03-MAC地址认证典型配置指导
本章节下载: 03-MAC地址认证典型配置指导 (203.01 KB)
目 录
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。
目前设备支持两种方式的MAC地址认证:
l 通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器认证。
l 本地认证。
认证方式确定后,可根据需求选择MAC认证用户名的类型,包括以下两种方式:
l MAC地址用户名:使用用户的MAC地址作为认证时的用户名和密码;
l 固定用户名:不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
如图1-1所示,用户Host通过Switch的端口GigabitEthernet1/0/1连接到网络,管理员希望在无需安装客户端软件,无需架设服务器的情况下,利用Switch完成用户的认证。
图1-1 启动MAC地址认证对接入用户进行本地认证
根据应用需求,在Switch上配置MAC地址认证可以实现“无需安装客户端软件,无需架设服务器”的用户接入认证,控制其对Internet的访问:
l 端口GigabitEthernet10/1上配置MAC地址认证。
l 配置用户Host属于域example.com,认证采用本地认证的MAC地址用户名方式,即,使用用户的源MAC地址作为用户名和密码进行认证。
l 配置交换机每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
表1-1 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1505 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 在交换机上配置MAC地址认证
# 添加本地接入用户。
<Switch> system-view
[Switch] local-user 000d-88f7-0001
[Switch-luser-000d-88f7-0001] password simple 000d-88f7-0001
[Switch-luser-000d-88f7-0001] service-type lan-access
[Switch-luser-000d-88f7-0001] quit
# 配置ISP域,使用本地认证方式。
[Switch] domain example.com
[Switch-isp-example.com] authentication lan-access local
[Switch-isp-example.com] quit
# 配置MAC地址认证用户所使用的ISP域。
[Switch] mac-authentication domain example.com
# 配置MAC地址认证的定时器。
[Switch] mac-authentication timer offline-detect 180
[Switch] mac-authentication timer quiet 180
# 配置MAC地址认证使用用户的源MAC地址做用户名和密码。
[Switch] mac-authentication user-name-format mac-address with-hyphen
# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。
[Switch] mac-authentication interface GigabitEthernet 1/0/1
# 开启全局MAC地址认证特性。
[Switch] mac-authentication
(2) 验证配置结果
# 显示全局MAC地址配置信息。
<Switch> display mac-authentication
MAC address authentication is enabled.
User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx
Fixed username:mac
Fixed password:not configured
Offline detect period is 180s
Quiet period is 180s
Server response timeout value is 100s
The max allowed user number is 1024 per slot
Current user number amounts to 1
Current domain is example.com
Silent MAC User info:
MAC Addr From Port Port Index
Gigabitethernet1/0/1 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Current online user number is 1
MAC Addr Authenticate state Auth Index
000d-88f7-0001 MAC_AUTHENTICATOR_SUCCESS 0
<略>
<Switch> display connection
Slot: 1
Index=0 ,Username=00-0d-88-f7-00-01@example.com
IP=N/A
MAC=000d-88f7-0001
Total 1 connection(s) matched.
