交换机 mac认证

1.2 配置需求及实现的效果

电脑通过交换机的G1/0/2口连入网络，设备对该端口接入的用户进行本地mac地址认证以控制其访问Internet。

2 组网图

3 配置步骤

3.1 交换机VLAN及虚接口基本配置

#交换机缺省二层口属于vlan1，给vlan1配置ip地址为192.168.0.1。

<H3C>system-view   //进入系统视图

[H3C]interface Vlan-interface 1   //进入vlan1接口

[H3C-Vlan-interface1] ip address 192.168.0.1 255.255.255.0   //配置IP地址为192.168.0.1，掩码为255.255.255.0

[H3C-Vlan-interface1]quit   //退出当前视图

3.2 配置认证域（缺省不配置为system域）

#创建名为“test”的ISP域，本地认证，不授权不计费。

[H3C]domain test   //创建名为test的ISP域

[H3C-isp-test] authentication lan-access local   //为mac认证的用户配置本地认证方法

[H3C-isp-test] authorization lan-access none   //配置AAA授权方法为不授权

[H3C-isp-test] accounting lan-access none   //配置AAA授权方法为不计费

[H3C-isp-test]quit   //退出当前视图

3.3 配置本地MAC地址认证

#开启全局MAC地址认证功能

注：只有全局和端口的MAC地址认证均开启后，MAC地址认证配置才能在端口上生效。

[H3C] mac-authentication   //开启全局MAC地址认证功能

#G1/0/2接口下开启MAC地址认证

[H3C] interface GigabitEthernet1/0/2   //进入G1/0/2接口

[H3C-GigabitEthernet1/0/2] mac-authentication   //接口下开启MAC地址认证功能

#配置G1/0/2接口的强制认证ISP域为“test”。（此处不配置为默认system域）

[H3C-GigabitEthernet1/0/2] mac-authentication domain test   //配置G1/0/2接口的强制认证ISP域为“test”

3.4 配置本地账户和密码

#创建本地用户f430b9d0ded4，密码为f430b9d0ded4，服务类型为lan-access。

注：缺省情况下，使用用户的MAC地址作为用户名与密码，其中字母为小写，且不带连字符，可通过mac-authentication user-name-format修改认证账号的格式。

[H3C] local-user f430b9d0ded4 class network   //创建MAC地址认证的本地用户，用户名为“f430b9d0ded4”

[H3C-luser-network-f430b9d0ded4]password simple f430b9d0ded4  //密码为f430b9d0ded4

[H3C-luser-network-f430b9d0ded4]service-type lan-access   //服务器类型为lan-access

[H3C-luser-network-f430b9d0ded4]quit   //退出当前视图

[H3C-luser-network-f430b9d0ded4]save for   //保存配置

3.5 实验结果验证

Mac地址为F4-30-B9-D0-DE-D4的电脑手动配置192.168.0.10的地址接该交换机的G1/0/2接口，能Ping通交换机上的vlan1虚接口地址192.168.0.1。

此时查看交换机上mac地址认证用户的详细信息，mac地址为f430-b9d0-ded4的终端在G1/0/2接口认证成功，用户名是f430b9d0ded4