H3C-S3100-MAC地址認(rèn)證配置

2017-03-27

5225

目錄1 MAC地址認(rèn)證配置.....................................................................................

1 MAC地址認(rèn)證配置............................................................................................................................. 1-1

1.1 MAC地址認(rèn)證簡(jiǎn)介............................................................................................................................. 1-1

1.1.1 RADIUS服務(wù)器認(rèn)證方式進(jìn)行MAC 地址認(rèn)證........................................................................... 1-1

1.1.2 本地認(rèn)證方式進(jìn)行MAC 地址認(rèn)證............................................................................................ 1-1

1.2 相關(guān)概念............................................................................................................................................ 1-1

1.2.1 MAC地址認(rèn)證定時(shí)器.............................................................................................................. 1-1

1.2.2 靜默MAC ................................................................................................................................ 1-2

1.3 MAC地址認(rèn)證基本功能配置.............................................................................................................. 1-2

1.3.1 MAC地址認(rèn)證基本功能配置................................................................................................... 1-2

1.4 MAC地址認(rèn)證增強(qiáng)功能配置.............................................................................................................. 1-3

1.4.1 MAC地址認(rèn)證增強(qiáng)功能配置任務(wù)............................................................................................ 1-3

1.4.2 配置Guest VLAN....................................................................................................................1-3

1.4.3 配置端口下MAC 地址認(rèn)證用戶的最大數(shù)量.............................................................................. 1-5

1.4.4 配置端口的靜默MAC 功能....................................................................................................... 1-5

1.5 MAC地址認(rèn)證配置顯示和維護(hù).......................................................................................................... 1-5

1.6 MAC地址認(rèn)證配置舉例..................................................................................................................... 1-6

1 MAC 地址認(rèn)證配置

1.1 MAC地址認(rèn)證簡(jiǎn)介

MAC 地址認(rèn)證是一種基于端口和MAC 地址對(duì)用戶訪問網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的認(rèn)證方法，它不需要用戶安裝任何客戶端認(rèn)證軟件。交換機(jī)在首次檢測(cè)到用戶的MAC 地址以后，即啟動(dòng)對(duì)該用戶的認(rèn)證操作。認(rèn)證過程中，也不需要用戶手動(dòng)輸入用戶名或者密碼。

S3100系列以太網(wǎng)交換機(jī)進(jìn)行MAC 地址認(rèn)證時(shí)，可采用兩種認(rèn)證方式：

z 通過RADIUS 服務(wù)器認(rèn)證本地認(rèn)證

當(dāng)認(rèn)證方式確定后，用戶可根據(jù)需求選擇以下一種類型的認(rèn)證用戶名：

z MAC 地址用戶名：使用用戶的MAC 地址作為認(rèn)證時(shí)的用戶名和密碼。固定用戶名：所有用戶均使用在交換機(jī)上預(yù)先配置的本地用戶名和密碼進(jìn)行認(rèn)證，因此用戶

能否通過認(rèn)證取決于該用戶名和密碼是否正確及此用戶名的最大用戶數(shù)屬性控制（具體內(nèi)容請(qǐng)參見本手冊(cè)“AAA ”中的配置本地用戶屬性部分）。

1.1.1 RADIUS服務(wù)器認(rèn)證方式進(jìn)行MAC 地址認(rèn)證

當(dāng)選用RADIUS 服務(wù)器認(rèn)證方式進(jìn)行MAC 地址認(rèn)證時(shí)，交換機(jī)作為RADIUS 客戶端，與RADIUS 服務(wù)器配合完成MAC 地址認(rèn)證操作：

z 采用MAC 地址用戶名時(shí)，交換機(jī)將檢測(cè)到的用戶MAC 地址作為用戶名和密碼發(fā)送給RADIUS

服務(wù)器。

z 采用固定用戶名時(shí)，交換機(jī)將已經(jīng)在本地配置的用戶名和密碼作為待認(rèn)證用戶的用戶名和密

碼，發(fā)送給RADIUS 服務(wù)器。

RADIUS 服務(wù)器完成對(duì)該用戶的認(rèn)證后，認(rèn)證通過的用戶可以訪問網(wǎng)絡(luò)。

1.1.2 本地認(rèn)證方式進(jìn)行MAC 地址認(rèn)證

當(dāng)選用本地認(rèn)證方式進(jìn)行MAC 地址認(rèn)證時(shí)，直接在交換機(jī)上完成對(duì)用戶的認(rèn)證。需要在交換機(jī)上配置本地用戶名和密碼：

