H3C-S3100-MAC地址认证配置

1、1 MAC地址认证配置1-11.1 MAC地址认证简介1-11.1.1 RADIUS服务器认证方式进行MAC地hl:认证1-11.1.2本地认证方式进行MAC地认证1-1仁2相关概念1-11.2.1 MACJlkhL认证定时器1-11.2.2 牺戏MAC1-21.3 MAC地川:认证基本功能丙il置1-21.3.1 MAC地J止认证棊本功能配置1-21.4 MAC地址认证増强功能配置1-31.4.1 MAC地址认证増强功能配置任务1-31.4.2 配置Guest VLAN1-31.4.3配巻端口下MAC地址认证用户的瑕人数S:1-51.4.4配置端口的静默MAC功能1 -51.5 MAC地址认

2、证配置显示和护1-5MAC地址认证配置举例1-61 MAC地址认证配置1.1 MAC地址认证简介MAC地址认证是-种茲J：端I I和MAC地址对用户访问网络的权限进行控制的认证方法，它不盂耍 用户安装任何客户端认证软件。交换机在ft次检测到用户的MAC地址以后，即启动对该用户的认 证操作。认证过程中，也不需要用户手动输入用户名或者密码。S3100系列以A网交换机进彳亍MAC地址认证时，町采用两种认证方式： 通过RADIUS服务器认证 本地认证当认证方式确泄后，用户可根据需求选样以卜一种类型的认证用户名： MAC地址用户名：使用用户的MAC地址作为认证时的用户名和密码。 固定用户X：所仃用户均使

3、用在交换机上预先配置的本地用户名和密码进行认证，因此用户 能否通过认证取决/该用户名和密码是否止确及此用戸名的最人用戸数属性控制（其体内容 请参见本手册“AAA"屮的配置本地用户屈性部分）。1.1.1 RADIUS服务器认证方式进行MAC地址认证卅选用RADIUS服务器认证方式进行MAC地址认证时，交换机作为RADIUS客户端，与RADIUS 服务器配介完成MAC地址认证操作： 采用MAC地址用户名时，交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS 服务器 采用固定用户名时，交换机将已经在木地配置的用户名和密码作为待认证用户的用户爼和密 码，发送给RADIUS服务器

4、。RADIUS服务器完成対该用户的认证后，认证通过的用户町以访问网络。1.1.2本地认证方式进行MAC地址认证当选用本地认证方式进行MAC地址认证时，fl接在交换机上完成対用户的认证。需耍在交换机上 配置木地用户名和密码： 采用MAC地址用户名时，需耍配置的本地用户名为接入用户的MAC地址，本地用户名是否 使用分 隔符 "” 耍 与 mac*authentication authmode usernameasmacaddress usernameformat命令设置的格式相同，否则会导致认证失败。 采用固定用户名时，所仃用户MAC将口动匹配到已配置的本地用户名和密码。本地用P的服务类

5、型应设豐为lan-access.1.2相关概念1.2.1 MAC地址认证定时器MAC地址认证过程受以卜定时器的控制： 卜线检测定时器(offlinedetect)：用來设屋交换机检査用户是否C经卜线的时间间隔。当 检测到用户卜线后，交换机工即通知RADIUS服务器，停止対该用户的计费。 静默定时器(quiet)：用來设置用户认证失败以后，该用户需要等待的时间间隔。在静默期 间，交换机不处理该用户的认证功能，孙默Z后交换机再重新对用户发起认证。 服务器超时定时器(server-timeout)：川來设置交换机同RADIUS服务器的连接超时时间。 在用户的认证过程中，如果服务器超时定时器超时，则此

6、次认证失败。1.2.2 静默 MAC为一个MAC地址认证失败后，此MAC就被设置为挣默MAC0在静默定时器时长之内，对来自此 MAC地址的数据报文，交换机直接做丢弃处理。静默MAC的功能主要是防止非法MAC短时间内 的重复认证。注童若配置的铮态MAC或者认证通过的MAC地址与特默MAC相同，则此MAC地址的铮默功能失 效。 S3100系列以太网交换机支持在端口下配理是否开启静默MAC功能.1.3 MAC地址认证基本功能配置1.3.1 MAC地址认证基本功能配置表MAC地址认证基本功能配苣操作命令说明进入系统视图system-view开启全局MAC地址 认证特性mac-authenticatio

