配置MAC认证
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,用户名和密码都是用户设备的MAC地址。网络接入设备在首次检测到用户的MAC地址以后,即启动对该用户的认证。
前提条件
MAC认证提供了一个用户身份认证的实现方案,但是仅仅依靠MAC认证不足以实现该方案。为了完成用户的身份认证还需要结合AAA方案,因此,需要首先完成以下配置任务:
- 配置AAA客户端,即用户所属的认证域及其使用的AAA方案。
- 如果需要通过RADIUS或HWTACACS服务器进行认证,则应该在RADIUS或HWTACACS服务器上添加接入用户的用户名和密码。
- 如果需要本地认证,则应该在接入设备上手动添加接入用户的用户名和密码。
配置AAA客户端请参见“AAA配置”。
使能MAC认证功能
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令mac-authen,使能全局MAC认证功能。
缺省情况下,未使能全局MAC认证功能。
- 使能接口的MAC认证功能,有以下两种方式。
系统视图下:
- 执行命令mac-authen interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ,使能接口的MAC认证功能。
接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令mac-authen,使能接口的MAC认证功能。
缺省情况下,未使能接口的MAC认证功能。
(可选)配置用户名形式
背景信息
- 采用MAC地址形式:用户使用MAC地址作为用户名进行认证,同时可以使用MAC地址或者自定义的字符串作为密码。
- 采用固定用户名形式:不论用户的MAC地址为何值,所有用户均使用设备上管理员指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
- DHCP选项格式:设备将获取到的用户DHCP选项字段以及一个固定的密码代替用户的MAC地址作为身份信息进行认证。该选项需保证设备支持通过DHCP报文触发MAC认证。
在VLANIF接口视图或Eth-Trunk接口视图下配置固定用户名格式,则必须配置密码。
若在系统视图下进行配置则对设备各接口命令功能有效;若在接口视图下进行配置,则仅对该接口命令功能生效。若同时在接口视图与系统视图下进行配置,则接口视图下的配置优先级较高。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置用户名形式,可在系统视图或接口视图下进行配置。
- 执行命令mac-authen username { fixed username [ password cipher password ] | macaddress [ format { with-hyphen | without-hyphen } [ password cipher password ] ] | dhcp-option option-code { circuit-id | remote-id } password cipher password },配置MAC认证的用户名形式。
缺省情况下,MAC认证的用户名和密码均为不带分隔符“-”的MAC地址。
配置MAC认证的用户名形式时,需要确保认证服务器支持该用户名形式。
- 执行命令mac-authen username { fixed username [ password cipher password ] | macaddress [ format { with-hyphen | without-hyphen } [ password cipher password ] ] | dhcp-option option-code { circuit-id | remote-id } password cipher password },配置MAC认证的用户名形式。
(可选)配置用户认证域
背景信息
当MAC认证用户采用的认证用户名形式为MAC地址形式,或者采用固定用户名形式但不带域名,则如果管理员没有配置认证域,用户将使用Default域进行认证。这会导致众多用户在都在Default域下认证,认证方案不灵活。
- 在全局下进行配置则对各接口都生效。
- 在接口下进行配置则仅对该接口生效。需要注意的是,在接口下进行的配置优先级高于在全局下的配置。如果接口下没有配置,则采用全局下的配置。
当MAC认证用户的用户名采用固定用户名形式而且在用户名中指定了认证域,则该用户在其自带的认证域中进行认证。
配置MAC认证用户所使用的认证域之前,需确保该认证域已被创建。
(可选)配置能够触发MAC认证的报文类型
背景信息
