displaymac-authentication[interfaceinterface-typeinterface-number]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
【使用指导】
如果不指定任何参数,则显示所有在线MAC地址认证的详细信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。
【举例】
#显示MAC地址认证信息。
GlobalMACauthenticationparameters:
MACauthentication:Enabled
Authenticationmethod:PAP
M-LAGmemberconfigurationconflict:Unknown
Usernameformat:MACaddressinlowercase(xxxxxxxxxxxx)
Username:mac
Password:Notconfigured
MACrangeaccounts:2
MACaddressMaskUsername
2222-0000-0000ffff-0000-0000user1
4444-0000-0000ffff-0000-0000user1
Offlinedetectperiod:300s
Quietperiod:60s
Servertimeout:100s
Reauthperiod:3600s
UseragingperiodforcriticalVLAN:1000s
UseragingperiodforcriticalVSI:1000s
UseragingperiodforguestVLAN:1000s
UseragingperiodforguestVSI:1000s
Useragingperiodforcriticalmicrosegment:1000s
Temporaryuseragingperiod:60s
Authenticationdomain:Notconfigured,usedefaultdomain
HTTPproxyportlist:Total10ports
1-3,5,7,9,11-13,15
HTTPSproxyportlist:Notconfigured
OnlineMAC-authwiredusers:1
SilentMACusers:
MACaddressVLANIDFromportPortindex
0001-0000-0001100XGE1/0/221
Ten-GigabitEthernet1/0/1islink-up
Accessprofilename:m1
CarryUser-IP:Disabled
Authenticationdomain:Notconfigured
Auth-delaytimer:Enabled
Auth-delayperiod:60s
Periodicreauth:Enabled
Reauthperiod:120s
Re-authserver-unreachable:Logoff
GuestVLAN:100
GuestVLANreauthentication:Enabled
GuestVLANauth-period:150s
CriticalVLAN:Notconfigured
CriticalvoiceVLAN:Disabled
Hostmode:SingleVLAN
Offlinedetection:Enabled
Packetdetection:Enabled
Authenticationorder:Parallel
Useraging:Enabled
Server-recoveryonline-user-sync:Enabled
GuestVSI:Notconfigured
GuestVSIreauthentication:Enabled
GuestVSIauth-period:30s
CriticalVSI:Notconfigured
CriticalmicrosegmentID:123
Criticalprofile:Notconfigured
URLuserlogoff:No
Auto-tagfeature:Disabled
VLANtagconfigurationignoring:Disabled
Maxonlineusers:4294967295
Maxonlinepreauth-domainusers:4294967295
MaxonlineAuth-Fail-domainusers:4294967295
Auth-server-unavailableescape:Enabled
Authenticationattempts:successful2,failed3
Currentonlineusers:1
MACaddressAuthstate
0001-0000-0001Unauthenticated
表1-1displaymac-authentication命令显示信息描述表
字段
描述
GlobalMACauthenticationparameters
全局MAC地址认证参数
MACauthentication
MAC地址认证的开启状态
Authenticationmethod
MAC地址认证采用的认证方法
·CHAP:采用CHAP认证方法
·PAP:采用PAP认证方法
M-LAGmemberconfigurationconflict
两台M-LAG设备配置检查结果
·Conflicted:两台M-LAG设备上的配置不匹配
·Notconflicted:两台M-LAG设备上的配置相匹配
·Unknown:无法检测两台M-LAG设备上的配置是否匹配
Usernameformat
MAC地址认证使用的账号格式
·若采用MAC地址账号,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MACaddressinlowercase(xxxxxxxxxxxx)”,它表示用户名格式为不带连字符的MAC地址,其中字母为小写
·若采用固定用户名账号,则显示“Fixedaccount”
Username
用户名
·采用MAC地址账号时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码
·采用固定用户名账号时,该值为配置的用户名(缺省为mac)
Password
用户名的密码
·采用MAC地址账号时,该值显示为“Notconfigured”
·采用固定用户名账号时,配置的值将显示为******
MACrangeaccounts
指定MAC地址范围的MAC地址认证用户账号信息列表
MACaddress
指定的MAC地址
Mask
MAC地址掩码
MAC地址认证用户名称
Offlinedetectperiod
下线检测定时器的值
Quietperiod
静默定时器的值
Servertimeout
服务器连接超时定时器的值
Reauthperiod
重认证定时器的值
UseragingperiodforcriticalVLAN
UseragingperiodforcriticalVSI
UseragingperiodforguestVLAN
UseragingperiodforguestVSI
Useragingperiodforcriticalmicrosegment
Temporaryuseragingperiod
Authenticationdomain
系统视图下指定的MAC地址认证用户使用的认证域,如果没有指定认证域,则显示Notconfigured,usedefaultdomain
HTTPproxyportlist
HTTP代理服务器端口
HTTPSproxyportlist
HTTPS代理服务器端口
MaxnumberofsilentMACs
指定单元上同时存在的最大静默MAC数
OnlineMAC-authwiredusers
在线有线用户和正在发起MAC地址认证的有线用户的总数
SilentMACusers
静默用户的MAC地址
VLANID
静默用户所在的VLAN
Fromport
静默用户接入的端口名称
Portindex
静默用户接入的端口索引号
端口Ten-GigabitEthernet1/0/1的链路状态
当前端口的MAC地址认证开启状态
·Enabled:处于开启状态
·Enabled(butNOTeffective):处于开启状态,但功能未生效。未生效原因为设备上ACL资源全部被占用
·Disabled:处于关闭状态
Accessprofilename
MAC地址认证接入模板名称。如果未绑定MAC地址认证接入模板,则显示为“Notconfigured”
CarryUser-IP
MAC地址认证请求携带用户IP地址关闭状态
端口上指定的MAC地址认证用户使用的认证域
Auth-delaytimer
MAC地址认证延迟功能的开启状态
Auth-delayperiod
Periodicreauth
端口上MAC地址重认证开启状态
端口上配置的MAC地址重认证定时器的值,若端口上未配置重认证定时器,则显示为N/A;若未开启重认证功能,则不显示本字段
Re-authserver-unreachable
重认证时服务器不可达对MAC地址认证的在线用户采取的动作
·Logoff:重认证服务器不可达,强制MAC地址认证在线用户下线
·Online:重认证服务器不可达,保持MAC地址认证在线用户在线
GuestVLAN
端口配置的GuestVLAN,如果未配置此功能,则显示Notconfigured
GuestVLANreauthentication
GuestVLAN中用户重新认证功能的开启状态
GuestVLANauth-period
CriticalVLAN
端口配置的CriticalVLAN,如果未配置此功能,则显示Notconfigured
CriticalvoiceVLAN
端口配置MAC地址认证的CriticalVoiceVLAN功能的开启状态
Hostmode
相同MAC地址用户的工作模式
·如果配置的是多VLAN模式,则显示MultipleVLAN
·如果配置的是单VLAN模式,则显示SingleVLAN
Offlinedetection
MAC地址认证用户下线检测的开启状态
Packetdetection
MAC地址认证报文探测功能的开启状态
·Enabled(NOTeffective):处于开启但未生效状态。在使能了报文探测功能的情况下,修改端口接入控制方式为Port-based时,显示此状态
Authenticationorder
MAC地址认证和802.1X认证并行处理
·Default:处于关闭状态
·Parallel:处于开启状态
Useraging
非认证成功微分段、VLAN和VSI中MAC地址认证用户老化功能的开启状态
Server-recoveryonline-user-sync
RADIUS服务器从不可达状态恢复为可达时,设备同步MAC地址认证的在线用户信息到RADIUS服务器功能的开启状态:
GuestVSI
端口配置的GuestVSI,如果未配置此功能,则显示Notconfigured
GuestVSIreauthentication
GuestVSI中用户重新认证功能的开启状态
GuestVSIauth-period
CriticalVSI
端口配置的CriticalVSI,如果未配置此功能,则显示Notconfigured
CriticalmicrosegmentID
端口配置的Critical微分段ID,如果未配置此功能,则显示Notconfigured
Criticalprofile
(暂不支持)认证服务器不可达时,MAC地址认证用户使用的逃生策略模板,如果未配置此功能,则显示Notconfigured
URLuserlogoff
·Yes:是
·No:否
Auto-tagfeature
VLANtagconfigurationignoring
Maxonlineusers
本端口最多可容纳的接入用户数
Maxonlinepreauth-domainusers
本端口最多可容纳的前域用户数
MaxonlineAuth-Fail-domainusers
本端口最多可容纳的失败域用户数
Auth-server-unavailableescape
RADIUS服务器不可达时,MAC地址认证在线用户逃生功能的开启状态:
Authenticationattempts:successful1,failed0
端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数
接入用户的MAC地址
Authstate
接入用户的状态
·Authenticated:认证成功
·Unauthenticated:尚未认证成功
displaymac-authenticationaccess-profile命令用来显示MAC地址认证接入模板的配置信息。
displaymac-authenticationaccess-profile[nameprofile-name]
nameprofile-name:指定MAC地址认证接入模板。profile-name为MAC地址认证接入模板名称,为1~31个字符的字符串,不区分大小写。如果不指定本参数,则显示所有MAC地址认证接入模板的简要配置。
完成MAC地址认证接入模板的配置后,可以使用本命令查看MAC地址认证接入模板的配置信息是否正确。
#显示所有MAC地址认证接入模板的配置信息。
Totalnumber:2
ProfilenamePacketdetection
aaaDisabled
bbbDisabled
#显示MAC地址认证接入模板profile1的配置信息。
Packetdetectionretrytimes:2
Totalauth-profilesboundtotheaccessprofile:3
Authprofile1
Authprofile2
Authprofile3
表1-2displaymac-authenticationaccess-profile命令显示信息描述表
Profilename
MAC地址认证接入模板名称
·MAC地址认证报文探测功能的开启状态
·Enabled:打开
·Disabled:关闭
Packetdetectionretrytimes
·MAC地址认证报文探测的最大次数
·端口配置的GuestVLAN,如果未配置此功能,则显示Notconfigured
认证服务器不可达时,MAC地址认证用户使用的逃生策略模板,如果未配置此功能,则显示Notconfigured
Totalauth-profilesboundtotheaccessprofile
绑定该MAC地址认证接入模板的端口安全认证模板总数
displaymac-authenticationconnection命令用来显示MAC地址认证在线用户的详细信息。
