- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-MAC地址认证命令
本章节下载: 03-MAC地址认证命令 (206.83 KB)
1.1.1 display mac-authentication
1.1.2 display mac-authentication connection
1.1.4 mac-authentication carry user-ip
1.1.5 mac-authentication critical vlan
1.1.6 mac-authentication critical-voice-vlan
1.1.7 mac-authentication domain
1.1.8 mac-authentication guest-vlan
1.1.9 mac-authentication guest-vlan auth-period
1.1.10 mac-authentication host-mode
1.1.11 mac-authentication offline-detect enable
1.1.12 mac-authentication max-user
1.1.13 mac-authentication parallel-with-dot1x
1.1.14 mac-authentication re-authenticate server-unreachable keep-online
1.1.15 mac-authentication timer
1.1.16 mac-authentication timer auth-delay
1.1.17 mac-authentication user-name-format
1.1.18 reset mac-authentication critical-vlan
1.1.19 reset mac-authentication critical-voice-vlan
1.1.20 reset mac-authentication guest-vlan
1.1.21 reset mac-authentication statistics
设备支持两种运行模式:独立运行模式和IRF模式,缺省情况为独立运行模式。有关IRF模式的介绍,请参见“虚拟化技术配置指导”中的“IRF”。
display mac-authentication命令用来显示MAC地址认证的相关信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。
display mac-authentication [ interface interface-type interface-number ]
interface interface-type interface-number:显示全局及指定端口的MAC地址认证相关信息,interface-type interface-number为端口类型和端口编号。若指定的端口上未使能MAC地址认证,则不显示该端口任何信息。
如果不指定端口类型和端口编号,则显示全局及所有使能了MAC地址认证的端口上的MAC地址认证信息。
# 显示MAC地址认证信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Disabled
User name format : MAC address in lowercase(xxxxxxxxxxxx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Authentication domain : Not configured, use default domain
Max MAC-auth users : 4294967295 per slot
Online MAC-auth users : 2
Silent MAC users:
MAC address VLAN ID From port Port index
0001-0000-0000 2 GigabitEthernet1/0/3 20
0001-0000-0000 12 GigabitEthernet1/0/4 301
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Enabled
Authentication domain : Not configured
Auth-delay timer : Enabled
Auth-delay period : 60 s
Re-auth server-unreachable : Logoff
Guest VLAN : 100
Guest VLAN auth-period : 30
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Multiple VLAN
Offline detection : Enabled
Authentication order : Default
Max online users : 4294967295
Authentication attempts : successful 2, failed 3
Current online users : 2
MAC address Auth state
0001-0000-0000 Authenticated
0001-0000-0001 Unauthenticated
表1-1 display mac-authentication命令显示信息描述表
|
全局MAC地址认证参数 |
|
|
MAC地址认证的开启状态 |
|
|
MAC地址认证使用的用户名格式,有以下两种情况: · 若采用MAC地址形式,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xxxxxxxxxxxx)”,它表示用户名格式为不带连字符的MAC地址,其中字母为小写 |
|
|
· 采用MAC地址格式时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码 |
|
|
· 采用MAC地址格式时,该值显示为“Not configured” · 采用固定用户名格式时,配置的值将显示为****** |
|
|
系统视图下指定的MAC地址认证用户使用的认证域 |
|
|
每单板能够支持的最大MAC地址认证用户数 |
|
|
当前在线MAC地址认证用户数 |
|
|
静默用户的MAC地址 |
|
|
当前端口的MAC地址认证开启状态 |
|
|
Carry User-IP |
MAC地址认证请求是否携带用户IP地址 |
|
端口上指定的MAC地址认证用户使用的认证域 |
|
|
MAC地址认证延迟功能的开启状态 |
|
|
重认证时服务器不可达对MACA地址认证的在线用户采取的动作 |
|
|
Guest VLAN auth-period |
