MAC认证
简介
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。它不需要用户安装任何客户端软件,用户名和密码都是用户设备的MAC地址。网络接入设备在首次检测到用户的MAC地址以后,即启动对该用户的认证。
用户名形式
根据接入设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC认证使用的用户名格式分为三种类型:
- MAC地址格式:设备使用用户的MAC地址作为用户名进行认证,同时可以使用MAC地址或者自定义的字符串作为密码。
- 固定用户名形式:不论用户的MAC地址为何值,所有用户均使用接入设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个接口下可以有多个用户进行认证,因此这种情况下接口上的所有MAC认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,这适用于客户端比较可信的网络环境。
- DHCP选项格式:设备将获取到的用户DHCP选项字段以及一个固定的密码代替用户的MAC地址作为身份信息进行认证。该方式需保证设备支持通过DHCP报文触发MAC认证。
认证流程
- 在认证之前客户端与设备之间建立预连接。
- 设备在检查到用户发送的ARP/DHCP/ND/DHCPv6中的任意一种报文,即触发用户的MAC认证。
- 根据配置,设备将用户名和密码发送到认证服务器进行认证。
- 认证服务器验证接收到的用户名和密码,验证成功后向设备发送认证成功报文。同时将用户加入自身在线用户列表中。
- 设备接收到认证成功报文后将接口改为授权状态,允许用户通过接口访问网络。同时将用户加入自身在线用户列表中。
终端主动注销,用户下线流程
![](https://img-blog.csdnimg.cn/20210317171028933.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0NzYzODQw,size_16,color_FFFFFF,t_70)
- 客户端发送注销认证请求。
- 接入设备向RADIUS服务器发送计费停止报文(ACCOUNTING-REQUEST),并停止端口授权,将用户从在线列表中删除。
- RADIUS服务器向接入设备发送计费停止响应报文(ACCOUNTING-RESPONSE),并将用户从在线列表中删除。
管理员在SM强制用户下线流程
![](https://img-blog.csdnimg.cn/20210317171125230.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0NzYzODQw,size_16,color_FFFFFF,t_70)
- 管理员在SM强制用户下线。
- SM通知RADIUS服务器用户下线。
- RADIUS服务器向接入设备发送下线通知报文(REQ_LOGOUT)。
- 接入设备向RADIUS服务器发送计费停止报文(ACCOUNTING-REQUEST),并停止端口授权,将用户从在线列表中删除。
- RADIUS服务器向接入设备发送计费停止响应报文(ACCOUNTING-RESPONSE),并将用户从在线列表中删除。
MAC旁路认证(属于802.1x)
由于无法安装和使用Agile Controller-Campus的客户端,打印机、IP电话等终端设备不能接入网络,用户无法访问和使用这些终端。MAC旁路认证功能确保这些终端在不认证的情况下也能接入网络,以及限定这些终端从指定的设备上接入网络。
MAC认证与MAC旁路认证区别
MAC旁路认证是指在802.1X认证环境中,如果在接入控制设备发起的802.1X认证请求时向终端请求帐号和密码而终端没有响应(802.1X认证失败),则再尝试MAC认证,即接入控制设备把终端的MAC地址当作帐号和密码发到RADIUS服务器进行认证。
一 原理不同
两者最大的区别是MAC旁路认证属于802.1X认证,而MAC认证不属于802.1X认证。
MAC旁路认证比MAC认证多一个802.1X认证环节,故时间要比MAC认证时间长。
二 适用场景不同
- 如果一个网口既可能连接哑终端(打印机、IP电话),又可能连接便携机(保证认证过后再接入),请使用MAC旁路认证,优先尝试802.1X认证,认证失败再尝试MAC认证。
- 如果一个网口只会连接哑终端(打印机、IP电话),请使用MAC认证,以便缩短认证时间。
配置方面,二者在Agile Controller-Campus上的配置是完全一样的,不同点是设备上的配置。
不论是MAC认证还是MAC旁路认证,设备上RADIUS认证相关的配置都是必不可少的,配置都相同