- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-MAC地址认证命令
本章节下载: 03-MAC地址认证命令 (330.59 KB)
目 录
1.1.1 display mac-authentication
1.1.2 display mac-authentication connection
1.1.4 mac-authentication access-user log enable
1.1.5 mac-authentication authentication-method
1.1.6 mac-authentication carry user-ip
1.1.7 mac-authentication domain
1.1.8 mac-authentication mac-range-account
1.1.9 mac-authentication max-user
1.1.10 mac-authentication offline-detect enable
1.1.11 mac-authentication offline-detect mac-address
1.1.12 mac-authentication timer (system view)
1.1.13 mac-authentication user-name-format
1.1.14 reset mac-authentication access-user
1.1.15 reset mac-authentication statistics
display mac-authentication命令用来显示MAC地址认证的相关信息。
【命令】
display mac-authentication [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示全局及指定端口的MAC地址认证相关信息。interface-type interface-number为端口类型和端口编号。若指定的端口上未使能MAC地址认证,则不显示该端口任何信息。
【使用指导】
如果不指定任何参数,则显示所有在线MAC地址认证的详细信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。
【举例】
# 显示MAC地址认证信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
M-LAG member configuration conflict : Unknown
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : Not configured, use default domain
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
HundredGigE1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Enabled
Auth-delay period : 60 s
Periodic reauth : Enabled
Reauth period : 120 s
Re-auth server-unreachable : Logoff
Guest VLAN : 100
Guest VLAN reauthentication : Enabled
Guest VLAN auth-period : 150 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Multiple VLAN
Offline detection : Enabled
Authentication order : Parallel
User aging : Enabled
Server-recovery online-user-sync : Enabled
Auto-tag feature : Disabled
VLAN tag configuration ignoring : Disabled
Max online users : 4294967295
Authentication attempts : successful 2, failed 3
Current online users : 1
MAC address Auth state
0001-0000-0001 Unauthenticated
表1-1 display mac-authentication命令显示信息描述表
|
字段 |
描述 |
|
Global MAC authentication parameters |
全局MAC地址认证参数 |
|
MAC authentication |
MAC地址认证的开启状态 |
|
M-LAG member configuration conflict |
两台M-LAG设备配置检查结果 · Conflicted:两台M-LAG设备上的配置不匹配 · Not conflicted:两台M-LAG设备上的配置相匹配 · Unknown:无法检测两台M-LAG设备上的配置是否匹配 |
|
Authentication method |
MAC地址认证采用的认证方法 · CHAP:采用CHAP认证方法 · PAP:采用PAP认证方法 |
|
Username format |
MAC地址认证使用的账号格式 · 若采用MAC地址账号,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xx-xx-xx-xx-xx-xx)”,它表示用户名格式为六段式的MAC地址,其中字母为小写 · 若采用固定用户名账号,则显示“Fixed account” |
|
Username |
用户名 · 采用MAC地址账号时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码 · 采用固定用户名账号时,该值为配置的用户名(缺省为mac) |
|
Password |
用户名的密码 · 采用MAC地址账号时,该值显示为“Not configured” · 采用固定用户名账号时,配置的值将显示为****** |
|
Offline detect period |
下线检测定时器的值 |
|
Quiet period |
(暂不支持)静默定时器的值 |
|
Server timeout |
服务器连接超时定时器的值 |
|
Reauth period |
(暂不支持)重认证定时器的值 |
|
User aging period for critical VLAN |
