04-MAC地址认证命令
本章节下载: 04-MAC地址认证命令 (291.61 KB)
目 录
1.1.1 display mac-authentication
1.1.3 mac-authentication access-user log enable
1.1.4 mac-authentication authentication-method
1.1.5 mac-authentication critical vlan
1.1.6 mac-authentication domain
1.1.7 mac-authentication guest-vlan
1.1.8 mac-authentication guest-vlan auth-period
1.1.9 mac-authentication host-mode multi-vlan
1.1.10 mac-authentication max-user
1.1.11 mac-authentication re-authenticate server-unreachable keep-online
1.1.12 mac-authentication timer
1.1.13 mac-authentication timer auth-delay
1.1.14 mac-authentication user-name-format
1.1.15 reset mac-authentication access-user
1.1.16 reset mac-authentication critical-vlan
1.1.17 reset mac-authentication guest-vlan
1.1.18 reset mac-authentication statistics
display mac-authentication命令用来显示MAC地址认证的相关信息。
【命令】
display mac-authentication [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示全局及指定端口的MAC地址认证相关信息。interface-type interface-number为端口类型和端口编号。若指定的端口上未使能MAC地址认证,则不显示该端口任何信息。
【使用指导】
如果不指定任何参数,则显示所有在线MAC地址认证的详细信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。
【举例】
# 显示MAC地址认证信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
User name format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Authentication domain : Not configured, use default domain
Online MAC-auth wired users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
0001-0000-0001 100 GigabitEthernet1/0/2 21
0001-0000-0003 12 GigabitEthernet1/0/4 301
GigabitEthernet1/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Enabled
Auth-delay period : 60 s
Re-auth server-unreachable : Logoff
Guest VLAN : 100
Guest VLAN auth-period : 150 s
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Multiple VLAN
Max online users : 256
Authentication attempts : successful 2, failed 3
表1-1 display mac-authentication命令显示信息描述表
|
字段 |
描述 |
|
Global MAC authentication parameters |
全局MAC地址认证参数 |
|
MAC authentication |
MAC地址认证的开启状态 |
|
Authentication method |
MAC地址认证采用的认证方法 · CHAP:采用CHAP认证方法 · PAP:采用PAP认证方法 |
|
User name format |
MAC地址认证使用的账号格式 · 若采用MAC地址账号,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xx-xx-xx-xx-xx-xx)”,它表示用户名格式为六段式的MAC地址,其中字母为小写 · 若采用固定用户名账号,则显示“Fixed account” |
|
Username |
用户名 · 采用MAC地址账号时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码 · 采用固定用户名账号时,该值为配置的用户名(缺省为mac) |
|
Password |
用户名的密码 · 采用MAC地址账号时,该值显示为“Not configured” · 采用固定用户名账号时,配置的值将显示为****** |
|
Offline detect period |
下线检测定时器的值 |
|
Quiet period |
静默定时器的值 |
|
Server timeout |
服务器连接超时定时器的值 |
|
Authentication domain |
系统视图下指定的MAC地址认证用户使用的认证域,如果没有指定认证域,则显示Not configured, use default domain |
|
Online MAC-auth wired users |
在线有线用户和正在发起MAC地址认证的有线用户的总数 |
|
Silent MAC users |
静默用户信息 |
|
MAC address |
静默用户的MAC地址 |
|
VLAN ID |
静默用户所在的VLAN |
|
From port |
静默用户接入的端口名称 |
|
Port index |
静默用户接入的端口索引号 |
|
GigabitEthernet1/0/1 is link-up |
端口GigabitEthernet1/0/1的链路状态 |
|
MAC authentication |
当前端口的MAC地址认证开启状态 |
|
Carry User-IP |
MAC地址认证请求携带用户IP地址开启状态 |
|
Authentication domain |
端口上指定的MAC地址认证用户使用的认证域 |
|
Auth-delay timer |
MAC地址认证延迟功能的开启状态 |
|
Auth-delay period |
配置的认证延迟时间 |
|
Re-auth server-unreachable |
重认证时服务器不可达对MAC地址认证的在线用户采取的动作 · Logoff:重认证服务器不可达,强制MAC地址认证在线用户下线 · Online:重认证服务器不可达,保持MAC地址认证在线用户在线 |
|
Guest VLAN |
端口配置的Guest VLAN,如果没有配置,则显示Not configured |
|
Guest VLAN auth-period |
进入Guest VLAN后发起重认证的时间间隔 |
|
Critical VLAN |
端口配置的Critical VLAN,如果没有配置,则显示Not configured |
