MAC认证和MAC旁路认证
MAC认证原理
MAC认证是什么?
MAC认证,是指终端网络接入控制设备自动获取终端的MAC地址,作为接入网络的凭证发到RADIUS服务器进行校验。
MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。
MAC认证的特点:
-
不需要在终端安装认证客户端。
-
终端无需输入账号和密码,认证自动进行。
-
安全性比802.1X和Portal低。
安全性比较低的原因是:因为MAC地址很容易被仿冒。建议只在网络打印机、IP电话应用MAC认证方案,在授权时只开放开展业务所需的网络访问权限。
MAC认证应用场景:
MAC认证适用于无法安装认证客户端的终端(例如IP电话、网络打印机、摄像头),以MAC地址作为用户和密码自动接入网络的场景。
用户名形式:
根据接入设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC认证使用的用户名格式分为三种类型:
- MAC地址格式:设备使用用户的MAC地址作为用户名进行认证,同时可以使用MAC地址或者自定义的字符串作为密码。
- 固定用户名形式:不论用户的MAC地址为何值,所有用户均使用接入设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个接口下可以有多个用户进行认证,因此这种情况下接口上的所有MAC认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,这适用于客户端比较可信的网络环境。
- DHCP选项格式:设备将获取到的用户DHCP选项字段以及一个固定的密码代替用户的MAC地址作为身份信息进行认证。该方式需保证设备支持通过DHCP报文触发MAC认证。
MAC认证流程:
- 在认证之前客户端与设备之间建立预连接。
- 设备在检查到用户发送的ARP/DHCP/ND/DHCPv6中的任意一种报文,即触发用户的MAC认证。
- 根据配置,设备将用户名和密码发送到认证服务器进行认证。
- 认证服务器验证接收到的用户名和密码,验证成功后向设备发送认证成功报文。同时将用户加入自身在线用户列表中。
- 设备接收到认证成功报文后将接口改为授权状态,允许用户通过接口访问网络。同时将用户加入自身在线用户列表中。
终端主动注销下线流程:
- 客户端发送注销认证请求。
- 接入设备向RADIUS服务器发送计费停止报文(ACCOUNTING-REQUEST),并停止端口授权,将用户从在线列表中删除。
- RADIUS服务器向接入设备发送计费停止响应报文(ACCOUNTING-RESPONSE),并将用户从在线列表中删除。
MAC旁路认证原理
什么是MAC旁路认证?
MAC旁路认证:是指在802.1X认证环境中终端接入网络后未回应来自接入控制设备的802.1X认证请求。为了方便终端接入网络,接入控制设备自动获取终端的MAC地址,作为接入网络的凭证发到RADIUS服务器进行校验。
MAC旁路认证特点同MAC认证特点。
MAC旁路应用场景:
MAC旁路认证适用于802.1X认证环境中,无法安装802.1X认证客户端的终端(又称之为哑终端,例如IP电话、网络打印机、摄像头),以MAC地址作为用户和密码自动接入网络的场景。
MAC旁路认证原理:
MAC认证和MAC旁路认证对比
- MAC认证:直接进行MAC认证。
- MAC旁路认证:先802.1x, 长时间不回应(30S)不回应,采用MAC作为用户和密码发送认证 。结合802.1X使用
MAC认证与MAC旁路认证有什么区别:
MAC认证不属于802.1X认证,适用于哑终端通过MAC地址接入网络的场景。
MAC旁路认证属于802.1X认证,适用于员工和无法主动触发认证的终端混合接入网络的场景,在802.1X认证阶段,员工通过帐号和密码完成认证,不会进入MAC认证阶段。对于哑终端,在802.1X认证失败后在MAC认证阶段通过MAC地址接入网络。
MAC旁路认证和MAC认证对应的业务类型是否一样?
在设置认证规则、授权结果和授权规则,MAC旁路认证和MAC认证对应的业务类型都是MAC旁路业务。
MAC认证配置思路
配置思路:
交换机部分:
mac-authen
int xxxx
mac-authen
mac-authen max-user 100
AC部分
1. 配置设备列表(MAC地址)
2.配置认证
3.配置授权
A. 动态ACL
B.授权结果
C. 授权
MAC旁路认证配置思路
配置思路:
交换机部分:
dot1x enable ------------全局开启dot1x功能
dot1x authentication-method eap ---------dot1x认证方法eap
int xxx
dot1x enable ----------开启dot1x
dot1x mac-bypass -------开启MAC旁路认证(交换机传统模式)
AC部分
1. 配置设备列表(MAC地址)
2.配置认证
3.配置授权
A. 动态ACL
B.授权结果
C. 授权
MAC认证配置示例
交换机部分配置:
AC部分配置:
- 添加需要进行MAC认证的终端MAC地址
- 配置认证规则:
- 配置动态acl。
4. 配置授权结果:
- 配置授权规则:
检查测试:
参考文档:华为HedEx文档