(暂不支持)Critical VLAN中用户的老化时间 |
|
User aging period for guest VLAN |
(暂不支持)Guest VLAN中用户的老化时间 |
|
Authentication domain |
系统视图下指定的MAC地址认证用户使用的认证域,如果没有指定认证域,则显示Not configured, use default domain |
|
Online MAC-auth wired users |
在线有线用户和正在发起MAC地址认证的有线用户的总数 |
|
Silent MAC users |
(暂不支持)静默用户信息(包括设备添加的静默用户和服务器授权下发黑洞MAC的静默用户) |
|
MAC address |
(暂不支持)静默用户的MAC地址 |
|
VLAN ID |
(暂不支持)静默用户所在的VLAN |
|
From port |
(暂不支持)静默用户接入的端口名称 |
|
Port index |
(暂不支持)静默用户接入的端口索引号 |
|
HundredGigE1/0/1 is link-up |
端口HundredGigE1/0/1的链路状态 |
|
MAC authentication |
当前端口的MAC地址认证开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Carry User-IP |
MAC地址认证请求携带用户IP地址关闭状态 |
|
Authentication domain |
端口上指定的MAC地址认证用户使用的认证域 |
|
Auth-delay timer |
(暂不支持)MAC地址认证延迟功能的开启状态 |
|
Auth-delay period |
(暂不支持)配置的认证延迟时间 |
|
Periodic reauth |
(暂不支持)端口上MAC地址重认证开启状态 |
|
Reauth period |
(暂不支持)端口上配置的MAC地址重认证时间间隔 |
|
Re-auth server-unreachable |
(暂不支持)重认证时服务器不可达对MAC地址认证的在线用户采取的动作 · Logoff:重认证服务器不可达,强制MAC地址认证在线用户下线 · Online:重认证服务器不可达,保持MAC地址认证在线用户在线 |
|
Guest VLAN |
(暂不支持)端口配置的Guest VLAN,如果没有配置,则显示Not configured |
|
Guest VLAN reauthentication |
(暂不支持)Guest VLAN中用户重新认证功能的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Guest VLAN auth-period |
(暂不支持)进入Guest VLAN后发起重认证的时间间隔 |
|
Critical VLAN |
(暂不支持)端口配置的Critical VLAN,如果没有配置,则显示Not configured |
|
Critical voice VLAN |
(暂不支持)端口配置MAC地址认证的Critical Voice VLAN功能的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Host mode |
(暂不支持)相同MAC地址用户的工作模式 · 如果配置的是多VLAN模式,则显示Multiple VLAN · 如果配置的是单VLAN模式,则显示Single VLAN |
|
Offline detection |
MAC地址认证用户下线检测的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Authentication order |
(暂不支持)MAC地址认证和802.1X认证并行处理 · Default:处于关闭状态 · Parallel:处于开启状态 |
|
User aging |
(暂不支持)非认证成功VLAN中MAC地址认证用户老化功能的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Server-recovery online-user-sync |
(暂不支持)RADIUS服务器从不可达状态恢复为可达时,设备同步MAC地址认证的在线用户信息到RADIUS服务器功能的开启状态: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Auto-tag feature |
(暂不支持)端口上MAC地址认证授权VLAN自动Tag功能 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
VLAN tag configuration ignoring |
(暂不支持)端口上MAC地址认证授权VLAN自动Tag忽略静态VLAN配置功能 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Max online users |
本端口最多可容纳的接入用户数 |
|
Authentication attempts: successful 1, failed 0 |
端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数 |
|
MAC address |
接入用户的MAC地址 |
|
Auth state |
接入用户的状态 · Authenticated:认证成功 · Unauthenticated:认证失败 |
display mac-authentication connection命令用来显示MAC地址认证在线用户的详细信息。
【命令】
display mac-authentication connection [ open ] [ [ m-lag [ local | peer ] ] interface interface-type interface-number | [ m-lag [ local | peer ] ] slot slot-number | user-mac mac-address | [ m-lag [ local | peer ] ] user-name user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
open:只显示在开放认证模式下使用不存在的用户名或者错误的密码接入的MAC地址认证的用户信息。若不指定本参数,则显示设备上所有MAC地址认证在线用户的信息。
