mac地址认证配置举例

项目案例计算机网络系统集成项目（工程项目案例及实践）所在系别：计算机技术系所属专业：计算机网络技术指导教师：张海峰专业负责人：孙志成H3C无线控制器MAC地址认证+Guest VLAN典型配置举例（V7）一、功能需求本文档介绍当用户MAC地址认证失败时只能访问某一特定的VLAN，即Guest VLAN 内的网络资源的典型配置举例。

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA、MAC地址认证、WLAN用户接入认证和WLAN接入特性。

二、组网信息及描述如图1所示，集中式转发架构下，AP和Client通过DHCP server获取IP地址，设备管理员希望对Client进行MAC地址认证，以控制其对网络资源的访问，具体要求如下：∙配置VLAN 200为Client的接入VLAN，Client通过VLAN 200上线并在RADIUS server上进行MAC地址认证。

∙配置VLAN 300为Guest VLAN，当Client的MAC地址认证失败时进入Guest VLAN，此时Client只能访问VLAN 300内的网络资源。

三、配置步骤1.1 配置思路为了实现用户MAC地址认证失败后仅允许访问Guest VLAN内的资源，需要在无线服务模板下配置Guest VLAN功能，则认证失败的用户会被加入该Guest VLAN，且该用户仅被授权访问Guest VLAN内的资源，同时设备会启动一个30秒的定时器，以定期对用户进行重新认证。

1.2 配置步骤1.2.1 配置AC(1)配置AC的接口# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。

目录第1章 MAC地址认证配置1.1 MAC地址认证简介1.1.1 RADIUS服务器认证方式进行MAC地址认证1.1.2 本地认证方式进行MAC地址认证1.2 相关概念1.2.1 MAC地址认证定时器1.2.2 静默MAC1.3 MAC地址认证基本功能配置1.3.1 MAC地址认证基本功能配置1.4 MAC地址认证增强功能配置1.4.1 MAC地址认证增强功能配置任务1.4.2 配置Guest VLAN1.4.3 配置端口下MAC地址认证用户的最大数量1.4.4 配置端口的静默MAC功能1.5 MAC地址认证配置显示和维护1.6 MAC地址认证配置举例第1章 MAC地址认证配置1.1 MAC地址认证简介MAC地址认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法，它不需要用户安装任何客户端认证软件。

交换机在首次检测到用户的MAC 地址以后，即启动对该用户的认证操作。

认证过程中，也不需要用户手动输入用户名或者密码。

S3100系列以太网交换机进行MAC地址认证时，可采用两种认证方式：●通过RADIUS服务器认证●本地认证当认证方式确定后，用户可根据需求选择以下一种类型的认证用户名：●MAC地址用户名：使用用户的MAC地址作为认证时的用户名和密码。

●固定用户名：所有用户均使用在交换机上预先配置的本地用户名和密码进行认证，因此用户能否通过认证取决于该用户名和密码是否正确及此用户名的最大用户数属性控制（具体内容请参见本手册“AAA”中的配置本地用户属性部分）。

1.1.1 RADIUS服务器认证方式进行MAC地址认证当选用RADIUS服务器认证方式进行MAC地址认证时，交换机作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作：●采用MAC地址用户名时，交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。

●采用固定用户名时，交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密码，发送给RADIUS服务器。

MAC地址认证配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章配置Mac地址认证 (1)1.1 Mac地址认证简介 (1)1.2 Mac地址认证配置 (1)1.2.1 AAA相关配置 (1)1.2.2 功能开启配置 (2)1.2.3 下线检测配置 (3)1.2.4 静默定时器配置 (3)1.2.5 Mac-vlan功能配置 (3)1.2.6 Guest-vlan功能配置 (4)1.2.7 用户特性配置 (4)1.2.8 配置实例 (5)第1章配置Mac地址认证1.1 Mac地址认证简介mac地址认证功能是基于端口和mac地址对用户进行访问网络权限进行控制的功能模块。

刚开始时，交换机的mac地址表不存在用户的mac地址表项，用户的报文首次到达交换机会触发mac地址认证，在认证过程中，不需要用户的参与（比如输入相关用户名和密码），认证通过后用户的mac地址会加进交换机的mac地址表，以后该用户的流量就可以直接根据mac地址表项内容进行转发。

