EIA-mac认证怎么配置

 正常配置

第一步：EIA 服务器侧配置

1. 添加接入设备：进入 EIA 的“接入服务 > 接入设备配置”，将您的核心交换机加入。需准确填写交换机的 IP 地址、设备型号（H3C）、共享密钥以及认证/计费端口（默认通常为 1812/1813）。
2. 录入哑终端 MAC：进入“用户 > 哑终端用户配置”，点击增加。您可以选择基于单个 MAC 或连续 MAC 段进行录入，并将其绑定到对应的接入服务（授权 VLAN 或 ACL 权限）。
3. 配置生效：完成上述配置后，务必点击“立即生效”按钮，确保策略下发至内存中。

第二步：核心交换机侧配置

1. 创建 RADIUS Scheme：指定 EIA 服务器的 IP 和共享密钥，注意两端密钥必须保持一致。
   [Device] radius scheme eia-radius [Device-radius-eia-radius] primary authentication <EIA_IP> 1812 [Device-radius-eia-radius] primary accounting <EIA_IP> 1813 [Device-radius-eia-radius] key authentication simple <YourSecretKey> [Device-radius-eia-radius] key accounting simple <YourSecretKey> [Device-radius-eia-radius] user-name-format without-domain
2. 创建 Domain 域：将 LAN 接入方式与上一步创建的 RADIUS 方案绑定。
   [Device] domain mac-domain [Device-isp-mac-domain] authentication lan-access radius-scheme eia-radius [Device-isp-mac-domain] authorization lan-access radius-scheme eia-radius [Device-isp-mac-domain] accounting lan-access radius-scheme eia-radius [Device-isp-mac-domain] quit
3. 全局及接口启用 MAC 认证：
   # 全局开启并指定域 [Device] mac-authentication [Device] mac-authentication domain mac-domain # 在连接哑终端的物理接口下开启 [Device] interface GigabitEthernet1/0/1 [Device-GigabitEthernet1/0/1] mac-authentication [Device-GigabitEthernet1/0/1] quit

 关键运维建议与避坑指南

• 高可用逃生机制：为了防止 EIA 宕机导致内网哑终端全部断网，强烈建议在核心交换机上开启离线逃生功能。当交换机向 EIA 发起重认证无响应时，已认证的用户会保持在线不被踢下线：
  mac-authentication offline-keep enable
• IP+MAC 绑定防篡改：如果哑终端使用的是固定 IP，推荐叠加静态 ARP 绑定（如 arp static <IP> <MAC>），防止终端私自修改 IP 导致冲突或被仿冒攻击。
• 状态验证命令：配置完成后，可在核心交换机上使用 display mac-authentication connection 查看用户的认证状态是否为 Authenticated；也可登录 EIA 控制台，在“在线用户”列表中确认该 MAC 设备是否成功上线。

一、组网与原理
终端 → 核心交换机（开启 MAC 认证）→ RADIUS → EIA 服务器
EIA 上预先录入终端 MAC，认证通过才放通
核心上：全局 + 端口开启 mac-authentication，RADIUS 指向 EIA
二、EIA 侧配置（先做）
1. 添加接入设备（核心交换机）
用户 → 接入策略管理 → 接入设备管理 → 接入设备 → 添加
名称：核心交换机
IP：核心的管理 IP
密钥：simple 123456（和交换机一致）
设备类型：H3C
2. 新增 MAC 用户（哑终端）
用户 → 所有用户 → 新增
用户名：001122aabbcc（无分隔、小写）
密码：同用户名
服务：LAN 接入
3. 认证策略
接入策略管理 → 认证策略 → 新建
认证方式：MAC 地址认证
绑定接入设备、VLAN 等
三、核心交换机配置（重点）
1. 基础配置（IP、路由可达 EIA）
bash
运行
system-view
interface Vlan-interface 100 # 管理VLAN
ip address 192.168.1.1 24
# 路由确保能 ping 通 EIA（例：192.168.1.10）
ip route-static 192.168.1.10 32 192.168.1.254
2. 配置 RADIUS 模板（指向 EIA）
bash
运行
radius scheme eia
primary authentication 192.168.1.10 1812 # EIA IP、认证端口
primary accounting 192.168.1.10 1813 # 计费端口
key simple 123456 # 和EIA接入设备密钥一致
user-name-format without-domain # 不带域名发过去
3. 配置 ISP 域（MAC 认证用）
bash
运行
domain mac-auth
authentication lan-access radius-scheme eia
authorization lan-access radius-scheme eia
accounting lan-access radius-scheme eia
4. 全局开启 MAC 认证、指定格式和域
bash
运行
# 全局开启MAC认证
mac-authentication

# MAC账号格式：无分隔、小写（EIA录入要一致）
mac-authentication user-name-format mac-address without-hyphen lowercase

# 绑定认证域
mac-authentication domain mac-auth
5. 接入端口配置（接终端 / 接入交换机）
bash
运行
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk allow-pass vlan 10 # 业务VLAN
undo dot1x # 关闭802.1X，只做MAC
mac-authentication # 端口开启MAC认证
6. 全局 AAA（可选）
bash
运行
aaa
session-lan-access enable
四、验证命令（排查用）
bash
运行
# 查看全局MAC认证状态
display mac-authentication

# 查看端口MAC认证
display mac-authentication interface GigabitEthernet 1/0/1

# 查看RADIUS统计（是否发请求、是否收到accept）
display radius scheme eia statistics

# 查看在线MAC用户
display mac-authentication online-user
五、常见坑
MAC 格式不一致：交换机是 without-hyphen lowercase，EIA 也必须是这个格式，否则认证失败。
密钥不匹配：交换机 radius key 和 EIA 接入设备密钥必须完全一致。
端口没关 dot1x：会和 MAC 冲突，必须 undo dot1x。
VLAN 不通：认证前端口只放 untag/critical VLAN，认证后才切业务 VLAN。