AC-Campus准入控制--Mac
MAC認(rèn)證
簡介
MAC地址認(rèn)證是一種基于端口和MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進行控制的認(rèn)證方法。它不需要用戶安裝任何客戶端軟件,用戶名和密碼都是用戶設(shè)備的MAC地址。網(wǎng)絡(luò)接入設(shè)備在首次檢測到用戶的MAC地址以后,即啟動對該用戶的認(rèn)證。
用戶名形式
根據(jù)接入設(shè)備最終用于驗證用戶身份的用戶名格式和內(nèi)容的不同,可以將MAC認(rèn)證使用的用戶名格式分為三種類型:
- MAC地址格式:設(shè)備使用用戶的MAC地址作為用戶名進行認(rèn)證,同時可以使用MAC地址或者自定義的字符串作為密碼。
- 固定用戶名形式:不論用戶的MAC地址為何值,所有用戶均使用接入設(shè)備上指定的一個固定用戶名和密碼替代用戶的MAC地址作為身份信息進行認(rèn)證。由于同一個接口下可以有多個用戶進行認(rèn)證,因此這種情況下接口上的所有MAC認(rèn)證用戶均使用同一個固定用戶名進行認(rèn)證,服務(wù)器端僅需要配置一個用戶賬戶即可滿足所有認(rèn)證用戶的認(rèn)證需求,這適用于客戶端比較可信的網(wǎng)絡(luò)環(huán)境。
- DHCP選項格式:設(shè)備將獲取到的用戶DHCP選項字段以及一個固定的密碼代替用戶的MAC地址作為身份信息進行認(rèn)證。該方式需保證設(shè)備支持通過DHCP報文觸發(fā)MAC認(rèn)證。
認(rèn)證流程
?
終端主動注銷,用戶下線流程
管理員在SM強制用戶下線流程
MAC旁路認(rèn)證(屬于802.1x)
由于無法安裝和使用Agile Controller-Campus的客戶端,打印機、IP電話等終端設(shè)備不能接入網(wǎng)絡(luò),用戶無法訪問和使用這些終端。MAC旁路認(rèn)證功能確保這些終端在不認(rèn)證的情況下也能接入網(wǎng)絡(luò),以及限定這些終端從指定的設(shè)備上接入網(wǎng)絡(luò)。
?
MAC認(rèn)證與MAC旁路認(rèn)證區(qū)別
MAC旁路認(rèn)證是指在802.1X認(rèn)證環(huán)境中,如果在接入控制設(shè)備發(fā)起的802.1X認(rèn)證請求時向終端請求帳號和密碼而終端沒有響應(yīng)(802.1X認(rèn)證失敗),則再嘗試MAC認(rèn)證,即接入控制設(shè)備把終端的MAC地址當(dāng)作帳號和密碼發(fā)到RADIUS服務(wù)器進行認(rèn)證。
一 原理不同
兩者最大的區(qū)別是MAC旁路認(rèn)證屬于802.1X認(rèn)證,而MAC認(rèn)證不屬于802.1X認(rèn)證。
MAC旁路認(rèn)證比MAC認(rèn)證多一個802.1X認(rèn)證環(huán)節(jié),故時間要比MAC認(rèn)證時間長。
二 適用場景不同
- 如果一個網(wǎng)口既可能連接啞終端(打印機、IP電話),又可能連接便攜機(保證認(rèn)證過后再接入),請使用MAC旁路認(rèn)證,優(yōu)先嘗試802.1X認(rèn)證,認(rèn)證失敗再嘗試MAC認(rèn)證。
- 如果一個網(wǎng)口只會連接啞終端(打印機、IP電話),請使用MAC認(rèn)證,以便縮短認(rèn)證時間。
配置方面,二者在Agile Controller-Campus上的配置是完全一樣的,不同點是設(shè)備上的配置。
不論是MAC認(rèn)證還是MAC旁路認(rèn)證,設(shè)備上RADIUS認(rèn)證相關(guān)的配置都是必不可少的,配置都相同
?
總結(jié)
以上是生活随笔為你收集整理的AC-Campus准入控制--Mac的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 微型计算机终端编号是什么,终端编码是什么
- 下一篇: MLP,GCN,GAT,GraphSAG