认证时支持两种认证方式，在配置AAA域的时候选择方案配置：通过radius服务器进行认证；通过本地用户数据库进行认证；1.2 Mac地址认证配置1.2.1 AAA相关配置mac认证需要配置使用哪个AAA认证域进行认证。

而进行radius服务器认证或者本地用户数据库认证的选择在AAA认证域进行。

如果没有配置，则使用系统配置的默认认证域进行。

当两者都没有配置，则无法进行认证。

由于没有用户参与，mac地址认证在认证时需要构造相关的用户名称和密码，现在存在两种方法：a)mac地址方式，在此种方式下，使用mac地址作为认证的用户名称和密码，固定为12字符长度的字符串，比如mac地址为00:0a:5a:00:03:02，则用户名称和密码为“000a5a000302”；b)固定用户名称和密码，在此种方式下，使用用户配置的固定用户名称和密码；默认情况下为mac地址方式。

集中式MAC地址认证目录目录第1章集中式MAC地址认证配置..........................................................................................1-11.1 集中式MAC地址认证简介...............................................................................................1-11.2 集中式MAC地址认证配置...............................................................................................1-11.2.1 启动全局的集中式MAC地址认证..........................................................................1-21.2.2 启动端口的集中式MAC地址认证..........................................................................1-21.2.3 配置集中式MAC地址认证的方式..........................................................................1-31.2.4 配置集中式MAC地址认证用户所使用域名...........................................................1-41.2.5 配置集中式MAC地址认证定时器..........................................................................1-41.2.6 配置集中式MAC地址重认证.................................................................................1-51.3 集中式MAC地址认证配置显示和维护.............................................................................1-51.4 集中式MAC地址认证配置举例.......................................................................................1-6第1章集中式MAC地址认证配置!说明：目前Quidway S6500系列以太网交换机的LS81FT48A/LS81FM24A/LS81FS24A/LS81GT8UA/LS81GB8UA业务板不支持集中式MAC地址认证。

Aruba控制器配置MAC认证
Aruba AC上配置行业版mac认证
1.首先按照之前大网的awifi配置方法配置一个aaa profile（注意不要在原来
的大网awifi上改，要重新建一个）。

建好行业版的aaa profile后需要按照下面的配置添加几个配置，以zj-haobai-hy-mac-aaa-profile为例。

2.先建一个mac认证后的role，例如取名为：zj-haobai-hy -mac-role，该role的
策略为allowall：
3.到步骤1的aaa profile（zj-haobai-hy-mac-aaa-profile）里面添加下面几个配置
项
MAC Authentication Default Role选择步骤2建好的role（zj-haobai-hy -mac-role）
MAC Authentication选择default，mac authentication server group选择认证服务器，注意该认证服务器一定是新版本的cppm，目前地址是：221.228.39.123，以后有改动请配置的excel里面注明。

ma认证条件摘要：1.MAC 地址2.认证方式3.认证流程4.认证条件5.认证失败处理正文：MAC 地址（Media Access Control Address），即媒体访问控制地址，又称为物理地址、硬件地址或链路地址，是网络设备上的唯一标识符。

MAC 地址通常由48 位二进制数字组成，用十六进制表示，分为前24 位和后24 位，以冒号或连字符分隔，例如：00-11-22-33-44-55。

在网络通信中，为了保证数据包能够正确地发送和接收，需要对网络设备进行身份验证。

认证，即Authentication，是指在通信过程中，通过一定的手段验证对方身份的过程。

常见的认证方式包括：基于密码的认证、基于证书的认证、基于密钥的认证等。

认证流程通常包括以下几个步骤：1.设备之间建立连接。

2.设备之间互相发送认证请求。

3.对方接收到认证请求后，返回认证响应。

4.发送方接收到认证响应后，进行验证。

5.如果验证通过，则设备之间开始进行数据通信；如果验证失败，则连接将被断开。

在MA 认证中，认证条件主要包括以下几点：1.设备之间的物理连接：设备之间需要建立物理连接，确保数据包能够正常传输。

2.设备之间的协议一致性：设备之间需要使用相同的网络协议，确保数据包的格式和内容能够被正确解析。

3.设备之间的密钥匹配：设备之间需要共享相同的密钥，用于加密和解密数据包。

4.设备的认证状态：设备需要处于激活状态，能够正常接收和发送数据包。

如果认证失败，发送方将会收到一个错误响应，表示认证失败。

此时，发送方需要根据错误响应中的原因，进行相应的处理。

H3C 无线控制器本地MAC 认证典型配置一、组网需求如图所示，集中式转发架构下，AP 和CIient 通过DHCPSerVer 获取IP 地址，要求在AC 上使用MAC 地址用户名格式认证方式进行用户身份认证，以控制其对网络资源的访 问。