m-lag [ local | peer ]:显示M-LAG组网中,M-LAG接口上MAC地址认证在线用户的信息。如果不指定该参数,则显示设备上所有MAC地址认证在线用户的信息。
· local:显示本端M-LAG设备上MAC地址认证在线用户的信息。
· peer:显示对端M-LAG设备上MAC地址认证在线用户的信息。
如果不指定local和peer参数,则显示本地M-LAG设备和对端M-LAG设备上所有MAC地址认证在线用户的信息。
interface interface-type interface-number:显示指定端口的MAC地址认证用户信息。其中interface-type interface-number表示绑定的端口类型和端口编号。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
slot slot-number:指定设备编号,取值只能为1。
user-mac mac-address:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
【举例】
# 显示所有MAC地址认证在线用户信息。
<Sysname> display mac-authentication connection
Total connections: 1
Slot ID: 0
User MAC address: 0015-e9a6-7cfe
Access interface: HundredGigE1/0/1
Username: ias
User access state: Successful
Authentication domain: macusers
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: 3001
Authorization CAR:
Average input rate: 102400 bps
Peak input rate: 204800 bps
Average output rate: 102400 bps
Peak output rate: 204800 bps
Authorization URL: N/A
Termination action: Radius-request
Session timeout period: 2 sec
Offline detection: 100 sec (server-assigned)
Online from: 2020/01/02 13:14:15
Online duration: 0h 2m 15s
User MAC address: 0015-e9a6-abcd
M-LAG NAS-IP type: Local
M-LAG user state: Active
Access interface: Bridge-Aggregation1
Username: luser
User access state: Successful
Authentication domain: macusers
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
Initial VLAN: 1
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: 3001
Authorization CAR:
Average input rate: 102400 bps
Peak input rate: 204800 bps
Average output rate: 102400 bps
Peak output rate: 204800 bps
Authorization URL: N/A
Termination action: Radius-request
Session timeout period: 2 sec
Offline detection: 100 sec (server-assigned)
Online from: 2020/12/02 13:14:15
Online duration: 0h 7m 15s
表1-2 display mac-authentication connection 命令显示信息描述表
|
字段 |
描述 |
|
Total connections |
在线MAC地址认证用户个数 |
|
User MAC address |
用户的MAC地址 |
|
M-LAG NAS-IP type |
M-LAG组网中,M-LAG接口上的用户认证时采用的NAS-IP地址类型 · Local:本地NAS-IP地址,即使用本端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 · Peer:对端NAS-IP地址,使用对端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 |
|
M-LAG user state |
M-LAG组网中,M-LAG接口上的用户状态 · Active:激活状态,此时由本端M-LAG设备与AAA服务器交互用户认证信息 · Inactive:未激活状态,此时由对端M-LAG设备与AAA服务器交互用户认证信息 |
|
Access interface |
用户的接入接口名称 |
|
Username |
用户名 |
|
User access state |
用户的接入状态 · Successful:MAC地址认证成功并接入 · Open:使用不存在的用户名或者错误的密码进行开放认证并接入 |
|
Authentication domain |
认证时所用的ISP域的名称 |
|
IPv4 address |
用户IPv4地址 若未获取到用户的IP地址,则不显示该字段 |
|
IPv6 address |
用户IPv6地址 若未获取到用户的IP地址,则不显示该字段 |
|
Initial VLAN |
初始的VLAN |
|
Authorization untagged VLAN |
授权的untagged VLAN |
|
Authorization tagged VLAN |
授权的tagged VLAN |
|
Authorization microsegment ID |
(暂不支持)授权的微分段ID |
|
Authorization ACL number/name |
授权ACL的编号或名称。若未授权ACL,则显示N/A;若未授权成功,则在ACL编号后显示“(NOT effective)” |
|
Authorization CAR |
