19-MAC地址认证命令
本章节下载 (173.32 KB)
目 录
1.1.1 display mac-authentication
1.1.3 mac-authentication interface
1.1.4 mac-authentication authmode usernameasmacaddress
1.1.5 mac-authentication authmode usernamefixed
1.1.6 mac-authentication authpassword
1.1.7 mac-authentication authusername
1.1.8 mac-authentication domain
1.1.9 mac-authentication timer
1.1.10 mac-authentication timer offline-detect
1.1.11 reset mac-authentication
1.2.1 mac-authentication auth-fail vlan
1.2.2 mac-authentication guest-vlan
1.2.3 mac-authenticiaon intrusion-mode block-mac
1.2.4 mac-authentication max-auth-num
1.2.5 mac-authentication timer guest-vlan-reauth
【命令】
display mac-authentication [ interface interface-list ]
【视图】
任意视图
【参数】
interface interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
display mac-authentication命令用来显示MAC地址认证相关信息。
【举例】
# 显示MAC地址认证的全局信息。
<Sysname> display mac-authentication
Mac address authentication is Enabled.
Authentication mode is UsernameAsMacAddress
Usernameformat:with-hyphen lowercase
Fixed password:not configured
Offline detect period is 300s
Quiet period is 60 second(s).
Server response timeout value is 100s
Guest VLAN re-authenticate period is 30s
Max allowed user number is 1024
Current user number amounts to 1
Current domain: not configured, use default domain
Silent Mac User info:
MAC Addr From Port Port Index
0016-e0be-e201 Ethernet1/0/2 1(vlan:1)
--- 1 silent mac address(es) found. ---
Ethernet1/0/1 is link-up
MAC address authentication is Enabled
max-auth-num is 256
Guest VLAN is 2
Authenticate success: 1, failed: 0
Current online user number is 1
MAC Addr Authenticate state Auth Index
000d-88f8-4e71 MAC_AUTHENTICATOR_SUCCESS 0
……(以下略)
表1-1 display mac-authentication命令显示信息描述表
字段 |
描述 |
Mac address authentication is Enabled |
MAC地址认证特性已经开启 |
Authentication mode |
MAC地址认证用户名的形式,有两种形式: UsernameFixed:采用固定用户名 UsernameAsMacAddress:采用MAC地址用户名 缺省为采用MAC地址用户名(UsernameAsMacAddress) |
Fixed password |
根据MAC地址认证用户名形式不同含义有所不同: 采用MAC地址用户名时,此项配置表示是否采用固定密码,缺省未配置,即不采用固定密码,仍采用用户的MAC地址作为密码。 采用固定用户名时,此项配置表示是否配置了固定密码。缺省为未配置,即密码为空。 |
Offline detect period |
下线检测定时器,用来设置检测用户是否下线的时间间隔,缺省值为300秒 |
Quiet period |
静默定时器,设置对用户认证失败以后,设备的静默时间,缺省为60秒 |
Server response timeout value |
服务器连接超时定时器,用于设置与RADIUS服务器连接超时时间,缺省为100秒 |
Guest VLAN re-authenticate period |
设备对Guest VLAN内的用户进行重认证的时间间隔,缺省为30秒 |
Max allowed user number |
设备支持的最大用户数,缺省为1024个 |
Current user number amounts to |
当前用户数 |
Current domain |
当前使用的域,缺省未配置 |
Silent Mac User info |
静默用户信息。当用户因为输入错误的用户名/密码而未通过MAC地址认证时,设备将该用户设置为静默,静默期间设备不处理该用户的认证请求 |
Ethernet1/0/1 is link-up |
端口Ethernet1/0/1链路处于UP状态 |
MAC address authentication is Enabled |
端口Ethernet1/0/1MAC地址认证特性已开启 |
max-auth-num |
端口允许接入的MAC地址认证用户的最大数量,缺省为256 |
Guest VLAN |
端口的Guest VLAN |
Authenticate success: 1, failed: 0 |
端口上MAC地址认证的统计信息,包括认证通过和认证失败的数目 |
Current online user number |
端口当前的接入用户数 |
MAC Addr |
端口所连接的远程MAC地址 |
Authenticate state |
端口接入用户的状态,共有四种: l MAC_AUTHENTICATOR_CONNECTING:正在连接 l MAC_AUTHENTICATOR_SUCCESS:认证通过 l MAC_AUTHENTICATOR_FAILURE:认证失败 l MAC_AUTHENTICATOR_LOGOFF:已下线 |
Auth Index |
当前MAC地址在认证端口下的索引值 |
【命令】
mac-authentication
undo mac-authentication
【视图】
系统视图/以太网端口视图
【参数】
无
【描述】
mac-authentication命令用来开启全局或当前端口的MAC地址认证特性。undo mac-authentication命令用来关闭全局或当前端口的MAC地址认证特性。
缺省情况下,全局及所有端口的MAC地址认证特性都处于关闭状态。
在系统视图下使用该命令时,表示开启全局的MAC地址认证特性。在以太网端口视图下使用该命令时,表示开启当前视图所在端口的MAC地址认证特性。
为了启动MAC地址认证,全局和相应端口都需要开启MAC地址认证特性。
各端口的MAC地址认证状态在全局开启之前可以配置,但不会生效;在全局MAC地址认证开启后,已使能MAC地址认证的端口将立即开始进行认证操作。
【举例】
# 开启全局的MAC地址认证特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] mac-authentication
MAC-Authentication is enabled globally.
