国家 / 地区

10-安全命令参考

03-MAC地址认证命令

本章节下载  (268.98 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500-S/Command/Command_Manual/H3C_S12500-S_CR-R758X-6W100/10/201907/1214020_30005_0.htm

03-MAC地址认证命令

目  录

1 MAC地址认证

1.1 MAC地址认证配置命令

1.1.1 display mac-authentication

1.1.2 display mac-authentication connection

1.1.3 display mac-authentication mac-address

1.1.4 mac-authentication

1.1.5 mac-authentication access-user log enable

1.1.6 mac-authentication authentication-method

1.1.7 mac-authentication carry user-ip

1.1.8 mac-authentication critical vlan

1.1.9 mac-authentication critical vsi

1.1.10 mac-authentication critical-voice-vlan

1.1.11 mac-authentication domain

1.1.12 mac-authentication guest-vlan

1.1.13 mac-authentication guest-vlan auth-period

1.1.14 mac-authentication guest-vsi

1.1.15 mac-authentication guest-vsi auth-period

1.1.16 mac-authentication host-mode

1.1.17 mac-authentication max-user

1.1.18 mac-authentication offline-detect enable

1.1.19 mac-authentication offline-detect mac-address

1.1.20 mac-authentication parallel-with-dot1x

1.1.21 mac-authentication re-authenticate

1.1.22 mac-authentication re-authenticate server-unreachable keep-online

1.1.23 mac-authentication server-recovery online-user-sync

1.1.24 mac-authentication timer (interface view)

1.1.25 mac-authentication timer (system view)

1.1.26 mac-authentication unauthenticated-user aging enable

1.1.27 mac-authentication user-name-format

1.1.28 reset mac-authentication access-user

1.1.29 reset mac-authentication critical vlan

1.1.30 reset mac-authentication critical vsi

1.1.31 reset mac-authentication critical-voice-vlan

1.1.32 reset mac-authentication guest-vlan

1.1.33 reset mac-authentication guest-vsi

1.1.34 reset mac-authentication statistics

 


1 MAC地址认证

1.1  MAC地址认证配置命令

1.1.1  display mac-authentication

display mac-authentication命令用来显示MAC地址认证的相关信息。

【命令】

display mac-authentication [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

interface interface-type interface-number:显示全局及指定端口的MAC地址认证相关信息。interface-type interface-number为端口类型和端口编号。若指定的端口上未使能MAC地址认证,则不显示该端口任何信息。

【使用指导】

如果不指定任何参数,则显示所有在线MAC地址认证的详细信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。

【举例】

# 显示MAC地址认证信息。

<Sysname> display mac-authentication

 Global MAC authentication parameters:

   MAC authentication                  : Enabled

   Authentication method               : PAP

   Username format                     : MAC address in lowercase(xxxxxxxxxxxx)

           Username                    : mac

           Password                    : Not configured

   Offline detect period               : 300 s

   Quiet period                        : 60 s

   Server timeout                      : 100 s

   Reauth period                       : 3600 s

   User aging period for critical VLAN : 1000 s

   User aging period for critical VSI  : 1000 s

   User aging period for guest VLAN    : 1000 s

   User aging period for guest VSI     : 1000 s

   Authentication domain               : Not configured, use default domain

 Online MAC-auth wired users           : 1

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

          0001-0000-0001    100      XGE1/0/2                21

 

 Ten-GigabitEthernet1/0/1  is link-up

   MAC authentication               : Enabled

   Carry User-IP                    : Disabled

   Authentication domain            : Not configured

   Auth-delay timer                 : Enabled

   Auth-delay period                : 60 s

   Periodic reauth                  : Enabled

       Reauth period                : 120 s

   Re-auth server-unreachable       : Logoff

   Guest VLAN                       : 100

   Guest VLAN auth-period           : 150 s

   Critical VLAN                    : Not configured

   Critical voice VLAN              : Disabled

   Host mode                        : Multiple VLAN

   Offline detection                : Enabled

   Authentication order             : Parallel

   User aging                       : Enabled

   Server-recovery online-user-sync : Enabled

 

   Guest VSI                        : Not configured

   Guest VSI auth-period            : 30 s

   Critical VSI                     : Not configured

   Max online users                 : 4294967295

   Authentication attempts          : successful 2, failed 3

   Current online users             : 1

          MAC address       Auth state

          0001-0000-0001    Unauthenticated

 

表1-1 display mac-authentication命令显示信息描述表

字段

描述

Global MAC authentication parameters

全局MAC地址认证参数

MAC authentication

MAC地址认证的开启状态

Authentication method

MAC地址认证采用的认证方法

·         CHAP:采用CHAP认证方法

·         PAP:采用PAP认证方法

Username format

MAC地址认证使用的账号格式

·         若采用MAC地址账号,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xxxxxxxxxxxx)”,它表示用户名格式为不带连字符的MAC地址,其中字母为小写

·         若采用固定用户名账号,则显示“Fixed account”

Username

用户名

·         采用MAC地址账号时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码

·         采用固定用户名账号时,该值为配置的用户名(缺省为mac)

Password

用户名的密码

·         采用MAC地址账号时,该值显示为“Not configured”

·         采用固定用户名账号时,配置的值将显示为******

Offline detect period

下线检测定时器的值

Quiet period

静默定时器的值

Server timeout

服务器连接超时定时器的值

Reauth period

重认证定时器的值

User aging period for critical VLAN

Critical VLAN中用户的老化时间

User aging period for critical VSI

Critical VSI中用户的老化时间

User aging period for guest VLAN

Guest VLAN中用户的老化时间

User aging period for guest VSI

Guest VSI中用户的老化时间

Authentication domain

系统视图下指定的MAC地址认证用户使用的认证域,如果没有指定认证域,则显示Not configured, use default domain

Online MAC-auth wired users

在线有线用户和正在发起MAC地址认证的有线用户的总数

Silent MAC users

静默用户信息(包括设备添加的静默用户和服务器授权下发黑洞MAC的静默用户)

MAC address

静默用户的MAC地址

VLAN ID

静默用户所在的VLAN

From port

静默用户接入的端口名称

Port index

静默用户接入的端口索引号

Ten-GigabitEthernet1/0/1 is link-up

端口Ten-GigabitEthernet1/0/1的链路状态

MAC authentication

当前端口的MAC地址认证开启状态

·         Enabled:处于开启状态

·         Enabled (but NOT effective):处于开启状态,但功能未生效。未生效原因包括PEX二层聚合口下没有成员口、设备上ACL资源全部被占用

