03-MAC地址认证命令 - PDF 免费下载

目录 1 MAC 地址认证配置命令... 1-1 1.1 MAC 地址认证配置命令...1-1 1.1.1 display mac-authentication... 1-1 1.1.2 mac-authentication... 1-3 1.1.3 mac-authentication domain... 1-4 1.1.4 mac-authentication max-user... 1-5 1.1.5 mac-authentication timer... 1-5 1.1.6 mac-authentication user-name-format... 1-6 1.1.7 reset mac-authentication statistics... 1-8 i

1 MAC 地址认证配置命令 1.1 MAC 地址认证配置命令 1.1.1 display mac-authentication 视图 display mac-authentication [ interface interface-list ] [ { begin exclude include } regular-expression ] 任意视图缺省级别参数描述举例 2: 系统级 interface interface-list: 端口列表, 表示多个端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中,interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display mac-authentication 命令用来显示 MAC 地址认证的相关信息, 主要包括全局及端口的配置信息认证报文统计信息以及认证用户信息需要注意的是 : 如果指定参数 interface interface-list, 则显示全局及指定端口上的 MAC 地址认证信息如果不指定任何参数, 则显示全局及所有端口上的 MAC 地址认证信息 # 显示 MAC 地址认证信息 <Sysname> display mac-authentication MAC address authentication is enabled. User name format is MAC address in lowercase, like xxxxxxxxxxxx Fixed username:mac 1-1

Fixed password:not configured Offline detect period is 300s Quiet period is 60s. Server response timeout value is 100s the max allowed user number is 1024 per slot Current user number amounts to 0 Current domain: not configured, use default domain Silent Mac User info: MAC Addr From Port Port Index Ethernet1/1 is link-up MAC address authentication is enabled Authenticate success: 0, failed: 0 Max number of on-line users is 128 Current online user number is 0 MAC Addr Authenticate state Auth Index ( 略 ) 表 1-1 display mac-authentication 命令显示信息描述表字段 MAC address authentication is enabled MAC 地址认证特性已经开启描述本字段用于显示 MAC 地址认证使用的用户名格式, 有以下两种情况 : User name format is MAC address in lowercase, like xxxxxxxxxxxx Fixed username: Fixed password: Offline detect period Quiet period Server response timeout value The max allowed user number Current user number amounts Current domain: not configured, use default domain Silent Mac User info Ethernet1/1 is link-up MAC address authentication is enabled Authenticate success: 0, failed: 0 Max number of on-line users 若采用 MAC 地址形式, 则显示具体的用户名格式以及是否带连字符字母是否大小写, 例如本例中 User name format is MAC address in lowercase, like xxxxxxxxxxxx, 它表示用户名格式为不带连字符的 MAC 地址, 其中字母为小写若采用固定用户名格式, 则显示 User name format is fixed account 固定用户名固定用户名的密码下线检测定时器的时间间隔静默定时器的时间间隔服务器连接超时定时器的值设备每板最大支持的 MAC 地址认证用户数当前用户数当前认证域没有配置, 使用缺省域静默用户信息端口 Ethernet1/1 链路处于 UP 状态端口 Ethernet1/1MAC 地址认证特性已开启端口上 MAC 地址认证的统计信息, 包括认证通过和认证失败的数目端口最多可容纳的接入用户数如果端口没有开启 MAC 地址认证, 则显示 0 1-2

字段描述 Current online user number MAC Addr 端口当前的接入用户数 MAC 地址端口接入用户的状态, 共有四种 : Authenticate state AuthIndex CONNECTING: 正在连接 SUCCESS: 认证通过 FAILURE: 认证失败 LOGOFF: 已下线认证体索引号 1.1.2 mac-authentication 在系统视图下 : mac-authentication [ interface interface-list ] undo mac-authentication [ interface interface-list ] 在以太网接口视图下 : mac-authentication undo mac-authentication 视图系统视图 / 以太网接口视图缺省级别 2: 系统级参数 interface interface-list: 以太网端口列表, 表示多个以太网端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中, interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号描述 mac-authentication 命令用来开启指定端口上或全局的 MAC 地址认证特性 undo mac-authentication 命令用来关闭指定端口上或全局的 MAC 地址认证特性缺省情况下, 所有端口及全局的 MAC 地址认证特性都处于关闭状态需要注意的是 : 在系统视图下使用该命令时, 如果不输入可选项 interface interface-list, 则表示开启全局的 MAC 地址认证特性 ; 如果指定了 interface interface-list, 则表示开启指定端口的 MAC 地址认证特性只有全局和端口的 MAC 地址认证特性均开启后,MAC 地址认证配置才能在端口上生效举例 1-3

