13-集中式mac地址认证操作
H3C-MAC地址认证配置
目录
1 MAC地址认证配置 ............................................................................................................................. 1-1 1.1 MAC地址认证简介............................................................................................................................. 1-1 1.1.1 RADIUS服务器认证方式进行MAC地址认证........................................................................... 1-2 1.1.2 本地认证方式进行MAC地址认证 ............................................................................................ 1-2 1.2 相关概念............................................................................................................................................ 1-2 1.2.1 MAC地址认证定时器 .............................................................................................................. 1-2 1.2.2 静默MAC ................................................................................................................................ 1-2 1.2.3 下发VLAN ............................................................................................................................... 1-3 1.2.4 下发ACL ................................................................................................................................. 1-3 1.2.5 MAC地址认证的Guest VLAN ................................................................................................. 1-3 1.3 配置MAC地址认证............................................................................................................................. 1-3 1.3.1 配置准备 ................................................................................................................................. 1-3 1.3.2 配置过程 ................................................................................................................................. 1-4 1.4 配置MAC地址认证的Guest VLAN..................................................................................................... 1-4 1.4.1 配置准备 ................................................................................................................................. 1-4 1.4.2 配置Guest VLAN .................................................................................................................... 1-5 1.5 MAC地址认证的显示和维护 .............................................................................................................. 1-5 1.6 MAC地址认证典型配置举例 .............................................................................................................. 1-6 1.6.1 MAC地址本地认证 .................................................................................................................. 1-6 1.6.2 MAC地址RADIUS认证 ........................................................................................................... 1-7 1.6.3 下发ACL典型配置举例............................................................................................................ 1-9
