H3C-S3100-MAC地址认证配置
目 录1 MAC地址认证配置.....................................................................................
目 录
1 MAC地址认证配置............................................................................................................................. 1-1
1.1 MAC地址认证简介............................................................................................................................. 1-1
1.1.1 RADIUS服务器认证方式进行MAC 地址认证........................................................................... 1-1
1.1.2 本地认证方式进行MAC 地址认证............................................................................................ 1-1
1.2 相关概念............................................................................................................................................ 1-1
1.2.1 MAC地址认证定时器.............................................................................................................. 1-1
1.2.2 静默MAC ................................................................................................................................ 1-2
1.3 MAC地址认证基本功能配置.............................................................................................................. 1-2
1.3.1 MAC地址认证基本功能配置................................................................................................... 1-2
1.4 MAC地址认证增强功能配置.............................................................................................................. 1-3
1.4.1 MAC地址认证增强功能配置任务............................................................................................ 1-3
1.4.2 配置Guest VLAN....................................................................................................................1-3
1.4.3 配置端口下MAC 地址认证用户的最大数量.............................................................................. 1-5
1.4.4 配置端口的静默MAC 功能....................................................................................................... 1-5
1.5 MAC地址认证配置显示和维护.......................................................................................................... 1-5
1.6 MAC地址认证配置举例..................................................................................................................... 1-6
i
,1 MAC 地址认证配置
1.1 MAC地址认证简介
MAC 地址认证是一种基于端口和MAC 地址对用户访问网络的权限进行控制的认证方法,它不需要用户安装任何客户端认证软件。交换机在首次检测到用户的MAC 地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。
S3100系列以太网交换机进行MAC 地址认证时,可采用两种认证方式:
z
z 通过RADIUS 服务器认证 本地认证
当认证方式确定后,用户可根据需求选择以下一种类型的认证用户名:
z
z MAC 地址用户名:使用用户的MAC 地址作为认证时的用户名和密码。 固定用户名:所有用户均使用在交换机上预先配置的本地用户名和密码进行认证,因此用户
能否通过认证取决于该用户名和密码是否正确及此用户名的最大用户数属性控制(具体内容请参见本手册“AAA ”中的配置本地用户属性部分)。
1.1.1 RADIUS服务器认证方式进行MAC 地址认证
当选用RADIUS 服务器认证方式进行MAC 地址认证时,交换机作为RADIUS 客户端,与RADIUS 服务器配合完成MAC 地址认证操作:
z 采用MAC 地址用户名时,交换机将检测到的用户MAC 地址作为用户名和密码发送给RADIUS
服务器。
z 采用固定用户名时,交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密
码,发送给RADIUS 服务器。
RADIUS 服务器完成对该用户的认证后,认证通过的用户可以访问网络。
1.1.2 本地认证方式进行MAC 地址认证
当选用本地认证方式进行MAC 地址认证时,直接在交换机上完成对用户的认证。需要在交换机上配置本地用户名和密码:
z 采用MAC 地址用户名时,需要配置的本地用户名为接入用户的MAC 地址,本地用户名是否