|
Critical voice VLAN |
(暂不支持)端口配置MAC地址认证的Critical Voice VLAN功能的开启状态 · Enabled:打开 · Disabled:关闭 |
|
Host mode |
相同MAC地址用户的工作模式 · 如果配置的是多VLAN模式,则显示Multiple VLAN · 如果配置的是单VLAN模式,则显示Single VLAN |
|
Max online users |
本端口最多可容纳的接入用户数 |
|
Authentication attempts: successful 1, failed 0 |
端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数 |
|
MAC address |
接入用户的MAC地址 |
|
Auth state |
接入用户的状态 · Authenticated:认证成功 · Unauthenticated:认证失败 |
mac-authentication命令用来开启端口上或全局的MAC地址认证。
undo mac-authentication命令用来关闭端口上或全局的MAC地址认证。
【命令】
mac-authentication
undo mac-authentication
【缺省情况】
所有端口及全局的MAC地址认证都处于关闭状态。
【视图】
系统视图
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
【举例】
# 开启全局的MAC地址认证。
<Sysname> system-view
[Sysname] mac-authentication
# 开启端口GigabitEthernet1/0/1上的MAC地址认证。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication
【相关命令】
· display mac-authentication
mac-authentication access-user log enable命令用来开启MAC地址认证接入用户日志信息功能。
undo mac-authentication access-user log enable命令用来关闭MAC地址认证接入用户日志信息功能。
【命令】
mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
undo mac-authentication access-user log enable [ failed-login | logoff | successful-login ] *
【缺省情况】
MAC地址认证接入用户日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
failed-login:MAC地址认证用户上线失败的日志信息。
logoff:MAC地址认证用户下线的日志信息。
successful-login:MAC地址认证用户上线成功的日志信息。
【使用指导】
为了防止设备输出过多的MAC地址认证接入用户日志信息,一般情况下建议关闭此功能。
配置本命令时,如果未指定任何参数,将同时开启或关闭本命令所有参数对应的日志功能。
【举例】
# 开启MAC地址认证接入用户上线失败的日志信息。
<Sysname> system-view
[Sysname] mac-authentication access-user log enable failed-login
【相关命令】
· info-center source maca logfile deny(网络管理和监控命令参考/信息中心)
mac-authentication authentication-method命令用来配置MAC地址认证采用的认证方法。
undo mac-authentication authentication-method命令用来恢复缺省情况。
【命令】
mac-authentication authentication-method { chap | pap }
undo mac-authentication authentication-method
【缺省情况】
设备采用PAP认证方法进行MAC地址认证。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
chap:采用CHAP类型的认证方法。
pap:采用PAP类型的认证方法。
【使用指导】
通过该命令可以配置设备进行MAC地址认证时,与认证服务器之间采用的认证方法。PAP和CHAP认证方法的详细介绍如下:
· PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。
· CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性更好,更为安全可靠。
【举例】
# 配置设备采用CHAP认证方法进行MAC地址认证。
<Sysname> system-view
[Sysname] mac-authentication authentication-method chap
【相关命令】
mac-authentication critical vlan命令用来配置端口的MAC地址认证的Critical VLAN。
undo mac-authentication critical vlan命令用来恢复缺省情况。
【命令】
mac-authentication critical vlan critical-vlan-id
undo mac-authentication critical vlan
【缺省情况】
端口上未配置MAC地址认证的Critical VLAN。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
critical-vlan-id:端口上指定的Critical VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【使用指导】
配置此功能后,当MAC用户认证时对应的ISP域下所有认证服务器都不可达的情况下被授权访问Critical VLAN内的资源。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Critical VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Critical VLAN,则该VLAN不能被指定为Super VLAN。
禁止删除已被配置为Critical VLAN的VLAN,若要删除该VLAN,请先通过undo mac-authentication critical vlan命令取消MAC地址认证的Critical VLAN配置。
【举例】
# 配置端口GigabitEthernet1/0/1的Critical VLAN为VLAN 100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication critical vlan 100
【相关命令】
· display mac-authentication
· reset mac-authentication critical-vlan
mac-authentication domain命令用来指定MAC地址认证用户使用的认证域。
undo mac-authentication domain命令用来恢复缺省情况。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情况】
