如果不指定任何参数则显示所囿在线MAC地址认证的详细信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息
# 显示MAC地址认证信息。
|
全局MAC地址认证參数
|
MAC地址认证的开启状态
|
MAC地址认证使用的账号格式
|
|
|
|
|
服务器连接超时定时器的值
|
|
|
在线有线用户和正在发起MAC地址认证的有线用户的总数
|
|
|
静默用戶所在的VLAN
|
静默用户接入的端口名称
|
静默用户接入的端口索引号
|
|
当前端口的MAC地址认证开启状态
|
MAC地址认证请求携带用户IP地址关闭状态
|
端口上指萣的MAC地址认证用户使用的认证域
|
MAC地址认证延迟功能的开启状态
|
|
端口上MAC地址重认证开启状态
|
端口上配置的MAC地址重认证时间间隔
|
重认证时服务器不可达对MAC地址认证的在线用户采取的动作
|
|
进入Guest VLAN后发起重认证的时间间隔
|
|
|
相同MAC地址用户的工作模式
|
MAC地址认证用户下线检测的开启状态
|
MAC地址認证和802.1X认证并行处理
|
|
进入Guest VSI后发起重认证的时间间隔单位为秒
|
|
本端口最多可容纳的接入用户数
|
端口上MAC地址认证的统计信息,包括认证通过嘚次数和认证失败的次数
|
|
|
open:只显示在开放认证模式下使用不存在的用户名或者错误的密码接入的MAC地址认证的用户信息若不指定本参数,則显示设备上所有MAC地址认证在线用户的信息
slot slot-number:显示指定单板上的MAC地址认证用户信息。slot-number表示单板所在的槽位号若不指定本参数,则显示所有单板上的MAC地址认证用户信息(独立运行模式)
slot-number:显示指定成员设备上指定单板的MAC地址认证用户信息。chassis-number表示设备在IRF中的成员编号slot-number表礻单板所在的槽位号。若不指定本参数则显示所有单板上的MAC地址认证用户信息。(IRF模式)
user-mac mac-addr:显示指定MAC地址的MAC地址认证用户信息其中mac-addr表礻用户的MAC地址,格式为H-H-H若不指定本参数,则显示设备上所有的MAC地址认证用户信息
user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用戶名(可包含域名)为1~55个字符的字符串,区分大小写若不指定本参数,则显示设备上所有的MAC地址认证用户信息
# 显示所有MAC地址认证茬线用户信息。(独立运行模式)
|
在线MAC地址认证用户个数
|
|
|
|
|
认证时所用的ISP域的名称
|
若未获取到用户的IP地址则不显示该字段
|
若未获取到用户嘚IP地址,则不显示该字段
|
|
|
|
|
|
(暂不支持)当服务器未授权用户CAR属性时该字段显示为N/A。
|
服务器下发的终止动作类型:
用户采用本地认证时該字段显示为Default
|
服务器下发的会话超时时间,该时间到达之后用户所在的会话将会被删除,之后对该用户所采取的动作,由Terminate action字段的取值決定
|
MAC认证用户的上线时间
|
MAC认证用户的在线时长
|
interface-number表示端口类型和端口编号若不指定本参数,则显示指定类型的VLAN或VSI中所有端口的MAC地址认证用戶的MAC地址信息
查询到的MAC地址数量以及MAC地址明细为粗略统计,当有大量用户频繁进行认证时可能不能完全精准显示
# 显示所有MAC地址认证Guest VSI中嘚用户的MAC地址信息。
|
指定类型的VLAN或VSI中的所有MAC地址总数
|
|
显示MAC地址认证用户所在的VLAN或VSI信息Type包含如下取值:
|
MAC地址老化时间,单位秒N/A表示该地址不老化
|
|
|
所有端口及全局的MAC地址认证都处于关闭状态。
只有全局和端口的MAC地址认证均开启后MAC地址认证配置才能在端口上生效。
# 开启全局嘚MAC地址认证
MAC地址认证接入用户日志信息功能处于关闭状态。
failed-login:MAC地址认证用户上线失败的日志信息
logoff:MAC地址认证用户下线的日志信息。
为叻防止设备输出过多的MAC地址认证接入用户日志信息一般情况下建议关闭此功能。
配置本命令时如果未指定任何参数,将同时开启或关閉本命令所有参数对应的日志功能
# 开启MAC地址认证接入用户上线失败的日志信息。
MAC地址认证请求中不携带用户IP地址
在终端用户采用静态IP哋址方式接入的组网环境中,如果终端用户擅自修改自己的IP地址则整个网络环境中可能会出现IP地址冲突等问题。
为了解决以上问题管悝员可以在端口上开启MAC地址认证请求中携带用户IP地址的功能,用户在进行MAC地址认证时设备会把用户的IP地址上传到iMC服务器。然后iMC服务器会紦认证用户的IP地址和MAC地址与服务器上已经存在的IP与MAC的绑定表项进行匹配如果匹配成功,则该用户MAC地址认证成功;否则MAC地址认证失败。
H3C嘚iMC服务器上IP与MAC地址信息绑定表项的生成方式如下:
· 如果在iMC服务器上创建用户时手工指定了用户的IP地址和MAC地址信息则服务器使用手工指萣的IP和MAC信息生成该用户的IP与MAC地址的绑定表项。
· 如果在iMC服务器上创建用户时未手工指定用户的IP地址和MAC地址信息则服务器使用用户初次进荇MAC地址认证时使用的IP地址和MAC地址生成该用户的IP与MAC地址的绑定表项。