当服务器未授权用户CAR属性时,该字段显示为N/A。 当服务器授权用户CAR属性,将分为以下四个字段: · Average input rate :上行平均速率,单位为bps · Peak input rate:上行峰值速率,单位为bps · Average output rate:下行平均速率,单位为bps · Peak output rate:下行峰值速率,单位为bps 若未授权成功,则显示为(NOT effective) 若只下发上、下行平均速率,则该上、下行峰值速率默认与其平均速率相同。目前不支持服务器单独授权上、下行峰值速率 |
|
Authorization URL |
授权的重定向URL |
|
Authorization IPv6 URL |
授权的IPv6重定向URL |
|
Termination action |
服务器下发的终止动作类型: · Default:会话超时时间到达后,强制用户下线 · Radius-request:会话超时时间到达后,请求MAC地址认证用户进行重认证 用户采用本地认证时,该字段显示为Default |
|
Session timeout period |
服务器下发的会话超时时间,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Termination action字段的取值决定 |
|
Offline detection |
用户进行下线检测的属性: · Ignore (command-configured):命令行配置该用户不进行下线检测 · timer (command-configured):命令行配置的下线检测时间 · Ignore (server-assigned):RADIUS服务器授权该用户不进行下线检测 · timer (server-assigned):RADIUS服务器授权的下线检测时间 |
|
Online from |
MAC认证用户的上线时间 |
|
Online duration |
MAC认证用户的在线时长 |
mac-authentication命令用来开启端口上或全局的MAC地址认证。
undo mac-authentication命令用来关闭端口上或全局的MAC地址认证。
【命令】
mac-authentication
undo mac-authentication
【缺省情况】
所有端口及全局的MAC地址认证都处于关闭状态。
【视图】
系统视图
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
【举例】
# 开启全局的MAC地址认证。
<Sysname> system-view
[Sysname] mac-authentication
# 开启端口HundredGigE1/0/1上的MAC地址认证。
<Sysname> system-view
[Sysname] interface hundredgige 1/0/1
[Sysname-HundredGigE1/0/1] mac-authentication
【相关命令】
· display mac-authentication
mac-authentication access-user log enable命令用来开启MAC地址认证接入用户日志信息功能。
undo mac-authentication access-user log enable命令用来关闭MAC地址认证接入用户日志信息功能。
【命令】
mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
undo mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
【缺省情况】
MAC地址认证接入用户日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
failed-login:MAC地址认证用户上线失败的日志信息。
logoff:MAC地址认证用户下线的日志信息。
successful-login:MAC地址认证用户上线成功的日志信息。
【使用指导】
为了防止设备输出过多的MAC地址认证接入用户日志信息,一般情况下建议关闭此功能。
配置本命令时,如果未指定任何参数,将同时开启或关闭本命令所有参数对应的日志功能。
【举例】
# 开启MAC地址认证接入用户上线失败的日志信息。
<Sysname> system-view
[Sysname] mac-authentication access-user log enable failed-login
【相关命令】
· info-center source maca logfile deny(设备管理命令参考/信息中心)
mac-authentication authentication-method命令用来配置MAC地址认证采用的认证方法。
undo mac-authentication authentication-method命令用来恢复缺省情况。
【命令】
mac-authentication authentication-method { chap | pap }
undo mac-authentication authentication-method
【缺省情况】
设备采用PAP认证方法进行MAC地址认证。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
chap:采用CHAP类型的认证方法。
pap:采用PAP类型的认证方法。
【使用指导】
通过该命令可以配置设备进行MAC地址认证时,与RADIUS服务器之间采用的认证方法。PAP和CHAP认证方法的详细介绍如下:
· PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。
· CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。
【举例】
# 配置设备采用CHAP认证方法进行MAC地址认证。
<Sysname> system-view
[Sysname] mac-authentication authentication-method chap
【相关命令】
mac-authentication carry user-ip命令用来配置MAC地址认证请求中携带用户IP地址。
undo mac-authentication carry user-ip命令用来恢复缺省情况。
【命令】
mac-authentication carry user-ip [ exclude-ip acl acl-number ]
undo mac-authentication carry user-ip
【缺省情况】
