21-MAC地址认证命令

目录 1 MAC 地址认证配置命令... 1-1 1.1 MAC 地址认证基本功能配置命令... 1-1 1.1.1 display mac-authentication... 1-1 1.1.2 mac-authentication... 1-3 1.1.3 mac-authentication interface... 1-3 1.1.4 mac-authentication authmode usernameasmacaddress... 1-4 1.1.5 mac-authentication authmode usernamefixed... 1-5 1.1.6 mac-authentication authpassword...1-5 1.1.7 mac-authentication authusername... 1-6 1.1.8 mac-authentication domain... 1-6 1.1.9 mac-authentication timer... 1-7 1.1.10 reset mac-authentication... 1-8 1.2 MAC 地址认证增强功能配置命令... 1-8 1.2.1 mac-authentication guest-vlan... 1-8 1.2.2 mac-authentication max-auth-num... 1-9 1.2.3 mac-authentication timer guest-vlan-reauth... 1-10 i

1 MAC 地址认证配置命令 1.1 MAC 地址认证基本功能配置命令 1.1.1 display mac-authentication display mac-authentication [ interface interface-list ] 视图 任意视图 参数 interface interface-list : 以太网端口列表, 表示方式为 interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10> 其中 interface-type 为端口类型, interface-number 为端口号 命令中 &<1-10> 表示前面的参数最多可以重复输入 10 次 描述 display mac-authentication 命令用来显示 MAC 地址认证相关信息 举例 # 显示 MAC 地址认证的全局信息 <Sysname> display mac-authentication Mac address authentication is Enabled. Authentication mode is UsernameAsMacAddress Usernameformat:with-hyphen lowercase Fixed password:not configured Offline detect period is 300s Quiet period is 60 second(s). Server response timeout value is 100s Guest VLAN re-authenticate period is 30s Max allowed user number is 1024 Current user number amounts to 1 Current domain: not configured, use default domain Silent Mac User info: MAC ADDR From Port Port Index Ethernet1/0/1 is link-up MAC address authentication is Enabled max-auth-num is 256 Guest VLAN is 2 Authenticate success: 1, failed: 0 Current online user number is 1 MAC ADDR Authenticate state AuthIndex 000d-88f8-4e71 MAC_AUTHENTICATOR_SUCCESS 0 1-1

( 以下略 ) 表 1-1 display mac-authentication 命令显示信息描述表 字段 描述 Mac address authentication is Enabled Authentication mode Fixed password Offline detect period Quiet period Server response timeout value Guest VLAN re-authenticate period Max allowed user number Current user number amounts to Current domain Silent Mac User info Ethernet1/0/1 is link-up MAC address authentication is Enabled MAC 地址认证特性已经开启 MAC 地址认证用户名的形式, 有两种形式 : UsernameFixed: 采用固定用户名 UsernameAsMacAddress: 采用 MAC 地址用户名 缺省为采用 MAC 地址用户名 (UsernameAsMacAddress) 根据 MAC 地址认证用户名形式不同含义有所不同 : 采用 MAC 地址用户名时, 此项配置表示是否采用固定密码, 缺省未配置, 即不采用固定密码, 仍采用用户的 MAC 地址作为密码 采用固定用户名时, 此项配置表示是否配置了固定密码 缺省为未配置, 即密码为空 下线检测定时器, 用来设置检测用户是否下线的时间间隔, 缺省值为 300 秒 静默定时器, 设置对用户认证失败以后, 交换机的静默时间, 缺省为 60 秒 服务器连接超时定时器, 用于设置与 RADIUS 服务器连接超时时间, 缺省为 100 秒 交换机对 Guest VLAN 内的用户进行重认证的时间间隔, 缺省为 30 秒 交换机支持的最大用户数, 缺省为 1024 个 当前用户数 当前使用的域, 缺省未配置 静默用户信息 当用户因为输入错误的用户名 / 密码而未通过 MAC 地址认证时, 交换机将该用户设置为静默, 静默期间交换机不处理该用户的认证请求 端口 Ethernet1/0/1 链路处于 UP 状态 端口 Ethernet1/0/1MAC 地址认证特性已开启 max-auth-num 端口允许接入的 MAC 地址认证用户的最大数量, 缺省为 256 Guest VLAN Authenticate success: 1, failed: 0 Current online user number MAC ADDR Authenticate state AuthIndex 端口的 Guest VLAN 端口上 MAC 地址认证的统计信息, 包括认证通过和认证失败的数目端口当前的接入用户数端口所连接的远程 MAC 地址端口接入用户的状态, 共有四种 : MAC_AUTHENTICATOR_CONNECTING: 正在连接 MAC_AUTHENTICATOR_SUCCESS: 认证通过 MAC_AUTHENTICATOR_FAILURE: 认证失败 MAC_AUTHENTICATOR_LOGOFF: 已下线当前 MAC 地址在认证端口下的索引值 1-2

