MAC-Trigger

特性简介

Portal是互联网接入的一种认证方式，通过对用户进行身份认证，以达到对用户访问进行控制的目的。在Web网页认证应用场景下，用户无需安装客户端软件，直接通过Web页面接受用户输入的用户名和密码，设备对用户进行身份认证，用户通过Portal认证后，可以访问互联网资源。

MAC-Trigger认证

MAC-trigger认证又称为基于MAC地址的快速认证。在Portal认证环境中，对于需要频繁接入网络的合法用户，可以通过MAC-trigger认证功能，使用户无需手工输入认证信息便可以自动完成Portal认证。

MAC-trigger认证功能需要在网络中部署MAC绑定服务器，由MAC绑定服务器记录用户的Portal认证信息（包括用户名、密码）和用户终端的MAC地址，并将二者进行绑定，MAC绑定服务器在本地查询是否存在与用户MAC地址绑定的Portal认证信息：

• 如果存在Portal认证信息，则MAC绑定服务器将通知接入设备该用户为“已绑定”状态，并使用用户的认证信息向接入设备发起Portal认证，在用户无感知的情况下完成认证过程。此时，如果Portal认证失败，则设备向用户返回认证失败信息，接入设备上的MAC-trigger表项将自动老化，然后重新进行MAC-trigger认证。

• 如果不存在Portal认证信息，则MAC绑定服务器将通知接入设备该用户为“未绑定”状态。接入设备将对“未绑定”状态的用户发起正常的Portal认证。如果Portal认证失败，则Portal Web服务器向用户返回Portal认证失败页面，流程终止；如果Portal认证成功，在用户完成Portal认证过程后，接入设备会将用户的MAC地址和认证信息发送至MAC绑定服务器，完成信息绑定。当同一用户再次访问网络时，MAC绑定服务器便可以利用保存的认证信息代替用户完成认证。

使用限制和注意事项

仅IPv4的直接认证和可跨三层的认证方式支持MAC-trigger认证功能。

配置指南

配置思路

MAC-trigger认证的配置思路如下图所示：

基础配置

新增MAC绑定服务器

新增MAC绑定服务器的具体配置步骤如下：

1. 选择“配置 > 认证配置 > 认证全局配置 > Portal认证 > MAC-Trigger”，进入MAC-Trigger配置页面。

2. 点击MAC-Trigger列表上方的<新增>按钮，页面弹出“新增MAC-Trigger”配置框。

3. 在“服务器名称”配置项处，输入MAC绑定服务器的名称，取值为1～32个字符的字符串。

4. 在“类型”配置处，选择MAC绑定服务器的类型，缺省为远程。如果选择MAC绑定服务器的类型为远程，则：

   • 在“IP地址”配置处，输入IP地址。

   • 在“端口”配置处，输入MAC绑定服务器监听查询报文的UDP端口号，取值范围为1～65534，缺省值为50100。

   • 在“服务类型”配置处，选择MAC绑定服务器的服务类型，缺省为iMC。

   • 在“密钥”配置处，输入MAC绑定服务器的密钥。

   • 在“确认密钥”配置处，重复输入相同的MAC绑定服务器的密钥。

5. 点击<提交>按钮，完成新增MAC绑定服务器的创建。

MAC绑定服务器管理

MAC绑定服务器管理的具体配置步骤如下：

1. 选择“配置 > 认证配置 > 认证全局配置 > Portal认证 > MAC-Trigger”，进入MAC-Trigger配置页面。

2. 可对已有的MAC绑定服务器列表执行以下管理操作：

   • 点击<刷新>按钮，则可以刷新当前MAC绑定服务器列表的显示信息。

   • 选择指定的MAC绑定服务器，再选择“批量操作 > 批量删除”，可以批量删除对应的MAC绑定服务器。

   • 选择“更多 > 导入”，可以导入本地路径下的MAC绑定服务器配置文件。

   • 选择“更多 > 导出”，可以将MAC绑定服务器配置文件导出到本地路径下。

   • 选择指定的MAC绑定服务器，点击“操作”列表里的编辑图标，可以修改对应的MAC绑定服务器的配置内容。

   • 选择指定的MAC绑定服务器，点击“操作”列表里的删除图标，可以删除对应的MAC绑定服务器配置。

高级配置

配置远程MAC-Trigger相关参数

远程MAC-Trigger参数的具体配置步骤如下：

1. 选择“配置 > 认证配置 > 认证全局配置 > Portal认证 > MAC-Trigger”，进入MAC-Trigger配置页面。

2. 在MAC-Trigger配置页面的“高级配置”栏目中，可根据实际需要进行远程MAC-Trigger的相关参数配置。

   表-1 远程MAC-Trigger相关参数

   参数	说明
   设备发起MAC查询的最大次数	如果设备向MAC绑定服务器发起查询的次数达到最大尝试次数后，仍未收到服务器的响应，则设备认为服务器不可达。设备将对用户进行普通Portal认证，即需要用户在认证页面中输入用户名、密码来进行认证
   设备发起MAC查询的时间间隔	设备会每隔一段时间对MAC绑定服务器发起MAC查询，以确保服务器可达
   免认证流量阈值	设备开启MAC-Trigger功能后，用户在首次接入网络时，将获得一定的免认证流量。设备会在MAC-Trigger表项老化之前实时检测Portal用户收发的流量。在用户收发的流量达到设定的阈值之前，用户无需进行认证；当用户收发的流量达到设定的阈值时，则触发MAC-Trigger认证
   NAS-Port-Type属性	设备在与特定厂商的MAC绑定服务器通信时，需要使用RADIUS报文中的NAS-Port-Type属性来标识该认证过程是基于MAC地址的快速认证还是普通Portal认证
   Portal协议报文版本号	配置Portal协议报文的版本必须与MAC绑定服务器要求的Portal协议版本保持一致
   设备收到服务器查询消息后等待Portal认证完成的超时时间	设备在收到MAC绑定服务器的查询响应消息后，无论查询结果如何，都会启动定时器来记录用户进行Portal认证的时间。定时器超时后，设备会立即删除该用户的MAC-Trigger表项
   MAC-Trigger表项老化时间	设备开启MAC-Trigger功能后，在检测到用户首次上线的流量后，会生成MAC-Trigger表项，用于记录用户的MAC地址、接口索引、VLAN ID、流量、定时器等信息。 当某条MAC-Trigger表项达到设定的老化时间时，该表项将被删除，设备再次检测到同一用户的流量时，会为其重新建立MAC-Trigger表项
   AAA认证失败设备直接发起Portal认证	开启本功能后，当用户进行MAC-Trigger认证且AAA认证失败时，设备收到认证失败信息会直接将MAC-Trigger表项状态设为未绑定状态，然后对“未绑定”状态的用户直接发起正常的Portal认证，不再到MAC绑定服务器上进行绑定状态查询

3. 点击<提交>按钮，完成MAC-Trigger高级配置。