设备对Guest VLAN中的用户进行重新认证的时间间隔 |
|
Critical voice VLAN |
端口配置的Critical voice VLAN |
|
相同MAC地址用户的工作模式 · Single VLAN:不允许相同MAC地址用户在属于不同VLAN的相同接口再次接入 · Multiple VLAN:允许相同MAC地址用户在属于不同VLAN的相同接口再次接入 |
|
|
Offline detection |
MAC地址认证用户下线检测的开启状态,包括如下取值: · Enable:处于开启状态 · Disable:处于关闭状态 |
|
Authentication order |
MAC地址认证和802.1X认证并行处理 · Default:处于关闭状态 · Parallel:处于开启状态 |
|
端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数 |
|
|
接入用户的MAC地址 |
|
|
· Authenticated:认证成功 · Unauthenticated:认证失败 |
display mac-authentication connection命令用来显示当前MAC地址认证在线用户的详细信息。
IRF模式:
interface interface-type interface-number:显示指定端口的MAC地址认证用户信息。其中interface-type interface-number表示绑定的端口类型和端口编号。
slot slot-number:显示指定单板上的MAC地址认证用户信息,slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的MAC地址认证用户信息,chassis-number表示设备在IRF中的成员编号或者PEX对应的虚拟框号,slot-number表示单板或者PEX所在的槽位号。(IRF模式)
user-mac mac-addr:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。
user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。
若不指定任何参数,则显示所有单板上的MAC地址认证在线用户信息。(独立运行模式)
若不指定任何参数,则显示所有成员设备的所有单板上的MAC地址认证在线用户信息。(IRF模式)
# 显示所有MAC地址认证在线用户信息。(独立运行模式)
<Sysname> display mac-authentication connection
Slot ID: 0
User MAC address: 0015-e9a6-7cfe
Access interface: GigabitEthernet1/0/1
Username: ias
Authentication domain: h3c
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization ACL ID: 3001
Termination action: Radius-request
Session timeout period: 2 s
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
Total 1 connection(s) matched.
# 显示所有MAC地址认证在线用户信息。(IRF模式)
<Sysname> display mac-authentication connection
Chassis ID: 1
Slot ID: 0
User MAC address: 0015-e9a6-7cfe
Access interface: GigabitEthernet1/0/1
Username: ias
Authentication domain: h3c
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization ACL ID: 3001
Termination action: Radius-request
Session timeout period: 2 s
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
Total 1 connection(s) matched.
表1-2 display mac-authentication connection 命令显示信息描述表
|
当前设备在IRF中的成员编号(IRF模式) |
|
|
单板所在的槽位号(独立运行模式) |
|
|
用户的MAC地址 |
|
|
认证时所用的ISP域的名称 |
|
|
授权ACL编号 |
|
|
· Default:会话超时时间到达后,强制用户下线 · Radius-Request:会话超时时间到达后,请求MAC地址认证用户进行重认证 |
|
|
服务器下发的会话超时时间,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Terminate action字段的取值决定 |
|
|
MAC认证用户的上线时间 |
|
|
MAC认证用户的在线时长 |
|
|
在线MAC地址认证用户个数 |
mac-authentication命令用来开启指定端口上或全局的MAC地址认证。
undo mac-authentication命令用来关闭指定端口上或全局的MAC地址认证。
所有端口及全局的MAC地址认证都处于关闭状态。
系统视图/二层以太网接口视图
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
# 开启全局的MAC地址认证。
[Sysname] mac-authentication
# 开启端口GigabitEthernet1/0/1上的MAC地址认证。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication
mac-authentication carry user-ip命令用来开启MAC地址认证请求中携带用户IP地址功能。
undo mac-authentication carry user-ip命令用来恢复缺省情况。
【命令】
mac-authentication carry user-ip
undo mac-authentication carry user-ip
【缺省情况】
MAC地址认证请求中不携带用户IP地址。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
在终端用户采用静态IP地址方式接入的组网环境中,如果终端用户擅自修改自己的IP地址,则整个网络环境中可能会出现IP地址冲突等问题。