displaymac-authenticationconnection[open][[m-lag[local|peer]][interfaceinterface-typeinterface-number|online-type{auth-fail-domain|critical-domain|preauth-domain|success|url-unavailable-domain}|slotslot-number|user-nameuser-name]|user-macmac-address]
open:只显示在开放认证模式下使用不存在的用户名或者错误的密码接入的MAC地址认证的用户信息。若不指定本参数,则显示设备上所有MAC地址认证在线用户的信息。
m-lag[local|peer]:显示M-LAG组网中,M-LAG接口上MAC地址认证在线用户的信息。如果不指定该参数,则显示设备上所有MAC地址认证在线用户的信息。
·local:显示本端M-LAG设备上MAC地址认证在线用户的信息。
·peer:显示对端M-LAG设备上MAC地址认证在线用户的信息。
如果不指定local和peer参数,则显示本地M-LAG设备和对端M-LAG设备上所有MAC地址认证在线用户的信息。
interfaceinterface-typeinterface-number:显示指定端口的MAC地址认证用户信息。其中interface-typeinterface-number表示绑定的端口类型和端口编号。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
online-type:显示指定类型的MAC地址认证在线用户信息。
·auth-fail-domain:显示认证失败域内的MAC地址认证用户信息。
·critical-domain:显示逃生域内的MAC地址认证用户信息。
·preauth-domain:显示认证前域内的MAC地址认证用户信息。
·success:显示认证成功的MAC地址认证用户信息。
·url-unavailable-domain:显示URL不可达逃生域内的MAC地址认证用户信息。
slotslot-number:显示指定成员设备上的MAC地址认证用户信息。slot-number表示设备在IRF中的成员编号。若不指定本参数,则显示所有成员设备上的MAC地址认证用户信息。
user-macmac-address:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
user-nameuser-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
#显示所有MAC地址认证在线用户信息。
Totalconnections:1
SlotID:0
UserMACaddress:0015-e9a6-7cfe
Accessinterface:Ten-GigabitEthernet1/0/1
Username:ias
Useraccessstate:Successful
Authenticationdomain:macusers
IPv4address:192.168.1.1
IPv6address:2000:0:0:0:1:2345:6789:abcd
IPv4addresssource:Userpacket
IPv6addresssource:Userpacket
InitialVLAN:1
AuthorizationuntaggedVLAN:100
AuthorizationtaggedVLAN:N/A
AuthorizationVSI:N/A
AuthorizationmicrosegmentID:N/A
AuthorizationACLnumber/name:3001
AuthorizationdynamicACLname:N/A
Authorizationuserprofile:N/A
AuthorizationCAR:N/A
AuthorizationURL:N/A
AuthorizationIPv6URL:N/A
Authorizationtemporaryredirect:Disabled
Startaccounting:Successful
Real-timeaccounting-updatefailures:0
Terminationaction:RADIUS-request
Sessiontimeoutperiod:2sec
Offlinedetection:100sec(server-assigned)
Topologychangedetection:
Maxattempts:5
Remainingattempts:3
Onlinefrom:2013/03/0213:14:15
Onlineduration:0h2m15s
Port-downkeeponline:Enabled
UserMACaddress:0015-e9a6-abcd
M-LAGNAS-IPtype:Local
M-LAGuserstate:Active
Accessinterface:Bridge-Aggregation1
Username:luser
AuthorizationCAR:
Averageinputrate:102400bps
Peakinputrate:204800bps
Averageoutputrate:102400bps
Peakoutputrate:204800bps
Onlinefrom:2020/12/0213:14:15
Onlineduration:0h7m15s
表1-3displaymac-authenticationconnection命令显示信息描述表
Totalconnections
在线MAC地址认证用户个数
UserMACaddress
用户的MAC地址
M-LAGNAS-IPtype
M-LAG组网中,M-LAG接口上的用户认证时采用的NAS-IP地址类型
·Local:本地NAS-IP地址,即使用本端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址
·Peer:对端NAS-IP地址,使用对端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址
M-LAGuserstate
M-LAG组网中,M-LAG接口上的用户状态
·Active:激活状态,此时由本端M-LAG设备与AAA服务器交互用户认证信息
·Inactive:未激活状态,此时由对端M-LAG设备与AAA服务器交互用户认证信息
Accessinterface
用户的接入接口名称
Useraccessstate
用户的接入状态
·Auth-Faildomain:接入用户处于认证失败域中
·Criticaldomain:接入用户处于认证逃生域中
·Preauthdomain:接入用户处于认证前域中
·Successful:MAC地址认证成功并接入
·URL-unavailabledomain:接入用户处于URL不可达逃生域中
·Open:使用不存在的用户名或者错误的密码进行开放认证并接入
·Temporary:通过端口安全模式macAddressAndUserLoginSecureExt方式认证的临时MAC地址认证用户
认证时所用的ISP域的名称
IPv4address
用户IPv4地址
若未获取到用户的IP地址,则不显示该字段
IPv6address
用户IPv6地址
IPv4addresssource
·Userpacket:从用户报文中获取
·IPSourceGuard:IPSourceGuard模块通知
IPv6addresssource
InitialVLAN
初始的VLAN
AuthorizationuntaggedVLAN
AuthorizationtaggedVLAN
AuthorizationVSI
AuthorizationmicrosegmentID
AuthorizationACLnumber/name
AuthorizationdynamicACLname
Authorizationuserprofile
AuthorizationCAR
·Averageinputrate:上行平均速率,单位为bps
·Peakinputrate:上行峰值速率,单位为bps
·Averageoutputrate:下行平均速率,单位为bps
·Peakoutputrate:下行峰值速率,单位为bps
AuthorizationURL
AuthorizationIPv6URL
Authorizationtemporaryredirect
Startaccounting
表示开始计费请求的结果
·Successful:开始计费成功
·Failed:开始计费失败
前域用户不支持计费,本字段显示为N/A
Real-timeaccounting-updatefailures
表示实时计费更新连续失败的次数
Terminationaction
服务器下发的终止动作类型:
用户采用本地认证时,该字段显示为Default
Sessiontimeoutperiod
用户进行下线检测的属性:
·Ignore(command-configured):命令行配置该用户不进行下线检测
报文探测功能信息
Topologychangedetection
网络拓扑改变时的ARP/NS报文探测功能信息
Maxattempts
报文探测最大次数
Remainingattempts
报文探测剩余次数,每发一次探测报文次数减一
SourceIPv4address
配置的计算ARP探测报文源IP所需的地址,如果未配置,则显示为0.0.0.0
SourceIPv4mask
配置的计算ARP探测报文源IP所需的掩码,如果未配置,则显示为0.0.0.0
Onlinefrom
Onlineduration
MAC认证用户的在线时长
Port-downkeeponline
端口状态变为Down后,用户继续保持在线功能:
displaymac-authenticationmac-address命令用来显示非认证成功微分段、VLAN或VSI中的MAC地址认证用户的MAC地址信息。
displaymac-authenticationmac-address{critical-microsegment|critical-vlan|critical-vsi|guest-vlan|guest-vsi}[interfaceinterface-typeinterface-number]
critical-microsegment:显示MAC地址认证Critical微分段中的用户MAC地址信息。
critical-vlan:显示MAC地址认证CriticalVLAN中的用户MAC地址信息。
critical-vsi:显示MAC地址认证CriticalVSI中的用户MAC地址信息。
guest-vlan:显示MAC地址认证GuestVLAN中的用户MAC地址信息。
guest-vsi:显示MAC地址认证GuestVSI中的用户MAC地址信息。
interfaceinterface-typeinterface-number:显示微分段、VLAN或VSI中指定端口的MAC地址认证用户的MAC地址信息。其中interface-typeinterface-number表示端口类型和端口编号。若不指定本参数,则显示指定类型的微分段、VLAN或VSI中所有端口的MAC地址认证用户的MAC地址信息。
查询到的MAC地址数量以及MAC地址明细为粗略统计,当有大量用户频繁进行认证时可能不能完全精准显示。
#显示所有MAC地址认证Critical微分段中的用户MAC地址信息。
TotalMACaddresses:10
Interface:Ten-GigabitEthernet1/0/1Criticalmicrosegment:1Agingtime:N/A
MACaddresses:8
0800-2700-94270800-2700-23410800-2700-23240800-2700-2351
0800-2700-56270800-2700-22510800-2700-86240800-2700-3f51
Interface:Ten-GigabitEthernet1/0/2Criticalmicrosegment:1Agingtime:30sec
MACaddresses:2
0801-2700-94270801-2700-2341
#显示所有MAC地址认证GuestVLAN中的用户的MAC地址信息。
Interface:Ten-GigabitEthernet1/0/1GuestVLAN:3Agingtime:N/A
Interface:Ten-GigabitEthernet1/0/2GuestVLAN:5Agingtime:30sec
#显示所有MAC地址认证GuestVSI中的用户的MAC地址信息。
Interface:Ten-GigabitEthernet1/0/3GuestVSI:text-vsiAgingtime:N/A
Interface:Ten-GigabitEthernet1/0/4GuestVSI:text1-vsiAgingtime:30sec
表1-4displaymac-authenticationmac-address命令显示信息描述表
TotalMACaddresses
指定类型的微分段、VLAN或VSI中的所有MAC地址总数
Interface
用户的接口名称
Typemicrosegment/VLAN/VSI
显示MAC地址认证用户所在的位置信息,包含如下取值:
·Criticalmicrosegment
·CriticalVLAN
·CriticalVSI
·GuestVLAN
·GuestVSI
Agingtime
MACaddresses
MAC地址数
xxxx-xxxx-xxxx
MAC地址
·mac-authenticationcriticalvlan
·mac-authenticationcriticalvsi
·mac-authenticationguest-vlan
·mac-authenticationguest-vsi
displaymac-authenticationuser-recovery-profile命令用来显示MAC地址认证user-recoveryProfile的配置信息。
displaymac-authenticationuser-recovery-profile[profile-name]
profile-name:user-recoveryProfile名称,为1~31个字符的字符串,不区分大小写。如果不指定该参数,则表示显示所有user-recoveryProfile。
#显示所有MAC地址认证user-recoveryProfile的配置信息。
User-recoveryprofile:profile1
ServerIP:3.3.3.3
Port:8080
