H3C交换开启MAC地址认证

需注意：

• 配置全局MAC地址认证一般放在最后，当其他认证参数未配置完成时，会造成合法用户无法访问网络。
• 创建本地用户时，需要注意用户名必须与设备上指定的MAC地址认证用户名格式保持一致

第一步：添加本地接入用户

//创建本地接入用户
local-user 7a-b4-6c-e2-05-06 class network   
password simple 7a-b4-6c-e2-05-06
service-type lan-access
quit

第二步：配置ISP域，使用本地认证方式

domain name mac_rz
authentication lan-access local
quit

第三步：配置MAC地址认证用户所使用的ISP域

mac-authentication domain mac_rz

第四步：配置MAC地址认证的下线定时器和静默定时器。即设备每隔180秒就对用户是否下线进行检测；并且当用户认证失败时，需等待3分钟后才能对用户再次发起认证。单位为（秒）

mac-authentication timer offline-detect 180
mac-authentication timer quiet 180

第五步：配置MAC地址认证的用户名格式：使用不带连字符的MAC地址作为用户名与密码，其中字母小写。（lowercase：mac地址中的字母为小写。uppercase：MAC地址中的字母为大写。）

//配置MAC地址认证的用户名格式：使用  带连字符的MAC地址   作为用户名与密码，其中字母小写
mac-authentication user-name-format mac-address with-hyphen lowercase
//配置MAC地址认证的用户名格式：使用  不带连字符的MAC地址   作为用户名与密码，其中字母小写
mac-authentication user-name-format mac-address without-hyphen lowercase

第六步：开启端口GigabitEthernet1/0/1的MAC地址认证

interface gigabitethernet 1/0/1
mac-authentication
quit

第七步：开启全局MAC地址认证特性

mac-authentication

添加认证终端

交换机添加MAC终端

local-user ec8eb54677dd class network
 password simple ec8eb54677dd
 service-type lan-access
 authorization-attribute user-role network-operator
save f
!

AC控制器添加无线终端

local-user 0023143b9004           //名称为用户MAC地址
 password simple 0023143b9004     //密文密码为MAC地址
 authorization-attribute level 3  //权限级别为三级权限即管理员权限
 service-type lan-access          //指定用户可以使用lan-access服务
-----------------------------------------------------------
sys
 local-user 0023143b9004          
 password simple 0023143b9004     
 authorization-attribute level 3 
 service-type lan-access
 save f