38-MAC认证
本章节下载: 38-MAC认证 (566.89 KB)
目 录
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为静默MAC。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
若配置的静态MAC或者当前认证通过的MAC地址与静默MAC相同,则MAC地址认证失败后的MAC静默功能将会失效。
目前设备支持两种方式的MAC地址认证:
· 通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证。
· 在接入设备上进行本地认证。
目前,MAC地址认证支持两种类型的用户名格式:
· MAC地址用户名:使用用户的MAC地址作为认证时的用户名和密码。
· 固定用户名:不论用户的MAC地址为何值,所有用户均使用在设备上预先配置的用户名和密码进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证。
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
· 采用MAC地址用户名时,设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。
· 采用固定用户名时,设备将已经在本地配置的用户名和密码作为待认证用户的用户名和密码,发送给RADIUS服务器。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
· 采用MAC地址用户名时,需要配置的本地用户名和密码为各接入用户的MAC地址。
· 采用固定用户名时,需要配置的本地用户名为自定义的,所有用户对应的用户名和密码与自定义的一致。
MAC地址认证过程受以下定时器的控制:
· 离线检测定时器:用来设置设备用户空闲超时的时间间隔。如果在两个时间间隔之内,没有来自用户的流量通过,设备将切断用户的连接,同时通知RADIUS服务器,停止对该用户的计费。
· 静默定时器:用来设置用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自该用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 认证超时定时器:用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果认证超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和用户划分到不同的VLAN。MAC地址认证支持认证服务器授权下发VLAN功能,即当用户通过MAC地址认证后,认证服务器支持将指定的受限网络资源所在的VLAN作为授权VLAN下发到用户认证的端口。该端口被加入到授权VLAN中后,用户便可以访问这些受限的网络资源。
从认证服务器下发的ACL被称为授权ACL,它为用户访问网络提供了良好的过滤条件设置功能。MAC地址认证支持认证服务器授权下发ACL功能,即当用户通过MAC地址认证后,如果RADIUS服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制。为使下发的授权ACL生效,需要提前在设备上配置相应的ACL规则。而且在用户访问网络的过程中,可以通过改变服务器的授权ACL设置来改变用户的访问权限。
认证失败VLAN(Auth-Fail VLAN)功能允许用户在认证失败的情况下可以访问某一特定VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。这个VLAN称之为认证失败VLAN。需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
如果接入用户的端口上配置了认证失败VLAN,则该端口上认证失败的用户会被加入认证失败VLAN,即该用户被授权访问认证失败VLAN里的资源。若认证失败VLAN中的用户再次发起认证未成功,则该用户将仍然处于认证失败VLAN内;若认证成功,则会根据认证服务器是否下发VLAN将用户加入到下发的VLAN中,或回到加入认证失败VLAN之前端口所在的VLAN。
通过使用MAC地址认证,可以对用户的网络访问权限进行控制。
· 关闭全局的端口安全功能。
· 创建并配置ISP域。
· 若采用本地认证方式,需要创建本地用户并设置其密码,且本地用户的服务类型应设置为LAN-Access。
· 若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证用户账号。
创建本地用户或添加远程用户账号时,需要注意这些用户的用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
MAC地址认证配置的推荐步骤如表1-1所示。
表1-1 MAC地址认证配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用MAC地址认证,并配置高级参数 缺省情况下,全局的MAC地址认证处于关闭状态 |
|
2 |
必选 在指定的端口上启用MAC地址认证 在全局MAC地址认证未启用时,可以启用端口的MAC地址认证,但不起作用;只有在全局MAC地址认证启用后,各端口的MAC地址认证配置才会生效 缺省情况下,端口的MAC地址认证处于关闭状态 |
(1) 在导航栏中选择“认证 > MAC认证”。
