目 錄1 MAC地址認證配置.....................................................................................

目 錄

1 MAC地址認證配置............................................................................................................................. 1-1

1.1 MAC地址認證簡介............................................................................................................................. 1-1

1.1.1 RADIUS服務器認證方式進行MAC 地址認證........................................................................... 1-1

1.1.2 本地認證方式進行MAC 地址認證............................................................................................ 1-1

1.2 相關概念............................................................................................................................................ 1-1

1.2.1 MAC地址認證定時器.............................................................................................................. 1-1

1.2.2 靜默MAC ................................................................................................................................ 1-2

1.3 MAC地址認證基本功能配置.............................................................................................................. 1-2

1.3.1 MAC地址認證基本功能配置................................................................................................... 1-2

1.4 MAC地址認證增強功能配置.............................................................................................................. 1-3

1.4.1 MAC地址認證增強功能配置任務............................................................................................ 1-3

1.4.2 配置Guest VLAN....................................................................................................................1-3

1.4.3 配置端口下MAC 地址認證用戶的最大數量.............................................................................. 1-5

1.4.4 配置端口的靜默MAC 功能....................................................................................................... 1-5

1.5 MAC地址認證配置顯示和維護.......................................................................................................... 1-5

1.6 MAC地址認證配置舉例..................................................................................................................... 1-6

i

1 MAC 地址認證配置

1.1 MAC地址認證簡介

MAC 地址認證是一種基于端口和MAC 地址對用戶訪問網絡的權限進行控制的認證方法，它不需要用戶安裝任何客戶端認證軟件。交換機在首次檢測到用戶的MAC 地址以后，即啟動對該用戶的認證操作。認證過程中，也不需要用戶手動輸入用戶名或者密碼。

S3100系列以太網交換機進行MAC 地址認證時，可采用兩種認證方式：

z

z 通過RADIUS 服務器認證 本地認證

當認證方式確定后，用戶可根據需求選擇以下一種類型的認證用戶名：

z

z MAC 地址用戶名：使用用戶的MAC 地址作為認證時的用戶名和密碼。 固定用戶名：所有用戶均使用在交換機上預先配置的本地用戶名和密碼進行認證，因此用戶

能否通過認證取決于該用戶名和密碼是否正確及此用戶名的最大用戶數屬性控制（具體內容請參見本手冊“AAA ”中的配置本地用戶屬性部分）。

1.1.1 RADIUS服務器認證方式進行MAC 地址認證

當選用RADIUS 服務器認證方式進行MAC 地址認證時，交換機作為RADIUS 客戶端，與RADIUS 服務器配合完成MAC 地址認證操作：

z 采用MAC 地址用戶名時，交換機將檢測到的用戶MAC 地址作為用戶名和密碼發(fā)送給RADIUS

服務器。

z 采用固定用戶名時，交換機將已經在本地配置的用戶名和密碼作為待認證用戶的用戶名和密

碼，發(fā)送給RADIUS 服務器。

RADIUS 服務器完成對該用戶的認證后，認證通過的用戶可以訪問網絡。

1.1.2 本地認證方式進行MAC 地址認證

當選用本地認證方式進行MAC 地址認證時，直接在交換機上完成對用戶的認證。需要在交換機上配置本地用戶名和密碼：

z 采用MAC 地址用戶名時，需要配置的本地用戶名為接入用戶的MAC 地址，本地用戶名是否

使用分隔符“-”要與mac-authentication authmode usernameasmacaddress usernameformat 命令設置的格式相同，否則會導致認證失敗。

