42-MAC地址认证典型配置举例
本章节下载: 42-MAC地址认证典型配置举例 (194.79 KB)
目 录
本章介绍了使用了MAC地址认证实现用户安全接入的典型配置举例。
端口启动MAC地址认证与端口加入聚合组及端口加入业务环回组互斥。
表1 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图1所示,通过配置MAC地址本地认证功能,实现在无需架设服务器的情况下,完成接入用户的安全认证,控制其对Internet的访问。
图1 启动MAC地址认证对接入用户进行本地认证
· 在Switch与用户端相连的端口上配置MAC地址认证。
· 为了防止非法MAC短时间内的重复认证,可配置MAC地址认证定时器。
· 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
· 创建本地用户时,需要注意用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
# 添加本地接入用户。
<Switch> system-view
[Switch] local-user 68-05-ca-06-55-7b class network
New local user added.
[Switch-luser-network-68-05-ca-06-55-7b] password simple 68-05-ca-06-55-7b
[Switch-luser-network-68-05-ca-06-55-7b] service-type lan-access
[Switch-luser-network-68-05-ca-06-55-7b] quit
# 配置ISP域,使用本地认证方式。
[Switch] domain example.com
[Switch-isp-example.com] authentication lan-access local
[Switch-isp-example.com] quit
# 配置MAC地址认证用户所使用的ISP域。
[Switch] mac-authentication domain example.com
# 配置MAC地址认证的下线定时器和静默定时器。即交换机每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
[Switch] mac-authentication timer offline-detect 180
[Switch] mac-authentication timer quiet 180
# 配置MAC地址认证用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。
[Switch] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启端口Ten-GigabitEthernet1/0/1的MAC地址认证特性。
[Switch] interface ten-gigabitethernet 1/0/1
[Switch-Ten-GigabitEthernet1/0/1] mac-authentication
[Switch-Ten-GigabitEthernet1/0/1] quit
# 开启全局MAC地址认证特性。
[Switch] mac-authentication
# 显示全局MAC地址配置信息。
<Switch> display mac-authentication
MAC address authentication is enabled.
User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx
Fixed username:mac
Fixed password: Not configured
Offline detect period is 180s
Quiet period is 180s
Server response timeout value is 100s
Max number of users is 1024 per slot
Current number of online users is 1
Current authentication domain is example.com
Silent MAC User info:
MAC Addr VLAN ID From Port Port Index
Ten-GigabitEthernet1/0/1 is link-up
MAC authentication is enabled
Max number of on-line users is 256
Current number of online users is 1
Current authentication domain:Not configured
Authenticate success: 1, failed: 364
MAC Addr Auth State
6805-ca06-557b authenticated
<略>
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
mac-authentication domain example.com
mac-authentication user-name-format mac-address with-hyphen
domain example.com
authentication lan-access local
#
local-user 68-05-ca-06-55-7b class network
password cipher $c$3$KEiYU/nrbJqmp75BldT4m99SzcSQ5Ro3sPRpTvUSd4aGL676
service-type lan-access
authorization-attribute user-role network-operator
#
interface Ten-GigabitEthernet1/0/1
mac-authentication
#
表2 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图2所示,用户Host通过Switch连接到网络。为了提高安全性,可以通过配置MAC地址用户名远程认证,实现在远程服务器上完成用户身份的认证。
图2 启动MAC地址认证对接入用户进行RADIUS认证
· 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
· 在RADIUS服务器上添加用户帐号,用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
· 在标准的RADIUS协议中,RADIUS服务器的认证端口为UDP端口1812,我司设备作为RADIUS服务器时认证端口为UDP端口1645。因此,本举例中需要在SwitchA上配置RADIUS方案时,需要指定认证服务器的认证端口号为1645。
· 按照组网图配置设备各接口的IP地址,保证各主机、服务器和设备之间的路由可达。
· 如下服务器配置以H3C S5500-HI系列交换机作为RADIUS server为例,详细信息可参考相关产品手册。
# 配置RADIUS方案。
<SwitchA> system-view
[SwitchA] radius scheme 2000
New RADIUS scheme.
[SwitchA-radius-2000] primary authentication 10.1.1.1 1645 key simple abc
[SwitchA-radius-2000] user-name-format without-domain
[SwitchA-radius-2000] quit
# 配置ISP域的AAA方案。
[SwitchA] domain domain2
[SwitchA-isp-domain2] authentication lan-access radius-scheme 2000
[SwitchA-isp-domain2] authorization lan-access radius-scheme 2000
[SwitchA-isp-domain2] quit
# 开启端口Ten-GigabitEthernet1/0/1的MAC地址认证特性。
[SwitchA] interface ten-gigabitethernet 1/0/1
[SwitchA-Ten-GigabitEthernet1/0/1] mac-authentication
[SwitchA-Ten-GigabitEthernet1/0/1] quit
# 配置MAC地址认证用户所使用的ISP域。
[SwitchA] mac-authentication domain domain2
# 配置MAC地址认证的下线定时器和静默定时器。即交换机每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
[SwitchA] mac-authentication timer offline-detect 180
[SwitchA] mac-authentication timer quiet 180
# 配置MAC地址认证用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。
[SwitchA] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启全局MAC地址认证特性。
[SwitchA] mac-authentication
# 以Host的MAC地址作为用户名,创建RADIUS用户并进入RADIUS服务器用户视图
<SwitchB> system-view
[SwitchB] radius-server user 68-05-ca-06-55-7b
# 指定用户的密码为明文123456。
[SwitchB-rdsuser-68-05-ca-06-55-7b] password simple 123456
[SwitchB-rdsuser-68-05-ca-06-55-7b] quit
# 配置RADIUS客户端IP为10.1.1.2,共享密钥为明文abc。
[SwitchB] radius-server client-ip 10.1.1.2 key simple abc
# 显示全局MAC地址配置信息。
<SwitchA> display mac-authentication
MAC authentication is enabled
User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx
Fixed username:mac
Fixed password: Not configured
Offline detect period is 180s
Quiet period is 180s.