为了解决以上问题,管理员可以在接口上开启MAC地址认证请求中携带用户IP地址的功能,用户在进行MAC地址认证时,设备会把用户的IP地址上传到iMC服务器。然后iMC服务器会把认证用户的IP地址和MAC地址与服务器上已经存在的IP与MAC的绑定表项进行匹配,如果匹配成功,则该用户MAC地址认证成功;否则,MAC地址认证失败。
H3C的iMC服务器上IP与MAC地址信息绑定表项的生成方式如下:
· 如果在iMC服务器上创建用户时手工指定了用户的IP地址和MAC地址信息,则服务器会使用手工指定的IP和MAC信息生成该用户的IP与MAC地址的绑定表项
· 如果在iMC服务器上创建用户时手工未指定用户的IP地址和MAC地址信息,服务器会使用用户初次进行MAC地址认证时使用的IP地址和MAC地址生成该用户的IP与MAC地址的绑定表项。
需要注意的是:
· 此功能仅对采用静态IP地址方式接入的认证用户才有效。在采用DHCP方式获取IP地址的情况下,因为用户MAC地址认证成功之后才可以进行IP地址获取,所以用户在进行MAC地址认证时,设备无法上传用户的IP地址。
· 在开启了MAC地址认证的接口上,请不要同时配置mac-authentication carry user-ip和mac-authentication guest-vlan命令;因为当同时配置了以上两条命令之后,加入Guest VLAN的用户无法再次发起MAC地址认证,用户会一直停留在Guest VLAN中。
【举例】
# 开启端口GigabitEthernet1/0/1上的MAC地址认证请求携带用户IP地址功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication carry user-ip
【相关命令】
· mac-authentication
mac-authentication critical vlan命令用来配置指定端口的MAC地址认证的Critical VLAN,即当MAC用户认证时对应的ISP域下所有认证服务器都不可达的情况下被授权访问Critical VLAN内的资源。
undo mac-authentication critical vlan命令用来恢复缺省情况。
mac-authentication critical vlan critical-vlan-id
undo mac-authentication critical vlan
端口上未配置MAC地址认证的Critical VLAN。
critical-vlan-id:端口上指定的Critical VLAN ID,取值范围为1~4094(取值范围与设备型号有关。该VLAN必须已经创建。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Critical VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Critical VLAN,则该VLAN不能被指定为Super VLAN。
禁止删除已被配置为Critical VLAN的VLAN,若要删除该VLAN,请先使用命令undo mac-authentication critica vlan取消MAC地址认证的Critical VLAN配置。
# 配置端口GigabitEthernet1/0/1的Critical VLAN为VLAN 100 。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication critical vlan 100
· reset mac-authentication critical-vlan
mac-authentication critical-voice-vlan命令用来开启端口下MAC地址认证的Critical voice VLAN功能。
undo mac-authentication critical-voice-vlan命令用来恢复缺省情况。
【命令】
mac-authentication critical-voice-vlan
undo mac-authentication critical-voice-vlan
【缺省情况】
MAC地址认证的Critical voice VLAN功能处于关闭状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
端口上开启MAC地址认证的Critical voice VLAN功能后,当MAC地址认证语音用户采用的ISP域中的所有认证服务器都不可达时,端口将被加入到此端口上已配置的语音VLAN中,在此也被称为MAC地址认证的Critical voice VLAN。端口上的语音VLAN通过voice-vlan enable命令配置,有关此命令的详细介绍请参见“二层技术-以太网交换命令参考”中的“VLAN”。
设备通过LLDP(Link Layer Discovery Protocol,链路层发现协议)来判断用户是否为语音用户,因此为保证MAC地址认证Critical voice VLAN功能可以正常工作,请在开启此功能之前务必确保设备的全局和相应端口下均已开启LLDP功能。有关LLDP功能的详细介绍请参见“二层技术-以太网交换命令参考”中的“LLDP”。
【举例】
# 打开端口GigabitEthernet1/0/1的Critical voice VLAN开关 。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication critical-voice-vlan
【相关命令】
· display mac-authentication
· lldp enable(二层技术-以太网交换命令参考/LLDP)
· lldp global enable(二层技术-以太网交换命令参考/LLDP)
· reset mac-authentication critical-voice-vlan
· voice-vlan enable(二层技术-以太网交换命令参考/VLAN)
mac-authentication domain命令用来指定MAC地址认证用户使用的认证域。
undo mac-authentication domain命令用来恢复缺省情况。
mac-authentication domain domain-name
undo mac-authentication domain
未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domain default enable。
系统视图/二层以太网接口视图
domain-name:ISP域名,为1~24个字符的字符串,不区分大小写。
· 系统视图下指定的认证域对所有开启了MAC地址认证的端口生效。
· 二层以太网接口视图下指定的认证域仅对本端口有效。不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。
# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。