(2) 在“MAC地址认证设置”中单击展开“高级设置”前的扩展按钮,页面如图1-1所示。
图1-1 MAC认证
(3) 在“MAC地址认证设置”中可以显示和配置全局的MAC地址认证信息。配置全局MAC地址认证,详细配置如表1-2所示。
(4) 单击<确定>按钮完成操作。
表1-2 全局MAC地址认证的详细配置
配置项 |
说明 |
||
启用MAC地址认证 |
设置是否在全局启用MAC地址认证功能 |
||
离线检测时间 |
设置离线检测定时器的值 离线检测定时器用来设置用户空闲超时的时间间隔。如果在两个时间间隔之内,没有来自用户的流量通过,设备将切断用户的连接,同时通知RADIUS服务器,停止对该用户的计费 |
||
静默时间 |
设置静默定时器的值 静默定时器用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不处理该用户的认证功能,静默之后设备再重新对用户发起认证 |
||
认证超时时间 |
设置认证超时定时器的值 认证超时定时器用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果服务器超时定时器超,设备将在相应的端口上禁止此用户访问网络 |
||
认证ISP域 |
设置MAC地址认证用户所使用的ISP域 不指定认证ISP域时,MAC地址认证用户使用缺省ISP域 |
||
认证信息格式 |
使用不带连字符MAC |
设置MAC地址认证的用户名和密码 · 使用不带连字符MAC:表示使用用户的源MAC地址做用户名和密码,MAC地址的格式为“xxxxxxxxxxxx” · 使用带连字符MAC:表示使用用户的源MAC地址做用户名和密码,MAC地址的格式为“xx-xx-xx-xx-xx-xx” · 使用固定值:表示采用固定的用户名和密码,此时需要手动指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名和密码 |
|
使用带连字符MAC |
|||
使用固定值 |
用户名 |
||
密码 |
(1) 在导航栏中选择“认证 > MAC认证”,页面如图1-1所示。
(2) 在“MAC地址认证启用端口”中显示的是已启用MAC地址认证的端口,单击<新建>按钮,进入如图1-2所示的页面。
图1-2 启用MAC地址认证
(3) 在“端口”下拉框中,选择启用MAC地址认证的端口。
(4) 单击<确定>按钮完成操作。
如图1-3所示,某用户的工作站与交换机的端口GigabitEthernet1/0/1相连接。
· 管理者希望在交换机的各端口上对用户接入进行MAC地址认证,以控制其对Internet的访问。
· 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
· 所有用户都属于域:example.com,认证时使用本地认证的方式。使用用户的源MAC地址做用户名和密码。
图1-3 MAC地址认证配置组网图
(1) 配置本地接入用户,用户名和密码均为接入用户的MAC地址“00-e0-fc-12-34-56”,服务类型为“lan-access”。
(2) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“example.com”,如图1-4所示。
步骤3:单击<应用>按钮完成操作。
(3) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如图1-5所示。
· 选择域名为“example.com”。
· 选中“LAN-access认证”前的复选框,选择认证方式为“Local”。
图1-5 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如图1-6所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(4) 配置全局的MAC地址认证。
步骤1:在导航栏中选择“认证 > MAC认证”。
步骤2:在“MAC地址认证设置”中进行如下配置,如图1-7所示。
· 选中“启用MAC地址认证”前的复选框。
· 单击展开“高级设置”前的扩展按钮。
· 输入离线检测时间为“180”。
· 输入静默时间为“180”。
· 选择认证ISP域为“example.com”。
· 选择认证信息格式为“使用带连字符MAC”。
步骤3:单击<确定>按钮完成操作。
图1-7 配置全局的MAC地址认证
(5) 启用端口GigabitEthernet1/0/1的MAC地址认证。
步骤1:在“MAC认证启用端口”中单击<新建>按钮,进入启用MAC地址认证的配置页面。
步骤2:选择端口为“GigabitEthernet1/0/1”,如图1-8所示。
步骤3:单击<确定>按钮完成操作。
图1-8 启用端口GigabitEthernet1/0/1的MAC地址认证
如图1-9所示,主机Host通过MAC地址认证接入网络,认证服务器为RADIUS服务器。Internet网络中有一台FTP服务器,IP地址为10.0.0.1。
· 认证时使用用户的源MAC地址做用户名和密码。
· 在认证服务器上配置授权下发ACL 3000。
· 在Switch的GigabitEthernet1/0/1上开启MAC地址认证,并配置ACL 3000。
· 当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在GigabitEthernet1/0/1上生效,Host可以访问Internet,但不能访问FTP服务器。
