s5120交换机mac认证
- 0关注
- 0收藏,38浏览
1. 首要原因:命令拼写和配置模式
您提供的报错信息中有一个明显的细节:mac-authentic ation。这里在 authentic和 ation之间有一个空格。CLI命令行不允许这种拼写错误。
错误命令:
mac-authentic ation正确命令:
mac-authentication
请首先检查您的输入,确保命令是完整的 mac-authentication。
2. 核心原因:配置视图不正确
mac-authentication系列命令需要在特定的配置视图下才能执行。如果您在错误的视图下输入,系统会直接提示不支持。
全局模式 (
[H3C]): 用于开启全局MAC认证功能,设置全局参数。接口视图 (
[H3C-GigabitEthernet1/0/1]): 用于在特定端口上启用MAC认证。安全策略视图 (
[H3C-security-policy]): 这是最关键的一步,很多MAC认证的详细参数(如认证域)需要在此视图下配置。
请按照以下流程和命令顺序进行配置:
第一步:进入系统视图,开启全局MAC认证
# 从用户视图进入系统视图
<H3C> system-view
System View: return to User View with Ctrl+Z.
# 开启全局MAC认证功能
[H3C] mac-authentication
# (可选)设置MAC地址用户名格式,通常使用不带连字符的格式
[H3C] mac-authentication username mac-address without-hyphen第二步:配置连接认证服务器的参数(RADIUS方案和Domain)
假设您已经创建了认证服务器,这部分是配置交换机如何找到它。
# 1. 创建RADIUS方案,例如命名为`radius_mac`
[H3C] radius scheme radius_mac
# 2. 配置主认证服务器的IP和端口
[H3C-radius-radius_mac] primary authentication 192.168.1.100 1812 # 请替换为您的服务器IP
[H3C-radius-radius_mac] primary accounting 192.168.1.100 1813 # 请替换为您的服务器IP
# 3. 配置共享密钥(必须与服务器端设置一致)
[H3C-radius-radius_mac] key authentication simple your_shared_key # 请替换为您的密钥
[H3C-radius-radius_mac] key accounting simple your_shared_key # 请替换为您的密钥
# 4. 配置用户名格式(不携带域名发送)
[H3C-radius-radius_mac] user-name-format without-domain
[H3C-radius-radius_mac] quit
# 5. 创建ISP域(例如命名为`mac_domain`),并应用刚才的RADIUS方案
[H3C] domain mac_domain
[H3C-isp-mac_domain] authentication default radius-scheme radius_mac
[H3C-isp-mac_domain] authorization default radius-scheme radius_mac
[H3C-isp-mac_domain] accounting default radius-scheme radius_mac
[H3C-isp-mac_domain] quit第三步:进入安全策略视图,配置MAC认证参数
这是最容易出错的一步,必须在 security-policy视图下配置。
# 进入安全策略视图
[H3C] security-policy
# 指定MAC认证使用的ISP域(指向刚才创建的`mac_domain`)
[H3C-security-policy] mac-authentication domain mac_domain
# (可选但重要)开启静默定时器,防止因认证失败后频繁尝试
[H3C-security-policy] mac-authentication timer quiet-period 60
[H3C-security-policy] quit第四步:在接口上启用MAC认证
进入需要对接入设备进行认证的端口,通常是连接AP、终端等的接入端口。
# 进入接口视图,例如GigabitEthernet1/0/1
[H3C] interface GigabitEthernet 1/0/1
# 开启端口的MAC认证功能
[H3C-GigabitEthernet1/0/1] mac-authentication
# (重要)设置端口控制模式。推荐使用`mac-else-userlogin-secure`或`mac-else-userlogin`
# 该模式先尝试MAC认证,失败后再进行Portal认证,并提供安全特性(如重认证)
[H3C-GigabitEthernet1/0/1] port-security port-mode authedmac
# 退出接口视图
[H3C-GigabitEthernet1/0/1] quit3. 保存配置并验证
完成所有配置后,务必保存。
[H3C] save force验证命令:
display mac-authentication:查看全局MAC认证状态和统计信息。display mac-authentication interface GigabitEthernet 1/0/1:查看指定端口的MAC认证详细信息。display connection interface GigabitEthernet 1/0/1:查看指定端口的在线用户连接信息。
如果问题依旧?
如果严格按照上述步骤操作后,仍然提示命令不支持,请考虑:
设备型号和软件版本:非常老的S5120型号可能运行的是旧的Comware V5系统,其命令语法与新的Comware V7有较大差异。请通过
display version命令查看您的软件版本。Comware V5:MAC认证的相关命令可能有所不同,例如可能使用
dot1x命令的某些选项来实现,或者命令集完全不同。您需要查阅对应版本的配置手册。
使用
?寻求帮助:在任意视图下,输入mac-authen然后按Tab键尝试自动补全,或者输入mac-authen ?来查看该视图下所有可用的、以mac-authen开头的命令列表。这是判断当前视图下是否存在该命令的最直接方法。
请先检查命令拼写和配置视图,绝大多数问题都可以通过进入正确的 security-policy视图来解决。如果确认是V5软件版本,请告知,我们可以提供V5版本的配置思路。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论