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
mac-authentication domain example.com
mac-authentication user-name-format mac-address with-hyphen
domain example.com
authentication lan-access local
access-limit disable
state active
idle-cut disable
self-service-url disable
#
local-user 000d-88f7-0001
password simple 000d-88f7-0001
service-type lan-access
#
interface GigabitEthernet1/0/1
mac-authentication
#
l 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
l 本地用户的服务类型应设置为lan-access。
如图1-2所示,用户Host通过Switch连接到网络,管理员希望在无需安装客户端软件的情况下,完成用户身份的认证;为了提高安全性,要求认证在远程服务器进行。
图1-2 启动MAC地址认证对接入用户进行RADIUS认证
根据应用需求,在Switch上配置MAC地址认证可以实现“无需安装客户端软件,无需架设服务器”的用户接入认证。为了提高安全性,这里采用MAC地址用户名,远程RADIUS服务器认证方式,控制用户对Internet的访问:
l 在端口GigabitEthernet1/0/1上配置MAC地址认证。
l 配置Host属于域domain2,采用RADIUS服务器,MAC地址用户名方式进行认证。
l 配置交换机每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
表1-2 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1505 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 在Switch上配置MAC地址认证
# 配置各接口的IP地址(略)。
# 配置RADIUS方案。
[Switch> system-view
[Switch] radius scheme 2000
[Switch-radius-2000] primary authentication 10.1.1.1 1812
[Switch-radius-2000] primary accounting 10.1.1.2 1813
[Switch-radius-2000] key authentication abc
[Switch-radius-2000] key accounting abc
[Switch-radius-2000] user-name-format without-domain
[Switch-radius-2000] quit
# 配置ISP域的AAA方案。
[Switch] domain domain2
[Switch-isp-domain2] authentication default radius-scheme 2000
[Switch-isp-domain2] authorization default radius-scheme 2000
[Switch-isp-domain2] accounting default radius-scheme 2000
[Switch-isp-domain2] quit
# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。
[Switch] mac-authentication interface gigabitethernet1/0/1
# 配置MAC地址认证用户所使用的ISP域。
[Switch] mac-authentication domain domain2
# 配置MAC地址认证的定时器。
[Switch] mac-authentication timer offline-detect 180
[Switch] mac-authentication timer quiet 180
# 配置MAC地址认证使用用户的源MAC地址做用户名和密码。
[Switch] mac-authentication user-name-format mac-address with-hyphen
# 开启全局MAC地址认证特性。
[Switch] mac-authentication
(2) 验证配置结果
# 显示全局MAC地址配置信息。
<Switch> display mac-authentication
MAC address authentication is enabled.
User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx
Fixed username:mac
Fixed password:not configured
Offline detect period is 180s
Quiet period is 180s.
Server response timeout value is 100s
The max allowed user number is 1024 per slot
Current user number amounts to 1
Current domain is domain2
Silent Mac User info:
MAC Addr From Port Port Index
Gigabitethernet1/0/1 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Current online user number is 1
MAC Addr Authenticate state Auth Index
00e0-fc12-3456 MAC_AUTHENTICATOR_SUCCESS 0
<略>
<Switch> display connection
Slot: 1
Index=0 ,Username=guest@2000
IP=N/A
MAC=00e0-fc12-3456
Total 1 connection(s) matched.
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
mac-authentication domain domain2
mac-authentication user-name-format mac-address with-hyphen
#
domain domain
authentication default radius-scheme 2000
authorization default radius-scheme 2000
accounting default radius-scheme 2000
access-limit disable
state active
idle-cut disable
self-service-url disable
#
radius scheme 2000
primary authentication 10.1.1.1
primary accounting 10.1.1.2
key authentication abc
key accounting abc
user-name-format without-domain
#
interface GigabitEthernet1/0/1
mac-authentication
#
l 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
l 需确保RADIUS服务器与设备路由可达,且RADIUS服务器上配置的用户名和密码必须与设备上配置的MAC地址认证的用户名和密码保持一致。
l RADIUS服务器上配置的认证、计费Key需要和交换机上配置保持一致,才能认证成功。
如图1-3所示,用户Host A通过Switch A,用户Host B通过Switch B连接到网络;管理员希望在无需安装客户端软件的基础上,完成用户身份的认证;为了提高安全性,要求认证在远程服务器进行。
用户Host A通过Switch A,用户Host B通过Switch B连接到网络,根据应用需求,在Switch A和Switch B上配置“固定用户名远程认证方式”的MAC地址认证可以实现用户需求。
l 配置Host A属于域domain1,在Switch A的端口GigabitEthernet1/0/1上对接入用户进行MAC地址远程RADIUS认证。认证时使用固定用户名aaa,密码为123456。
