04-MAC地址认证命令
本章节下载: 04-MAC地址认证命令 (142.05 KB)
1.1.1 display mac-authentication
1.1.2 display mac-authentication connection
1.1.3 mac-authentication domain
1.1.4 mac-authentication timer
1.1.5 mac-authentication user-name-format
1.1.6 reset mac-authentication statistics
仅WX2500H-WiNet系列不支持slot参数。
display mac-authentication命令用来显示MAC地址认证的相关信息,主要包括配置信息、认证报文统计信息以及认证用户信息。
【命令】
display mac-authentication [ ap ap-name [ radio radio-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示指定AP的所有MAC地址认证的详细信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。
radio radio-id:显示指定Radio的所有的MAC地址认证的详细信息。radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则显示指定AP的所有Radio的MAC地址认证的详细信息。
【使用指导】
如果不指定任何参数,则显示所有在线MAC地址认证的详细信息。
【举例】
# 显示MAC地址认证信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
User name format : MAC address in lowercase(xxxxxxxxxxxx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Authentication domain : Not configured, use default domain
Online MAC-auth wired users : 0
Online MAC-auth wireless users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
AP name: AP1 Radio ID: 1 SSID: wlan_maca_ssid
BSSID : 487a-daa0-74f0
MAC authentication : Enabled
Authentication domain : Not configured
Max online users : 4096
Authentication attempts : successful 1, failed 0
Current online users : 1
MAC address Auth state
2477-032b-db8c Authenticated
表1-1 display mac-authentication命令显示信息描述表
字段 |
描述 |
Global MAC authentication parameters |
全局MAC地址认证参数 |
MAC authentication |
MAC地址认证的开启状态 |
User name format |
MAC地址认证使用的用户名格式,有以下两种情况: · 若采用MAC地址形式,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xxxxxxxxxxxx)”,它表示用户名格式为不带连字符的MAC地址,其中字母为小写 · 若采用固定用户名格式,则显示“Fixed account” |
Username: |
用户名 · 采用MAC地址格式时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码 · 采用固定用户名格式时,该值为配置的用户名(缺省为mac) |
Password: |
用户名的密码 · 采用MAC地址格式时,该值显示为“Not configured” · 采用固定用户名格式时,配置的值将显示为****** |
Offline detect period |
下线检测定时器的值 |
Quiet period |
静默定时器的值 |
Server timeout |
服务器连接超时定时器的值 |
Authentication domain |
系统视图下指定的MAC地址认证用户使用的认证域 |
Online MAC-auth wireless users |
在线无线用户数 |
Silent MAC users |
静默用户信息 |
MAC address |
静默用户的MAC地址 |
VLAN ID |
静默用户所在的VLAN |
From port |
静默用户接入的端口名称 |
Port index |
静默用户接入的端口索引号 |
AP name |
AP名称 |
Radio ID |
Radio编号 |
SSID |
服务集标识符 |
BSSID |
基本服务集标识符 |
display mac-authentication connection命令用来显示当前MAC地址认证在线用户的详细信息。
【命令】
display mac-authentication connection [ ap ap-name [ radio radio-id ] | slot slot-number | user-mac mac-addr | user-name user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示接入指定AP的所有MAC地址认证用户的信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。
radio radio-id:显示接入指定Radio的所有的MAC地址认证用户的信息,radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则显示AP的所有Radio的MAC地址认证用户的信息。
slot slot-number:显示指定成员设备上的MAC地址认证用户信息,slot-number表示设备在IRF中的成员编号。
user-mac mac-addr:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。
user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。
【使用指导】
若不指定任何参数,则显示所有成员设备上的MAC地址认证在线用户信息。
【举例】
# 显示所有MAC地址认证在线用户信息。
<Sysname> display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address : 0015-e9a6-7cfe
AP name : ap1
Radio ID : 1
SSID : wlan_dot1x_ssid
BSSID : 0015-e9a6-7cf0
User name : ias
Authentication domain : 1
Initial VLAN : 1
Authorization VLAN : 100
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization URL : N/A
Termination action : Radius-request
Session timeout period : 2 sec
Online from : 2016/06/02 13:14:15
Online duration : 0h 2m 15s
表1-2 display mac-authentication connection 命令显示信息描述表
字段 |
描述 |
|
Total connections |
在线MAC地址认证用户个数 |
|
Slot ID |
当前设备的成员编号 |
|
User MAC address |
用户的MAC地址 |
|
Access interface |
用户的接入接口名称 |
|
AP name |
AP的名称 |
