你的位置：首页 > IT圈 > 27-Mac地址认证 MyPower S4330 V1.0 系列交换机配置手册

27-Mac地址认证 MyPower S4330 V1.0 系列交换机配置手册

IT圈 admin 2024-09-04 90浏览 0评论

2024年9月4日发(作者：茆奇思)

MAC地址认证配置

本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人

不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处

* * *

迈普通信技术有限公司

地址：成都市高新区九兴大道16号迈普大厦

技术支持热线：400-886-8669

传真：（+8628）85148948

E-mail：support@

网址：

邮编：610041

版本：2011年 8月v1.0版

第1章配置Mac地址认证 ........................................................................................................ 1

1.1 Mac地址认证简介 .......................................................................................................... 1

1.2 Mac地址认证配置 .......................................................................................................... 1

1.2.1 AAA相关配置 ....................................................................................................... 1

1.2.2 功能开启配置 ........................................................................................................ 2

1.2.3 下线检测配置 ........................................................................................................ 3

1.2.4 静默定时器配置 .................................................................................................... 3

1.2.5 Mac-vlan功能配置 ............................................................................................... 3

1.2.6 Guest-vlan功能配置............................................................................................. 4

1.2.7 用户特性配置 ........................................................................................................ 4

1.2.8 配置实例 ............................................................................................................... 5

