H3C-S3100-MAC地址认证配置(2)

H3C-S3100-MAC地址认证配置

1 MAC地址认证配置

1.1 MAC地址认证简介

MAC地址认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法，它不需要用户安装任何客户端认证软件。交换机在首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，也不需要用户手动输入用户名或者密码。 S3100系列以太网交换机进行MAC地址认证时，可采用两种认证方式：

z z

通过RADIUS服务器认证 本地认证

当认证方式确定后，用户可根据需求选择以下一种类型的认证用户名：

z z

MAC地址用户名：使用用户的MAC地址作为认证时的用户名和密码。

固定用户名：所有用户均使用在交换机上预先配置的本地用户名和密码进行认证，因此用户能否通过认证取决于该用户名和密码是否正确及此用户名的最大用户数属性控制（具体内容请参见本手册“AAA”中的配置本地用户属性部分）。

1.1.1 RADIUS服务器认证方式进行MAC地址认证

当选用RADIUS服务器认证方式进行MAC地址认证时，交换机作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作：

z

采用MAC地址用户名时，交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。

z

采用固定用户名时，交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密码，发送给RADIUS服务器。

RADIUS服务器完成对该用户的认证后，认证通过的用户可以访问网络。

1.1.2 本地认证方式进行MAC地址认证

当选用本地认证方式进行MAC地址认证时，直接在交换机上完成对用户的认证。需要在交换机上配置本地用户名和密码：

z

采用MAC地址用户名时，需要配置的本地用户名为接入用户的MAC地址，本地用户名是否使用分隔符“-”要与mac-authentication authmode usernameasmacaddress usernameformat命令设置的格式相同，否则会导致认证失败。

z

采用固定用户名时，所有用户MAC将自动匹配到已配置的本地用户名和密码。

本地用户的服务类型应设置为lan-access。

1.2 相关概念

1.2.1 MAC地址认证定时器

MAC地址认证过程受以下定时器的控制：