HPE switch設定Radius MAC認證
5130支援兩種MAC認證,一種是Radius,另一種是local
帳號密碼支援兩種格式,一種是MAC (使用MAC同時當做帳號與密碼)
另一種是固定密碼格式(FIX),不論client的MAC為何,都使用switch上固定的一組帳號密碼
代替原本的MAC做認證
代替原本的MAC做認證
1.開啟MAC認證
[HP]mac-authentication 全域啟用MAC認證
[HPE-GigabitEthernet1/0/1]mac-authentication 端口啟用MAC認證
2.指定使用MAC認證的Client使用的認證domain
可以分別在全域啟用或是port上啟用(兩者取其一),如果沒有在port上啟用domain又有啟
用MAC認證的話,會吃全域domain的設定
用MAC認證的話,會吃全域domain的設定
mac-authentication domain tac
[HPE-GigabitEthernet1/0/1]mac-authentication domain tac
3.設定MAC認證的MAC使用格式
mac-authentication user-name-format mac-address with-hyphen/without-hyphen lowercase/uppercase
設定要不要分隔號與大小寫指定MAC認證
設定要不要分隔號與大小寫指定MAC認證
mac-authentication user-name-format fixed account name password cipher/simple password
設定帳號與密碼的格式
設定帳號與密碼的格式
4. 設定MAC的timer
有三種timer
offline-detect 用來設定Clinet空閒超時的間隔(時間內沒使用會被踢掉,停止計費)
quiet 用來設定client認證失敗之後,設備停止認證服務的時間間隔
server-timeout 設定switch與Radius的timeout時間,
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
5.設定port上允許同時接入MAC用戶數量的最大值
mac-authentication max-user user-number
6.設定radius server
[HP]radius scheme tac 進入名為tac的radius scheme
[HPE-radius-tac]primary authentication 10.15.2.100 設定驗證server的ip
[HPE-radius-tac]primary accounting 10.15.2.100設定計費server的ip
[HPE-radius-tac]key authentication simple 123456 設定驗證server的key
[HPE-radius-tac]key accounting simple 123456 設定計費server的key
[HPE-radius-tac]user-name-format without-domain 設定username的格式
(因為做MAC認證所以要使用沒有domain的格式)
7.設定domain
domain tac 進入doamin tac
authentication lan-access radius-scheme tac local
authorization lan-access radius-scheme tac local
accounting lan-access radius-scheme tac local
指定MAC認證的登入順序、radius-scheme先,再來是local