1.1.2 mac-authentication mac-authentication undo mac-authentication 视图 系统视图 / 以太网端口视图 参数 无 描述 mac-authentication 命令用来开启全局或当前端口的 MAC 地址认证特性 undo mac-authentication 命令用来关闭全局或当前端口的 MAC 地址认证特性 缺省情况下, 全局及所有端口的 MAC 地址认证特性都处于关闭状态 在系统视图下使用该命令时, 表示开启全局的 MAC 地址认证特性 在以太网端口视图下使用该命令时, 表示开启当前视图所在端口的 MAC 地址认证特性 为了启动 MAC 地址认证, 全局和相应端口都需要开启 MAC 地址认证特性 各端口的 MAC 地址认证状态在全局开启之前可以配置, 但不会生效 ; 在全局 MAC 地址认证开启后, 已使能 MAC 地址认证的端口将立即开始进行认证操作 举例 # 开启全局的 MAC 地址认证特性 [Sysname] mac-authentication MAC-Authentication is enabled globally. # 开启端口 Ethernet1/0/1 的 MAC 地址认证特性 [Sysname] interface Ethernet 1/0/1 [Sysname-Ethernet1/0/1] mac-authentication 1.1.3 mac-authentication interface mac-authentication interface interface-list undo mac-authentication interface interface-list 视图 系统视图 参数 1-3

interface-list: 开启 MAC 地址认证的以太网端口列表, 表示方式为 interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10> 其中 interface-type 为端口类型, interface-number 为端口号 命令中 &<1-10> 表示前面的参数最多可以重复输入 10 次 描述 mac-authentication interface 命令用来开启指定端口上的 MAC 地址认证特性 undo mac-authentication interface 命令用来关闭指定端口上的 MAC 地址认证特性 缺省情况下, 所有端口的 MAC 地址认证特性都处于关闭状态 全局 MAC 地址认证特性开启后, 必须再开启端口的 MAC 地址认证特性,MAC 地址认证的配置才能在端口上生效 ; 如果端口开启了 MAC 地址认证特性, 则不能配置该端口的最大 MAC 地址学习个数 ( 通过命令 mac-address max-mac-count 配置 ); 反之, 如果端口配置了最大 MAC 地址学习个数, 则禁止在该端口上开启 MAC 地址认证特性 如果端口启动了 MAC 地址认证, 则不能配置该端口加入汇聚组 反之, 如果该端口已经加入到某个汇聚组中, 则禁止在该端口上启动 MAC 地址认证 举例 # 开启以太网端口 Ethernet 1/0/1 上的 MAC 地址认证特性 [Sysname] mac-authentication interface Ethernet 1/0/1 1.1.4 mac-authentication authmode usernameasmacaddress 视图 参数 mac-authentication authmode usernameasmacaddress [ usernameformat { with-hyphen without-hyphen } { lowercase uppercase } fixedpassword password ] undo mac-authentication authmode usernameasmacaddress [ usernameformat fixedpassword ] 系统视图 usernameformat: 设置用户名和密码的输入格式 with-hyphen: 系统采用带有分隔符 - 的 MAC 地址作为 MAC 地址认证的用户名和密码, 例如 00-05-e0-1c-02-e3 without-hyphen: 系统采用不带有分隔符 - 的 MAC 地址作为 MAC 地址认证的用户名和密码, 例如 0005e01c02e3 lowercase:mac 地址格式为小写格式 uppercase:mac 地址格式为大写格式 1-4