·         Disabled:处于关闭状态

Carry User-IP

MAC地址认证请求携带用户IP地址关闭状态

Authentication domain

端口上指定的MAC地址认证用户使用的认证域

Auth-delay timer

MAC地址认证延迟功能的开启状态

Auth-delay period

配置的认证延迟时间

Periodic reauth

端口上MAC地址重认证开启状态

Reauth period

端口上配置的MAC地址重认证时间间隔

Re-auth server-unreachable

重认证时服务器不可达对MAC地址认证的在线用户采取的动作

·         Logoff:重认证服务器不可达,强制MAC地址认证在线用户下线

·         Online:重认证服务器不可达,保持MAC地址认证在线用户在线

Guest VLAN

端口配置的Guest VLAN,如果没有配置,则显示Not configured

Guest VLAN auth-period

进入Guest VLAN后发起重认证的时间间隔

Critical VLAN

端口配置的Critical VLAN,如果没有配置,则显示Not configured

Critical voice VLAN

端口配置MAC地址认证的Critical Voice VLAN功能的开启状态

·         Enabled:处于开启状态

·         Disabled:处于关闭状态

Host mode

相同MAC地址用户的工作模式

·         如果配置的是多VLAN模式,则显示Multiple VLAN

·         如果配置的是单VLAN模式,则显示Single VLAN

Offline detection

MAC地址认证用户下线检测的开启状态

·         Enabled:处于开启状态

·         Disabled:处于关闭状态

Authentication order

MAC地址认证和802.1X认证并行处理

·         Default:处于关闭状态

·         Parallel:处于开启状态

User aging

非认证成功VLAN和VSI中MAC地址认证用户老化功能的开启状态

·         Enabled:处于开启状态

·         Disabled:处于关闭状态

Server-recovery online-user-sync

RADIUS服务器从不可达状态恢复为可达时,设备同步MAC地址认证的在线用户信息到RADIUS服务器功能的开启状态:

·         Enabled:处于开启状态

·         Disabled:处于关闭状态

Guest VSI

端口配置的Guest VSI,如果没有配置,则显示Not configured

Guest VSI auth-period

进入Guest VSI后发起重认证的时间间隔,单位为秒

Critical VSI

端口配置的Critical VSI,如果没有配置,则显示Not configured

Max online users

本端口最多可容纳的接入用户数

Authentication attempts: successful 1, failed 0

端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数

MAC address

接入用户的MAC地址

Auth state

接入用户的状态

·         Authenticated:认证成功

·         Unauthenticated:尚未认证成功

 

1.1.2  display mac-authentication connection

display mac-authentication connection命令用来显示MAC地址认证在线用户的详细信息。

【命令】

(独立运行模式)

display mac-authentication connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-address | user-name user-name ]

(IRF模式)

display mac-authentication connection [ open ] [ chassis chassis-number slot slot-number | interface  interface-type interface-number | user-mac mac-address | user-name user-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

open:只显示在开放认证模式下使用不存在的用户名或者错误的密码接入的MAC地址认证的用户信息。若不指定本参数,则显示设备上所有MAC地址认证在线用户的信息。

interface interface-type interface-number:显示指定端口的MAC地址认证用户信息。其中interface-type interface-number表示绑定的端口类型和端口编号。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。

slot slot-number:显示指定单板上的MAC地址认证用户信息。slot-number表示单板所在的槽位号。若不指定本参数,则显示所有单板上的MAC地址认证用户信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备上指定单板的MAC地址认证用户信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定本参数,则显示所有单板上的MAC地址认证用户信息。(IRF模式)

user-mac mac-address:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。

user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。

【举例】

# 显示所有MAC地址认证在线用户信息。(独立运行模式)

<Sysname> display mac-authentication connection

Total connections: 1

Slot ID: 0

User MAC address: 0015-e9a6-7cfe

Access interface: Ten-GigabitEthernet1/0/1

Username: ias

User access state: Successful

Authentication domain: macusers

IPv4 address: 192.168.1.1

IPv6 address: 2000:0:0:0:1:2345:6789:abcd

Initial VLAN: 1

Authorization untagged VLAN: 100

Authorization tagged VLAN: N/A

Authorization VSI: N/A

Authorization ACL ID: 3001

Authorization CAR: N/A

Authorization URL: N/A

Termination action: Radius-request

Session timeout period: 2 sec

Offline detection: 100 sec (server-assigned)

Online from: 2013/03/02  13:14:15

Online duration: 0h 2m 15s

表1-2 display mac-authentication connection 命令显示信息描述表

字段

描述

Total connections

在线MAC地址认证用户个数

User MAC address

用户的MAC地址

Access interface

用户的接入接口名称

Username

用户名

User access state

用户的接入状态

·         Successful:MAC地址认证成功并接入

·         Open:使用不存在的用户名或者错误的密码进行开放认证并接入

Authentication domain

认证时所用的ISP域的名称

IPv4 address

用户IPv4地址

若未获取到用户的IP地址,则不显示该字段

IPv6 address

用户IPv6地址

若未获取到用户的IP地址,则不显示该字段

Initial VLAN

初始的VLAN

Authorization untagged VLAN

授权的untagged VLAN

Authorization tagged VLAN

授权的tagged VLAN

Authorization VSI

授权的VSI

Authorization ACL ID

授权ACL编号,若未授权成功,则在ACL编号后显示“(NOT effective)”

Authorization CAR

(暂不支持)当服务器未授权用户CAR属性时,该字段显示为N/A。

Authorization URL

授权的重定向URL

Termination action

服务器下发的终止动作类型:

·         Default:会话超时时间到达后,强制用户下线

·         Radius-Request:会话超时时间到达后,请求MAC地址认证用户进行重认证

用户采用本地认证时,该字段显示为Default

Session timeout period

服务器下发的会话超时时间,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Termination action字段的取值决定

Offline detection

用户进行下线检测的属性:

·         Ignore (command-configured):命令行配置该用户不进行下线检测

·         timer (command-configured):命令行配置的下线检测时间

·         Ignore (server-assigned):RADIUS服务器授权该用户不进行下线检测

·         timer (server-assigned):RADIUS服务器授权的下线检测时间

Online from

MAC认证用户的上线时间

Online duration

MAC认证用户的在线时长

 

1.1.3  display mac-authentication mac-address

display mac-authentication mac-address命令用来显示指定类型的VLAN或VSI中的MAC地址认证用户的MAC地址信息。

【命令】

display mac-authentication mac-address { critical-vlan | critical-vsi | guest-vlan | guest-vsi } [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

critical-vlan:显示MAC地址认证Critical VLAN中的用户MAC地址信息。

critical-vsi:显示MAC地址认证Critical VSI中的用户MAC地址信息。

guest-vlan:显示MAC地址认证Guest VLAN中的用户MAC地址信息。

guest-vsi:显示MAC地址认证Guest VSI中的用户MAC地址信息。

interface interface-type interface-number:显示VLAN或VSI中指定端口的MAC地址认证用户的MAC地址信息。其中interface-type interface-number表示端口类型和端口编号。若不指定本参数,则显示指定类型的VLAN或VSI中所有端口的MAC地址认证用户的MAC地址信息。

【使用指导】

查询到的MAC地址数量以及MAC地址明细为粗略统计,当有大量用户频繁进行认证时可能不能完全精准显示。

【举例】

# 显示所有MAC地址认证Guest VLAN中的用户的MAC地址信息。

<Sysname> display mac-authentication mac-address guest-vlan

Total MAC addresses: 10

Interface: Ten-GigabitEthernet1/0/1        Guest VLAN: 3           Aging time: N/A

MAC addresses: 8

  0800-2700-9427    0800-2700-2341    0800-2700-2324    0800-2700-2351

  0800-2700-5627    0800-2700-2251    0800-2700-8624    0800-2700-3f51

 

Interface: Ten-GigabitEthernet1/0/2        Guest VLAN: 5            Aging time: 30 sec