接入层部署802 1X+MAC认证(有线认证)
Agile Controller-Campus接入层部署802.1X+MAC认证(有线认证)文档版本V1.0发布日期2016-3-30版权所有 © 华为技术有限公司 2016。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:1接入层部署802.1X+MAC认证(有线认证)适用产品和版本本案例适用如下产品和版本:组网需求由于企业对安全性要求很高,网络管理员为了防止非法人员和不安全的电脑接入到公司网络中,造成公司信息资源受到损失,希望员工的电脑在接入到公司网络之前进行身份验证和安全检查,只有身份合法的用户使用安全检查通过的电脑才可以接入到公司网络。
对于IP电话、打印机等哑终端,同样需要认证通过才允许接入网络。
根据公司现有网络设备的性能分析结果,企业具有如下特征:l现有接入交换机功能较强,均支持802.1X功能。
l公司园区规模较小,且不存在分支机构,网络相对集中。
l公司现有员工不超过1000人,包括访客日均终端接入量低于2000。
l公司网络中需要接入哑终端,如IP电话、打印机等。
l Agile Controller-Campus不可用时希望可以启用逃生通道,用户或哑终端可以直接访问认证后域,避免业务中断。
实验6MAC地址本地认证典型配置(精)
计算机网络安全技术与实施
实验6 MAC地址本地认证
专业务实
学以致用
目录
1 2 3
3. 增加一条长静态ARP表项,IP地址为192.168.1.1/24,对应的MAC地 址为000f-e201-0000,表项对应的出端口为属于VLAN 10的端口 GigabitEthernet1/0/10。
4. 增加一条短静态ARP表项,IP地址为192.168.1.2/24,对应的MAC地 址为000f-e201-0001。
项目需求实验拓扑实验命令专业务实学以致用
MAC地址认证简介
MAC地址认证简介 MAC 地址认证是一种基于端口和 MAC 地址对用户的网络访问权限进行控制的认证方 法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即
启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。
目前设备支持两种方式的MAC地址认证: l 通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服 务)服务器认证。 l本地认证。有关远程RADIUS认证和本地认证的详细介绍请参见“ AAA-RADIUS-HWT ACACS操作”。认证方式确定后,可根据需求选择MAC认证用户名的类型,包括以 下两种方式:
专业务实
学以致用
实验拓扑图:
专业务实
学以致用
基本配置:
(1) 在交换机上配置MAC地址认证 # 添加本地接入用户。 <Switch> system-view [Switch] local-user aaa [Switch-luser-aaa] password simple 123456 [Switch-luser-aaa] service-type lan-access [Switch-luser-aaa] quit # 配置ISP域,使用本地认证方式。 [Switch] domain [] authentication lan-access local [] quit # 开启全局MAC地址认证特性。 [Switch] mac-authentication # 开启端口GigabitEthernet2/0/1的MAC地址认证特性。 [Switch] mac-authentication interface GigabitEthernet 2/0/1 # 配置MAC地址认证用户所使用的ISP域。 [Switch] mac-authentication domain # 配置MAC地址认证的定时器。 [Switch] mac-authentication timer offline-detect 180 [Switch] mac-authentication timer quiet 180 # 配置MAC地址认证使用固定用户名、密码格式。 [Switch] mac-authentication user-name-format fixed account aaa password simple 123456
s8500命令手册(V2.00)7-3 MAC地址认证命令
MAC地址认证目录目录第1章集中式MAC地址认证配置命令...................................................................................1-11.1 集中式MAC地址认证配置命令.........................................................................................1-11.1.1 debugging mac-authentication event......................................................................1-11.1.2 display mac-authentication......................................................................................1-11.1.3 