17-MAC地址认证操作
本章节下载 (192.2 KB)
目 录
MAC地址认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法,它不需要用户安装任何客户端认证软件。交换机在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。
S5100系列以太网交换机进行MAC地址认证时,可采用两种认证方式:
l
通过RADIUS服务器认证
l
本地认证
当认证方式确定后,用户可根据需求选择以下一种类型的认证用户名:
l
MAC地址用户名:使用用户的MAC地址作为认证时的用户名和密码。
l
固定用户名:所有用户均使用在交换机上预先配置的本地用户名和密码进行认证,因此用户能否通过认证取决于该用户名和密码是否正确及此用户名的最大用户数属性控制(具体内容请参见本手册“AAA”中的配置本地用户属性部分)。
当选用RADIUS服务器认证方式进行MAC地址认证时,交换机作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
l
采用MAC地址用户名时,交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。
l
采用固定用户名时,交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密码,发送给RADIUS服务器。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
当选用本地认证方式进行MAC地址认证时,直接在交换机上完成对用户的认证。需要在交换机上配置本地用户名和密码:
l
采用MAC地址用户名时,需要配置的本地用户名为接入用户的MAC地址,本地用户名是否使用分隔符“-”要与mac-authentication authmode usernameasmacaddress usernameformat命令设置的格式相同,否则会导致认证失败。
l
采用固定用户名时,所有用户MAC将自动匹配到已配置的本地用户名和密码。
本地用户的服务类型应设置为lan-access。
MAC地址认证过程受以下定时器的控制:
l
下线检测定时器(offline-detect):用来设置交换机检查用户是否已经下线的时间间隔。当检测到用户下线后,交换机立即通知RADIUS服务器,停止对该用户的计费。
l
静默定时器(quiet):用来设置用户认证失败以后,该用户需要等待的时间间隔。在静默期间,交换机不处理该用户的认证功能,静默之后交换机再重新对用户发起认证。
l
服务器超时定时器(server-timeout):用来设置交换机同RADIUS服务器的连接超时时间。在用户的认证过程中,如果服务器超时定时器超时,则此次认证失败。
当一个MAC地址认证失败后,此MAC就被设置为静默MAC。在静默定时器时长之内,对来自此MAC地址的数据报文,交换机直接做丢弃处理。静默MAC的功能主要是防止非法MAC短时间内的重复认证。
注意:
若配置的静态MAC或者认证通过的MAC地址与静默MAC相同,则此MAC地址的静默功能失效。
表1-1 MAC地址认证基本功能配置
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启全局MAC地址认证特性 |
mac-authentication |
必选 缺省情况下,全局MAC地址认证特性处于关闭状态 |
|
开启指定端口的MAC地址认证特性 |
系统视图下 |
mac-authentication interface interface-list |
二者必选其一 缺省情况下,所有端口的MAC地址认证特性处于关闭状态 |
端口视图下 |
interface interface-type interface-number |
||
mac-authentication |
|||
quit |
|||
设置采用MAC地址用户名 |
mac-authentication authmode usernameasmacaddress [ usernameformat { with-hyphen | without-hyphen } [lowercase
| uppercase ] | fixedpassword password ] |
可选 缺省情况下,采用MAC地址用户名 |
|
设置采用固定用户名 |
设置采用固定用户名 |
mac-authentication authmode usernamefixed |
可选 缺省情况下,采用固定用户名时的用户名为“mac”,未配置密码 |
设置用户名 |
mac-authentication authusername username |
||
设置密码 |
mac-authentication authpassword password |
