目  录

1 MAC地址认证典型配置指导

1.1 MAC地址认证简介

1.2 MAC地址本地认证典型配置指导

1.2.1 应用需求

1.2.2 配置思路

1.2.3 适用产品、版本

1.2.4 配置过程和解释

1.2.5 完整配置

1.2.6 配置注意事项

1.3 MAC地址用户名远程认证典型配置指导

1.3.1 应用需求

1.3.2 配置思路

1.3.3 适用产品、版本

1.3.4 配置过程和解释

1.3.5 完整配置

1.3.6 配置注意事项

1.4 固定用户名远程认证典型配置指导

1.4.1 应用需求

1.4.2 配置思路

1.4.3 适用产品、版本

1.4.4 配置过程和解释

1.4.5 完整配置

1.4.6 配置注意事项

1.5 下发ACL典型配置指导

1.5.1 应用需求

1.5.2 配置思路

1.5.3 适用产品、版本

1.5.4 配置过程和解释

1.5.5 完整配置

1.5.6 配置注意事项

 

1 MAC地址认证典型配置指导

1.1  MAC地址认证简介

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，也不需要用户手动输入用户名或者密码。

目前设备支持两种方式的MAC地址认证：

l              通过RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器认证。

l              本地认证。

认证方式确定后，可根据需求选择MAC认证用户名的类型，包括以下两种方式：

l              MAC地址用户名：使用用户的MAC地址作为认证时的用户名和密码；

l              固定用户名：不论用户的MAC地址为何值，所有用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证，因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证，服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求，适用于接入客户端比较可信的网络环境。

1.2  MAC地址本地认证典型配置指导

1.2.1  应用需求

如图1-1所示，用户Host通过Switch的端口GigabitEthernet1/0/1连接到网络，管理员希望在无需安装客户端软件，无需架设服务器的情况下，利用Switch完成用户的认证。

图1-1 启动MAC地址认证对接入用户进行本地认证

 

1.2.2  配置思路

根据应用需求，在Switch上配置MAC地址认证可以实现“无需安装客户端软件，无需架设服务器”的用户接入认证，控制其对Internet的访问：

l              端口GigabitEthernet10/1上配置MAC地址认证。

l              配置用户Host属于域example.com，认证采用本地认证的MAC地址用户名方式，即，使用用户的源MAC地址作为用户名和密码进行认证。

l              配置交换机每隔180秒就对用户是否下线进行检测；并且当用户认证失败时，需等待3分钟后才能对用户再次发起认证。

1.2.3  适用产品、版本

表1-1 配置适用的产品与软硬件版本关系

产品	软件版本
S7500E系列以太网交换机	Release 6100系列，Release 6300系列，Release 6600系列，Release 6610系列
S7600系列以太网交换机	Release 6600系列，Release 6610系列
S5800&S5820X系列以太网交换机	Release 1110，Release 1211
CE3000-32F以太网交换机	Release 1211
S5500-EI系列以太网交换机	Release 2202，Release 2208
S5500-EI-D系列以太网交换机	Release 2208
S5500-SI系列以太网交换机	Release 2202 ，Release 2208
S5120-EI系列以太网交换机	Release 2202，Release 2208
S5120-EI-D系列以太网交换机	Release 1505
S5120-SI系列以太网交换机	Release 1505
S3610&S5510系列以太网交换机	Release 5301，Release 5303，Release 5306，Release 5309
S3500-EA系列以太网交换机	Release 5303，Release 5309
S3100V2系列以太网交换机	Release 5103
E126B以太网交换机	Release 5103

 

1.2.4  配置过程和解释

(1)        在交换机上配置MAC地址认证

# 添加本地接入用户。

<Switch> system-view

[Switch] local-user 000d-88f7-0001

[Switch-luser-000d-88f7-0001] password simple 000d-88f7-0001

[Switch-luser-000d-88f7-0001] service-type lan-access

[Switch-luser-000d-88f7-0001] quit

# 配置ISP域，使用本地认证方式。

[Switch] domain example.com

[Switch-isp-example.com] authentication lan-access local

[Switch-isp-example.com] quit

# 配置MAC地址认证用户所使用的ISP域。

[Switch] mac-authentication domain example.com

# 配置MAC地址认证的定时器。

[Switch] mac-authentication timer offline-detect 180

[Switch] mac-authentication timer quiet 180

# 配置MAC地址认证使用用户的源MAC地址做用户名和密码。

[Switch] mac-authentication user-name-format mac-address with-hyphen

# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。

[Switch] mac-authentication interface GigabitEthernet 1/0/1

# 开启全局MAC地址认证特性。

[Switch] mac-authentication

(2)        验证配置结果

# 显示全局MAC地址配置信息。

<Switch> display mac-authentication

MAC address authentication is enabled.