# 开启端口Ethernet1/0/1的MAC地址认证特性。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] mac-authentication
【命令】
mac-authentication interface interface-list
undo mac-authentication interface interface-list
【视图】
系统视图
【参数】
interface-list:开启MAC地址认证的以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
mac-authentication interface命令用来开启指定端口上的MAC地址认证特性。undo mac-authentication interface命令用来关闭指定端口上的MAC地址认证特性。
缺省情况下,所有端口的MAC地址认证特性都处于关闭状态。
l 全局MAC地址认证特性开启后,必须再开启端口的MAC地址认证特性,MAC地址认证的配置才能在端口上生效;
l 如果端口开启了MAC地址认证特性,则不能配置该端口的最大MAC地址学习个数(通过命令mac-address max-mac-count配置);反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上开启MAC地址认证特性。
l 如果端口启动了MAC地址认证,则不能配置该端口加入汇聚组。反之,如果该端口已经加入到某个汇聚组中,则禁止在该端口上启动MAC地址认证。
【举例】
# 开启以太网端口Ethernet 1/0/1上的MAC地址认证特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] mac-authentication interface Ethernet 1/0/1
【命令】
mac-authentication authmode usernameasmacaddress [ usernameformat { with-hyphen | without-hyphen } { lowercase | uppercase } | fixedpassword password ]
undo mac-authentication authmode usernameasmacaddress { usernameformat | fixedpassword }
【视图】
系统视图
【参数】
usernameformat:设置用户名和密码的输入格式。
with-hyphen:系统采用带有分隔符“-”的MAC地址作为MAC地址认证的用户名和密码,例如“00-05-e0-1c-02-e3”。
without-hyphen:系统采用不带有分隔符“-”的MAC地址作为MAC地址认证的用户名和密码,例如“0005e01c02e3”。
lowercase:MAC地址格式为小写格式。
uppercase:MAC地址格式为大写格式。
fixedpassword password:配置MAC地址认证采用固定密码password,不再采用MAC地址作为密码,password为长度 1~63个字符的字符串。
【描述】
mac-authentication authmode usernameasmacaddress命令用来设置MAC地址认证时采用MAC地址用户名形式,并配置具体用户名格式。undo mac-authentication authmode命令用来恢复MAC地址认证时采用的用户名形式为缺省情况。
缺省情况下,MAC地址认证时采用的用户名、密码为MAC地址形式。
【举例】
# 设置MAC地址认证时采用的用户名形式为MAC地址用户名,使用带有分隔符的小写格式输入MAC地址作为用户名和密码。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen lowercase
【命令】
mac-authentication authmode usernamefixed
undo mac-authentication authmode
【视图】
系统视图
【参数】
无
【描述】
mac-authentication authmode usernamefixed命令用来设置MAC地址认证时采用固定用户名形式。undo mac-authentication authmode命令用来恢复MAC地址认证时采用的用户名形式为缺省情况。
缺省情况下,系统采用MAC地址用户名进行认证。
【举例】
# 设置MAC地址认证时采用固定用户名形式。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] mac-authentication authmode usernamefixed
【命令】
mac-authentication authpassword password
undo mac-authentication authpassword
【视图】
系统视图
【参数】
password:表示认证时使用的密码,长度为1~63个字符的字符串。
【描述】
mac-authentication authpassword命令用来设置MAC地址认证采用固定用户名形式时的密码。undo mac-authentication authpassword命令用来取消设置的密码。
缺省情况下,未配置固定用户名的密码。
【举例】
# 设置固定用户名方式的密码为newmac。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] mac-authentication authpassword newmac
【命令】
mac-authentication authusername username
undo mac-authentication authusername
【视图】
系统视图
【参数】
username:表示认证时使用的用户名,为长度不超过55个字符的字符串。
【描述】
mac-authentication authusername命令用来设置采用固定用户名形式时的用户名。undo mac-authentication authusername命令用来将用户名恢复为系统缺省情况。
缺省情况下,固定用户名形式时的用户名为mac。
【举例】
# 设置固定用户名形式认证的用户名为vipuser。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] mac-authentication authusername vipuser
【命令】