MAC addresses: 2

  0801-2700-9427    0801-2700-2341 

# 显示所有MAC地址认证Guest VSI中的用户的MAC地址信息。

<Sysname> display mac-authentication mac-address guest-vsi

Total MAC addresses: 10

Interface: Ten-GigabitEthernet1/0/3       Guest VSI: text-vsi   Aging time: N/A

MAC addresses: 8

  0800-2700-9427    0800-2700-2341    0800-2700-2324    0800-2700-2351

  0800-2700-5627    0800-2700-2251    0800-2700-8624    0800-2700-3f51

 

Interface: Ten-GigabitEthernet1/0/4        Guest VSI: text1-vsi   Aging time: 30 sec

MAC addresses: 2

  0801-2700-9427    0801-2700-2341

表1-3 display mac-authentication mac-address命令显示信息描述表

字段

描述

Total MAC addresses

指定类型的VLAN或VSI中的所有MAC地址总数

Interface

用户的接口名称

Type VLAN/VSI

显示MAC地址认证用户所在的VLAN或VSI信息,Type包含如下取值:

·         Critical VLAN

·         Critical VSI

·         Guest VLAN

·         Guest VSI

Aging time

MAC地址老化时间,单位秒。N/A表示该地址不老化

MAC addresses

MAC地址数

xxxx-xxxx-xxxx

MAC地址

 

【相关命令】

·            mac-authentication critical vlan

·            mac-authentication critical vsi

·            mac-authentication guest-vlan

·            mac-authentication guest-vsi

1.1.4  mac-authentication

mac-authentication命令用来开启端口上或全局的MAC地址认证。

undo mac-authentication命令用来关闭端口上或全局的MAC地址认证。

【命令】

mac-authentication

undo mac-authentication

【缺省情况】

所有端口及全局的MAC地址认证都处于关闭状态。

【视图】

系统视图

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。

【举例】

# 开启全局的MAC地址认证。

<Sysname> system-view

[Sysname] mac-authentication

# 开启端口Ten-GigabitEthernet1/0/1上的MAC地址认证。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication

【相关命令】

·            display mac-authentication

1.1.5  mac-authentication access-user log enable

mac-authentication access-user log enable命令用来开启MAC地址认证接入用户日志信息功能。

undo mac-authentication access-user log enable命令用来关闭MAC地址认证接入用户日志信息功能。

【命令】

mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *

undo mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *

【缺省情况】

MAC地址认证接入用户日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

failed-login:MAC地址认证用户上线失败的日志信息。

logoff:MAC地址认证用户下线的日志信息。

successful-login:MAC地址认证用户上线成功的日志信息。

【使用指导】

为了防止设备输出过多的MAC地址认证接入用户日志信息,一般情况下建议关闭此功能。

配置本命令时,如果未指定任何参数,将同时开启或关闭本命令所有参数对应的日志功能。

【举例】

# 开启MAC地址认证接入用户上线失败的日志信息。

<Sysname> system-view

[Sysname] mac-authentication access-user log enable failed-login

【相关命令】

·            info-center source maca logfile deny(网络管理和监控/信息中心)

1.1.6  mac-authentication authentication-method

mac-authentication authentication-method命令用来配置MAC地址认证采用的认证方法。

undo mac-authentication authentication-method命令用来恢复缺省情况。

【命令】

mac-authentication authentication-method { chap | pap }

undo mac-authentication authentication-method

【缺省情况】

设备采用PAP认证方法进行MAC地址认证。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

chap:采用CHAP类型的认证方法。

pap:采用PAP类型的认证方法。

【使用指导】

通过该命令可以配置设备进行MAC地址认证时,与RADIUS服务器之间采用的认证方法。PAP和CHAP认证方法的详细介绍如下:

·            PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。

·            CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。

【举例】

# 配置设备采用CHAP认证方法进行MAC地址认证。

<Sysname> system-view

[Sysname] mac-authentication authentication-method chap

【相关命令】

·            display mac-authentication

1.1.7  mac-authentication carry user-ip

mac-authentication carry user-ip命令用来配置MAC地址认证请求中携带用户IP地址。

undo mac-authentication carry user-ip命令用来恢复缺省情况。

【命令】

mac-authentication carry user-ip [ exclude-ip acl acl-number ]

undo mac-authentication carry user-ip

【缺省情况】

MAC地址认证请求中不携带用户IP地址。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

exclude-ip:指定不合法的IP地址范围,不对携带不合法IP地址的用户进行MAC地址认证。

acl acl-number:指定包含deny规则的ACL。其中acl-number表示ACL的编号,仅支持基本ACL,取值范围为2000~2999。

【使用指导】

在终端用户采用静态IP地址方式接入的组网环境中,如果终端用户擅自修改自己的IP地址,则整个网络环境中可能会出现IP地址冲突等问题。

为了解决以上问题,管理员可以在端口上开启MAC地址认证请求中携带用户IP地址的功能,用户在进行MAC地址认证时,设备会把用户的IP地址上传到iMC服务器。然后iMC服务器会把认证用户的IP地址和MAC地址与服务器上已经存在的IP与MAC的绑定表项进行匹配,如果匹配成功,则该用户MAC地址认证成功;否则,MAC地址认证失败。

配置mac-authentication carry user-ip命令后,当有用户接入时,设备会检查用户报文中的IP地址是否合法,并进行相应处理:

·            当用户的IP地址合法时,设备携带用户IP地址向服务器发起MAC地址认证请求;

·            当用户报文未携带IP地址或用户的IP地址不合法时,设备不对用户进行MAC地址认证。

·            收到源IP为0.0.0.0的DHCP报文时,设备会向服务器发起MAC地址认证请求,但认证报文中不携带IP地址。认证是否通过取决于认证服务器侧的配置。

H3C的iMC服务器上IP与MAC地址信息绑定表项的生成方式如下:

·            如果在iMC服务器上创建用户时手工指定了用户的IP地址和MAC地址信息,则服务器使用手工指定的IP和MAC信息生成该用户的IP与MAC地址的绑定表项。

·            如果在iMC服务器上创建用户时未手工指定用户的IP地址和MAC地址信息,则服务器使用用户初次进行MAC地址认证时使用的IP地址和MAC地址生成该用户的IP与MAC地址的绑定表项。

终端用户采用静态IP地址接入时,实际组网应用中会出现用户报文中携带的IP地址并非用户实际IP地址的情况,例如在IPv4静态地址组网中,用户报文携带的IP地址为以fe80开头的IPv6链路本地地址。配置mac-authentication carry user-ip命令后,设备会携带非用户实际的IP地址向服务器发起MAC地址认证请求,此种情况会导致服务器为用户绑定错误的IP地址或IP地址与MAC地址匹配失败。为避免上述情况发生,可以指定exclude-ip acl参数,不允许ACL中指定网段的用户进行MAC地址认证。

配置exclude-ip acl时,仅根据规则中配置的源IP地址进行过滤。建议ACL中配置deny规则来拒绝指定网段的用户进行MAC地址认证。如果ACL中仅配置了permit规则,则表示允许指定网段的用户进行MAC地址认证,这样的配置并没有实际意义。如果希望只允许某个网段用户进行MAC地址认证,可在ACL中同时配置一条指定网段的permit规则以及一条deny all规则来实现。