 User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx

 Fixed username:mac

 Fixed password:not configured

          Offline detect period is 180s

          Quiet period is 180s

          Server response timeout value is 100s

          The max allowed user number is 1024 per slot

          Current user number amounts to 1

          Current domain is example.com

 

Silent MAC User info:

          MAC Addr         From Port                    Port Index

                                          

 

Gigabitethernet1/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

  Current online user number is 1

          MAC Addr         Authenticate state           Auth Index

          000d-88f7-0001   MAC_AUTHENTICATOR_SUCCESS    0

<略>

 

<Switch> display connection

Slot:  1

Index=0  ,Username=00-0d-88-f7-00-01@example.com

 IP=N/A

 MAC=000d-88f7-0001

 

Total 1 connection(s) matched.

1.2.5  完整配置

#

 mac-authentication

 mac-authentication timer offline-detect 180

 mac-authentication timer quiet 180

 mac-authentication domain example.com

 mac-authentication user-name-format mac-address with-hyphen

#

domain example.com

 authentication lan-access local

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

local-user 000d-88f7-0001

 password simple 000d-88f7-0001

 service-type lan-access

#

interface GigabitEthernet1/0/1

 mac-authentication

#                        

1.2.6  配置注意事项

l              配置全局MAC地址认证一般放在最后，当其他认证参数未配置完成时，会造成合法用户无法访问网络。

l              本地用户的服务类型应设置为lan-access。

1.3  MAC地址用户名远程认证典型配置指导

1.3.1  应用需求

如图1-2所示，用户Host通过Switch连接到网络，管理员希望在无需安装客户端软件的情况下，完成用户身份的认证；为了提高安全性，要求认证在远程服务器进行。

图1-2 启动MAC地址认证对接入用户进行RADIUS认证

 

1.3.2  配置思路

根据应用需求，在Switch上配置MAC地址认证可以实现“无需安装客户端软件，无需架设服务器”的用户接入认证。为了提高安全性，这里采用MAC地址用户名，远程RADIUS服务器认证方式，控制用户对Internet的访问：

l              在端口GigabitEthernet1/0/1上配置MAC地址认证。

l              配置Host属于域domain2，采用RADIUS服务器，MAC地址用户名方式进行认证。

l              配置交换机每隔180秒就对用户是否下线进行检测；并且当用户认证失败时，需等待3分钟后才能对用户再次发起认证。

1.3.3  适用产品、版本

表1-2 配置适用的产品与软硬件版本关系

产品	软件版本
S7500E系列以太网交换机	Release 6100系列，Release 6300系列，Release 6600系列，Release 6610系列
S7600系列以太网交换机	Release 6600系列，Release 6610系列
S5800&S5820X系列以太网交换机	Release 1110，Release 1211
CE3000-32F以太网交换机	Release 1211
S5500-EI系列以太网交换机	Release 2202，Release 2208
S5500-EI-D系列以太网交换机	Release 2208
S5500-SI系列以太网交换机	Release 2202 ，Release 2208
S5120-EI系列以太网交换机	Release 2202，Release 2208
S5120-EI-D系列以太网交换机	Release 1505
S5120-SI系列以太网交换机	Release 1505
S3610&S5510系列以太网交换机	Release 5301，Release 5303，Release 5306，Release 5309
S3500-EA系列以太网交换机	Release 5303，Release 5309
S3100V2系列以太网交换机	Release 5103
E126B以太网交换机	Release 5103

 