[Sysname] mac-authentication domain domain1
# 指定端口GigabitEthernet1/0/1上接入的MAC地址认证用户使用的认证域为aabbcc。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication domain aabbcc
· domain default enable(安全命令参考/AAA)
mac-authentication guest-vlan命令用来配置指定端口的MAC地址认证的Guest VLAN,即MAC地址认证失败的用户被授权访问的VLAN。
undo mac-authentication guest-vlan命令用来恢复缺省情况。
mac-authentication guest-vlan guest-vlan-id
undo mac-authentication guest-vlan
端口上未配置MAC地址认证的Guest VLAN。
guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
配置了MAC地址认证的Guest VLAN后,不能再配置MAC地址认证请求中携带用户IP地址的功能。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Guest VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Guest VLAN,则该VLAN不能被指定为Super VLAN。
禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先使用命令undo mac-authentication guest-vlan取消MAC地址认证的Guest VLAN配置。
# 配置端口GigabitEthernet1/0/1的Guest VLAN为VLAN 100 。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication guest-vlan 100
· reset mac-authentication guest-vlan
mac-authentication guest-vlan auth-period命令用来配置设备对Guest VLAN中的用户进行重新认证的时间间隔。
undo mac-authentication guest-vlan auth-period命令用来恢复缺省情况。
【命令】
mac-authentication guest-vlan auth-period period-value
undo mac-authentication guest-vlan auth-period
【缺省情况】
设备对Guest VLAN中的用户进行重新认证的时间间隔为30秒。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
period-value:表示设备重新发起认证的时间间隔,取值范围为1~3600,单位为秒。
【举例】
# 在端口GigabitEthernet1/0/1上配置设备对Guest VLAN中的用户进行重新认证的时间间隔为150秒。
<Sysname> system-view
[Sysname] interface gigabitethernet1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication guest-vlan auth-period 150
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan
mac-authentication host-mode multi-vlan命令用来指定端口工作在MAC地址认证的多VLAN 模式。
undo mac-authentication host-mode命令用来恢复缺省情况。
mac-authentication host-mode multi-vlan
undo mac-authentication host-mode
端口工作在MAC地址认证的单VLAN 模式。
端口工作在多VLAN模式下时,如果相同MAC地址的用户在属于不同VLAN的相同端口再次接入,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。
端口工作在单VLAN模式下时,同一个MAC地址的用户报文在使能了MAC地址认证的相同的端口上只能在同一个VLAN中通过。如果已上线用户在属于不同VLAN的相同端口再次接入,设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。
对于接入IP电话类用户的端口,指定端口工作在MAC地址认证的多VLAN 模式,可避免IP电话终端的报文所携带的VLAN tag发生变化后,因用户流量需要重新认证带来语音报文传输质量受干扰的问题。
# 配置端口GigabitEthernet1/0/1工作在MAC地址认证的多VLAN模式。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication host-mode multi-vlan
mac-authentication offline-detect enable命令用来开启MAC地址认证下线检测功能。
undo mac-authentication offline-detect enable命令用来关闭MAC地址认证下线检测功能。
【命令】
mac-authentication offline-detect enable
undo mac-authentication offline-detect enable
【缺省情况】
MAC地址认证下线检测功能处于开启状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
MAC地址认证下线检测功能和下线检测定时器配合使用,使能本功能时,若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。
关闭端口的MAC地址认证下线检测功能后,设备将不再对在线用户的状态进行检测。
【举例】
# 关闭端口GigabitEthernet1/0/1上的MAC地址认证下线检测功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] undo mac-authentication offline-detect enable
【相关命令】
· mac-authentication timer
mac-authentication max-user命令用来配置端口上最多允许同时接入的MAC地址认证用户数。当接入此端口的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
