求H3C交换机在锐捷认证服务器添加MAC地址认证的命令

MAC是目前常见的几种认证之一，很多的公司采用此种认证。本文档简单介绍目前iMC EIA最新版本7.2 E0408配合V7设备实现有线MAC认证。本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解AAA、MAC认证。

 此案例中认证PC的地址为192.168.200.2（当然，MAC认证之前客户端可以不配置地址，通过DHCP自动获取），网关为192.168.200.50，位于AC的interface vlan 100上，另一个接口地址为192.168.218.4，与iMC互联，iMC的地址为192.168.218.15，作为认证的RADIUS服务器。

iMC EIA版本信息 ：7.2 E0408

VAC版本信息：7.1.064, ESS 1111

mac-authentication  //开启MAC认证
 mac-authentication domain mac  //设置MAC认证的domain域为mac
 mac-authentication user-name-format mac-address with-hyphen //设置MAC认证的用户名的格式采用XX-XX-XX-XX-XX-XX

#
vlan 100 //配置连接的vlan，vlan 100
interface Vlan-interface100 //配置PC的网关
 ip address 192.168.200.50 255.255.255.0

#
interface GigabitEthernet2/0  //配置连接iMC的接口
 port link-mode route
 ip address 192.168.218.4 255.255.255.0

#
interface GigabitEthernet3/0 //配置连接认证PC的接口
 port link-mode bridge
 port access vlan 100
  mac-authentication  //开启接口的MAC认证功能

radius scheme mac //配置 radius scheme mac
 primary authentication 192.168.218.15 //指定认证的服务器地址为192.168.218.15
 primary accounting 192.168.218.15 //指定计费的服务器地址为192.168.218.15

accounting-on enable //打开计费功能。在accounting-on功能处于使能的情况下，若集中式设备或分布式设备上的单板重启，则设备或单板会在重启之后发送accounting-on报文通知该方案所使用的RADIUS计费服务器，要求RADIUS服务器停止计费且强制该设备的用户下线。
 key authentication simple h3c //配置认证的key，这里配置为h3c，此处的密钥要和iMC侧接入设备配置的密钥一致。
 key accounting  simple h3c  //配置计费的key，这里配置为h3c，此处的密钥要和iMC侧接入设备配置的密钥一致。这两个密钥要保持一致，因为iMC侧只能配置一个密钥，所以认证和计费密钥要一致。
 user-name-format without-domain //配置认证用户不带domain域，对应IMC侧接入服务不能添加服务后缀
 nas-ip 192.168.218.4 /指定设备发送RADIUS报文的源地址为192.168.218.4，iMC对应接入设备里面配置的地址也应该为192.168.218.4，否则会导致认证不成功。

domain mac //配置domain域mac

 authentication lan-access radius-scheme mac //设置用户认证的radius方案为mac
 authorization lan-access radius-scheme mac //设置用户授权的radius方案为mac
 accounting lan-access radius-scheme mac //设置用户计费的radius方案为mac