使能MAC认证功能后,缺省情况下,设备在接收到DHCP/ARP/DHCPv6/ND报文后均能触发对用户进行MAC认证。根据实际网络中的用户情况,管理员可调整允许触发MAC认证的报文类型。譬如网络中的用户均为动态获取IPv4地址的用户,此时可配置仅允许通过DHCP报文触发MAC认证,这样能够有效的避免网络中存在非法用户配置静态IPv4地址后,不断发送ARP等报文触发MAC认证,占用设备CPU资源。
当设备支持DHCP报文触发MAC认证时,可以借助DHCP报文完成对用户进行重认证、及时清除设备上保存的MAC认证用户表项以及将用户的终端信息上送到认证服务器等功能。
当设备支持DHCP报文触发MAC认证,并且用户采用DHCP选项作为MAC认证用户名时(配置MAC认证用户名形式请参见配置用户名形式),如果通过认证服务器向设备授权华为RADIUS扩展属性HW-Forwarding-VLAN(属性号26-161),那么为使该属性功能生效,用户报文必须携带有双层VLAN Tag并且外层VLAN ID不能和HW-Forwarding-VLAN的ID相同。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置允许触发MAC认证的报文类型。
可在全局或接口下配置,在全局下配置,可对多个接口功能生效;在接口下配置,仅对指定接口功能生效;在全局和接口下同时配置,接口下的配置优先生效。
缺省情况下,DHCP/ARP/DHCPv6/ND报文均能够触发MAC认证。
视图 操作步骤 系统视图 执行命令mac-authen { dhcp-trigger | arp-trigger | dhcpv6-trigger | nd-trigger } * [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ],配置允许触发MAC认证的报文类型。
接口视图 执行命令interface interface-type interface-number,进入接口视图。
执行命令mac-authen { dhcp-trigger | arp-trigger | dhcpv6-trigger | nd-trigger } *,配置允许触发MAC认证的报文类型。
- (可选)使能DHCP报文触发MAC认证时将DHCP选项信息上送到认证服务器。
可在全局或接口下使能,在全局下可同时对多个接口进行使能;在接口下仅能对指定接口使能。在全局和接口下同时使能,接口下的配置优先生效。
缺省情况下,DHCP报文触发MAC认证时不会将DHCP选项信息上送到认证服务器。
视图 操作步骤 应用场景 系统视图 执行命令mac-authen dhcp-trigger dhcp-option option-code [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ],使能DHCP报文触发MAC认证时将DHCP选项信息上送到认证服务器。
Option82选项记录了DHCP用户的位置、业务(语音业务、数据业务)等信息。执行本命令后,设备在接收到DHCP报文触发对用户进行MAC认证时能够将Option82选项信息上送到认证服务器,认证服务器根据该选项记录的用户信息即可为不同位置、不同业务的用户分配不同的网络访问权限。这样能够实现对各个用户的网络访问权限进行精确控制。
接口视图 执行命令interface interface-type interface-number,进入接口视图。
执行命令mac-authen dhcp-trigger dhcp-option option-code,使能DHCP报文触发MAC认证时将DHCP选项信息上送到认证服务器。
- (可选)使能设备在接收到MAC认证用户的DHCP续租报文后,对用户进行重认证。
可在全局或接口下使能,在全局下可同时对多个接口进行使能;在接口下仅能对指定接口使能。
缺省情况下,设备在接收到MAC认证用户的DHCP续租报文后,不会对用户进行重认证。
视图 操作步骤 应用场景 系统视图 执行命令mac-authen reauthenticate dhcp-renew interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>,使能设备在接收到MAC认证用户的DHCP续租报文后,对用户进行重认证。
用户上线后,管理员可能在认证服务器上更改用户的认证参数或者网络访问权限。为了确保用户的合法性或者及时更新用户的网络访问权限,可使用本命令使能设备在接收到MAC认证用户的DHCP续租报文后,对用户进行重认证。
接口视图 执行命令interface interface-type interface-number,进入接口视图。
执行命令mac-authen reauthenticate dhcp-renew,使能设备在接收到MAC认证用户的DHCP续租报文后,对用户进行重认证。
- (可选)使能设备在接收到MAC认证用户的DHCP Release报文后清除用户表项。
可在全局或接口下使能,在全局下可同时对多个接口进行使能;在接口下仅能对指定接口使能。