z 采用固定用戶名時，所有用戶MAC 將自動匹配到已配置的本地用戶名和密碼。

本地用戶的服務類型應設置為lan-access 。

1.2 相關概念

1.2.1 MAC地址認證定時器

MAC 地址認證過程受以下定時器的控制：

1-1

z 下線檢測定時器（offline-detect ）：用來設置交換機檢查用戶是否已經下線的時間間隔。當

檢測到用戶下線后，交換機立即通知RADIUS 服務器，停止對該用戶的計費。

z 靜默定時器（quiet ）：用來設置用戶認證失敗以后，該用戶需要等待的時間間隔。在靜默期

間，交換機不處理該用戶的認證功能，靜默之后交換機再重新對用戶發(fā)起認證。

z 服務器超時定時器（server-timeout ）：用來設置交換機同RADIUS 服務器的連接超時時間。

在用戶的認證過程中，如果服務器超時定時器超時，則此次認證失敗。

1.2.2 靜默MAC

當一個MAC 地址認證失敗后，此MAC 就被設置為靜默MAC 。在靜默定時器時長之內，對來自此MAC 地址的數據報文，交換機直接做丟棄處理。靜默MAC 的功能主要是防止非法MAC 短時間內的重復認證。

z 若配置的靜態(tài)MAC 或者認證通過的MAC 地址與靜默MAC 相同，則此MAC 地址的靜默功能失效。

S3100系列以太網交換機支持在端口下配置是否開啟靜默MAC 功能。 z

1.3 MAC地址認證基本功能配置

1.3.1 MAC地址認證基本功能配置

表1-1 MAC 地址認證基本功能配置 操作

進入系統(tǒng)視圖

開啟全局MAC 地址

認證特性 system-view 命令 - 必選 mac-authentication 缺省情況下，全局MAC 地址認證特

性處于關閉狀態(tài) 說明

系統(tǒng)視圖下

開啟指定端口的MAC

地址認證特性 mac-authentication interface interface-list interface interface-type interface-number 二者必選其一 缺省情況下，所有端口的MAC 地址

認證特性處于關閉狀態(tài) 端口視圖下 mac-authentication

quit

設置采用MAC 地址

用戶名 mac-authentication authmode 可選 usernameasmacaddress [ usernameformat { with-hyphen | without-hyphen } { lowercase | 缺省情況下，采用MAC 地址用戶名uppercase } | fixedpassword password ]

設置采用固定

用戶名 mac-authentication authmode usernamefixed

可選

mac-authentication

authusername username

mac-authentication

authpassword password 缺省情況下，采用固定用戶名時的用戶名為“mac ”，未配置密碼 設置采用固定用戶名 設置用戶名 設置密碼

1-2

操作

命令

必選

配置認證用戶所使用的ISP 域

mac-authentication domain isp-name

缺省情況下，未配置認證用戶使用的域，使用“default domain”作為ISP 域名 可選

配置MAC 地址認證定時器

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

缺省情況下，下線檢測定時器的超時時間為300秒；靜默定時器的超時時間為60秒；服務器超時定時器的超時時間為100秒

說明

如果端口開啟了MAC 地址認證，則不能配置該端口的最大MAC 地址學習個數（通過命令mac-address max-mac-count配置），反之，如果端口配置了最大MAC 地址學習個數，則禁止在該端口上開啟MAC 地址認證。

如果開啟了MAC 地址認證，則不能配置端口安全（通過命令port-security enable配置），反之，如果配置了端口安全，則禁止在該端口上開啟MAC 地址認證。

各端口的MAC 地址認證狀態(tài)在全局開啟之前可以配置，但不會生效；在全局MAC 地址認證開啟后，已使能MAC

地址認證的端口將立即開始進行認證操作。

z

z

z

1.4 MAC地址認證增強功能配置

1.4.1 MAC地址認證增強功能配置任務

表1-2 MAC 地址認證增強功能配置任務

配置任務

配置Guest VLAN

配置端口下MAC 地址認證用戶的最大數量 配置端口的靜默MAC 功能

可選 可選 可選

說明

1.4.2 1.4.3 1.4.4

詳細配置

1.4.2 配置Guest VLAN

本節(jié)所指的Guest VLAN指的是MAC 地址認證功能專用的Guest VLAN，與“802.1x 及System-Guard ”手冊中描述的Guest VLAN不是同一功能。

在完成1.3 MAC地址認證基本功能配置介紹的配置任務后，交換機可以對接入用戶根據其MAC 地址或固定的用戶名密碼進行認證。對于認證失敗的客戶端，交換機不會將其MAC 地址學習到本地的MAC 地址轉發(fā)表，以防止非法用戶訪問網絡。

