MAC地址认证典型配置指导.doc_第1页
MAC地址认证典型配置指导.doc_第2页
MAC地址认证典型配置指导.doc_第3页
MAC地址认证典型配置指导.doc_第4页
MAC地址认证典型配置指导.doc_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

目 录第1章 MAC地址认证典型配置指导. 1-11.1 MAC地址认证简介. 1-11.2 MAC地址本地认证典型配置指导. 1-11.2.1 组网图. 1-11.2.2 应用要求. 1-11.2.3 适用产品、版本. 1-21.2.4 配置过程和解释. 1-21.2.5 完整配置. 1-31.2.6 配置注意事项. 1-31.3 MAC地址RADIUS认证典型配置指导. 1-41.3.1 组网图. 1-41.3.2 应用要求. 1-41.3.3 适用产品、版本. 1-41.3.4 配置过程和解释. 1-51.3.5 完整配置. 1-51.3.6 配置注意事项. 1-61.4 下发ACL典型配置指导. 1-61.4.1 组网图. 1-61.4.2 应用要求. 1-71.4.3 适用产品、版本. 1-71.4.4 配置过程和解释. 1-71.4.5 完整配置. 1-81.4.6 配置注意事项. 1-9 第1章 MAC地址认证典型配置指导1.1 MAC地址认证简介MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。目前设备支持两种方式的MAC地址认证:l 通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器认证。l 本地认证。有关远程RADIUS认证和本地认证的详细介绍请参见“AAA-RADIUS-HWTACACS操作”。认证方式确定后,可根据需求选择MAC认证用户名的类型,包括以下两种方式:l MAC地址用户名:使用用户的MAC地址作为认证时的用户名和密码;l 固定用户名:不论用户的MAC地址为何值,所有用户均使用在设备上预先配置的本地用户名和密码进行认证。1.2 MAC地址本地认证典型配置指导1.2.1 组网图图1-1 启动MAC地址认证对接入用户进行本地认证1.2.2 应用要求如图1-1所示,某用户的工作站与以太网设备的端口GigabitEthernet2/0/1相连接。l 设备的管理者希望在各端口上对用户接入进行MAC地址认证,以控制其对Internet的访问。l 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。l 所有用户都属于域:,认证时使用本地认证的方式。用户名为aaa,密码为123456。1.2.3 适用产品、版本表1-1 配置适用的产品与软硬件版本关系产品软件版本硬件版本S3610系列以太网交换机Release 5301软件版本全系列硬件版本S5510系列以太网交换机Release 5301软件版本全系列硬件版本S5500-SI系列以太网交换机Release 1207软件版本全系列硬件版本(除S5500-20TP-SI)Release 1301软件版本S5500-20TP-SIS5500-EI系列以太网交换机Release 2102软件版本全系列硬件版本S7500E系列以太网交换机Release 6100软件版本全系列硬件版本 1.2.4 配置过程和解释(1) 在交换机上配置MAC地址认证# 添加本地接入用户。 system-viewSwitch local-user aaaSwitch-luser-aaa password simple 123456Switch-luser-aaa service-type lan-accessSwitch-luser-aaa quit# 配置ISP域,使用本地认证方式。Switch domain S authentication lan-access localS quit# 开启全局MAC地址认证特性。Switch mac-authentication# 开启端口GigabitEthernet2/0/1的MAC地址认证特性。Switch mac-authentication interface GigabitEthernet 2/0/1# 配置MAC地址认证用户所使用的ISP域。Switch mac-authentication domain # 配置MAC地址认证的定时器。Switch mac-authentication timer offline-detect 180Switch mac-authentication timer quiet 180# 配置MAC地址认证使用固定用户名、密码格式。Switch mac-authentication user-name-format fixed account aaa password simple 1234561.2.5 完整配置#system-view local-user aaa password simple 123456 service-type lan-access#domain authentication lan-access local#mac-authentication mac-authentication timer offline-detect 180 mac-authentication timer quiet 180 mac-authentication domain mac-authentication user-name-format fixed account aaa password simple 123456#interface GigabitEthernet2/0/1 mac-authentication# 1.2.6 配置注意事项本地用户的服务类型应设置为lan-access。1.3 MAC地址RADIUS认证典型配置指导1.3.1 组网图图1-2 启动MAC地址认证对接入用户进行RADIUS认证1.3.2 应用要求如图1-2所示,用户主机Host通过端口Ethernet2/0/1连接到设备上,设备通过RADIUS服务器对用户进行身份认证。l 设备的管理者希望在各端口上对用户接入进行MAC地址认证,以控制其对Internet的访问。l 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。1.3.3 适用产品、版本表1-2 配置适用的产品与软硬件版本关系产品软件版本硬件版本S3610系列以太网交换机Release 5301软件版本全系列硬件版本S5510系列以太网交换机Release 5301软件版本全系列硬件版本S5500-SI系列以太网交换机Release 1207软件版本全系列硬件版本(除S5500-20TP-SI)Release 1301软件版本S5500-20TP-SIS5500-EI系列以太网交换机Release 2102软件版本全系列硬件版本S7500E系列以太网交换机Release 6100软件版本全系列硬件版本 1.3.4 配置过程和解释(1) 在Device上配置MAC地址认证# 配置各接口的IP地址(略)。# 配置RADIUS方案。