目  录

1 MAC地址认证配置命令

1.1 MAC地址认证基本功能配置命令

1.1.1 display mac-authentication

1.1.2 mac-authentication

1.1.3 mac-authentication interface

1.1.4 mac-authentication authmode usernameasmacaddress

1.1.5 mac-authentication authmode usernamefixed

1.1.6 mac-authentication authpassword

1.1.7 mac-authentication authusername

1.1.8 mac-authentication domain

1.1.9 mac-authentication timer

1.1.10 mac-authentication timer offline-detect

1.1.11 reset mac-authentication

1.2 MAC地址认证增强功能配置命令

1.2.1 mac-authentication guest-vlan

1.2.2 mac-authenticiaon intrusion-mode block-mac

1.2.3 mac-authentication max-auth-num

1.2.4 mac-authentication timer guest-vlan-reauth

1 MAC地址认证配置命令

1.1  MAC地址认证基本功能配置命令

1.1.1  display mac-authentication

【命令】

display mac-authentication [ interface interface-list ]

【视图】

任意视图

【参数】

interface interface-list：以太网端口列表，表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型，interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

display mac-authentication命令用来显示MAC地址认证相关信息。

【举例】

# 显示MAC地址认证的全局信息。

<Sysname> display mac-authentication

Mac address authentication is Enabled.

 Authentication mode is UsernameAsMacAddress

 Usernameformat:with-hyphen lowercase

 Fixed password:not configured

         Offline detect period is 300s

         Quiet period is 60 second(s).

         Server response timeout value  is 100s

         Guest VLAN re-authenticate period is 30s 

         Max allowed user number is 1024

         Current user number amounts to  1

         Current domain: not configured, use default domain

Silent Mac User info:

          MAC ADDR             From Port               Port Index

          0016-e0be-e201       Ethernet1/0/2              1(vlan:1)

          --- 1 silent mac address(es) found. ---          

Ethernet1/0/1 is link-up

  MAC address authentication  is Enabled

  max-auth-num is 256

  Guest VLAN is 2

  Authenticate success: 1, failed: 0

  Current online user number is 1

    MAC ADDR         Authenticate state           AuthIndex

    000d-88f8-4e71   MAC_AUTHENTICATOR_SUCCESS     0

……（以下略）

表1-1 display mac-authentication命令显示信息描述表

1.1.2  mac-authentication

【命令】

mac-authentication

undo mac-authentication

【视图】

系统视图/以太网端口视图

【参数】

无

【描述】

mac-authentication命令用来开启全局或当前端口的MAC地址认证特性。undo mac-authentication命令用来关闭全局或当前端口的MAC地址认证特性。

缺省情况下，全局及所有端口的MAC地址认证特性都处于关闭状态。

在系统视图下使用该命令时，表示开启全局的MAC地址认证特性。在以太网端口视图下使用该命令时，表示开启当前视图所在端口的MAC地址认证特性。

为了启动MAC地址认证，全局和相应端口都需要开启MAC地址认证特性。

【举例】

# 开启全局的MAC地址认证特性。

<Sysname> system-view

System View: return to User View with Ctrl+Z.  

[Sysname] mac-authentication

 MAC-Authentication is enabled globally.

# 开启端口Ethernet1/0/1的MAC地址认证特性。

[Sysname] interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] mac-authentication

1.1.3  mac-authentication interface

【命令】

mac-authentication interface interface-list

undo mac-authentication interface interface-list

【视图】

系统视图

【参数】

interface-list：开启MAC地址认证的以太网端口列表，表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型，interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

mac-authentication interface命令用来开启指定端口上的MAC地址认证特性。undo mac-authentication interface命令用来关闭指定端口上的MAC地址认证特性。

缺省情况下，所有端口的MAC地址认证特性都处于关闭状态。

【举例】

# 开启以太网端口Ethernet 1/0/1上的MAC地址认证特性。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] mac-authentication interface Ethernet 1/0/1

1.1.4  mac-authentication authmode usernameasmacaddress

【命令】

mac-authentication authmode usernameasmacaddress [ usernameformat { with-hyphen | without-hyphen } { lowercase | uppercase } | fixedpassword password ]

undo mac-authentication authmode usernameasmacaddress [ usernameformat  | fixedpassword ]

【视图】

系统视图

【参数】

usernameformat：设置用户名和密码的输入格式。

with-hyphen：系统采用带有分隔符“-”的MAC地址作为MAC地址认证的用户名和密码，例如“00-05-e0-1c-02-e3”。

without-hyphen：系统采用不带有分隔符“-”的MAC地址作为MAC地址认证的用户名和密码，例如“0005e01c02e3”。

lowercase：MAC地址格式为小写格式。

uppercase：MAC地址格式为大写格式。

fixedpassword password：配置MAC地址认证采用固定密码password，不再采用MAC地址作为密码，password为长度 1～63个字符的字符串。