缺省情况下,设备在接收到MAC认证用户的DHCP Release报文后不会清除用户表项。
视图 操作步骤 应用场景 系统视图 执行命令mac-authen offline dhcp-release interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>,使能设备在接收到MAC认证用户的DHCP Release报文后清除用户表项。
MAC认证用户发送DHCP Release报文下线后,设备上对应的用户表项并不能立刻删除,这将占用设备资源,可能导致其他用户无法上线。为了在MAC认证用户下线后及时清除对应的用户表项,可使用本命令。
接口视图 执行命令interface interface-type interface-number,进入接口视图。
执行命令mac-authen offline dhcp-release,使能设备在接收到MAC认证用户的DHCP Release报文后清除用户表项。
(可选)配置接口允许接入的最大MAC认证用户数
背景信息
若管理员需对某接口下通过MAC认证接入的用户数量进行限制的时候,可配置接口允许接入的MAC认证最大用户数量。之后,当接入用户到达配置的最大数时,后续MAC认证用户将不能够通过该接口接入网络。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置接口允许接入的最大用户数量,可在系统视图或接口视图下进行配置:
- 系统视图:
- 执行命令mac-authen max-user user-number interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>,配置接口允许接入的MAC认证最大用户数量。
- 接口视图:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令mac-authen max-user user-number,配置接口允许接入的MAC认证最大用户数量。
缺省情况下,在规格范围内,设备允许接入的最大MAC认证用户数没有限制。
(可选)配置允许用户进行MAC认证的MAC地址段
(可选)配置用户下线探测报文的源地址
背景信息
为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线。
- 修改用户下线探测报文的默认源IP地址;
- 直接指定某个IP地址作为用户下线探测报文的源IP地址。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置用户下线探测报文的源地址。
执行命令access-user arp-detect default ip-address ip-address,配置用户下线探测报文的默认源IP地址。
缺省情况下,用户下线探测报文的默认源IP地址是255.255.255.255。
仅V200R005C00SPC500版本支持该步骤。
执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address,配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。
缺省情况下,未配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。
建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。
(可选)配置MAC认证定时器
背景信息
- Guest-Vlan用户重认证定时器(guest-vlan reauthenticate-period):在用户被加入Guest Vlan之后,设备将以此定时器设置的时间间隔为周期向Guest Vlan中的用户发起重认证。若重认证成功,则用户退出Guest Vlan。
用户下线探测定时器(offline-detect):为确保用户的正常在线,设备会向在线用户发送探测报文,如果用户在探测周期内没有回应,则设备认为该用户已下线。该定时器同时对MAC认证用户以及静态用户生效。
为防止下线探测报文(ARP报文)过多,超过默认CAR值,导致探测失败,进而将用户下线(通过命令display cpu-defend statistics查看ARP请求和回应报文是否存在丢包)。建议用户采用以下方法处理:- 根据用户数量,适当放大探测周期。建议当用户数小于8K时,探测周期采用缺省值;当用户数大于8K时,配置探测周期不小于600秒。
- 在接入设备上部署端口防攻击功能,对上送CPU的报文进行限速处理。
- 静默定时器(quiet-period):在用户认证失败后,设备需要静默一段时间。在静默期间,设备不处理该用户的认证请求。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令mac-authen timer { guest-vlan