z 采用MAC 地址用戶名時(shí)，需要配置的本地用戶名為接入用戶的MAC 地址，本地用戶名是否

使用分隔符“-”要與mac-authentication authmode usernameasmacaddress usernameformat 命令設(shè)置的格式相同，否則會(huì)導(dǎo)致認(rèn)證失敗。

z 采用固定用戶名時(shí)，所有用戶MAC 將自動(dòng)匹配到已配置的本地用戶名和密碼。

本地用戶的服務(wù)類型應(yīng)設(shè)置為lan-access 。

1.2 相關(guān)概念

1.2.1 MAC地址認(rèn)證定時(shí)器

MAC 地址認(rèn)證過程受以下定時(shí)器的控制：

1-1

z 下線檢測(cè)定時(shí)器（offline-detect ）：用來設(shè)置交換機(jī)檢查用戶是否已經(jīng)下線的時(shí)間間隔。當(dāng)

檢測(cè)到用戶下線后，交換機(jī)立即通知RADIUS 服務(wù)器，停止對(duì)該用戶的計(jì)費(fèi)。

z 靜默定時(shí)器（quiet ）：用來設(shè)置用戶認(rèn)證失敗以后，該用戶需要等待的時(shí)間間隔。在靜默期

間，交換機(jī)不處理該用戶的認(rèn)證功能，靜默之后交換機(jī)再重新對(duì)用戶發(fā)起認(rèn)證。

z 服務(wù)器超時(shí)定時(shí)器（server-timeout ）：用來設(shè)置交換機(jī)同RADIUS 服務(wù)器的連接超時(shí)時(shí)間。

在用戶的認(rèn)證過程中，如果服務(wù)器超時(shí)定時(shí)器超時(shí)，則此次認(rèn)證失敗。

1.2.2 靜默MAC

當(dāng)一個(gè)MAC 地址認(rèn)證失敗后，此MAC 就被設(shè)置為靜默MAC 。在靜默定時(shí)器時(shí)長(zhǎng)之內(nèi)，對(duì)來自此MAC 地址的數(shù)據(jù)報(bào)文，交換機(jī)直接做丟棄處理。靜默MAC 的功能主要是防止非法MAC 短時(shí)間內(nèi)的重復(fù)認(rèn)證。

z 若配置的靜態(tài)MAC 或者認(rèn)證通過的MAC 地址與靜默MAC 相同，則此MAC 地址的靜默功能失效。

S3100系列以太網(wǎng)交換機(jī)支持在端口下配置是否開啟靜默MAC 功能。 z

1.3 MAC地址認(rèn)證基本功能配置

1.3.1 MAC地址認(rèn)證基本功能配置

表1-1 MAC 地址認(rèn)證基本功能配置操作

進(jìn)入系統(tǒng)視圖

開啟全局MAC 地址

認(rèn)證特性 system-view 命令 - 必選 mac-authentication 缺省情況下，全局MAC 地址認(rèn)證特

性處于關(guān)閉狀態(tài) 說明

系統(tǒng)視圖下

開啟指定端口的MAC

地址認(rèn)證特性 mac-authentication interface interface-list interface interface-type interface-number 二者必選其一缺省情況下，所有端口的MAC 地址

認(rèn)證特性處于關(guān)閉狀態(tài) 端口視圖下 mac-authentication

quit

設(shè)置采用MAC 地址

用戶名 mac-authentication authmode 可選 usernameasmacaddress [ usernameformat { with-hyphen | without-hyphen } { lowercase | 缺省情況下，采用MAC 地址用戶名uppercase } | fixedpassword password ]

設(shè)置采用固定

用戶名 mac-authentication authmode usernamefixed

可選

mac-authentication

authusername username

mac-authentication

authpassword password 缺省情況下，采用固定用戶名時(shí)的用戶名為“mac ”，未配置密碼設(shè)置采用固定用戶名設(shè)置用戶名設(shè)置密碼

1-2

操作

命令

必選

配置認(rèn)證用戶所使用的ISP 域

mac-authentication domain isp-name

缺省情況下，未配置認(rèn)證用戶使用的域，使用“default domain”作為ISP 域名可選

配置MAC 地址認(rèn)證定時(shí)器

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

缺省情況下，下線檢測(cè)定時(shí)器的超時(shí)時(shí)間為300秒；靜默定時(shí)器的超時(shí)時(shí)間為60秒；服務(wù)器超時(shí)定時(shí)器的超時(shí)時(shí)間為100秒

