• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全命令

目录

04-MAC地址认证命令

本章节下载 04-MAC地址认证命令  (142.05 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WiNet_WX/WX2500H-WiNet/Command/Command_Manual/H3C_WiNet_CR(R5223)-5W100/10/201807/1094350_30005_0.htm

04-MAC地址认证命令


1 MAC地址认证

说明

仅WX2500H-WiNet系列不支持slot参数。

 

1.1  MAC地址认证配置命令

1.1.1  display mac-authentication

display mac-authentication命令用来显示MAC地址认证的相关信息,主要包括配置信息、认证报文统计信息以及认证用户信息。

【命令】

display mac-authentication [ ap ap-name [ radio radio-id ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ap ap-name:显示指定AP的所有MAC地址认证的详细信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。

radio radio-id:显示指定Radio的所有的MAC地址认证的详细信息。radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则显示指定AP的所有Radio的MAC地址认证的详细信息。

【使用指导】

如果不指定任何参数,则显示所有在线MAC地址认证的详细信息。

【举例】

# 显示MAC地址认证信息。

<Sysname> display mac-authentication

Global MAC authentication parameters:

   MAC authentication     : Enabled

   User name format       : MAC address in lowercase(xxxxxxxxxxxx)

           Username       : mac

           Password       : Not configured

   Offline detect period  : 300 s

   Quiet period           : 60 s

   Server timeout         : 100 s

   Authentication domain  : Not configured, use default domain

 Online MAC-auth wired users : 0

 Online MAC-auth wireless users : 1

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

 

 

 AP name: AP1  Radio ID: 1  SSID: wlan_maca_ssid

   BSSID                      : 487a-daa0-74f0

 MAC authentication           : Enabled

   Authentication domain      : Not configured

   Max online users           : 4096

   Authentication attempts    : successful 1, failed 0

   Current online users       : 1

          MAC address       Auth state

          2477-032b-db8c    Authenticated

表1-1 display mac-authentication命令显示信息描述表

字段

描述

Global MAC authentication parameters

全局MAC地址认证参数

MAC authentication

MAC地址认证的开启状态

User name format

MAC地址认证使用的用户名格式,有以下两种情况:

·     若采用MAC地址形式,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xxxxxxxxxxxx)”,它表示用户名格式为不带连字符的MAC地址,其中字母为小写

·     若采用固定用户名格式,则显示“Fixed account”

Username:

用户名

·     采用MAC地址格式时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码

·     采用固定用户名格式时,该值为配置的用户名(缺省为mac)

Password:

用户名的密码

·     采用MAC地址格式时,该值显示为“Not configured”

·     采用固定用户名格式时,配置的值将显示为******

Offline detect period

下线检测定时器的值

Quiet period

静默定时器的值

Server timeout

服务器连接超时定时器的值

Authentication domain

系统视图下指定的MAC地址认证用户使用的认证域

Online MAC-auth wireless users

在线无线用户数

Silent MAC users

静默用户信息

MAC address

静默用户的MAC地址

VLAN ID

静默用户所在的VLAN

From port

静默用户接入的端口名称

Port index

静默用户接入的端口索引号

AP name

AP名称

Radio ID

Radio编号

SSID

服务集标识符

BSSID

基本服务集标识符

 

1.1.2  display mac-authentication connection

display mac-authentication connection命令用来显示当前MAC地址认证在线用户的详细信息。

【命令】

display mac-authentication connection [ ap ap-name [ radio radio-id ] | slot slot-number | user-mac mac-addr | user-name user-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ap ap-name:显示接入指定AP的所有MAC地址认证用户的信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。

radio radio-id:显示接入指定Radio的所有的MAC地址认证用户的信息,radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则显示AP的所有Radio的MAC地址认证用户的信息。

slot slot-number:显示指定成员设备上的MAC地址认证用户信息,slot-number表示设备在IRF中的成员编号。

user-mac mac-addr:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。

user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。

【使用指导】

若不指定任何参数,则显示所有成员设备上的MAC地址认证在线用户信息。

【举例】

# 显示所有MAC地址认证在线用户信息。

<Sysname> display mac-authentication connection

Total connections: 1

 

Slot ID: 1

User MAC address              : 0015-e9a6-7cfe

AP name                       : ap1

Radio ID                      : 1

SSID                          : wlan_dot1x_ssid

BSSID                         : 0015-e9a6-7cf0

User name                     : ias

Authentication domain         : 1

Initial VLAN                  : 1

Authorization VLAN            : 100

Authorization ACL number      : 3001

Authorization user profile    : N/A

Authorization URL             : N/A

Termination action            : Radius-request

Session timeout period        : 2 sec

Online from                   : 2016/06/02 13:14:15

Online duration               : 0h 2m 15s

表1-2 display mac-authentication connection 命令显示信息描述表

字段

描述

 