MAC地址认证请求中不携带用户IP地址。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
exclude-ip:指定不合法的IP地址范围,不对携带不合法IP地址的用户进行MAC地址认证。
acl acl-number:指定包含deny规则的ACL。其中acl-number表示ACL的编号,仅支持基本ACL,取值范围为2000~2999。
【使用指导】
在终端用户采用静态IP地址方式接入的组网环境中,如果终端用户擅自修改自己的IP地址,则整个网络环境中可能会出现IP地址冲突等问题。
为了解决以上问题,管理员可以在端口上开启MAC地址认证请求中携带用户IP地址的功能,用户在进行MAC地址认证时,设备会把用户的IP地址上传到iMC服务器。然后iMC服务器会把认证用户的IP地址和MAC地址与服务器上已经存在的IP与MAC的绑定表项进行匹配,如果匹配成功,则该用户MAC地址认证成功;否则,MAC地址认证失败。
配置mac-authentication carry user-ip命令后,当有用户接入时,设备会检查用户报文中的IP地址是否合法,并进行相应处理:
· 当用户的IP地址合法时,设备携带用户IP地址向服务器发起MAC地址认证请求;
· 当用户报文未携带IP地址或用户的IP地址不合法时,设备不对用户进行MAC地址认证。
· 收到源IP为0.0.0.0的DHCP报文时,设备会向服务器发起MAC地址认证请求,但认证报文中不携带IP地址。认证是否通过取决于认证服务器侧的配置。
H3C的iMC服务器上IP与MAC地址信息绑定表项的生成方式如下:
· 如果在iMC服务器上创建用户时手工指定了用户的IP地址和MAC地址信息,则服务器使用手工指定的IP和MAC信息生成该用户的IP与MAC地址的绑定表项。
· 如果在iMC服务器上创建用户时未手工指定用户的IP地址和MAC地址信息,则服务器使用用户初次进行MAC地址认证时使用的IP地址和MAC地址生成该用户的IP与MAC地址的绑定表项。
终端用户采用静态IP地址接入时,实际组网应用中会出现用户报文中携带的IP地址并非用户实际IP地址的情况,例如在IPv4静态地址组网中,用户报文携带的IP地址为以fe80开头的IPv6链路本地地址。配置mac-authentication carry user-ip命令后,设备会携带非用户实际的IP地址向服务器发起MAC地址认证请求,此种情况会导致服务器为用户绑定错误的IP地址或IP地址与MAC地址匹配失败。为避免上述情况发生,可以指定exclude-ip acl参数,不允许ACL中指定网段的用户进行MAC地址认证。
配置exclude-ip acl时,仅根据规则中配置的源IP地址进行过滤。建议ACL中配置deny规则来拒绝指定网段的用户进行MAC地址认证。如果ACL中仅配置了permit规则,则表示允许指定网段的用户进行MAC地址认证,这样的配置并没有实际意义。如果希望只允许某个网段用户进行MAC地址认证,可在ACL中同时配置一条指定网段的permit规则以及一条deny all规则来实现。
在开启了MAC地址认证的端口上,不建议将本命令与mac-authentication guest-vlan命令同时配置;否则,加入Guest VLAN的用户无法再次发起MAC地址认证,用户会一直停留在Guest VLAN中。
【举例】
# 在端口HundredGigE1/0/1上配置MAC地址认证请求携带用户IP地址功能。
<Sysname> system-view
[Sysname] interface hundredgige 1/0/1
[Sysname-HundredGigE1/0/1] mac-authentication carry user-ip
# 在端口HundredGigE1/0/1上配置MAC地址认证请求携带用户IP地址功能,并禁止携带IPv6链路本地地址的报文在此端口触发认证。
<Sysname> system-view
[Sysname]acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000] rule deny source fe80:0::0:0 16
[Sysname-acl-ipv6-basic-2000] quit
[Sysname] interface hundredgige 1/0/1
[Sysname-HundredGigE1/0/1] mac-authentication carry user-ip exclude-ip acl 2000
【相关命令】
· mac-authentication
·
mac-authentication domain命令用来指定MAC地址认证用户使用的认证域。
undo mac-authentication domain命令用来恢复缺省情况。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情况】
未指定MAC地址认证用户使用的认证域时,使用系统缺省的认证域。缺省认证域的介绍请参见“用户接入与认证命令参考/AAA”中的命令domain default enable。
【视图】
系统视图
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
不同视图下指定的认证域的生效范围不同:
· 系统视图下指定的认证域对所有开启了MAC地址认证的端口生效。
· 二层以太网接口视图或二层聚合接口视图下指定的认证域仅对本端口有效。不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域 > 系统视图下指定的认证域 > 系统缺省的认证域。
【举例】
# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。
<Sysname> system-view
[Sysname] mac-authentication domain domain1
# 指定端口HundredGigE1/0/1上接入的MAC地址认证用户使用的认证域为aabbcc。
[Sysname] interface hundredgige 1/0/1
[Sysname-HundredGigE1/0/1] mac-authentication domain aabbcc
【相关命令】
· display mac-authentication
· domain default enable(用户接入与认证命令参考/AAA)
mac-authentication mac-range-account命令用来配置对指定MAC地址范围的MAC地址认证用户设置用户名和密码。
undo mac-authentication mac-range-account命令用来恢复缺省情况。
