(可选)配置MAC迁移功能
背景信息
企业用户终端的接入位置经常变化,比如使用笔记本的用户移动到其他办公室办公或进行演示交流。但是,缺省情况下,用户从新接口接入后,无法立即发起认证也无法上线;必须等到设备上用户下线探测周期结束或手动将认证接口UP/DOWN清除用户在线表项后,用户才能在后接入的接口上发起认证。为提升用户体验,使用户在切换接入接口后能够立即认证上线,可以使能MAC迁移功能。
MAC迁移功能是指,允许在线的NAC认证用户移动到设备的其他接入接口后,可以立即认证上线。如果用户在后接入的接口上认证成功,原接口上的用户在线表项会立即被清除,保证该用户仅在一个接口上记录在线表项信息。
如图3-15所示,典型的MAC迁移场景有两种。第一种:认证点部署在接入交换机,用户终端从同一台交换机的一个认证控制点迁移到另一个认证控制点;第二种:认证点部署在汇聚交换机,用户终端的认证控制点不变,其接入接口从汇聚交换机下挂的同一台接入交换机的不同接口之间迁移或者从汇聚交换机下挂的不同接入交换机的接口之间迁移。
通常情况下,不建议开启MAC迁移功能,只有在用户有漫游迁移需求时才建议开启。这是为防止非法用户仿冒已在线用户的MAC地址,在其他认证控制接口上发送ARP、802.1X或DHCP报文触发MAC迁移功能,导致合法用户下线。
- 不支持用户通过中间设备级联迁移,因为级联的时候用户迁移后不会发ARP、DHCP等报文。
- 不支持三层Portal认证用户的MAC迁移功能。
- L2 BNG场景下,设备不支持MAC迁移功能。
- 用户从配置了NAC认证的接口迁移到未配置NAC认证的接口时,由于未配置NAC认证的接口不能发送认证报文触发MAC迁移,用户必须等到原在线表项老化后,才能够接入网络。
- VLANIF接口上线的用户,在发送ARP报文走下线流程后才能够触发Portal认证,否则只能等到原用户在线表项老化后才能重新上线。物理接口不支持用户迁移后进行Portal认证,直到原用户在线表项老化后才能重新上线。
- VLANIF接口上线的用户多次MAC迁移被静默时,被静默的用户只有当MAC迁移静默时间超时,并且ARP表项老化后,才能进行MAC迁移。
- 如果authentication mac-move enable vlan命令中的VLAN使用的是授权VLAN,建议配置MAC迁移前探测功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令authentication mac-move enable vlan { all | { vlan-id1 [ to vlan-id2 ] } & <1–10>
},使能MAC迁移功能。
缺省情况下,未使能MAC迁移功能。
MAC迁移功能需要指定允许用户移动的VLAN。该VLAN可以是用户移动前所属的VLAN,也可以是用户移动后所属的VLAN。用户移动前后所属的VLAN可以相同也可以不同。
- (可选)配置MAC迁移静默功能。
用户频繁切换接入接口(特别是环路等原因造成的频繁切换),会导致设备处理大量认证报文和认证表项,出现CPU占用率高的问题。为解决该问题,可以配置MAC迁移静默功能。配置MAC迁移静默功能后,若某一用户在60秒内迁移的次数超过设置的值,设备会将该用户静默一段时间。在静默时间内,设备不允许用户进行MAC迁移。
另外,为提高MAC迁移静默功能的可维护性,设备支持记录MAC迁移的相关日志和告警。
执行命令authentication mac-move { quiet-times times | quiet-period quiet-value } *,配置MAC迁移用户被静默前60秒内允许迁移的次数和静默时间间隔。
缺省情况下,MAC迁移用户被静默前60秒内允许迁移的次数为3次、静默的时间间隔为0秒。
执行命令authentication mac-move quiet-log enable,使能设备记录MAC迁移静默相关日志的功能。
缺省情况下,已使能设备记录MAC迁移静默相关日志的功能。
使能该功能后,设备在添加或删除MAC迁移静默表项时记录日志。
执行命令authentication mac-move quiet-user-alarm percentage lower-threshold upper-threshold,配置MAC迁移静默用户数的告警上下限阈值。
缺省情况下,MAC迁移静默用户数的告警下限阈值是50、上限阈值是100。
执行命令authentication mac-move quiet-user-alarm enable,使能设备发送MAC迁移静默相关告警的功能。
缺省情况下,未使能设备发送MAC迁移静默相关告警的功能。
使能该功能后,当MAC迁移静默表的实际用户数占规格数的百分比高于配置的上限告警阈值时,设备发送告警;之后,如果该比例降到等于或小于配置的下限告警阈值时,设备再发送恢复告警。
- (可选)配置MAC迁移前探测功能。
开启MAC迁移功能后,为防止非法用户仿冒已在线用户的MAC地址发起攻击的问题,可以开启MAC迁移前探测功能。用户进行MAC迁移前,设备会探测用户是否在线,如果用户不在线则继续MAC迁移,用户会在新接入接口上认证上线;如果用户在线则终止MAC迁移,用户不能在新接入接口上上线。
执行命令authentication mac-move detect enable,使能MAC迁移前探测功能。
缺省情况下,未使能MAC迁移前探测功能。
执行命令authentication mac-move detect { retry-interval interval | retry-time times } *,配置MAC迁移前探测的时间间隔和次数。
缺省情况下,MAC迁移前探测的时间间隔是3秒、次数是1次。