图1本地MAC 地址认证配置组网图二、配置注意事项1、配置AP 的序列号时请确保该序列号与AP 唯一对应，AP 的序列号可以通过AP设备背面的标签获取。

2、在AC 上配置的MAC 地址认证的用户名、密码需要与Client 上配置的用户名、密码保持一致，即使用Client 的MAC 地址作为用户名和密码进行MAC 地址认证。

3、配置Switch 和AP 相连的接口禁止VLAN 1报文通过，以防止AC 上VLAN 1内的报文过多°三、配置步骤1、 配置AC(1) 配置AC 的接口# 创建VLAN IOO 及其对应的VLAN 接口，并为该接口配置IP 地址。

AP 将获取该IP 地址与AC 建立CAPWAP 隧道。

<AC> system-view [AC] vlan 100 [AC-vlanl00] quit [AC] interface vlan-interface 100 [AC-Vlan-InterfacelOO] ip address 112.12.1.25 24 [AC-Vlan-interfacelOO] quit# 创建VLAN 200及其对应的VLAN 接口，并为该接口配置IP 地址。

CIient 使用该 VLAN 接入无线网络。

[AC] vlan 200 [AC-vlan200] quit [AC] interface vlan-interface200Vlaπ4πt100; 112 12 1.25/16AC DHCP server Switch AP Client[AC-Vlan-interface200] ip address 112.12.2 ∙ 25 24 [AC -Vlan-interface200] quit# 配置 AC 和 Switch 相连的接口 GigabitEthernetI/0/1 为 Trunk 类型，禁止 VLAN 1 报文通过，允许VLANIoO 和VLAN 200通过，当前TnJnk 口的PVID 为100。

目录1 MAC地址认证配置命令......................................................................................................................1-11.1 MAC地址认证基本功能配置命令.......................................................................................................1-11.1.1 display mac-authentication.....................................................................................................1-11.1.2 mac-authentication.................................................................................................................1-21.1.3 mac-authentication interface..................................................................................................1-31.1.4 mac-authentication authmode usernameasmacaddress.......................................................1-41.1.5 mac-authentication authmode usernamefixed.......................................................................1-51.1.6 mac-authentication authpassword..........................................................................................1-51.1.7 mac-authentication authusername.........................................................................................1-61.1.8 mac-authentication domain....................................................................................................1-61.1.9 mac-authentication timer........................................................................................................1-71.1.10 reset mac-authentication......................................................................................................1-71.2 MAC地址认证增强功能配置命令.......................................................................................................1-81.2.1 mac-authentication guest-vlan...............................................................................................1-81.2.2 mac-authentication max-auth-num.........................................................................................1-91.2.3 mac-authentication timer guest-vlan-reauth...........................................................................1-91 MAC地址认证配置命令1.1 MAC地址认证基本功能配置命令1.1.1 display mac-authentication【命令】display mac-authentication[ interface interface-list ]【视图】任意视图【参数】interface interface-list：以太网端口列表，表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。

MAC本地认证配置指导00191333华为技术有限公司MAC本地认证配置指导1.MAC认证MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，用户名和密码都是用户设备的MAC地址。

