H3C-S3100-MAC地址认证配置(4)

H3C-S3100-MAC地址认证配置

操作

命令

必选

配置认证用户所使用的ISP域

mac-authentication domain isp-name

缺省情况下，未配置认证用户使用的域，使用“default domain”作为ISP域名 可选

配置MAC地址认证定时器

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

缺省情况下，下线检测定时器的超时时间为300秒；静默定时器的超时时间为60秒；服务器超时定时器的超时时间为100秒

说明

如果端口开启了MAC地址认证，则不能配置该端口的最大MAC地址学习个数（通过命令mac-address max-mac-count配置），反之，如果端口配置了最大MAC地址学习个数，则禁止在该端口上开启MAC地址认证。

如果开启了MAC地址认证，则不能配置端口安全（通过命令port-security enable配置），反之，如果配置了端口安全，则禁止在该端口上开启MAC地址认证。

各端口的MAC地址认证状态在全局开启之前可以配置，但不会生效；在全局MAC地址认证开启后，已使能MAC

地址认证的端口将立即开始进行认证操作。

z

z

z

1.4 MAC地址认证增强功能配置

1.4.1 MAC地址认证增强功能配置任务

表1-2 MAC地址认证增强功能配置任务

配置任务

配置Guest VLAN

配置端口下MAC地址认证用户的最大数量 配置端口的静默MAC功能

可选 可选 可选

说明

1.4.2 1.4.3 1.4.4

详细配置

1.4.2 配置Guest VLAN

本节所指的Guest VLAN指的是MAC地址认证功能专用的Guest VLAN，与“802.1x及System-Guard”手册中描述的Guest VLAN不是同一功能。

在完成1.3 MAC地址认证基本功能配置介绍的配置任务后，交换机可以对接入用户根据其MAC地址或固定的用户名密码进行认证。对于认证失败的客户端，交换机不会将其MAC地址学习到本地的MAC地址转发表，以防止非法用户访问网络。

在某些情况下，对于认证未通过的客户端，要求其仍然可以访问网络中的部分受限资源，例如病毒库升级服务器等，这时可以使用Guest VLAN功能来实现。