目录第1章 MAC地址认证配置1.1 MAC地址认证简介1.1.1 RADIUS服务器认证方式进行MAC地址认证1.1.2 本地认证方式进行MAC地址认证1.2 相关概念1.2.1 MAC地址认证定时器1.2.2 静默MAC1.3 MAC地址认证基本功能配置1.3.1 MAC地址认证基本功能配置1.4 MAC地址认证增强功能配置1.4.1 MAC地址认证增强功能配置任务1.4.2 配置Guest VLAN1.4.3 配置端口下MAC地址认证用户的最大数量1.4.4 配置端口的静默MAC功能1.5 MAC地址认证配置显示和维护1.6 MAC地址认证配置举例第1章 MAC地址认证配置1.1 MAC地址认证简介MAC地址认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法，它不需要用户安装任何客户端认证软件。

交换机在首次检测到用户的MAC 地址以后，即启动对该用户的认证操作。

认证过程中，也不需要用户手动输入用户名或者密码。

S3100系列以太网交换机进行MAC地址认证时，可采用两种认证方式：●通过RADIUS服务器认证●本地认证当认证方式确定后，用户可根据需求选择以下一种类型的认证用户名：●MAC地址用户名：使用用户的MAC地址作为认证时的用户名和密码。

●固定用户名：所有用户均使用在交换机上预先配置的本地用户名和密码进行认证，因此用户能否通过认证取决于该用户名和密码是否正确及此用户名的最大用户数属性控制（具体内容请参见本手册“AAA”中的配置本地用户属性部分）。

1.1.1 RADIUS服务器认证方式进行MAC地址认证当选用RADIUS服务器认证方式进行MAC地址认证时，交换机作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作：●采用MAC地址用户名时，交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。

●采用固定用户名时，交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密码，发送给RADIUS服务器。

RADIUS服务器完成对该用户的认证后，认证通过的用户可以访问网络。

1.1.2 本地认证方式进行MAC地址认证当选用本地认证方式进行MAC地址认证时，直接在交换机上完成对用户的认证。

需要在交换机上配置本地用户名和密码：●采用MAC地址用户名时，需要配置的本地用户名为接入用户的MAC地址，本地用户名是否使用分隔符“-”要与mac-authentication authmodeusernameasmacaddress usernameformat命令设置的格式相同，否则会导致认证失败。

●采用固定用户名时，所有用户MAC将自动匹配到已配置的本地用户名和密码。

本地用户的服务类型应设置为lan-access。

1.2 相关概念1.2.1 MAC地址认证定时器MAC地址认证过程受以下定时器的控制：●下线检测定时器（offline-detect）：用来设置交换机检查用户是否已经下线的时间间隔。

当检测到用户下线后，交换机立即通知RADIUS服务器，停止对该用户的计费。

●静默定时器（quiet）：用来设置用户认证失败以后，该用户需要等待的时间间隔。

在静默期间，交换机不处理该用户的认证功能，静默之后交换机再重新对用户发起认证。

●服务器超时定时器（server-timeout）：用来设置交换机同RADIUS服务器的连接超时时间。

在用户的认证过程中，如果服务器超时定时器超时，则此次认证失败。

1.2.2 静默MAC当一个MAC地址认证失败后，此MAC就被设置为静默MAC。

在静默定时器时长之内，对来自此MAC地址的数据报文，交换机直接做丢弃处理。

静默MAC的功能主要是防止非法MAC短时间内的重复认证。

注意：●若配置的静态MAC或者认证通过的MAC地址与静默MAC相同，则此MAC地址的静默功能失效。

●S3100系列以太网交换机支持在端口下配置是否开启静默MAC功能。

1.3 MAC地址认证基本功能配置1.3.1 MAC地址认证基本功能配置表1-1 MAC地址认证基本功能配置注意：●如果端口开启了MAC地址认证，则不能配置该端口的最大MAC地址学习个数（通过命令mac-address max-mac-count配置），反之，如果端口配置了最大MAC地址学习个数，则禁止在该端口上开启MAC地址认证。

●如果开启了MAC地址认证，则不能配置端口安全（通过命令port-security enable配置），反之，如果配置了端口安全，则禁止在该端口上开启MAC地址认证。

●各端口的MAC地址认证状态在全局开启之前可以配置，但不会生效；在全局MAC地址认证开启后，已使能MAC地址认证的端口将立即开始进行认证操作。

1.4 MAC地址认证增强功能配置1.4.1 MAC地址认证增强功能配置任务表1-2 MAC地址认证增强功能配置任务1.4.2 配置Guest VLAN说明：本节所指的Guest VLAN指的是MAC地址认证功能专用的Guest VLAN，与“802.1x 及System-Guard”手册中描述的Guest VLAN不是同一功能。

