01-H3C S12500 MAC地址认证典型配置举例
本章节下载: 01-H3C S12500 MAC地址认证典型配置举例 (177.03 KB)
H3C S12500 MAC地址认证配置举例
Copyright © 2013 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
目 录
本文档介绍了本地MAC地址认证和远程MAC认证的配置举例。
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解MAC地址认证特性。
如图1所示,Switch为接入Internet的网关。Host A拥有Internet的访问权限,而Host B没有Internet的访问权限。
· 网络管理员希望对接入用户均进行本地MAC地址认证,只有拥有权限的用户才能通过认证并接入Internet网络,其他用户无法通过认证。
· 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待150秒后才能对用户再次发起认证。
图1 本地MAC地址认证特性典型配置组网图
为了实现对接入用户进行本地MAC地址认证,可以使用合法用户(本例中为Host A)的MAC地址作为认证用户名和密码,并在全局和Switch连接用户的接口上均开启MAC地址认证功能。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
· 只有全局和端口均开启MAC认证特性后,MAC认证的配置才会生效。配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,可能造成合法用户无法访问网络。
· 缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。
# 配置各接口的IP地址(略)。
# 添加本地接入用户:用户名和密码均为接入用户的MAC地址00-00-00-00-00-01。
<Switch> system-view
[Switch] local-user 00-00-00-00-00-01
[Switch-luser-00-00-00-00-00-01] password simple 00-00-00-00-00-01
[Switch-luser-00-00-00-00-00-01] service-type lan-access
[Switch-luser-00-00-00-00-00-01] quit
# 配置ISP域,域名为system,使用本地认证方式。
[Switch] domain system
[Switch-isp-system] authentication lan-access local
[Switch-isp-system] quit
# 配置MAC地址认证用户所使用的ISP域,以及认证用户名格式(带连字符的MAC地址)。
[Switch] mac-authentication domain system
[Switch] mac-authentication user-name-format mac-address with-hyphen
# 配置MAC地址认证的定时器,离线检测为180秒,静默时间为150秒。
[Switch] mac-authentication timer offline-detect 180
[Switch] mac-authentication timer quiet 150
# 开启全局以及端口GigabitEthernet2/0/1的MAC地址认证特性。
[Switch] mac-authentication
[Switch] mac-authentication interface gigabitethernet 2/0/1
# 可通过以下命令显示端口的MAC地址认证信息。
<Switch> display mac-authentication interface GigabitEthernet 2/0/1
MAC address authentication is enabled.
User name format is MAC address in lowercase,like xx-xx-xx-xx-xx-xx
Fixed username:mac
Fixed password:not configured
Offline detect period is 180s
Quiet period is 150s.
Server response timeout value is 100s
The max allowed user number is 4096 per slot
Current user number amounts to 1
Current domain is system
Silent Mac User info:
MAC ADDR From Port Port Index
0000-0000-0002 GigabitEthernet2/0/1 17825792
Gigabitethernet2/0/1 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 1
Max number of on-line users is 256
Current online user number is 1
MAC ADDR Authenticate state AuthIndex
0000-0000-0001 MAC_AUTHENTICATOR_SUCCESS 29
未经过认证的用户(Host B)无法访问网络,其MAC地址会出现在静默MAC的表项中,并且在配置的静默时间内(quiet time)无法再次进行认证。
#
version 5.20, Alpha 1131
#
sysname Switch
#
domain default enable system
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 150
mac-authentication domain system
mac-authentication user-name-format mac-address with-hyphen
#
vlan 1
#
vlan 2
#
domain system
authentication lan-access local
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group system
#
local-user 00-00-00-00-00-01
password cipher $c$3$B5AqpVzewsjXns+Kci+FUXB+JfzPC+rNLydh/kqFKSWBe6E/
service-type lan-access
#
interface NULL0
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
interface Vlan-interface2
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet2/0/1
mac-authentication
#
interface GigabitEthernet2/0/48
port access vlan 2
#
如图2所示,Switch为接入Internet的网关。
· 当前交换机所接入的局域网为可信度较高的网络,因此,仅要求RADIUS服务器对该交换机进行认证,通过认证后,该交换机上所有接入用户即可实现对Internet的访问。
· 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待150秒后才能对用户再次发起认证。
图2 远程MAC地址认证特性典型配置组网图