reauthenticate-period interval | offline-detect offline-detect-value | quiet-period quiet-value },配置MAC认证各项定时器参数。
缺省情况下,guest-vlan reauthenticate-period为60秒;offline-detect为300秒;quiet-period为60秒。
guest-vlan reauthenticate-period、offline-detect、quiet-period定时器均为默认开启。
quiet-period定时器设置为0时,表示关闭静默功能。
(可选)配置对MAC认证用户进行重认证
背景信息
若管理员在认证服务器上修改了某一用户的信息,从而更改用户的访问权限、授权属性等参数。此时如果用户已经在线,则需要及时对该用户进行重认证以确保用户的合法性。
用户上线后,设备上会保存有该用户的认证信息。配置对MAC认证用户进行重认证后,设备将会把保存的在线用户的认证参数发送到认证服务器进行重认证,若认证服务器上用户的认证信息没有变化,则用户正常在线;若用户的认证信息已更改,则用户将会被下线,此后需要用户根据更改后的认证参数重新进行接入认证。
- 配置对指定接口下所有在线MAC认证用户进行周期重认证。
- 配置对指定MAC地址的在线MAC认证用户进行重认证,且仅进行一次重认证。
操作步骤
- 配置对指定接口下所有在线MAC认证用户进行周期重认证。
- (可选)配置对在线MAC认证用户进行周期重认证的时间间隔,可在系统视图或接口视图下进行配置。
一般情况下,重认证周期建议采用默认值。如果用户授权时需要下发多条ACL,为提高设备处理性能,建议关闭重认证功能或将重认证周期调长。
在采用远端认证、授权的情况下,如果配置的重认证周期过短则可能导致CPU占用率较高。
当用户数较多时,为减少对设备性能的影响,用户进行重认证的周期可能大于配置的重认证的周期。
- 系统视图下:
- 执行命令mac-authen timer reauthenticate-period reauthenticate-period-value,配置对在线MAC认证用户进行周期重认证的时间间隔。
- 接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令mac-authen timer reauthenticate-period reauthenticate-period-value,配置对在线MAC认证用户进行周期重认证的时间间隔。
缺省情况下,系统视图下的MAC认证重认证周期为1800秒;接口视图下的MAC认证重认证周期默认采用系统视图下的配置。
- (可选)配置对在线MAC认证用户进行周期重认证的时间间隔,可在系统视图或接口视图下进行配置。
- 配置对指定MAC地址的在线MAC认证用户进行重认证。
(可选)配置Guest VLAN功能
背景信息
为了满足用户不进行认证也能够访问某些网络资源的需求,可在设备接口上配置Guest VLAN。之后,用户在未进行认证之前将被加入Guest VLAN进而能够访问Guest VLAN中的资源。但用户若需访问Guest VLAN之外的网络资源时仍需要进行认证。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置Guest VLAN功能,可在系统视图或接口视图下进行配置。
- 系统视图下:
- 执行命令authentication guest-vlan vlan-id interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>,配置接口加入的Guest VLAN。
- 接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令authentication guest-vlan vlan-id,配置接口加入的Guest VLAN。
缺省情况下,接口未加入Guest VLAN。
(可选)配置Critical VLAN功能
背景信息
如果配置了free-ip功能,则MAC认证的Critical VLAN功能立即失效。
接口是Untagged方式加入VLAN的Hybrid接口时,Critical VLAN功能才能生效,在其他类型的接口上Critical VLAN功能不生效。
配置MAC认证的Critical VLAN功能,可在系统视图或接口视图下进行配置。
(可选)配置MAC认证的静默功能
背景信息
设备的MAC认证静默功能默认已使能,缺省情况下,当MAC认证用户在60秒内认证失败的次数超过了1次,设备会将该用户静默一段时间,且不再处理该用户的认证请求,从而防止一直尝试进行认证的攻击者对系统造成冲击。
如果某用户第一次认证时输入了错误的用户名密码,该用户不仅认证不通过,并且由于认证失败次数超过1次而被设备静默,造成其无法立即重新进行认证。此时,可以将MAC认证用户静默前的认证失败次数调整为大于一次,上述问题即可解决。