mac-authentication domain isp-name
undo mac-authentication domain
【视图】
系统视图
【参数】
isp-name:ISP域名。为不超过128个字符的非空字符串,且不能包括“/”、“:”、“*”、“?”、“<”以及“>”等特殊字符。
【描述】
mac-authentication domain命令用来配置MAC地址认证用户所使用的ISP域。undo mac-authentication domain命令用来恢复MAC地址认证用户所使用的ISP域为缺省情况。
缺省情况下,使用缺省ISP域system。
【举例】
# 配置MAC地址使用的域为aabbcc。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] mac-authentication domain aabbcc
【命令】
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
undo mac-authentication timer { offline-detect | quiet | server-timeout }
【视图】
系统视图
【参数】
offline-detect-value:下线检测定时器的值,用来设置设备检查用户是否已经下线的时间间隔。取值范围0~3000000,单位为秒。缺省值为300秒。当offline-detect-value参数取值为0时,表示下线检测定时器不老化,即不进行MAC地址认证的用户下线检测。
quiet-value:静默定时器的值。对用户认证失败以后,设备需要静默一段时间后再处理用户认证请求,在静默期间,设备不处理该用户的认证请求。取值范围1~3600,单位为秒。缺省值为60秒。
server-timeout-value:服务器超时定时器的值。在用户的认证过程中,如果设备同RADIUS 服务器的连接超时,则此次认证失败。取值范围为1~65535,单位为秒。缺省值为100秒。
【描述】
mac-authentication timer命令用来配置MAC地址认证的各项定时器参数。undo mac-authentication timer命令用来将指定的定时器恢复为缺省值。
相关可参考命令display mac-authentication。
【举例】
# 设置服务器超时定时器时长为150秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] mac-authentication timer server-timeout 150
【命令】
mac-authentication timer offline-detect offline-detect-value
undo mac-authentication timer offline-detect
【视图】
以太网端口视图
【参数】
offline-detect-value:下线检测定时器的值,用来设置设备检查用户是否已经下线的时间间隔。取值范围0~3000000,单位为秒。缺省值为300秒。
【描述】
mac-authentication timer offline-detect命令用来配置端口下MAC地址认证的用户下线检测定时器参数。undo mac-authentication timer offline-detect命令用来将用户下线检测定时器恢复为缺省值。
需要注意的是:
l 系统视图下指定的用户下线检测定时器的值对所有使能了MAC地址认证的端口生效。
l 以太网端口视图下指定的用户下线检测定时器的值仅对本端口有效。不同的端口可以指定不同的值。
l 端口上接入的MAC地址认证用户将按照如下先后顺序选择下线检测定时器的值:端口上指定的用户下线检测定时器的值-->系统视图下指定的用户下线检测定时器的值。
l 当offline-detect-value参数取值为0时,表示下线检测定时器不老化,即不进行MAC地址认证的用户下线检测。
【举例】
# 设置Ethernet1/0/1端口上的MAC地址认证用户下线检测定时器时长为500秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname]interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] mac-authentication timer offline-detect 500
【命令】
reset mac-authentication statistics [ interface interface-list ]
【视图】
用户视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
reset mac-authentication命令用来清除MAC地址认证的统计信息。当指定interface参数时,表示清除指定端口上的MAC地址认证统计信息;不指定interface参数时,表示清除全局MAC地址认证统计信息。
【举例】
# 清除端口Ethernet 1/0/1上的MAC地址认证统计信息。
<Sysname> reset mac-authentication statistics interface Ethernet 1/0/1
【命令】
mac-authentication auth-fail vlan authfail-vlan-id
undo mac-authentication auth-fail vlan
【视图】
以太网端口视图
【参数】
authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【描述】
mac-authentication auth-fail vlan命令用来配置指定端口的MAC地址认证的Auth-Fail VLAN,即MAC地址认证失败的用户被授权访问的VLAN。undo mac-authentication auth-fail vlan命令用来恢复缺省情况。
缺省情况下,端口没有配置MAC地址认证的Auth-Fail VLAN。
需要注意的是:
l 这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
l 只有MAC VLAN功能开启的情况下,MAFV才生效。
l 禁止直接删除已被配置为Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过命令undo mac-authentication auth-fail vlan取消MAC认证的Auth-Fail VLAN配置。