【描述】

mac-authentication authmode usernameasmacaddress命令用来设置MAC地址认证时采用MAC地址用户名形式，并配置具体用户名格式。undo mac-authentication authmode命令用来恢复MAC地址认证时采用的用户名形式为缺省情况。

缺省情况下，MAC地址认证时采用的用户名、密码为MAC地址形式。

【举例】

# 设置MAC地址认证时采用的用户名形式为MAC地址用户名，使用带有分隔符的小写格式输入MAC地址作为用户名和密码。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen lowercase

1.1.5  mac-authentication authmode usernamefixed

【命令】

mac-authentication authmode usernamefixed

undo mac-authentication authmode

【视图】

系统视图

【参数】

无

【描述】

mac-authentication authmode usernamefixed命令用来设置MAC地址认证时采用固定用户名形式。undo mac-authentication authmode命令用来恢复MAC地址认证时采用的用户名形式为缺省情况。

缺省情况下，系统采用MAC地址用户名进行认证。

【举例】

# 设置MAC地址认证时采用固定用户名形式。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] mac-authentication authmode usernamefixed

1.1.6  mac-authentication authpassword

【命令】

mac-authentication authpassword password

undo mac-authentication authpassword

【视图】

系统视图

【参数】

password：表示认证时使用的密码，长度为1～63个字符的字符串。

【描述】

mac-authentication authpassword命令用来设置MAC地址认证采用固定用户名形式时的密码。undo mac-authentication authpassword命令用来取消设置的密码。

缺省情况下，未配置固定用户名的密码。

【举例】

# 设置固定用户名方式的密码为newmac。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] mac-authentication authpassword newmac

1.1.7  mac-authentication authusername

【命令】

mac-authentication authusername username

undo mac-authentication authusername

【视图】

系统视图

【参数】

username：表示认证时使用的用户名，为长度不超过55个字符的字符串。

【描述】

mac-authentication authusername命令用来设置采用固定用户名形式时的用户名。undo mac-authentication authusername命令用来将用户名恢复为系统缺省情况。

缺省情况下，固定用户名形式时的用户名为mac。

【举例】

# 设置固定用户名形式认证的用户名为vipuser。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] mac-authentication authusername vipuser

1.1.8  mac-authentication domain

【命令】

mac-authentication domain isp-name

undo mac-authentication domain

【视图】

系统视图

【参数】

isp-name：ISP域名。为不超过128个字符的非空字符串，且不能包括“/”、“:”、“*”、“?”、“<”以及“>”等特殊字符。

【描述】

mac-authentication domain命令用来配置MAC地址认证用户所使用的ISP域。undo mac-authentication domain命令用来恢复MAC地址认证用户所使用的ISP域为缺省情况。

缺省情况下，使用缺省ISP域system。

【举例】

# 配置MAC地址使用的域为aabbcc。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] mac-authentication domain aabbcc

1.1.9  mac-authentication timer

【命令】

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

undo mac-authentication timer { offline-detect | quiet | server-timeout }

【视图】

系统视图

【参数】

offline-detect-value：下线检测定时器的值，用来设置交换机检查用户是否已经下线的时间间隔。取值范围0～3000000，单位为秒。缺省值为300秒。当offline-detect-value参数取值为0时，表示下线检测定时器不老化，即不进行MAC地址认证的用户下线检测。

quiet-value：静默定时器的值。对用户认证失败以后，交换机需要静默一段时间后再处理用户认证请求，在静默期间，交换机不处理该用户的认证请求。取值范围1～3600，单位为秒。缺省值为60秒。

server-timeout-value：服务器超时定时器的值。在用户的认证过程中，如果交换机同RADIUS 服务器的连接超时，则此次认证失败。取值范围为1～65535，单位为秒。缺省值为100秒。

【描述】

mac-authentication timer命令用来配置MAC地址认证的各项定时器参数。undo mac-authentication timer命令用来将指定的定时器恢复为缺省值。

相关可参考命令display mac-authentication。

【举例】

# 设置服务器超时定时器时长为150秒。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] mac-authentication timer server-timeout 150

1.1.10  mac-authentication timer offline-detect

【命令】

mac-authentication timer offline-detect offline-detect-value

undo mac-authentication timer offline-detect

【视图】

以太网端口视图

【参数】

offline-detect-value：下线检测定时器的值，用来设置交换机检查用户是否已经下线的时间间隔。取值范围0～3000000，单位为秒。缺省值为300秒。

【描述】

mac-authentication timer offline-detect命令用来配置端口下MAC地址认证的用户下线检测定时器参数。undo mac-authentication timer offline-detect命令用来将用户下线检测定时器恢复为缺省值。

