H3C 园区盒式交换机典型配置举例-6W100

64-MAC地址认证典型配置举例

1 简介

本文档介绍了使用MAC地址认证功能实现用户安全接入的典型配置案例。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解MAC地址认证特性。

3 MAC地址本地认证典型配置举例

3.1 组网需求

如图3-1所示，通过配置MAC地址本地认证功能，实现在无需架设服务器的情况下，完成接入用户的安全认证，控制其对Internet的访问。

图3-1 开启MAC地址认证对接入用户进行本地认证

3.2 配置思路

· 在Device与用户端相连的端口GigabitEthernet1/0/1上配置MAC地址认证。

· 认证用户属于域bbb，用户名和密码都为用户端的MAC地址：08-00-27-00-98-d2。

· 为了防止非法MAC短时间内的重复认证，可配置MAC地址认证定时器。

3.3 适用产品及版本

表3-1 适用产品及版本

产品	软件版本
S5560X-EI系列	Release 63xx系列
S5560X-HI系列	Release 63xx系列
S5500V2-EI系列	Release 63xx系列
MS4520V2-30F	Release 63xx系列
S6520X-HI系列 S6520X-EI系列	Release 63xx系列
S6520X-SI系列 S6520-SI系列	Release 63xx系列
S5000-EI系列	Release 63xx系列
MS4600系列	Release 63xx系列
S5560S-EI系列 S5560S-SI系列	Release 63xx系列
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列	Release 63xx系列
S5120V2-SI系列 S5120V2-LI系列	Release 63xx系列
S3100V3-EI系列 S3100V3-SI系列	Release 63xx系列
S5110V2系列	Release 63xx系列
S5110V2-SI系列	Release 63xx系列
S5000V3-EI系列	Release 63xx系列
S5000E-X系列	Release 63xx系列
E128C E152C E500C系列 E500D系列	Release 63xx系列
MS4520V2系列（除MS4520V2-30F）	Release 63xx系列
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列	Release 63xx系列
WS5850-WiNet系列	Release 63xx系列
WS5820-WiNet系列 WS5810-WiNet系列	Release 63xx系列
WAS6000系列	Release 63xx系列

3.4 配置注意事项

· 配置全局MAC地址认证一般放在最后，当其他认证参数未配置完成时，会造成合法用户无法访问网络。

· 创建本地用户时，需要注意用户名必须与设备上指定的MAC地址认证用户名格式保持一致。

3.5 配置步骤

# 添加本地接入用户。

<Device> system-view

[Device] local-user 08-00-27-00-98-d2 class network

[Device-luser-network-08-00-27-00-98-d2] password simple 08-00-27-00-98-d2

[Device-luser-network-08-00-27-00-98-d2] service-type lan-access

[Device-luser-network-08-00-27-00-98-d2] quit

# 配置ISP域，使用本地认证方式。

[Device] domain bbb

[Device-isp-bbb] authentication lan-access local

[Device-isp-bbb] quit

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain bbb

# 配置MAC地址认证的下线定时器和静默定时器。即设备每隔180秒就对用户是否下线进行检测；并且当用户认证失败时，需等待3分钟后才能对用户再次发起认证。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址认证的用户名格式：使用带连字符的MAC地址作为用户名与密码，其中字母小写。

[Device] mac-authentication user-name-format mac-address with-hyphen lowercase

# 开启端口GigabitEthernet1/0/1的MAC地址认证。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] mac-authentication

[Device-GigabitEthernet1/0/1] quit

# 开启全局MAC地址认证特性。

[Device] mac-authentication

3.6 验证配置

部分产品系列不支持VSI、微分段相关显示信息。

# 显示全局MAC地址配置信息。

<Device> display mac-authentication

Global MAC authentication parameters:

MAC authentication : Enabled

Authentication method : PAP

Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)

Username : mac

Password : Not configured

MAC range accounts : 0

MAC address Mask Username

Offline detect period : 180 s

Quiet period : 180 s

Server timeout : 100 s

Reauth period : 3600 s

User aging period for critical VLAN : 1000 s

User aging period for critical VSI : 1000 s

User aging period for guest VLAN : 1000 s

User aging period for guest VSI : 1000 s

User aging period for critical microsegment: 1000 s

Authentication domain : bbb

HTTP proxy port list : Not configured

HTTPS proxy port list : Not configured

Online MAC-auth wired users : 1

Silent MAC users:

MAC address VLAN ID From port Port index

GigabitEthernet1/0/1 is link-up

MAC authentication : Enabled

Carry User-IP : Disabled

Authentication domain : Not configured

Auth-delay timer : Disabled

Periodic reauth : Disabled

Re-auth server-unreachable : Logoff

Guest VLAN : Not configured

Guest VLAN reauthentication : Enabled

Guest VLAN auth-period : 30 s

Critical VLAN : Not configured

Critical voice VLAN : Disabled

Host mode : Single VLAN

Offline detection : Enabled

Authentication order : Default

User aging : Enabled

Server-recovery online-user-sync : Disabled

Guest VSI : Not configured

Guest VSI reauthentication : Enabled

Guest VSI auth-period : 30 s

Critical VSI : Not configured

Critical microsegment ID : Not configured

URL user logoff : No

Auto-tag feature : Disabled

VLAN tag configuration ignoring : Disabled

Max online users : 4294967295

Authentication attempts : successful 1, failed 0

Current online users : 1

MAC address Auth state

0800-2700-98d2 Authenticated

3.7 配置文件

mac-authentication

mac-authentication timer offline-detect 180

mac-authentication timer quiet 180

mac-authentication domain bbb

mac-authentication user-name-format mac-address with-hyphen lowercase

domain bbb

authentication lan-access local

local-user 08-00-27-00-98-d2 class network

password cipher $c$3$rTXB/eL1h+bXc/t2nyQOrhDMC0PWfyiPb93BqMCK+JFYwvn5

service-type lan-access

authorization-attribute user-role network-operator

interface GigabitEthernet1/0/1

mac-authentication

4 MAC地址认证授权VSI配置举例

4.1 组网需求

如图4-1所示，一台主机通过Device（作为VTEP设备）接入VXLAN网络，认证服务器为RADIUS服务器。现有如下组网需求：

· 一台iMC服务器（IP地址为10.1.1.1/24）作为RADIUS认证授权计费服务器。

· 设备的管理者希望在端口GigabitEthernet1/0/1上对用户接入进行MAC地址认证，以控制其对Internet的访问。

· 用户认证成功上线后，认证服务器下发VSI bbb，此时Host的流量被映射到VSI bbb对应的VXLAN 5内，Host可以访问对应的资源。

· 所有用户都属于域2000，认证时采用MAC地址用户名格式，用户名和密码为用户的MAC地址（本例为d4-85-64-be-c6-3e）。

图4-1 MAC地址认证支持授权VSI下发

4.2 配置思路

· 在RADIUS服务器上添加接入设备和用户帐号，并指定授权下发VSI。

· 在Device上配置RADIUS方案，并配置授权VSI下的VXLAN。

· 在Device与用户端相连的端口上配置MAC地址认证。

4.3 适用产品及版本

表4-1 适用产品及版本

产品	软件版本
S5560X-EI系列	Release 63xx系列
S5560X-HI系列	Release 63xx系列
S5500V2-EI系列	Release 63xx系列
MS4520V2-30F	Release 63xx系列
S6520X-HI系列 S6520X-EI系列	Release 63xx系列
S6520X-SI系列 S6520-SI系列	Release 63xx系列
S5000-EI系列	Release 63xx系列
MS4600系列	Release 63xx系列
S5560S-EI系列 S5560S-SI系列	不支持
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列	不支持
S5120V2-SI系列 S5120V2-LI系列	不支持
S3100V3-EI系列 S3100V3-SI系列	不支持
S5110V2系列	不支持
S5110V2-SI系列	不支持
S5000V3-EI系列	不支持
S5000E-X系列	不支持
E128C E152C E500C系列 E500D系列	不支持
MS4520V2系列（除MS4520V2-30F）	不支持
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列	不支持
WS5850-WiNet系列	不支持
WS5820-WiNet系列 WS5810-WiNet系列	不支持
WAS6000系列	不支持

4.4 配置注意事项

· 配置全局MAC地址认证一般放在最后，当其他认证参数未配置完成时，会造成合法用户无法访问网络。

· 在RADIUS服务器上添加用户帐号，用户名必须与设备上指定的MAC地址认证用户名格式保持一致。

· 在标准的RADIUS协议中，RADIUS服务器的认证端口为UDP端口1812，我司设备作为RADIUS服务器时认证端口为UDP端口1645。

4.5 配置步骤

若实际组网中认证/授权服务器采用的是H3C ADCAM服务器，有关MAC地址认证支持下发VSI的相关配置需要在H3C ADCAM服务器端完成，再自动下发到设备上。因此，Device上不需要做认证相关配置。

4.5.1 配置RADIUS服务器

下面以iMC为例（使用iMC版本为：iMC PLAT 7.3(E0506)、iMC EIA 7.3(E0503)、iMC EIP 7.3(E0503)），说明RADIUS服务器的基本配置。