1.3.4  配置过程和解释

(1)        在Switch上配置MAC地址认证

# 配置各接口的IP地址（略）。

# 配置RADIUS方案。

[Switch> system-view

[Switch] radius scheme 2000

[Switch-radius-2000] primary authentication 10.1.1.1 1812

[Switch-radius-2000] primary accounting 10.1.1.2 1813

[Switch-radius-2000] key authentication abc

[Switch-radius-2000] key accounting abc

[Switch-radius-2000] user-name-format without-domain

[Switch-radius-2000] quit

# 配置ISP域的AAA方案。

[Switch] domain domain2

[Switch-isp-domain2] authentication default radius-scheme 2000

[Switch-isp-domain2] authorization  default radius-scheme 2000

[Switch-isp-domain2] accounting default radius-scheme 2000

[Switch-isp-domain2] quit

# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。

[Switch] mac-authentication interface gigabitethernet1/0/1

# 配置MAC地址认证用户所使用的ISP域。

[Switch] mac-authentication domain domain2

# 配置MAC地址认证的定时器。

[Switch] mac-authentication timer offline-detect 180

[Switch] mac-authentication timer quiet 180

# 配置MAC地址认证使用用户的源MAC地址做用户名和密码。

[Switch] mac-authentication user-name-format mac-address with-hyphen

# 开启全局MAC地址认证特性。

[Switch] mac-authentication

(2)        验证配置结果

# 显示全局MAC地址配置信息。

<Switch> display mac-authentication

MAC address authentication is enabled.

 User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx

 Fixed username:mac

 Fixed password:not configured

          Offline detect period is 180s

          Quiet period is 180s.

          Server response timeout value is 100s

          The max allowed user number is 1024 per slot

          Current user number amounts to 1

          Current domain is domain2

 

Silent Mac User info:

         MAC Addr               From Port           Port Index

 

Gigabitethernet1/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

  Current online user number is 1

          MAC Addr         Authenticate state           Auth Index

          00e0-fc12-3456   MAC_AUTHENTICATOR_SUCCESS    0

<略>

 

<Switch> display connection

Slot:  1

Index=0  ,Username=guest@2000

 IP=N/A

 MAC=00e0-fc12-3456

 

Total 1 connection(s) matched.

1.3.5  完整配置

#

mac-authentication

 mac-authentication timer offline-detect 180

 mac-authentication timer quiet 180

 mac-authentication domain domain2

 mac-authentication user-name-format mac-address with-hyphen

#

domain domain

 authentication default radius-scheme 2000

 authorization default radius-scheme 2000

 accounting default radius-scheme 2000

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable 

#

radius scheme 2000

 primary authentication 10.1.1.1

 primary accounting 10.1.1.2

 key authentication abc

 key accounting abc

 user-name-format without-domain

#

interface GigabitEthernet1/0/1

 mac-authentication

#                        

1.3.6  配置注意事项

l              配置全局MAC地址认证一般放在最后，当其他认证参数未配置完成时，会造成合法用户无法访问网络。

l              需确保RADIUS服务器与设备路由可达，且RADIUS服务器上配置的用户名和密码必须与设备上配置的MAC地址认证的用户名和密码保持一致。

l              RADIUS服务器上配置的认证、计费Key需要和交换机上配置保持一致，才能认证成功。

1.4  固定用户名远程认证典型配置指导

1.4.1  应用需求

如图1-3所示，用户Host A通过Switch A，用户Host B通过Switch B连接到网络；管理员希望在无需安装客户端软件的基础上，完成用户身份的认证；为了提高安全性，要求认证在远程服务器进行。

图1-3 固定用户名远程认证组网示意图

1.4.2  配置思路

用户Host A通过Switch A，用户Host B通过Switch B连接到网络，根据应用需求，在Switch A和Switch B上配置“固定用户名远程认证方式”的MAC地址认证可以实现用户需求。

l              配置Host A属于域domain1，在Switch A的端口GigabitEthernet1/0/1上对接入用户进行MAC地址远程RADIUS认证。认证时使用固定用户名aaa，密码为123456。

l              配置Host B属于域domain2，在Switch B的端口GigabitEthernet1/0/1上对接入用户进行MAC地址远程RADIUS认证。认证时使用固定用户名bbb，密码为654321。