网络接入设备在首次检测到用户的MAC地址以后，即启动对该用户的认证。

2.MAC认证方式根据有无radius服务器配合认证，MAC认证可分为MAC本地认证（在AC上认证）和MAC地址radius认证。

3.MAC本地认证配置举例3.1组网图图13.2组网需求如图1所示，二层组网直接转发。

业务vlan为vlan 100，管理vlan为vlan 800。

用户的无线终端连接到SSID 为huawei 的无线网络中。

设备管理者希望对用户接入进行MAC 地址认证，以控制其对Internet 的访问。

使用用户的MAC 地址作为用户名和密码，其中MAC 地址不带连字符，字母小写。

3.3配置思路采用如下的思路在AC上进行配置。

1.配置WLAN 基本业务，使AP正常工作。

2.配置MAC认证MAC地址格式，是否带“-”。

3. 在AAA视图下添加新用户，用户名和密码都为无线终端MAC。

4. 在需要认证的端口下使能MAC认证。

5. 业务下发至AP，用户完成业务验证。

说明本配置通过在AC的WLAN-ESS 接口上启用MAC认证来实现对STA进行控制的目的。

直接转发模式下STA的网关不能配置在AC无线侧，可以选择配置在汇聚交换机上或AC有线侧。

配置Security-profile模板时，AC6605 V200R001版本只能使用WPA/WPA2-PSK认证，V200R002可以使用OPEN、WEP、WPA/WPA2-PSK认证3.4操作步骤步骤1 配置接入交换机接入交换机接AP端口trunk透传业务VLAN 100，管理VLAN 800，并打管理vlan pvid 800。

需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端口隔离，如果不配置端口隔离，可能会在VLAN 内存在不必要的广播报文，或者导致不同AP 间的WLAN 用户二层互通的问题。

目录1 MAC地址认证配置.............................................................................................................................1-11.1 MAC地址认证简介.............................................................................................................................1-11.1.1 RADIUS服务器认证方式进行MAC地址认证...........................................................................1-11.2 相关概念............................................................................................................................................1-11.2.1 MAC地址认证定时器..............................................................................................................1-11.2.2 静默MAC................................................................................................................................1-21.2.3 下发VLAN...............................................................................................................................1-21.2.4 下发ACL.................................................................................................................................1-21.3 配置MAC地址认证.............................................................................................................................1-21.3.1 配置准备.................................................................................................................................1-21.3.2 配置过程.................................................................................................................................1-21.4 MAC地址认证的显示和维护..............................................................................................................1-31.5 MAC地址认证典型配置举例..............................................................................................................1-41.5.1 MAC地址RADIUS认证...........................................................................................................1-41.5.2 下发ACL典型配置举例............................................................................................................1-51 MAC地址认证配置1.1 MAC地址认证简介MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。

为了加快提升手机用户使用WLAN的便利性，降低使用WLAN的门槛，在浙江移动省公司的牵头下，召集各个厂家包括华三、摩托、大唐、中兴、亚信一起开发此功能。

一、基于WLAN手机的快速认证方案简介基于WLAN手机的快速认证方案对原有WEB认证流程改变，主要分首次和后续流程：首次上网自动进行MAC绑定⏹MAC绑定查询：用户附着后即向本省AAA查询MAC绑定信息，若MAC未绑定，则维持用户附着状态，用户可进行正常的Portal认证⏹MAC绑定操作：Portal认证通过后，AC将帐号、MAC地址和UA信息传递给本省AAA，进行绑定操作后续上网后台自协商，用户零认证操作⏹MAC绑定查询：用户附着后即向本省AAA查询MAC绑定信息，若MAC已绑定，则将MAC对应的用户名密码提交AC进行Portal认证⏹AC提交认证：AC利用Portal认证流程向集团AAA发起认证，认证成功后，告知AC放开网络短信下线操作⏹MAC绑定设备：处理短信并找到相关用户的MAC、账号、IP，发送强制下线报文至AC⏹AC提交下线：AC收到强制下线报文后，对用户进行下线处理，结束计费二、各设备之间的功能说明为了不破坏原有的Portal交互流程，不需要对集团的Portal服务器做任何变更，固在原有的认证设备基础上，在省内再增加一台MAC绑定服务器，各设备的功能说明如下：集团Portal服务器：原Portal功能集团Radius服务器：原AAA功能省内MAC绑定服务器：记录用户账号和MAC的绑定关系，并对AC的查询绑定信息进行响应；和省内系统同步用户的账号密码；发送强制下线报文给AC；查询是否有相同MAC在同一个时刻进行登陆，并列入黑名单；AC：原Bas功能；向省内绑定服务器发起MAC查询功能；三、MAC快速认证流程⏹用户打开应用程序如浏览器，QQ等，进行上网操作。

⏹AC检测到5分钟内流量超过门限，通知省内绑定服务器进行MAC检查。

⏹绑定服务器对MAC进行检查，如果已经绑定，则提取该MAC地址对应的用户名和密码，到AC上进行Portal认证（此时，省内绑定服务器充当Portal服务器功能）。