在开启了MAC地址认证的端口上,不建议将本命令与mac-authentication guest-vlanmac-authentication guest-vsi命令同时配置;否则,加入Guest VLAN或Guest VSI的用户无法再次发起MAC地址认证,用户会一直停留在Guest VLAN或Guest VSI中。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上配置MAC地址认证请求携带用户IP地址功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication carry user-ip

# 在端口Ten-GigabitEthernet1/0/1上配置MAC地址认证请求携带用户IP地址功能,并禁止携带IPv6链路本地地址的报文在此端口触发认证。

<Sysname> system-view

[Sysname]acl ipv6 basic 2000

[Sysname-acl-ipv6-basic-2000] rule deny source fe80:0::0:0 16

[Sysname-acl-ipv6-basic-2000] quit

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication carry user-ip exclude-ip acl 2000

【相关命令】

·            mac-authentication

1.1.8  mac-authentication critical vlan

mac-authentication critical vlan命令用来配置端口的MAC地址认证的Critical VLAN。

undo mac-authentication critical vlan命令用来恢复缺省情况。

【命令】

mac-authentication critical vlan critical-vlan-id

undo mac-authentication critical vlan

【缺省情况】

端口上未配置MAC地址认证的Critical VLAN。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

critical-vlan-id:端口上指定的Critical VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

【使用指导】

配置此功能后,当MAC用户认证时对应的ISP域下所有认证服务器都不可达的情况下被授权访问Critical VLAN内的资源。

如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Critical VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Critical VLAN,则该VLAN不能被指定为Super VLAN。

端口下配置MAC地址认证的Critical VLAN与配置MAC地址认证的Guest VSI或Critical VSI互斥。禁止删除已被配置为Critical VLAN的VLAN,若要删除该VLAN,请先通过undo mac-authentication critical vlan命令取消MAC地址认证的Critical VLAN配置。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1的Critical VLAN为VLAN 100。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical vlan 100

【相关命令】

·            display mac-authentication

·            reset mac-authentication critical vlan

1.1.9  mac-authentication critical vsi

mac-authentication critical vsi命令用来在端口上配置MAC地址认证的Critical VSI。

undo mac-authentication critical vsi命令用来恢复缺省情况。

【命令】

mac-authentication critical vsi critical-vsi-name [ url-user-logoff ]

undo mac-authentication critical vsi

【缺省情况】

端口上未配置MAC地址认证的Critical VSI。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

critical-vsi-name:端口上指定的Critical VSI名称,为1~31个字符的字符串,区分大小写。

url-user-logoff:表示在添加第一个Critical VSI用户时,会强制让当前端口上授权了重定向URL的MAC地址认证用户下线。若不指定此参数,则端口上的授权了重定向URL的MAC地址认证用户一直保持在线,直到MAC地址认证下线检测功能发现其没有流量时下线。

【使用指导】

配置此功能后,当用户进行MAC认证时,若对应的ISP域下所有认证服务器都不可达,则用户会被加入Critical VSI对应的VXLAN中。

不同的端口可以指定不同的MAC地址认证Critical VSI,一个端口最多只能指定一个MAC地址认证Critical VSI。

端口下配置MAC地址认证的Critical VSI与配置MAC地址认证的Guest VLAN或Critical VLAN互斥。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1上MAC地址认证的Critical VSI名称为vpna。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical vsi vpna

【相关命令】

·            display mac-authentication

·            reset mac-authentication critical vsi

1.1.10  mac-authentication critical-voice-vlan

mac-authentication critical-voice-vlan命令用来开启端口上MAC地址认证的Critical Voice VLAN功能。

undo mac-authentication critical-voice-vlan命令用来关闭端口上MAC地址认证的Critical Voice VLAN功能。

【命令】

mac-authentication critical-voice-vlan

undo mac-authentication critical-voice-vlan

【缺省情况】

端口下MAC地址认证的Critical Voice VLAN功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

端口上开启MAC地址认证Critical Voice VLAN功能后,当语音用户进行MAC地址认证采用的ISP域中的所有认证服务器都不可达时,端口将被加入到此端口上的Voice VLAN中。端口上语音VLAN的配置命令请参见“二层技术-以太网交换命令参考”中的“VLAN”。

设备通过LLDP(Link Layer Discovery Protocol,链路层发现协议)来判断用户是否为语音用户,因此为保证MAC地址认证Critical Voice VLAN功能可以正常工作,请在开启此功能之前务必确保全局和相应端口下均已开启LLDP功能。有关LLDP功能的配置命令介绍请参见“二层技术-以太网交换命令参考”中的“LLDP”。

【举例】

# 开启端口Ten-GigabitEthernet1/0/1上MAC地址认证Critical Voice VLAN功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication critical-voice-vlan

【相关命令】

·            display mac-authentication

·            lldp enable(二层技术-以太网交换命令参考/LLDP)

·            lldp global enable(二层技术-以太网交换命令参考/LLDP)

·            reset mac-authentication critical-voice-vlan

·            voice-vlan enable(二层技术-以太网交换命令参考/VLAN)

1.1.11  mac-authentication domain

mac-authentication domain命令用来指定MAC地址认证用户使用的认证域。

undo mac-authentication domain命令用来恢复缺省情况。

【命令】

mac-authentication domain domain-name

undo mac-authentication domain

【缺省情况】

未指定MAC地址认证用户使用的认证域时,使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domain default enable

【视图】

系统视图

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

不同视图下指定的认证域的生效范围不同:

·            系统视图下指定的认证域对所有开启了MAC地址认证的端口生效。

·            二层以太网接口视图或二层聚合接口视图下指定的认证域仅对本端口有效。不同的端口可以指定不同的认证域。

端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域 > 系统视图下指定的认证域 > 系统缺省的认证域。

【举例】

# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。

<Sysname> system-view

[Sysname] mac-authentication domain domain1

# 指定端口Ten-GigabitEthernet1/0/1上接入的MAC地址认证用户使用的认证域为aabbcc。

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication domain aabbcc

【相关命令】

·            display mac-authentication

·            domain default enable(安全命令参考/AAA)

1.1.12  mac-authentication guest-vlan

mac-authentication guest-vlan命令用来配置端口的MAC地址认证的Guest VLAN。

undo mac-authentication guest-vlan命令用来恢复缺省情况。

【命令】

mac-authentication guest-vlan guest-vlan-id

undo mac-authentication guest-vlan

【缺省情况】

端口上未配置MAC地址认证的Guest VLAN。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

【使用指导】

配置此功能后,当MAC地址认证失败的情况下,用户可以继续被授权访问的Guest VLAN内的资源。

如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Guest VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Guest VLAN,则该VLAN不能被指定为Super VLAN。

端口下配置MAC地址认证的Guest VLAN与配置MAC地址认证的Guest VSI或Critical VSI互斥。

禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先通过undo mac-authentication guest-vlan命令取消MAC地址认证的Guest VLAN配置。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1的Guest VLAN为VLAN 100。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan 100