当前交换机所接入的局域网可信度较高,不需要对局域网内接入用户逐一进行MAC地址认证,因此采用固定用户名的认证方式。局域网内的用户,均采用相同的用户名和密码进行认证。为了实现通过RADIUS来进行认证和授权,需要在Switch上配置RADIUS方案并指定相应的认证和授权服务器,并将其应用于MAC地址认证用户所属的ISP域。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
· 只有全局和端口均开启MAC认证特性后,MAC认证的配置才会生效。配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,可能造成合法用户无法访问网络。
· 缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。
确保RADIUS服务器与设备路由可达,并成功添加了接入用户帐户:用户名为user1,密码为123456。
# 配置各接口的IP地址(略)。
# 在Switch上配置RADIUS方案,方案名称为radius,远程服务器地址为192.168.1.2,计费和认证的服务器接入密码为test。
<Switch> system-view
[Switch] radius scheme radius
[Switch-radius-radius] primary authentication 192.168.1.2 1812
[Switch-radius-radius] primary accounting 192.168.1.2 1813
[Switch-radius-radius] key authentication test
[Switch-radius-radius] key accounting test
[Switch-radius-radius] quit
# 配置ISP域,域名为system,认证、授权、计费均使用名为radius的服务。
[Switch] domain system
[Switch-isp-system] authentication default radius-scheme radius
[Switch-isp-system] authorization default radius-scheme radius
[Switch-isp-system] accounting default radius-scheme radius
[Switch-isp-system] quit
# 配置MAC地址认证的定时器,离线检测为180秒,静默时间为150秒。
[Switch] mac-authentication timer offline-detect 180
[Switch] mac-authentication timer quiet 150
# 配置MAC地址认证用户所使用的ISP域。认证使用固定用户名格式:用户名为user1,密码为123456。
[Switch] mac-authentication domain system
[Switch] mac-authentication user-name-format fixed account user1 password simple 123456
# 开启全局以及端口GigabitEthernet2/0/1的MAC地址认证特性。
[Switch] mac-authentication
[Switch] mac-authentication interface gigabitethernet 2/0/1
# 可通过以下命令显示端口的MAC地址配置信息。
<Switch> display mac-authentication interface GigabitEthernet 2/0/1
MAC address authentication is enabled.
User name format is fixed account
Fixed username:user1
Fixed password:******
Offline detect period is 180s
Quiet period is 150s.
Server response timeout value is 100s
The max allowed user number is 4096 per slot
Current user number amounts to 1
Current domain is system
Silent Mac User info:
MAC ADDR From Port Port Index
Gigabitethernet2/0/1 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Current online user number is 1
MAC ADDR Authenticate state AuthIndex
0000-0000-0001 MAC_AUTHENTICATOR_SUCCESS 29
未经过认证的用户无法访问网络,其MAC地址会出现在静默MAC的表项中,并且在配置的静默时间内(quiet time)无法再次进行认证。
#
domain default enable system
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 150
mac-authentication domain system
mac-authentication user-name-format fixed account user1 password cipher $c$3$q3
7lwI6B/6UMNW/yVGqa6/ukn/hKqneWcw==
#
vlan 1
#
vlan 2 to 3
#
radius scheme radius
primary authentication 192.168.1.2
primary accounting 192.168.1.2
key authentication cipher $c$3$3oFEnry630XO+RgRYPaZs+MB8ivPXXs=
key accounting cipher $c$3$2NXaog9PUyIfteq5wrKAJay6nyv4VDE=
user-name-format without-domain
#
domain system
authentication default radius-scheme radius
authorization default radius-scheme radius
accounting default radius-scheme radius
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group system
#
interface NULL0
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
interface Vlan-interface2
ip address 192.168.1.1 255.255.255.0
#
interface Vlan-interface3
ip address 192.168.2.1 255.255.255.0
#
interface GigabitEthernet2/0/1
mac-authentication
#
interface GigabitEthernet2/0/25
port access vlan 2
#
interface GigabitEthernet2/0/48
port access vlan 3
#
· 《H3C S12500系列路由交换机 安全配置指导》中的“MAC地址认证”
· 《H3C S12500系列路由交换机 安全命令参考》中的“MAC地址认证”
· 《H3C S12500系列路由交换机 安全配置指导》中的“AAA”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!