在某些情況下，對于認證未通過的客戶端，要求其仍然可以訪問網絡中的部分受限資源，例如病毒庫升級服務器等，這時可以使用Guest VLAN功能來實現。

1-3

用戶可以為交換機的每個端口設置一個Guest VLAN，當端口連接的客戶端認證失敗后，該端口將被自動加入Guest VLAN，客戶端的MAC 地址也將被學習到Guest VLAN的MAC 地址表中，該用戶即可以訪問Guest VLAN內的網絡資源。

在端口加入Guest VLAN后，交換機將定期對該端口第一個接入用戶（即第一個學到的單播MAC 地址對應的用戶）進行重認證。如果用戶通過重認證，該端口將退出Guest VLAN，用戶也將可以正常訪問網絡。

z

由于Guest VLAN是基于端口加入VLAN 的方式實現的，即：如果某端口下連接了多個用戶，當第一個用戶認證失敗后，其他用戶隨之也只能訪問Guest VLAN內的內容，而且交換機只會對第一個接入該端口的用戶的MAC 地址進行重認證，其他用戶將不會再有通過認證的機會。因此，在端口下連接客戶端數量大于1時，將不能配置Guest VLAN。

z

當用戶認證失敗時，交換機將該失敗端口加入Guest VLAN，因此，對于Access 端口，Guest VLAN可以有效實現隔離未認證用戶的功能。但對于Trunk 和Hybrid 端口，如果接收的報文本身已經帶有VLAN Tag，且在端口允許通過的VLAN 范圍內，該報文將被正確轉發(fā)，而不受Guest VLAN的影響。即在用戶認證失敗的情況下，Trunk 和Hybrid 端口仍能向除Guest VLAN之外的VLAN 轉發(fā)數據。

表1-3 Guest VLAN配置

操作

進入系統(tǒng)視圖 進入以太網端口視圖

system-view

interface interface-type interface-number

mac-authentication guest-vlan vlan-id quit

命令

- - 必選

缺省情況下，沒有配置端口的Guest VLAN - 可選

配置交換機對Guest VLAN內用戶進行重認證的時間間隔

mac-authentication timer guest-vlan-reauth interval

缺省情況下，交換機對Guest VLAN內用戶進行重認證的時間間隔為30秒

說明

配置當前端口的Guest VLAN

退出至系統(tǒng)視圖

當端口連接的客戶端數量大于1時，將不能配置該端口的Guest VLAN。當端口配置了Guest VLAN 后，該端口也將只允許一個MAC 地址認證用戶接入。即使配置的MAC 地址認證用戶的最大數目限制大于1，也將不會生效。

z

z

被配置為Guest VLAN的VLAN 不能使用undo vlan命令直接刪除，必須先刪除Guest VLAN配置，才能夠刪除。undo vlan命令請參見本手冊“VLAN ”部分的介紹。

一個端口只能配置一個Guest VLAN，對應的VLAN 必須已經存在，否則將會配置失敗。如果需要修改當前端口的Guest VLAN，需要先刪除之前的Guest VLAN配置，再重新進行配置。 在配置了端口的Guest VLAN后，將不能在此端口開啟802.1x 認證功能。 MAC 地址認證的Guest VLAN功能在端口安全開啟的情況下不生效。

z

z z

1-4

1.4.3 配置端口下MAC 地址認證用戶的最大數量

用戶可以通過配置端口下MAC 地址認證用戶的最大數量，來控制通過此端口接入的用戶數目。當接入用戶到達配置的限制數量時，交換機將不會再對之后接入的用戶進行認證觸發(fā)動作，這些用戶也就無法正常訪問網絡。