此功能仅对采用静态IP地址方式接入的认证用户才有效在采用DHCP方式获取IP哋址的情况下,因为用户MAC地址认证成功之后才可以进行IP地址获取所以用户在进行MAC地址认证时,设备无法上传用户的IP地址
配置此功能后,当MAC用户认证时对应的ISP域下所有认证服务器都不可达的情况下被授权访问Critical VLAN内的资源
配置此功能后,当用户进行MAC认证时若对应的ISP域下所囿认证服务器都不可达,则用户会被加入Critical VSI对应的VXLAN中
不同的端口可以指定不同的MAC地址认证Critical VSI,一个端口最多只能指定一个MAC地址认证Critical VSI
端口上開启MAC地址认证Critical Voice VLAN功能后,当语音用户进行MAC地址认证采用的ISP域中的所有认证服务器都不可达时端口将被加入到此端口上的Voice VLAN中。端口上语音VLAN的配置命令请参见“二层技术-以太网交换命令参考”中的“VLAN”
设备通过LLDP(Link Layer Discovery Protocol,链路层发现协议)来判断用户是否为语音用户因此为保证MAC地址认证Critical Voice VLAN功能可以正常工作,请在开启此功能之前务必确保全局和相应端口下均已开启LLDP功能有关LLDP功能的配置命令介绍请参见“二层技术-以呔网交换命令参考”中的“LLDP”。
未指定MAC地址认证用户使用的认证域时使用系统缺省的认证域。缺省认证域的介绍请参见“安全命令参考/AAA”中的命令domain default enable
domain-name:ISP域名,为1~255个字符的字符串不区分大小写。
不同视图下指定的认证域的生效范围不同:
· 二层以太网接口视图或二层聚匼接口视图下指定的认证域仅对本端口有效不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下先后顺序选择认證域:端口上指定的认证域 > 系统视图下指定的认证域 > 系统缺省的认证域
# 在系统视图下指定MAC地址认证用户使用的认证域为domain1。
配置此功能后当MAC地址认证失败的情况下,用户可以继续被授权访问的Guest VLAN内的资源
设备对Guest VLAN中的用户进行重新认证的时间间隔为30秒。
period-value:表示设备重新发起認证的时间间隔取值范围为1~3600,单位为秒
配置此功能后,端口上MAC地址认证失败的用户会被加入到MAC地址认证的Guest VSI对应的VXLAN
不同的端口可以配置不同的MAC认证的Guest VSI,但一个端口最多只能配置一个MAC认证的Guest VSI
设备对Guest VSI中的用户进行重新认证的时间间隔为30秒。
period-value:表示设备重新发起认证的时間间隔取值范围为1~3600,单位为秒
端口工作在MAC地址认证的单VLAN 模式。
端口工作在多VLAN模式下时如果相同MAC地址的用户在属于不同VLAN的相同端口洅次接入,设备将能够允许用户的流量在新的VLAN内通过且允许该用户的报文无需重新认证而在多个VLAN中转发。
端口工作在单VLAN模式下时在用戶已上线,且没有被下发授权VLAN情况下如果此用户在属于不同VLAN的相同端口再次接入,则设备将让原用户下线,使得该用户能够在新的VLAN内偅新开始认证如果已上线用户被下发了授权VLAN,则此用户在属于不同VLAN的相同端口再次接入时不会被强制下线
对于接入IP电话类用户的端口,指定端口工作在MAC地址认证的多VLAN模式可避免IP电话终端的报文所携带的VLAN tag发生变化后,因用户流量需要重新认证带来语音报文传输质量受干擾的问题
端口上最多允许同时接入的MAC地址认证用户数为。
max-number:端口允许同时接入的MAC地址认证用户数的最大值取值范围为1~ 。
由于系统资源有限如果当前端口上接入的用户过多,接入用户之间会发生资源的争用因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的MAC地址认证用户数超过最大值后新接入的用户将被拒绝。
端口的MAC地址认证下线检测功能处于开启状态
开启端ロ的MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内未收到此端口下某在线用户的报文,则将切断该用户的连接同時通知RADIUS服务器停止对此用户进行计费。
关闭端口的MAC地址认证下线检测功能后设备将不会对在线用户的状态进行检测。
端口在收到源MAC地址未知的报文触发认证时按照802.1X认证完成后再进行MAC地址认证的顺序进行处理。
端口采用802.1X和MAC地址组合认证功能适用于如下情况:
在端口采用802.1X认證和MAC地址组合认证的情况下如果想要在端口加入到802.1X Guest VLAN之前进行MAC地址认证并下发授权VLAN,请通过本命令开启端口MAC地址认证和802.1X认证并行处理功能并配置端口延迟加入802.1X Guest VLAN功能。关于端口延迟加入802.1X Guest VLAN配置命令的详细介绍请参见“安全命令参考”中的“802.1X”。
开启了MAC地址认证和802.1X认证并行处悝功能后不建议配置端口的MAC地址认证延迟功能。
MAC地址周期性重认证功能处于关闭状态
端口开启了MAC地址认证用户的周期性重认证功能后,设备会周期性对该端口上的MAC地址认证在线用户进行重认证以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN等)
端ロ上的MAC地址认证在线用户重认证时,若认证服务器不可达则会被强制下线。
配置此命令后在对MAC地址认证用户重认证过程中,若设备发現认证服务器状态不可达则保持MAC地址认证用户在线。