Total connections

在线MAC地址认证用户个数

 

Slot ID

当前设备的成员编号

 

User MAC address

用户的MAC地址

 

Access interface

用户的接入接口名称

 

AP name

AP的名称

 

Radio ID

Radio的ID

 

SSID

服务集标识符

 

BSSID

用户所属的基本服务集标识符

 

Username

用户名

 

Authentication domain

认证时所用的ISP域的名称

 

Initial VLAN

初始的VLAN

 

Authorization VLAN

授权的VLAN

 

Authorization ACL number

授权ACL编号

Authorization user profile

授权用户的User profile名称

Authorization URL

授权用户的重定向URL

Terminate action

·     服务器下发的终止动作类型:

·     Default:会话超时时间到达后,强制用户下线

·     Radius-Request:会话超时时间到达后,请求MAC地址认证用户进行重认证

用户采用本地认证时,该字段显示为N/A

 

Session timeout period

服务器下发的会话超时时间,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Terminate action字段的取值决定

用户采用本地认证时,该字段显示为N/A

 

Online from

MAC认证用户的上线时间

 

Online duration

MAC认证用户的在线时长

 

 

1.1.3  mac-authentication domain

mac-authentication domain命令用来指定MAC地址认证用户使用的认证域。

undo mac-authentication domain命令用来恢复缺省情况。

【命令】

mac-authentication domain domain-name

undo mac-authentication domain

【缺省情况】

未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domain default enable

【视图】

系统视图/无线服务模板视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序选择认证域:无线服务模板下指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。

【举例】

# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。

<Sysname> system-view

[Sysname] mac-authentication domain domain1

【相关命令】

·     display mac-authentication

·     domain default enable(安全命令参考/AAA)

1.1.4  mac-authentication timer

mac-authentication timer命令用来配置MAC地址认证的定时器参数。

undo mac-authentication timer命令用来恢复缺省情况。

【命令】

mac-authentication timer server-timeout server-timeout-value

undo mac-authentication timer server-timeout

【缺省情况】

下线检测定时器的值为300秒,静默定时器的值为60秒,服务器超时定时器的值为100秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-timeout-value:表示服务器超时定时器的值,取值范围为100~300,单位为秒。

【使用指导】

服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。

【举例】

# 设置服务器超时定时器时长为150秒。

<Sysname> system-view

[Sysname] mac-authentication timer server-timeout 150

【相关命令】

·     display mac-authentication

1.1.5  mac-authentication user-name-format

mac-authentication user-name-format命令用来配置MAC地址认证的用户名格式。

undo mac-authentication user-name-format命令用来恢复缺省情况。

【命令】

mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } string ] | mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ] }

undo mac-authentication user-name-format

【缺省情况】

使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符“-”。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

fixed:表示采用固定用户名格式。

account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。

password:指定固定用户名的密码。

cipher:以密文方式设置密码。

simple:以明文方式设置密码,该密码将以密文形式存储。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。

mac-address:表示使用用户的MAC地址作为用户名和密码。

with-hyphen [ six-section | three-section ]:带连字符“-”的MAC地址格式,six-section表示六段式MAC地址格式,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX;three-section表示三段式MAC地址格式,例如xxxx-xxxx-xxxx或XXXX-XXXX-XXXX。如果不指定任何参数,缺省采用六段式MAC地址格式。

without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx。

lowercase:MAC地址中的字母为小写。

uppercase:MAC地址中的字母为大写。

【使用指导】

若指定用户的MAC地址为用户名,则用户密码也为用户的MAC地址。这种情况下,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户帐户。

若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。

【举例】

# 配置MAC地址认证的用户名为abc,密码是明文xyz。

<Sysname> system-view

[Sysname] mac-authentication user-name-format fixed account abc password simple xyz

# 配置用户的MAC地址为用户名和密码,使用带连字符“-”的MAC地址格式,其中字母大写。

<Sysname> system-view

[Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase

【相关命令】

·     display mac-authentication

1.1.6  reset mac-authentication statistics

reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。

【命令】

reset mac-authentication statistics [ ap ap-name [ radio radio-id ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

ap ap-name:清除指定AP的所有MAC地址认证统计信息,ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。

radio radio-id:清除指定AP的所有的MAC地址认证统计信息,radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则清除指定AP的所有射频天线下的MAC地址认证统计信息。

【使用指导】

如果不指定任何参数,则清除所有MAC地址认证统计信息。

【举例】

# 清除所有MAC认证统计信息。

<Sysname> reset mac-authentication statistics

【相关命令】

·     display mac-authentication

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们