网络准入方法user+mac
- 格式:wps
- 大小:22.50 KB
- 文档页数:2
How To:对无法进行802.1X验证的硬件设备
配置Mac Address Bypass(MAB)功能.
文章: HOWTO35964 | 创建日期: 2010-11-03 | 更新日期: 2011-04-28
文章类型
How To
产品
Network Access Control-> 11.0 -> 11.0 RU5 (11.0.5000)
Network Access Control-> 11.0 -> 11.0 RU6 (11.0.6.0000)
Network Access Control-> 11.0 -> 11.0 RU6a
语言
中文 (简体) (Simp. Chinese)
当启用IEEE 802.1x认证的端口连接的设备是打印机(或者其他无法进行交互认证的设备)时,应当使用
此特性。
原理
如果交换机等待客户端返回IEEE 802.1x认证的EAPOL响应包超时,交换机就会尝试使用基于Mac地址
的免认证特性来识别客户端。当某个IEEE 802.1x认证端口启用Mac地址的免认证特性时,交换机就会使
用Mac地址作为客户端的身份标记,把客户端的Mac地址作为用户名和密码发送给认证服务器
RADIUS-access/request帧。认证服务器有一个允许使用网络的客户端MAC地址数据库。如果认证通过,
交换机就会让客户端使用网络;如果认证失败且未定义失败动作时,交换机会把端口分配到一个预先指定
的Guest Vlan。
注意
基于mac地址的免认证特性受以下条件限制:
你只能够在一个已经启用了IEEE 802.1x认证的端口使用基于mac地址的免认证特性。
如果配置了Guest VLAN,当客户端属于一个非法的mac时,只有未在Lanenfocer上设置失败
动作的时候,交换机才会把客户端分配到Guest VLAN。
说明
目前,Lanenforcer支持三种数据库验证方式(其中本地和LDAP或本地和radius可以混用)。
本地数据库验证需要注意的是Enforcer上添加MAC格式为XX:XX:XX:XX:XX:XX;
LDAP;
Radius;
交换机配置
........
........
Interface GigabitEthernet0/10
switchport mode access
dot1x mac-auth-bypass eap
dot1x mac-auth-bypass timeout inactivity 5
dot1x pae authenticator
dot1x port-control auto
dot1x host-mode multi-host
dot1x violation-mode protect
dot1x timeout server-timeout 60
dot1x reauthentication
end
........
........
Enforcer配置
Enforcer# mab
Enforcer(mab)# enable
Enforcer(mab)# database add xx:xx:xx:xx:xx (本地)
Enforcer(mab)# mab-override enable (启用mab override)
Enforcer(mab)# mab-accept action open-port|close-port|vlan(选择当MAC地址匹配的时候,switch动作)
Enforcer(mab)# mab-reject action open-port|close-port|vlan(选择当MAC地址不匹配的时候,switch动
作)
以下是使用Ldap验证的时候配置,如果使用radius请disable ldap
Enforcer(mab)# ldap enable
Enforcer(mab)# ldap host XX.XX.XX.XXX
Enforcer(mab)# ldap port 389
Enforcer(mab)# ldap password XXX
如使用Radius作为MAC验证,参考基本模式验证即可
注意:无论是LDAP和Radius上,用户名及密码均为MAC地址(如0019b91c7e58)
文章 URL http://www.symantec.com/docs/HOWTO35964
此信息的使用条款位于 法律声明