||
配置认证用户所使用的ISP域 |
mac-authentication domain isp-name |
必选 缺省情况下,未配置认证用户使用的域,使用“default domain”作为ISP域名 |
|
配置MAC地址认证定时器 |
mac-authentication timer { offline-detect offline-detect-value
| quiet quiet-value |
server-timeout server-timeout-value
} |
可选 缺省情况下,下线检测定时器的超时时间为300秒;静默定时器的超时时间为60秒;服务器超时定时器的超时时间为100秒 |
注意:
l
如果端口开启了MAC地址认证,则不能配置该端口的最大MAC地址学习个数(通过命令mac-address max-mac-count配置),反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上开启MAC地址认证。
l
如果开启了MAC地址认证,则不能配置端口安全(通过命令port-security enable配置),反之,如果配置了端口安全,则禁止在该端口上开启MAC地址认证。
l
各端口的MAC地址认证状态在全局开启之前可以配置,但不会生效;在全局MAC地址认证开启后,已使能MAC地址认证的端口将立即开始进行认证操作。
表1-2 MAC地址认证增强功能配置任务
配置任务 |
说明 |
详细配置 |
配置Guest VLAN |
可选 |
|
配置端口下MAC地址认证用户的最大数量 |
可选 |
& 说明:
本节所指的Guest VLAN指的是MAC地址认证功能专用的Guest VLAN,与“802.1x及System-Guard”手册中描述的Guest VLAN不是同一功能。
在完成1.3 MAC地址认证基本功能配置介绍的配置任务后,交换机可以对接入用户根据其MAC地址或固定的用户名密码进行认证。对于认证失败的客户端,交换机不会将其MAC地址学习到本地的MAC地址转发表,以防止非法用户访问网络。
在某些情况下,对于认证未通过的客户端,要求其仍然可以访问网络中的部分受限资源,例如病毒库升级服务器等,这时可以使用Guest VLAN功能来实现。
用户可以为交换机的每个端口设置一个Guest VLAN,当端口连接的客户端认证失败后,该端口将被自动加入Guest VLAN,客户端的MAC地址也将被学习到Guest VLAN的MAC地址表中,该用户即可以访问Guest VLAN内的网络资源。
在端口加入Guest VLAN后,交换机将定期对该端口第一个接入用户(即第一个学到的单播MAC地址对应的用户)进行重认证。如果用户通过重认证,该端口将退出Guest VLAN,用户也将可以正常访问网络。
注意:
l
由于Guest VLAN是基于端口加入VLAN的方式实现的,即:如果某端口下连接了多个用户,当第一个用户认证失败后,其他用户随之也只能访问Guest VLAN内的内容,而且交换机只会对第一个接入该端口的用户的MAC地址进行重认证,其他用户将不会再有通过认证的机会。因此,在端口下连接客户端数量大于1时,将不能配置Guest VLAN。
l
当用户认证失败时,交换机将该失败端口加入Guest VLAN,因此,对于Access端口,Guest VLAN可以有效实现隔离未认证用户的功能。但对于Trunk和Hybrid端口,如果接收的报文本身已经带有VLAN Tag,且在端口允许通过的VLAN范围内,该报文将被正确转发,而不受Guest VLAN的影响。即在用户认证失败的情况下,Trunk和Hybrid端口仍能向除Guest VLAN之外的VLAN转发数据。
表1-3 Guest VLAN配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置当前端口的Guest VLAN |
mac-authentication guest-vlan vlan-id |
必选 缺省情况下,没有配置端口的Guest VLAN |
退出至系统视图 |
quit |
- |
配置交换机对Guest VLAN内用户进行重认证的时间间隔 |
mac-authentication timer guest-vlan-reauth interval |
可选 缺省情况下,交换机对Guest VLAN内用户进行重认证的时间间隔为30秒 |
注意:
l
当端口连接的客户端数量大于1时,将不能配置该端口的Guest VLAN。当端口配置了Guest VLAN后,该端口也将只允许一个MAC地址认证用户接入。即使配置的MAC地址认证用户的最大数目限制大于1,也将不会生效。
l
被配置为Guest VLAN的VLAN不能使用undo vlan命令直接删除,必须先删除Guest VLAN配置,才能够删除。undo vlan命令请参见本手册“VLAN”部分的介绍。