未指定MAC地址认证用户使用的认证域时,使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domain default enable。
【视图】
系统视图
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
不同视图下指定的认证域的生效范围不同:
· 系统视图下指定的认证域对所有开启了MAC地址认证的端口生效。
· 二层以太网接口视图下指定的认证域仅对本端口有效。不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域 > 系统视图下指定的认证域 > 系统缺省的认证域。
【举例】
# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。
<Sysname> system-view
[Sysname] mac-authentication domain domain1
# 指定端口GigabitEthernet1/0/1上接入的MAC地址认证用户使用的认证域为aabbcc。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication domain aabbcc
【相关命令】
· display mac-authentication
· domain default enable(安全命令参考/AAA)
mac-authentication guest-vlan命令用来配置端口的MAC地址认证的Guest VLAN。
undo mac-authentication guest-vlan命令用来恢复缺省情况。
【命令】
mac-authentication guest-vlan guest-vlan-id
undo mac-authentication guest-vlan
【缺省情况】
端口上未配置MAC地址认证的Guest VLAN。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【使用指导】
配置此功能后,当MAC地址认证失败的情况下,用户可以继续被授权访问的Guest VLAN内的资源。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的MAC地址认证的Guest VLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的Guest VLAN,则该VLAN不能被指定为Super VLAN。
禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先通过undo mac-authentication guest-vlan命令取消MAC地址认证的Guest VLAN配置。
【举例】
# 配置端口GigabitEthernet1/0/1的Guest VLAN为VLAN 100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication guest-vlan 100
【相关命令】
· display mac-authentication
· reset mac-authentication guest-vlan
mac-authentication guest-vlan auth-period命令用来配置设备对Guest VLAN中的用户进行重新认证的时间间隔。
undo mac-authentication guest-vlan auth-period命令用来恢复缺省情况。
【命令】
mac-authentication guest-vlan auth-period period-value
undo mac-authentication guest-vlan auth-period
【缺省情况】
设备对Guest VLAN中的用户进行重新认证的时间间隔为30秒。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
period-value:表示设备重新发起认证的时间间隔,取值范围为1~3600,单位为秒。
【使用指导】
在MAC地址认证中,如果接入用户的端口上配置了Guest VLAN,则该端口上认证失败的用户会被加入此Guest VLAN。用户被加入Guest VLAN之后,设备将以指定的时间间隔对该用户发起重新认证,直到该用户认证成功。
【举例】
# 在端口GigabitEthernet1/0/1上配置设备对Guest VLAN中的用户进行重新认证的时间间隔为150秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication guest-vlan auth-period 150
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan
mac-authentication host-mode multi-vlan命令用来指定端口工作在MAC地址认证的多VLAN模式。
undo mac-authentication host-mode命令用来恢复缺省情况。
【命令】
mac-authentication host-mode multi-vlan
undo mac-authentication host-mode
【缺省情况】
端口工作在MAC地址认证的单VLAN模式。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
端口工作在多VLAN模式下时,如果相同MAC地址的用户在属于不同VLAN的相同端口再次接入,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。
端口工作在单VLAN模式下时,在用户已上线,且没有被下发授权VLAN情况下,如果此用户在属于不同VLAN的相同端口再次接入,则设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。如果已上线用户被下发了授权VLAN,则此用户在属于不同VLAN的相同端口再次接入时不会被强制下线。
【举例】
# 配置端口GigabitEthernet1/0/1工作在MAC地址认证的多VLAN模式。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication host-mode multi-vlan
【相关命令】
· display mac-authentication
mac-authentication max-user命令用来配置端口上最多允许同时接入的MAC地址认证用户数。
undo mac-authentication max-user命令用来恢复缺省情况。
【命令】
mac-authentication max-user max-number
undo mac-authentication max-user
【缺省情况】
端口上最多允许同时接入的MAC地址认证用户数为4294967295。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
max-number:端口允许同时接入的MAC地址认证用户数的最大值,取值范围为1~4294967295。
【使用指导】
由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
【举例】
# 配置端口GigabitEthernet1/0/1最多允许同时接入32个MAC地址认证用户。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication max-user 32
【相关命令】
· display mac-authentication
