MAC認證

簡介

MAC地址認證是一種基于端口和MAC地址對用戶的網絡訪問權限進行控制的認證方法。它不需要用戶安裝任何客戶端軟件，用戶名和密碼都是用戶設備的MAC地址。網絡接入設備在首次檢測到用戶的MAC地址以后，即啟動對該用戶的認證。

用戶名形式

根據接入設備最終用于驗證用戶身份的用戶名格式和內容的不同，可以將MAC認證使用的用戶名格式分為三種類型：

• MAC地址格式：設備使用用戶的MAC地址作為用戶名進行認證，同時可以使用MAC地址或者自定義的字符串作為密碼。
• 固定用戶名形式：不論用戶的MAC地址為何值，所有用戶均使用接入設備上指定的一個固定用戶名和密碼替代用戶的MAC地址作為身份信息進行認證。由于同一個接口下可以有多個用戶進行認證，因此這種情況下接口上的所有MAC認證用戶均使用同一個固定用戶名進行認證，服務器端僅需要配置一個用戶賬戶即可滿足所有認證用戶的認證需求，這適用于客戶端比較可信的網絡環境。
• DHCP選項格式：設備將獲取到的用戶DHCP選項字段以及一個固定的密碼代替用戶的MAC地址作為身份信息進行認證。該方式需保證設備支持通過DHCP報文觸發MAC認證。

認證流程

?

在認證之前客戶端與設備之間建立預連接。

設備在檢查到用戶發送的ARP/DHCP/ND/DHCPv6中的任意一種報文，即觸發用戶的MAC認證。

根據配置，設備將用戶名和密碼發送到認證服務器進行認證。

認證服務器驗證接收到的用戶名和密碼，驗證成功后向設備發送認證成功報文。同時將用戶加入自身在線用戶列表中。

設備接收到認證成功報文后將接口改為授權狀態，允許用戶通過接口訪問網絡。同時將用戶加入自身在線用戶列表中。

終端主動注銷，用戶下線流程

客戶端發送注銷認證請求。

接入設備向RADIUS服務器發送計費停止報文（ACCOUNTING-REQUEST），并停止端口授權，將用戶從在線列表中刪除。

RADIUS服務器向接入設備發送計費停止響應報文（ACCOUNTING-RESPONSE），并將用戶從在線列表中刪除。

管理員在SM強制用戶下線流程

管理員在SM強制用戶下線。

SM通知RADIUS服務器用戶下線。

RADIUS服務器向接入設備發送下線通知報文（REQ_LOGOUT）。

接入設備向RADIUS服務器發送計費停止報文（ACCOUNTING-REQUEST），并停止端口授權，將用戶從在線列表中刪除。

RADIUS服務器向接入設備發送計費停止響應報文（ACCOUNTING-RESPONSE），并將用戶從在線列表中刪除。

MAC旁路認證（屬于802.1x）

由于無法安裝和使用Agile Controller-Campus的客戶端，打印機、IP電話等終端設備不能接入網絡，用戶無法訪問和使用這些終端。MAC旁路認證功能確保這些終端在不認證的情況下也能接入網絡，以及限定這些終端從指定的設備上接入網絡。

?

MAC認證與MAC旁路認證區別

MAC旁路認證是指在802.1X認證環境中，如果在接入控制設備發起的802.1X認證請求時向終端請求帳號和密碼而終端沒有響應（802.1X認證失敗），則再嘗試MAC認證，即接入控制設備把終端的MAC地址當作帳號和密碼發到RADIUS服務器進行認證。

一 原理不同

兩者最大的區別是MAC旁路認證屬于802.1X認證，而MAC認證不屬于802.1X認證。

MAC旁路認證比MAC認證多一個802.1X認證環節，故時間要比MAC認證時間長。

二 適用場景不同

• 如果一個網口既可能連接啞終端（打印機、IP電話），又可能連接便攜機（保證認證過后再接入），請使用MAC旁路認證，優先嘗試802.1X認證，認證失敗再嘗試MAC認證。
• 如果一個網口只會連接啞終端（打印機、IP電話），請使用MAC認證，以便縮短認證時間。

配置方面，二者在Agile Controller-Campus上的配置是完全一樣的，不同點是設備上的配置。

不論是MAC認證還是MAC旁路認證，設備上RADIUS認證相關的配置都是必不可少的，配置都相同

?

總結

以上是生活随笔為你收集整理的AC-Campus准入控制--Mac的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。