使用分隔符“-”要与mac-authentication authmode usernameasmacaddress usernameformat 命令设置的格式相同,否则会导致认证失败。
z 采用固定用户名时,所有用户MAC 将自动匹配到已配置的本地用户名和密码。
本地用户的服务类型应设置为lan-access 。
1.2 相关概念
1.2.1 MAC地址认证定时器
MAC 地址认证过程受以下定时器的控制:
1-1
,z 下线检测定时器(offline-detect ):用来设置交换机检查用户是否已经下线的时间间隔。当
检测到用户下线后,交换机立即通知RADIUS 服务器,停止对该用户的计费。
z 静默定时器(quiet ):用来设置用户认证失败以后,该用户需要等待的时间间隔。在静默期
间,交换机不处理该用户的认证功能,静默之后交换机再重新对用户发起认证。
z 服务器超时定时器(server-timeout ):用来设置交换机同RADIUS 服务器的连接超时时间。
在用户的认证过程中,如果服务器超时定时器超时,则此次认证失败。
1.2.2 静默MAC
当一个MAC 地址认证失败后,此MAC 就被设置为静默MAC 。在静默定时器时长之内,对来自此MAC 地址的数据报文,交换机直接做丢弃处理。静默MAC 的功能主要是防止非法MAC 短时间内的重复认证。
z 若配置的静态MAC 或者认证通过的MAC 地址与静默MAC 相同,则此MAC 地址的静默功能失效。
S3100系列以太网交换机支持在端口下配置是否开启静默MAC 功能。 z
1.3 MAC地址认证基本功能配置
1.3.1 MAC地址认证基本功能配置
表1-1 MAC 地址认证基本功能配置 操作
进入系统视图
开启全局MAC 地址
认证特性 system-view 命令 - 必选 mac-authentication 缺省情况下,全局MAC 地址认证特
性处于关闭状态 说明
系统视图下
开启指定端口的MAC
地址认证特性 mac-authentication interface interface-list interface interface-type interface-number 二者必选其一 缺省情况下,所有端口的MAC 地址
认证特性处于关闭状态 端口视图下 mac-authentication
quit
设置采用MAC 地址
用户名 mac-authentication authmode 可选 usernameasmacaddress [ usernameformat { with-hyphen | without-hyphen } { lowercase | 缺省情况下,采用MAC 地址用户名uppercase } | fixedpassword password ]
设置采用固定
用户名 mac-authentication authmode usernamefixed
可选
mac-authentication
authusername username
mac-authentication
authpassword password 缺省情况下,采用固定用户名时的用户名为“mac ”,未配置密码 设置采用固定用户名 设置用户名 设置密码
1-2
,操作
命令
必选
配置认证用户所使用的ISP 域
mac-authentication domain isp-name
缺省情况下,未配置认证用户使用的域,使用“default domain”作为ISP 域名 可选
配置MAC 地址认证定时器
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
缺省情况下,下线检测定时器的超时时间为300秒;静默定时器的超时时间为60秒;服务器超时定时器的超时时间为100秒
说明
如果端口开启了MAC 地址认证,则不能配置该端口的最大MAC 地址学习个数(通过命令mac-address max-mac-count配置),反之,如果端口配置了最大MAC 地址学习个数,则禁止在该端口上开启MAC 地址认证。
如果开启了MAC 地址认证,则不能配置端口安全(通过命令port-security enable配置),反之,如果配置了端口安全,则禁止在该端口上开启MAC 地址认证。
各端口的MAC 地址认证状态在全局开启之前可以配置,但不会生效;在全局MAC 地址认证开启后,已使能MAC
地址认证的端口将立即开始进行认证操作。
z
z
z
1.4 MAC地址认证增强功能配置
1.4.1 MAC地址认证增强功能配置任务
表1-2 MAC 地址认证增强功能配置任务
配置任务
配置Guest VLAN
配置端口下MAC 地址认证用户的最大数量 配置端口的静默MAC 功能
可选 可选 可选
说明
1.4.2 1.4.3 1.4.4
详细配置
1.4.2 配置Guest VLAN
本节所指的Guest VLAN指的是MAC 地址认证功能专用的Guest VLAN,与“802.1x 及System-Guard ”手册中描述的Guest VLAN不是同一功能。
在完成1.3 MAC地址认证基本功能配置介绍的配置任务后,交换机可以对接入用户根据其MAC 地址或固定的用户名密码进行认证。对于认证失败的客户端,交换机不会将其MAC 地址学习到本地的MAC 地址转发表,以防止非法用户访问网络。
在某些情况下,对于认证未通过的客户端,要求其仍然可以访问网络中的部分受限资源,例如病毒库升级服务器等,这时可以使用Guest VLAN功能来实现。
1-3
,用户可以为交换机的每个端口设置一个Guest VLAN,当端口连接的客户端认证失败后,该端口将被自动加入Guest VLAN,客户端的MAC 地址也将被学习到Guest VLAN的MAC 地址表中,该用户即可以访问Guest VLAN内的网络资源。
在端口加入Guest VLAN后,交换机将定期对该端口第一个接入用户(即第一个学到的单播MAC 地址对应的用户)进行重认证。如果用户通过重认证,该端口将退出Guest VLAN,用户也将可以正常访问网络。
z
由于Guest VLAN是基于端口加入VLAN 的方式实现的,即:如果某端口下连接了多个用户,当第一个用户认证失败后,其他用户随之也只能访问Guest VLAN内的内容,而且交换机只会对第一个接入该端口的用户的MAC 地址进行重认证,其他用户将不会再有通过认证的机会。因此,在端口下连接客户端数量大于1时,将不能配置Guest VLAN。
z
当用户认证失败时,交换机将该失败端口加入Guest VLAN,因此,对于Access 端口,Guest VLAN可以有效实现隔离未认证用户的功能。但对于Trunk 和Hybrid 端口,如果接收的报文本身已经带有VLAN Tag,且在端口允许通过的VLAN 范围内,该报文将被正确转发,而不受Guest VLAN的影响。即在用户认证失败的情况下,Trunk 和Hybrid 端口仍能向除Guest VLAN之外的VLAN 转发数据。