VPN:Notconfigured
Loginname:user1
NASIPaddress:10.1.1.1
URI:dumbtermina/list
User-recoveryprofile:profile2
ServerIP:1.1.1.2
Port:80
NASIPaddress:1:2::3:4
表1-5displaymac-authenticationuser-recovery-profile命令显示信息描述表
User-recoveryprofile
user-recoveryProfile名称
ServerIP
RESTful服务器的IP地址
Port
RESTful服务器的端口号
VPN
RESTful服务器所属的VPN实例
Loginname
NASIPaddress
设备和RESTful服务器交互时使用的NAS-IP地址
URI
RESTful服务器提供用户资源服务的URI
·mac-authenticationuser-recovery-profile
·server-address
·login-user
·nas-ip
·uri
undologin-name命令用来恢复缺省情况。
login-nameusername[password{cipher|simple}string]
undologin-name
【缺省情况】
user-recoveryProfile视图
username:表示用户名,为1~55字符的字符串,区分大小写。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
设备与RESTful服务器建立连接时,服务器首先需要验证连接请求发起方的合法性。本命令配置的用户名和密码,即为设备向RESTful服务器提供的身份信息。RESTful服务器验证该用户名和密码成功后,才允许连接请求发起方与之建立连接,以及获取相应的服务器资源。
本命令指定的用户名和密码,必须在RESTful服务器上已经存在。
[Sysname]mac-authenticationuser-recove-profileprofile1
[Sysname-user-recovery-profile-profile1]login-nameabcpasswordsimple123
·displaymac-authenticationuser-recovery-profile
mac-authentication命令用来开启端口上或全局的MAC地址认证。
undomac-authentication命令用来关闭端口上或全局的MAC地址认证。
mac-authentication
undomac-authentication
所有端口及全局的MAC地址认证都处于关闭状态。
系统视图
二层以太网接口视图
二层聚合接口视图
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
#开启全局的MAC地址认证。
[Sysname]mac-authentication
#开启端口Ten-GigabitEthernet1/0/1上的MAC地址认证。
[Sysname]interfaceten-gigabitethernet1/0/1
[Sysname-Ten-GigabitEthernet1/0/1]mac-authentication
·displaymac-authentication
mac-authenticationaccess-profile命令用来配置端口安全认证模板绑定MAC地址认证接入模板。
undomac-authenticationaccess-profile命令用来恢复缺省情况。
mac-authenticationaccess-profileprofile-name
undomac-authenticationaccess-profileprofile-name
端口安全认证模板未绑定MAC地址认证接入模板。
端口安全认证模板视图
profile-name:创建的MAC地址认证接入模板名称,为1~31个字符的字符串,不区分大小写。
端口安全认证模板绑定MAC地址认证接入模板后,绑定该端口安全认证模板的接口将使用接入模板下的配置对接入用户进行认证:
·对于接口视图和MAC地址认证接入模板视图下均支持配置的功能(命令行形式可能存在差异),无论当前MAC地址认证接入模板下是否已配置,接口下的此类功能配置都会被立即删除。如需使用上述功能,请在接口绑定的MAC地址认证接入模板视图下配置。
·对于接口视图下支持但接入模板视图下不支持的配置,在接口下配置后仍会正常生效。
必须先在系统视图下通过mac-authenticationaccess-profilename命令创建MAC地址认证接入模板后,端口安全认证模板才能成功绑定该MAC地址认证接入模板。
一个802.1X接入模板可以被不同端口安全认证模板绑定,但一个端口安全认证模板只能绑定一个MAC地址认证接入模板,如需绑定其它MAC地址认证接入模板,请先解除原有绑定。
#配置端口安全认证模板aaa下绑定MAC地址认证接入模板bbb。
[Sysname]port-securityauthentication-profilenameaaa
[Sysname-portsec-auth-profile-aaa]mac-authenticationaccess-profilebbb
·displaymac-authenticationaccess-profile
mac-authenticationaccess-profilename命令用来创建MAC地址认证接入模板并进入接入模板视图。如果接入模板已创建,则直接进入接入模板视图。
undomac-authenticationaccess-profilename命令用来恢复缺省情况。
mac-authenticationaccess-profilenameprofile-name
undomac-authenticationaccess-profilenameprofile-name
未创建MAC地址认证接入模板。
profile-name:MAC地址认证接入模板名称,为1~31个字符的字符串,不区分大小写。
当端口安全认证模板绑定的MAC地址认证接入模板已经生效,删除该接入模板会导致在线用户异常掉线。
#创建名称为ccc的MAC地址认证接入模板,并进入该接入模板视图。
[Sysname]mac-authenticationaccess-profilenameccc
[Sysname-macauth-acc-prof-ccc]
mac-authenticationaccess-userlogenable命令用来开启MAC地址认证接入用户日志信息功能。
undomac-authenticationaccess-userlogenable命令用来关闭MAC地址认证接入用户日志信息功能。
mac-authenticationaccess-userlogenable[failed-login|logoff|successful-login]*
undomac-authenticationaccess-userlogenable[failed-login|logoff|successful-login]*
MAC地址认证接入用户日志信息功能处于关闭状态。
failed-login:MAC地址认证用户上线失败的日志信息。
logoff:MAC地址认证用户下线的日志信息。
successful-login:MAC地址认证用户上线成功的日志信息。
为了防止设备输出过多的MAC地址认证接入用户日志信息,一般情况下建议关闭此功能。
配置本命令时,如果未指定任何参数,将同时开启或关闭本命令所有参数对应的日志功能。
#开启MAC地址认证接入用户上线失败的日志信息。
[Sysname]mac-authenticationaccess-userlogenablefailed-login
·info-centersourcemacalogfiledeny(网络管理和监控命令参考/信息中心)
mac-authenticationauthentication-method命令用来配置MAC地址认证采用的认证方法。
undomac-authenticationauthentication-method命令用来恢复缺省情况。
mac-authenticationauthentication-method{chap|pap}
undomac-authenticationauthentication-method
设备采用PAP认证方法进行MAC地址认证。
chap:采用CHAP类型的认证方法。
pap:采用PAP类型的认证方法。
通过该命令可以配置设备进行MAC地址认证时,与RADIUS服务器之间采用的认证方法。PAP和CHAP认证方法的详细介绍如下:
·PAP(PasswordAuthenticationProtocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。
·CHAP(ChallengeHandshakeAuthenticationProtocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。
#配置设备采用CHAP认证方法进行MAC地址认证。
[Sysname]mac-authenticationauthentication-methodchap
mac-authenticationauth-server-unavailableescape命令用来开启RADIUS认证服务器不可达时,MAC地址认证在线用户逃生功能。
undomac-authenticationauth-server-unavailableescape命令用来关闭RADIUS认证服务器不可达时,MAC地址认证在线用户逃生功能。
mac-authenticationauth-server-unavailableescape
undomac-authenticationauth-server-unavailableescape
RADIUS认证服务器不可达时,MAC地址认证在线用户逃生功能处于关闭状态。
缺省情况下,当ISP域下所有RADIUS认证服务器均不可达时,如果此时设备上同时开启了MAC地址认证下线检测功能,若设备在一个下线检测定时器间隔内未收到接口下某MAC地址认证在线用户的报文,则将切断与该用户的连接,导致该MAC地址认证在线用户下线。
当RADIUS认证服务器可达时,用户需要使用MAC地址认证下线检测功能,同时又希望RADIUS认证服务器均不可达时,能够保持MAC地址认证用户的在线状态,可在设备上开启本功能。
配置本功能后,当RADIUS认证服务器不可达时,设备会自动关闭接口上的MAC认证用户的在线检测功能,使得MAC用户保持在线状态。
本命令只适用于将RADIUS作为认证方法且不配置local/none作为备选认证方法的应用场景,否则可能导致用户通过备选认证方法上线后下线检测功能被自动关闭。
#在端口Ten-GigabitEthernet1/0/1上配置RADIUS认证服务器不可达时,MAC地址认证在线用户逃生功能。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationauth-server-unavailableescape
·mac-authenticationoffline-detectenable
mac-authenticationauto-recover-user命令用来开启MAC地址认证自动恢复用户功能。
undomac-authenticationauto-recover-user命令用来关闭MAC地址认证自动恢复用户功能。
mac-authenticationauto-recover-userprofileprofile-name
undomac-authenticationauto-recover-userprofileprofile-name
MAC地址认证的自动恢复用户功能处于关闭状态。
profileprofile-name:user-recoveryProfile名称,为1~31个字符的字符串,不区分大小写。
本功能的典型应用场景是,有大量哑终端(例如打印机)通过MAC地址认证接入网络。当设备或接口板重启、接口故障时,哑终端用户下线后只能等待下次业务报文触发MAC地址认证,而这种在线状态恢复的不及时性将会影响该类终端后续的正常工作。
系统最多支持为16个user-recoveryProfile开启恢复用户功能。通常,不同的Profile对应不同的RESTful服务器以及服务器上的用户信息。
多台设备组成IRF环境下,开启本功能后,请执行save命令,并将配置文件设置为下次启动配置文件保证本功能在主设备下次重启后生效。关于save命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。
RADIUS的accounting-on功能与MAC地址认证恢复用户功能互斥,不建议同时开启。关于accounting-on功能详细介绍,请参见“安全配置指导”中的“AAA”。
#开启MAC地址认证的自动恢复用户功能,并指定user-recoveryProfile为profile1。
[Sysname]mac-authenticationauto-recover-userprofileprofile1
·accounting-onenable(安全命令参考/AAA)
mac-authenticationcarryuser-ip命令用来配置MAC地址认证请求中携带用户IP地址。
undomac-authenticationcarryuser-ip命令用来恢复缺省情况。
mac-authenticationcarryuser-ip[exclude-ipaclacl-number][exclude-dhcpv4][exclude-dhcpv6]
undomac-authenticationcarryuser-ip
MAC地址认证请求中不携带用户IP地址。
exclude-ip:指定不合法的IP地址范围,不对携带不合法IP地址的用户进行MAC地址认证。
aclacl-number:指定过滤源IP地址的ACL,该ACL中需要包含deny规则。其中acl-number表示ACL的编号,仅支持基本ACL和用户自定义ACL,取值范围为2000~2999、5000~5999。
exclude-dhcpv4:不能通过DHCPv4报文触发MAC地址认证。
exclude-dhcpv6:不能通过DHCPv6报文触发MAC地址认证。
在终端用户采用静态IP地址方式接入的组网环境中,如果终端用户擅自修改自己的IP地址,则整个网络环境中可能会出现IP地址冲突等问题。