mac-authentication..................................................................................................1-31.1.4 mac-authentication domain.....................................................................................1-41.1.5 mac-authentication timer.........................................................................................1-5第1章集中式MAC地址认证配置命令1.1 集中式MAC地址认证配置命令1.1.1 debugging mac-authentication event【命令】debugging mac-authentication event [ slot slot-number ]undo debugging mac-authentication event [ slot slot-number ]【视图】用户视图【参数】slot slot-number:打开mac地址认证模块的某个业务板上的调试功能。
基于freeradius的mac认证
什么是FreeRADIUS?RADIUS是Remote Access Dial In User Service的简称。
RADIUS主要用来提供认证(Authentication)机制,用来辨认使用者的身份与密码–> 确认通过之后,经由授权(Authorization)使用者登入网域使用相关资源–> 并可提供计费(Accounting)机制,保存使用者的网络使用记录。
FreeRADIUS是一款OpenSource软件,基于RADIUS协议,实现RADIUS AAA(Authentication、Authorization、Accounting)功能。
Radius认证的过程:1,supplicant向NAS发起802.1X的EAP0L-START;2,NAS收到EAP0L-START之后发给supplicant一个eap/identity;3,supplicant收到这个eap/identity之后将username作为response发回给NAS;4,NAS将包含有username的eap包封装入RADIUS包的的eap_message属性中,并作为access request包(包ID假定为1)发给RADIUS服务器;5,RADIUS服务器收到这个含有eap_message属性的RADIUS包之后,发回一个带有eap_message(其内部的EAP包为md5 challenge)给NAS;6,NAS收到这个RADIUS包之后将eap_message属性中的EAP包提取出来,然后封装在EAPOL中发给supplicant;7,supplicant收到这个EAP/MD5 CHALLENGE之后将passwd放入EAP包中发给NAS,然后NAS再次打包发给RADIUS8,RADIUS进行认证,如果username和passwd匹配之后认证通过。
目的:搭建freeradius服务器实现用户上网的Mac地址认证环境:centos+freeradius+mysql安装:一、安装openssl二、安装mysql1 2 3 4 5 [root@zhinan~] yun groupinstall "MySQL Database"/#安装MySQL数据库[root@zhinan~] service mysqld start /#启动数据库[root@zhinan~] netstat -nax /#查看3306端口是否在使用,从而确定安装是否成功[root@zhinan~] mysqladmin -u root password '123'/#修改root的密码为123 [root@zhinan~] mysql -u root -p123 /#进入mysql,查看数据库是正常使用。
项目案例15 无线控制器MAC地址认证 Guest VLAN解析
项目案例计算机网络系统集成项目(工程项目案例及实践)所在系别:计算机技术系所属专业:计算机网络技术指导教师:张海峰专业负责人:孙志成H3C无线控制器MAC地址认证+Guest VLAN典型配置举例(V7)一、功能需求本文档介绍当用户MAC地址认证失败时只能访问某一特定的VLAN,即Guest VLAN 内的网络资源的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解AAA、MAC地址认证、WLAN用户接入认证和WLAN接入特性。
二、组网信息及描述如图1所示,集中式转发架构下,AP和Client通过DHCP server获取IP地址,设备管理员希望对Client进行MAC地址认证,以控制其对网络资源的访问,具体要求如下:∙配置VLAN 200为Client的接入VLAN,Client通过VLAN 200上线并在RADIUS server上进行MAC地址认证。
∙配置VLAN 300为Guest VLAN,当Client的MAC地址认证失败时进入Guest VLAN,此时Client只能访问VLAN 300内的网络资源。
三、配置步骤1.1 配置思路为了实现用户MAC地址认证失败后仅允许访问Guest VLAN内的资源,需要在无线服务模板下配置Guest VLAN功能,则认证失败的用户会被加入该Guest VLAN,且该用户仅被授权访问Guest VLAN内的资源,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证。
1.2 配置步骤1.2.1 配置AC(1)配置AC的接口# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。
试谈Mac地址认证
在世界是惟一 的。形 象地说 ,Ma c地址 就如同身份证 上的身份
证号码 ,具有全球 唯一性 。