【举例】
# 在端口Ethernet1/0/1上配置Auth-Fail VLAN为VLAN3。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] mac-authentication auth-fail vlan 3
【命令】
mac-authentication guest-vlan vlan-id
undo mac-authentication guest-vlan
【视图】
以太网端口视图
【参数】
vlan-id:为当前端口配置的Guest VLAN的VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【描述】
mac-authentication guest-vlan命令用来配置当前端口MAC地址认证的Guest VLAN,如果端口连接的客户端MAC地址认证失败,该端口将被加入Guest VLAN,此时接入用户可以访问Guest VLAN中的网络资源。undo mac-authentication guest-vlan命令用来取消端口的Guest VLAN配置。
缺省情况下,没有配置端口的Guest VLAN。
系统每隔mac-authentication timer guest-vlan-reauth设置的时间间隔后,会对Guest VLAN内用户进行重认证,如果认证成功,则离开Guest VLAN,回到原VLAN。
l 被配置为Guest VLAN的VLAN不能使用undo vlan命令直接删除,必须先删除Guest VLAN配置,才能够删除。undo vlan命令请参见本手册“VLAN”部分的介绍。
l 一个端口只能配置一个Guest VLAN,对应的VLAN必须已经存在,否则将会配置失败。如果需要修改当前端口的Guest VLAN,需要先删除之前的Guest VLAN配置,再重新进行配置。
l MAC地址认证的Guest VLAN功能在端口安全开启的情况下不生效。
相关配置可参考命令mac-authentication timer guest-vlan-reauth。
【举例】
# 配置以太网端口Ethernet1/0/1的Guest VLAN为VLAN4。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] mac-authentication guest-vlan 4
【命令】
mac-authenticiaon intrusion-mode block-mac enable
undo mac-authenticiaon intrusion-mode block-mac enable
【视图】
以太网端口视图
【参数】
无
【描述】
mac-authenticiaon intrusion-mode block-mac enable命令用来开启当前端口的静默MAC功能,开启静默MAC功能后,如果当前端口连接的客户端MAC地址认证失败后,此MAC就被设置为静默MAC。undo mac-authenticiaon intrusion-mode block-mac enable命令用来关闭当前端口的静默MAC功能。
缺省情况下,端口下开启静默MAC功能。
【举例】
# 配置以太网端口Ethernet1/0/1开启静默MAC功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] mac-authenticiaon intrusion-mode block-mac enable
【命令】
mac-authentication max-auth-num user-number
undo mac-authentication max-auth-num
【视图】
以太网端口视图
【参数】
user-number:端口允许接入的MAC地址认证用户的最大数量,取值范围为1~256。
【描述】
mac-authentication max-auth-num命令用来配置当前端口可以接入的MAC地址认证用户的最大数量,当接入用户到达配置的限制数量时,设备将不会再对之后接入的用户进行认证触发动作,这些用户也就无法正常访问网络。undo mac-authentication max-auth-num用来恢复该配置的缺省值。
缺省情况下,端口允许接入的MAC地址认证用户的最大数量为256个。
l 当端口下同时配置了MAC地址认证用户数量限制和端口安全的用户数量限制时,允许接入的MAC地址认证用户数将为这两种配置中的较小值。端口安全功能的介绍请参见本手册“端口安全”部分。
l 当端口当前有用户在线时,不能配置此端口的MAC地址认证用户的最大数量。
【举例】
# 配置以太网端口Ethernet1/0/2最多允许100个MAC地址认证用户接入。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface Ethernet 1/0/2
[Sysname-Ethernet1/0/2] mac-authentication max-auth-num 100
【命令】
mac-authentication timer guest-vlan-reauth interval
undo mac-authentication timer guest-vlan-reauth
【视图】
系统视图
【参数】
interval:配置设备对Guest VLAN内的用户进行重认证的时间间隔,取值范围为1~3600,单位为秒。
【描述】
mac-authentication timer guest-vlan-reauth命令用来配置设备对MAC地址认证的Guest VLAN内的用户进行重认证的时间间隔,如果认证成功用户离开该Guest VLAN,回到原VLAN。undo mac-authentication timer guest-vlan-reauth用来恢复重认证时间间隔为缺省值。
缺省情况下,设备对Guest VLAN内用户进行重认证的时间间隔为30秒。
【举例】
# 配置设备每隔60秒对Guest VLAN内的用户进行重认证。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] mac-authentication timer guest-vlan-reauth 60
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!