- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
37-MAC地址认证
本章节下载: 37-MAC地址认证 (295.69 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 授权VLAN
○ 端口工作模式
· 配置指南
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它既不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被设置为静默MAC。在静默时间内,来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
是指为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和未认证的用户划分到不同的VLAN,当用户通过MAC地址认证后,设备将指定的受限网络资源所在的VLAN作为授权VLAN下发到用户进行认证的端口。该端口被加入到授权VLAN中后,用户便可以访问这些受限的网络资源。
MAC地址认证的端口可以工作在单VLAN模式或多VLAN模式:
· 单VLAN模式:
○ 在账号已通过MAC地址认证,且没有被下发授权VLAN情况下,如果此账号在相同端口上的不同VLAN再次接入,则设备将让原账号下线,使得该账号能够在新的VLAN内重新开始认证。
○ 如果已通过MAC地址认证的账号被下发了授权VLAN,则此账号在属于不同VLAN的相同端口再次接入时不会被强制下线。
· 多VLAN模式,如果相同MAC地址的账号在相同端口上的不同VLAN再次接入,设备将能够允许账号的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。
MAC地址认证的Guest VLAN功能允许用户在认证失败的情况下访问某一特定VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。这个VLAN称之为Guest VLAN。
这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。如果接入用户的端口上配置了Guest VLAN,则该端口上认证失败的用户会被加入Guest VLAN,且设备允许Guest VLAN以不携带Tag的方式通过该端口,即该用户被授权访问Guest VLAN里的资源。
用户被加入Guest VLAN之后,设备将以指定的时间间隔对该用户发起重新认证:
· 认证成功,根据设备是否下发授权VLAN决定是否将用户加入到下发的授权VLAN中,如果处于未下发授权VLAN的情况下,则用户回到缺省VLAN中。
· 认证失败,该用户将仍然处于Guest VLAN中。
MAC地址认证Critical VLAN功能允许用户在所有认证服务器都不可达的情况下访问某一特定VLAN中的资源,这个VLAN称之为Critical VLAN。
如果该端口上有用户认证时,所有认证服务器都不可达,则端口允许Critical VLAN通过,用户将被授权访问Critical VLAN里的资源。
已经加入Critical VLAN的端口上有用户发起认证时:
· 如果所有认证服务器不可达,则端口仍然在Critical VLAN内。
· 如果服务器可达且认证失败,且端口配置了Guest VLAN,则该端口将会加入Guest VLAN,否则回到缺省VLAN中。
· 如果服务器可达且认证成功,则会根据设备是否下发授权VLAN决定是否将用户加入到下发的授权VLAN中,如果处于未下发授权VLAN的情况下,则用户回到缺省VLAN中。
非缺省VSystem对于本特性的支持情况,请以页面的实际显示为准。
仅二层工作模式下的接口支持配置MAC地址认证。
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
关于Guest VLAN的注意事项
· 配置Guest VLAN之前需要保证端口类型为Hybrid,端口上的MAC VLAN功能处于使能状态,且不建议将指定的Guest VLAN修改为携带Tag的方式。
· 配置Guest VLAN之前需要创建配置为Guest VLAN的VLAN。
· 认证失败的用户可访问指定的Guest VLAN中的资源,且该用户的MAC地址不会被加入静默MAC。
· 端口上生成的MAC地址认证Guest VLAN表项会覆盖已生成的阻塞MAC表项。开启了端口安全入侵检测的端口关闭功能时,若端口因检测到非法报文被关闭,则MAC地址认证的Guest VLAN功能不生效。
· 如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Critical VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Critical VLAN,则该VLAN不能被指定为Super VLAN。
关于Critial VLAN的注意事项
· 配置Critial VLAN之前需要保证端口类型为Hybrid,端口上的MAC VLAN功能处于使能状态,且不建议将指定的Critical VLAN修改为携带Tag的方式。
· 配置Critial VLAN之前需要创建配置为Critical VLAN的VLAN。
· 当端口上的用户加入指定的Critical VLAN后,该用户的MAC地址不会被加入静默MAC。
· 端口上生成的MAC地址认证Criital VLAN表项会覆盖已生成的阻塞MAC表项。开启了端口安全入侵检测的端口关闭功能时,MAC地址认证的Critial VLAN功能不生效。
1. 选择“网络 > 安全接入 > MAC接入 > MAC地址认证”。
2. 在“MAC地址认证”页面勾选“开启”,开启全局MAC地址认证功能。
3. 勾选接口对应的“开启接口MAC地址认证”,开启单个接口的MAC地址认证功能。
4. 单击接口对应的“编辑”按钮,进入“编辑MAC地址认证”页面。
5. 配置该接口的MAC地址认证参数,具体配置内容如下表所示:
表-1 MAC地址认证配置参数表
|
参数 |
说明 |
|
延迟认证 |
配置延迟认证的等待时间,缺省为不开启延迟认证 |
|
VLAN模式 |
选择端口工作在单VLAN模式或多VLAN模式 |
|
Guest VLAN |
配置用户认证失败的情况下加入的VLAN |
|
Critical VLAN |
配置所有认证服务器都不可达的情况下用户加入的VLAN |
|
用户认证ISP域 |
配置该端口接入的用户使用的认证域 |
|
最大用户数 |
配置端口上最多允许同时接入的MAC地址认证用户数 |
|
重认证不可达动作 |
选择在重认证服务器不可达的情况下,在线用户的处理动作 |
6. 单击<确定>按钮,配置接口MAC地址认证完成。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