对于MAC认证用户,静默功能仅在用户未加入用户表项时生效。传统模式下,MAC认证用户认证失败后,不会生成用户表项,此时静默功能生效,并生成静默表项;如果配置了用户预连接或认证失败的网络访问权限,授权成功后,用户会加入预连接状态,并生成用户表项,此时静默功能不生效。
(可选)配置静态用户
背景信息
在网络部署中,对于打印机和服务器等哑终端,管理员一般都是为其分配静态IP地址。对于这类用户,为了更加灵活的对其进行认证,可将其配置为静态用户。
在配置完成静态用户后,只要在静态用户所连接的接口上使能了802.1x认证、MAC认证以及Portal认证中的任意一种,设备就能够使用静态用户的IP地址等信息作为用户名进行认证。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令static-user start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ] [ domain-name domain-name | interface interface-type interface-number [ detect ] | mac-address mac-address | vlan vlan-id ] *(S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数),配置静态用户。
缺省情况下,未配置静态用户。
仅二层以太网接口和二层Eth-Trunk接口支持配置为静态用户所属的接口。如果已配置的接口加入Eth-Trunk或者切换成三层接口,则该接口的静态用户功能不生效。
配置静态用户所属的接口时(即参数interface interface-type interface-number),必须同时配置该接口所属的VLAN(即参数vlan vlan-id)。
- 执行命令static-user
username format-include { ip-address | mac-address | system-name },配置静态用户进行认证时使用的用户名。
缺省情况下,静态用户的用户名为system-name和ip-address。
- 执行命令static-user password cipher password,配置静态用户进行认证时使用的密码。
您可以在《S系列交换机缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
(可选)配置接入认证过程中的用户网络访问权限
背景信息
用户接入认证过程中,为满足用户在各认证阶段均能够有一定的网络访问权限,可以配置用户在接入认证各阶段中的网络访问权限。
- pre-authen:配置用户在接入认证开始之前的网络访问权限。
- authen-fail:配置用户在接入认证失败时的网络访问权限。
- authen-server-down:配置用户在接入认证过程中,认证服务器无响应时的网络访问权限。
仅S5700HI、S5710HI、S5710EI和S6700支持在VLANIF接口下配置该功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置用户在接入认证各阶段的网络访问权限,可在系统视图或接口视图下进行配置。
- (可选)配置用户在接入认证各阶段所加入网络访问权限的老化时间。可在系统视图或接口视图下进行配置。
视图
操作步骤
系统视图 执行命令authentication event { pre-authen | authen-fail | authen-server-down } session-timeout session-time,配置用户在接入认证各阶段所加入网络访问权限的老化时间。
缺省情况下,用户在接入认证各阶段所加入网络访问权限的老化时间为15分钟。
接口视图 执行命令interface interface-type interface-number,进入接口视图。
- 配置用户在接入认证各阶段所加入网络访问权限的老化时间,在二层物理接口视图与VLANIF接口视图下命令格式存在差异。
- 二层物理接口视图:执行命令authentication event { pre-authen | authen-fail | authen-server-down} session-timeout session-time,配置用户在接入认证各阶段所加入网络访问权限的老化时间。
- VLANIF接口视图:执行命令authentication event { pre-authen | authen-fail | authen-server-down } session-timeout session-time,配置用户在接入认证各阶段所加入网络访问权限的老化时间。