1.4.3  适用产品、版本

表1-3 配置适用的产品与软硬件版本关系

产品	软件版本
S7500E系列以太网交换机	Release 6100系列，Release 6300系列，Release 6600系列，Release 6610系列
S7600系列以太网交换机	Release 6600系列，Release 6610系列
S5800&S5820X系列以太网交换机	Release 1110，Release 1211
CE3000-32F以太网交换机	Release 1211
S5500-EI系列以太网交换机	Release 2202，Release 2208
S5500-EI-D系列以太网交换机	Release 2208
S5500-SI系列以太网交换机	Release 2202 ，Release 2208
S5120-EI系列以太网交换机	Release 2202，Release 2208
S5120-EI-D系列以太网交换机	Release 1505
S5120-SI系列以太网交换机	Release 1505
S3610&S5510系列以太网交换机	Release 5301，Release 5303，Release 5306，Release 5309
S3500-EA系列以太网交换机	Release 5303，Release 5309
S3100V2系列以太网交换机	Release 5103
E126B以太网交换机	Release 5103

 

1.4.4  配置过程和解释

(1)        在Switch A上配置MAC地址认证

# 配置各接口的IP地址（略）。

# 配置RADIUS方案。

<SwitchA> system-view

[SwitchA] radius scheme 2000

[SwitchA-radius-2000] primary authentication 10.1.1.1 1812

[SwitchA-radius-2000] primary accounting 10.1.1.2 1813

[SwitchA-radius-2000] key authentication abc

[SwitchA-radius-2000] key accounting abc

[SwitchA-radius-2000] user-name-format without-domain

[SwitchA-radius-2000] quit

# 配置ISP域的AAA方案。

[SwitchA] domain domain1

[SwitchA-isp-domain1] authentication default radius-scheme 2000

[SwitchA-isp-domain1] authorization default radius-scheme 2000

[SwitchA-isp-domain1] accounting default radius-scheme 2000

[SwitchA-isp-domain1] quit

# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。

[SwitchA] mac-authentication interface gigabitethernet1/0/1

# 配置MAC地址认证用户所使用的ISP域。

[SwitchA] mac-authentication domain domain1

# 配置MAC地址认证的定时器。

[SwitchA] mac-authentication timer offline-detect 180

[SwitchA] mac-authentication timer quiet 180

# 配置MAC地址认证使用固定用户名、密码格式。

[SwitchA] mac-authentication user-name-format fixed account aaa password simple 123456

# 开启全局MAC地址认证特性。

[SwitchA] mac-authentication

(2)        在Switch B上配置MAC地址认证

# 配置各接口的IP地址（略）。

# 配置RADIUS方案。

<SwitchB> system-view

[SwitchB] radius scheme 2000

[SwitchB-radius-2000] primary authentication 10.1.1.1 1812

[SwitchB-radius-2000] primary accounting 10.1.1.2 1813

[SwitchB-radius-2000] key authentication abc

[SwitchB-radius-2000] key accounting abc

[SwitchB-radius-2000] user-name-format without-domain

[SwitchB-radius-2000] quit

# 配置ISP域的AAA方案。

[SwitchB] domain domain2

[SwitchB-isp-domain2] authentication default radius-scheme 2000

[SwitchB-isp-domain2] authorization  default radius-scheme 2000

[SwitchB-isp-domain2] accounting default radius-scheme 2000

[SwitchB-isp-domain2] quit

# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。

[SwitchB] mac-authentication interface gigabitethernet1/0/1

# 配置MAC地址认证用户所使用的ISP域。

[SwitchB] mac-authentication domain domain2

# 配置MAC地址认证的定时器。

[SwitchB] mac-authentication timer offline-detect 180

[SwitchB] mac-authentication timer quiet 180

# 配置MAC地址认证使用固定用户名、密码格式。

[SwitchB] mac-authentication user-name-format fixed account bbb password simple 654321

# 开启全局MAC地址认证特性。

[SwitchB] mac-authentication

(3)        验证配置结果

# 显示Switch A的MAC地址配置信息。

<SwitchA> display mac-authentication

MAC address authentication is enabled.

User name format is fixed account

 Fixed username:aaa

 Fixed password:123456

          Offline detect period is 180s

          Quiet period is 180s.

