27-Mac地址认证 MyPower S4330 V1.0 系列交换机配置手册

版权所有 2011 迈普通信技术股份有限公司 保留所有权利 MAC 地地址址认认证证配配置置 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 本手册著作权属迈普通信技术有限公司所有 未经著作权人书面许可 任何单位或个 人不得以任何方式摘录 复制或翻译 侵权必究 策 划 研究院 资料服务处 迈普通信技术有限公司 地址 成都市高新区九兴大道 16 号迈普大厦 技术支持热线 400 886 8669 传真 8628 85148948 E mail support 网址 邮编 610041 版本 2011 年 8 月 v1 0 版 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 目目 录录 第第 1 章章配置配置 Mac 地址认证地址认证 1 1 1 Mac 地址认证简介 1 1 2 Mac 地址认证配置 1 1 2 1 AAA 相关配置 1 1 2 2 功能开启配置 2 1 2 3 下线检测配置 3 1 2 4 静默定时器配置 3 1 2 5 Mac vlan 功能配置 3 1 2 6 Guest vlan 功能配置 4 1 2 7 用户特性配置 4 1 2 8 配置实例 5 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 1 第第 1 章章 配置配置 Mac 地址认证地址认证 1 1 Mac地址认证简介地址认证简介 mac 地址认证功能是基于端口和 mac 地址对用户进行访问网络权限进行控制的功能 模块 刚开始时 交换机的 mac 地址表不存在用户的 mac 地址表项 用户的报文首次到 达交换机会触发 mac 地址认证 在认证过程中 不需要用户的参与 比如输入相关用户名 和密码 认证通过后用户的 mac 地址会加进交换机的 mac 地址表 以后该用户的流量就 可以直接根据 mac 地址表项内容进行转发 认证时支持两种认证方式 在配置 AAA 域的时候选择方案配置 通过 radius 服务器进行认证 通过本地用户数据库进行认证 1 2 Mac地址认证配置地址认证配置 1 2 1 AAA 相关配置相关配置 mac 认证需要配置使用哪个 AAA 认证域进行认证 而进行 radius 服务器认证或者本 地用户数据库认证的选择在 AAA 认证域进行 如果没有配置 则使用系统配置的默认认证域进行 当两者都没有配置 则无法进行认证 由于没有用户参与 mac 地址认证在认证时需要构造相关的用户名称和密码 现在存 在两种方法 a mac 地址方式 在此种方式下 使用 mac 地址作为认证的用户名称和密码 固定为 12 字符长度的字符串 比如 mac 地址为 00 0a 5a 00 03 02 则用户名称和密码为 000a5a000302 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 2 b 固定用户名称和密码 在此种方式下 使用用户配置的固定用户名称和密码 默认情况下为 mac 地址方式 当使用 radius 服务器进行认证 存在两种认证方式可以供选择 1 pap 2 chap 默认情况下 radus 认证方式为 pap 方式 AAA 认证域 RADIUS 服务器和本地用户数据库配置参考 802 1x 配置中的相关内容 下面只说明 Mac 地址认证模块需要执行的命令 表 1 1配置 AAA 认证域的选项 操作命令备注 进入全局配置模式configure terminal AAA 认证域的选择mac authentication domain 必选 用户名称格式配置 mac authentication user name format fixed account password mac address 可选 radius 认证方式配置mac authentication encryption pap chap 可选 1 2 2 功能开启配置功能开启配置 相关参数配置后 还需要启动功能才可以进行 mac 地址认证 需要同时启动全局模式和端口模式的 mac 认证功能 该端口的 mac 认证功能才可以 生效 表 1 2配置功能开启 操作命令备注 进入全局配置模式configure terminal 开启全局配置mac authentication 必选 进入端口配置模式interface ethernet device slot port 开启端口配置mac authentication必选 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 3 1 2 3 下线检测配置下线检测配置 由于 mac 认证没有使用协议报文进行交互 故无法进行主动下线操作 系统通过检测 用户流量报文进行用户下线判断 用户通过 mac 认证后进入在线状态 此时启动下线检测 定时器 当定时器到达后则进行用户流量检测 如果在另一个下线检测定时到达都没有检 测到用户流量 则判定用户下线 表 1 3配置下线检测 操作命令备注 进入全局配置模式configure terminal 下线检测定时器配置mac authentication timer offline detect 可选 1 2 4 