undo mac-authentication max-user命令用来恢复缺省情况。
mac-authentication max-user user-number
undo mac-authentication max-user
端口上最多允许同时接入的MAC地址认证用户数为4294967295。
user-number:端口允许同时接入的MAC地址认证用户数的最大值取值范围为1~4294967295。
# 配置端口GigabitEthernet1/0/1最多允许同时接入32个MAC地址认证用户。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication max-user 32
mac-authentication parallel-with-dot1x命令用来配置端口MAC地址认证和802.1X认证并行处理功能。
undo mac-authentication parallel-with-dot1x命令用来恢复缺省情况。
【命令】
mac-authentication parallel-with-dot1x
undo mac-authentication parallel-with-dot1x
【缺省情况】
端口在收到源MAC地址未知的报文触发认证时,按照802.1X认证完成后再进行MAC地址认证的顺序进行处理。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启本功能后,在端口采用802.1X和MAC地址组合认证功能,并配置了802.1X单播触发功能时,端口收到源MAC地址未知的报文,在向该MAC地址单播发送EAP-Request/Identity报文后,不需要等待802.1X认证处理完成,就同时进行MAC地址认证的处理。
端口采用802.1X和MAC地址组合认证功能适用于如下情况:
· 端口上同时开启了802.1X和MAC地址认证功能,并配置了802.1X认证的端口的接入控制方式为macbased。
· 开启了端口安全功能,并配置了端口安全模式为userlogin-secure-or-mac或userlogin-secure-or-mac-ext。
在端口采用802.1X认证和MAC地址组合认证的情况下,如果想要在端口加入到802.1X Guest VLAN之前进行MAC地址认证并下发授权VLAN,请通过本命令开启端口MAC地址认证和802.1X认证并行处理功能,并配置端口延迟加入802.1X Guest VLAN功能。
开启了MAC地址认证和802.1X认证并行处理功能后,不建议配置端口的MAC地址认证延迟功能。
【举例】
# 在端口GigabitEthernet1/0/1上开启MAC地址认证和802.1X认证并行处理功能。
<Sysname> system-view
[Sysname] interface gabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication parallel-with-dot1x
【相关命令】
· display mac-authentication
mac-authentication re-authenticate server-unreachable keep-online命令用来配置重认证服务器不可达时端口上的MAC地址认证用户保持在线状态。
undo mac-authentication re-authenticate server-unreachable命令用来恢复缺省情况。
mac-authentication re-authenticate server-unreachable keep-online
undo mac-authentication re-authenticate server-unreachable
端口上的MAC地址认证在线用户重认证时,若认证服务器不可达,则会被强制下线。
# 配置端口GigabitEthernet1/0/1上的MAC地址认证在线用户进行重认证时,若服务器不可达,则保持在线状态。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication re-authenticate server-unreachable keep-online
mac-authentication timer命令用来配置MAC地址认证的定时器参数。
undo mac-authentication timer命令用来恢复缺省情况。
undo mac-authentication timer { offline-detect | quiet | server-timeout }
下线检测定时器的值为300秒,静默定时器的值为60秒,服务器超时定时器的值为100秒。
offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围60~2147483647,单位为秒。
quiet quiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围1~3600,单位为秒。
server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。
MAC地址认证过程受以下定时器的控制:
· 下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。
· 静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
# 设置服务器超时定时器时长为150秒。
[Sysname] mac-authentication timer server-timeout 150
mac-authentication timer auth-delay命令用来开启MAC地址认证延迟功能,并配置MAC地址认证的延时时间。
undo mac-authentication timer auth-delay命令用来恢复缺省情况。
mac-authentication timer auth-delay time
undo mac-authentication timer auth-delay
MAC地址认证延迟功能处于关闭状态,如果用户报文触发MAC地址认证,认证将会立刻开始。
time:延迟MAC地址认证的时间,取值范围为1~180,单位为秒。
端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。
开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是在等待一定的延迟时间之后,再会对之前收到的用户报文进行MAC地址认证。在此认证延迟期间,端口对用户报文的其它认证过程并不受影响。
开启了MAC地址认证延迟功能的接口上不建议同时配置端口安全的模式为mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。