          Server response timeout value is 100s

          The max allowed user number is 2048 per slot

          Current user number amounts to 1

          Current domain is domain1

 

Silent Mac User info:

         MAC Addr               From Port           Port Index

 

Gigabitethernet1/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

  Current online user number is 1

          MAC Addr         Authenticate state           Auth Index

          00e0-fc12-3456   MAC_AUTHENTICATOR_SUCCESS    0

<略>

 

<SwitchA> display connection

Slot:  1

Index=0  ,Username=aaa@2000

 IP=N/A

 MAC=00e0-fc12-3456

Total 1 connection(s) matched.

 

# 显示Switch B的MAC地址配置信息。

<SwitchB> display mac-authentication

MAC address authentication is enabled.

User name format is fixed account

 Fixed username:bbb

 Fixed password:654321

          Offline detect period is 180s

          Quiet period is 180s.

          Server response timeout value is 100s

          The max allowed user number is 2048 per slot

          Current user number amounts to 1

          Current domain is domain2

 

Silent Mac User info:

         MAC Addr               From Port           Port Index

 

Gigabitethernet1/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

  Current online user number is 1

          MAC Addr         Authenticate state           Auth Index

          00e0-fc12-6543   MAC_AUTHENTICATOR_SUCCESS    0

<略>

 

<SwitchB> display connection

Slot:  1

Index=0  ,Username=bbb@2000

 IP=N/A

 MAC=00e0-fc12-6543

 

Total 1 connection(s) matched.

1.4.5  完整配置

l              # Switch A上的完整配置：

#

mac-authentication

 mac-authentication timer offline-detect 180

 mac-authentication timer quiet 180

 mac-authentication domain domain1

 mac-authentication user-name-format fixed account aaa password simple 123456

#

domain domain1

 authentication default radius-scheme 2000

 authorization default radius-scheme 2000

 accounting default radius-scheme 2000

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable 

#

radius scheme 2000

 primary authentication 10.1.1.1

 primary accounting 10.1.1.2

 key authentication abc

 key accounting abc

 user-name-format without-domain

#

interface GigabitEthernet1/0/1

 mac-authentication

#

l              # Switch B上的完整配置：

#

mac-authentication

 mac-authentication timer offline-detect 180

 mac-authentication timer quiet 180

 mac-authentication domain domain2

mac-authentication user-name-format fixed account bbb password simple 654321

#

domain domain2

 authentication default radius-scheme 2000

 authorization default radius-scheme 2000

 accounting default radius-scheme 2000

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable 

#

radius scheme 2000

 primary authentication 10.1.1.1

 primary accounting 10.1.1.2

 key authentication abc

 key accounting abc

 user-name-format without-domain

#

interface GigabitEthernet1/0/1

 mac-authentication

#

1.4.6  配置注意事项

l              配置全局MAC地址认证一般放在最后，当其他认证参数未配置完成时，会造成合法用户无法访问网络。

l              需确保RADIUS服务器与设备路由可达，且RADIUS服务器上配置的用户名和密码必须与设备上配置的MAC地址认证的用户名和密码保持一致。

l              RADIUS服务器上配置的认证、计费Key需要和交换机上配置保持一致，才能认证成功。

1.5  下发ACL典型配置指导

1.5.1  应用需求

如图1-4所示，主机Host通过MAC地址认证接入网络，认证服务器为RADIUS服务器。Internet网络中有一台FTP服务器，IP地址为10.0.0.1。要求用户成功认证后可以访问Internet，但不能访问FTP服务器。

图1-4 下发ACL典型配置组网图

 

1.5.2  配置思路

在交换机上配置MAC地址认证，并通过下发ACL实现用户对Internet的访问，以及对FTP服务器访问权限的限制。

l              在认证服务器上配置授权下发ACL 3000。

l              在Switch的GigabitEthernet1/0/1上开启MAC认证，并配置ACL 3000。

l              当用户认证成功上线，认证服务器下发ACL 3000。此时ACL 3000在GigabitEthernet1/0/1上生效，Host可以访问Internet，但不能访问FTP服务器。

