H3C-S3100-MAC地址认证配置(5)

H3C-S3100-MAC地址认证配置

用户可以为交换机的每个端口设置一个Guest VLAN，当端口连接的客户端认证失败后，该端口将被自动加入Guest VLAN，客户端的MAC地址也将被学习到Guest VLAN的MAC地址表中，该用户即可以访问Guest VLAN内的网络资源。

在端口加入Guest VLAN后，交换机将定期对该端口第一个接入用户（即第一个学到的单播MAC地址对应的用户）进行重认证。如果用户通过重认证，该端口将退出Guest VLAN，用户也将可以正常访问网络。

z

由于Guest VLAN是基于端口加入VLAN的方式实现的，即：如果某端口下连接了多个用户，当第一个用户认证失败后，其他用户随之也只能访问Guest VLAN内的内容，而且交换机只会对第一个接入该端口的用户的MAC地址进行重认证，其他用户将不会再有通过认证的机会。因此，在端口下连接客户端数量大于1时，将不能配置Guest VLAN。

z

当用户认证失败时，交换机将该失败端口加入Guest VLAN，因此，对于Access端口，Guest VLAN可以有效实现隔离未认证用户的功能。但对于Trunk和Hybrid端口，如果接收的报文本身已经带有VLAN Tag，且在端口允许通过的VLAN范围内，该报文将被正确转发，而不受Guest VLAN的影响。即在用户认证失败的情况下，Trunk和Hybrid端口仍能向除Guest VLAN之外的VLAN转发数据。

表1-3 Guest VLAN配置

操作

进入系统视图 进入以太网端口视图

system-view

interface interface-type interface-number

mac-authentication guest-vlan vlan-id quit

命令

- - 必选

缺省情况下，没有配置端口的Guest VLAN - 可选

配置交换机对Guest VLAN内用户进行重认证的时间间隔

mac-authentication timer guest-vlan-reauth interval

缺省情况下，交换机对Guest VLAN内用户进行重认证的时间间隔为30秒

说明

配置当前端口的Guest VLAN

退出至系统视图

当端口连接的客户端数量大于1时，将不能配置该端口的Guest VLAN。当端口配置了Guest VLAN后，该端口也将只允许一个MAC地址认证用户接入。即使配置的MAC地址认证用户的最大数目限制大于1，也将不会生效。

z

z

被配置为Guest VLAN的VLAN不能使用undo vlan命令直接删除，必须先删除Guest VLAN配置，才能够删除。undo vlan命令请参见本手册“VLAN”部分的介绍。

一个端口只能配置一个Guest VLAN，对应的VLAN必须已经存在，否则将会配置失败。如果需要修改当前端口的Guest VLAN，需要先删除之前的Guest VLAN配置，再重新进行配置。 在配置了端口的Guest VLAN后，将不能在此端口开启802.1x认证功能。 MAC地址认证的Guest VLAN功能在端口安全开启的情况下不生效。

z

z z