。

z

z

z

1.4 MAC地址認證增強功能配置

1.4.1 MAC地址認證增強功能配置任務(wù)

表1-2 MAC 地址認證增強功能配置任務(wù)

配置任務(wù)

配置Guest VLAN

配置端口下MAC 地址認證用戶的最大數(shù)量 配置端口的靜默MAC 功能

可選 可選 可選

說明

1.4.2 1.4.3 1.4.4

詳細配置

1.4.2 配置Guest VLAN

本節(jié)所指的Guest VLAN指的是MAC 地址認證功能專用的Guest VLAN，與“802.1x 及System-Guard ”手冊中描述的Guest VLAN不是同一功能。

在完成1.3 MAC地址認證基本功能配置介紹的配置任務(wù)后，交換機可以對接入用戶根據(jù)其MAC 地址或固定的用戶名密碼進行認證。對于認證失敗的客戶端，交換機不會將其MAC 地址學(xué)習(xí)到本地的MAC 地址轉(zhuǎn)發(fā)表，以防止非法用戶訪問網(wǎng)絡(luò)。

在某些情況下，對于認證未通過的客戶端，要求其仍然可以訪問網(wǎng)絡(luò)中的部分受限資源，例如病毒庫升級服務(wù)器等，這時可以使用Guest VLAN功能來實現(xiàn)。

1-3

用戶可以為交換機的每個端口設(shè)置一個Guest VLAN，當端口連接的客戶端認證失敗后，該端口將被自動加入Guest VLAN，客戶端的MAC 地址也將被學(xué)習(xí)到Guest VLAN的MAC 地址表中，該用戶即可以訪問Guest VLAN內(nèi)的網(wǎng)絡(luò)資源。

在端口加入Guest VLAN后，交換機將定期對該端口第一個接入用戶（即第一個學(xué)到的單播MAC 地址對應(yīng)的用戶）進行重認證。如果用戶通過重認證，該端口將退出Guest VLAN，用戶也將可以正常訪問網(wǎng)絡(luò)。

z

由于Guest VLAN是基于端口加入VLAN 的方式實現(xiàn)的，即：如果某端口下連接了多個用戶，當?shù)谝粋€用戶認證失敗后，其他用戶隨之也只能訪問Guest VLAN內(nèi)的內(nèi)容，而且交換機只會對第一個接入該端口的用戶的MAC 地址進行重認證，其他用戶將不會再有通過認證的機會。因此，在端口下連接客戶端數(shù)量大于1時，將不能配置Guest VLAN。

z

當用戶認證失敗時，交換機將該失敗端口加入Guest VLAN，因此，對于Access 端口，Guest VLAN可以有效實現(xiàn)隔離未認證用戶的功能。但對于Trunk 和Hybrid 端口，如果接收的報文本身已經(jīng)帶有VLAN Tag，且在端口允許通過的VLAN 范圍內(nèi)，該報文將被正確轉(zhuǎn)發(fā)，而不受Guest VLAN的影響。即在用戶認證失敗的情況下，Trunk 和Hybrid 端口仍能向除Guest VLAN之外的VLAN 轉(zhuǎn)發(fā)數(shù)據(jù)。

表1-3 Guest VLAN配置

操作

進入系統(tǒng)視圖 進入以太網(wǎng)端口視圖

system-view

interface interface-type interface-number

mac-authentication guest-vlan vlan-id quit

命令

- - 必選

缺省情況下，沒有配置端口的Guest VLAN - 可選

配置交換機對Guest VLAN內(nèi)用戶進行重認證的時間間隔

mac-authentication timer guest-vlan-reauth interval

缺省情況下，交換機對Guest VLAN內(nèi)用戶進行重認證的時間間隔為30秒

說明

配置當前端口的Guest VLAN

退出至系統(tǒng)視圖

當端口連接的客戶端數(shù)量大于1時，將不能配置該端口的Guest VLAN。當端口配置了Guest VLAN 后，該端口也將只允許一個MAC 地址認證用戶接入。即使配置的MAC 地址認證用戶的最大數(shù)目限制大于1，也將不會生效。

z

z

被配置為Guest VLAN的VLAN 不能使用undo vlan命令直接刪除，必須先刪除Guest VLAN配置，才能夠刪除。undo vlan命令請參見本手冊“VLAN ”部分的介紹。

一個端口只能配置一個Guest VLAN，對應(yīng)的VLAN 必須已經(jīng)存在，否則將會配置失敗。如果需要修改當前端口的Guest VLAN，需要先刪除之前的Guest VLAN配置，再重新進行配置。 在配置了端口的Guest VLAN后，將不能在此端口開啟802.1x 認證功能。 MAC 地址認證的Guest VLAN功能在端口安全開啟的情況下不生效。

z

z z

1-4

1.4.3 配置端口下MAC 地址認證用戶的最大數(shù)量

用戶可以通過配置端口下MAC 地址認證用戶的最大數(shù)量，來控制通過此端口接入的用戶數(shù)目。當接入用戶到達配置的限制數(shù)量時，交換機將不會再對之后接入的用戶進行認證觸發(fā)動作，這些用戶也就無法正常訪問網(wǎng)絡(luò)。