【命令】
mac-authentication mac-range-account mac-address mac-address mask { mask | mask-length } account name password { cipher | simple } string
undo mac-authentication mac-range-account { all | mac-address mac-address }
【缺省情况】
未对指定MAC地址范围的MAC地址认证用户设置用户名和密码,MAC地址认证用户采用mac-authentication user-name-format命令设置的用户名和密码接入设备。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
mac-address mac-address:指定的MAC地址,格式为H-H-H。
mask mask:表示MAC地址的掩码。格式为H-H-H,该掩码转为二进制时,高位必须为连续的1。
mask mask-length:MAC地址掩码长度,即掩码中连续“1”的数量,取值范围为1~48。
account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@。
password:指定用户的密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
all:表示删除所有指定的MAC地址范围。
【使用指导】
如果需要对特定MAC地址范围的用户单独设置用户名和密码(例如对指定OUI的MAC地址单独设置用户名和密码)时,可以执行本命令。本命令的优先级高于mac-authentication user-name-format命令。
可通过多次执行本命令来配置多个MAC地址段的用户名和密码,但不允许指定的MAC地址重叠。如果新配置命令的MAC地址范围与已有的MAC地址范围完全相同,则后配置的命令会覆盖已有的命令。
本命令仅对单播MAC地址范围有效。若配置的MAC地址范围仅包含组播地址,则配置失败;若既包含组播地址,也包含单播地址,则仅单播地址范围部分有效,组播地址范围部分无效。其中,全零MAC地址也不属于有效MAC地址,一个全零的MAC地址用户不能通过MAC地址认证。
设备最多允许配置16个MAC地址范围。
【举例】
# 配置以aaaa开头的MAC地址,进行MAC地址认证时使用的用户名为user1,明文密码为1234。
<Sysname> system-view
[Sysname] mac-authentication mac-range-account mac-address aaaa-0000-0000 mask ffff-0000-0000 account user1 password simple 1234
【相关命令】
· display mac-authentication
· mac-authentication user-name-format
mac-authentication max-user命令用来配置端口上最多允许同时接入的MAC地址认证用户数。
undo mac-authentication max-user命令用来恢复缺省情况。
【命令】
mac-authentication max-user max-number
undo mac-authentication max-user
【缺省情况】
端口上最多允许同时接入的MAC地址认证用户数为4294967295。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
max-number:端口允许同时接入的MAC地址认证用户数的最大值,取值范围为1~4294967295。
【使用指导】
由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
【举例】
# 配置端口HundredGigE1/0/1最多允许同时接入32个MAC地址认证用户。
<Sysname> system-view
[Sysname] interface hundredgige 1/0/1
[Sysname-HundredGigE1/0/1] mac-authentication max-user 32
【相关命令】
· display mac-authentication
mac-authentication offline-detect enable命令用来开启端口的MAC地址认证下线检测功能。
undo mac-authentication offline-detect enable命令用来关闭端口的MAC地址认证下线检测功能。
【命令】
mac-authentication offline-detect enable
undo mac-authentication offline-detect enable
【缺省情况】
端口的MAC地址认证下线检测功能处于开启状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
开启端口的MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。
关闭端口的MAC地址认证下线检测功能后,设备将不会对在线用户的状态进行检测。
【举例】
# 关闭端口HundredGigE1/0/1上的MAC地址认证下线检测功能。
<Sysname> system-view
[Sysname] interface hundredgige 1/0/1
[Sysname-HundredGigE1/0/1] undo mac-authentication offline-detect enable
【相关命令】
· mac-authentication timer
mac-authentication offline-detect mac-address命令用来配置指定MAC地址用户的下线检测功能。
undo mac-authentication offline-detect mac-address命令用来恢复缺省情况。
【命令】
mac-authentication offline-detect mac-address mac-address { ignore | timer offline-detect-value [ check-arp-or-nd-snooping ] }
undo mac-authentication offline-detect mac-address mac-address
【缺省情况】