图1-9 下发ACL典型配置组网图
· 确保RADIUS服务器与Switch路由可达。
· 由于该例中使用了MAC地址认证的缺省用户名和密码,即使用用户的源MAC地址做用户名与密码,因此还要保证RADIUS服务器上正确添加了接入用户的用户名和密码。
· 指定RADIUS服务器上的授权ACL为设备上配置的ACL 3000。
(1) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。
步骤2:进行RADIUS认证服务器配置,如图1-10所示。
· 输入主服务器IP地址为“10.1.1.1”。
· 输入主UDP端口号为“1812”。
· 选择主服务器状态为“active”。
步骤3:单击<确定>按钮完成操作。
图1-10 配置RADIUS认证服务器
步骤4:进行RADIUS计费服务器配置,如图1-11所示。
图1-11 配置RADIUS计费服务器
· 选择服务类型为“计费服务器”。
· 输入主服务器IP地址为“10.1.1.2”。
· 输入主UDP端口为“1813”。
· 选择主服务器状态为“active”。
步骤5:单击<确定>按钮完成操作。
步骤6:单击“RADIUS服务器参数设置”页签,进行如下配置,如图1-12所示。
· 选择服务器类型为“extended”。
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“abc”。
· 输入确认认证密钥为“abc”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“abc”。
· 输入确认计费密钥为“abc”。
· 选择用户名格式为“without-domain”。
步骤7:单击<确定>按钮完成操作。
图1-12 配置设备与RADIUS服务器交互的方案
(2) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“test”,如图1-13所示。
步骤3:单击<应用>按钮完成操作。
(3) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如图1-14所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图1-14 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如图1-15所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(4) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如图1-16所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-16 配置ISP域的AAA授权方案
(5) 配置ISP域的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如图1-17所示。
· 选择域名为“test”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-17 配置ISP域的AAA计费方案
(6) 新建ACL 3000。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“创建”页签,进入新建ACL的配置页面。
步骤3:输入访问控制列表ID为“3000”,如图1-18所示。
步骤4:单击<应用>按钮完成操作。
(7) 配置ACL规则,拒绝目的IP地址为10.0.0.1的报文通过。
步骤1:单击“高级配置”页签,进入ACL的高级配置页面。
步骤2:进行如下配置,如图1-19所示。
· 选择访问控制列表为“3000”。
· 选中“规则ID”前的复选框,输入规则ID为“0”。
· 选择操作为“禁止”。
· 选中“目的IP地址”前的复选框,输入目的IP地址为“10.0.0.1”。
· 输入目的地址通配符为“0.0.0.0”。
步骤3:单击<添加>按钮完成操作。
图1-19 配置ACL规则拒绝目的IP地址为10.0.0.1的报文通过
(8) 配置全局的MAC地址认证。
步骤1:在导航栏中选择“认证 > MAC认证”。
步骤2:在“MAC地址认证设置”中进行如下配置,如图1-20所示。
· 选中“启用MAC地址认证”前的复选框。
· 单击展开“高级设置”前的扩展按钮。
· 选择认证ISP域为“test”。
· 选择认证信息格式为“使用不带连字符MAC”。
步骤3:单击<确定>按钮完成操作。
图1-20 配置全局的MAC地址认证
(9) 启用端口GigabitEthernet1/0/1的MAC地址认证。
步骤1:在“MAC认证启用端口”中单击<新建>按钮,进入启用MAC地址认证的配置页面。
步骤2:选择端口为“GigabitEthernet1/0/1”,如图1-21所示。
步骤3:单击<确定>按钮完成操作。
图1-21 启用端口GigabitEthernet1/0/1的MAC地址认证
用户Host认证成功后,通过ping FTP服务器,可以验证认证服务器下发的ACL 3000是否生效。
C:\>ping 10.0.0.1
pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!