选择区域语言: EN CN HK

10-安全配置举例

01-H3C S12500 MAC地址认证典型配置举例

本章节下载  (177.03 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500/Configure/Typical_Configuration_Example/H3C_S12500-R1825P01-6W100/10/201308/794671_30005_0.htm

01-H3C S12500 MAC地址认证典型配置举例

H3C S12500 MAC地址认证配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2013 杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf

 



1  简介

本文档介绍了本地MAC地址认证和远程MAC认证的配置举例。

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解MAC地址认证特性。

3  本地MAC地址认证配置举例

3.1  组网需求

图1所示,Switch为接入Internet的网关。Host A拥有Internet的访问权限,而Host B没有Internet的访问权限。

·     网络管理员希望对接入用户均进行本地MAC地址认证,只有拥有权限的用户才能通过认证并接入Internet网络,其他用户无法通过认证。

·     要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待150秒后才能对用户再次发起认证。

图1 本地MAC地址认证特性典型配置组网图

 

3.2  配置思路

为了实现对接入用户进行本地MAC地址认证,可以使用合法用户(本例中为Host A)的MAC地址作为认证用户名和密码,并在全局和Switch连接用户的接口上均开启MAC地址认证功能。

3.3  使用版本

本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。

3.4  配置注意事项

·     只有全局和端口均开启MAC认证特性后,MAC认证的配置才会生效。配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,可能造成合法用户无法访问网络。

·     缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。

3.5  配置步骤

# 配置各接口的IP地址(略)。

# 添加本地接入用户:用户名和密码均为接入用户的MAC地址00-00-00-00-00-01

<Switch> system-view

[Switch] local-user 00-00-00-00-00-01

[Switch-luser-00-00-00-00-00-01] password simple 00-00-00-00-00-01

[Switch-luser-00-00-00-00-00-01] service-type lan-access

[Switch-luser-00-00-00-00-00-01] quit

# 配置ISP域,域名为system,使用本地认证方式。

[Switch] domain system

[Switch-isp-system] authentication lan-access local

[Switch-isp-system] quit

# 配置MAC地址认证用户所使用的ISP域,以及认证用户名格式(带连字符的MAC地址)

[Switch] mac-authentication domain system

[Switch] mac-authentication user-name-format mac-address with-hyphen

# 配置MAC地址认证的定时器,离线检测为180秒,静默时间为150秒。

[Switch] mac-authentication timer offline-detect 180

[Switch] mac-authentication timer quiet 150

# 开启全局以及端口GigabitEthernet2/0/1的MAC地址认证特性。

[Switch] mac-authentication

[Switch] mac-authentication interface gigabitethernet 2/0/1

3.6  验证配置

# 可通过以下命令显示端口的MAC地址认证信息。

<Switch> display mac-authentication interface GigabitEthernet 2/0/1

MAC address authentication is enabled.

User name format is MAC address in lowercase,like xx-xx-xx-xx-xx-xx

 Fixed username:mac

 Fixed password:not configured

          Offline detect period is 180s

          Quiet period is 150s.

          Server response timeout value is 100s

          The max allowed user number is 4096 per slot 

          Current user number amounts to 1

          Current domain is system

Silent Mac User info:

         MAC ADDR               From Port                    Port Index

         0000-0000-0002         GigabitEthernet2/0/1         17825792

Gigabitethernet2/0/1 is link-up

  MAC address authentication is enabled

Authenticate success: 1, failed: 1                                           

 Max number of on-line users is 256                                           

  Current online user number is 1   

    MAC ADDR         Authenticate state           AuthIndex

    0000-0000-0001   MAC_AUTHENTICATOR_SUCCESS    29

未经过认证的用户(Host B)无法访问网络,其MAC地址会出现在静默MAC的表项中,并且在配置的静默时间内(quiet time)无法再次进行认证。

3.7  配置文件

#

 version 5.20, Alpha 1131

#

 sysname Switch

#

 domain default enable system

#

 mac-authentication

 mac-authentication timer offline-detect 180

 mac-authentication timer quiet 150

 mac-authentication domain system

 mac-authentication user-name-format mac-address with-hyphen

#

vlan 1

#

vlan 2

#

domain system

 authentication lan-access local

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

user-group system

#

local-user 00-00-00-00-00-01

 password cipher $c$3$B5AqpVzewsjXns+Kci+FUXB+JfzPC+rNLydh/kqFKSWBe6E/     

 service-type lan-access

#

interface NULL0

#

interface Vlan-interface1

 ip address 192.168.0.1 255.255.255.0

#

interface Vlan-interface2

 ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet2/0/1

 mac-authentication

#

interface GigabitEthernet2/0/48

 port access vlan 2

#   

4  远程MAC地址认证配置举例

4.1  组网需求

图2所示,Switch为接入Internet的网关。

·     当前交换机所接入的局域网为可信度较高的网络,因此,仅要求RADIUS服务器对该交换机进行认证,通过认证后,该交换机上所有接入用户即可实现对Internet的访问。