mac-authentication re-authenticate server-unreachable keep-online命令用来配置重认证服务器不可达时端口上的MAC地址认证用户保持在线状态。
undo mac-authentication re-authenticate server-unreachable命令用来恢复缺省情况。
【命令】
mac-authentication re-authenticate server-unreachable keep-online
undo mac-authentication re-authenticate server-unreachable
【缺省情况】
端口上的MAC地址认证在线用户重认证时,若认证服务器不可达,则会被强制下线。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
配置此命令后,在对MAC地址认证用户重认证过程中,若设备发现认证服务器状态不可达,则保持MAC地址认证用户在线。
是否对MAC地址认证在线用户进行周期性重认证由认证服务器授权的属性所决定。认证服务器通过下发RADIUS属性(session-timeout、Terminal-Action)来指定用户会话超时时长以及会话中止的动作类型,它们共同决定了如何对用户进行重认证。
· 当会话中止的动作类型为要求用户进行重认证时,端口会在用户会话超时时长到达后对该用户进行重认证;
· 当会话中止的动作类型为要求用户下线时,端口会在用户会话超时时长到达强制该用户下线;
· 当认证服务器未下发用户会话超时时长时,设备不会对用户进行重认证。
【举例】
# 配置端口GigabitEthernet1/0/1上的MAC地址认证在线用户进行重认证时,若服务器不可达,则保持在线状态。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication re-authenticate server-unreachable keep-online
【相关命令】
· display mac-authentication
mac-authentication timer命令用来配置MAC地址认证的定时器参数。
undo mac-authentication timer命令用来恢复缺省情况。
【命令】
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
undo mac-authentication timer { offline-detect | quiet | server-timeout }
【缺省情况】
下线检测定时器的值为300秒,静默定时器的值为60秒,服务器超时定时器的值为100秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。
quiet quiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围为1~3600,单位为秒。
server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。
【使用指导】
MAC地址认证过程受以下定时器的控制:
· 下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。
· 静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
【举例】
# 设置服务器超时定时器时长为150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
【相关命令】
· display mac-authentication
mac-authentication timer auth-delay命令用来开启MAC地址认证延迟功能,并配置MAC地址认证的延时时间。
undo mac-authentication timer auth-delay命令用来恢复缺省情况。
【命令】
mac-authentication timer auth-delay time
undo mac-authentication timer auth-delay
【缺省情况】
MAC地址认证延迟功能处于关闭状态,如果用户报文触发MAC地址认证,认证将会立刻开始。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
time:延迟MAC地址认证的时间,取值范围为1~180,单位为秒。
【使用指导】
端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。
开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是在等待一定的延迟时间之后,再会对之前收到的用户报文进行MAC地址认证。在此认证延迟期间,端口对用户报文的其它认证过程并不受影响。
开启了MAC地址认证延迟功能的接口上不建议同时配置端口安全的模式为mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。
【举例】
# 开启MAC地址延迟认证功能,并指定MAC地址认证的延时时间为10秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mac-authentication timer auth-delay 10
【相关命令】
· display mac-authentication
· port-security port-mode(安全命令参考/端口安全)
mac-authentication user-name-format命令用来配置MAC地址认证用户的账号格式。
undo mac-authentication user-name-format命令用来恢复缺省情况。
【命令】
mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } string ] | mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ] }
undo mac-authentication user-name-format
【缺省情况】
使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符“-”。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
fixed:表示采用固定用户名账号。
account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。
password:指定固定用户名的密码。如果不指定该参数,则表示无密码。
· cipher:以密文方式设置密码。
· simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
mac-address:表示使用用户的MAC地址作为用户名和密码。
with-hyphen [ six-section | three-section ]:带连字符“-”的MAC地址格式,six-section表示六段式MAC地址格式,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX;three-section表示三段式MAC地址格式,例如xxxx-xxxx-xxxx或XXXX-XXXX-XXXX。如果不指定任何参数,缺省采用六段式MAC地址格式。
without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx或XXXXXXXXXXXX。