为了解决以上问题,管理员可以在端口上开启MAC地址认证请求中携带用户IP地址的功能,用户在进行MAC地址认证时,设备会把用户的IP地址上传到iMC服务器。然后iMC服务器会把认证用户的IP地址和MAC地址与服务器上已经存在的IP与MAC的绑定表项进行匹配,如果匹配成功,则该用户MAC地址认证成功;否则,MAC地址认证失败。
终端用户采用静态IP地址接入时,实际组网应用中会出现用户报文中携带的IP地址并非用户实际IP地址的情况,例如在IPv4静态地址组网中,用户报文携带的IP地址为以fe80开头的IPv6链路本地地址。配置mac-authenticationcarryuser-ip命令后,设备会携带非用户实际的IP地址向服务器发起MAC地址认证请求,此种情况会导致服务器为用户绑定错误的IP地址或IP地址与MAC地址匹配失败。为避免上述情况发生,可以指定exclude-ipacl参数,不允许ACL中指定网段的用户进行MAC地址认证。
指定exclude-ipacl参数后,引用的ACL规则无法过滤掉DHCP报文。如果DHCP报文携带的IP地址不合法,且DHCP报文触发了MAC地址认证,则将导致该用户认证失败。因此,可以指定exclude-dhcpv4或exclude-dhcpv6参数,不允许用户通过DHCP报文来触发MAC地址认证。
配置mac-authenticationcarryuser-ip命令后,当有用户接入时,设备会检查用户报文中的IP地址是否合法,并进行相应处理:
·当用户的IP地址合法时,设备携带用户IP地址向服务器发起MAC地址认证请求;
·当用户报文未携带IP地址或用户的IP地址不合法时,设备不对用户进行MAC地址认证。
·收到源IP为全0的DHCP报文时,设备会向服务器发起MAC地址认证请求,但认证报文中不携带IP地址。认证是否通过取决于认证服务器侧的配置。
iMC服务器上IP与MAC地址信息绑定表项的生成方式如下:
·如果在iMC服务器上创建用户时手工指定了用户的IP地址和MAC地址信息,则服务器使用手工指定的IP和MAC信息生成该用户的IP与MAC地址的绑定表项。
·如果在iMC服务器上创建用户时未手工指定用户的IP地址和MAC地址信息,则服务器使用用户初次进行MAC地址认证时使用的IP地址和MAC地址生成该用户的IP与MAC地址的绑定表项。
配置exclude-ipacl时,仅根据规则中配置的源IP地址进行过滤。建议ACL中配置deny规则来拒绝指定网段的用户进行MAC地址认证。如果ACL中仅配置了permit规则,则表示允许指定网段的用户进行MAC地址认证,这样的配置并没有实际意义。如果希望只允许某个网段用户进行MAC地址认证,可在ACL中同时配置一条指定网段的permit规则以及一条denyall规则来实现。
通过exclude-ipacl指定ACL后,设备对于IPv4报文按照对应编号的IPv4ACL规则进行处理;对于IPv6报文则按照对应编号的IPv6ACL规则进行处理。例如,当配置了mac-authenicationcarryuser-ipexclude-ipacl2000时,如果用户报文为IPv4报文,则按照IPv4ACL2000的规则进行处理;如果用户报文为IPv6报文,则按照IPv6ACL2000的规则进行处理。
若通过exclude-ipacl指定的ACL为用户自定义ACL(ACL编号为5000~5999),设备仅支持匹配ipv4、ipv6或any类型的ACL规则,不支持匹配其他类型的规则,且为自定义ACL配置的规则必须只包含源IP地址。
引用ACL时,需要注意的是:
·若引用的ACL不存在或者引用的ACL中没有配置匹配规则,则认为所有网段用户都符合要求,所有用户都可以进行MAC地址认证。
·若引用的ACL匹配规则中不存在源地址信息,则认为所有网段用户都不符合要求,不允许任何用户进行MAC地址认证。
·在引用的ACL中,若某规则指定了vpn-instance参数,则该规则将不生效。
在开启了MAC地址认证的端口上,不建议将本命令与mac-authenticationguest-vlan或mac-authenticationguest-vsi命令同时配置;否则,加入GuestVLAN或GuestVSI的用户无法再次发起MAC地址认证,用户会一直停留在GuestVLAN或GuestVSI中。
#在端口Ten-GigabitEthernet1/0/1上配置MAC地址认证请求携带用户IP地址功能。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationcarryuser-ip
#在端口Ten-GigabitEthernet1/0/1上配置MAC地址认证请求携带用户IP地址功能,并禁止携带IPv6链路本地地址的报文在此端口触发认证。
[Sysname]aclipv6basic2000
[Sysname-acl-ipv6-basic-2000]ruledenysourcefe80:0::0:016
[Sysname-acl-ipv6-basic-2000]quit
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationcarryuser-ipexclude-ipacl2000
·mac-authentication
mac-authenticationcriticalmicrosegment命令用来在端口上配置MAC地址认证的Critical微分段。
undomac-authenticationcriticalmicrosegment命令用来恢复缺省情况。
mac-authenticationcriticalmicrosegmentmicrosegment-id[vsivsi-name][url-user-logoff]
undomac-authenticationcriticalmicrosegment
端口上未配置MAC地址认证的Critical微分段。
MAC地址认证接入模板视图
microsegment-id:微分段ID,取值范围为1~65535。
vsivsi-name:VSI名称,为1~31个字符的字符串,区分大小写。此参数仅在VXLAN组网环境下使用,但是是否需要配置要根据具体组网情况而定。
通过本命令配置MAC地址认证的Critical微分段ID时,不同的端口可以指定不同的Critical微分段ID,也可以指定相同的Critical微分段ID;一个端口最多只能指定一个微分段ID,并最多指定一个CriticalVSI。
端口下配置的Critical微分段与MAC地址认证的GuestVLAN、CriticalVLAN、GuestVSI、CriticalVSI及Criticalprofile均互斥。
多次执行本命令,最后一次执行的配置生效。
对于接口上从某个VSI上接入的MAC地址认证用户,本命令指定的VSI不会生效。
·设备探测到下发给用户的重定向URL不可达,探测配置通过mac-authenticationredirect-url命令指定。
·配置了mac-authenticationauth-server-unavailableescape命令,且设备检测到RADIUS认证服务器不可达。
·接口上添加了第一个Critical微分段用户。
#在端口Ten-GigabitEthernet1/0/1上配置MAC地址认证的Critical微分段ID为1,并指定VSI名称为vpna。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationcriticalmicrosegment1vsivpna
·mac-authenticationguestvlan
mac-authenticationcriticalprofile命令用来指定MAC地址认证用户使用的逃生策略模板。
undomac-authenticationcriticalprofile命令用来恢复缺省情况。
mac-authenticationcriticalprofileprofile-name
undomac-authenticationcriticalprofile
未指定MAC地址认证用户使用的逃生策略模板。
profile-name:指定逃生模板的模板名称,为1~31个字符的字符串,不区分大小写。
端口上配置MAC地址认证用户使用的逃生策略模板与配置MAC地址认证的CriticalVLAN、CriticalVSI互斥。
#指定端口Ten-GigabitEthernet1/0/1上的MAC地址认证用户使用的逃生策略模板为abc。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationcriticalprofileabc
·aaacritical-profile
·mac-authenticationcriticalmicrosegment
mac-authenticationcriticalvlan命令用来配置端口的MAC地址认证的CriticalVLAN。
undomac-authenticationcriticalvlan命令用来恢复缺省情况。
mac-authenticationcriticalvlancritical-vlan-id[url-user-logoff]
undomac-authenticationcriticalvlan
端口上未配置MAC地址认证的CriticalVLAN。
critical-vlan-id:端口上指定的CriticalVLANID,取值范围为1~4094。该VLAN必须已经创建。
如果某个VLAN被指定为SuperVLAN,则该VLAN不能被指定为某个端口的MAC地址认证的CriticalVLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的CriticalVLAN,则该VLAN不能被指定为SuperVLAN。
端口下配置MAC地址认证的CriticalVLAN与配置MAC地址认证的GuestVSI、CriticalVSI、Critical微分段及Criticalprofile互斥。禁止删除已被配置为CriticalVLAN的VLAN,若要删除该VLAN,请先通过undomac-authenticationcriticalvlan命令取消MAC地址认证的CriticalVLAN配置。
·接口上添加了第一个CriticalVLAN用户。
#配置端口Ten-GigabitEthernet1/0/1的CriticalVLAN为VLAN100。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationcriticalvlan100
·resetmac-authenticationcriticalvlan
mac-authenticationcriticalvsi命令用来在端口上配置MAC地址认证的CriticalVSI。
undomac-authenticationcriticalvsi命令用来恢复缺省情况。
mac-authenticationcriticalvsicritical-vsi-name[url-user-logoff]
undomac-authenticationcriticalvsi
端口上未配置MAC地址认证的CriticalVSI。
critical-vsi-name:端口上指定的CriticalVSI名称,为1~31个字符的字符串,区分大小写。
配置此功能后,当用户进行MAC认证时,若对应的ISP域下所有认证服务器都不可达,则用户会被加入CriticalVSI对应的VXLAN中。
不同的端口可以指定不同的MAC地址认证CriticalVSI,一个端口最多只能指定一个MAC地址认证CriticalVSI。
端口下配置MAC地址认证的CriticalVSI与配置MAC地址认证的GuestVLAN、CriticalVLAN、Critical微分段及Criticalprofile互斥。
·接口上添加了第一个CriticalVSI用户。
#配置端口Ten-GigabitEthernet1/0/1上MAC地址认证的CriticalVSI名称为vpna。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationcriticalvsivpna
·resetmac-authenticationcriticalvsi
mac-authenticationcritical-voice-vlan命令用来开启端口上MAC地址认证的CriticalVoiceVLAN功能。
undomac-authenticationcritical-voice-vlan命令用来关闭端口上MAC地址认证的CriticalVoiceVLAN功能。
mac-authenticationcritical-voice-vlan
undomac-authenticationcritical-voice-vlan
端口下MAC地址认证的CriticalVoiceVLAN功能处于关闭状态。
端口上开启MAC地址认证CriticalVoiceVLAN功能后,当语音用户进行MAC地址认证采用的ISP域中的所有认证服务器都不可达时,端口将被加入到此端口上的VoiceVLAN中。端口上语音VLAN的配置命令请参见“二层技术-以太网交换命令参考”中的“VLAN”。
设备通过LLDP(LinkLayerDiscoveryProtocol,链路层发现协议)来判断用户是否为语音用户,因此为保证MAC地址认证CriticalVoiceVLAN功能可以正常工作,请在开启此功能之前务必确保全局和相应端口下均已开启LLDP功能。有关LLDP功能的配置命令介绍请参见“二层技术-以太网交换命令参考”中的“LLDP”。
开启MAC地址认证CriticalVoiceVLAN功能前,请保证该端口上已经配置了MAC地址认证CriticalVLAN。若端口上的语音用户在认证时所有认证服务器都不可达,且端口暂未将其识别为语音用户,则可以将其先加入CriticalVLAN。
#开启端口Ten-GigabitEthernet1/0/1上MAC地址认证CriticalVoiceVLAN功能。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationcritical-voice-vlan
·lldpenable(二层技术-以太网交换命令参考/LLDP)
·lldpglobalenable(二层技术-以太网交换命令参考/LLDP)
·resetmac-authenticationcritical-voice-vlan
·voice-vlanenable(二层技术-以太网交换命令参考/VLAN)
mac-authenticationdomain命令用来指定MAC地址认证用户使用的认证域。
undomac-authenticationdomain命令用来恢复缺省情况。
mac-authenticationdomaindomain-name
undomac-authenticationdomain