在 Widw 操作 系统下查看 Ma 地 址 的常见方 法为 :点 no s c 击 “ 开始 ”一 “ 运行 ” ,在 “ 行”界 面下输入 “m ” 点击 运 cd “ 确定”出现命令提示符 ,在 c > : 下输 入 icni a 命令, \ p of l g/ l 出现 的物理 地址 就是 Ma 地址 ,如图 1 c 所示 。
置的用 户名 和密码一一对应 。
存芯片 ,通常可 以通过程序擦写) P地址 与 Ma 地址在计算 。I c 机里都是 以二进制表示 的 ,I P地址是 3 位 的 ,而 Ma 地址则 2 c 是4 8位 的。Ma 地 址 的长 度为 4 c 8位 ( 6个字节),通常表示
为 1 2个 1 进 制数 ,如 :0 一 6 E — E 3 - 0就是一个 M c 6 o 1一 A A 一 C 4 a
【ud a] m c a tet a o Q i y a -uh ni t n w ci
地址 ,其 中前 6位 1 6进制数 0 — 6 E 0 1 一 A代 表 网络 硬件制造 商
的 编号 ,它 由 I E ( E E 电气 与电子工 程师协会 )分配 ,而 后 3
位1 6进制数 A 一 C 4 E 3 一 0代表该制造 商所制造 的某个 网络 产品
3 实 现方 法及 思路
不 同设 备厂商 的实现 Ma c认证 的方法各不 相 同。实现 过 程中相关 的命名需要 网络操作 系统支持 。常见实现方法为 : 方法一 华为 交换设 备实 现 Ma c地址 认 证的 方法 实现 简 洁 ,命 令简单 ,Байду номын сангаас路 清晰。 ()全 局使 能 MA 1 C地址认证 功能 。
H3C网络设备控标参数A
接口
≥24个GE端口,≥4个万兆SFP口
CPU防护
实现CPU保护功能,能限制非法报文对CPU的攻击,保护交换机在各种环境下稳定工作
堆叠
最大堆叠台数≥9台,并要求实配接口的基础上额外满配堆叠带宽所需的接口和互联模块,支持跨设备链路聚合,单一IP管理,分布式弹性路由,支持远程堆叠
1
招标规格:
功能及技术指标
参数要求
产品类型
24口PoE接入交换机
兼容性
与核心交换机同一品牌
交换容量
≥330Gbps(以官网最小值为标准)
转发性能
≥95Mpps(以官网最小值为标准)
供电
支持POE+
接口
≥24个GE端口,≥4个万兆SFP口
CPU防护
实现CPU保护功能,能限制非法报文对CPU的攻击,保护交换机在各种环境下稳定工作
组播协议
支持IGMP v1/v2/v3,MLD v1/v2,支持IGMP Snooping v1/v2/v3,MLD Snooping v1/v2,支持PIM Snooping,支持组播VLAN
路由协议
支持IPv4静态路由、RIP V1/V2、OSPF,支持IPv6静态路由、RIPng,支持IPv4和IPv6环境下的策略路由
1
LSQM2GP24TSSA0
24端口千兆以太网光口(SFP,LC)+4端口万兆以太网光接口模块(SFP+,LC)
1
LSQM2GT24TSSC0
24端口千兆以太网电接口(RJ45)+4端口万兆以太网光接口模块(SFP+,LC)
1
招标规格:
功能及技术指标
参数要求
无线控制器PSK认证典型配置举例(V7)
⽆线控制器PSK认证典型配置举例(V7)H3C⽆线控制器PSK认证典型配置举例(V7)Copyright?2016杭州华三通信技术有限公司版权所有,保留⼀切权利。
⾮经本公司书⾯许可,任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部,并不得以任何形式传播。
本⽂档中的信息可能变动,恕不另⾏通知。
1 简介本⽂档介绍⽆线⽤户使⽤PSK 模式作为⾝份认证与密钥管理模式,同时使⽤MAC 地址认证作为WLAN ⽤户接⼊认证模式的典型配置举例。
2 配置前提本⽂档不严格与具体软、硬件版本对应,如果使⽤过程中与产品实际情况有差异,请参考相关产品⼿册,或以设备实际情况为准。
本⽂档中的配置均是在实验室环境下进⾏的配置和验证,配置前设备的所有参数均采⽤出⼚时的缺省配置。
如果您已经对设备进⾏了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本⽂档假设您已了解AAA 、MAC 地址认证、WLAN ⽤户接⼊认证和WLAN ⽤户安全特性。
3 配置举例3.1 组⽹需求如图1所⽰,集中式转发架构下,AP 和Client 通过DHCP server 获取IP 地址,设备管理员希望对Client 进⾏MAC 地址和PSK 认证,以控制其对⽹络资源的访问,具体要求如下: ?配置VLAN 200为Client 的接⼊VLAN ,Client 通过VLAN200上线并在RADIUS server 上进⾏MAC 地址认证。
? 配置Client 和AP 之间的数据报⽂采⽤PSK 认证密钥管理模式来确保⽤户数据的传输安全。
图1 MAC 认证+PSK 认证典型配置举例组⽹图3.2 配置注意事项配置AC 上的MAC 地址认证⽤户名格式为的⽆线客户端的MAC 地址,RADIUS 服务器上添加的接⼊⽤户的⽤户名和密码需要与AC 上的MAC 地址认证⽤户名格式保持⼀致。
?配置AP 的序列号时请确保该序列号与AP 唯⼀对应,AP 的序列号可以通过AP 设备背⾯的标签获取。
mac认证流程
MAC认证流程详解1. 什么是MAC认证?MAC(Media Access Control)认证是一种无线网络访问控制技术,它通过限制和验证设备的物理地址(MAC地址)来控制网络的访问权限。
在MAC认证过程中,网络管理员可以通过限制设备的MAC地址来保护无线网络的安全,并防止未授权的设备接入网络。
2. MAC认证流程步骤下面是典型的MAC认证流程的详细步骤:步骤1:设备连接和识别用户首先需要将其设备(如手机、电脑等)连接到无线网络。
一旦设备连接成功,无线接入点(Access Point)将会识别并记录设备的MAC地址。
步骤2:验证请求一旦设备被识别,无线接入点将生成一个认证请求,并将其发送给设备。
该请求通常是一个特殊的帧,其中包含认证所需的参数和信息。
接收到请求后,设备会进入认证模式。
步骤3:认证请求发送设备将会生成认证请求,并将其发送回无线接入点。
该请求包含设备的MAC地址以及一些其他信息,如身份凭证(用户名和密码)等。
步骤4:认证请求验证无线接入点将收到设备发送的认证请求,并开始验证该请求的有效性。