缺省情况下,用户在接入认证各阶段所加入网络访问权限的老化时间为15分钟。
- 执行命令quit,返回到系统视图。
(可选)配置终端类型感知功能
背景信息
在实际网络部署中,设备下挂的终端类型多种多样,某些时候管理员需要为不同类型的终端分配不同的网络访问权限或者报文处理优先级。譬如设备下挂有语音设备(如IP电话)时,由于语音信号具有时延小,抖动小等特点,因此就需要设备优先处理语音报文。
通过终端类型感知功能,设备能够获悉终端的类型并发送给认证服务器,进而使认证服务器能够根据用户的终端类型为其部署网络访问权限或报文处理优先级等策略。
- 通过DHCP选项字段方式:设备在接收到DHCP Request报文后解析出所需的Option字段(该字段中携带有终端类型信息)。之后,设备会把Option字段信息通过RADIUS计费报文发送到RADIUS服务器。该方式需要首先使能设备的DHCP Snooping功能,请参见《S2750, S5700, S6700 系列以太网交换机 配置指南-安全配置-DHCP Snooping配置》中的“使能DHCP Snooping功能”。
- 通过LLDP TLV类型方式:设备在接收到LLDP报文后能够解析出所需的TLV类型(TLV携带了终端类型信息)。之后,设备会把TLV类型信息通过RADIUS计费报文发送到RADIUS服务器。该方式需要首先使能设备以及下挂的对端设备的LLDP功能,请参见《S2750, S5700, S6700 系列以太网交换机 配置指南-网络管理配置-LLDP配置》中的“使能LLDP功能”。
为保证终端类型感知功能生效,需确保AAA方案中的认证或计费模式为RADIUS。
终端类型感知功能仅为接入设备提供了一种获取用户终端类型的方案,其本身并无法为终端分配网络访问策略。为不同类型的终端部署网络访问策略由管理员在RADIUS服务器上进行配置。
(可选)配置MAC迁移功能
背景信息
企业用户终端的接入位置经常变化,比如使用笔记本的用户移动到其他办公室办公或进行演示交流。但是,缺省情况下,用户从新接口接入后,无法立即发起认证也无法上线;必须等到设备上用户下线探测周期结束或手动将认证接口UP/DOWN清除用户在线表项后,用户才能在后接入的接口上发起认证。为提升用户体验,使用户在切换接入接口后能够立即认证上线,可以使能MAC迁移功能。
MAC迁移功能是指,允许在线的NAC认证用户移动到设备的其他接入接口后,可以立即认证上线。如果用户在后接入的接口上认证成功,原接口上的用户在线表项会立即被清除,保证该用户仅在一个接口上记录在线表项信息。
如图3-14所示,典型的MAC迁移场景有两种。第一种:认证点部署在接入交换机,用户终端从同一台交换机的一个认证控制点迁移到另一个认证控制点;第二种:认证点部署在汇聚交换机,用户终端的认证控制点不变,其接入接口从汇聚交换机下挂的同一台接入交换机的不同接口之间迁移或者从汇聚交换机下挂的不同接入交换机的接口之间迁移。
通常情况下,不建议开启MAC迁移功能,只有在用户有漫游迁移需求时才建议开启。这是为防止非法用户仿冒已在线用户的MAC地址,在其他认证控制接口上发送ARP、802.1x或DHCP报文触发MAC迁移功能,导致合法用户下线。
- 策略联动和SVF场景下,设备不支持MAC迁移功能。
- 不支持用户通过中间设备级联迁移,因为级联的时候用户迁移后不会发ARP、DHCP等报文。
- 不支持三层Portal认证用户和PPPoE认证用户的MAC迁移功能。
- 用户从配置了NAC认证的接口迁移到未配置NAC认证的接口时,由于未配置NAC认证的接口不能发送认证报文触发MAC迁移,用户必须等到原在线表项老化后,才能够接入网络。
- 传统模式下,VLANIF接口上线的用户,在发送ARP报文走下线流程后才能够触发Portal认证,否则只能等到原用户在线表项老化后才能重新上线。物理接口不支持用户迁移后进行Portal认证,直到原用户在线表项老化后才能重新上线。
- 如果authentication mac-move enable vlan命令中的VLAN使用的是授权VLAN,建议配置MAC迁移前探测功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令authentication mac-move enable vlan { all | { vlan-id1 [ to vlan-id2 ] } &<1–10> },使能MAC迁移功能。
缺省情况下,未使能MAC迁移功能。
MAC迁移功能需要指定允许用户移动的VLAN。该VLAN可以是用户移动前所属的VLAN,也可以是用户移动后所属的VLAN。用户移动前后所属的VLAN可以相同也可以不同。
- (可选)配置MAC迁移静默功能。
用户频繁切换接入接口(特别是环路等原因造成的频繁切换),会导致设备处理大量认证报文和认证表项,出现CPU占用率高的问题。为解决该问题,可以配置MAC迁移静默功能。配置MAC迁移静默功能后,若某一用户在60秒内迁移的次数超过设置的值,设备会将该用户静默一段时间。在静默时间内,设备不再处理该用户的认证请求并回应用户认证失败,从而避免频繁切换对设备CPU的冲击。