【相关命令】

·            display mac-authentication

·            reset mac-authentication guest-vlan

1.1.13  mac-authentication guest-vlan auth-period

mac-authentication guest-vlan auth-period命令用来配置设备对Guest VLAN中的用户进行重新认证的时间间隔。

undo mac-authentication guest-vlan auth-period命令用来恢复缺省情况。

【命令】

mac-authentication guest-vlan auth-period period-value

undo mac-authentication guest-vlan auth-period

【缺省情况】

设备对Guest VLAN中的用户进行重新认证的时间间隔为30秒。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

period-value:表示设备重新发起认证的时间间隔,取值范围为1~3600,单位为秒。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上配置设备对Guest VLAN中的用户进行重新认证的时间间隔为150秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan auth-period 150

【相关命令】

·            display mac-authentication

·            mac-authentication guest-vlan

1.1.14  mac-authentication guest-vsi

mac-authentication guest-vsi命令用来配置端口的MAC地址认证的Guest VSI。

undo mac-authentication guest-vsi命令用来恢复缺省情况。

【命令】

mac-authentication guest-vsi guest-vsi-name

undo mac-authentication guest-vsi

【缺省情况】

端口上未配置MAC地址认证的Guest VSI。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

guest-vsi-name:端口上指定的Guest VSI名称,为1~31个字符的字符串,区分大小写。

【使用指导】

配置此功能后,端口上MAC地址认证失败的用户会被加入到MAC地址认证的Guest VSI对应的VXLAN。

不同的端口可以配置不同的MAC认证的Guest VSI,但一个端口最多只能配置一个MAC认证的Guest VSI。

端口下配置MAC地址认证的Guest VSI与配置MAC地址认证的Guest VLAN或Critical VLAN互斥。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1的Guest VSI名称为vpna。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vsi vpna

【相关命令】

·            display mac-authentication

·            reset mac-authentication guest-vsi

1.1.15  mac-authentication guest-vsi auth-period

mac-authentication guest-vsi auth-period命令用来配置设备对Guest VSI中的用户进行重新认证的时间间隔。

undo mac-authentication guest-vsi auth-period命令用来恢复缺省情况。

【命令】

mac-authentication guest-vsi auth-period period-value

undo mac-authentication guest-vsi auth-period

【缺省情况】

设备对Guest VSI中的用户进行重新认证的时间间隔为30秒。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

period-value:表示设备重新发起认证的时间间隔,取值范围为1~3600,单位为秒。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上配置设备对Guest VSI中的用户进行重新认证的时间间隔为150秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication guest-vsi auth-period 150

【相关命令】

·            display mac-authentication

·            mac-authentication guest-vsi

1.1.16  mac-authentication host-mode

mac-authentication host-mode multi-vlan命令用来指定端口工作在MAC地址认证的多VLAN 模式。

undo mac-authentication host-mode命令用来恢复缺省情况。

【命令】

mac-authentication host-mode multi-vlan

undo mac-authentication host-mode

【缺省情况】

端口工作在MAC地址认证的单VLAN 模式。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

端口工作在多VLAN模式下时,如果相同MAC地址的用户在同一端口下的不同VLAN再次接入,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。

端口工作在单VLAN模式下时,在用户已上线,且没有被下发授权VLAN情况下,如果此用户在同一端口下的不同VLAN再次接入,则设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。

端口工作在单VLAN模式下时,如果已上线用户被下发了授权VLAN,则此用户在同一端口下的不同VLAN再次接入时,对用户的处理与是否允许用户迁移到同一端口下其它VLAN接入(通过port-security mac-move permit命令)有关:

·            如果不允许用户迁移到同一端口下其它VLAN接入,则此用户在同一端口下的不同VLAN接入失败,原用户保持在线。

·            如果允许用户迁移到同一端口下其它VLAN接入,则用户在新的VLAN内需要重新认证,且在用户重新上线后,原用户下线。

对于接入IP电话类用户的端口,指定端口工作在MAC地址认证的多VLAN模式,可避免IP电话终端的报文所携带的VLAN tag发生变化后,因用户流量需要重新认证而导致语音报文传输质量受干扰的问题。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1工作在MAC地址认证的多VLAN模式。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication host-mode multi-vlan

【相关命令】

·            display mac-authentication

·            port-security mac-move permit(安全命令参考/端口安全)

1.1.17  mac-authentication max-user

mac-authentication max-user命令用来配置端口上最多允许同时接入的MAC地址认证用户数。undo mac-authentication max-user命令用来恢复缺省情况。

【命令】

mac-authentication max-user max-number

undo mac-authentication max-user

【缺省情况】

端口上最多允许同时接入的MAC地址认证用户数为4294967295。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

max-number:端口允许同时接入的MAC地址认证用户数的最大值,取值范围为1~4294967295。

【使用指导】

由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1最多允许同时接入32个MAC地址认证用户。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication max-user 32

【相关命令】

·            display mac-authentication

1.1.18  mac-authentication offline-detect enable

mac-authentication offline-detect enable命令用来开启端口的MAC地址认证下线检测功能。

undo mac-authentication offline-detect enable命令用来关闭端口的MAC地址认证下线检测功能。

【命令】

mac-authentication offline-detect enable

undo mac-authentication offline-detect enable

【缺省情况】

端口的MAC地址认证下线检测功能处于开启状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

开启端口的MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。

关闭端口的MAC地址认证下线检测功能后,设备将不会对在线用户的状态进行检测。

【举例】

# 关闭端口Ten-GigabitEthernet1/0/1上的MAC地址认证下线检测功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] undo mac-authentication offline-detect enable

【相关命令】

·            mac-authentication timer

1.1.19  mac-authentication offline-detect mac-address

mac-authentication offline-detect mac-address命令用来配置指定MAC地址用户的下线检测功能。

undo mac-authentication offline-detect mac-address命令用来恢复缺省情况。

【命令】

mac-authentication offline-detect mac-address mac-address { ignore | timer offline-detect-value [ check-arp-or-nd-snooping ] }

undo mac-authentication offline-detect mac-address mac-address

【缺省情况】

由端口的下线检测开关控制是否进行下线检测,且使用全局下线检测定时器作为检测周期。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

mac-address:指定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。

ignore:表示不对指定MAC地址用户进行下线检测。

timer offline-detect-value:表示设置下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。

check-arp-or-nd-snooping:表示检查是否存在该MAC地址对应的ARP Snooping表项或ND Snooping表项。

【使用指导】

端口上开启了MAC地址认证的下线检测功能后,如需对某些用户的检查参数进行单独设置,或者不对某些用户进行下线检测,则可通过执行本命令实现。

设置下线检测定时器后,设备在一个下线检测周期之内检测到如下情况时,会切断指定用户的连接,同时通知RADIUS服务器停止对此用户进行计费:

·            对指定MAC地址用户设置下线检测定时器且不指定check-arp-or-nd-snooping参数时,设备在一个下线检测周期之内,未收到该在线用户的报文;

·            对指定MAC地址用户设置下线检测定时器且指定check-arp-or-nd-snooping参数时,设备会检查在一个下线检测周期之内,是否存在该MAC地址对应的ARP Snooping或ND Snooping表项,若不存在则检查是否收到该在线用户的报文,若未收到则切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。

如果关闭端口的MAC地址认证下线检测功能(通过undo mac-authentication offline-detect enable命令),则不会对端口上的MAC地址认证用户进行下线检测,且本命令不生效。

通过ignore参数关闭用户下线检测的功能应用于哑终端的认证,避免哑终端用户因为MAC地址认证的下线检测功能开启导致哑终端下线后不能再次上线的问题,保证哑终端用户长期在线。

