怎样实现某几个vlan下mac地址认证 请给出详细配置指导谢谢
比如仅vlan10下启用一个mac地址认证表 vlan20下启用一个mac地址认证表 其他的vlan不启用mac认证
(0)
在vlan虚接口下无法打mac-authentication
(0)
请问802.1x 可以实现我这个需求吗 或者有其他更好的方式吗 如果只能在物理端口启用 配置就太繁琐了
不能基于VLAN,可以基于VLAN下关联的物理接口
参考:
如图3-1所示,通过配置MAC地址本地认证功能,实现在无需架设服务器的情况下,完成接入用户的安全认证,控制其对Internet的访问。
图3-1 开启MAC地址认证对接入用户进行本地认证
· 在Device与用户端相连的端口GigabitEthernet1/0/1上配置MAC地址认证。
· 认证用户属于域bbb,用户名和密码都为用户端的MAC地址:08-00-27-00-98-d2。
· 为了防止非法MAC短时间内的重复认证,可配置MAC地址认证定时器。
表3-1 适用产品及版本
产品 | 软件版本 |
S6550XE-HI系列 | Release 6008及以上版本 |
S6525XE-HI系列 | Release 6008及以上版本 |
S5850系列 | Release 8005及以上版本 |
S5560X-EI系列 | Release 63xx系列、Release 65xx系列 |
S5560X-HI系列 | Release 63xx系列、Release 65xx系列 |
S5500V2-EI系列 | Release 63xx系列、Release 65xx系列 |
MS4520V2-30F | Release 63xx系列、Release 65xx系列 |
MS4520V2-30C MS4520V2-54C | Release 65xx系列 |
MS4520V2-28S MS4520V2-24TP | Release 63xx系列、Release 65xx系列 |
S6520X-HI系列 S6520X-EI系列 | Release 63xx系列、Release 65xx系列 |
S6520X-SI系列 S6520-SI系列 | Release 63xx系列、Release 65xx系列 |
S5000-EI系列 | Release 63xx系列、Release 65xx系列 |
MS4600系列 | Release 63xx系列、Release 65xx系列 |
ES5500系列 | Release 63xx系列、Release 65xx系列 |
S5560S-EI系列 S5560S-SI系列 | Release 63xx系列 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 | Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 | Release 63xx系列 |
S3100V3-EI系列 S3100V3-SI系列 | Release 63xx系列 |
S5110V2系列 | Release 63xx系列 |
S5110V2-SI系列 | Release 63xx系列 |
S5000V3-EI系列 S5000V5-EI系列 | Release 63xx系列 |
S5000E-X系列 | Release 63xx系列 |
E128C E152C E500C系列 E500D系列 | Release 63xx系列 |
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列 | Release 63xx系列 |
WS5850-WiNet系列 | Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 | Release 63xx系列 |
WAS6000系列 | Release 63xx系列 |
IE4300-12P-AC & IE4300-12P-PWR IE4300-M系列 IE4320系列 | Release 63xx系列 |
· 配置全局MAC地址认证一般放在最后,当其他认证参数未配置完成时,会造成合法用户无法访问网络。
· 创建本地用户时,需要注意用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
# 添加本地接入用户。
<Device> system-view
[Device] local-user 08-00-27-00-98-d2 class network
[Device-luser-network-08-00-27-00-98-d2] password simple 08-00-27-00-98-d2
[Device-luser-network-08-00-27-00-98-d2] service-type lan-access
[Device-luser-network-08-00-27-00-98-d2] quit
# 配置ISP域,使用本地认证方式。
[Device] domain bbb
[Device-isp-bbb] authentication lan-access local
[Device-isp-bbb] quit
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain bbb
# 配置MAC地址认证的下线定时器和静默定时器。即设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址认证的用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。
[Device] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启端口GigabitEthernet1/0/1的MAC地址认证。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] quit
# 开启全局MAC地址认证特性。
[Device] mac-authentication
(0)
请问802.1x 可以实现我这个需求吗 或者有其他更好的方式吗 如果只能在物理端口启用 配置就太繁琐了
请问802.1x 可以实现我这个需求吗 或者有其他更好的方式吗 如果只能在物理端口启用 配置就太繁琐了
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
请问802.1x 可以实现我这个需求吗 或者有其他更好的方式吗 如果只能在物理端口启用 配置就太繁琐了