在RADIUS服务器上添加用户账户（用户名为d4-85-64-be-c6-3e，密码为d4-85-64-be-c6-3e），指定要授权下发的VSI，并保证用户的认证/授权/计费功能正常运行。

1. 增加接入设备

登录进入iMC管理平台，选择“用户”页签，单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项，进入接入设备配置页面。在该页面中单击“增加”按钮，进入增加接入设备页面。

· 设置认证端口和计费端口分别为“1812”和“1813”；

· 选择接入设备类型为“H3C (General)”；

· 设置与Switch交互报文时的认证、计费共享密钥为“expert”；

· 选择或手工增加接入设备，添加IP地址为10.1.1.2的接入设备；

· 其它参数采用缺省值；

· 单击<确定>按钮完成操作。

添加的接入设备IP地址要与Device发送RADIUS报文的源地址保持一致。缺省情况下，设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址，则此处的接入设备IP地址就需要修改并与指定源地址保持一致。

图4-2 增加接入设备页面

2. 增加接入策略

选择“用户”页签，单击导航树中的“接入策略管理 > 接入策略管理”菜单项，进入接入策略管理页面。在该页面中单击<增加>按钮，进入增加接入策略页面。

· 输入接入策略名称“MACauth”；

· 配置授权下发的VSI名称为“bbb”；

· 本配置页面中还有其它策略配置选项，请根据实际情况选择配置；

· 单击<确定>按钮完成操作。

图4-3 增加接入策略页面

3. 增加接入服务

选择“用户”页签，单击导航树中的“接入策略管理 > 接入服务管理”菜单项，进入接入服务管理页面。在该页面中单击<增加>按钮，进入增加服务配置页面。

· 输入服务名“MACauth Service”、服务后缀为“2000”，此服务后缀为MAC地址认证用户使用的认证域。指定服务后缀的情况下，RADIUS方案中必须指定向服务器发送的用户名中携带域名；

· 选择缺省接入策略为“MACauth”；

· 本配置页面中还有其它服务配置选项，请根据实际情况选择配置；

· 单击<确定>按钮完成操作。

图4-4 增加服务配置页面

4. 增加接入用户

选择“用户”页签，单击导航树中的“接入用户管理 > 接入用户”菜单项，进入接入用户页面。在该页面中单击<增加>按钮，进入增加接入用户页面。

· 选择或者手工增加用户姓名“test”；

· 输入账号名“d4-85-64-be-c6-3e”和密码“d4-85-64-be-c6-3e”；

· 选择该用户所关联的接入服务为“MACauth Service”；

· 本配置页面中还有其它服务配置选项，请根据实际情况选择配置；

· 单击<确定>按钮完成操作。

图4-5 增加接入用户页面

4.5.2 配置Device

# 配置RADIUS方案。

<Device> system-view

[Device] radius scheme bbb

[Device-radius-bbb] primary authentication 10.1.1.1

[Device-radius-bbb] primary accounting 10.1.1.2

[Device-radius-bbb] key authentication simple bbb

[Device-radius-bbb] key accounting simple bbb

[Device-radius-bbb] user-name-format without-domain

[Device-radius-bbb] quit

# 配置ISP域的2000方法。

[Device] domain 2000

[Device-isp-2000] authentication lan-access radius-scheme bbb

[Device-isp-2000] authorization lan-access radius-scheme bbb

[Device-isp-2000] accounting lan-access radius-scheme bbb

[Device-isp-2000] quit

# 开启端口GigabitEthernet1/0/1的MAC地址认证。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] mac-authentication

# 在端口GigabitEthernet1/0/1开启动态创建的以太网服务实例匹配MAC地址功能。

[Device-GigabitEthernet1/0/1] mac-based ac

[Device-GigabitEthernet1/0/1] quit

# 开启L2VPN功能。

[Device] l2vpn enable

# 配置授权VSI下的VXLAN。

[Device] vsi bbb

[Device-vsi-bbb] vxlan 5

[Device-vsi-bbb-vxlan-5] quit

[Device-vsi-bbb] quit

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain 2000

# 配置MAC地址认证使用MAC地址用户名格式，且携带连字符，字母小写。

[Device] mac-authentication user-name-format mac-address with-hyphen lowercase

# 开启全局MAC地址认证。

[Device] mac-authentication

4.6 验证配置

在用户认证成功之后，通过命令display mac-authtication connection可以看到服务器已下发授权VSI bbb。

[Device] display mac-authentication connection

Total connections: 1

Slot ID: 1

User MAC address: d485-64be-c63e

Access interface: GigabitEthernet1/0/1

Username: d4-85-64-be-c6-3e

User access state: Successful

Authentication domain: 2000

IPv4 address: 192.168.1.1

IPv6 address: 2000:0:0:0:1:2345:6789:abcd

Initial VLAN: 1

Authorization untagged VLAN: N/A

Authorization tagged VLAN: N/A

Authorization VSI: bbb

Authorization microsegment ID: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