另外,为提高MAC迁移静默功能的可维护性,设备支持记录MAC迁移的相关日志和告警。
执行命令authentication mac-move { quiet-times times | quiet-period quiet-value } *,配置MAC迁移用户被静默前60秒内允许迁移的次数和静默时间间隔。
缺省情况下,MAC迁移用户被静默前60秒内允许迁移的次数为3次、静默的时间间隔为60秒。
执行命令authentication mac-move quiet-log enable,使能设备记录MAC迁移静默相关日志的功能。
缺省情况下,已使能设备记录MAC迁移静默相关日志的功能。
使能该功能后,设备在添加或删除MAC迁移静默表项时记录日志。
执行命令authentication mac-move quiet-user-alarm percentage lower-threshold upper-threshold,配置MAC迁移静默用户数的告警上下限阈值。
缺省情况下,MAC迁移静默用户数的告警下限阈值是50、上限阈值是100。
执行命令authentication mac-move quiet-user-alarm enable,使能设备发送MAC迁移静默相关告警的功能。
缺省情况下,未使能设备发送MAC迁移静默相关告警的功能。
使能该功能后,当MAC迁移静默表的实际用户数占规格数的百分比高于配置的上限告警阈值时,设备发送告警;之后,如果该比例降到等于或小于配置的下限告警阈值时,设备再发送恢复告警。
(可选)配置用户组功能
背景信息
在NAC实际应用场景中,接入用户数量众多但用户类别却是有限的。针对这种情况,可在设备上创建用户组,并使每个用户组关联到一组ACL规则,则同一组内的用户将共用一组ACL规则。
在创建用户组后,可为用户组配置优先级以及VLAN,这样不同用户组内的用户即具有了不同的优先级以及网络访问权限。这将能够使管理员更灵活的管理用户。
除了S5700HI、S5710HI、S5710EI和S6700型号外,其他产品型号使能用户组功能时,每个用户会单独下发ACL规则,无法通过用户组来节省ACL资源。
认证服务器下发的用户组授权优先级高于AAA域下应用的用户组授权,当认证服务器下发的用户组授权失败后,用户会采用AAA域下应用的用户组授权。例如,认证服务器下发用户组A,设备仅配置了用户组B并在AAA域下应用,此时,用户组A授权失败,用户采用用户组B授权。如果用户希望使用认证服务器下发的用户组授权,需要保证认证服务器上下发的用户组在设备上已经配置。
若认证服务器向设备授权多个属性,并且所授权的属性存在包含关系,则授权属性按照最小原则生效。例如,认证服务器向设备授权了VLAN以及用户组,并且设备上用户组中配置了VLAN参数,则认证服务器授权VLAN功能生效。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令user-group group-name,创建用户组并进入用户组视图。
- 执行命令acl-id acl-number,在用户组下绑定ACL。
缺省情况下,用户组下未绑定ACL。
- 执行命令user-vlan vlan-id,配置用户组VLAN。
缺省情况下,未配置用户组VLAN。
执行该命令之前,需确保已使用命令vlan创建了VLAN。
- 执行命令remark { 8021p 8021p-value | dscp dscp-value }*,配置用户组优先级。
缺省情况下,未配置用户组优先级。
- 执行命令car { outbound | inbound } cir cir-value [ pir pir-value | cbs cbs-value | pbs pbs-value ] *,配置对用户组内的用户进行流量监管。
缺省情况下,不对用户组内的用户进行流量监管。
- 执行命令quit,退出到系统视图。
- 执行命令user-group group-name enable,使能用户组功能。
只有在使能用户组功能后,其上的配置才能生效。
缺省情况下,未使能用户组功能。
检查配置结果
操作步骤
- 使用命令display mac-authen [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ] 查看MAC认证的配置信息。
- 执行命令display mac-address authen [ interface-type interface-number | vlan vlan-id ] * [ verbose ],查看系统当前存在的authen类型的MAC地址表项。
- 执行命令display user-group [ group-name ],查看用户组的相关配置信息。
- 执行命令display access-user,查看NAC接入用户的信息。
