- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-MAC地址认证命令
本章节下载: 03-MAC地址认证命令 (134.73 KB)
目 录
1.1.1 display mac-authentication
1.1.3 mac-authentication domain
1.1.4 mac-authentication max-user
1.1.5 mac-authentication timer
1.1.6 mac-authentication timer auth-delay
1.1.7 mac-authentication user-name-format
1.1.8 reset mac-authentication statistics
display mac-authentication命令用来显示MAC地址认证的相关信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。
display mac-authentication [ interface interface-type interface-number ]
interface interface-type interface-number:显示全局及指定端口的MAC地址认证相关信息,interface-type interface-number为端口类型和端口编号。若指定的端口上未使能MAC地址认证,则不显示该端口任何信息。
如果不指定端口类型和端口编号,则显示全局及所有使能了MAC地址认证的端口上的MAC地址认证信息。
# 显示MAC地址认证信息。
<Sysname> display mac-authentication
MAC authentication is enabled
User name format is MAC address in lowercase, like xxxxxxxxxxxx
Fixed username: mac
Fixed password: Not configured
Offline detect period is 300s
Quiet period is 60s
Server response timeout value is 100s
Max number of users is 2048 per slot
Current number of online users is 1
Current authentication domain is domain1
Silent MAC user info:
MAC Addr VLAN ID From Port Port Index
Ten-GigabitEthernet1/1/5 is link-up
MAC authentication is enabled
Max number of online users is 2048
Current number of online users is 1
Current authentication domain: Not configured
MAC auth-delay period is 10s
Authentication attempts: successful 1, failed 0
MAC Addr Auth state
00e0-fc12-3456 authenticated
表1-1 display mac-authentication命令显示信息描述表
|
MAC地址认证的开启状态 |
|
|
User name format is MAC address in lowercase, like xxxxxxxxxxxx |
本字段用于显示MAC地址认证使用的用户名格式,有以下两种情况: · 若采用MAC地址形式,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“User name format is MAC address in lowercase, like xxxxxxxxxxxx”,它表示用户名格式为不带连字符的MAC地址,其中字母为小写 |
|
· 采用MAC地址格式时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码 |
|
|
· 采用MAC地址格式时,该值显示为“Not configured” · 采用固定用户名格式时,配置的值将显示为****** |
|
|
设备能够支持的最大MAC地址认证用户数 |
|
|
系统视图下指定的MAC地址认证用户使用的认证域 |
|
|
静默用户的MAC地址 |
|
|
当前端口的MAC地址认证开启状态 |
|
|
端口上指定的MAC地址认证用户使用的认证域 |
|
|
MAC地址认证延迟功能的配置信息,取值包括: · 若MAC地址认证延迟功能处于关闭状态,则显示“MAC auth-delay is disabled” · 若MAC地址认证延迟功能处于使能状态,则显示配置的认证延迟时间,单位为秒 |
|
|
端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数 |
|
|
接入用户的MAC地址 |
|
|
· authenticated:认证成功 · unauthenticated:认证失败 |
mac-authentication命令用来开启指定端口上或全局的MAC地址认证。
undo mac-authentication命令用来关闭指定端口上或全局的MAC地址认证。
所有端口及全局的MAC地址认证都处于关闭状态。
系统视图/二层以太网接口视图
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
# 开启全局的MAC地址认证。
[Sysname] mac-authentication
# 开启端口Ten-GigabitEthernet1/1/5上的MAC地址认证。
[Sysname] interface ten-gigabitethernet 1/1/5
[Sysname-Ten-GigabitEthernet1/1/5] mac-authentication
mac-authentication domain命令用来指定MAC地址认证用户使用的认证域。
undo mac-authentication domain命令用来恢复缺省情况。
mac-authentication domain domain-name
undo mac-authentication domain
未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domain default enable。
系统视图/二层以太网接口视图
domain-name:ISP域名,为1~24个字符的字符串,不区分大小写。
· 系统视图下指定的认证域对所有开启了MAC地址认证的端口生效。
· 以太网接口视图下指定的认证域仅对本端口有效。不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。
# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。
[Sysname] mac-authentication domain domain1
# 指定端口Ten-GigabitEthernet1/1/5上接入的MAC地址认证用户使用的认证域为aabbcc。
[Sysname] interface ten-gigabitethernet 1/1/5
[Sysname-Ten-GigabitEthernet1/1/5] mac-authentication domain aabbcc