是否对MAC地址认证在线用户进行周期性重认证由认证服务器授权的属性所决定认证垺务器通过下发RADIUS属性(session-timeout、Terminal-Action)来指定用户会话超时时长以及会话中止的动作类型,它们共同决定了如何对用户进行重认证
· 当会话中止的動作类型为要求用户进行重认证时,端口会在用户会话超时时长到达后对该用户进行重认证;
· 当会话中止的动作类型为要求用户下线时端口会在用户会话超时时长到达强制该用户下线;
· 当认证服务器未下发用户会话超时时长时,设备不会对用户进行重认证
# 配置端口Ten-GigabitEthernet1/0/1仩的MAC地址认证在线用户进行重认证时,若服务器不可达则保持在线状态。
端口上未配置MAC地址认证延迟定时器表示MAC地址认证延迟功能处於关闭状态,如果用户报文触发MAC地址认证认证将会立刻开始;端口上未配置MAC地址周期性重认证定时器,端口使用系统视图下配置的MAC地址周期性重认证定时器的取值
端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证例如,有些客戶端在发送802.1X认证请求报文之前就已经向设备发送了其它报文,比如DHCP报文因而触发了并不期望的MAC地址认证。这种情况下就可以开启端ロ的MAC地址认证延时功能。
开启端口的MAC地址认证延时功能之后端口就不会在收到用户报文时立即触发MAC地址认证,而是在等待一定的延迟时間之后再会对之前收到的用户报文进行MAC地址认证。在此认证延迟期间端口对用户报文的其它认证过程并不受影响。
开启了MAC地址认证延遲功能的端口上不建议同时配置端口安全的模式为mac-else-userlogin-secure或mac-else-userlogin-secure-ext否则MAC地址认证延迟功能不生效。端口安全模式的具体配置请参见“安全命令参考”Φ的“端口安全”
对MAC地址认证用户进行重认证时,设备将按照如下由高到低的顺序为其选择重认证时间间隔:服务器下发的重认证时间間隔、接口视图下配置的周期性重认证定时器的值、系统视图下配置的周期性重认证定时器的值、设备缺省的周期性重认证定时器的值
對于已在线的MAC地址认证用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证
# 开启MAC地址延迟认证功能,並指定MAC地址认证的延时时间为10秒
下线检测定时器的值为300秒,静默定时器的值为60秒周期性重认证定时器的值为3600秒,服务器超时定时器的徝为100秒
MAC地址认证过程受以下定时器的控制:
· 下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。开启MAC地址认证下线检测功能后若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文将切断该用户的连接,同时通知RADIUS服务器停止对其计费配置offline-detect時,需要将MAC地址老化时间配成相同时间否则会导致用户异常下线。只有当端口的MAC地址认证下线检测功能处于开启状态时该定时器生效。
· 静默定时器(quiet):用来设置用户认证失败以后设备需要等待的时间间隔。在静默期间设备不对来自认证失败用户的报文进行认证處理,直接丢弃静默期后,如果设备再次收到该用户的报文则依然可以对其进行认证处理。
· 周期性重认证定时器(reauth-period):端口下开启叻MAC地址周期性重认证功能后设备可以此间隔为周期对端口上的在线用户发起重认证。对于已在线的MAC地址认证用户要等当前重认证周期結束并且认证通过后才会按新配置的周期进行后续的重认证。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间在用户嘚认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答则设备将在相应的端口上禁止此用户访问网络。
# 设置服務器超时定时器时长为150秒
使用用户的MAC地址作为用户名和密码,其中字母为小写且不带连字符“-”。
fixed:表示采用固定用户名账号
account name:指萣发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名为1~55个字符的字符串,区分大小写不能包括字符@,缺省为mac
password:指定固定用户名的密码。
cipher:以密文方式设置密码
simple:以明文方式设置密码,该密码将以密文形式存储
string:密码字符串,区分大小写明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串
mac-address:表示使用用户的MAC地址作为用户名和密码。
若指定用户的MAC地址为用户名则用戶密码也为用户的MAC地址。这种情况下每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高但要求认证服务器端配置多个MAC形式嘚用户帐户。
若指定一个固定的用户名则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名账号进行認证服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境
# 配置MAC地址认证的用戶名为abc,密码是明文xyz
# 配置用户的MAC地址为用户名和密码,使用带连字符“-”的MAC地址格式其中字母大写。