fixedpassword password: 配置 MAC 地址认证采用固定密码 password, 不再采用 MAC 地址作为密码,password 为长度 1~63 个字符的字符串 描述 mac-authentication authmode usernameasmacaddress 命令用来设置 MAC 地址认证时采用 MAC 地址用户名形式, 并配置具体用户名格式 undo mac-authentication authmode 命令用来恢复 MAC 地址认证时采用的用户名形式为缺省情况 缺省情况下,MAC 地址认证时采用的用户名 密码为 MAC 地址形式 举例 # 设置 MAC 地址认证时采用的用户名形式为 MAC 地址用户名, 使用带有分隔符的小写格式输入 MAC 地址作为用户名和密码 [Sysname] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen lowercase 1.1.5 mac-authentication authmode usernamefixed mac-authentication authmode usernamefixed undo mac-authentication authmode 视图 系统视图 参数 无 描述 mac-authentication authmode usernamefixed 命令用来设置 MAC 地址认证时采用固定用户名形式 undo mac-authentication authmode 命令用来恢复 MAC 地址认证时采用的用户名形式为缺省情况 缺省情况下, 系统采用 MAC 地址用户名进行认证 举例 # 设置 MAC 地址认证时采用固定用户名形式 [Sysname] mac-authentication authmode usernamefixed 1.1.6 mac-authentication authpassword mac-authentication authpassword password undo mac-authentication authpassword 1-5

视图 系统视图 参数 password: 表示认证时使用的密码, 长度为 1~63 个字符的字符串 描述 mac-authentication authpassword 命令用来设置 MAC 地址认证采用固定用户名形式时的密码 undo mac-authentication authpassword 命令用来取消设置的密码 缺省情况下, 未配置固定用户名的密码 举例 # 设置固定用户名方式的密码为 newmac [Sysname] mac-authentication authpassword newmac 1.1.7 mac-authentication authusername mac-authentication authusername username undo mac-authentication authusername 视图 系统视图 参数 username: 表示认证时使用的用户名, 为长度不超过 55 个字符的字符串 描述 mac-authentication authusername 命令用来设置采用固定用户名形式时的用户名 undo mac-authentication authusername 命令用来将用户名恢复为系统缺省情况 缺省情况下, 固定用户名形式时的用户名为 mac 举例 # 设置固定用户名形式认证的用户名为 vipuser [Sysname] mac-authentication authusername vipuser 1.1.8 mac-authentication domain mac-authentication domain isp-name undo mac-authentication domain 1-6

视图 参数 描述 举例 系统视图 isp-name:isp 域名 为不超过 128 个字符的非空字符串, 且不能包括 / : *? < 以及 > 等特殊字符 mac-authentication domain 命令用来配置 MAC 地址认证用户所使用的 ISP 域 undo mac-authentication domain 命令用来恢复 MAC 地址认证用户所使用的 ISP 域为缺省情况 缺省情况下, 使用缺省 ISP 域 system # 配置 MAC 地址使用的域为 aabbcc [Sysname] mac-authentication domain aabbcc 1.1.9 mac-authentication timer 视图 参数 描述 举例 mac-authentication timer { offline-detect offline-detect-value quiet quiet-value server-timeout server-timeout-value } undo mac-authentication timer { offline-detect quiet server-timeout } 系统视图 offline-detect-value: 下线检测定时器的值, 用来设置交换机检查用户是否已经下线的时间间隔 取值范围 1~65535, 单位为秒 缺省值为 300 秒 quiet-value: 静默定时器的值 对用户认证失败以后, 交换机需要静默一段时间后再处理用户认证请求, 在静默期间, 交换机不处理该用户的认证请求 取值范围 1~3600, 单位为秒 缺省值为 60 秒 server-timeout-value: 服务器超时定时器的值 在用户的认证过程中, 如果交换机同 RADIUS 服务器的连接超时, 则此次认证失败 取值范围为 1~65535, 单位为秒 缺省值为 100 秒 mac-authentication timer 命令用来配置 MAC 地址认证的各项定时器参数 undo mac-authentication timer 命令用来将指定的定时器恢复为缺省值 相关可参考命令 display mac-authentication # 设置服务器超时定时器时长为 150 秒 1-7