静默定时器配置静默定时器配置 用户 mac 认证失败后会进入静默状态 在此状态下 用户无法继续进行 mac 认证 这样可以防止用户对系统的冲击 在静默状态下 会启动静默定时器 当定时时间到达后 用户数据删除 该用户可以继续进行 mac 认证 表 1 4配置静默定时器 操作命令备注 进入全局配置模式configure terminal 静默定时器配置mac authentication timer quiet 可选 1 2 5 Mac vlan 功能配置功能配置 开启此功能后 用户认证成功后 服务器会返回该用户的 vlan 号 系统进行动态硬件 mac vlan 表项配置 并动态创建该 vlan 并将该用户所在的端口加入此 vlan 中 这样可 以访问该 vlan 的网络 如果系统已经配置了该 mac 地址的静态 mac vlan 表项 则动态 mac vlan 表项配置 失败 用户进入静默状态 无法访问网络 在动态创建 vlan 时 系统会把配置的上行口自动加入该 vlan 并配置为 tag 属性 系 统默认把 GE 口作为上行口 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 4 表 1 5配置 mac vlan 功能 操作命令备注 进入全局配置模式configure terminal 开启 mac vlan 功能mac authentication mac vlan可选 进入端口配置模式interface ethernet device slot port 配置端口为上行口mac authentication uplink可选 1 2 6 Guest vlan 功能配置功能配置 用户认证失败后会进入静默状态 无法访问网络 假如此时允许用户访问某个特定 vlan 时 可以开启 guest vlan 功能 在开启后 用户认证失败后不进入静默状态 而进入 在线状态 但用户的 vlan 为 guest vlan 用户处于 guest vlan 的在线状态时 会启动重认证定时器 时间到达后会进行重新认 证 如果认证成功 则退出 guest vlan 在线状态 而转入正常的在线状态 表 1 6配置 guest vlan 功能 操作命令备注 进入全局配置模式configure terminal 进入端口配置模式interface ethernet device slot port 开启端口的 guest vlan 功 能 mac authentication guest vlan 可选 进入全局配置模式下配置 guest vlan 重认证定时器 mac authentication timer guest vlan reauth 可选 1 2 7 用户特性配置用户特性配置 主要提供下面功能特性 用户数目限制 限制某个端口允许的用户数目 用户认证速率限制 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 5 为了防止用户认证过多导致 cpu 受到冲击 需要对端口的用户认证速率进行限制 当 用户认证报文速率超过此限制值 停止此端口接收认证报文的功能 此时启动限制超时定 时器 当定时器时间到达后才恢复此端口的接收认证报文的功能 表 1 7配置用户特性功能 操作命令备注 进入全局配置模式configure terminal 进入端口配置模式interface ethernet device slot port 配置端口允许的用户数目mac authentication max users 可选 1 2 8 配置实例配置实例 组网需求 如图所示 某用户的工作站与以太网交换机的端口 Eth 0 0 2 相连接 组网图 配置步骤 配置 AAA 认证域的选项 Switch config mac authentication domain 1 Switch config mac authentication user name format fixed account 1 password 1 Switch config mac authentication encryption pap 开启指定端口 Ethernet 0 0 2 的 MAC 地址认证特性 Switch config mac authentication Switch config if ethernet 0 0 2 macmac authentication Turn on Successfully And src dlf forward will be disabled 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 6 配置下线检测 Switch config mac authentication timer offline detect 30 静默定时器配置 Switch config mac authentication timer quiet 30 配置 mac vlan 功能 Switch config mac authentication mac vlan Switch config interface ethernet 0 0 2 Switch config if ethernet 0 0 2 mac authentication uplink 配置 guest vlan 功能