1.5.3  适用产品、版本

表1-4 配置适用的产品与软硬件版本关系

产品	软件版本
S7500E系列以太网交换机	Release 6100系列，Release 6300系列，Release 6600系列，Release 6610系列
S7600系列以太网交换机	Release 6600系列，Release 6610系列
S5800&S5820X系列以太网交换机	Release 1110，Release 1211
CE3000-32F以太网交换机	Release 1211
S5500-EI系列以太网交换机	Release 2202，Release 2208
S5500-EI-D系列以太网交换机	Release 2208
S5500-SI系列以太网交换机	Release 2202 ，Release 2208
S5120-EI系列以太网交换机	Release 2202，Release 2208
S5120-EI-D系列以太网交换机	Release 1505
S5120-SI系列以太网交换机	Release 1505
S3610&S5510系列以太网交换机	Release 5301，Release 5303，Release 5306，Release 5309
S3500-EA系列以太网交换机	Release 5303，Release 5309
S3100V2系列以太网交换机	Release 5103
E126B以太网交换机	Release 5103

 

1.5.4  配置过程和解释

(1)        在Switch上配置MAC地址认证

# 配置各接口的IP地址（略）。

# 配置RADIUS方案。

[Switch> system-view

[Switch] radius scheme 2000

[Switch-radius-2000] primary authentication 10.1.1.1 1812

[Switch-radius-2000] primary accounting 10.1.1.2 1813

[Switch-radius-2000] key authentication abc

[Switch-radius-2000] key accounting abc

[Switch-radius-2000] user-name-format without-domain

[Switch-radius-2000] quit

# 配置ISP域的AAA方案。

[Switch] domain 2000

[Switch-isp-2000] authentication default radius-scheme 2000

[Switch-isp-2000] authorization  default radius-scheme 2000

[Switch-isp-2000] accounting default radius-scheme 2000

[Switch-isp-2000] quit

# 配置ACL 3000，拒绝目的IP地址为10.0.0.1的报文通过。

[Sysname] acl number 3000

[Sysname-acl-adv-3000] rule 0 deny ip destination 10.0.0.1 0

[Sysname-acl-adv-3000] quit

# 开启端口GigabitEthernet1/0/1的MAC地址认证特性。

[Switch] mac-authentication interface GigabitEthernet 1/0/1

# 配置MAC地址认证用户所使用的ISP域。

[Switch] mac-authentication domain 2000

# 配置MAC地址认证的定时器。

[Switch] mac-authentication timer offline-detect 180

[Switch] mac-authentication timer quiet 180

# 配置MAC地址认证用户名格式。使用带连字符的MAC地址作为用户名与密码。

[Switch] mac-authentication user-name-format mac-address with-hyphen

# 开启全局MAC地址认证特性。

[Switch] mac-authentication

(2)        验证配置结果

# 用户Host认证成功后，通过ping FTP服务器，可以验证认证服务器下发的ACL 3000是否生效。

C:\>ping 10.0.0.1

 

Pinging 10.0.0.1 with 32 bytes of data:

 

Request timed out.

Request timed out.

Request timed out.

Request timed out.

 

Ping statistics for 10.0.0.1:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

 

C:\>

1.5.5  完整配置

#

mac-authentication

 mac-authentication timer offline-detect 180

 mac-authentication timer quiet 180

 mac-authentication domain 2000

mac-authentication user-name-format mac-address with-hyphen

#

radius scheme 2000

 primary authentication 10.1.1.1

 primary accounting 10.1.1.2

 key authentication abc

 key accounting abc

 user-name-format without-domain

#

domain 2000

 authentication default radius-scheme 2000

 authorization default radius-scheme 2000

 accounting default radius-scheme 2000

#

acl number 3000

 rule 0 deny ip destination 10.0.0.1 0

#

interface Ethernet2/0/1

 mac-authentication

#

1.5.6  配置注意事项

l              配置全局MAC地址认证一般放在最后，当其他认证参数未配置完成时，会造成合法用户无法访问网络。

l              RADIUS服务器上配置的认证、计费Key需要和交换机上配置保持一致，才能认证成功。

l              需确保RADIUS服务器与设备路由可达，且RADIUS服务器上配置的用户名和密码的类型必须与设备上配置的MAC地址认证的用户名和密码类型保持一致。