未指定MAC地址认证用户使用的认证域时,使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domaindefaultenable。
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
不同视图下指定的认证域的生效范围不同:
·系统视图下指定的认证域对所有开启了MAC地址认证的端口生效。
·二层以太网接口视图或二层聚合接口视图下指定的认证域仅对本端口有效。不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域>系统视图下指定的认证域>系统缺省的认证域。
#在系统视图下指定MAC地址认证用户使用的认证域为domain1。
[Sysname]mac-authenticationdomaindomain1
#指定端口Ten-GigabitEthernet1/0/1上接入的MAC地址认证用户使用的认证域为aabbcc。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationdomainaabbcc
·domaindefaultenable(安全命令参考/AAA)
mac-authenticationguest-vlan命令用来配置端口的MAC地址认证的GuestVLAN。
undomac-authenticationguest-vlan命令用来恢复缺省情况。
mac-authenticationguest-vlanguest-vlan-id
undomac-authenticationguest-vlan
端口上未配置MAC地址认证的GuestVLAN。
guest-vlan-id:端口上指定的GuestVLANID,取值范围为1~4094。该VLAN必须已经创建。
如果某个VLAN被指定为SuperVLAN,则该VLAN不能被指定为某个端口的MAC地址认证的GuestVLAN;同样,如果某个VLAN被指定为某个端口的MAC地址认证的GuestVLAN,则该VLAN不能被指定为SuperVLAN。
端口下配置MAC地址认证的GuestVLAN与配置MAC地址认证的GuestVSI、CriticalVSI、Critical微分段互斥。
禁止删除已被配置为GuestVLAN的VLAN,若要删除该VLAN,请先通过undomac-authenticationguest-vlan命令取消MAC地址认证的GuestVLAN配置。
#配置端口Ten-GigabitEthernet1/0/1的GuestVLAN为VLAN100。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationguest-vlan100
·resetmac-authenticationguest-vlan
undomac-authenticationguest-vlanauth-period命令用来恢复缺省情况。
mac-authenticationguest-vlanauth-periodperiod-value
undomac-authenticationguest-vlanauth-period
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationguest-vlanauth-period150
·mac-authenticationguest-vlanre-authenticate
mac-authenticationguest-vlanre-authenticate命令用来开启GuestVLAN中用户的重新认证功能。
undomac-authenticationguest-vlanre-authenticate命令用来关闭GuestVLAN中用户的重新认证功能。
mac-authenticationguest-vlanre-authenticate
undomac-authenticationguest-vlanre-authenticate
GuestVLAN中用户的重新认证功能处于开启状态。
#开启接口Ten-GigabitEthernet1/0/1上GuestVLAN内用户的重新认证功能。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationguest-vlanre-authenticate
·mac-authenticationguest-vlanauth-period
·mac-authenticationtimer
mac-authenticationguest-vsi命令用来配置端口的MAC地址认证的GuestVSI。
undomac-authenticationguest-vsi命令用来恢复缺省情况。
mac-authenticationguest-vsiguest-vsi-name
undomac-authenticationguest-vsi
端口上未配置MAC地址认证的GuestVSI。
guest-vsi-name:端口上指定的GuestVSI名称,为1~31个字符的字符串,区分大小写。
配置此功能后,端口上MAC地址认证失败的用户会被加入到MAC地址认证的GuestVSI对应的VXLAN。
不同的端口可以配置不同的MAC认证的GuestVSI,但一个端口最多只能配置一个MAC认证的GuestVSI。
端口下配置MAC地址认证的GuestVSI与配置MAC地址认证的GuestVLAN、CriticalVLAN、Critical微分段互斥。
GuestVSI名称的取值不能与关键字auth-period和re-authenticate从起始字母开始重叠(例如不能为a、auth、r或re等),否则无法配置成功,反而会触发mac-authenticationguest-vsiauth-period和mac-authenticationguest-vsire-authenticate配置。
#配置端口Ten-GigabitEthernet1/0/1的GuestVSI名称为vpna。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationguest-vsivpna
·resetmac-authenticationguest-vsi
undomac-authenticationguest-vsiauth-period命令用来恢复缺省情况。
mac-authenticationguest-vsiauth-periodperiod-value
undomac-authenticationguest-vsiauth-period
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationguest-vsiauth-period150
·mac-authenticationguest-vsire-authenticate
mac-authenticationguest-vsire-authenticate命令用来开启GuestVSI中用户的重新认证功能。
undomac-authenticationguest-vsire-authenticate命令用来关闭GuestVSI中用户的重新认证功能。
mac-authenticationguest-vsire-authenticate
undomac-authenticationguest-vsire-authenticate
GuestVSI中用户的重新认证功能处于开启状态。
#开启接口Ten-GigabitEthernet1/0/1上GuestVSI内用户的重新认证功能。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationguest-vsire-authenticate
·mac-authenticationguest-vsiauth-period
mac-authenticationhost-modemulti-vlan命令用来指定端口工作在MAC地址认证的多VLAN模式。
undomac-authenticationhost-mode命令用来恢复缺省情况。
mac-authenticationhost-modemulti-vlan
undomac-authenticationhost-mode
端口工作在MAC地址认证的单VLAN模式。
端口工作在不同VLAN模式时,如果相同MAC地址的用户在同一端口下的不同VLAN(指不同于上一次发起认证时所在的VLAN)再次接入,设备对用户的处理方式如下:
·端口工作在多VLAN模式下时,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。
如果不允许用户迁移到同一端口下其它VLAN接入,则此用户在同一端口下的不同VLAN接入失败,原用户保持在线。
如果允许用户迁移到同一端口下其它VLAN接入,则用户在新的VLAN内需要重新认证,且在用户重新上线后,原用户下线。
#配置端口Ten-GigabitEthernet1/0/1工作在MAC地址认证的多VLAN模式。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationhost-modemulti-vlan
·port-securitymac-movepermit(安全命令参考/端口安全)
mac-authenticationmac-range-account命令用来配置对指定MAC地址范围的MAC地址认证用户设置用户名和密码。
undomac-authenticationmac-range-account命令用来恢复缺省情况。
mac-authenticationmac-range-accountmac-addressmac-addressmask{mask|mask-length}accountnamepassword{cipher|simple}string
undomac-authenticationmac-range-account{all|mac-addressmac-address}
未对指定MAC地址范围的MAC地址认证用户设置用户名和密码,MAC地址认证用户采用mac-authenticationuser-name-format命令设置的用户名和密码接入设备。
mac-addressmac-address:指定的MAC地址,格式为H-H-H。
maskmask:表示MAC地址的掩码。格式为H-H-H,该掩码转为二进制时,高位必须为连续的1。
maskmask-length:MAC地址掩码长度,即掩码中连续“1”的数量,取值范围为1~48。
accountname:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@。
password:指定用户的密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
all:表示删除所有指定的MAC地址范围。
如果需要对特定MAC地址范围的用户单独设置用户名和密码(例如对指定OUI的MAC地址单独设置用户名和密码)时,可以执行本命令。本命令的优先级高于mac-authenticationuser-name-format命令。
可通过多次执行本命令来配置多个MAC地址段的用户名和密码,但不允许指定的MAC地址重叠。如果新配置命令的MAC地址范围与已有的MAC地址范围完全相同,则后配置的命令会覆盖已有的命令。
本命令仅对单播MAC地址范围有效。若配置的MAC地址范围仅包含组播地址,则配置失败;若既包含组播地址,也包含单播地址,则仅单播地址范围部分有效,组播地址范围部分无效。其中,全零MAC地址也不属于有效MAC地址,一个全零的MAC地址用户不能通过MAC地址认证。
设备最多允许配置16个MAC地址范围。
#配置以aaaa开头的MAC地址,进行MAC地址认证时使用的用户名为user1,明文密码为1234。
[Sysname]mac-authenticationmac-range-accountmac-addressaaaa-0000-0000maskffff-0000-0000accountuser1passwordsimple1234
·mac-authenticationuser-name-format
mac-authenticationmax-user命令用来配置端口上最多允许同时接入的MAC地址认证用户数。undomac-authenticationmax-user命令用来恢复缺省情况。
mac-authenticationmax-user[preauth-domain|auth-fail-domain]max-number
undomac-authenticationmax-user[preauth-domain|auth-fail-domain]
端口上最多允许同时接入的MAC地址认证用户数为4294967295。
preauth-domain:配置端口允许同时加入前域的MAC地址认证用户数的最大值。
auth-fail-domain:配置端口允许同时加入失败域的MAC地址认证用户数的最大值。
max-number:端口允许同时接入的MAC地址认证用户数的最大值,取值范围为1~4294967295。
如果未指定preauth-domain和auth-fail-domain参数,则表示端口允许接入的所有类型(包括前域、失败域、逃生域内以及认证成功上线的MAC地址认证用户)MAC地址认证用户数的最大值。
由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
#配置端口Ten-GigabitEthernet1/0/1最多允许同时接入32个MAC地址认证用户。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationmax-user32
mac-authenticationoffline-detectenable命令用来开启端口的MAC地址认证下线检测功能。
undomac-authenticationoffline-detectenable命令用来关闭端口的MAC地址认证下线检测功能。
mac-authenticationoffline-detectenable
undomac-authenticationoffline-detectenable
端口的MAC地址认证下线检测功能处于开启状态。
本功能对正式用户(前域/认证域/逃生域/失败域用户)以及操作用户(GuestVLAN/VSI、CriticalVLAN/VSI/微分段用户)均生效。
