MAC认证.docVIP

目? 录 第1章 MAC地址认证配置... 1-1 1.1 MAC地址认证简介.. 1-1 1.1.1 RADIUS服务器认证方式进行MAC地址认证.. 1-1 1.1.2 本地认证方式进行MAC地址认证.. 1-1 1.2 相关概念.. 1-2 1.2.1 MAC地址认证定时器.. 1-2 1.2.2 静默MAC. 1-2 1.3 MAC地址认证基本功能配置.. 1-3 1.3.1 MAC地址认证基本功能配置.. 1-3 1.4 MAC地址认证增强功能配置.. 1-4 1.4.1 MAC地址认证增强功能配置任务.. 1-4 1.4.2 配置Guest VLAN. 1-4 1.4.3 配置端口下MAC地址认证用户的最大数量.. 1-6 1.4.4 配置端口的静默MAC功能.. 1-7 1.5 MAC地址认证配置显示和维护.. 1-7 1.6 MAC地址认证配置举例.. 1-7 ? 第1章? MAC 1.1? MAC地址认证简介 MAC地址认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法，它不需要用户安装任何客户端认证软件。交换机在首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，也不需要用户手动输入用户名或者密码。 S3100系列以太网交换机进行MAC地址认证时，可采用两种认证方式： ?????????????? 通过RADIUS服务器认证 ?????????????? 本地认证 当认证方式确定后，用户可根据需求选择以下一种类型的认证用户名： ?????????????? MAC地址用户名：使用用户的MAC地址作为认证时的用户名和密码。 ?????????????? 固定用户名：所有用户均使用在交换机上预先配置的本地用户名和密码进行认证，因此用户能否通过认证取决于该用户名和密码是否正确及此用户名的最大用户数属性控制（具体内容请参见本手册“AAA”中的配置本地用户属性部分）。 1.1.1? RADIUS服务器认证方式进行MAC地址认证 当选用RADIUS服务器认证方式进行MAC地址认证时，交换机作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作： ?????????????? 采用MAC地址用户名时，交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。 ?????????????? 采用固定用户名时，交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密码，发送给RADIUS服务器。 RADIUS服务器完成对该用户的认证后，认证通过的用户可以访问网络。 1.1.2? 本地认证方式进行MAC地址认证 当选用本地认证方式进行MAC地址认证时，直接在交换机上完成对用户的认证。需要在交换机上配置本地用户名和密码： ?????????????? 采用MAC地址用户名时，需要配置的本地用户名为接入用户的MAC地址，本地用户名是否使用分隔符“-”要与mac-authentication authmode usernameasmacaddress usernameformat命令设置的格式相同，否则会导致认证失败。 ?????????????? 采用固定用户名时，所有用户MAC将自动匹配到已配置的本地用户名和密码。 本地用户的服务类型应设置为lan-access。 1.2? 相关概念 1.2.1? MAC地址认证定时器 MAC地址认证过程受以下定时器的控制： ?????????????? 下线检测定时器（offline-detect）：用来设置交换机检查用户是否已经下线的时间间隔。当检测到用户下线后，交换机立即通知RADIUS服务器，停止对该用户的计费。 ?????????????? 静默定时器（quiet）：用来设置用户认证失败以后，该用户需要等待的时间间隔。在静默期间，交换机不处理该用户的认证功能，静默之后交换机再重新对用户发起认证。 ?????????????? 服务器超时定时器（server-timeout）：用来设置交换机同RADIUS服务器的连接超时时间。在用户的认证过程中，如果服务器超时定时器超时，则此次认证失败。 1.2.2? 静默MAC 当一个MAC地址认证失败后，此MAC就被设置为静默MAC。在静默定时器时长之内，对来自此MAC地址的数据报文，交换机直接做丢弃处理。静默MAC的功能主要是防止非法MAC短时间内的重复认证。 ? 注意： ?????? 若配置的静态MAC或者认证通过的MAC地址与静默MAC相同，则此MAC地址的静默功能失效。 ?????? S3100系列以太网交换机支持在端口下配置是否开启静默MAC功能。 ? 1.3? MAC地址认证基本功能配置 1.3.1? MAC地址认证基本功能配置 表1-1 MAC 操作 命令 说明