[Sysname] mac-authentication timer server-timeout 150 1.1.10 reset mac-authentication reset mac-authentication statistics [ interface interface-list] 视图 用户视图 参数 interface-list: 以太网端口列表, 表示方式为 interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10> 其中 interface-type 为端口类型,interface-number 为端口号 命令中 &<1-10> 表示前面的参数最多可以重复输入 10 次 描述 reset mac-authentication 命令用来清除 MAC 地址认证的统计信息 当指定 interface 参数时, 表示清除指定端口上的 MAC 地址认证统计信息 ; 不指定 interface 参数时, 表示清除全局 MAC 地址认证统计信息 举例 # 清除端口 Ethernet 1/0/1 上的 MAC 地址认证统计信息 <Sysname> reset mac-authentication statistics interface Ethernet 1/0/1 1.2 MAC 地址认证增强功能配置命令 1.2.1 mac-authentication guest-vlan mac-authentication guest-vlan vlan-id undo mac-authentication guest-vlan 视图 以太网端口视图 参数 vlan-id: 为当前端口配置的 Guest VLAN 的 VLAN ID, 取值范围为 1~4094 描述 mac-authentication guest-vlan 命令用来配置当前端口的 Guest VLAN, 如果端口连接的客户端认证失败, 该端口将被加入 Guest VLAN, 此时接入用户可以访问 Guest VLAN 中的网络资源 undo mac-authentication guest-vlan 命令用来取消端口的 Guest VLAN 配置 缺省情况下, 没有配置端口的 Guest VLAN 系统每隔 mac-authentication timer guest-vlan-reauth 设置的时间间隔后, 会对 Guest VLAN 内用户进行重认证, 如果认证成功, 则离开 Guest VLAN, 回到原 VLAN 1-8

当端口连接的客户端数量大于 1 时, 将不能配置该端口的 Guest VLAN 当端口配置了 Guest VLAN 后, 该端口也将只允许一个 MAC 地址认证用户接入, 即使配置的 MAC 地址认证用户的最大数目限制大于 1, 也将不会生效 被配置为 Guest VLAN 的 VLAN 不能使用 undo vlan 命令直接删除, 必须先删除 Guest VLAN 配置, 才能够删除 undo vlan 命令请参见本手册 VLAN 部分的介绍 一个端口只能配置一个 Guest VLAN, 对应的 VLAN 必须已经存在, 否则将会配置失败 如果需要修改当前端口的 Guest VLAN, 需要先删除之前的 Guest VLAN 配置, 再重新进行配置 在配置了端口的 Guest VLAN 后, 将不能在此端口开启 802.1x 认证功能 MAC 地址认证的 Guest VLAN 功能在端口安全开启的情况下不生效 相关配置可参考命令 mac-authentication timer guest-vlan-reauth 举例 # 配置以太网端口 Ethernet1/0/1 的 Guest VLAN 为 VLAN4 [Sysname] interface Ethernet 1/0/1 [Sysname-Ethernet1/0/1] mac-authentication guest-vlan 4 1.2.2 mac-authentication max-auth-num mac-authentication max-auth-num user-number undo mac-authentication max-auth-num 视图 以太网端口视图 参数 user-number: 端口允许接入的 MAC 地址认证用户的最大数量, 取值范围为 1~256 描述 mac-authentication max-auth-num 命令用来配置当前端口可以接入的 MAC 地址认证用户的最大数量, 当接入用户到达配置的限制数量时, 交换机将不会再对之后接入的用户进行认证触发动作, 这些用户也就无法正常访问网络 undo mac-authentication max-auth-num 用来恢复该配置的缺省值 缺省情况下, 端口允许接入的 MAC 地址认证用户的最大数量为 256 个 当端口下同时配置了 MAC 地址认证用户数量限制和端口安全的用户数量限制时, 允许接入的 MAC 地址认证用户数将为这两种配置中的较小值 端口安全功能的介绍请参见本手册 端口安全 部分 当端口当前有用户在线时, 不能配置此端口的 MAC 地址认证用户的最大数量 1-9

举例 # 配置以太网端口 Ethernet1/0/2 最多允许 100 个 MAC 地址认证用户接入 [Sysname] interface Ethernet 1/0/2 [Sysname-Ethernet1/0/2] mac-authentication max-auth-num 100 1.2.3 mac-authentication timer guest-vlan-reauth mac-authentication timer guest-vlan-reauth interval undo mac-authentication timer guest-vlan-reauth 视图 系统视图 参数 interval: 配置交换机对 Guest VLAN 内的用户进行重认证的时间间隔, 取值范围为 1~3600, 单位为秒 描述 mac-authentication timer guest-vlan-reauth 命令用来配置交换机对 Guest VLAN 内的用户进行重认证的时间间隔, 如果认证成功用户离开 Guest VLAN, 回到原 VLAN undo mac-authentication timer guest-vlan-reauth 用来恢复重认证时间间隔为缺省值 缺省情况下, 交换机对 Guest VLAN 内用户进行重认证的时间间隔为 30 秒 举例 # 配置交换机每隔 60 秒对 Guest VLAN 内的用户进行重认证 [Sysname] mac-authentication timer guest-vlan-reauth 60 1-10