开启端口的MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下某在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。
关闭端口的MAC地址认证下线检测功能后,设备将不会对在线用户的状态进行检测。
#关闭端口Ten-GigabitEthernet1/0/1上的MAC地址认证下线检测功能。
[Sysname-Ten-GigabitEthernet1/0/1]undomac-authenticationoffline-detectenable
mac-authenticationoffline-detectmac-address命令用来配置指定MAC地址用户的下线检测功能。
undomac-authenticationoffline-detectmac-address命令用来恢复缺省情况。
mac-authenticationoffline-detectmac-addressmac-address{ignore|timeroffline-detect-value[check-arp-or-nd-snooping]}
undomac-authenticationoffline-detectmac-addressmac-address
由端口的下线检测开关控制是否进行下线检测,且使用全局下线检测定时器作为检测周期。
mac-address:指定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
ignore:表示不对指定MAC地址用户进行下线检测。
timeroffline-detect-value:表示设置下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。
check-arp-or-nd-snooping:表示检查是否存在该MAC地址对应的ARPSnooping表项或NDSnooping表项。
端口上开启了MAC地址认证的下线检测功能后,如需对某些用户的检查参数进行单独设置,或者不对某些用户进行下线检测,则可通过执行本命令实现。
设置下线检测定时器后,设备在一个下线检测周期之内检测到如下情况时,会切断指定用户的连接,同时通知RADIUS服务器停止对此用户进行计费:
·对指定MAC地址用户设置下线检测定时器且不指定check-arp-or-nd-snooping参数时,设备在一个下线检测周期之内,未收到该在线用户的报文;
·对指定MAC地址用户设置下线检测定时器且指定check-arp-or-nd-snooping参数时,设备会检查在一个下线检测周期之内,是否存在该MAC地址对应的ARPSnooping或NDSnooping表项,若不存在则检查是否收到该在线用户的报文,若未收到则切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。
如果关闭端口的MAC地址认证下线检测功能(通过undomac-authenticationoffline-detectenable命令),则不会对端口上的MAC地址认证用户进行下线检测,且本命令不生效。
通过ignore参数关闭用户下线检测的功能应用于哑终端的认证,避免哑终端用户因为MAC地址认证的下线检测功能开启导致哑终端下线后不能再次上线的问题,保证哑终端用户长期在线。
本命令对在线用户立即生效。
#配置对MAC地址为000a-eb29-7511的MAC地址认证用户不进行下线检测。
[Sysname]mac-authenticationoffline-detectmac-address000a-eb29-7511ignore
[Sysname]mac-authenticationoffline-detectmac-address000a-eb29-7511timer86400
·displaymac-authenticationconnection
·mac-authenticationtimer(systemview)
mac-authenticationpacket-detectenable命令用来开启MAC地址认证报文探测功能。
undomac-authenticationpacket-detectenable命令用来恢复缺省情况。
mac-authenticationpacket-detectenable
undomac-authenticationpacket-detectenable
未开启MAC地址认证的报文探测功能。
开启MAC地址认证报文探测功能后,设备会每隔一个MAC地址认证下线检测定时器间隔(通过mac-authenticationtimeroffline-detect命令设置)向端口的MAC地址认证在线用户发送探测报文,在发送次数达到本命令配置的最大值时,若下线检测定时器间隔内仍未收到该MAC地址认证用户的回应报文,则认为MAC地址认证报文探测超时将该用户下线,同时通知RADIUS服务器停止对此用户进行计费。
MAC地址认证报文探测功能与MAC地址认证下线检测功能同时开启时,如果MAC地址认证下线检测结果为用户在线,则不会再向其发送探测报文;如果MAC地址认证下线检测结果是用户下线,则不会立即下线用户,设备仍会向客户端发送探测报文,且会等到MAC地址认证报文探测超时后再下线用户。
MAC地址认证IPv4用户的探测报文是ARP请求报文,MAC地址认证IPv6用户的探测报文是NS报文。
开启本功能后,当MAC地址认证在线用户的IP地址变化时,如果设备上未使能ARPSnooping和NDSnooping功能,则设备感知不到用户IP地址变化,依旧会向原IP发送探测报文,最终导致报文探测超时而误下线用户。因此开启本功能时,需要在设备上同时使能ARPSnooping和NDSnooping功能,确保设备能感知到用户IP地址的变化情况。
#在端口Ten-GigabitEthernet1/0/1上开启MAC地址认证报文探测功能。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationpacket-detectenable
·mac-authenticationtimeroffline-detect
·port-securitypacket-detectarp-source-ipfactor
·mac-authenticationpacket-detectretry
mac-authenticationpacket-detectretry命令用来配置MAC地址认证报文探测的最大次数。
undomac-authenticationpacket-detectretry命令用来恢复缺省情况。
mac-authenticationpacket-detectretryretries
undomac-authenticationpacket-detectretry
MAC地址认证的报文探测次数为2。
retries:MAC地址认证报文探测的最大次数,取值范围为1~10。
开启MAC地址认证报文探测功能后,设备会每隔一个MAC地址认证下线检测定时器间隔向端口的MAC地址认证在线用户发送探测报文,在发送次数达到本命令配置的最大值时,若下线检测定时器间隔内仍未收到该MAC地址认证用户的回应报文,则认为MAC地址认证报文探测超时将该用户下线,同时通知RADIUS服务器停止对此用户进行计费。
MAC地址认证用户上线后如果没有获取到用户的IP地址信息,MAC地址认证用户探测次数会在原有配置次数的基础上增加10次探测,避免来不及获取用户IP地址信息导致探测失败用户下线。
#配置端口Ten-GigabitEthernet1/0/1上MAC地址认证报文探测的最大次数为8。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationpacket-detectretry8
·mac-authenticationpacket-detectenable
mac-authenticationrecover-user命令用来手动恢复MAC地址认证用户。
mac-authenticationrecover-userprofileprofile-name[interfaceinterface-typeinterface-number]
用户视图
interfaceinterface-typeinterface-number:指定MAC地址认证用户所在的端口。interface-typeinterface-number为端口类型和端口编号。若不指定该参数,则表示恢复所有端口上的MAC地址认证用户。
设备或接口板重启、接口故障原因导致设备上MAC认证用户下线后,如果因链路震荡等原因使得设备自动恢复MAC地址认证用户并不完全时,管理员可以执行本命令从指定的RESTful服务器上获取待恢复的在线用户信息,并为这些用户重新认证。
#使用名称为profile1的user-recoveryProfile手动恢复MAC地址认证用户。
·mac-authenticationauto-recover-user
mac-authenticationparallel-with-dot1x命令用来配置端口MAC地址认证和802.1X认证并行处理功能。
undomac-authenticationparallel-with-dot1x命令用来恢复缺省情况。
mac-authenticationparallel-with-dot1x
undomac-authenticationparallel-with-dot1x
端口在收到源MAC地址未知的报文触发认证时,按照802.1X认证完成后再进行MAC地址认证的顺序进行处理。
端口采用802.1X和MAC地址组合认证功能适用于如下情况:
·端口上同时开启了802.1X和MAC地址认证功能,并配置了802.1X认证的端口的接入控制方式为macbased。
·开启了端口安全功能,并配置了端口安全模式为userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。
开启了MAC地址认证和802.1X认证并行处理功能后,不建议配置端口的MAC地址认证延迟功能。
#在端口Ten-GigabitEthernet1/0/1上开启MAC地址认证和802.1X认证并行处理功能。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationparallel-with-dot1x
mac-authenticationredirect-url命令用来配置需要探测状态的Web服务器的重定向URL。
undomac-authenticationredirect-url命令用来取消重定向URL与Track项的关联状态。
mac-authenticationredirect-urlurl-stringtracktrack-entry-number
undomac-authenticationredirect-urlurl-string
未配置需要探测状态的Web服务器的重定向URL。
tracktrack-entry-number:指定重定向URL关联的Track项。track-entry-number表示Track项的序号,取值范围为1~1024。
建议将被关联的Track项与HTTP类型的NQA测试组联动,由NQA测试组来判断Web重定向服务器的连通性及性能。有关Track项的详细介绍,请参见“可靠性配置指导”中的“Track”。有关NQA的详细介绍,请参见“网络管理和监控配置指导”中的“NQA”。
一个URL只能关联一个Track项,新配置将覆盖已有配置。
·nqaschedule(网络管理和监控命令参考/NQA)
·tracknqa(可靠性命令参考/Track)
mac-authenticationre-authenticate命令用来开启MAC地址周期性重认证功能。
undomac-authenticationre-authenticate命令用来关闭MAC地址周期性重认证功能。
mac-authenticationre-authenticate
undomac-authenticationre-authenticate
MAC地址周期性重认证功能处于关闭状态。
如果同时配置了重认证功能和当RADIUS服务器变为可达后,设备向RADIUS服务器同步MAC地址认证在线用户信息的功能,则当重认证定时器超时时,设备不会对用户进行重认证,而是对用户进行同步操作。
如果设备配置了周期性重认证功能,当重认证定时器超时时,设备不会对在线用户发起重认证,而是对用户进行同步操作。
[Sysname]mac-authenticationtimerreauth-period1800
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationre-authenticate
·mac-authenticationserver-recoveryonline-user-sync
mac-authenticationre-authenticateserver-unreachablekeep-online命令用来配置重认证服务器不可达时端口上的MAC地址认证用户保持在线状态。
undomac-authenticationre-authenticateserver-unreachable命令用来恢复缺省情况。
mac-authenticationre-authenticateserver-unreachablekeep-online
undomac-authenticationre-authenticateserver-unreachable
端口上的MAC地址认证在线用户重认证时,若认证服务器不可达,则会被强制下线。
配置此命令后,在对MAC地址认证用户重认证过程中,若设备发现认证服务器状态不可达,则保持MAC地址认证用户在线。
·当会话中止的动作类型为要求用户进行重认证时,端口会在用户会话超时时长到达后对该用户进行重认证;
·当会话中止的动作类型为要求用户下线时,端口会在用户会话超时时长到达强制该用户下线;
·当认证服务器未下发用户会话超时时长时,设备不会对用户进行重认证。
#配置端口Ten-GigabitEthernet1/0/1上的MAC地址认证在线用户进行重认证时,若服务器不可达,则保持在线状态。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationre-authenticateserver-unreachablekeep-online
mac-authenticationserver-recoveryonline-user-sync命令用来开启RADIUS服务器变为可达后的MAC地址认证在线用户信息同步功能。
undomac-authenticationserver-recoveryonline-user-sync命令用来关闭MAC地址认证在线用户信息同步功能。