表1-3 Guest VLAN配置
操作
进入系统视图 进入以太网端口视图
system-view
interface interface-type interface-number
mac-authentication guest-vlan vlan-id quit
命令
- - 必选
缺省情况下,没有配置端口的Guest VLAN - 可选
配置交换机对Guest VLAN内用户进行重认证的时间间隔
mac-authentication timer guest-vlan-reauth interval
缺省情况下,交换机对Guest VLAN内用户进行重认证的时间间隔为30秒
说明
配置当前端口的Guest VLAN
退出至系统视图
当端口连接的客户端数量大于1时,将不能配置该端口的Guest VLAN。当端口配置了Guest VLAN 后,该端口也将只允许一个MAC 地址认证用户接入。即使配置的MAC 地址认证用户的最大数目限制大于1,也将不会生效。
z
z
被配置为Guest VLAN的VLAN 不能使用undo vlan命令直接删除,必须先删除Guest VLAN配置,才能够删除。undo vlan命令请参见本手册“VLAN ”部分的介绍。
一个端口只能配置一个Guest VLAN,对应的VLAN 必须已经存在,否则将会配置失败。如果需要修改当前端口的Guest VLAN,需要先删除之前的Guest VLAN配置,再重新进行配置。 在配置了端口的Guest VLAN后,将不能在此端口开启802.1x 认证功能。 MAC 地址认证的Guest VLAN功能在端口安全开启的情况下不生效。
z
z z
1-4
,1.4.3 配置端口下MAC 地址认证用户的最大数量
用户可以通过配置端口下MAC 地址认证用户的最大数量,来控制通过此端口接入的用户数目。当接入用户到达配置的限制数量时,交换机将不会再对之后接入的用户进行认证触发动作,这些用户也就无法正常访问网络。
表1-4 配置端口下MAC 地址认证用户的最大数目限制
操作
进入系统视图 进入以太网端口视图
system-view
interface interface-type interface-number
命令
- - 必选
配置端口下MAC 地址认证用户的最大数目限制
mac-authentication
max-auth-num user-number
缺省情况下,每个端口允许接入的MAC 地址认证用户的最大数目为256个
说明
当端口下同时配置了MAC 地址认证用户数量限制和端口安全的用户数量限制时,允许接入的MAC 地址认证用户数将为这两种配置中的较小值。端口安全功能的介绍请参见本手册“端口安全”部分。
z
z
当端口当前有用户在线时,不能配置此端口的MAC 地址认证用户的最大数量。
1.4.4 配置端口的静默MAC 功能
用户可以手动配置端口下是否开启静默MAC 功能。开启静默MAC 功能后,如果当前端口连接的客户端MAC 地址认证失败后,此MAC 就被设置为静默MAC 。关闭当前端口的静默MAC 功能,则不会被设置为静默MAC 。
表1-5 配置端口的静默MAC 功能
操作
进入系统视图 进入以太网端口视图
system-view
interface interface-type
interface-number
mac-authenticiaon
intrusion-mode block-mac enable
命令
- - 必选
缺省情况下,端口下开启静默MAC 功能
说明
配置端口的静默MAC 功能
1.5 MAC地址认证配置显示和维护
完成上述配置后,在任意视图下执行display 命令,可以显示配置MAC 地址认证后的运行情况。通过查看显示信息,用户可以验证配置的效果。在用户视图下执行reset 命令清除MAC 地址认证的统计信息。
1-5
,表1-6 MAC 地址认证显示和维护 操作
显示MAC 地址认证的全局或端口信
息
清除MAC 地址认证的全局或端口统
计信息 命令 display mac-authentication [ interface interface-list ] reset mac-authentication statistics [ interface
interface-type interface-number ] 说明 display 命令可以在任意视图下执行 reset 命令在用户视图下执行
1.6 MAC地址认证配置举例
1. 组网需求
如图1-1所示,某用户的工作站与以太网交换机的端口Ethernet1/0/2相连接。
z 交换机的管理者希望在端口Ethernet1/0/2上对用户接入进行MAC 地址认证,以控制用户对
Internet 的访问。
z 所有用户都属于域:aabbcc.net ,认证时使用本地认证的方式。用户名和密码都为PC 的MAC
地址:00-0d-88-f6-44-c1。
2. 组网图
图1-1 开启MAC 地址认证对接入用户进行本地认证
3. 配置步骤
# 开启指定端口Ethernet 1/0/2的MAC 地址认证特性。
[H3C] mac-authentication interface Ethernet 1/0/2
# 配置采用MAC 地址用户名进行认证,并指定使用带有分隔符的小写形式的MAC 地址作为验证的用户名和密码。
[H3C] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen lowercase # 添加本地接入用户。
z 配置本地用户的用户名和密码。
[H3C] local-user 00-0d-88-f6-44-c1
[H3C-luser-00-0d-88-f6-44-c1] password simple 00-0d-88-f6-44-c1
z 设置本地用户服务类型为lan-access 。
[H3C-luser-00-0d-88-f6-44-c1] service-type lan-access
[H3C-luser-00-0d-88-f6-44-c1] quit
# 创建MAC 地址认证用户所使用的域aabbcc.net 。
[H3C] domain aabbcc.net
New Domain added.
1-6
,# 配置域aabbcc.net 采用本地认证方式。
[H3C-isp-aabbcc.net] scheme local
[H3C-isp-aabbcc.net] quit
# 配置MAC 地址认证用户所使用的域名为aabbcc.net 。
[H3C] mac-authentication domain aabbcc.net
# 开启全局MAC 地址认证特性(接入控制相关特性一般将全局配置开启放在最后,否则相关参数未配置完成,会造成合法用户无法访问网络)。
[H3C] mac-authentication
此时,MAC 地址认证生效,只允许MAC 地址为00-0d-88-f6-44-c1的用户通过端口Ethernet1/0/2访问网络。
1-7