|
Radio ID |
Radio的ID |
|
SSID |
服务集标识符 |
|
BSSID |
用户所属的基本服务集标识符 |
|
Username |
用户名 |
|
Authentication domain |
认证时所用的ISP域的名称 |
|
Initial VLAN |
初始的VLAN |
|
Authorization VLAN |
授权的VLAN |
|
Authorization ACL number |
授权ACL编号 |
|
Authorization user profile |
授权用户的User profile名称 |
|
Authorization URL |
授权用户的重定向URL |
|
Terminate action |
· 服务器下发的终止动作类型: · Default:会话超时时间到达后,强制用户下线 · Radius-Request:会话超时时间到达后,请求MAC地址认证用户进行重认证 用户采用本地认证时,该字段显示为N/A |
|
Session timeout period |
服务器下发的会话超时时间,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Terminate action字段的取值决定 用户采用本地认证时,该字段显示为N/A |
|
Online from |
MAC认证用户的上线时间 |
|
Online duration |
MAC认证用户的在线时长 |
|
mac-authentication domain命令用来指定MAC地址认证用户使用的认证域。
undo mac-authentication domain命令用来恢复缺省情况。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情况】
未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domain default enable。
【视图】
系统视图/无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序选择认证域:无线服务模板下指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。
【举例】
# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。
<Sysname> system-view
[Sysname] mac-authentication domain domain1
· display mac-authentication
· domain default enable(安全命令参考/AAA)
mac-authentication timer命令用来配置MAC地址认证的定时器参数。
undo mac-authentication timer命令用来恢复缺省情况。
【命令】
mac-authentication timer server-timeout server-timeout-value
undo mac-authentication timer server-timeout
【缺省情况】
下线检测定时器的值为300秒,静默定时器的值为60秒,服务器超时定时器的值为100秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
server-timeout-value:表示服务器超时定时器的值,取值范围为100~300,单位为秒。
【使用指导】
服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
【举例】
# 设置服务器超时定时器时长为150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
【相关命令】
· display mac-authentication
mac-authentication user-name-format命令用来配置MAC地址认证的用户名格式。
undo mac-authentication user-name-format命令用来恢复缺省情况。
【命令】
mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } string ] | mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ] }
undo mac-authentication user-name-format
【缺省情况】
使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符“-”。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
fixed:表示采用固定用户名格式。
account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。
password:指定固定用户名的密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
mac-address:表示使用用户的MAC地址作为用户名和密码。
with-hyphen [ six-section | three-section ]:带连字符“-”的MAC地址格式,six-section表示六段式MAC地址格式,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX;three-section表示三段式MAC地址格式,例如xxxx-xxxx-xxxx或XXXX-XXXX-XXXX。如果不指定任何参数,缺省采用六段式MAC地址格式。
without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx。
lowercase:MAC地址中的字母为小写。
uppercase:MAC地址中的字母为大写。
【使用指导】
若指定用户的MAC地址为用户名,则用户密码也为用户的MAC地址。这种情况下,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户帐户。
若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
【举例】
# 配置MAC地址认证的用户名为abc,密码是明文xyz。
<Sysname> system-view
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用户的MAC地址为用户名和密码,使用带连字符“-”的MAC地址格式,其中字母大写。
<Sysname> system-view
[Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase
【相关命令】
· display mac-authentication
reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。
【命令】
reset mac-authentication statistics [ ap ap-name [ radio radio-id ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ap ap-name:清除指定AP的所有MAC地址认证统计信息,ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。
radio radio-id:清除指定AP的所有的MAC地址认证统计信息,radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则清除指定AP的所有射频天线下的MAC地址认证统计信息。
【使用指导】
如果不指定任何参数,则清除所有MAC地址认证统计信息。
【举例】
# 清除所有MAC认证统计信息。
<Sysname> reset mac-authentication statistics
【相关命令】
· display mac-authentication
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!