本命令对在线用户立即生效。

用户进行下线检测设置的优先级由高到低依次为:设备配置的指定MAC地址用户的下线检测设置、RADIUS服务器下发的下线检测设置、端口上的下线检测设置。其中,RADIUS服务器通过RADIUS属性为用户下发下线检测时间、是否检查ARP Snooping或ND Snooping表项,或是否进行下线检测。

【举例】

# 配置对MAC地址为000a-eb29-7511的MAC地址认证用户不进行下线检测。

<Sysname> system-view

[Sysname] mac-authentication offline-detect mac-address 000a-eb29-7511 ignore

# 配置对MAC地址为000a-eb29-7511的MAC地址认证用户进行下线检测时间为24小时。

<Sysname> system-view

[Sysname] mac-authentication offline-detect mac-address 000a-eb29-7511 timer 86400

【相关命令】

·            display mac-authentication connection

·            mac-authentication offline-detect enable

·            mac-authentication timer (system view)

1.1.20  mac-authentication parallel-with-dot1x

mac-authentication parallel-with-dot1x命令用来配置端口MAC地址认证和802.1X认证并行处理功能。

undo mac-authentication parallel-with-dot1x命令用来恢复缺省情况。

【命令】

mac-authentication parallel-with-dot1x

undo mac-authentication parallel-with-dot1x

【缺省情况】

端口在收到源MAC地址未知的报文触发认证时,按照802.1X认证完成后再进行MAC地址认证的顺序进行处理。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

端口采用802.1X和MAC地址组合认证功能适用于如下情况:

·            端口上同时开启了802.1X和MAC地址认证功能,并配置了802.1X认证的端口的接入控制方式为macbased。

·            开启了端口安全功能,并配置了端口安全模式为userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。

在端口采用802.1X认证和MAC地址组合认证的情况下,如果想要在端口加入到802.1X Guest VLAN或Guest VSI之前进行MAC地址认证并下发授权VLAN或授权VSI,请通过本命令开启端口MAC地址认证和802.1X认证并行处理功能,并配置端口延迟加入802.1X Guest VLAN或端口延迟加入802.1X Guest VSI功能。关于端口延迟加入802.1X Guest VLAN和端口延迟加入802.1X Guest VSI配置命令的详细介绍,请参见“安全命令参考”中的“802.1X”。

开启了MAC地址认证和802.1X认证并行处理功能后,不建议配置端口的MAC地址认证延迟功能。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上开启MAC地址认证和802.1X认证并行处理功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication parallel-with-dot1x

1.1.21  mac-authentication re-authenticate

mac-authentication re-authenticate命令用来开启MAC地址周期性重认证功能。

undo mac-authentication re-authenticate命令用来关闭MAC地址周期性重认证功能。

【命令】

mac-authentication re-authenticate

undo mac-authentication re-authenticate

【缺省情况】

MAC地址周期性重认证功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

端口开启了MAC地址认证用户的周期性重认证功能后,设备会周期性对该端口上的MAC地址认证在线用户进行重认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN等)。

如果同时配置了重认证功能和当RADIUS服务器变为可达后,设备向RADIUS服务器同步MAC地址认证在线用户信息的功能,则当重认证定时器超时时,设备不会对用户进行重认证,而是对用户进行同步操作。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上开启MAC地址重认证功能,并配置周期性重认证时间间隔为1800秒。

<Sysname> system-view

[Sysname] mac-authentication timer reauth-period 1800

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication re-authenticate

【相关命令】

·            display mac-authentication

·            mac-authentication server-recovery online-user-sync

·            mac-authentication timer

1.1.22  mac-authentication re-authenticate server-unreachable keep-online

mac-authentication re-authenticate server-unreachable keep-online命令用来配置重认证服务器不可达时端口上的MAC地址认证用户保持在线状态。

undo mac-authentication re-authenticate server-unreachable命令用来恢复缺省情况。

【命令】

mac-authentication re-authenticate server-unreachable keep-online

undo mac-authentication re-authenticate server-unreachable

【缺省情况】

端口上的MAC地址认证在线用户重认证时,若认证服务器不可达,则会被强制下线。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

配置此命令后,在对MAC地址认证用户重认证过程中,若设备发现认证服务器状态不可达,则保持MAC地址认证用户在线。

是否对MAC地址认证在线用户进行周期性重认证由认证服务器授权的属性所决定。认证服务器通过下发RADIUS属性(session-timeout、Terminal-Action)来指定用户会话超时时长以及会话中止的动作类型,它们共同决定了如何对用户进行重认证。

·            当会话中止的动作类型为要求用户进行重认证时,端口会在用户会话超时时长到达后对该用户进行重认证;

·            当会话中止的动作类型为要求用户下线时,端口会在用户会话超时时长到达强制该用户下线;

·            当认证服务器未下发用户会话超时时长时,设备不会对用户进行重认证。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1上的MAC地址认证在线用户进行重认证时,若服务器不可达,则保持在线状态。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication re-authenticate server-unreachable keep-online

【相关命令】

·            display mac-authentication

1.1.23  mac-authentication server-recovery online-user-sync

mac-authentication server-recovery online-user-sync命令用来开启RADIUS服务器变为可达后的MAC地址认证在线用户信息同步功能。

undo mac-authentication server-recovery online-user-sync命令用来关闭MAC地址认证在线用户信息同步功能。

【命令】

mac-authentication server-recovery online-user-sync

undo mac-authentication server-recovery online-user-sync

【缺省情况】

MAC地址认证在线用户信息同步功能处于关闭状态,即当RADIUS服务器从不可达状态恢复为可达后,设备不向RADIUS服务器同步MAC地址认证的在线用户信息。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

设备向RADIUS服务器同步MAC地址认证在线用户信息功能只能与H3C iMC服务器配合使用。

开启本功能后,当通过RADIUS服务器探测功能(具体配置步骤请参见“安全配置指导”中的“AAA”)探测到服务器由不可达变为可达后,设备便主动对端口上的所有在线用户依次向服务器发起认证请求,等到这些用户均通过认证后,达到服务器上的在线用户信息与该端口上的在线用户信息一致的目的。

在设备向RADIUS服务器同步MAC地址认证在线用户过程中,特殊情况处理如下:

·            如果在RADIUS服务器可达情况下,某用户认证失败,则设备强制该用户下线。

·            如果在设备发起下一次RADIUS服务器探测前,RADIUS服务器变为不可达而导致用户认证失败,则用户仍然保持在线。

·            如果有新用户发起认证,则该认证用户的信息不会向RADIUS服务器进行同步。

·            如果设备配置了周期性重认证功能,当重认证定时器超时时,设备不会对在线用户发起重认证,而是对用户进行同步操作。

当RADIUS服务器从不可达变为可达时,处于Critical VLAN或Critical VSI中的用户也会再次发起认证,在设备上MAC地址认证在线用户较多的情况下,如果配置了本功能,会因为同时进行认证的用户数量较大,而导致用户的上线时间变长。

本功能需要与RADIUS服务器探测功能配合使用,且RADIUS服务器探测周期必须小于RADIUS服务器恢复激活状态时长(通过timer quiet (RADIUS scheme view)命令),以避免服务器恢复激活状态定时器超时后将服务器的状态变为active而产生误报。