需要注意的是：

l              系统视图下指定的用户下线检测定时器的值对所有使能了MAC地址认证的端口生效。

l              以太网端口视图下指定的用户下线检测定时器的值仅对本端口有效。不同的端口可以指定不同的值。

l              端口上接入的MAC地址认证用户将按照如下先后顺序选择下线检测定时器的值：端口上指定的用户下线检测定时器的值-->系统视图下指定的用户下线检测定时器的值。

l              当offline-detect-value参数取值为0时，表示下线检测定时器不老化，即不进行MAC地址认证的用户下线检测。

【举例】

# 设置Ethernet1/0/1端口上的MAC地址认证用户下线检测定时器时长为500秒。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] mac-authentication timer offline-detect 500

1.1.11  reset mac-authentication

【命令】

reset mac-authentication statistics [ interface interface-list]

【视图】

用户视图

【参数】

interface-list：以太网端口列表，表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型，interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

reset mac-authentication命令用来清除MAC地址认证的统计信息。当指定interface参数时，表示清除指定端口上的MAC地址认证统计信息；不指定interface参数时，表示清除全局MAC地址认证统计信息。

【举例】

# 清除端口Ethernet 1/0/1上的MAC地址认证统计信息。

<Sysname> reset mac-authentication statistics interface Ethernet 1/0/1

1.2  MAC地址认证增强功能配置命令

1.2.1  mac-authentication guest-vlan

【命令】

mac-authentication guest-vlan vlan-id

undo mac-authentication guest-vlan

【视图】

以太网端口视图

【参数】

vlan-id：为当前端口配置的Guest VLAN的VLAN ID，取值范围为1～4094。

【描述】

mac-authentication guest-vlan命令用来配置当前端口的Guest VLAN，如果端口连接的客户端认证失败，该端口将被加入Guest VLAN，此时接入用户可以访问Guest VLAN中的网络资源。undo mac-authentication guest-vlan命令用来取消端口的Guest VLAN配置。

缺省情况下，没有配置端口的Guest VLAN。

系统每隔mac-authentication timer guest-vlan-reauth设置的时间间隔后，会对Guest VLAN内用户进行重认证，如果认证成功，则离开Guest VLAN，回到原VLAN。

相关配置可参考命令mac-authentication timer guest-vlan-reauth。

【举例】

# 配置以太网端口Ethernet1/0/1的Guest VLAN为VLAN4。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] mac-authentication guest-vlan 4

1.2.2  mac-authenticiaon intrusion-mode block-mac

【命令】

mac-authenticiaon intrusion-mode block-mac enable

undo mac-authenticiaon intrusion-mode block-mac enable

【视图】

以太网端口视图

【参数】

无

【描述】

mac-authenticiaon intrusion-mode block-mac enable命令用来开启当前端口的静默MAC功能，开启静默MAC功能后，如果当前端口连接的客户端MAC地址认证失败后，此MAC就被设置为静默MAC。undo mac-authenticiaon intrusion-mode block-mac enable命令用来关闭当前端口的静默MAC功能。

缺省情况下，端口下开启静默MAC功能。

【举例】

# 配置以太网端口Ethernet1/0/1开启静默MAC功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] mac-authenticiaon intrusion-mode block-mac enable

1.2.3  mac-authentication max-auth-num

【命令】

mac-authentication max-auth-num user-number

undo mac-authentication max-auth-num

【视图】

以太网端口视图

【参数】

user-number：端口允许接入的MAC地址认证用户的最大数量，取值范围为1～256。

【描述】

mac-authentication max-auth-num命令用来配置当前端口可以接入的MAC地址认证用户的最大数量，当接入用户到达配置的限制数量时，交换机将不会再对之后接入的用户进行认证触发动作，这些用户也就无法正常访问网络。undo mac-authentication max-auth-num用来恢复该配置的缺省值。

缺省情况下，端口允许接入的MAC地址认证用户的最大数量为256个。

【举例】

# 配置以太网端口Ethernet1/0/2最多允许100个MAC地址认证用户接入。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface Ethernet 1/0/2

[Sysname-Ethernet1/0/2] mac-authentication max-auth-num 100

1.2.4  mac-authentication timer guest-vlan-reauth

【命令】

mac-authentication timer guest-vlan-reauth interval

undo mac-authentication timer guest-vlan-reauth

【视图】

系统视图

【参数】

interval：配置交换机对Guest VLAN内的用户进行重认证的时间间隔，取值范围为1～3600，单位为秒。

【描述】

mac-authentication timer guest-vlan-reauth命令用来配置交换机对Guest VLAN内的用户进行重认证的时间间隔，如果认证成功用户离开Guest VLAN，回到原VLAN。undo mac-authentication timer guest-vlan-reauth用来恢复重认证时间间隔为缺省值。

缺省情况下，交换机对Guest VLAN内用户进行重认证的时间间隔为30秒。

【举例】

# 配置交换机每隔60秒对Guest VLAN内的用户进行重认证。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] mac-authentication timer guest-vlan-reauth 60