Server response timeout value is 100s
Max number of users is 1024 per slot
Current number of online users is 1
Current authentication domain is domain2
Silent Mac User info:
MAC Addr VLAN ID From Port Port Index
Gigabitethernet1/0/1 is link-up
MAC authentication is enabled
Max number of online users is 256
Current number of online users is 1
Authentication attempts: successful 1, failed 0
MAC Addr Auth state
6805-ca06-557b authenticated
<略>
· SwitchA:
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
mac-authentication domain domain2
mac-authentication user-name-format mac-address with-hyphen
#
radius scheme 2000
primary authentication 10.1.1.1 1645 key cipher $c$3$eYcHkFXUguZArZkXiCkrPABwQ0+E6g==
user-name-format without-domain
#
domain domain2
authentication lan-access radius-scheme 2000
authorization lan-access radius-scheme 2000
#
interface Ten-GigabitEthernet1/0/1
mac-authentication
#
· Radius server:
#
radius-server client-ip 10.1.1.2 key cipher $c$3$qz/+3koDvrIbRqm1Ghf6a10hS4fLFQ==
#
radius-server user 68-05-ca-06-55-7b
password cipher $c$3$Xv+yKBbrO2yl0iVyWZfuRJyhm0ZNJkGU/REI5+GZSfJ7vcky
#
表3 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图3所示,对于网络中存在较为安全的多用户区域,可通过配置固定用户名远程认证来完成用户身份的认证。这样可以保留一定的用户扩展需求。
· 按照组网图配置设备各接口的IP地址,保证各主机、服务器和设备之间的路由可达。
· 如下服务器配置以H3C S5500-HI系列交换机作为RADIUS server为例,详细信息可参考相关产品手册。
# 配置RADIUS方案。
<SwitchA> system-view
[SwitchA] radius scheme 2000
New RADIUS scheme.
[SwitchA-radius-2000] primary authentication 10.1.1.1 1645 key simple abc
[SwitchA-radius-2000] user-name-format without-domain
[SwitchA-radius-2000] quit
# 配置ISP域的AAA方案。
[SwitchA] domain domain1
[SwitchA-isp-domain1] authentication lan-access radius-scheme 2000
[SwitchA-isp-domain1] authorization lan-access radius-scheme 2000
[SwitchA-isp-domain1] quit
# 开启端口Ten-GigabitEthernet1/0/1的MAC地址认证特性。
[SwitchA] interface ten-gigabitethernet 1/0/1
[SwitchA-Ten-GigabitEthernet1/0/1] mac-authentication
[SwitchA-Ten-GigabitEthernet1/0/1] quit
# 配置MAC地址认证用户所使用的ISP域。
[SwitchA] mac-authentication domain domain1
# 配置MAC地址认证的定时器。
[SwitchA] mac-authentication timer offline-detect 180
[SwitchA] mac-authentication timer quiet 180
# 配置MAC地址认证使用固定用户名、密码格式。
[SwitchA] mac-authentication user-name-format fixed account aaa password simple 123456
# 开启全局MAC地址认证特性。
[SwitchA] mac-authentication
# 创建RADIUS用户“aaa”并进入RADIUS服务器用户视图
<SwitchB> system-view
[SwitchB] radius-server user aaa
# 指定用户aaa的密码为明文123456。
[SwitchB-rdsuser-aaa] password simple 123456
[SwitchB-rdsuser-aaa] quit
# 配置RADIUS客户端IP为10.1.1.2,共享密钥为明文abc。
[SwitchB] radius-server client-ip 10.1.1.2 key simple abc
# 显示Switch A的MAC地址配置信息。
<SwitchA> display mac-authentication
MAC authentication is enabled.
User name format is fixed account
Fixed username:aaa
Fixed password:******
Offline detect period is 180s
Quiet period is 180s.
Server response timeout value is 100s
Max number of users is 1024 per slot
Current number of online users is 4
Current authentication domain is domain1
Silent Mac User info:
MAC Addr VLAN ID From Port Port Index
Ten-Gigabitethernet1/0/1 is link-up
MAC authentication is enabled
Max number of on-line users is 256
Current number of online users is 4
Current authentication domain: Not configured
Authentication attempts: successful 4, failed 0
MAC Addr Auth state
6805-ca06-557b authenticated
6805-ca00-8a11 authenticated
6805-ca00-6677 authenticated
6805-ca02-1122 authenticated
<略>
· Switch A:
#
mac-authentication
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
mac-authentication domain domain1
mac-authentication user-name-format fixed account aaa password cipher $c$3$6DXUG/ZZMl7AbkMpJEo2uoni19WCI0nJGw
#
radius scheme 2000
primary authentication 10.1.1.1 1645 key cipher $c$3$eYcHkFXUguZArZkXiCkrPABwQ0+E6g
user-name-format without-domain
#
domain domain1
authentication lan-access radius-scheme 2000
authorization lan-access radius-scheme 2000
#
interface Ten-GigabitEthernet1/0/1
mac-authentication
#
· Radius server:
#
radius-server client-ip 10.1.1.2 key cipher $c$3$qz/+3koDvrIbRqm1Ghf6a10hS4fLFQ==
#
radius-server user aaa
password cipher $c$3$Xv+yKBbrO2yl0iVyWZfuRJyhm0ZNJkGU/REI5+GZSfJ7vcky
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!