# 开启MAC地址延迟认证功能,并指定MAC地址认证的延时时间为10秒。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication timer auth-delay 10
· port-security port-mode(安全命令参考/端口安全)
mac-authentication user-name-format命令用来配置MAC地址认证的用户名格式。
undo mac-authentication user-name-format命令用来恢复缺省情况。
undo mac-authentication user-name-format
使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符“-”。
fixed:表示采用固定用户名格式。
account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。
password:指定固定用户名的密码。
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码。
password:设置的明文密码或密文密码,区分大小写。明文密码为1~63个字符的字符串;密文密码为1~117个字符的字符串。
mac-address:表示使用用户的MAC地址作为用户名和密码。
with-hyphen:带连字符“-”的MAC地址格式,例如xx-xx-xx-xx-xx-xx。
without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx。
lowercase:MAC地址中的字母为小写。
uppercase:MAC地址中的字母为大写。
若指定用户的MAC地址为用户名,则用户密码也为用户的MAC地址。这种情况下,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户帐户。
若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
以明文或密文方式设置的密码,均以密文的方式保存在配置文件中。
# 配置MAC地址认证的用户名为abc,密码是明文xyz。
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用户的MAC地址为用户名和密码,使用带连字符“-”的MAC地址格式,其中字母大写。
[Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase
reset mac-authentication critical-vlan命令用来清除Critical VLAN内的MAC地址认证用户。
interface interface-type interface-number:表示使指定端口上的用户退出Critical VLAN,interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定 MAC地址的用户退出Critical VLAN。
# 在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Critical VLAN。
<Sysname> reset mac-authentication critical-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
· mac-authentication critical vlan
reset mac-authentication critical-voice-vlan命令用来清除MAC地址认证Critical voice VLAN内的MAC地址认证用户。
【命令】
reset mac-authentication critical-voice-vlan interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出MAC地址认证的Critical voice VLAN,interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Critical voice VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Critical voice VLAN。
【举例】
# 在端口GigabitEthernet1/0/1上使MAC地址为1-1-1的MAC地址认证用户退出Critical voice VLAN。
<Sysname> reset mac-authentication critical-voice-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
reset mac-authentication guest-vlan命令用来清除Guest VLAN内的MAC地址认证用户。
interface interface-type interface-number:表示使指定端口上的用户退出Guest VLAN,interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定 MAC地址的用户退出Guest VLAN。
# 在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Guest VLAN。
<Sysname> reset mac-authentication guest-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
· mac-authentication guest-vlan
reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。
reset mac-authentication statistics [ interface interface-type interface-number ]
interface interface-type interface-number:清除指定端口的MAC地址认证统计信息,interface-type interface-number为端口类型和端口编号。
如果不指定端口类型和端口编号,则清除设备上的全局及所有端口的MAC认证统计信息。
# 清除二层以太网端口GigabitEthernet1/0/1上的MAC认证统计信息。
<Sysname> reset mac-authentication statistics interface gigabitethernet 1/0/1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