【举例】

# 配置设备向RADIUS服务器同步Ten-GigabitEthernet1/0/1端口下的MAC地址认证在线用户信息。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication server-recovery online-user-sync

【相关命令】

·            display mac-authentication

·            radius-server test-profile(安全命令参考/AAA)

·            timer quiet (RADIUS scheme view)(安全命令参考/AAA)

1.1.24  mac-authentication timer (interface view)

mac-authentication timer命令用来配置端口上的MAC地址认证的定时器参数。

undo mac-authentication timer命令用来将端口上指定的MAC地址认证定时器恢复为缺省情况。

【命令】

mac-authentication timer { auth-delay auth-delay-time | reauth-period reauth-period-value }

undo mac-authentication timer { auth-delay | reauth-period }

【缺省情况】

端口上未配置MAC地址认证延迟定时器,表示MAC地址认证延迟功能处于关闭状态,如果用户报文触发MAC地址认证,认证将会立刻开始;端口上未配置MAC地址周期性重认证定时器,端口使用系统视图下配置的MAC地址周期性重认证定时器的取值。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

auth-delay auth-delay-time:表示MAC地址认证延迟定时器。其中auth-delay-time表示MAC地址认证延迟定时器的值,取值范围为1~180,单位为秒。

reauth-period reauth-period-value:表示MAC地址认证周期性重认证定时器。其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~7200,单位为秒。

【使用指导】

端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。

开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是在等待一定的延迟时间之后,再会对之前收到的用户报文进行MAC地址认证。在此认证延迟期间,端口对用户报文的其它认证过程并不受影响。

开启了MAC地址认证延迟功能的端口上不建议同时配置端口安全的模式为mac-else-userlogin-securemac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。

对MAC地址认证用户进行重认证时,设备将按照如下由高到低的顺序为其选择重认证时间间隔:服务器下发的重认证时间间隔、接口视图下配置的周期性重认证定时器的值、系统视图下配置的周期性重认证定时器的值、设备缺省的周期性重认证定时器的值。

对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

【举例】

# 开启MAC地址延迟认证功能,并指定MAC地址认证的延时时间为10秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] mac-authentication timer auth-delay 10

【相关命令】

·            display mac-authentication

·            port-security port-mode(安全命令参考/端口安全)

1.1.25  mac-authentication timer (system view)

mac-authentication timer命令用来配置MAC地址认证的定时器参数。

undo mac-authentication timer命令用来恢复缺省情况。

【命令】

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | reauth-period reauth-period-value | server-timeout server-timeout-value | user-aging { critical-vlan | critical-vsi | guest-vlan | guest-vsi } aging-time-value }

undo mac-authentication timer { offline-detect | quiet | reauth-period | server-timeout | user-aging { critical-vlan | critical-vsi | guest-vlan | guest-vsi } }

【缺省情况】

下线检测定时器的值为300秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,服务器超时定时器的值为100秒,指定类型的非认证成功VLAN或VSI内用户老化定时器的值为1000秒。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。

quiet quiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围为1~3600,单位为秒。

reauth-period reauth-period-value:表示周期性重认证定时器,其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~7200,单位为秒。

server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。

user-aging:设置加入到指定类型的非认证成功VLAN或VSI中用户的老化定时器。

critical-vlan:加入到Critical VLAN中用户的老化定时器。

critical-vsi:加入到Critical VSI中用户的老化定时器。

guest-vlan:加入到Guest VLAN中用户的老化定时器。

guest-vsi:加入到Guest VSI中用户的老化定时器。

aging-time-value:用户老化定时器的值,取值范围为60~2147483647,单位为秒。

【使用指导】

MAC地址认证过程受以下定时器的控制:

·            下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。开启MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。配置offline-detect时,需要将MAC地址老化时间配成相同时间,否则会导致用户异常下线。只有当端口的MAC地址认证下线检测功能处于开启状态时,该定时器生效。

·            静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。

·            周期性重认证定时器(reauth-period):端口下开启了MAC地址周期性重认证功能后,设备可以此间隔为周期对端口上的在线用户发起重认证。对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

·            服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。

建议将server-timeout的值设定为小于或等于设备发送RADIUS报文的最大尝试次数(retry)与RADIUS服务器响应超时时间(timer response-timeout)之积。如果server-timeout的值大于retrytimer response-timeout之积,则可能在server-timeout设定的服务器超时时间到达前,用户被强制下线。

关于发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间的具体配置请参见“安全配置指导”中的“AAA”。

·            用户老化定时器(user-aging):用来设置指定类型的VLAN或VSI内用户老化时间。用户加入到Guest VLAN、Critical VLAN或加入到Guest VSI、Critical VSI后,设备启动该定时器。如果到达设定的老化时间,则用户离开指定的VLAN或VSI。

只有通过mac-authentication unauthenticated-user aging enable命令开启非认证成功VLAN和VSI中MAC地址认证用户的老化功能时,该定时器生效。

请不要将Guest VLAN或Guest VSI内用户老化时间设置为用户进行重新认证的时间间隔(通过命令mac-authentication guest-vlan auth-period/mac-authentication guest-vsi auth-period进行配置)的整数倍,否则会导致用户老化定时器失效。

【举例】

# 设置服务器超时定时器时长为150秒。

<Sysname> system-view

[Sysname] mac-authentication timer server-timeout 150

【相关命令】

·            display mac-authentication

·            mac-authentication guest-vlan auth-period

·            mac-authentication guest-vsi auth-period

·            mac-authentication unauthenticated-user aging enable

·            retry(安全命令参考/AAA)

·            timer response-timeout (RADIUS scheme view)(安全命令参考/AAA)

1.1.26  mac-authentication unauthenticated-user aging enable

mac-authentication unauthenticated-user aging enable命令用来开启非认证成功VLAN和VSI中MAC地址认证用户的老化功能。

undo mac-authentication unauthenticated-user aging enable命令用来关闭非认证成功VLAN和VSI中MAC地址认证用户的老化功能。

【命令】

mac-authentication unauthenticated-user aging enable

undo mac-authentication unauthenticated-user aging enable

【缺省情况】

非认证成功VLAN和VSI中MAC地址认证用户的老化功能处于开启状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

开启非认证成功VLAN和VSI中MAC地址认证用户的老化功能后,当MAC地址认证用户加入到Critical VLAN、Guest VLAN或加入到Critical VSI、Guest VSI时,设备启动用户老化定时器,到达老化时间(通过mac-authentication timer user-aging命令配置)后,用户离开对应的VLAN或VSI。

当端口上非认证成功VLAN或VSI的用户需要迁移到其它端口接入时,请开启本端口上非认证成功VLAN和VSI用户的老化功能,将本端口上的用户MAC地址老化删除。反之,当本端口非认证成功VLAN或VSI的用户不需要迁移到其它端口接入时,建议关闭本功能,以免用户老化退出后无法访问对应VLAN或VSI中的资源。

【举例】

# 关闭端口Ten-GigabitEthernet1/0/1上非认证成功VLAN和VSI中MAC地址认证用户的老化功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] undo mac-authentication unauthenticated-user aging enable

