配置MAC接入模板
配置MAC接入模板
背景信息
创建MAC接入模板后,可以对其进行配置。用户可以综合设备、服务器和安全性等选择合适的认证方式。MAC认证过程中,不需要手动输入用户名和密码,但需要在设备上配置MAC认证的用户名类型格式和密码。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令mac-access-profile name access-profile-name,进入MAC接入模板视图。
- 执行命令mac-authen authentication-method { chap | pap },配置MAC认证用户的认证方式。
缺省情况下,MAC认证用户认证方式为PAP认证。
- 执行命令mac-authen username { fixed username [ password cipher password ]
| macaddress [ format { with-hyphen [ normal ] [ colon ] | without-hyphen } [ uppercase ] [ password cipher password ] ] | dhcp-option option-code { circuit-id | remote-id } * [ separate separate ] [ format-hex ] password cipher password },配置MAC认证用户采用的用户名形式。
缺省情况下,MAC认证的用户名和密码均为不带分隔符“-”或“:”的MAC地址。
配置MAC认证的用户名形式时,需要确保认证服务器支持该用户名形式。
VLANIF接口、Eth-Trunk接口、端口组或VAP模板下使能MAC认证时,若配置MAC认证用户采用固定用户名格式,则必须配置密码;端口组下使能MAC认证时,若配置MAC认证用户采用MAC地址格式,则不支持配置密码;VLANIF接口和VAP模板下使能MAC认证时,不支持将MAC认证用户的用户名配置为特定的DHCP选项信息。
- (可选)配置能够触发MAC认证的报文类型。
执行命令authentication trigger-condition { dhcp | arp | dhcpv6 | nd | any-l2-packet } *,配置能够触发MAC认证的报文类型。
缺省情况下,DHCP/ARP/DHCPv6/ND报文均能够触发MAC认证。
执行命令authentication trigger-condition dhcp dhcp-option option-code,使能DHCP报文触发MAC认证时将DHCP选项信息上送到认证服务器。
缺省情况下,DHCP报文触发MAC认证时不会将DHCP选项信息上送到认证服务器。
执行命令mac-authen offline dhcp-release,使能设备在接收到MAC用户的DHCP Release报文后清除用户表项。
缺省情况下,设备在接收到MAC用户的DHCP Release报文后不会清除用户表项。
- (可选)执行命令mac-authen permit mac-address mac-address mask { mask | mask-length },配置设备允许用户进行MAC认证的MAC地址段。
缺省情况下,未配置允许用户进行认证的MAC地址段。
仅VLANIF接口上线的MAC认证用户支持该功能。
VLANIF接口下允许用户进行MAC认证的MAC地址段最大数目为8个。
- (可选)执行命令mac-authen trigger dhcp-binding,配置静态IP用户MAC认证成功后或处于预连接阶段时,设备自动生成对应的DHCP
Snooping绑定表。
缺省情况下,静态IP用户MAC认证成功后或处于预连接阶段时,设备不会自动生成对应的DHCP Snooping绑定表。
(可选)配置对在线MAC用户进行重认证
背景信息
若管理员在认证服务器上修改了某一用户的访问权限、授权属性等参数,此时如果用户已经在线,则需要及时对该用户进行重认证以确保用户的合法性。
配置对在线MAC用户进行重认证功能后,设备会把保存的在线用户的认证参数(用户上线后,设备上会保存有该用户的认证信息)发送到认证服务器进行重认证,若认证服务器上用户的认证信息没有变化,则用户正常在线;若用户的认证信息已更改,则用户将会被下线,此后用户需要重新进行认证。
VLANIF接口上线的MAC认证用户,不支持重认证功能。
设备与某服务器对接进行重认证时,如果服务器回复重认证拒绝消息导致已在线用户下线,则建议服务器侧定位重认证失败原因或者设备去使能重认证功能。
- 对使用指定MAC接入模板的用户周期性自动进行重认证。配置该功能后,会导致MAC认证的日志信息较多。
- 接收到MAC用户的DHCP续租报文后,对用户进行重认证。该项必须保证设备已经配置了通过DHCP报文触发MAC认证的功能。
- 手动对指定MAC地址的用户进行单次重认证。
操作步骤
- 周期性自动重认证
- (可选)执行命令mac-authen
timer reauthenticate-period reauthenticate-period-value,配置对在线MAC用户进行重认证的周期。
缺省情况下,对在线MAC用户进行重认证的周期为1800秒。
一般情况下,重认证周期建议采用默认值。如果用户授权时需要下发多条ACL,为提高设备处理性能,建议关闭重认证功能或将重认证周期调长。
在采用远端认证、授权的情况下,如果配置的重认证周期过短则可能导致CPU占用率较高。
当用户数较多时,为减少对设备性能的影响,用户进行重认证的周期可能大于配置的重认证的周期。
- (可选)执行命令mac-authen
timer reauthenticate-period reauthenticate-period-value,配置对在线MAC用户进行重认证的周期。
- DHCP续租报文触发重认证
- 手动单次重认证
- 执行命令system-view,进入系统视图。
- 执行命令mac-authen reauthenticate mac-address mac-address,手动对指定MAC地址的用户进行单次重认证。