mac-authenticationserver-recoveryonline-user-sync
undomac-authenticationserver-recoveryonline-user-sync
MAC地址认证在线用户信息同步功能处于关闭状态,即当RADIUS服务器从不可达状态恢复为可达后,设备不向RADIUS服务器同步MAC地址认证的在线用户信息。
设备向RADIUS服务器同步MAC地址认证在线用户信息功能只能与iMC服务器配合使用。
开启本功能后,当通过RADIUS服务器探测功能(具体配置步骤请参见“安全配置指导”中的“AAA”)探测到服务器由不可达变为可达后,设备便主动对端口上的所有在线用户依次向服务器发起认证请求,等到这些用户均通过认证后,达到服务器上的在线用户信息与该端口上的在线用户信息一致的目的。
在设备向RADIUS服务器同步MAC地址认证在线用户过程中,特殊情况处理如下:
·如果在RADIUS服务器可达情况下,某用户认证失败,则设备强制该用户下线。
·如果在设备发起下一次RADIUS服务器探测前,RADIUS服务器变为不可达而导致用户认证失败,则用户仍然保持在线。
·如果有新用户发起认证,则该认证用户的信息不会向RADIUS服务器进行同步。
本功能需要与RADIUS服务器探测功能配合使用。
#配置设备向RADIUS服务器同步Ten-GigabitEthernet1/0/1端口下的MAC地址认证在线用户信息。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationserver-recoveryonline-user-sync
·radius-servertest-profile(安全命令参考/AAA)
·timerquiet(RADIUSschemeview)(安全命令参考/AAA)
mac-authenticationtimer命令用来配置端口上的MAC地址认证的定时器参数。
undomac-authenticationtimer命令用来将端口上指定的MAC地址认证定时器恢复为缺省情况。
mac-authenticationtimer{auth-delayauth-delay-time|reauth-periodreauth-period-value}
undomac-authenticationtimer{auth-delay|reauth-period}
端口上未配置MAC地址认证延迟定时器,表示MAC地址认证延迟功能处于关闭状态,如果用户报文触发MAC地址认证,认证将会立刻开始;端口上未配置MAC地址周期性重认证定时器,端口使用系统视图下配置的MAC地址周期性重认证定时器的取值。
auth-delayauth-delay-time:表示MAC地址认证延迟定时器。其中auth-delay-time表示MAC地址认证延迟定时器的值,取值范围为1~180,单位为秒。
reauth-periodreauth-period-value:表示MAC地址认证周期性重认证定时器。其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~86400,单位为秒。
端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。
开启了MAC地址认证延迟功能的端口上不建议同时配置端口安全的模式为mac-else-userlogin-secure或mac-else-userlogin-secure-ext,否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。
对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
[Sysname-Ten-GigabitEthernet1/0/1]mac-authenticationtimerauth-delay10
·port-securityport-mode(安全命令参考/端口安全)
mac-authenticationtimer命令用来配置MAC地址认证的定时器参数。
undomac-authenticationtimer命令用来恢复缺省情况。
mac-authenticationtimer{offline-detectoffline-detect-value|quietquiet-value|reauth-periodreauth-period-value|server-timeoutserver-timeout-value|temporary-user-agingaging-time-value|user-aging{critical-microsegment|critical-vlan|critical-vsi|guest-vlan|guest-vsi}aging-time-value}
undomac-authenticationtimer{offline-detect|quiet|reauth-period|server-timeout|temporary-user-aging|user-aging{critical-microsegment|critical-vlan|critical-vsi|guest-vlan|guest-vsi}}
下线检测定时器的值为300秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,服务器超时定时器的值为100秒,临时MAC地址认证用户老化定时器的值为60秒,指定类型的非认证成功微分段、VLAN或VSI内用户老化定时器的值为1000秒。
offline-detectoffline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。
quietquiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围为1~3600,单位为秒。
reauth-periodreauth-period-value:表示周期性重认证定时器,其中reauth-period-value表示周期性重认证定时器的值,取值范围为60~86400,单位为秒。
server-timeoutserver-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。
temporary-user-agingaging-time-value:表示临时MAC地址认证用户的老化定时器。其中aging-time-value表示临时MAC地址认证用户老化定时器的值,取值范围为60~2147483647,单位为秒。
user-aging:设置加入到指定类型的非认证成功VLAN或VSI中用户的老化定时器。
critical-microsegment:加入到Critical微分段中用户的老化定时器。
critical-vlan:加入到CriticalVLAN中用户的老化定时器。
critical-vsi:加入到CriticalVSI中用户的老化定时器。
guest-vlan:加入到GuestVLAN中用户的老化定时器。
guest-vsi:加入到GuestVSI中用户的老化定时器。
aging-time-value:用户老化定时器的值,取值范围为60~2147483647,单位为秒。
MAC地址认证过程受以下定时器的控制:
开启MAC地址认证报文探测功能后,设备会每隔一个下线检测定时器间隔向端口的MAC地址认证在线用户发送探测报文,在发送次数达到最大值(通过mac-authenticationpacket-detectretry命令配置)时,若下线检测定时器间隔内仍未收到该MAC地址认证用户的回应报文,则认为MAC地址认证报文探测超时,设备将该用户下线,同时通知RADIUS服务器停止对此用户进行计费。
·周期性重认证定时器(reauth-period):端口下开启了MAC地址周期性重认证功能后,设备可以此间隔为周期对端口上的在线用户发起重认证。对于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
只有通过mac-authenticationunauthenticated-useragingenable命令开启非认证成功微分段、VLAN和VSI中MAC地址认证用户的老化功能时,该定时器生效。
#设置服务器超时定时器时长为150秒。
[Sysname]mac-authenticationtimerserver-timeout150
·mac-authenticationunauthenticated-useragingenable
·retry(安全命令参考/AAA)
·timerresponse-timeout(RADIUSschemeview)(安全命令参考/AAA)
mac-authenticationunauthenticated-useragingenable命令用来开启非认证成功VLAN、VSI和微分段中MAC地址认证用户的老化功能。
undomac-authenticationunauthenticated-useragingenable命令用来关闭非认证成功VLAN、VSI和微分段中MAC地址认证用户的老化功能。
mac-authenticationunauthenticated-useragingenable
undomac-authenticationunauthenticated-useragingenable
非认证成功VLAN、VSI和微分段中MAC地址认证用户的老化功能处于开启状态。
当端口上非认证成功VLAN、VSI或微分段的用户需要迁移到其它端口接入时,请开启本端口上非认证成功VLAN、VSI或微分段用户的老化功能,将本端口上的用户MAC地址老化删除。反之,当本端口非认证成功VLAN、VSI或微分段的用户不需要迁移到其它端口接入时,建议关闭本功能,以免用户老化退出后无法访问对应VLAN、VSI或微分段中的资源。
#关闭端口Ten-GigabitEthernet1/0/1上非认证成功VLAN、VSI和微分段中MAC地址认证用户的老化功能。
[Sysname-Ten-GigabitEthernet1/0/1]undomac-authenticationunauthenticated-useragingenable
mac-authenticationuser-name-format命令用来配置MAC地址认证用户的账号格式。
undomac-authenticationuser-name-format命令用来恢复缺省情况。
mac-authenticationuser-name-format{fixed[accountname]|mac-address[{with-hyphen[separatorcolon]|without-hyphen}[lowercase|uppercase]]}[password{cipher|simple}string]
undomac-authenticationuser-name-format
使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符。
fixed:表示采用固定用户名账号。
accountname:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。
mac-address:表示使用用户的MAC地址作为用户名。
with-hyphen:带连字符的MAC地址格式,例如xx-xx-xx-xx-xx-xx。
separatorcolon:带连字符“:”的MAC地址格式,例如xx:xx:xx:xx:xx:xx或XX:XX:XX:XX:XX:XX。如果未指定本参数,则表示MAC地址中使用“-”作为连字符,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX。
without-hyphen:不带连字符的MAC地址格式,例如xxxxxxxxxxxx或XXXXXXXXXXXX。
lowercase:MAC地址中的字母为小写。
uppercase:MAC地址中的字母为大写。
password:指定用户的密码。使用用户的MAC地址作为用户名时,若不配置password参数,则表示使用用户的MAC地址同时作为用户名和密码;对于采用固定用户名的情况,若不配置password参数,则表示无密码。
·cipher:以密文方式设置密码。
·simple:以明文方式设置密码,该密码将以密文形式存储。
指定用户的MAC地址为用户名时,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户账户。
若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名账号进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
#配置MAC地址认证的用户名为abc,密码是明文xyz。
[Sysname]mac-authenticationuser-name-formatfixedaccountabcpasswordsimplexyz
#配置用户的MAC地址为用户名和密码,使用带连字符的MAC地址格式,其中字母大写。
[Sysname]mac-authenticationuser-name-formatmac-addresswith-hyphenuppercase
mac-authenticationuser-recovery-profile命令用来创建MAC地址认证user-recoveryProfile,并进入user-recoveryProfile视图。如果指定的user-recoveryProfile已存在,则直接进入user-recoveryProfile视图。
undomac-authenticationuser-recovery-profile命令用来删除指定的MAC地址认证user-recoveryProfile。
mac-authenticationuser-recovery-profileprofile-name
undomac-authenticationuser-recovery-profileprofile-name
不存在MAC地址认证user-recoveryProfile。
profile-name:user-recoveryProfile名称,为1~31个字符的字符串,不区分大小写。
系统最多支持配置16个user-recoveryProfile。
#创建一个名称为profile1的MAC地址认证user-recoveryProfile,并进入其视图。
[Sysname]mac-authenticationuser-recovery-profileprofile1
Newuser-recoveryprofilecreated.