表1-4 配置端口下MAC 地址認證用戶的最大數目限制

操作

進入系統(tǒng)視圖 進入以太網端口視圖

system-view

interface interface-type interface-number

命令

- - 必選

配置端口下MAC 地址認證用戶的最大數目限制

mac-authentication

max-auth-num user-number

缺省情況下，每個端口允許接入的MAC 地址認證用戶的最大數目為256個

說明

當端口下同時配置了MAC 地址認證用戶數量限制和端口安全的用戶數量限制時，允許接入的MAC 地址認證用戶數將為這兩種配置中的較小值。端口安全功能的介紹請參見本手冊“端口安全”部分。

z

z

當端口當前有用戶在線時，不能配置此端口的MAC 地址認證用戶的最大數量。

1.4.4 配置端口的靜默MAC 功能

用戶可以手動配置端口下是否開啟靜默MAC 功能。開啟靜默MAC 功能后，如果當前端口連接的客戶端MAC 地址認證失敗后，此MAC 就被設置為靜默MAC 。關閉當前端口的靜默MAC 功能，則不會被設置為靜默MAC 。

表1-5 配置端口的靜默MAC 功能

操作

進入系統(tǒng)視圖 進入以太網端口視圖

system-view

interface interface-type

interface-number

mac-authenticiaon

intrusion-mode block-mac enable

命令

- - 必選

缺省情況下，端口下開啟靜默MAC 功能

說明

配置端口的靜默MAC 功能

1.5 MAC地址認證配置顯示和維護

完成上述配置后，在任意視圖下執(zhí)行display 命令，可以顯示配置MAC 地址認證后的運行情況。通過查看顯示信息，用戶可以驗證配置的效果。在用戶視圖下執(zhí)行reset 命令清除MAC 地址認證的統(tǒng)計信息。

1-5

表1-6 MAC 地址認證顯示和維護 操作

顯示MAC 地址認證的全局或端口信

息

清除MAC 地址認證的全局或端口統(tǒng)

計信息 命令 display mac-authentication [ interface interface-list ] reset mac-authentication statistics [ interface

interface-type interface-number ] 說明 display 命令可以在任意視圖下執(zhí)行 reset 命令在用戶視圖下執(zhí)行

1.6 MAC地址認證配置舉例

1. 組網需求

如圖1-1所示，某用戶的工作站與以太網交換機的端口Ethernet1/0/2相連接。

z 交換機的管理者希望在端口Ethernet1/0/2上對用戶接入進行MAC 地址認證，以控制用戶對

Internet 的訪問。

z 所有用戶都屬于域：aabbcc.net ，認證時使用本地認證的方式。用戶名和密碼都為PC 的MAC

地址：00-0d-88-f6-44-c1。

2. 組網圖

圖1-1 開啟MAC 地址認證對接入用戶進行本地認證

3. 配置步驟

# 開啟指定端口Ethernet 1/0/2的MAC 地址認證特性。

system-view

[H3C] mac-authentication interface Ethernet 1/0/2

# 配置采用MAC 地址用戶名進行認證，并指定使用帶有分隔符的小寫形式的MAC 地址作為驗證的用戶名和密碼。

[H3C] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen lowercase # 添加本地接入用戶。

z 配置本地用戶的用戶名和密碼。

[H3C] local-user 00-0d-88-f6-44-c1

[H3C-luser-00-0d-88-f6-44-c1] password simple 00-0d-88-f6-44-c1

z 設置本地用戶服務類型為lan-access 。

[H3C-luser-00-0d-88-f6-44-c1] service-type lan-access

[H3C-luser-00-0d-88-f6-44-c1] quit

# 創(chuàng)建MAC 地址認證用戶所使用的域aabbcc.net 。

[H3C] domain aabbcc.net

New Domain added.

1-6

# 配置域aabbcc.net 采用本地認證方式。

[H3C-isp-aabbcc.net] scheme local

[H3C-isp-aabbcc.net] quit

# 配置MAC 地址認證用戶所使用的域名為aabbcc.net 。

[H3C] mac-authentication domain aabbcc.net

# 開啟全局MAC 地址認證特性（接入控制相關特性一般將全局配置開啟放在最后，否則相關參數未配置完成，會造成合法用戶無法訪問網絡）。

[H3C] mac-authentication

此時，MAC 地址認證生效，只允許MAC 地址為00-0d-88-f6-44-c1的用戶通過端口Ethernet1/0/2訪問網絡。

1-7