lowercase:MAC地址中的字母为小写。
uppercase:MAC地址中的字母为大写。
【使用指导】
若指定用户的MAC地址为用户名,则用户密码也为用户的MAC地址。这种情况下,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户账户。
若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名账号进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
【举例】
# 配置MAC地址认证的用户名为abc,密码是明文xyz。
<Sysname> system-view
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用户的MAC地址为用户名和密码,使用不带连字符“-”的MAC地址格式,其中字母大写。
<Sysname> system-view
[Sysname] mac-authentication user-name-format mac-address without-hyphen uppercase
【相关命令】
· display mac-authentication
reset mac-authentication access-user命令用来强制MAC地址认证用户下线。
【命令】
reset mac-authentication access-user [ interface interface-type interface-number | mac mac-address | username username | vlan vlan-id | vsi vsi-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示强制指定端口下的MAC地址认证用户下线。interface-type interface-number为端口类型和端口编号。
mac mac-address:表示强制指定MAC地址的MAC地址认证用户下线。mac-address表示MAC地址认证用户的MAC地址,格式为H-H-H。
username username:表示强制指定名称的MAC地址认证用户下线。username表示MAC地址认证用户的名称,为1~253个字符的字符串,区分大小写。
vlan vlan-id:表示强制指定VLAN内的MAC地址认证用户下线。vlan-id表示MAC地址认证用户当前所在VLAN的VLAN ID(可通过display mac-address命令查看),取值范围为1~4094。
vsi vsi-name:表示强制指定VSI内的MAC地址认证用户下线。vsi-name表示MAC地址认证在线用户的授权VSI名称,为1~31个字符的字符串,区分大小写。
【使用指导】
reset mac-authentication access-user命令用来强制指定的MAC地址认证用户下线。强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行MAC地址认证。
指定vsi vsi-name参数时,设备会查找认证成功且已授权VSI的用户,将授权VSI为vsi-name的用户强制下线。
指定vlan vlan-id参数时,设备会对如下几种MAC地址认证用户进行下线处理:
· 对于已经认证成功且服务器已授权VLAN的用户,将服务器授权的VLAN为vlan-id的用户强制下线;
· 对于已认证成功且服务器未授权VLAN的用户,将设备上对用户生效的VLAN为vlan-id的用户强制下线;
· 对于正在认证中的用户,将初始VLAN为vlan-id的用户强制下线。
如果不指定任何参数,则强制设备上所有MAC地址认证用户下线。
【举例】
# 强制端口GigabitEthernet1/0/1上的所有MAC地址认证用户下线。
<Sysname> reset mac-authentication access-user interface gigabitethernet 1/0/1
【相关命令】
· display mac-authentication connection
reset mac-authentication critical-vlan命令用来清除Critical VLAN内的MAC地址认证用户。
【命令】
reset mac-authentication critical-vlan interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出Critical VLAN。interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Critical VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Critical VLAN。
【举例】
# 在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Critical VLAN。
<Sysname> reset mac-authentication critical-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
【相关命令】
· display mac-authentication
· mac-authentication critical vlan
reset mac-authentication guest-vlan命令用来清除Guest VLAN内的MAC地址认证用户。
【命令】
reset mac-authentication guest-vlan interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出Guest VLAN。interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Guest VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Guest VLAN。
【举例】
# 在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出Guest VLAN。
<Sysname> reset mac-authentication guest-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan
reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。
【命令】
reset mac-authentication statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定端口的MAC地址认证统计信息。interface-type interface-number为端口类型和端口编号。如果不指定本参数,则清除所有端口上的MAC地址认证统计信息。
【使用指导】
如果不指定任何参数,则清除所有MAC地址认证统计信息。
【举例】
# 清除以太网端口GigabitEthernet1/0/1上的MAC认证统计信息。
<Sysname> reset mac-authentication statistics interface gigabitethernet 1/0/1
【相关命令】
· display mac-authentication
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