[Sysname-user-recovery-profile-profile1]
·mac-authenticationrecover-user
mac-authenticationweb-proxy命令用来配置允许触发MAC地址认证URL重定向的Web代理服务器端口。
undomac-authenticationweb-proxy命令用来删除指定或所有的Web代理服务器端口。
未配置允许触发MAC地址认证URL重定向的Web代理服务器端口。
portport-number:MAC地址认证URL重定向功能的Web代理服务器的TCP端口号,取值范围为1~65535。其中,80和443端口是MAC地址认证URL重定向功能的预留端口号,不可配置。
all-port:指定所有MAC地址认证URL重定向功能的Web代理服务器的TCP端口号。
设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP/HTTPS请求才能触发MAC地址认证URL重定向功能。若用户使用配置了Web代理服务器的浏览器上网,则用户在通过MAC地址认证之后发送的HTTP/HTTPS请求报文将被丢弃。这种情况下,网络管理员可以通过在设备上添加Web代理服务器的TCP端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP/HTTPS请求也可以触发MAC地址认证的URL重定向。
配置允许触发MAC地址认证URL重定向功能的Web代理服务器端口,需要注意的是:
·通过多次执行本命令,最多可以添加64个允许触发MAC地址认证URL重定向功能的Web代理服务器端口。
·HTTP和HTTPS请求允许触发MAC地址认证URL重定向功能的Web代理服务器端口不能相同。
#配置HTTP请求允许触发MAC地址认证URL重定向的Web代理服务器端口号为8080。
nas-ip命令用来配置设备和RESTful服务器交互时使用的NAS-IP地址。
undonas-ip命令用来删除设备和RESTful服务器交互时使用的NAS-IP地址。
nas-ip{ipv4-address|ipv6ipv6-address}
undonas-ip
未配置设备和RESTful服务器交互时使用的NAS-IP地址。
ipv4-address:指定的IPv4NAS-IP地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6ipv6-address:指定的IPv6NAS-IP地址,必须是单播地址,不能为环回地址与本地链路地址。
RESTful服务器上通过IP地址来标识接入设备,它会根据收到的RESTful请求中携带的NAS-IP地址参数来匹配接入设备,然后将匹配上的接入设备的用户信息发送给该接入设备。
此处配置的NAS-IP必须和用户认证使用的RADIUS方案下的NAS-IP配置保持一致,而且同一个user-recoveryProfile下配置的NAS-IP地址类型必须和RESTful服务器IP地址类型保持一致,否则设备不会向该视图中指定的RESTful服务器发送请求。
同一个user-recoveryProfile下多次执行本命令,最后一次执行的命令生效。
#在名称为profile1的user-recoveryProfile视图下,配置设备和RESTful服务器交互使用的NAS-IP地址为10.1.1.1。
[Sysname-user-recovery-profile-profile1]nas-ip10.1.1.1
·nas-ip(RADIUSschemeview)(安全命令参考/AAA)
resetmac-authenticationaccess-user命令用来强制MAC地址认证用户下线。
resetmac-authenticationaccess-user[interfaceinterface-typeinterface-number|macmac-address|microsegmentmicrosegment-id|online-type{auth-fail-domain|critical-domain|preauth-domain|success|url-unavailable-domain}|usernameusername|vlanvlan-id|vsivsi-name]
interfaceinterface-typeinterface-number:表示强制指定端口下的MAC地址认证用户下线。interface-typeinterface-number为端口类型和端口编号。
macmac-address:表示强制指定MAC地址的MAC地址认证用户下线。mac-address表示MAC地址认证用户的MAC地址,格式为H-H-H。
online-type:表示强制指定类型的MAC地址认证用户下线。
·auth-fail-domain:表示强制认证失败域内的MAC地址认证用户下线。
·critical-domain:表示强制认证逃生域内的MAC地址认证用户下线。
·preauth-domain:表示强制认证前域内的MAC地址认证用户下线。
·success:表示强制认证成功的MAC地址认证用户下线。
·url-unavailable-domain:表示强制URL不可达逃生域内的MAC地址认证用户下线。
usernameusername:表示强制指定名称的MAC地址认证用户下线。username表示MAC地址认证用户的名称,为1~253个字符的字符串,区分大小写。
vlanvlan-id:表示强制指定VLAN内的MAC地址认证用户下线。vlan-id表示MAC地址认证用户当前所在VLAN的VLANID(可通过displaymac-address命令查看),取值范围为1~4094。
resetmac-authenticationaccess-user命令用来强制指定的MAC地址认证用户下线。强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行MAC地址认证。
指定vlanvlan-id参数时,设备会对如下几种MAC地址认证用户进行下线处理:
·对于正在认证中的用户,将初始VLAN为vlan-id的用户强制下线。
如果不指定任何参数,则强制设备上所有MAC地址认证用户下线。
#强制端口Ten-GigabitEthernet1/0/1上的所有MAC地址认证用户下线。
resetmac-authenticationcriticalmicrosegment命令用来强制指定的MAC地址认证用户退出Critical微分段。
resetmac-authenticationcriticalmicrosegmentinterfaceinterface-typeinterface-number[mac-addressmac-address]
interfaceinterface-typeinterface-number:表示指定端口上的用户退出Critical微分段。interface-typeinterface-number为端口类型和端口编号。
mac-addressmac-address:表示使指定MAC地址的用户退出Critical微分段。若不指定本参数,则表示使指定端口上的所有用户退出Critical微分段。
该命令用来强制指定端口或指定MAC地址的MAC认证用户退出Critical微分段。退出后用户不能再访问Critical微分段中的资源。
#强制从端口Ten-GigabitEthernet1/0/1上接入的,MAC地址为1-1-1的MAC地址认证用户退出Critical微分段。
·displaymac-authenticationmac-address
resetmac-authenticationcriticalvlan命令用来清除CriticalVLAN内的MAC地址认证用户。
resetmac-authenticationcriticalvlaninterfaceinterface-typeinterface-number[mac-addressmac-address]
interfaceinterface-typeinterface-number:表示使指定端口上的用户退出CriticalVLAN。interface-typeinterface-number为端口类型和端口编号。
mac-addressmac-address:表示使指定MAC地址的用户退出CriticalVLAN。若不指定本参数,则表示使指定端口上的所有用户退出CriticalVLAN。
#在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出CriticalVLAN。
resetmac-authenticationcriticalvsi命令用来清除CriticalVSI内的MAC地址认证用户,使其退出CriticalVSI。
resetmac-authenticationcriticalvsiinterfaceinterface-typeinterface-number[mac-addressmac-address]
interfaceinterface-typeinterface-number:表示使指定端口上的用户退出CriticalVSI。interface-typeinterface-number为端口类型和端口编号。
mac-addressmac-address:表示使指定MAC地址的用户退出CriticalVSI。若不指定本参数,则表示使指定端口上的所有用户退出CriticalVSI。
#强制端口Ten-GigabitEthernet1/0/1上接入的、MAC地址为1-1-1的MAC地址认证用户退出CriticalVSI。
resetmac-authenticationcritical-voice-vlan命令用来清除MAC地址认证CriticalVoiceVLAN内的MAC地址认证用户。
resetmac-authenticationcritical-voice-vlaninterfaceinterface-typeinterface-number[mac-addressmac-address]
interfaceinterface-typeinterface-number:表示使指定端口上的用户退出MAC地址认证的CriticalVoiceVLAN,其中interface-typeinterface-number为端口类型和端口编号。
mac-addressmac-address:表示清除指定MAC地址的用户退出MAC地址认证的CriticalVoiceVLAN。若不指定本参数,则表示使指定端口上的所有用户退出CriticalVoiceVLAN。
#在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出CriticalVoiceVLAN。
·mac-authenticationcritical-voice-vlan
resetmac-authenticationguest-vlan命令用来清除GuestVLAN内的MAC地址认证用户。
resetmac-authenticationguest-vlaninterfaceinterface-typeinterface-number[mac-addressmac-address]
interfaceinterface-typeinterface-number:表示使指定端口上的用户退出GuestVLAN。interface-typeinterface-number为端口类型和端口编号。
mac-addressmac-address:表示使指定MAC地址的用户退出GuestVLAN。若不指定本参数,则表示使指定端口上的所有用户退出GuestVLAN。
#在端口Ten-GigabitEthernet1/0/1上使得MAC地址为1-1-1的MAC地址认证用户退出GuestVLAN。
resetmac-authenticationguest-vsi命令用来清除GuestVSI内的MAC地址认证用户,使其退出GuestVSI。
resetmac-authenticationguest-vsiinterfaceinterface-typeinterface-number[mac-addressmac-address]
interfaceinterface-typeinterface-number:表示使指定端口上的用户退出GuestVSI。interface-typeinterface-number为端口类型和端口编号。
mac-addressmac-address:表示使指定MAC地址的用户退出GuestVSI。若不指定本参数,则表示使指定端口上的所有用户退出GuestVSI。
#强制端口Ten-GigabitEthernet1/0/1上接入的、MAC地址为1-1-1的MAC地址认证用户退出GuestVSI。
resetmac-authenticationstatistics命令用来清除MAC地址认证的统计信息。
resetmac-authenticationstatistics[interfaceinterface-typeinterface-number]
interfaceinterface-typeinterface-number:清除指定端口的MAC地址认证统计信息。interface-typeinterface-number为端口类型和端口编号。如果不指定本参数,则清除所有端口上的MAC地址认证统计信息。
#清除以太网端口Ten-GigabitEthernet1/0/1上的MAC认证统计信息。
server-address命令用来配置RESTful服务器的IP地址参数。
undoserver-address命令用来恢复缺省情况。
server-address{ipipv4-address|ipv6ipv6-address}[portport-number][vpn-instancevpn-instance-name]
undoserver-address
未配置RESTful服务器的IP地址参数。
ipipv4-address:RESTful服务器的IPv4地址。
ipv6ipv6-address:RESTful服务器的IPv6地址。
portport-number:RESTful服务器监听请求消息的端口号,取值范围为1~65535,缺省值为80。
vpn-instancevpn-instance-name:RESTful服务器所属的VPN实例。vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定该参数,则表示RESTful服务器位于公网。
设备或接口板重启、接口故障恢复后,将与指定的RESTful服务器通信,获取接口上的MAC地址认证用户账户信息。
同一个user-recoveryProfile下配置的RESTful服务器IP地址类型必须和NAS-IP的地址类型保持一致。
#在名称为profile1的user-recoveryProfile视图下,指定RESTful服务器的IP地址为3.3.3.3,端口号为8080。
[Sysname-user-recovery-profile-profile1]server-addressip3.3.3.3port8080
uri命令用来指定RESTful服务器的URI。
undouri命令用来删除指定的RESTful服务器URI。
uriuri-string
undouri
未指定RESTful服务器的URI。
uri-string:URI名称,为1~255字符的字符串,区分大小写。
本命令指定的URI为RESTful服务器上提供用户资源服务的URI。
支持指定的RESTful服务器的URI为imcrs/uam/online/notAgingMuteTerminal,指定为其他URI时,本配置不生效。
#在名称为profile1的user-recoveryProfile视图下,指定向RESTful服务器请求用户信息的URI为imcrs/uam/online/notAgingMuteTerminal。
[Sysname-user-recovery-profile-profile1]uriimcrs/uam/online/notAgingMuteTerminal
不同款型规格的资料略有差异,详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!