【相关命令】

·            mac-authentication timer

1.1.27  mac-authentication user-name-format

mac-authentication user-name-format命令用来配置MAC地址认证用户的帐号格式。

undo mac-authentication user-name-format命令用来恢复缺省情况。

【命令】

mac-authentication user-name-format { fixed [ account name ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] } [ password { cipher | simple } string ]

undo mac-authentication user-name-format

【缺省情况】

使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符“-”。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

fixed:表示采用固定用户名账号。

account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。

mac-address:表示使用用户的MAC地址作为用户名。

with-hyphen:带连字符“-”的MAC地址格式,例如xx-xx-xx-xx-xx-xx。

without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx。

lowercase:MAC地址中的字母为小写。

uppercase:MAC地址中的字母为大写。

password:指定用户的密码。使用用户的MAC地址作为用户名时,若不配置password参数,则表示使用用户的MAC地址同时作为用户名和密码。

cipher:以密文方式设置密码。

simple:以明文方式设置密码,该密码将以密文形式存储。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。若不指定该参数,则在使用用户的MAC地址作为用户名的情况下,表示使用用户的MAC地址作为密码;对于采用固定用户名的情况,表示无密码。

【使用指导】

指定用户的MAC地址为用户名时,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户账户。

若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名账号进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。

【举例】

# 配置MAC地址认证的用户名为abc,密码是明文xyz。

<Sysname> system-view

[Sysname] mac-authentication user-name-format fixed account abc password simple xyz

# 配置用户的MAC地址为用户名和密码,使用带连字符“-”的MAC地址格式,其中字母大写。

<Sysname> system-view

[Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase

【相关命令】

·            display mac-authentication

1.1.28  reset mac-authentication access-user

reset mac-authentication access-user命令用来强制MAC地址认证用户下线。

【命令】

reset mac-authentication access-user [ interface interface-type interface-number | mac mac-address | username username | vlan vlan-id | vsi vsi-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示强制指定端口下的MAC地址认证用户下线。interface-type interface-number为端口类型和端口编号。

mac mac-address:表示强制指定MAC地址的MAC地址认证用户下线。mac-address表示MAC地址认证用户的MAC地址,格式为H-H-H。

username username:表示强制指定名称的MAC地址认证用户下线。username表示MAC地址认证用户的名称,为1~253个字符的字符串,区分大小写。

vlan vlan-id:表示强制指定VLAN内的MAC地址认证用户下线。vlan-id表示MAC地址认证用户的授权VLAN、即将授权VLAN或初始VLAN的VLAN ID,取值范围为1~4094。

vsi vsi-name:表示强制指定VSI内的MAC地址认证用户下线。vsi-name表示MAC地址认证在线用户的授权VSI名称,为1~31个字符的字符串,区分大小写。

【使用指导】

reset mac-authentication access-user命令用来强制指定的MAC地址认证用户下线。强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行MAC地址认证。

指定vsi vsi-name参数时,设备会查找认证成功且已授权VSI的用户,将授权VSI为vsi-name的用户强制下线。

指定vlan vlan-id参数时,设备会对如下几种MAC地址认证用户进行下线处理:

·            对于认证成功且已授权VLAN的用户,将授权VLAN为vlan-id的用户强制下线;

·            对于已认证成功但尚未授权VLAN的用户,将即将授权的VLAN为vlan-id的用户强制下线;

·            对于正在认证中的用户,将初始VLAN为vlan-id的用户强制下线。

如果不指定任何参数,则强制设备上所有MAC地址认证用户下线。

【举例】

# 强制端口GigabitEthernet1/0/1上的所有MAC地址认证用户下线。

<Sysname> reset mac-authentication access-user interface gigabitethernet 1/0/1

【相关命令】

·            display mac-authentication connection

1.1.29  reset mac-authentication critical vlan

reset mac-authentication critical vlan命令用来清除Critical VLAN内的MAC地址认证用户。

【命令】

reset mac-authentication critical vlan interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出Critical VLAN。interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示使指定MAC地址的用户退出Critical VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Critical VLAN。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Critical VLAN。

<Sysname> reset mac-authentication critical vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1

【相关命令】

·            display mac-authentication

·            mac-authentication critical vlan

1.1.30  reset mac-authentication critical vsi

reset mac-authentication critical vsi命令用来清除Critical VSI内的MAC地址认证用户,使其退出Critical VSI。

【命令】

reset mac-authentication critical vsi interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出Critical VSI。interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示使指定MAC地址的用户退出Critical VSI。若不指定本参数,则表示使指定端口上的所有用户退出Critical VSI。

【举例】

# 强制端口Ten-GigabitEthernet1/0/1上接入的、MAC地址为1-1-1的MAC地址认证用户退出Critical VSI。

<Sysname> reset mac-authentication critical vsi interface ten-gigabitethernet 1/0/1 mac-address 1-1-1

【相关命令】

·            display mac-authentication

·            mac-authentication critical vsi

1.1.31  reset mac-authentication critical-voice-vlan

reset mac-authentication critical-voice-vlan命令用来清除MAC地址认证Critical Voice VLAN内的MAC地址认证用户。

【命令】

reset mac-authentication critical-voice-vlan interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出MAC地址认证的Critical Voice VLAN,其中interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示清除指定MAC地址的用户退出MAC地址认证的Critical Voice VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Critical Voice VLAN。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Critical Voice VLAN。

<Sysname> reset mac-authentication critical-voice-vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1

【相关命令】

·            display mac-authentication

·            mac-authentication critical-voice-vlan

1.1.32  reset mac-authentication guest-vlan

reset mac-authentication guest-vlan命令用来清除Guest VLAN内的MAC地址认证用户。

【命令】

reset mac-authentication guest-vlan interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出Guest VLAN。interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示使指定MAC地址的用户退出Guest VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Guest VLAN。

【举例】

# 在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Guest VLAN。

<Sysname> reset mac-authentication guest-vlan interface ten-gigabitethernet 1/0/1 mac-address 1-1-1

【相关命令】

·            display mac-authentication

·            mac-authentication guest-vlan

1.1.33  reset mac-authentication guest-vsi

reset mac-authentication guest-vsi命令用来清除Guest VSI内的MAC地址认证用户,使其退出Guest VSI。

【命令】

reset mac-authentication guest-vsi interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出Guest VSI。interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示使指定MAC地址的用户退出Guest VSI。若不指定本参数,则表示使指定端口上的所有用户退出Guest VSI。

【举例】

# 强制端口Ten-GigabitEthernet1/0/1上接入的、MAC地址为1-1-1的MAC地址认证用户退出Guest VSI。

<Sysname> reset mac-authentication guest-vsi interface ten-gigabitethernet 1/0/1 mac-address 1-1-1

【相关命令】

·            display mac-authentication

·            mac-authentication guest-vsi

1.1.34  reset mac-authentication statistics

reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。

【命令】

reset mac-authentication statistics [ interface interface-type interface-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:清除指定端口的MAC地址认证统计信息。interface-type interface-number为端口类型和端口编号。如果不指定本参数,则清除所有端口上的MAC地址认证统计信息。

【举例】

# 清除以太网端口Ten-GigabitEthernet1/0/1上的MAC认证统计信息。

<Sysname> reset mac-authentication statistics interface ten-gigabitethernet 1/0/1

【相关命令】

·            display mac-authentication

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!