· domain default enable(安全命令参考/AAA)
mac-authentication max-user命令用来配置端口上最多允许同时接入的MAC地址认证用户数。当接入此端口的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
undo mac-authentication max-user命令用来恢复缺省情况。
mac-authentication max-user user-number
undo mac-authentication max-user
端口上最多允许同时接入的MAC地址认证用户数为2048。
user-number:端口允许同时接入的MAC地址认证用户数的最大值,取值范围为1~2048。
# 配置端口Ten-GigabitEthernet1/1/5最多允许同时接入32个MAC地址认证用户。
[Sysname] interface ten-gigabitethernet 1/1/5
[Sysname-Ten-GigabitEthernet1/1/5] mac-authentication max-user 32
mac-authentication timer命令用来配置MAC地址认证的定时器参数。
undo mac-authentication timer命令用来恢复缺省情况。
undo mac-authentication timer { offline-detect | quiet | server-timeout }
下线检测定时器的值为300秒,静默定时器的值为60秒,服务器超时定时器的值为100秒。
offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围60~65535,单位为秒。
quiet quiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围1~3600,单位为秒。
server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。
MAC地址认证过程受以下定时器的控制:
· 下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。
· 静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
# 设置服务器超时定时器时长为150秒。
[Sysname] mac-authentication timer server-timeout 150
mac-authentication timer auth-delay命令用来开启MAC地址认证延迟功能,并配置MAC地址认证的延时时间。
undo mac-authentication timer auth-delay命令用来恢复缺省情况。
mac-authentication timer auth-delay time
undo mac-authentication timer auth-delay
MAC地址认证延迟功能处于关闭状态,如果用户报文触发MAC地址认证,认证将会立刻开始。
time:延迟MAC地址认证的时间,取值范围为1~180,单位为秒。
端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。
开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是在等待一定的延迟时间之后,再会对之前收到的用户报文进行MAC地址认证。在此认证延迟期间,端口对用户报文的其它认证过程并不受影响。
开启了MAC地址认证延迟功能的接口上不建议同时配置端口安全的模式为mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。
# 开启MAC地址延迟认证功能,并指定MAC地址认证的延时时间为10秒。
[Sysname] interface ten-gigabitethernet 1/1/5
[Sysname-Ten-GigabitEthernet1/1/5] mac-authentication timer auth-delay 10
· port-security port-mode(安全命令参考/端口安全)
mac-authentication user-name-format命令用来配置MAC地址认证的用户名格式。
undo mac-authentication user-name-format命令用来恢复缺省情况。
undo mac-authentication user-name-format
使用用户的MAC地址作为用户名和密码,其中字母为小写。MAC地址不带连字符“-”。
fixed:表示采用固定用户名格式。
account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。
password:指定固定用户名的密码。
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码。
password:设置的明文密码或密文密码,区分大小写。明文密码为1~63个字符的字符串;密文密码为1~117个字符的字符串。
mac-address:表示使用用户的MAC地址作为用户名和密码。
with-hyphen:带连字符“-”的MAC地址格式,例如xx-xx-xx-xx-xx-xx。
without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx。
lowercase:MAC地址中的字母为小写。
uppercase:MAC地址中的字母为大写。
若指定用户的MAC地址为用户名,则用户密码也为用户的MAC地址。这种情况下,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户帐户。
若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
以明文或密文方式设置的密码,均以密文的方式保存在配置文件中。
# 配置MAC地址认证的用户名为abc,密码是明文xyz。
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用户的MAC地址为用户名和密码,使用带连字符“-”的MAC地址格式,其中字母大写。
[Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase
reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。
reset mac-authentication statistics [ interface interface-type interface-number ]
interface interface-type interface-number:清除指定端口的MAC地址认证统计信息,interface-type interface-number为端口类型和端口编号。
如果不指定端口类型和端口编号,则清除设备上的全局及所有端口的MAC认证统计信息。
# 清除以太网端口Ten-GigabitEthernet1/1/5上的MAC认证统计信息。
<Sysname> reset mac-authentication statistics interface ten-gigabitethernet 1/1/5
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