說明

如果端口開啟了MAC 地址認(rèn)證，則不能配置該端口的最大MAC 地址學(xué)習(xí)個(gè)數(shù)（通過命令mac-address max-mac-count配置），反之，如果端口配置了最大MAC 地址學(xué)習(xí)個(gè)數(shù)，則禁止在該端口上開啟MAC 地址認(rèn)證。

如果開啟了MAC 地址認(rèn)證，則不能配置端口安全（通過命令port-security enable配置），反之，如果配置了端口安全，則禁止在該端口上開啟MAC 地址認(rèn)證。

各端口的MAC 地址認(rèn)證狀態(tài)在全局開啟之前可以配置，但不會(huì)生效；在全局MAC 地址認(rèn)證開啟后，已使能MAC

地址認(rèn)證的端口將立即開始進(jìn)行認(rèn)證操作。

1.4 MAC地址認(rèn)證增強(qiáng)功能配置

1.4.1 MAC地址認(rèn)證增強(qiáng)功能配置任務(wù)

表1-2 MAC 地址認(rèn)證增強(qiáng)功能配置任務(wù)

配置任務(wù)

配置Guest VLAN

配置端口下MAC 地址認(rèn)證用戶的最大數(shù)量配置端口的靜默MAC 功能

可選可選可選

說明

1.4.2 1.4.3 1.4.4

詳細(xì)配置

1.4.2 配置Guest VLAN

本節(jié)所指的Guest VLAN指的是MAC 地址認(rèn)證功能專用的Guest VLAN，與“802.1x 及System-Guard ”手冊(cè)中描述的Guest VLAN不是同一功能。

在完成1.3 MAC地址認(rèn)證基本功能配置介紹的配置任務(wù)后，交換機(jī)可以對(duì)接入用戶根據(jù)其MAC 地址或固定的用戶名密碼進(jìn)行認(rèn)證。對(duì)于認(rèn)證失敗的客戶端，交換機(jī)不會(huì)將其MAC 地址學(xué)習(xí)到本地的MAC 地址轉(zhuǎn)發(fā)表，以防止非法用戶訪問網(wǎng)絡(luò)。

在某些情況下，對(duì)于認(rèn)證未通過的客戶端，要求其仍然可以訪問網(wǎng)絡(luò)中的部分受限資源，例如病毒庫(kù)升級(jí)服務(wù)器等，這時(shí)可以使用Guest VLAN功能來實(shí)現(xiàn)。

1-3

用戶可以為交換機(jī)的每個(gè)端口設(shè)置一個(gè)Guest VLAN，當(dāng)端口連接的客戶端認(rèn)證失敗后，該端口將被自動(dòng)加入Guest VLAN，客戶端的MAC 地址也將被學(xué)習(xí)到Guest VLAN的MAC 地址表中，該用戶即可以訪問Guest VLAN內(nèi)的網(wǎng)絡(luò)資源。

在端口加入Guest VLAN后，交換機(jī)將定期對(duì)該端口第一個(gè)接入用戶（即第一個(gè)學(xué)到的單播MAC 地址對(duì)應(yīng)的用戶）進(jìn)行重認(rèn)證。如果用戶通過重認(rèn)證，該端口將退出Guest VLAN，用戶也將可以正常訪問網(wǎng)絡(luò)。

由于Guest VLAN是基于端口加入VLAN 的方式實(shí)現(xiàn)的，即：如果某端口下連接了多個(gè)用戶，當(dāng)?shù)谝粋€(gè)用戶認(rèn)證失敗后，其他用戶隨之也只能訪問Guest VLAN內(nèi)的內(nèi)容，而且交換機(jī)只會(huì)對(duì)第一個(gè)接入該端口的用戶的MAC 地址進(jìn)行重認(rèn)證，其他用戶將不會(huì)再有通過認(rèn)證的機(jī)會(huì)。因此，在端口下連接客戶端數(shù)量大于1時(shí)，將不能配置Guest VLAN。

當(dāng)用戶認(rèn)證失敗時(shí)，交換機(jī)將該失敗端口加入Guest VLAN，因此，對(duì)于Access 端口，Guest VLAN可以有效實(shí)現(xiàn)隔離未認(rèn)證用戶的功能。但對(duì)于Trunk 和Hybrid 端口，如果接收的報(bào)文本身已經(jīng)帶有VLAN Tag，且在端口允許通過的VLAN 范圍內(nèi)，該報(bào)文將被正確轉(zhuǎn)發(fā)，而不受Guest VLAN的影響。即在用戶認(rèn)證失敗的情況下，Trunk 和Hybrid 端口仍能向除Guest VLAN之外的VLAN 轉(zhuǎn)發(fā)數(shù)據(jù)。