第1章配置Mac地址认证

1.1 Mac地址认证简介

mac地址认证功能是基于端口和mac地址对用户进行访问网络权限进行控制的功能模

块。刚开始时，交换机的mac地址表不存在用户的mac地址表项，用户的报文首次到达交

换机会触发mac地址认证，在认证过程中，不需要用户的参与（比如输入相关用户名和密

码），认证通过后用户的mac地址会加进交换机的mac地址表，以后该用户的流量就可以

直接根据mac地址表项内容进行转发。

认证时支持两种认证方式，在配置AAA域的时候选择方案配置：

通过radius服务器进行认证；

通过本地用户数据库进行认证；

1.2 Mac地址认证配置

1.2.1 AAA相关配置

mac认证需要配置使用哪个AAA认证域进行认证。而进行radius服务器认证或者本地

用户数据库认证的选择在AAA认证域进行。

如果没有配置，则使用系统配置的默认认证域进行。

当两者都没有配置，则无法进行认证。

由于没有用户参与，mac地址认证在认证时需要构造相关的用户名称和密码，现在存

在两种方法：

a)mac地址方式，在此种方式下，使用mac地址作为认证的用户名称和密码，固定为

12字符长度的字符串，比如mac地址为00:0a:5a:00:03:02，则用户名称和密码为

“000a5a000302”；

b)固定用户名称和密码，在此种方式下，使用用户配置的固定用户名称和密码；

默认情况下为mac地址方式。

当使用radius服务器进行认证，存在两种认证方式可以供选择：1）pap；2）chap。

默认情况下radus认证方式为pap方式。

AAA认证域、RADIUS服务器和本地用户数据库配置参考802.1x配置中的相关内容。

下面只说明Mac地址认证模块需要执行的命令。

表 1-1 配置AAA认证域的选项

操作

进入全局配置模式

AAA认证域的选择

configure terminal

mac-authentication domain

mac-authentication user-name-format { fixed account

password

mac-address

}

mac-authentication encryption {pap|chap}

命令备注

必选

用户名称格式配置可选

radius认证方式配置可选

1.2.2 功能开启配置

相关参数配置后，还需要启动功能才可以进行mac地址认证。

需要同时启动全局模式和端口模式的mac认证功能，该端口的mac认证功能才可以生

效。

表 1-2 配置功能开启

操作

进入全局配置模式

开启全局配置

进入端口配置模式

开启端口配置

configure terminal

mac-authentication

interface ethernet device/slot/port

mac-authentication

命令备注

必选

1.2.3 下线检测配置

由于mac认证没有使用协议报文进行交互，故无法进行主动下线操作，系统通过检测

用户流量报文进行用户下线判断。用户通过mac认证后进入在线状态，此时启动下线检测

定时器，当定时器到达后则进行用户流量检测，如果在另一个下线检测定时到达都没有检

测到用户流量，则判定用户下线。

表 1-3 配置下线检测

操作

进入全局配置模式

下线检测定时器配置

configure terminal

mac-authentication timer offline-detect

命令备注

可选

1.2.4 静默定时器配置

用户mac认证失败后会进入静默状态，在此状态下，用户无法继续进行mac认证，这

样可以防止用户对系统的冲击。在静默状态下，会启动静默定时器，当定时时间到达后，

用户数据删除，该用户可以继续进行mac认证。

表 1-4 配置静默定时器

操作

进入全局配置模式

静默定时器配置

configure terminal

mac-authentication timer quiet

命令备注

可选

1.2.5 Mac-vlan功能配置

开启此功能后，用户认证成功后，服务器会返回该用户的vlan号，系统进行动态硬件

mac-vlan表项配置，并动态创建该vlan，并将该用户所在的端口加入此vlan中，这样可以

访问该vlan的网络。

如果系统已经配置了该mac地址的静态mac-vlan表项，则动态mac-vlan表项配置失

败，用户进入静默状态，无法访问网络。

在动态创建vlan时，系统会把配置的上行口自动加入该vlan，并配置为tag属性。系

统默认把GE口作为上行口。

表 1-5 配置mac-vlan功能

操作

进入全局配置模式

开启mac-vlan功能

进入端口配置模式

配置端口为上行口

configure terminal

mac-authentication mac-vlan

interface ethernet device/slot/port

mac-authentication uplink

命令备注

可选

1.2.6 Guest-vlan功能配置

用户认证失败后会进入静默状态，无法访问网络，假如此时允许用户访问某个特定vlan

时，可以开启guest vlan功能。在开启后，用户认证失败后不进入静默状态，而进入在线

状态，但用户的vlan为guest vlan。

用户处于guest vlan的在线状态时，会启动重认证定时器，时间到达后会进行重新认

证，如果认证成功，则退出guest vlan在线状态，而转入正常的在线状态。

表 1-6 配置guest-vlan功能

操作

进入全局配置模式

进入端口配置模式

configure terminal

interface ethernet device/slot/port

命令备注

可选

开启端口的guest-vlan功能

mac-authentication guest-vlan

进入全局配置模式下配置

guest-vlan重认证定时器

mac-authentication timer guest-vlan-reauth

1.2.7 用户特性配置

主要提供下面功能特性：

 用户数目限制

限制某个端口允许的用户数目。

 用户认证速率限制

为了防止用户认证过多导致cpu受到冲击，需要对端口的用户认证速率进行限制。当

用户认证报文速率超过此限制值，停止此端口接收认证报文的功能，此时启动限制超时定

时器，当定时器时间到达后才恢复此端口的接收认证报文的功能。

表 1-7 配置用户特性功能

操作

进入全局配置模式

进入端口配置模式

配置端口允许的用户数目

configure terminal

interface ethernet device/slot/port

mac-authentication max-users

命令备注

可选

1.2.8

配置实例

组网需求

如图所示，某用户的工作站与以太网交换机的端口Eth 0/0/2相连接

组网图

配置步骤

配置AAA认证域的选项

Switch(config)#mac-authentication domain 1

Switch(config)#mac-authentication user-name-format fixed account 1 password

Switch(config)#mac-authentication encryption pap

开启指定端口Ethernet 0/0/2 的MAC地址认证特性

Switch(config)#mac-authentication

Switch(config-if-ethernet-0/0/2)#macmac-authentication .

Turn on src_dlf_forward will be disabled.

配置下线检测

Switch(config)#mac-authentication timer offline-detect 30

静默定时器配置

Switch(config)#mac-authentication timer quiet 30

配置mac-vlan功能

Switch(config)#mac-authentication mac-vlan

Switch(config)#interface ethernet 0/0/2

Switch(config-if-ethernet-0/0/2)#mac-authentication uplink

配置guest-vlan功能

Switch(config-if-ethernet-0/0/2)#mac-authentication guest-vlan 1

Switch(config-if-ethernet-0/0/2)#ex

Switch(config)#mac-authentication timer guest-vlan-reauth 33

配置用户特性

Switch(config-if-ethernet-0/0/2)#mac-authentication max-users 3