·     要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待150秒后才能对用户再次发起认证。

图2 远程MAC地址认证特性典型配置组网图

 

4.2  配置思路

当前交换机所接入的局域网可信度较高,不需要对局域网内接入用户逐一进行MAC地址认证,因此采用固定用户名的认证方式。局域网内的用户,均采用相同的用户名和密码进行认证。为了实现通过RADIUS来进行认证和授权,需要在Switch上配置RADIUS方案并指定相应的认证和授权服务器,并将其应用于MAC地址认证用户所属的ISP域。

4.3  使用版本

本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。

4.4  配置注意事项

·     只有全局和端口均开启MAC认证特性后,MAC认证的配置才会生效。配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,可能造成合法用户无法访问网络。

·     缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。

4.5  配置步骤

说明

确保RADIUS服务器与设备路由可达,并成功添加了接入用户帐户:用户名为user1,密码为123456。

 

# 配置各接口的IP地址(略)。

# 在Switch上配置RADIUS方案,方案名称为radius,远程服务器地址为192.168.1.2,计费和认证的服务器接入密码为test。

<Switch> system-view

[Switch] radius scheme radius

[Switch-radius-radius] primary authentication 192.168.1.2 1812

[Switch-radius-radius] primary accounting 192.168.1.2 1813

[Switch-radius-radius] key authentication test

[Switch-radius-radius] key accounting test

[Switch-radius-radius] quit

# 配置ISP域,域名为system,认证、授权、计费均使用名为radius的服务。

[Switch] domain system

[Switch-isp-system] authentication default radius-scheme radius

[Switch-isp-system] authorization  default radius-scheme radius

[Switch-isp-system] accounting default radius-scheme radius

[Switch-isp-system] quit

# 配置MAC地址认证的定时器,离线检测为180秒,静默时间为150秒。

[Switch] mac-authentication timer offline-detect 180

[Switch] mac-authentication timer quiet 150

# 配置MAC地址认证用户所使用的ISP域。认证使用固定用户名格式:用户名为user1,密码为123456。

[Switch] mac-authentication domain system

[Switch] mac-authentication user-name-format fixed account user1 password simple 123456

# 开启全局以及端口GigabitEthernet2/0/1的MAC地址认证特性。

[Switch] mac-authentication

[Switch] mac-authentication interface gigabitethernet 2/0/1

4.6  验证配置

# 可通过以下命令显示端口的MAC地址配置信息。

<Switch> display mac-authentication interface GigabitEthernet 2/0/1

MAC address authentication is enabled.

User name format is fixed account

 Fixed username:user1

 Fixed password:******

          Offline detect period is 180s

          Quiet period is 150s.

          Server response timeout value is 100s

          The max allowed user number is 4096 per slot

          Current user number amounts to 1

          Current domain is system

Silent Mac User info:

         MAC ADDR               From Port           Port Index

Gigabitethernet2/0/1 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

  Current online user number is 1

    MAC ADDR         Authenticate state           AuthIndex

    0000-0000-0001   MAC_AUTHENTICATOR_SUCCESS     29

未经过认证的用户无法访问网络,其MAC地址会出现在静默MAC的表项中,并且在配置的静默时间内(quiet time)无法再次进行认证。

4.7  配置文件

#

 domain default enable system

#

 mac-authentication

 mac-authentication timer offline-detect 180

 mac-authentication timer quiet 150

 mac-authentication domain system

 mac-authentication user-name-format fixed account user1 password cipher $c$3$q3

7lwI6B/6UMNW/yVGqa6/ukn/hKqneWcw==

#

vlan 1

#

vlan 2 to 3

#

radius scheme radius

 primary authentication 192.168.1.2

 primary accounting 192.168.1.2

 key authentication cipher $c$3$3oFEnry630XO+RgRYPaZs+MB8ivPXXs=

 key accounting cipher $c$3$2NXaog9PUyIfteq5wrKAJay6nyv4VDE=

 user-name-format without-domain

#

domain system

 authentication default radius-scheme radius

 authorization default radius-scheme radius

 accounting default radius-scheme radius

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

user-group system

#

interface NULL0

#

interface Vlan-interface1

 ip address 192.168.0.1 255.255.255.0

#

interface Vlan-interface2

 ip address 192.168.1.1 255.255.255.0

#

interface Vlan-interface3

 ip address 192.168.2.1 255.255.255.0

#

interface GigabitEthernet2/0/1

 mac-authentication

#

interface GigabitEthernet2/0/25

 port access vlan 2

#

interface GigabitEthernet2/0/48

 port access vlan 3

#

5  相关资料

·     《H3C S12500系列路由交换机  安全配置指导》中的“MAC地址认证”

·     《H3C S12500系列路由交换机  安全命令参考》中的“MAC地址认证”

·     《H3C S12500系列路由交换机  安全配置指导》中的“AAA”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!