7、n必选缺省惜况下.全局MAC地址认证特 性处丁关闭状态开启指定端口的MAC地址认证特性系统视图下mac-authentication interface interface-list二者必选英1缺省惜况下.所有端口的MAC地址认证舒性处丁关闭状态靖口视图下interface interface-type interface-numbermac-authenticationquit设代采用MAC地址用户名mac-authentication authmode usernameasmacaddress usernameformat with-hyphen | withoubhyphen lower

8、case | uppercase | fixedpassword password 可选缺省惜况下.采用MAC地址用户名设蛙采用固定用户名设置釆用网定用户名mac-authentication authmode usernamefixed可选缺省惜况下采用固定用户名时的用 户爼为"mac" 耒配为密码设置用户名mac-authentication authusername username设代密码mac-authentication authpassword password操作命令说明配置认证用戸所使用 的ISP域mac-authentication domain isp

9、-name必选缺省悄况卜，未配置认证用户便用的 域.使用"defaultdomainM作为 ISP 域名配置MAC地址认证定时器mac-authentication timer offline-detect offline-detecbvalue | quiet quiet-value | server-timeout server-timeout-value可选缺省情况下，下线检测定时器的超时 时间为300秒:静默定时器的超时 时间为60秒：服务器超时定时器的超时时间为100秒力注意如果端口开启了 MAC地址认证，则不能配置该端口的最大MAC地址学习个数（通过金令 mac-addr

10、ess max-mac>count配置），反之，如果端口配置.了最大MAC地址学习个数，则禁 止在该端口上开启MAC地址认证.如果开启了 MAC地址认证，则不能配査端口安全（通过命令port-security enable配置），反 之，如果配莊了端口安全，则禁止在该端口上开启MAC地址认证。各端口的MAC地址认证状态在全局开启之前可以配査、但不会生效；在全局MAC地址认证开 启后，已使能MAC地址认证的端口将立即开始进行认证操作.1.4 MAC地址认证增强功能配置1.4.1 MAC地址认证增强功能配置任务表12 MAC地址认证增强功能配遷任务配置任务说明详细配蒼配置 Guest VLA

11、N可逸1.4.2配雄端口 FMAC地址认证用只的垠大数虽町选1.4.3配置端口的挣默MAC功能可选1.4.41.4.2 配置 Guest VLAN誉说明本节所指的Guest VLAN指的是 MAC地址认证功能专用的Guest VLAN,与w802.1x及 System-Guard,'手册中描述的Guest VLAN不是同一功能.在完成1.3 MAC地址认证基本功能配置介绍的配置任务后，交换机可以对接入用户根据其MAC地 址或固定的川户名密码进行认证。对认证失败的客户端，交换机不会将MMAC地址学习到本地的 MAC地址转发表，以防止非法用户访问网络"在某些情况卜，对J认证未通过

12、的X户端，要求其仍然町以访问网络屮的部分受限资源，例如病毒 库升级服务器等，这时可以使用Guest VLAN功能来实现。用户可以为交换机的每个端II设迓一个Guest VLAN,当端I I连接的客户端认证失败后，该端11将 被门动加入Guest VLAN.客户端的MAC地址也将被学习到Guest VLA N的MAC地址农屮.该用 户即可以访问Guest VLAN内的网络资源。在端口加入Guest VLAN 交换机将定期对该端口第 个接入用门（即笫一个学到的单播MAC 地址对应的用户）进行重认证。如果用户通过重认证，该端II将退出Guest VLAN,用户也将可以 正常访问网络。注意由于Gues

13、t VLAN是基于端口加入VLAN的方式实现的，即：如果某端口下连接了多个用户，当 第一个用户认证失败后，其他用户随之也只能访问GuestVLAN内的内容，而且交换机只会对第 一个接入该端口的用户的MAC地址进行重认证，其他用户将不会再有通过认证的机会。因此， 在端口下连接客户端数量大于1吋，将不能配K Guest VLAN.当用户认证失败时，交换机将该失败端口加入Guest VLAN、因此，对于Access端口，Guest VLAN 可以有效实现隔离未认证用户的功能.但对于Trunk和Hybrid端口，如果接收的报文本身已经 带有VLANTag,且在端口允许通过的VLAN范国闪，该报文将被正