Switch system-viewSwitch radius scheme 2000Switch-radius-2000 primary authentication 1812Switch-radius-2000 primary accounting 1813Switch-radius-2000 key authentication abcSwitch-radius-2000 key accounting abcSwitch-radius-2000 user-name-format without-domainSwitch-radius-2000 quit# 配置ISP域的AAA方案。Switch domain 2000Switch-isp-2000 authentication default radius-scheme 2000Switch-isp-2000 authorization default radius-scheme 2000Switch-isp-2000 accounting default radius-scheme 2000Switch-isp-2000 quit# 开启全局MAC地址认证特性。Switch mac-authentication# 开启端口GigabitEthernet2/0/1的MAC地址认证特性。Switch mac-authentication interface Ethernet 2/0/1# 配置MAC地址认证用户所使用的ISP域。Switch mac-authentication domain 2000# 配置MAC地址认证的定时器。Switch mac-authentication timer offline-detect 180Switch mac-authentication timer quiet 180# 配置MAC地址认证使用固定用户名、密码格式。Switch mac-authentication user-name-format fixed account aaa password simple 1234561.3.5 完整配置#radius scheme 2000 primary authentication primary accounting key authentication abc key accounting abc user-name-format without-domain#domain 2000 authentication default radius-scheme 2000 authorization default radius-scheme 2000 accounting default radius-scheme 2000#mac-authentication mac-authentication timer offline-detect 180 mac-authentication timer quiet 180 mac-authentication domain 2000 mac-authentication user-name-format fixed account aaa password simple 123456#interface Ethernet2/0/1 mac-authentication# 1.3.6 配置注意事项l RADIUS服务器上配置的用户名和密码必须与设备上配置的MAC地址认证的用户名和密码保持一致。l RADIUS服务器上配置的认证、计费Key需要和交换机上配置保持一致,才能认证成功。1.4 下发ACL典型配置指导1.4.1 组网图图1-3 下发ACL典型配置组网图1.4.2 应用要求如图1-3所示,主机Host通过MAC认证接入网络,认证服务器为RADIUS服务器。Internet网络中有一台FTP服务器,IP地址为。l 在认证服务器上配置授权下发ACL 3000。l 在Switch的Ethernet2/0/1上开启MAC认证,并配置ACL 3000。l 当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在Ethernet2/0/1上生效,Host可以访问Internet,但不能访问FTP服务器。1.4.3 适用产品、版本表1-3 配置适用的产品与软硬件版本关系产品软件版本硬件版本S3610系列以太网交换机Release 5301软件版本全系列硬件版本S5510系列以太网交换机Release 5301软件版本全系列硬件版本S5500-SI系列以太网交换机Release 1207软件版本全系列硬件版本(除S5500-20TP-SI)Release 1301软件版本S5500-20TP-SIS5500-EI系列以太网交换机Release 2102软件版本全系列硬件版本S7500E系列以太网交换机Release 6100软件版本全系列硬件版本 1.4.4 配置过程和解释(1) 在Device上配置MAC地址认证# 配置各接口的IP地址(略)。# 配置RADIUS方案。Switch system-viewSwitch radius scheme 2000Switch-radius-2000 primary authentication 1812Switch-radius-2000 primary accounting 1813Switch-radius-2000 key authentication abcSwitch-radius-2000 key accounting abcSwitch-radius-2000 user-name-format without-domainSwitch-radius-2000 quit# 配置ISP域的AAA方案。Switch domain 2000Switch-isp-2000 authentication default radius-scheme 2000Switch-isp-2000 authorization default radius-scheme 2000Switch-isp-2000 accounting default radius-scheme 2000Switch-isp-2000 quit# 配置ACL 3000,拒绝目的IP地址为的报文通过。Sysname acl number 3000Sysname-acl-adv-3000 rule 0 deny ip destination 0Sysname-acl-adv-3000 quit# 开启全局MAC地址认证特性。Switch mac-authentication# 开启端口Ethernet2/0/1的MAC地址认证特性。Switch mac-authentication interface Ethernet 2/0/1# 配置MAC地址认证用户所使用的ISP域。Switch mac-authentication domain 2000# 配置MAC地址认证的定时器。Switch mac-authentication timer offline-detect 180Switch mac-authentication timer quiet 180# 配置MAC地址认证用户名格式。使用带连字符的MAC地址作为用户名与密码。Switch mac-authentication user-name-format mac-address with-hyphen1.4.5 完整配置#radius
人人文库> 全部分类> 应用文书 > 技术指导

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论