《MAC地址认证典型配置指导》由会员分享,可在线阅读,更多相关《MAC地址认证典型配置指导(10页珍藏版)》请在金锄头文库上搜索。
1、目 录第1章 MAC 地址认证典型配置指导. 1.1 MAC 地址认证简介. 1.2 MAC 地址本地认证典型配置指导. 1.2.1 组网图. 1.2.2 应用要求. 1.2.3 适用产品、版本. 1.2.4 配置过程和解释. 1.2.5 完整配置. 1.2.6 配置注意事项. 1.3 MAC 地址 RADIUS 认证典型配置指导. 1.3.1 组网图. 1.3.2 应用要求. 1.3.3 适用产品、版本. 1.3.4 配置过程和解释. 1.3.5 完整配置. 1.3.6 配置注意事项. 1.4 下发 ACL 典型配置指导. 1.4.1 组网图. 1.4.2 应用要求. 1.4.3 适用产品、
2、版本. 1.4.4 配置过程和解释. 1.4.5 完整配置. 1.4.6 配置注意事项. 第第1章章 MAC 地址认证典型配置指导地址认证典型配置指导1.1 MAC 地址认证简介MAC 地址认证是一种基于端口和 MAC 地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的 MAC 地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。目前设备支持两种方式的 MAC 地址认证: 通过 RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器认证。 本
3、地认证。有关远程 RADIUS 认证和本地认证的详细介绍请参见“AAA-RADIUS-HWTACACS 操作” 。认证方式确定后,可根据需求选择 MAC 认证用户名的类型,包括以下两种方式: MAC 地址用户名:使用用户的 MAC 地址作为认证时的用户名和密码; 固定用户名:不论用户的 MAC 地址为何值,所有用户均使用在设备上预先配置的本地用户名和密码进行认证。1.2 MAC 地址本地认证典型配置指导1.2.1 组网图IP networkGE2/0/1SwitchSupplicantAuthenticatorHost图1-1 启动 MAC 地址认证对接入用户进行本地认证1.2.2 应用要求如
4、图1-1所示,某用户的工作站与以太网设备的端口 GigabitEthernet2/0/1相连接。 设备的管理者希望在各端口上对用户接入进行 MAC 地址认证,以控制其对 Internet 的访问。 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。 所有用户都属于域:,认证时使用本地认证的方式。用户名为 aaa,密码为123456。1.2.3 适用产品、版本表1-1 配置适用的产品与软硬件版本关系产品软件版本硬件版本S3610系列以太网交换机Release 5301软件版本全系列硬件版本S5510系列以太网交换机Release 5301软
5、件版本全系列硬件版本Release 1207软件版本全系列硬件版本(除 S5500-20TP-SI)S5500-SI 系列以太网交换机Release 1301软件版本S5500-20TP-SIS5500-EI 系列以太网交换机Release 2102软件版本全系列硬件版本S7500E 系列以太网交换机Release 6100软件版本全系列硬件版本1.2.4 配置过程和解释(1) 在交换机上配置 MAC 地址认证# 添加本地接入用户。system-viewSwitch local-user aaaSwitch-luser-aaa password simple 123456Switch-luse
6、r-aaa service-type lan-accessSwitch-luser-aaa quit# 配置 ISP 域,使用本地认证方式。Switch domain Switch-isp- authentication lan-access localSwitch-isp- quit# 开启全局 MAC 地址认证特性。Switch mac-authentication# 开启端口 GigabitEthernet2/0/1的 MAC 地址认证特性。Switch mac-authentication interface GigabitEthernet 2/0/1# 配置 MAC 地址认证用户所使
7、用的 ISP 域。Switch mac-authentication domain # 配置 MAC 地址认证的定时器。Switch mac-authentication timer offline-detect 180Switch mac-authentication timer quiet 180# 配置 MAC 地址认证使用固定用户名、密码格式。Switch mac-authentication user-name-format fixed account aaa password simple 1234561.2.5 完整配置#system-viewlocal-user aaapass
8、word simple 123456service-type lan-access#domain authentication lan-access local#mac-authenticationmac-authentication timer offline-detect 180mac-authentication timer quiet 180mac-authentication domain mac-authentication user-name-format fixed account aaa password simple 123456#interface GigabitEthe
9、rnet2/0/1mac-authentication# 1.2.6 配置注意事项本地用户的服务类型应设置为 lan-access。1.3 MAC 地址 RADIUS 认证典型配置指导1.3.1 组网图IP networkEth2/0/1SwitchHostAuthentication server: 10.1.1.1/32 Accouting server: 10.1.1.2/32图1-2 启动 MAC 地址认证对接入用户进行 RADIUS 认证1.3.2 应用要求如图1-2所示,用户主机 Host 通过端口 Ethernet2/0/1连接到设备上,设备通过RADIUS 服务器对用户进行身份
10、认证。 设备的管理者希望在各端口上对用户接入进行 MAC 地址认证,以控制其对 Internet 的访问。 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。1.3.3 适用产品、版本表1-2 配置适用的产品与软硬件版本关系产品软件版本硬件版本S3610系列以太网交换机Release 5301软件版本全系列硬件版本S5510系列以太网交换机Release 5301软件版本全系列硬件版本Release 1207软件版本全系列硬件版本(除 S5500-20TP-SI)S5500-SI 系列以太网交换机Release 1301软件版本S5500
11、-20TP-SIS5500-EI 系列以太网交换机Release 2102软件版本全系列硬件版本S7500E 系列以太网交换机Release 6100软件版本全系列硬件版本1.3.4 配置过程和解释(1) 在 Device 上配置 MAC 地址认证# 配置各接口的 IP 地址(略) 。# 配置 RADIUS 方案。Switch system-viewSwitch radius scheme 2000Switch-radius-2000 primary authentication 10.1.1.1 1812Switch-radius-2000 primary accounting 10.1.1
12、.2 1813Switch-radius-2000 key authentication abcSwitch-radius-2000 key accounting abcSwitch-radius-2000 user-name-format without-domainSwitch-radius-2000 quit# 配置 ISP 域的 AAA 方案。Switch domain 2000Switch-isp-2000 authentication default radius-scheme 2000Switch-isp-2000 authorization default radius-sch
13、eme 2000Switch-isp-2000 accounting default radius-scheme 2000Switch-isp-2000 quit# 开启全局 MAC 地址认证特性。Switch mac-authentication# 开启端口 GigabitEthernet2/0/1的 MAC 地址认证特性。Switch mac-authentication interface Ethernet 2/0/1# 配置 MAC 地址认证用户所使用的 ISP 域。Switch mac-authentication domain 2000# 配置 MAC 地址认证的定时器。Switc
14、h mac-authentication timer offline-detect 180Switch mac-authentication timer quiet 180# 配置 MAC 地址认证使用固定用户名、密码格式。Switch mac-authentication user-name-format fixed account aaa password simple 1234561.3.5 完整配置#radius scheme 2000primary authentication 10.1.1.1primary accounting 10.1.1.2key authentication
15、 abckey accounting abcuser-name-format without-domain#domain 2000authentication default radius-scheme 2000authorization default radius-scheme 2000accounting default radius-scheme 2000#mac-authenticationmac-authentication timer offline-detect 180mac-authentication timer quiet 180mac-authentication domain 2000mac-authentication user-name-format fixed account aaa password simple 123456#interface Ethernet2/0/1mac-authentication# 1