认证请求验证的方式可以是多种多样的,如以下几种:•MAC地址白名单:无线接入点会根据预先配置的MAC地址白名单来验证设备的有效性。
如果设备的MAC地址在白名单内,则请求通过验证。
否则,请求将会被拒绝。
•WPA/WPA2-Enterprise认证:无线接入点将发送设备提供的用户名和密码到认证服务器进行验证。
认证服务器会对提供的凭证进行验证,如果验证通过,则请求通过验证。
否则,请求将会被拒绝。
•证书认证:无线接入点会验证设备所提供的数字证书的有效性。
如果证书有效,则请求通过验证。
否则,请求将会被拒绝。
步骤5:认证结果通知一旦认证请求被验证通过,无线接入点将向设备发送认证结果通知。
如果认证成功,设备将获得网络访问权限。
否则,设备将被限制或拒绝访问网络。
3. MAC认证流程流程图下面是一个简化的MAC认证流程的流程图:设备连接和识别 -> 验证请求 -> 认证请求发送 -> 认证请求验证 -> 认证结果通知4. MAC认证流程的特点和优势MAC认证流程具有以下几个特点和优势:•安全性:通过限制和验证设备的MAC地址,MAC认证可以有效地保护无线网络的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
集中式MAC地址认证目录目录第1章集中式MAC地址认证配置............................................................................................1-11.1 集中式MAC地址认证简介..................................................................................................1-11.2 集中式MAC地址认证配置..................................................................................................1-21.2.1 集中式MAC地址认证配置任务.................................................................................1-21.2.2 启动全局的集中式MAC地址认证.............................................................................1-21.2.3 启动端口的集中式MAC地址认证.............................................................................1-21.2.4 配置集中式MAC地址认证的方式.............................................................................1-31.2.5 配置集中式MAC地址认证用户所使用域名..............................................................1-41.2.6 配置集中式MAC地址认证定时器.............................................................................1-41.3 集中式MAC地址认证配置显示和维护................................................................................1-51.4 集中式MAC地址认证配置举例...........................................................................................1-5第1章集中式MAC地址认证配置1.1 集中式MAC地址认证简介集中式MAC地址认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法,它不需要用户安装任何客户端软件,交换机在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。
集中式MAC地址认证有两种方式:z MAC地址方式:使用用户的MAC地址作为认证时的用户名和密码。
z固定方式:使用在交换机上预先配置用户名和密码进行认证。
此时,要求所有用户都和交换机上配置的用户名和密码一一对应。
S3100-SI系列以太网交换机支持通过RADIUS服务器或通过本地进行集中式MAC地址认证。
(1) 当采用RADIUS服务器进行认证时,交换机作为RADIUS客户端,与RADIUS服务器配合完成集中式MAC地址认证操作:z对于MAC地址方式,交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器,其余处理过程与普通RADIUS认证相同。
z对于固定方式,交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密码,发送给RADIUS服务器,并将RADIUS报文的calling-station-id属性更改为用户的MAC地址,其余处理过程与普通RADIUS认证相同。
z RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
(2) 当采用本地认证时,直接在交换机上完成对用户的认证。
在交换机上配置本地用户名和密码时请注意:z对于MAC地址方式,用户可以通过命令设置输入作为用户名、密码的MAC 地址时是否使用分隔符“-”,输入的格式要与命令设置的格式相同,否则会导致认证失败。
z对于固定方式,本地用户的用户名和密码配置成固定方式的用户名和密码即可。
z本地用户的服务类型应设置为lan-access。
