• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

安全命令参考

目录

04-MAC地址认证命令

本章节下载 04-MAC地址认证命令  (136.48 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/WA1208E/Command/Command_Manual/H3C_WA_CR-6W101/09/201205/745645_30005_0.htm

04-MAC地址认证命令


l          产品对相关命令参数的支持情况、缺省值及取值范围的差异内容请参见“特性差异化列表”部分。

l          设备支持的接口类型和编号与设备的实际情况相关,本手册涉及的配置举例统一使用WLAN-BSS口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。

 

1 MAC地址认证配置命令

1.1  MAC地址认证配置命令

1.1.1  display mac-authentication

【命令】

display mac-authentication [ interface interface-list ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

display mac-authentication命令用来显示全局或指定端口的MAC地址认证信息。

【举例】

# 显示全局的MAC地址认证信息。

<Sysname> display mac-authentication

MAC address authentication is enabled.

User name format is MAC address, in lowercase like xxxxxxxxxxxx

 Fixed username:mac

 Fixed password:not configured

          Offline detect period is 300s

          Quiet period is 60s.

          Server response timeout value is 100s

          The max allowed user number is 128 per slot

          Current user number amounts to 0

          Current domain: not configured, use default domain

 

Silent Mac User info:

         MAC ADDR               From Port           Port Index

 

GigabitEthernet1/0/1 is link-up

  MAC address authentication is disabled

  Authenticate success: 0, failed: 0

 Max number of on-line users is 0

  Current online user number is 0

          MAC ADDR         Authenticate state           AuthIndex

GigabitEthernet1/0/2 is link-down

  MAC address authentication is disabled

  Authenticate success: 0, failed: 0

 Max number of on-line users is 0

  Current online user number is 0

          MAC Addr         Authenticate State           Auth Index

WLAN-BSS32 is link-down

  MAC address authentication is disabled

  Authenticate success: 0, failed: 0

 Max number of on-line users is 0

  Current online user number is 0

          MAC Addr         Authenticate State           Auth Index

……(略)

表1-1 display mac-authentication命令显示信息描述表

域名

描述

MAC address authentication is enabled

MAC地址认证特性已经开启

User name format is MAC address in lowercase, like xxxxxxxxxxxx

本字段用于显示MAC地址认证使用的用户名格式,有以下两种情况:

l      若采用MAC地址形式,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“User name format is MAC address in lowercase, like xxxxxxxxxxxx”,它表示用户名格式为不带连字符的MAC地址,其中字母为小写。

l      若采用固定用户名格式,则显示“User name format is fixed account”。

Fixed username

固定用户名

l      采用MAC地址格式时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码。

l      采用固定用户名格式时,该值为配置的用户名(缺省为mac)。

Fixed password

固定用户名的密码

l      采用MAC地址格式时,该值显示为“not configured”。

l      采用固定用户名格式时,该值为配置的用户密码。

Offline detect period

下线检测定时器的时间间隔

Quiet period

静默定时器的时间间隔

Server response timeout value

服务器连接超时定时器的值

The max allowed user number

设备每板最大支持的MAC地址认证用户数

Current user number amounts

当前用户数

Current domain: not configured, use default domain

当前认证域没有配置,使用缺省域

Silent Mac User info

静默用户信息

GigabitEthernet1/0/1 is link-up

端口GigabitEthernet1/0/1链路处于UP状态

MAC address authentication is enabled

端口GigabitEthernet1/0/1MAC地址认证特性已开启

Authenticate success: 0, failed: 0

端口上MAC地址认证的统计信息,包括认证通过和认证失败的数目

Max number of on-line users

端口最多可容纳的接入用户数

如果端口没有开启MAC地址认证,则显示0

Current online user number

端口当前的接入用户数

MAC Addr

MAC地址

Authenticate state

端口接入用户的状态,共有四种:

l      CONNECTING:正在连接

l      SUCCESS:认证通过

l      FAILURE:认证失败

l      LOGOFF:已下线

AuthIndex

认证体索引号

 

1.1.2  mac-authentication

【命令】

系统视图下:

mac-authentication [ interface interface-list ]

undo mac-authentication [ interface interface-list ]

在接口视图下:

mac-authentication

undo mac-authentication

【视图】

系统视图/以太网接口视图/WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。

【描述】

mac-authentication命令用来开启指定端口上或全局的MAC地址认证特性。undo mac-authentication命令用来关闭指定端口上或全局的MAC地址认证特性。

缺省情况下,所有端口及全局的MAC地址认证特性都处于关闭状态。

需要注意的是:

l              在系统视图下使用该命令时,如果不输入可选项interface interface-list,则表示开启全局的MAC地址认证特性;如果指定了interface interface-list,则表示开启指定端口的MAC地址认证特性。在以太网接口视图下使用该命令时,无需输入interface interface-list,即可开启当前端口的MAC地址认证特性。

l              MAC地址认证特性启动前后,都可以使用命令来配置全局或端口的MAC地址认证特性参数。如果在开启全局MAC地址认证特性前,没有配置全局或端口的MAC地址认证特性参数,则这些参数在运行时均为缺省值。

l              各端口的MAC地址认证状态在全局MAC地址认证没有开启之前可以配置,但不起作用;在全局MAC地址认证启动后,各端口的MAC地址认证配置会立即生效。

【举例】

# 开启全局的MAC地址认证特性。

<Sysname> system-view

[Sysname] mac-authentication

Mac-auth is enabled globally.