表1-3 Guest VLAN配置

操作

進(jìn)入系統(tǒng)視圖進(jìn)入以太網(wǎng)端口視圖

system-view

interface interface-type interface-number

mac-authentication guest-vlan vlan-id quit

命令

- - 必選

缺省情況下，沒有配置端口的Guest VLAN - 可選

配置交換機(jī)對(duì)Guest VLAN內(nèi)用戶進(jìn)行重認(rèn)證的時(shí)間間隔

mac-authentication timer guest-vlan-reauth interval

缺省情況下，交換機(jī)對(duì)Guest VLAN內(nèi)用戶進(jìn)行重認(rèn)證的時(shí)間間隔為30秒

說明

配置當(dāng)前端口的Guest VLAN

退出至系統(tǒng)視圖

當(dāng)端口連接的客戶端數(shù)量大于1時(shí)，將不能配置該端口的Guest VLAN。當(dāng)端口配置了Guest VLAN 后，該端口也將只允許一個(gè)MAC 地址認(rèn)證用戶接入。即使配置的MAC 地址認(rèn)證用戶的最大數(shù)目限制大于1，也將不會(huì)生效。

被配置為Guest VLAN的VLAN 不能使用undo vlan命令直接刪除，必須先刪除Guest VLAN配置，才能夠刪除。undo vlan命令請(qǐng)參見本手冊(cè)“VLAN ”部分的介紹。

一個(gè)端口只能配置一個(gè)Guest VLAN，對(duì)應(yīng)的VLAN 必須已經(jīng)存在，否則將會(huì)配置失敗。如果需要修改當(dāng)前端口的Guest VLAN，需要先刪除之前的Guest VLAN配置，再重新進(jìn)行配置。在配置了端口的Guest VLAN后，將不能在此端口開啟802.1x 認(rèn)證功能。 MAC 地址認(rèn)證的Guest VLAN功能在端口安全開啟的情況下不生效。

z z

1-4

1.4.3 配置端口下MAC 地址認(rèn)證用戶的最大數(shù)量

用戶可以通過配置端口下MAC 地址認(rèn)證用戶的最大數(shù)量，來控制通過此端口接入的用戶數(shù)目。當(dāng)接入用戶到達(dá)配置的限制數(shù)量時(shí)，交換機(jī)將不會(huì)再對(duì)之后接入的用戶進(jìn)行認(rèn)證觸發(fā)動(dòng)作，這些用戶也就無法正常訪問網(wǎng)絡(luò)。

表1-4 配置端口下MAC 地址認(rèn)證用戶的最大數(shù)目限制

操作

進(jìn)入系統(tǒng)視圖進(jìn)入以太網(wǎng)端口視圖

system-view

interface interface-type interface-number

命令

- - 必選

配置端口下MAC 地址認(rèn)證用戶的最大數(shù)目限制

mac-authentication

max-auth-num user-number

缺省情況下，每個(gè)端口允許接入的MAC 地址認(rèn)證用戶的最大數(shù)目為256個(gè)

說明

當(dāng)端口下同時(shí)配置了MAC 地址認(rèn)證用戶數(shù)量限制和端口安全的用戶數(shù)量限制時(shí)，允許接入的MAC 地址認(rèn)證用戶數(shù)將為這兩種配置中的較小值。端口安全功能的介紹請(qǐng)參見本手冊(cè)“端口安全”部分。

當(dāng)端口當(dāng)前有用戶在線時(shí)，不能配置此端口的MAC 地址認(rèn)證用戶的最大數(shù)量。

1.4.4 配置端口的靜默MAC 功能

用戶可以手動(dòng)配置端口下是否開啟靜默MAC 功能。開啟靜默MAC 功能后，如果當(dāng)前端口連接的客戶端MAC 地址認(rèn)證失敗后，此MAC 就被設(shè)置為靜默MAC 。關(guān)閉當(dāng)前端口的靜默MAC 功能，則不會(huì)被設(shè)置為靜默MAC 。

表1-5 配置端口的靜默MAC 功能

操作

進(jìn)入系統(tǒng)視圖進(jìn)入以太網(wǎng)端口視圖

system-view

interface interface-type

interface-number

mac-authenticiaon

intrusion-mode block-mac enable

命令

- - 必選

缺省情況下，端口下開啟靜默MAC 功能

說明