Authorization CAR：

Average input rate: 102400 bps

Peak input rate: 204800 bps

Average output rate: 102400 bps

Peak output rate: 204800 bps

Authorization URL: N/A

Termination action: N/A

Session timeout period: N/A

Offline detection: 100 sec (server-assigned)

Online from: 2016/06/13 09:06:37

Online duration: 0h 0m 35s

通过命令display l2vpn forwording ac verbose可以看到成功创建动态AC。

[Device] display l2vpn forwarding ac verbose

VSI Name: bbb

Interface: GE1/0/1 Service Instance: 1

Link ID : 0

Access Mode : VLAN

Encapsulation: untagged

Type : Dynamic (MAC-based)

MAC address : d485-64be-c63e

4.7 配置文件

radius scheme bbb

primary authentication 10.1.1.1

primary accounting 10.1.1.2

key authentication cipher $c$3$+zuETC3Y0LHiW3bxzBb+UNEuWlxHkQ==

key accounting cipher $c$3$2b8hx6mbWlnMMQY82TeUzgh0VnWXbg==

user-name-format without-domain

domain 2000

authentication lan-access radius-scheme bbb

accounting lan-access radius-scheme bbb

interface GigabitEthernet1/0/1

mac-authentication

mac-based ac

vsi bbb

vxlan 5

l2vpn enable

mac-authentication domain 2000

mac-authentication user-name-format mac-address with-hyphen lowercase

mac-authentication

5 MAC地址认证下发ACL配置举例

5.1 组网需求

如图5-1所示，用户主机Host通过端口GigabitEthernet1/0/1连接到设备上，设备通过RADIUS服务器对用户进行认证、授权和计费，Internet网络中有一台FTP服务器，IP地址为10.0.0.1。现有如下组网需求：

· 一台iMC服务器（IP地址为10.1.1.1/24）作为RADIUS认证授权计费服务器。

· 在端口GigabitEthernet1/0/1上对用户接入进行MAC地址认证，以控制其对Internet的访问。认证时使用用户的源MAC地址做用户名和密码，其中MAC地址带连字符、字母小写。

· 用户认证成功后可以访问Internet，但不能访问FTP服务器。

图5-1 MAC地址认证支持下发ACL

5.2 配置思路

· 在RADIUS服务器上添加接入设备和用户帐号，并指定授权下发ACL 3000。

· 在Device上配置RADIUS方案，并配置ACL规则。

· 在Device与用户端相连的端口上配置MAC地址认证。

5.3 适用产品及版本

表5-1 适用产品及版本

产品	软件版本
S5560X-EI系列	Release 63xx系列
S5560X-HI系列	Release 63xx系列
S5500V2-EI系列	Release 63xx系列
MS4520V2-30F	Release 63xx系列
S6520X-HI系列 S6520X-EI系列	Release 63xx系列
S6520X-SI系列 S6520-SI系列	Release 63xx系列
S5000-EI系列	Release 63xx系列
MS4600系列	Release 63xx系列
S5560S-EI系列 S5560S-SI系列	Release 63xx系列
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列	Release 63xx系列
S5120V2-SI系列 S5120V2-LI系列	Release 63xx系列
S3100V3-EI系列 S3100V3-SI系列	Release 63xx系列
S5110V2系列	Release 63xx系列
S5110V2-SI系列	Release 63xx系列
S5000V3-EI系列	Release 63xx系列
S5000E-X系列	Release 63xx系列
E128C E152C E500C系列 E500D系列	Release 63xx系列
MS4520V2系列（除MS4520V2-30F）	Release 63xx系列
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列	Release 63xx系列
WS5850-WiNet系列	Release 63xx系列
WS5820-WiNet系列 WS5810-WiNet系列	Release 63xx系列
WAS6000系列	Release 63xx系列

5.4 配置注意事项

· 配置全局MAC地址认证一般放在最后，当其他认证参数未配置完成时，会造成合法用户无法访问网络。

· 在RADIUS服务器上添加用户帐号，用户名必须与设备上指定的MAC地址认证用户名格式保持一致。

· 在标准的RADIUS协议中，RADIUS服务器的认证端口为UDP端口1812，我司设备作为RADIUS服务器时认证端口为UDP端口1645。

5.5 配置步骤