作为一个网络管理员,对于设备的维护与调试是一个必不可少的内容。但是我们怎么来限制只能管理员来登陆设备,而其他人不能登陆呢??万一其他人登陆把我们的设备还原了。真是哭都来不及啊啊啊~这个时候我们提供身份验证的方法,可是万一账号密码泄露了怎么办?还是不安全啊。这个时候我们可以使用mac地址验证的方法,用我们管理员的计算机的mac地址来进行验证就好啦~~
那么mac验证有什么方式的?各有什么特点呢?
1.本地 mac地址验证:
a.终结方式 把mac地址设置为账号密码登陆,弊端:账号需要重复建设,设备损坏账号信息都会丢失。
b.中继方式
优点:不需要客户安装某些客户端软件,使用自己的mac地址作验证就好。
2.结合aaa服务器来实现验证
那下面我们就实现三种方式的mac验证!!!
实验拓扑:
原理:本地mac,将mac用户信息保存在交换机上面
实验步骤:
第一部分【配置基本ip,测试连通性】: 1. 交换机
[Quidway]sysname LSW1
[LSW1]interface Vlan-interface 1
[LSW1-Vlan-interface1]ip address192.168.30.10 255.255.255.0
[LSW1-Vlan-interface1]ping 192.168.30.2
PING192.168.30.2: 56 data bytes, pressCTRL_C to break
Reply from 192.168.30.2: bytes=56Sequence=1 ttl=64 time = 6 ms
Reply from 192.168.30.2: bytes=56Sequence=2 ttl=64 time = 3 ms
Reply from 192.168.30.2: bytes=56Sequence=3 ttl=64 time = 2 ms
Reply from 192.168.30.2: bytes=56Sequence=4 ttl=64 time = 3 ms
Reply from 192.168.30.2: bytes=56Sequence=5 ttl=64 time = 3 ms
2.配置测试PC机ip:
第二部分:配置mac本地验证
交换机mac验证:
[Quidway-Ethernet1/0/1]mac-authentication //开启端口mac验证
[Quidway]mac-authentication
测试:不能通讯了,因为端口上配置了mac验证,但是我们的交换机上并没有相关的用户账号信息。
给30.2增加一个mac验证的账号:
[Quidway]local-userc8-60-00-d8-29-c5
[Quidway-luser-c8-60-00-d8-29-c5]passwordsimple c8-60-00-d8-29-c5
[Quidway]mac-authenticationauthmode usernameasmacaddress usernameformat with-hyphen // with-hyphen 设置mac的格式为c8-60-00-d8-29-c5也就是两个字符之间带“-”符号,如果是wthitout-hyphen 则不需要“-”符号
mac验证+dot1x 【IAS/ACS】
实验拓扑:
设备:华为S2000 交换机
配置过程:
1.ip地址设置:
a)交换机:[Quidway-Vlan-interface1]ipaddress 192.168.30.10 255.255.255.0
b)PC1 192.168.30.2 255.255.255.0
c)AAA服务器:192.168.30.200 255.255.255.0
测试:
AAA服务器设置:
配置交换机:
1.mac验证:
[Quidway]mac-authentication //全局模式下激活mac验证
[Quidway]mac-authentication authmode usernameasmacaddress //设置验证模式 使用mac地址,并使用 xx-xx-xx-xx-xx格式
usernameformat with-hyphen
[Quidway]interface Ethernet 1/0/1
[Quidway-Ethernet1/0/1]mac-authentication //进入端口,再次激活mac验证
2.radius方案
[Quidway]radius scheme xxx //建立名为xxx的radius方案
[Quidway-radius-xxx]primary authentication 192.168.30.200 //主要的认证服务器ip
[Quidway-radius-xxx]key authentication 123456 //与aaa服务器通信的验证秘钥是123456
[Quidway-radius-xxx]accounting optional
[Quidway-radius-xxx]server-type standard //服务器类型为 标准
[Quidway-radius-xxx]user-name-format without-domain //用户名格式是不带域名的
3.设置作用域
[Quidway]domain system
[Quidway-isp-system]radius-scheme xxx
[Quidway-isp-system]access-limit enable 10
[Quidway-isp-system]accounting optional
ACS + mac 验证
实验拓扑:
1.AAA服务器上面安装ACS客户端
到此之后一直下一步就可以了。
还有一个需要配置acs的密码的界面我的密码是123456ln!
--------》直到安装成功
查看acs的主要模块:
交换机配置:
[LSW1]interface Vlan-interface 1
[LSW1-Vlan-interface1]ip address192.168.30.20 255.255.255.0
交换机端口mac验证:
[LSW1]mac-authentication
MAC-authentication is enabled globally.
[LSW1]mac-authentication authmodeusernameasmacaddress usernameformat with-hyphen
[LSW1-Ethernet1/0/1]mac-authentication
MAC-authentication is enabled on portEthernet1/0/1
[LSW1]radius scheme xxx
[LSW1-radius-xxx]primaryauthentication 192.168.30.200
[LSW1-radius-xxx]accounting optional
[LSW1-radius-xxx]key authentication123456
[LSW1-radius-xxx]user-name-formatwithout-domain
ACS配置:
建立客户端mac账号