表1-4 配置端口下MAC 地址認證用戶的最大數(shù)目限制

操作

進入系統(tǒng)視圖 進入以太網(wǎng)端口視圖

system-view

interface interface-type interface-number

命令

- - 必選

配置端口下MAC 地址認證用戶的最大數(shù)目限制

mac-authentication

max-auth-num user-number

缺省情況下，每個端口允許接入的MAC 地址認證用戶的最大數(shù)目為256個

說明

當端口下同時配置了MAC 地址認證用戶數(shù)量限制和端口安全的用戶數(shù)量限制時，允許接入的MAC 地址認證用戶數(shù)將為這兩種配置中的較小值。端口安全功能的介紹請參見本手冊“端口安全”部分。

z

z

當端口當前有用戶在線時，不能配置此端口的MAC 地址認證用戶的最大數(shù)量。

1.4.4 配置端口的靜默MAC 功能

用戶可以手動配置端口下是否開啟靜默MAC 功能。開啟靜默MAC 功能后，如果當前端口連接的客戶端MAC 地址認證失敗后，此MAC 就被設(shè)置為靜默MAC 。關(guān)閉當前端口的靜默MAC 功能，則不會被設(shè)置為靜默MAC 。

表1-5 配置端口的靜默MAC 功能

操作

進入系統(tǒng)視圖 進入以太網(wǎng)端口視圖

system-view

interface interface-type

interface-number

mac-authenticiaon

intrusion-mode block-mac enable

命令

- - 必選

缺省情況下，端口下開啟靜默MAC 功能

說明

配置端口的靜默MAC 功能

1.5 MAC地址認證配置顯示和維護

完成上述配置后，在任意視圖下執(zhí)行display 命令，可以顯示配置MAC 地址認證后的運行情況。通過查看顯示信息，用戶可以驗證配置的效果。在用戶視圖下執(zhí)行reset 命令清除MAC 地址認證的統(tǒng)計信息。

1-5

表1-6 MAC 地址認證顯示和維護 操作

顯示MAC 地址認證的全局或端口信

息

清除MAC 地址認證的全局或端口統(tǒng)

計信息 命令 display mac-authentication [ interface interface-list ] reset mac-authentication statistics [ interface

interface-type interface-number ] 說明 display 命令可以在任意視圖下執(zhí)行 reset 命令在用戶視圖下執(zhí)行

1.6 MAC地址認證配置舉例

1. 組網(wǎng)需求

如圖1-1所示，某用戶的工作站與以太網(wǎng)交換機的端口Ethernet1/0/2相連接。

z 交換機的管理者希望在端口Ethernet1/0/2上對用戶接入進行MAC 地址認證，以控制用戶對

Internet 的訪問。

z 所有用戶都屬于域：aabbcc.net ，認證時使用本地認證的方式。用戶名和密碼都為PC 的MAC

地址：00-0d-88-f6-44-c1。

2. 組網(wǎng)圖

圖1-1 開啟MAC 地址認證對接入用戶進行本地認證

3. 配置步驟

# 開啟指定端口Ethernet 1/0/2的MAC 地址認證特性。

system-view

[H3C] mac-authentication interface Ethernet 1/0/2

# 配置采用MAC 地址用戶名進行認證，并指定使用帶有分隔符的小寫形式的MAC 地址作為驗證的用戶名和密碼。

[H3C] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen lowercase # 添加本地接入用戶。

z 配置本地用戶的用戶名和密碼。

[H3C] local-user 00-0d-88-f6-44-c1

[H3C-luser-00-0d-88-f6-44-c1] password simple 00-0d-88-f6-44-c1

z 設(shè)置本地用戶服務(wù)類型為lan-access 。

[H3C-luser-00-0d-88-f6-44-c1] service-type lan-access

[H3C-luser-00-0d-88-f6-44-c1] quit

# 創(chuàng)建MAC 地址認證用戶所使用的域aabbcc.net 。

[H3C] domain aabbcc.net

New Domain added.

1-6

# 配置域aabbcc.net 采用本地認證方式。

[H3C-isp-aabbcc.net] scheme local

[H3C-isp-aabbcc.net] quit

# 配置MAC 地址認證用戶所使用的域名為aabbcc.net 。

[H3C] mac-authentication domain aabbcc.net

# 開啟全局MAC 地址認證特性（接入控制相關(guān)特性一般將全局配置開啟放在最后，否則相關(guān)參數(shù)未配置完成，會造成合法用戶無法訪問網(wǎng)絡(luò)）。

[H3C] mac-authentication

此時，MAC 地址認證生效，只允許MAC 地址為00-0d-88-f6-44-c1的用戶通過端口Ethernet1/0/2訪問網(wǎng)絡(luò)。

1-7