14、确转发，而不受Guest VLAN 的彫响。即在用户认证失败的情况下，Trunk和Hybrid端口仍能向除Guest VLAN之外的VLAN 转发数据。表13 Guest VLAN配虽操作命令说明进入系统视图system-view进入以太网端口视图interface interface-type interface-number配置当前端口的Guest VLANmac-authentication guest-vlanvlan-id必选缺省惜况下没冇配代端口的GuestVLAN退出至系统视图quit配凰交换机对Guest VLAN内用八 进行重认证的时间间隔mac-authentication

15、 timer guest-vlan-reauth interval可选缺省悄况卜.交换机对Guest VLAN 内用户进行重:认证的时间间隔为30 秒注意当端口连接的客户端数量大于1时，将不能配盜该端口的Guest VLAN.当端口配置了 Guest VLAN后，该端口也将只允许一个MAC地址认证圧户接入.即使配置的MAC地址认证用户的最 大数目限制大于1,也将不会生效.被配置为Guest VLAN的VLAN不能使用undo vlan命令直接删除，必须先删除Guest VLAN 配理，才能够删除。undo vlan命令请参见本手册“VLAN"部分的介绍. 一个端口只能配置一个Gues

16、t VLAN,对应的VLAN必须已经存在，否则将会配置失败。如果需 要修改当前端口的Guest VLAN,需要先删除之前的Guest VLA N配置，再重祈进行配理.在配理了端口的Guest VLAN后，将不能在此端口开启802.1x认证功能。 MAC地址认证的Guest VLAN功能在端口安全开启的情况下不生效.1.4.3配置端口下MAC地址认证用户的最大数量用户口 J以通过配貫端II卜MAC地址认证用户的垠人数駅，来控制通过此端II接入的用户数訂。肖 接入用户到达配宣的限制数龟时，交换机将不会再对Z后接入的用户进行认证触发动作，这些用户 也就无法正常访问网络。表仁4配匿端口下MAC地址认证

17、用户的最大数目限制操作命令说明进入系统视图system-view进入以太网端口视图interface interface-type interface-number配置端口 F MAC地址认证用户的最 大数目限制mac-authentication max-authnum user-number必选缺省'情况下何个瑞口允许接入的MAC地址认证用户的虽大数目为 256个注意当端口下同时配査了 MAC地址认证用户数量限制和端口安全的用户数量限制时，允许接入的 MAC地址认证用户数将为这两种配苣中的较小值。端口安全功能的介绍请券见本手册“端口安 全”部分。当端口当前有用户在线时，不能配置此端

18、口的MAC地址认证用户的最大数量"1.4.4配置端口的静默MAC功能用户可以手动配置端II卜是否开启静默MAC功能。开启静默MAC功能后，如果半前端II连接的客 户端MAC地址认证失败厉，此MAC就被设置为静默MAC。关闭半前端I I的静默MAC功能，则 不会被设置为静默MAC。表仁5配皆端口的静默MAC功能操作命令说明进入系统视图system-view进入以太网端口视图interface interface-type interface-number配代端口的胖默MAC功能mac-authenticiaon intrusionode block-mac enable必选缺省'

19、;惜况下.端口下开启静默MAC功能1.5 MAC地址认证配置显示和维护完成匕述配置厉，在任意视图卜执行display命令，可以显示配置MAC地址认证厉的运行情况。 通过査看显示信息，用户可以验证配置的效果。在用户视图卜执行reset命令淸除MAC地址认证 的统计信息。表16 MAC地址认证显示和维护操作命令说明显示MAC地址认证的全局或端口信 息display mac-authentication interface interface-list display命令可以在任意视图卜执 fr淸除MAC地址认证的全同或端口统 计信息reset mac-authentication statisti

20、cs interface interface-type interface-number reset命令在用八视图下执行1.6 MAC地址认证配置举例组网需求如图“所示，某用户的工作站与以太网交换机的端LlEthernet1/0/2W连接。 交换机的管理不希® 4端11 Ethernet1/0/2上対用户接入进行MAC地址认证，以控制用户对 Internet的访问。 所何用户都属域：,认证时使用本地认证的方式。用户名和密码都为PC的MAC 地址：00-0d-88-f6-44-c1 o2组网图rIF> networ*Ethernet 1/0/2图开启MAC地址认证对接入用户进行本地认证PCMAC: 00-0d-88-f6-44-c1 Switch 3.配萱步骤#开启指定端I I Ethernet 1/0/2的MAC地址认证抽性.<H3C> system-viewH3C) mac-authentication interface Ethernet 1/0/2#配置采用MAC地