在完成1.3 MAC地址认证基本功能配置介绍的配置任务后，交换机可以对接入用户根据其MAC地址或固定的用户名密码进行认证。

对于认证失败的客户端，交换机不会将其MAC地址学习到本地的MAC地址转发表，以防止非法用户访问网络。

在某些情况下，对于认证未通过的客户端，要求其仍然可以访问网络中的部分受限资源，例如病毒库升级服务器等，这时可以使用Guest VLAN功能来实现。

用户可以为交换机的每个端口设置一个Guest VLAN，当端口连接的客户端认证失败后，该端口将被自动加入Guest VLAN，客户端的MAC地址也将被学习到Guest VLAN的MAC地址表中，该用户即可以访问Guest VLAN内的网络资源。

在端口加入Guest VLAN后，交换机将定期对该端口第一个接入用户（即第一个学到的单播MAC地址对应的用户）进行重认证。

如果用户通过重认证，该端口将退出Guest VLAN，用户也将可以正常访问网络。

注意：●由于Guest VLAN是基于端口加入VLAN的方式实现的，即：如果某端口下连接了多个用户，当第一个用户认证失败后，其他用户随之也只能访问Guest VLAN内的内容，而且交换机只会对第一个接入该端口的用户的MAC地址进行重认证，其他用户将不会再有通过认证的机会。

因此，在端口下连接客户端数量大于1时，将不能配置Guest VLAN。

●当用户认证失败时，交换机将该失败端口加入Guest VLAN，因此，对于Access端口，Guest VLAN可以有效实现隔离未认证用户的功能。

但对于Trunk和Hybrid端口，如果接收的报文本身已经带有VLAN Tag，且在端口允许通过的VLAN范围内，该报文将被正确转发，而不受Guest VLAN的影响。

即在用户认证失败的情况下，Trunk和Hybrid端口仍能向除Guest VLAN之外的VLAN转发数据。

表1-3 Guest VLAN配置注意：●当端口连接的客户端数量大于1时，将不能配置该端口的GuestVLAN。

当端口配置了Guest VLAN后，该端口也将只允许一个MAC地址认证用户接入。

即使配置的MAC地址认证用户的最大数目限制大于1，也将不会生效。

●被配置为Guest VLAN的VLAN不能使用undo vlan命令直接删除，必须先删除Guest VLAN配置，才能够删除。

undo vlan命令请参见本手册“VLAN”部分的介绍。

●一个端口只能配置一个Guest VLAN，对应的VLAN必须已经存在，否则将会配置失败。

如果需要修改当前端口的Guest VLAN，需要先删除之前的Guest VLAN配置，再重新进行配置。

●在配置了端口的Guest VLAN后，将不能在此端口开启802.1x认证功能。

●MAC地址认证的Guest VLAN功能在端口安全开启的情况下不生效。

1.4.3 配置端口下MAC地址认证用户的最大数量用户可以通过配置端口下MAC 地址认证用户的最大数量，来控制通过此端口接入的用户数目。

当接入用户到达配置的限制数量时，交换机将不会再对之后接入的用户进行认证触发动作，这些用户也就无法正常访问网络。

表1-4 配置端口下MAC 地址认证用户的最大数目限制注意：●当端口下同时配置了MAC 地址认证用户数量限制和端口安全的用户数量限制时，允许接入的MAC 地址认证用户数将为这两种配置中的较小值。

端口安全功能的介绍请参见本手册“端口安全”部分。

●当端口当前有用户在线时，不能配置此端口的MAC 地址认证用户的最大数量。

1.4.4 配置端口的静默MAC 功能用户可以手动配置端口下是否开启静默MAC 功能。

开启静默MAC 功能后，如果当前端口连接的客户端MAC 地址认证失败后，此MAC 就被设置为静默MAC 。

关闭当前端口的静默MAC 功能，则不会被设置为静默MAC 。

表1-5 配置端口的静默MAC 功能1.5 MAC地址认证配置显示和维护完成上述配置后，在任意视图下执行display命令，可以显示配置MAC地址认证后的运行情况。

通过查看显示信息，用户可以验证配置的效果。

在用户视图下执行reset命令清除MAC地址认证的统计信息。

表1-6 MAC地址认证显示和维护1.6 MAC地址认证配置举例1. 组网需求如图1-1所示，某用户的工作站与以太网交换机的端口Ethernet1/0/2相连接。

●交换机的管理者希望在端口Ethernet1/0/2上对用户接入进行MAC地址认证，以控制用户对Internet的访问。

●所有用户都属于域：，认证时使用本地认证的方式。

用户名和密码都为PC的MAC地址：00-0d-88-f6-44-c1。

2. 组网图图1-1 开启MAC地址认证对接入用户进行本地认证3. 配置步骤# 开启指定端口Ethernet 1/0/2的MAC地址认证特性。

<H3C> system-view[H3C] mac-authentication interface Ethernet 1/0/2# 配置采用MAC地址用户名进行认证，并指定使用带有分隔符的小写形式的MAC 地址作为验证的用户名和密码。

[H3C] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen lowercase# 添加本地接入用户。

●配置本地用户的用户名和密码。

[H3C] local-user 00-0d-88-f6-44-c1[H3C-luser-00-0d-88-f6-44-c1] password simple 00-0d-88-f6-44-c1●设置本地用户服务类型为lan-access。