# 开启全局的 MAC 地址认证特性 [Sysname] mac-authentication Mac-auth is enabled globally. # 开启以太网端口 Ethernet1/1 上的 MAC 地址认证特性 [Sysname] mac-authentication interface ethernet 1/1 Mac-auth is enabled on port Ethernet1/1. 或者 [Sysname] interface ethernet 1/1 [Sysname-Ethernet1/1] mac-authentication Mac-auth is enabled on port Ethernet1/1. 1.1.3 mac-authentication domain mac-authentication domain domain-name undo mac-authentication domain 视图系统视图 / 接口视图缺省级别 2: 系统级参数 domain-name:isp 域名, 为 1~24 个字符的字符串, 不区分大小写, 且不能包括 / : *? < > 以及 @ 等特殊字符描述 mac-authentication domain 命令用来指定 MAC 地址认证用户使用的认证域 undo mac-authentication domain 命令用来恢复缺省情况缺省情况下, 未指定 MAC 地址认证用户使用的认证域, 使用系统缺省的认证域缺省认证域的介绍请参见安全命令参考 /AAA 中的命令 domain default enable 需要注意的是 : 系统视图下指定的认证域对所有使能了 MAC 地址认证的端口生效以太网接口视图下指定的认证域仅对本端口有效不同的端口可以指定不同的认证域端口上接入的 MAC 地址认证用户将按照如下先后顺序选择认证域 : 端口上指定的认证域 --> 系统视图下指定的认证域 --> 系统缺省的认证域相关配置可参见命令 display mac-authentication 举例 # 在系统视图下指定 MAC 地址认证用户使用的认证域为 domain1 1-4

[Sysname] mac-authentication domain domain1 # 指定端口 Ethernet1/1 上接入的 MAC 地址认证用户使用的认证域为 aabbcc [Sysname] interface ethernet 1/1 [Sysname-Ethernet1/1] mac-authentication domain aabbcc 1.1.4 mac-authentication max-user 视图 mac-authentication max-user user-number undo mac-authentication max-user 接口视图缺省级别参数描述举例 2: 系统级 user-number: 端口同时可容纳接入用户数量的最大值, 取值范围为 1~256 mac-authentication max-user 命令用来配置端口同时可容纳接入的 MAC 地址认证用户数量的最大值 undo mac-authentication max-user 命令用来恢复该值的缺省值缺省情况下, 端口同时可容纳接入用户数量的最大值为 256 # 设置端口 Ethernet1/1 最多同时可容纳 32 个 MAC 地址认证用户接入 [Sysname] interface ethernet 1/1 [Sysname-Ethernet1/1] mac-authentication max-user 32 1.1.5 mac-authentication timer 视图 mac-authentication timer { offline-detect offline-detect-value quiet quiet-value server-timeout server-timeout-value } undo mac-authentication timer { offline-detect quiet server-timeout } 系统视图缺省级别参数 2: 系统级 1-5

描述 offline-detect offline-detect-value: 表示下线检测定时器其中,offline-detect-value 表示下线检测定时器的值, 取值范围 60~65535, 单位为秒 quiet quiet-value: 表示静默定时器其中 quiet-value 表示静默定时器的值, 取值范围 1~3600, 单位为秒 server-timeout server-timeout-value: 表示服务器超时定时器其中,server-timeout-value 表示服务器超时定时器的值, 取值范围为 100~300, 单位为秒 mac-authentication timer 命令用来配置 MAC 地址认证定时器 undo mac-authentication timer 命令用来将指定的定时器恢复为缺省情况缺省情况下, 下线定时器的值为 300 秒, 静默定时器的值为 60 秒, 服务器的超时定时器的值为 100 秒举例 MAC 地址认证过程受以下定时器的控制 : 下线检测定时器 (offline-detect): 用来设置用户空闲超时的时间间隔如果在两个时间间隔之内, 没有来自用户的流量通过, 设备将切断用户的连接, 同时通知 RADIUS 服务器, 停止对该用户的计费静默定时器 (quiet): 用来设置用户认证失败以后, 设备需要等待的时间间隔在静默期间, 设备不对来自该用户的报文进行认证处理, 直接丢弃静默期后, 如果设备再次收到该用户的报文, 则依然可以对其进行认证处理服务器超时定时器 (server-timeout): 用来设置设备同 RADIUS 服务器的连接超时时间在用户的认证过程中, 如果服务器超时定时器超时, 设备将在相应的端口上禁止此用户访问网络相关配置可参考命令 display mac-authentication # 设置服务器超时定时器时长为 150 秒 [Sysname] mac-authentication timer server-timeout 150 1.1.6 mac-authentication user-name-format 视图 mac-authentication user-name-format { fixed [ account name ] [ password { cipher simple } password ] mac-address [ { with-hyphen without-hyphen } [ lowercase uppercase ] ] } undo mac-authentication user-name-format 系统视图缺省级别参数 2: 系统级 1-6