1.2 集中式MAC地址认证配置1.2.1 集中式MAC地址认证配置任务表1-1集中式MAC地址认证配置任务配置任务说明详细配置启动全局的集中式MAC地址认证必选 1.2.2启动端口的集中式MAC地址认证必选 1.2.3配置集中式MAC地址认证的方式可选 1.2.4配置集中式MAC地址认证用户所使用域名可选 1.2.5配置集中式MAC地址认证定时器可选 1.2.61.2.2 启动全局的集中式MAC地址认证表1-2开启集中式MAC地址认证特性操作命令说明进入系统视图system-view -开启全局集中式MAC 地址认证特性mac-authentication必选缺省情况下,全局集中式MAC地址认证特性为关闭状态1.2.3 启动端口的集中式MAC地址认证用户可以在系统视图或以太网端口视图下开启端口的集中式MAC地址认证特性。
表1-3在系统视图下开启端口的集中式MAC地址认证特性操作命令说明进入系统视图system-view -开启指定端口的集中式MAC地址认证特性mac-authentication interfaceinterface-list必选缺省情况下,所有端口的集中式MAC地址认证特性为关闭状态表1-4在以太网端口视图下开启端口的集中式MAC地址认证特性操作命令说明进入系统视图system-view -进入以太网端口视图interface interface-type interface-number-开启当前端口的集中式MAC地址认证特性mac-authentication必选缺省情况下,所有端口的集中式MAC地址认证特性为关闭状态注意:如果端口启动了集中式MAC地址认证,则不能配置该端口的最大MAC地址学习个数(通过命令mac-address max-mac-count配置)。
反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动集中式MAC地址认证。
各端口的集中式MAC地址认证状态在全局没有开启之前可以配置,但不会生效;在全局集中式MAC地址认证启动后,已使能集中式MAC地址认证的端口将立即开始进行认证操作。
1.2.4 配置集中式MAC地址认证的方式表1-5配置集中式MAC地址认证的方式为MAC地址方式操作命令说明进入系统视图system-view -设置集中式MAC地址认证方式为MAC地址方式mac-authentication authmodeusernameasmacaddress[ usernameformat { with-hyphen |without-hyphen } ]可选缺省情况下,集中式MAC地址认证的认证方式为MAC地址方式设置集中式MAC地址认证方式为固定方式mac-authentication authmode usernamefixed可选设置集中式MAC地址认证采用固定方式时的用户名mac-authentication authusernameusername固定方式时必选缺省情况下,集中式MAC地址认证采用固定方式时的用户名为“mac”,未配置密码设置集中式MAC地址认证采用固定方式时的密码mac-authentication authpassword password可选1.2.5 配置集中式MAC地址认证用户所使用域名可以通过下面的命令配置集中式MAC地址认证的用户所使用的ISP域名。
表1-6配置MAC地址认证用户所使用域名操作命令说明进入系统视图system-view -配置集中式MAC地址认证用户所使用的ISP 域mac-authenticationdomain isp-name必选缺省情况下,未配置认证用户使用的域,使用“default domain”作为ISP域名1.2.6 配置集中式MAC地址认证定时器集中式MAC地址认证的定时器包括:z下线检测定时器(offline-detect):配置交换机定时检查用户是否已经下线的时间间隔。
当检测到用户下线后,交换机立即通知RADIUS服务器,停止对该用户计费。
z静默定时器(quiet):用户认证失败以后,交换机需要静默一段时间(该时间由静默定时器设置)后才能再次处理此用户的下一次认证请求,该用户的MAC地址也被交换机设置为“静默”状态。
在静默期间,交换机不处理此用户的认证请求。
z服务器超时定时器(server-timeout):在用户的认证过程中,如果交换机同RADIUS服务器的连接超时,交换机将在用户当前连接的端口上禁止此用户访问网络,此时用户可以通过接入交换机的其他端口重新开始认证。
可以通过下面的命令配置集中式MAC地址认证的定时器。
表1-7配置集中式MAC地址认证定时器操作命令说明进入系统视图system-view -配置集中式MAC地址认证定时器mac-authentication timer{ offline-detect offline-detect-value| quiet quiet-value | server-timeoutserver-timeout-value }可选z缺省情况下,下线检测定时器的超时时间为300秒z静默定时器的超时时间为60秒z服务器超时定时器的超时时间为100秒说明:当集中式MAC地址认证和802.1x认证同时开启时,首先被集中式MAC地址认证设置为“静默”状态的MAC地址,将无法通过802.1x的认证。
1.3 集中式MAC地址认证配置显示和维护完成上述配置后,在任意视图下执行display命令,可以显示配置集中式MAC地址认证后的运行情况。
通过查看显示信息,用户可以验证配置的效果。
在用户视图下执行reset命令清除集中式MAC地址认证的统计信息。
表1-8集中式MAC地址认证显示和维护操作命令说明显示集中式MAC地址认证的全局或端口信息display mac-authentication[ interface interface-list ]display命令可以在任意视图下执行清除集中式MAC地址认证的全局或端口统计信息reset mac-authenticationstatistics [ interfaceinterface-list]reset命令在用户视图下执行1.4 集中式MAC地址认证配置举例说明:集中式MAC地址认证的配置与802.1x类似,在本例中,二者的区别是:z在端口和全局下使能集中式MAC地址认证;z对于MAC地址方式,本地认证的用户名和密码需要配置为该用户的MAC地址;z对于MAC地址方式,RADIUS服务器上的用户名和密码需要配置为该用户的MAC地址。