由端口的下线检测开关控制是否进行下线检测,且使用全局下线检测定时器作为检测周期。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
mac-address:指定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
ignore:表示不对指定MAC地址用户进行下线检测。
timer offline-detect-value:表示设置下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。
check-arp-or-nd-snooping:表示检查是否存在该MAC地址对应的ARP Snooping表项或ND Snooping表项。
【使用指导】
端口上开启了MAC地址认证的下线检测功能后,如需对某些用户的检查参数进行单独设置,或者不对某些用户进行下线检测,则可通过执行本命令实现。
设置下线检测定时器后,设备在一个下线检测周期之内检测到如下情况时,会切断指定用户的连接,同时通知RADIUS服务器停止对此用户进行计费:
· 对指定MAC地址用户设置下线检测定时器且不指定check-arp-or-nd-snooping参数时,设备在一个下线检测周期之内,未收到该在线用户的报文;
· 对指定MAC地址用户设置下线检测定时器且指定check-arp-or-nd-snooping参数时,设备会检查在一个下线检测周期之内,是否存在该MAC地址对应的ARP Snooping或ND Snooping表项,若不存在则检查是否收到该在线用户的报文,若未收到则切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。
如果关闭端口的MAC地址认证下线检测功能(通过undo mac-authentication offline-detect enable命令),则不会对端口上的MAC地址认证用户进行下线检测,且本命令不生效。
通过ignore参数关闭用户下线检测的功能应用于哑终端的认证,避免哑终端用户因为MAC地址认证的下线检测功能开启导致哑终端下线后不能再次上线的问题,保证哑终端用户长期在线。
本命令对在线用户立即生效。
用户进行下线检测设置的优先级由高到低依次为:设备配置的指定MAC地址用户的下线检测设置、RADIUS服务器下发的下线检测设置、端口上的下线检测设置。其中,RADIUS服务器通过RADIUS属性为用户下发下线检测时间、是否检查ARP Snooping或ND Snooping表项,或是否进行下线检测。
【举例】
# 配置对MAC地址为000a-eb29-7511的MAC地址认证用户不进行下线检测。
<Sysname> system-view
[Sysname] mac-authentication offline-detect mac-address 000a-eb29-7511 ignore
# 配置对MAC地址为000a-eb29-7511的MAC地址认证用户进行下线检测时间为24小时。
<Sysname> system-view
[Sysname] mac-authentication offline-detect mac-address 000a-eb29-7511 timer 86400
【相关命令】
· display mac-authentication connection
· mac-authentication offline-detect enable
· mac-authentication timer (system view)
mac-authentication timer命令用来配置MAC地址认证的定时器参数。
undo mac-authentication timer命令用来恢复缺省情况。
【命令】
mac-authentication timer { offline-detect offline-detect-value | server-timeout server-timeout-value }
undo mac-authentication timer { offline-detect | server-timeout }
【缺省情况】
下线检测定时器的值为300秒,服务器超时定时器的值为100秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。
server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。
【使用指导】
MAC地址认证过程受以下定时器的控制:
· 下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。开启MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。配置offline-detect时,需要将MAC地址老化时间配成相同时间,否则会导致用户异常下线。只有当端口的MAC地址认证下线检测功能处于开启状态时,该定时器生效。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
建议将server-timeout的值设定为小于或等于设备发送RADIUS报文的最大尝试次数(retry)与RADIUS服务器响应超时时间(timer response-timeout)之积。如果server-timeout的值大于retry与timer response-timeout之积,则可能在server-timeout设定的服务器超时时间到达前,用户被强制下线。
关于发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间的具体配置请参见“用户接入与认证配置指导”中的“AAA”。
【举例】
# 设置服务器超时定时器时长为150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
【相关命令】
· display mac-authentication
· retry(用户接入与认证命令参考/AAA)
· timer response-timeout (RADIUS scheme view)(用户接入与认证命令参考/AAA)
mac-authentication user-name-format命令用来配置MAC地址认证用户的帐号格式。
undo mac-authentication user-name-format命令用来恢复缺省情况。
【命令】
mac-authentication user-name-format { fixed [ account name ] | mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ] } [ password { cipher | simple } string ]