l 配置Host B属于域domain2,在Switch B的端口GigabitEthernet1/0/1上对接入用户进行MAC地址远程RADIUS认证。认证时使用固定用户名bbb,密码为654321。
表1-3 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1505 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 在Switch A上配置MAC地址认证
# 配置各接口的IP地址(略)。
# 配置RADIUS方案。
<SwitchA> system-view
[SwitchA] radius scheme 2000
[SwitchA-radius-2000] primary authentication 10.1.1.1 1812
[SwitchA-radius-2000] primary accounting 10.1.1.2 1813
[SwitchA-radius-2000] key authentication abc
[SwitchA-radius-2000] key accounting abc
[SwitchA-radius-2000] user-name-format without-domain
[SwitchA-radius-2000] quit
# 配置ISP域的AAA方案。
[SwitchA] domain domain1
[SwitchA-isp-domain1] authentication default radius-scheme 2000
[SwitchA-isp-domain1] authorization default radius-scheme 2000
[SwitchA-isp-domain1] accounting default radius-scheme 2000
[SwitchA-isp-domain1] quit
# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。
[SwitchA] mac-authentication interface gigabitethernet1/0/1
# 配置MAC地址认证用户所使用的ISP域。
[SwitchA] mac-authentication domain domain1
# 配置MAC地址认证的定时器。
[SwitchA] mac-authentication timer offline-detect 180
[SwitchA] mac-authentication timer quiet 180
# 配置MAC地址认证使用固定用户名、密码格式。
[SwitchA] mac-authentication user-name-format fixed account aaa password simple 123456
# 开启全局MAC地址认证特性。
[SwitchA] mac-authentication
(2) 在Switch B上配置MAC地址认证
# 配置各接口的IP地址(略)。
# 配置RADIUS方案。
<SwitchB> system-view
[SwitchB] radius scheme 2000
[SwitchB-radius-2000] primary authentication 10.1.1.1 1812
[SwitchB-radius-2000] primary accounting 10.1.1.2 1813
[SwitchB-radius-2000] key authentication abc
[SwitchB-radius-2000] key accounting abc
[SwitchB-radius-2000] user-name-format without-domain
[SwitchB-radius-2000] quit
# 配置ISP域的AAA方案。
[SwitchB] domain domain2
[SwitchB-isp-domain2] authentication default radius-scheme 2000
[SwitchB-isp-domain2] authorization default radius-scheme 2000
[SwitchB-isp-domain2] accounting default radius-scheme 2000
[SwitchB-isp-domain2] quit
# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。
[SwitchB] mac-authentication interface gigabitethernet1/0/1
# 配置MAC地址认证用户所使用的ISP域。
[SwitchB] mac-authentication domain domain2
# 配置MAC地址认证的定时器。
[SwitchB] mac-authentication timer offline-detect 180
[SwitchB] mac-authentication timer quiet 180
# 配置MAC地址认证使用固定用户名、密码格式。
[SwitchB] mac-authentication user-name-format fixed account bbb password simple 654321
# 开启全局MAC地址认证特性。
[SwitchB] mac-authentication
(3) 验证配置结果
# 显示Switch A的MAC地址配置信息。
<SwitchA> display mac-authentication
MAC address authentication is enabled.
User name format is fixed account
Fixed username:aaa
Fixed password:123456
Offline detect period is 180s
Quiet period is 180s.
Server response timeout value is 100s
The max allowed user number is 2048 per slot
Current user number amounts to 1
Current domain is domain1
Silent Mac User info:
MAC Addr From Port Port Index
Gigabitethernet1/0/1 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Current online user number is 1
MAC Addr Authenticate state Auth Index
00e0-fc12-3456 MAC_AUTHENTICATOR_SUCCESS 0
<略>
<SwitchA> display connection
Slot: 1
Index=0 ,Username=aaa@2000
IP=N/A
MAC=00e0-fc12-3456
Total 1 connection(s) matched.
# 显示Switch B的MAC地址配置信息。
<SwitchB> display mac-authentication
MAC address authentication is enabled.
User name format is fixed account
Fixed username:bbb
Fixed password:654321
Offline detect period is 180s
Quiet period is 180s.
Server response timeout value is 100s
The max allowed user number is 2048 per slot
Current user number amounts to 1
Current domain is domain2
Silent Mac User info:
MAC Addr From Port Port Index
Gigabitethernet1/0/1 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Current online user number is 1
MAC Addr Authenticate state Auth Index
00e0-fc12-6543 MAC_AUTHENTICATOR_SUCCESS 0
<略>
<SwitchB> display connection
Slot: 1
Index=0 ,Username=bbb@2000
IP=N/A
MAC=00e0-fc12-6543
Total 1 connection(s) matched.