l
一个端口只能配置一个Guest VLAN,对应的VLAN必须已经存在,否则将会配置失败。如果需要修改当前端口的Guest VLAN,需要先删除之前的Guest VLAN配置,再重新进行配置。
l
在配置了端口的Guest VLAN后,将不能在此端口开启802.1x认证功能。
l
MAC地址认证的Guest VLAN功能在端口安全开启的情况下不生效。
用户可以通过配置端口下MAC地址认证用户的最大数量,来控制通过此端口接入的用户数目。当接入用户到达配置的限制数量时,交换机将不会再对之后接入的用户进行认证触发动作,这些用户也就无法正常访问网络。
表1-4 配置端口下MAC地址认证用户的最大数目限制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置端口下MAC地址认证用户的最大数目限制 |
mac-authentication max-auth-num user-number |
必选 缺省情况下,每个端口允许接入的MAC地址认证用户的最大数目为256个 |
注意:
l
当端口下同时配置了MAC地址认证用户数量限制和端口安全的用户数量限制时,允许接入的MAC地址认证用户数将为这两种配置中的较小值。端口安全功能的介绍请参见本手册“端口安全”部分。
l
当端口当前有用户在线时,不能配置此端口的MAC地址认证用户的最大数量。
完成上述配置后,在任意视图下执行display命令,可以显示配置MAC地址认证后的运行情况。通过查看显示信息,用户可以验证配置的效果。在用户视图下执行reset命令清除MAC地址认证的统计信息。
表1-5 MAC地址认证显示和维护
操作 |
命令 |
说明 |
显示MAC地址认证的全局或端口信息 |
display mac-authentication [ interface interface-list ] |
display命令可以在任意视图下执行 |
清除MAC地址认证的全局或端口统计信息 |
reset mac-authentication statistics [ interface interface-type interface-number ] |
reset命令在用户视图下执行 |
如图1-1所示,某用户的工作站与以太网交换机的端口GigabitEthernet1/0/2相连接。
l
交换机的管理者希望在端口GigabitEthernet1/0/2上对用户接入进行MAC地址认证,以控制用户对Internet的访问。
l
所有用户都属于域:example.com,认证时使用本地认证的方式。用户名和密码都为PC的MAC地址:00-0d-88-f6-44-c1。
图1-1 开启MAC地址认证对接入用户进行本地认证
# 开启指定端口GigabitEthernet 1/0/2的MAC地址认证特性。
<H3C> system-view
[H3C] mac-authentication interface GigabitEthernet 1/0/2
# 配置采用MAC地址用户名进行认证,并指定使用带有分隔符的小写形式的MAC地址作为验证的用户名和密码。
[H3C] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen lowercase
# 添加本地接入用户。
l
配置本地用户的用户名和密码。
[H3C] local-user 00-0d-88-f6-44-c1
[H3C-luser-00-0d-88-f6-44-c1] password simple 00-0d-88-f6-44-c1
l
设置本地用户服务类型为lan-access。
[H3C-luser-00-0d-88-f6-44-c1] service-type lan-access
[H3C-luser-00-0d-88-f6-44-c1] quit
# 创建MAC地址认证用户所使用的域example.com。
[H3C] domain example.com
New Domain added.
# 配置域example.com采用本地认证方式。
[H3C-isp-example.com] scheme local
[H3C-isp-example.com] quit
# 配置MAC地址认证用户所使用的域名为example.com。
[H3C] mac-authentication domain example.com
# 开启全局MAC地址认证特性(接入控制相关特性一般将全局配置开启放在最后,否则相关参数未配置完成,会造成合法用户无法访问网络)。
[H3C] mac-authentication
此时,MAC地址认证生效,只允许MAC地址为00-0d-88-f6-44-c1的用户通过端口GigabitEthernet1/0/2访问网络。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!