MAC地址认证配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章配置Mac地址认证 (1)1.1 Mac地址认证简介 (1)1.2 Mac地址认证配置 (1)1.2.1 AAA相关配置 (1)1.2.2 功能开启配置 (2)1.2.3 下线检测配置 (3)1.2.4 静默定时器配置 (3)1.2.5 Mac-vlan功能配置 (3)1.2.6 Guest-vlan功能配置 (4)1.2.7 用户特性配置 (4)1.2.8 配置实例 (5)第1章配置Mac地址认证1.1 Mac地址认证简介mac地址认证功能是基于端口和mac地址对用户进行访问网络权限进行控制的功能模块。

刚开始时，交换机的mac地址表不存在用户的mac地址表项，用户的报文首次到达交换机会触发mac地址认证，在认证过程中，不需要用户的参与（比如输入相关用户名和密码），认证通过后用户的mac地址会加进交换机的mac地址表，以后该用户的流量就可以直接根据mac地址表项内容进行转发。

认证时支持两种认证方式，在配置AAA域的时候选择方案配置：通过radius服务器进行认证；通过本地用户数据库进行认证；1.2 Mac地址认证配置1.2.1 AAA相关配置mac认证需要配置使用哪个AAA认证域进行认证。

而进行radius服务器认证或者本地用户数据库认证的选择在AAA认证域进行。

如果没有配置，则使用系统配置的默认认证域进行。

当两者都没有配置，则无法进行认证。

由于没有用户参与，mac地址认证在认证时需要构造相关的用户名称和密码，现在存在两种方法：a)mac地址方式，在此种方式下，使用mac地址作为认证的用户名称和密码，固定为12字符长度的字符串，比如mac地址为00:0a:5a:00:03:02，则用户名称和密码为“000a5a000302”；b)固定用户名称和密码，在此种方式下，使用用户配置的固定用户名称和密码；默认情况下为mac地址方式。

当使用radius服务器进行认证，存在两种认证方式可以供选择：1）pap；2）chap。

默认情况下radus认证方式为pap方式。

AAA认证域、RADIUS服务器和本地用户数据库配置参考802.1x配置中的相关内容。

下面只说明Mac地址认证模块需要执行的命令。

表 1-1配置AAA认证域的选项操作命令备注进入全局配置模式configure terminal -AAA认证域的选择mac-authentication domain<name>必选用户名称格式配置mac-authentication user-name-format { fixed account<name>password<psw> | mac-address}可选radius认证方式配置mac-authentication encryption {pap|chap}可选1.2.2 功能开启配置相关参数配置后，还需要启动功能才可以进行mac地址认证。

需要同时启动全局模式和端口模式的mac认证功能，该端口的mac认证功能才可以生效。

表 1-2配置功能开启操作命令备注进入全局配置模式configure terminal -开启全局配置mac-authentication 必选进入端口配置模式interface ethernet device/slot/port-开启端口配置mac-authentication必选1.2.3 下线检测配置由于mac认证没有使用协议报文进行交互，故无法进行主动下线操作，系统通过检测用户流量报文进行用户下线判断。

用户通过mac认证后进入在线状态，此时启动下线检测定时器，当定时器到达后则进行用户流量检测，如果在另一个下线检测定时到达都没有检测到用户流量，则判定用户下线。

表 1-3配置下线检测操作命令备注进入全局配置模式configure terminal -下线检测定时器配置mac-authentication timer offline-detect<offline-time>可选1.2.4 静默定时器配置用户mac认证失败后会进入静默状态，在此状态下，用户无法继续进行mac认证，这样可以防止用户对系统的冲击。

在静默状态下，会启动静默定时器，当定时时间到达后，用户数据删除，该用户可以继续进行mac认证。

表 1-4配置静默定时器操作命令备注进入全局配置模式configure terminal -静默定时器配置mac-authentication timer quiet<quiet-time>可选1.2.5 Mac-vlan功能配置开启此功能后，用户认证成功后，服务器会返回该用户的vlan号，系统进行动态硬件mac-vlan表项配置，并动态创建该vlan，并将该用户所在的端口加入此vlan中，这样可以访问该vlan的网络。

如果系统已经配置了该mac地址的静态mac-vlan表项，则动态mac-vlan表项配置失败，用户进入静默状态，无法访问网络。

在动态创建vlan时，系统会把配置的上行口自动加入该vlan，并配置为tag属性。

系统默认把GE口作为上行口。

表 1-5配置mac-vlan功能操作命令备注进入全局配置模式configure terminal -开启mac-vlan功能mac-authentication mac-vlan可选进入端口配置模式interface ethernet device/slot/port-配置端口为上行口mac-authentication uplink 可选1.2.6 Guest-vlan功能配置用户认证失败后会进入静默状态，无法访问网络，假如此时允许用户访问某个特定vlan 时，可以开启guest vlan功能。

在开启后，用户认证失败后不进入静默状态，而进入在线状态，但用户的vlan为guest vlan。

用户处于guest vlan的在线状态时，会启动重认证定时器，时间到达后会进行重新认证，如果认证成功，则退出guest vlan在线状态，而转入正常的在线状态。

表 1-6配置guest-vlan功能操作命令备注进入全局配置模式configure terminal -进入端口配置模式interface ethernet device/slot/port-开启端口的guest-vlan功能mac-authentication guest-vlan <vid>可选进入全局配置模式下配置guest-vlan重认证定时器mac-authentication timer guest-vlan-reauth<time>可选1.2.7 用户特性配置主要提供下面功能特性：●用户数目限制限制某个端口允许的用户数目。

●用户认证速率限制为了防止用户认证过多导致cpu受到冲击，需要对端口的用户认证速率进行限制。

当用户认证报文速率超过此限制值，停止此端口接收认证报文的功能，此时启动限制超时定时器，当定时器时间到达后才恢复此端口的接收认证报文的功能。

表 1-7配置用户特性功能操作命令备注进入全局配置模式configure terminal - 进入端口配置模式interface ethernet device/slot/port- 配置端口允许的用户数目mac-authentication max-users <number>可选1.2.8 配置实例组网需求如图所示，某用户的工作站与以太网交换机的端口Eth 0/0/2相连接组网图配置步骤配置AAA认证域的选项Switch(config)#mac-authentication domain 1Switch(config)#mac-authentication user-name-format fixed account 1 password1Switch(config)#mac-authentication encryption pap开启指定端口Ethernet 0/0/2 的MAC地址认证特性Switch(config)#mac-authenticationSwitch(config-if-ethernet-0/0/2)#macmac-authentication .Turn on Successfully.And src_dlf_forward will be disabled.配置下线检测Switch(config)#mac-authentication timer offline-detect 30静默定时器配置Switch(config)#mac-authentication timer quiet 30配置mac-vlan功能Switch(config)#mac-authentication mac-vlan Switch(config)#interface ethernet 0/0/2 Switch(config-if-ethernet-0/0/2)#mac-authentication uplink配置guest-vlan功能Switch(config-if-ethernet-0/0/2)#mac-authentication guest-vlan 1Switch(config-if-ethernet-0/0/2)#exSwitch(config)#mac-authentication timer guest-vlan-reauth 33配置用户特性Switch(config-if-ethernet-0/0/2)#mac-authentication max-users 3。