# 开启接口WLAN-BSS0上的MAC地址认证特性。

<Sysname> system-view

[Sysname] mac-authentication interface WLAN-BSS0

Mac-auth is enabled on port WLAN-BSS0.

或者

<Sysname> system-view

[Sysname] interface WLAN-BSS0

[Sysname- WLAN-BSS0] mac-authentication

Mac-auth is enabled on port WLAN-BSS0.

1.1.3  mac-authentication domain

【命令】

mac-authentication domain domain-name

undo mac-authentication domain

【视图】

系统视图/接口视图

【缺省级别】

2:系统级

【参数】

isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,且不能包括“/”、“:”、“*”、“?”、“<”、“>”以及“@”等特殊字符。

【描述】

mac-authentication domain命令用来指定MAC地址认证用户所使用的认证域。undo mac-authentication domain命令用来恢复缺省情况。

缺省情况下,未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域。缺省认证域的介绍请参见“AAA命令”中的命令domain default enable

需要注意的是:

l              系统视图下指定的认证域对所有使能了MAC地址认证的端口生效。

l              接口视图下指定的认证域仅对本端口有效。不同的端口可以指定不同的认证域。

l              端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。

相关配置可参考命令display mac-authentication

【举例】

# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。

<Sysname> system-view

[Sysname] mac-authentication domain domain1

1.1.4  mac-authentication max-user

【命令】

mac-authentication max-user user-number

undo mac-authentication max-user

【视图】

以太网接口视图/WLAN-BSS接口视图

【缺省级别】

2:系统级

【参数】

user-number:端口同时可容纳接入用户数量的最大值,取值范围为1~128。

【描述】

mac-authentication max-user命令用来配置端口同时可容纳接入的MAC地址认证用户数量的最大值。undo mac-authentication max-user命令用来恢复该值的缺省值。

缺省情况下,端口同时可容纳接入用户数量的最大值为128。

【举例】

# 设置端口WLAN-BSS0最多同时可容纳32个MAC地址认证用户接入。

<Sysname> system-view

[Sysname] interface WLAN-BSS0

[Sysname-WLAN-BSS0] mac-authentication max-user 32

1.1.5  mac-authentication timer

【命令】

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

undo mac-authentication timer { offline-detect | quiet | server-timeout }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围60~65535,单位为秒。

quiet quiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围1~3600,单位为秒,在启动端口安全的情况下静默定时器不起作用。

server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。

【描述】

mac-authentication timer命令用来配置MAC地址认证的各项定时器参数。undo mac-authentication timer命令用来将指定的定时器恢复为缺省情况。

缺省情况下,下线定时器的值为300秒,静默定时器的值为60秒,服务器的超时定时器的值为100秒。

MAC地址认证过程受以下定时器的控制:

l              下线检测定时器(offline-detect):用来设置设备用户空闲超时的时间间隔。如果在两个时间间隔之内,没有来自用户的流量通过,设备将切断用户的连接,同时通知RADIUS服务器,停止对该用户的计费。

l              静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不处理该用户的认证功能,静默之后设备再重新对用户发起认证。

l              服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果服务器超时定时器超时,设备将在相应的端口上禁止此用户访问网络。

相关配置可参考命令display mac-authentication

【举例】

# 设置服务器超时定时器时长为150秒。

<Sysname> system-view

[Sysname] mac-authentication timer server-timeout 150

 

1.1.6  mac-authentication user-name-format

【命令】

mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } password ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] } }

undo mac-authentication user-name-format

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

fixed:表示采用固定用户名格式。

account name:指定用户名。其中name为用户名,为1~55个字符的字符串,不区分大小写,缺省为mac。

password { cipher | simple } password:指定固定用户名的密码。其中,cipher表示密文显示密码,simple表示明文显示密码,password表示用户密码。无缺省值。

l              密文显示的情况下,可输入1~63个字符的明文字符串密码,也可输入长度为88个字符的密文字符串密码;

l              明文显示的情况下,只能输入1~63个字符的明文字符串。

mac-address:表示使用用户的源MAC地址为用户名。

with-hyphen:带连字符“-”的MAC地址格式,例如xx-xx-xx-xx-xx-xx。

without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx。

lowercase:MAC地址中的字母为小写。

uppercase:MAC地址中的字母为大写。

【描述】

mac-authentication user-name-format命令用来配置MAC地址认证的用户名和密码。undo mac-authentication user-name-format命令用来恢复缺省情况。

缺省情况下,使用用户的源MAC地址做用户名和密码,其中字母为小写,并且MAC地址不带连字符。

需要注意的是,若指定用户的源MAC地址为用户名,则用户密码也为用户的源MAC地址。

相关配置可参考命令display mac-authentication

【举例】

# 配置MAC认证的用户名为abc,密码是明文显示的xyz。

<Sysname> system-view

[Sysname] mac-authentication user-name-format fixed account abc password simple xyz

# 配置用户的源MAC地址为用户名,使用带连字符“-”的MAC地址格式,其中字母大写。

<Sysname> system-view

[Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase

1.1.7  reset mac-authentication statistics

【命令】

reset mac-authentication statistics [ interface interface-list ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。

【描述】

reset mac-authentication statistics命令用来清除MAC认证的统计信息。

需要注意的是:

l              如果不指定端口类型和端口号,则清除设备上的全局及所有端口的MAC认证统计信息;

l              如果指定端口类型和端口号,则清除指定端口上的MAC认证统计信息。

相关配置可参考命令display mac-authentication

【举例】

# 清除端口WLAN-BSS0上的MAC认证统计信息。

<Sysname> reset mac-authentication statistics interface WLAN-BSS0

 


不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们