19-MAC地址认证典型配置指导
本章节下载 (105.39 KB)
目 录
MAC地址认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法,它不需要用户安装任何客户端认证软件。交换机在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。
以太网交换机进行MAC地址认证时,可采用两种认证方式:
l 通过RADIUS服务器认证
l 本地认证
当认证方式确定后,用户可根据需求选择以下一种类型的认证用户名:
l MAC地址用户名:使用用户的MAC地址作为认证时的用户名(可以通过mac-authentication authmode usernameasmacaddress usernameformat命令设置MAC地址格式)。
l 固定用户名:所有用户均使用在交换机上预先配置的本地用户名和密码进行认证,因此用户能否通过认证取决于该用户名和密码是否正确及此用户名的最大用户数属性控制(不推荐用户使用此方式)。
图1-1 开启MAC地址认证对接入用户进行本地认证
l 如图1-1所示,某用户的工作站与以太网交换机的端口Ethernet1/0/2相连接。
l 交换机的管理者希望在端口Ethernet1/0/2上对用户接入进行MAC地址认证,以控制用户对Internet的访问。
l 所有用户都属于域:example.com,认证时使用本地认证的方式。用户名和密码都为PC的MAC地址:00-0d-88-f6-44-c1。
产品 |
软件版本 |
硬件版本 |
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011、Release 2102、Release 2107软件版本 |
全系列硬件版本 |
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
S2126-EI |
Release 2102、Release 2106、Release 2107软件版本 |
S2126-EI |
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
E152 |
Release 1500、Release 1602软件版本 |
E152 |
E126 |
Release 0011、Release 2102、Release 2107软件版本 |
E126 |
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 开启指定端口Ethernet 1/0/2的MAC地址认证特性。
<Sysname> system-view
[Sysname] mac-authentication interface Ethernet 1/0/2
# 配置采用MAC地址用户名进行认证,并指定使用带有分隔符的MAC地址作为验证的用户名和密码。
[Sysname] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen
# 添加本地接入用户。
配置本地用户的用户名和密码。
[Sysname] local-user 00-0d-88-f6-44-c1
[Sysname-luser-00-0d-88-f6-44-c1] password simple 00-0d-88-f6-44-c1
设置本地用户服务类型为lan-access。
[Sysname-luser-00-0d-88-f6-44-c1] service-type lan-access
[Sysname-luser-00-0d-88-f6-44-c1] quit
# 创建MAC地址认证用户所使用的域example.com。
[Sysname] domain example.com
New Domain added.
# 配置域example.com采用本地认证方式。
[Sysname-isp-example.com] scheme local
[Sysname-isp-example.com] quit
# 配置MAC地址认证用户所使用的域名为example.com。
[Sysname] mac-authentication domain example.com
# 开启全局MAC地址认证特性(接入控制相关特性一般将全局配置开启放在最后,否则相关参数未配置完成,会造成合法用户无法访问网络)。
[Sysname] mac-authentication
此时,MAC地址认证生效,只允许MAC地址为00-0d-88-f6-44-c1的用户通过端口Ethernet1/0/2访问网络。
#
domain default enable example.com
#
MAC-authentication domain example.com
MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen
#
domain example.com
#
local-user 00-0d-88-f6-44-c1
password simple 00-0d-88-f6-44-c1
service-type lan-access
#
l 如果端口开启了MAC地址认证,则不能配置该端口的最大MAC地址学习个数,反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上开启MAC地址认证。
l 如果开启了MAC地址认证,则不能配置端口安全,反之,如果配置了端口安全,则禁止在该端口上开启MAC地址认证。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!