某些已连接到交换机端口的设备因为硬件或软件的限制可能不能支持 802.1X 认证。 像网络打印机, IP 电话和某些无线接入点常常有这样的问题。 交换机用一个中央 RADIUS 服务器通过认证 MAC 地址去开启从些设备来的网络接入被控制。
注意: 为了使 MAC 地址认证特性正常的运行,RADIUS 认证必须有效且配置正确。
注意: MAC 认证不能配置在 trunk 端口上。
MAC 地址认证是在每个端口的基础上进行配置的,然而这是两个适用于全局所有交换机上端口的可配置的参数。 使用 安全 > 网络接入(全局配置) 页面配置 MAC 地址认证老化和重认证时间。
开启存储在安全 MAC 地址表中的已认证的 MAC地址的老化。(默认: Disabled )
该参数应用于通过 MAC 地址认证进程(在网络接入情况下)配置的已认证的 MAC 地址, 也应用于通过 802.1X 认证的任何安全 MAC 地址,不管 802.1X 操作模式( Single-Host 、 Multi-Host 或 MAC-Based 认证)。
已认证的 MAC 地址作为动态条目被存储在交换机的安全 MAC 地址表中,同时当老化时间超时时将会被移除。
安全 MAC 地址为交换机系统支持的最大的数量是 1024 。
设置交换机从安全表中删除自动认证的MAC地址的时间段。 重新认证时间超过安全MAC地址时,将从安全MAC地址表中删除,交换机将在下一次收到MAC地址包时才执行认证过程。 (范围:120-1000000秒;默认值:1800秒)
使用 安全 > 网络接入(接口配置 - 通用) 页面在交换机端口上配置 MAC 认证,包括开启地址认证,设置最 MAC 大计数和开启动态 VLAN 或动态 QoS 分配。
在端口上开启 MAC 认证。(默认: Disabled )
设置端口对主机 MAC 认证失败的响应是要么阻塞该端口的接入要么允许流量通过。(可选项: Block , Pass ;默认: Block )
在一个端口上通过 MAC 认证设置可以被认证的 MAC 地址的最大数目。 每个端口上的最大 MAC 地址数是 1024 ,而且安全 MAC 地址支持交换机系统的最大数目是 1024 。 当到达限制时,所有新的 MAC 地址将被作为认证失败来处理。(范围: 1-1024 ;默认: 1024 )
通过所有形式的认证(包括网络访问和IEEE 802.1X)设置可以在端口上验证的最大MAC地址数。(范围:1-2048;默认值:1024)
每个端口的最大MAC地址数为1024个,交换机系统支持的最大安全MAC地址数为1024.达到限制时,所有新的MAC地址都被认为是认证失败。
指定当802.1X认证或MAC认证失败时要分配给端口的VLAN。 (范围:0-4094,其中0表示关闭;默认:关闭)
VLAN必须已经创建并且处于活动状态。 另外,与802.1X认证一起使用时,必须为“访客VLAN”设置入侵行为。
如果交换端口模式设置为“混合”,则只有在认证失败的情况下才能将端口分配给来宾VLAN。
为一个已认证的端口开动态 VLAN 分配。 当开启时,如果 VLAN 已经在交换机上被创建, RADIUS 服务器返回的且通过 802.1X 进程的任何 VLAN 标识符将被应用到该端口。(GVRP 是不能用来创建 VLAN 的。)(默认: Enabled )
通过第一个已认证的 MAC 地址指定的 VLAN 设置将在一个端口上生效。 在端口上的其他已认证的 MAC 地址必须有一样的 VLAN 配置或被作为认证失败来处理。
如果动态 VLAN 分配在一个端口上被开启,同时 RADIUS 服务器返回没有 VLAN 配置,该认证将仍然被作为成功来处理,而且主机将会被分配给默认的未标记的 VLAN 。
当动态 VLAN 分配状态在一个端口上被改变时,所有映射到端口的已认证的地址将从 安全 MAC 地址表 里被清除。
在一个已认证的端口上开启动态 QoS 分配。(默认: Disabled )
允许一个 MAC 过滤器被分配到端口。 存在一个被选定的MAC 地址或 MAC 过滤器中的 MAC 地址范围将免除在指定端口上的认证。(范围: 1-64 ;默认: None )
使用安全> MAC认证(配置MAC过滤器)页面将特定MAC地址或MAC地址范围指定为免除认证。 存在于端口上激活的MAC过滤表中的MAC地址在该端口上被视为预先认证的。
为指定的过滤器添加过滤器规则。 (范围:1-64)
过滤规则将根据输入的MAC地址或MAC地址范围(由MAC地址掩码定义)来检查入口数据包。
过滤规则将检查由MAC位掩码定义的MAC地址的范围。 如果你省略了掩码,则系统将分配完全匹配的默认掩码。 (范围:000000000000 - FFFFFFFFFFFF;默认:FFFFFFFFFFFF)
使用 安全 > 网络接入(显示信息) 页面显示存储在安全 MAC 地址表已认证的 MAC 地址。 安全 MAC 条目上的信息可以被显示且被选中的条目可以从表中被移除。
排序基于 MAC 地址、端口接口或属性所显示的信息。
指定一个明确的 MAC 地址。
指定一个端口接口。
显示静态或动态的地址。
已认证的 MAC 地址。
与安全 MAC 地址相关的端口接口。
已认证 MAC 地址的 RADIUS 服务器的 IP 地址。
当 MAC 地址最后被认证所需的时间。
表明一个静态或动态的地址。