undo mac-authentication user-name-format
【缺省情况】
使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符“-”。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
fixed:表示采用固定用户名账号。
account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。
mac-address:表示使用用户的MAC地址作为用户名。
with-hyphen [ six-section | three-section ]:带连字符“-”的MAC地址格式,six-section表示六段式MAC地址格式,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX;three-section表示三段式MAC地址格式,例如xxxx-xxxx-xxxx或XXXX-XXXX-XXXX。如果不指定任何参数,缺省采用六段式MAC地址格式。
without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx。
lowercase:MAC地址中的字母为小写。
uppercase:MAC地址中的字母为大写。
password:指定用户的密码。使用用户的MAC地址作为用户名时,若不配置password参数,则表示使用用户的MAC地址同时作为用户名和密码;对于采用固定用户名的情况,若不配置password参数,则表示无密码。
· cipher:以密文方式设置密码。
· simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
【使用指导】
指定用户的MAC地址为用户名时,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户账户。
若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名账号进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
【举例】
# 配置MAC地址认证的用户名为abc,密码是明文xyz。
<Sysname> system-view
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用户的MAC地址为用户名和密码,使用不带连字符“-”的MAC地址格式,其中字母大写。
<Sysname> system-view
[Sysname] mac-authentication user-name-format mac-address without-hyphen uppercase
【相关命令】
· display mac-authentication
reset mac-authentication access-user命令用来强制MAC地址认证用户下线。
【命令】
reset mac-authentication access-user [ interface interface-type interface-number | mac mac-address username username | vlan vlan-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示强制指定端口下的MAC地址认证用户下线。interface-type interface-number为端口类型和端口编号。
mac mac-address:表示强制指定MAC地址的MAC地址认证用户下线。mac-address表示MAC地址认证用户的MAC地址,格式为H-H-H。
username username:表示强制指定名称的MAC地址认证用户下线。username表示MAC地址认证用户的名称,为1~253个字符的字符串,区分大小写。
vlan vlan-id:表示强制指定VLAN内的MAC地址认证用户下线。vlan-id表示MAC地址认证用户当前所在VLAN的VLAN ID(可通过display mac-address命令查看),取值范围为1~4094。
【使用指导】
reset mac-authentication access-user命令用来强制指定的MAC地址认证用户下线。强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行MAC地址认证。
指定vlan vlan-id参数时,设备会对如下几种MAC地址认证用户进行下线处理:
· 对于已经认证成功且服务器已授权VLAN的用户,将服务器授权的VLAN为vlan-id的用户强制下线;
· 对于已认证成功且服务器未授权VLAN的用户,将设备上对用户生效的VLAN为vlan-id的用户强制下线;
· 对于正在认证中的用户,将初始VLAN为vlan-id的用户强制下线。
如果不指定任何参数,则强制设备上所有MAC地址认证用户下线。
【举例】
# 强制端口HundredGigE1/0/1上的所有MAC地址认证用户下线。
<Sysname> reset mac-authentication access-user interface hundredgige 1/0/1
【相关命令】
· display mac-authentication connection
reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。
【命令】
reset mac-authentication statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定端口的MAC地址认证统计信息。interface-type interface-number为端口类型和端口编号。如果不指定本参数,则清除所有端口上的MAC地址认证统计信息。
【举例】
# 清除以太网端口HundredGigE1/0/1上的MAC认证统计信息。
<Sysname> reset mac-authentication statistics interface hundredgige 1/0/1
【相关命令】
· display mac-authentication
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