fixed: 表示采用固定用户名格式 account name: 指定用户名其中 name 为用户名, 为 1~55 个字符的字符串, 不区分大小写, 缺省为 mac password { cipher simple } password: 指定固定用户名的密码其中,cipher 表示密文显示密码,simple 表示明文显示密码,password 表示用户密码无缺省值密文显示的情况下, 可输入 1~63 个字符的明文字符串密码, 也可输入长度为 24 或 88 个字符的密文字符串密码 ; 明文显示的情况下, 只能输入 1~63 个字符的明文字符串 mac-address: 表示使用用户的 MAC 地址做为用户名和密码 with-hyphen: 带连字符 - 的 MAC 地址格式, 例如 xx-xx-xx-xx-xx-xx without-hyphen: 不带连字符 - 的 MAC 地址格式, 例如 xxxxxxxxxxxx lowercase:mac 地址中的字母为小写 uppercase:mac 地址中的字母为大写描述 mac-authentication user-name-format 命令用来配置 MAC 地址认证的用户名格式 undo mac-authentication user-name-format 命令用来恢复缺省情况缺省情况下, 使用用户的 MAC 地址做用户名和密码, 其中字母为小写,MAC 地址不带连字符 - 需要注意的是 : 若指定用户的 MAC 地址为用户名, 则用户密码也为用户的源 MAC 地址在 cipher 方式下, 长度小于等于 16 的明文密码会被加密为长度是 24 的密文, 长度大于 16 且小于等于 63 的明文密码会被加密为长度是 88 的密文当用户输入长度为 24 的密码时, 如果密码能够被系统解密, 则按密文密码处理 ; 若不能被解密, 则按明文密码处理相关配置可参考命令 display mac-authentication 举例 # 配置 MAC 认证的用户名为 abc, 密码是明文显示的 xyz [Sysname] mac-authentication user-name-format fixed account abc password simple xyz [Sysname] display this # mac-authentication user-name-format fixed account abc password simple xyz # # 配置 MAC 认证的用户名为 abc, 密码是密文显示的 xyz [Sysname] mac-authentication user-name-format fixed account abc password ciper xyz [Sysname] display this # mac-authentication user-name-format fixed account abc password cipher 5Q4$,*^18 N'Q=^Q`MAF4<1!! # 1-7

# 配置 MAC 认证的用户名为 abc, 密码是密文显示的 5Q4$,*^18N'Q=^Q`MAF4<1!! [Sysname] mac-authentication user-name-format fixed account abc password ciper 5Q4$,*^18 N'Q=^Q`MAF4<1 # 配置用户的 MAC 地址为用户名和密码, 使用带连字符 - 的 MAC 地址格式, 其中字母大写 [Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase 1.1.7 reset mac-authentication statistics reset mac-authentication statistics [ interface interface-list ] 视图用户视图缺省级别 2: 系统级参数 interface interface-list: 端口列表, 表示多个端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中,interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号描述 reset mac-authentication statistics 命令用来清除 MAC 认证的统计信息需要注意的是 : 如果不指定端口类型和端口号, 则清除设备上的全局及所有端口的 MAC 认证统计信息 ; 如果指定端口类型和端口号, 则清除指定端口上的 MAC 认证统计信息相关配置可参考命令 display mac-authentication 举例 # 清除以太网端口 Ethernet1/1 上的 MAC 认证统计信息 <Sysname> reset mac-authentication statistics interface ethernet 1/1 1-8