l # Switch A上的完整配置:
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
mac-authentication domain domain1
mac-authentication user-name-format fixed account aaa password simple 123456
#
domain domain1
authentication default radius-scheme 2000
authorization default radius-scheme 2000
accounting default radius-scheme 2000
access-limit disable
state active
idle-cut disable
self-service-url disable
#
radius scheme 2000
primary authentication 10.1.1.1
primary accounting 10.1.1.2
key authentication abc
key accounting abc
user-name-format without-domain
#
interface GigabitEthernet1/0/1
mac-authentication
#
l # Switch B上的完整配置:
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
mac-authentication domain domain2
mac-authentication user-name-format fixed account bbb password simple 654321
#
domain domain2
authentication default radius-scheme 2000
authorization default radius-scheme 2000
accounting default radius-scheme 2000
access-limit disable
state active
idle-cut disable
self-service-url disable
#
radius scheme 2000
primary authentication 10.1.1.1
primary accounting 10.1.1.2
key authentication abc
key accounting abc
user-name-format without-domain
#
interface GigabitEthernet1/0/1
mac-authentication
#
l 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
l 需确保RADIUS服务器与设备路由可达,且RADIUS服务器上配置的用户名和密码必须与设备上配置的MAC地址认证的用户名和密码保持一致。
l RADIUS服务器上配置的认证、计费Key需要和交换机上配置保持一致,才能认证成功。
如图1-4所示,主机Host通过MAC地址认证接入网络,认证服务器为RADIUS服务器。Internet网络中有一台FTP服务器,IP地址为10.0.0.1。要求用户成功认证后可以访问Internet,但不能访问FTP服务器。
图1-4 下发ACL典型配置组网图
在交换机上配置MAC地址认证,并通过下发ACL实现用户对Internet的访问,以及对FTP服务器访问权限的限制。
l 在认证服务器上配置授权下发ACL 3000。
l 在Switch的GigabitEthernet1/0/1上开启MAC认证,并配置ACL 3000。
l 当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在GigabitEthernet1/0/1上生效,Host可以访问Internet,但不能访问FTP服务器。
表1-4 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1505 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 在Switch上配置MAC地址认证
# 配置各接口的IP地址(略)。
# 配置RADIUS方案。
[Switch> system-view
[Switch] radius scheme 2000
[Switch-radius-2000] primary authentication 10.1.1.1 1812
[Switch-radius-2000] primary accounting 10.1.1.2 1813
[Switch-radius-2000] key authentication abc
[Switch-radius-2000] key accounting abc
[Switch-radius-2000] user-name-format without-domain
[Switch-radius-2000] quit
# 配置ISP域的AAA方案。
[Switch] domain 2000
[Switch-isp-2000] authentication default radius-scheme 2000
[Switch-isp-2000] authorization default radius-scheme 2000
[Switch-isp-2000] accounting default radius-scheme 2000
[Switch-isp-2000] quit
# 配置ACL 3000,拒绝目的IP地址为10.0.0.1的报文通过。
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[Sysname-acl-adv-3000] quit
# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。
[Switch] mac-authentication interface GigabitEthernet 1/0/1
# 配置MAC地址认证用户所使用的ISP域。
[Switch] mac-authentication domain 2000
# 配置MAC地址认证的定时器。
[Switch] mac-authentication timer offline-detect 180
[Switch] mac-authentication timer quiet 180
# 配置MAC地址认证用户名格式。使用带连字符的MAC地址作为用户名与密码。
[Switch] mac-authentication user-name-format mac-address with-hyphen
# 开启全局MAC地址认证特性。
[Switch] mac-authentication
(2) 验证配置结果
# 用户Host认证成功后,通过ping FTP服务器,可以验证认证服务器下发的ACL 3000是否生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
C:\>
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
mac-authentication domain 2000
mac-authentication user-name-format mac-address with-hyphen
#
radius scheme 2000
primary authentication 10.1.1.1
primary accounting 10.1.1.2
key authentication abc
key accounting abc
user-name-format without-domain
#
domain 2000
authentication default radius-scheme 2000
authorization default radius-scheme 2000
accounting default radius-scheme 2000
#
acl number 3000
rule 0 deny ip destination 10.0.0.1 0
#
interface Ethernet2/0/1
mac-authentication
#
l 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
l RADIUS服务器上配置的认证、计费Key需要和交换机上配置保持一致,才能认证成功。
l 需确保RADIUS服务器与设备路由可达,且RADIUS服务器上配置的用户名和密码的类型必须与设备上配置的MAC地址认证的用户名和密码类型保持一致。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!