MAC认证

特性简介

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，无需安装客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后，启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或密码。若该用户认证成功，则允许其通过端口访问网络资源，否则该用户的MAC地址就被设置为静默MAC。在静默时间内，来自此MAC地址的用户报文到达时，设备直接做丢弃处理，以防止非法MAC短时间内的重复认证。

MAC地址认证用户的账号格式

MAC地址认证用户使用的账号格式分为两种：

• MAC地址账号：设备使用源MAC地址作为用户认证时的用户名和密码，或者使用MAC地址作为用户名，并配置密码。

• 固定用户名账号：所有MAC地址认证用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证，因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证，服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求，适用于接入客户端比较可信的网络环境。

MAC地址认证的认证方法

在接入设备上，MAC地址认证方法有两种方式：

• PAP认证方法通过用户名和密码来对用户进行验证，其特点是在网络上以明文方式传送用户名和密码，仅适用于对网络安全要求相对较低的环境。

• CHAP认证方法使用客户端与服务器端交互挑战信息的方式来验证用户身份，其特点是在网络上以明文方式传送用户名，以密文方式传输密码。与PAP相比，CHAP认证保密性较好，更为安全可靠。

MAC地址认证相关功能

下线检测功能

若设备在一个下线检测定时器间隔之内，没有收到某在线用户的报文，将切断该用户的连接，同时通知RADIUS服务器停止对其计费。

静默功能

用户认证失败以后，该用户的MAC地址就被设置为静默MAC。在静默时间内，来自此MAC地址的用户报文到达时，设备直接做丢弃处理，以防止非法MAC短时间内的重复认证。静默期后，如果设备再次收到该用户的报文，则依然可以对其进行认证处理。

MAC地址认证配置指南

配置思路

MAC地址认证的配置思路如下图所示。

图-1 MAC地址认证配置思路

基础配置

配置MAC地址认证功能

开启MAC地址认证的具体配置步骤如下：

1. 选择“配置 > 认证配置 > 认证全局配置 > MAC认证”，进入MAC地址认证配置页面。

2. 在MAC地址认证配置页面的“基础配置”栏目中，配置MAC地址认证的认证方法、ISP域、用户账号格式和MAC地址格式。

3. 点击<提交>按钮，完成MAC地址认证基础配置。

高级配置

配置MAC地址认证相关参数

MAC地址认证相关参数的具体配置步骤如下：

1. 选择“配置 > 认证配置 > 认证全局配置 > MAC认证”，进入MAC地址认证配置页面。

2. 在MAC地址认证配置页面的“高级配置”栏目中，可根据实际需要进行如下参数配置。

   表-1 MAC地址认证相关参数

   参数	说明
   用户下线检测时间间隔	用来设置用户空闲超时的时间间隔。若设备在一个下线检测定时器间隔之内，没有收到某在线用户的报文，将切断该用户的连接，同时通知RADIUS服务器停止对其计费
   静默时间间隔	用来设置用户认证失败以后，设备停止对其提供认证服务的时间间隔。在静默期间，设备不对来自认证失败用户的报文进行认证处理，直接丢弃。静默期后，如果设备再次收到该用户的报文，则依然可以对其进行认证处理
   服务器超时定时器	用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中，如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答，则设备将在相应的端口上禁止此用户访问网络

3. 点击<提交>按钮，完成MAC地址认证高级配置。

MAC地址认证的RADIUS认证配置举例

组网需求

用户接入无线网络，AC对接入的用户进行MAC地址认证以控制其访问Internet，具体要求如下：

• RADIUS服务器作为认证/授权/计费服务器与AC相连，其IP地址为10.1.1.1/24。

• AC对用户进行MAC地址认证时，采用RADIUS认证方式，认证ISP域为maca。

• AC与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name，认证/授权、计费的端口号分别为1812和1813，向RADIUS服务器发送的用户名不携带域名。

• 用户认证时采用MAC地址作为用户名和密码。

图-2 MAC地址认证用户的RADIUS认证配置组网图

配置步骤

配置RADIUS方案

1. 选择“配置 > 认证配置 > AAA > RADIUS > RADIUS方案”，进入RADIUS方案配置页面。

2. 点击<新增>按钮，页面弹出“新增RADIUS方案”配置框：

   • 配置RADIUS方案名为maca。

   • 指定主认证服务器IP地址为10.1.1.1，端口号为1812，共享密钥为name。

   • 指定主计费服务器IP地址为10.1.1.1，端口号为1813，共享密钥为name。

3. 点击<提交>按钮，完成RADIUS方案基础配置。

图-3 RADIUS方案基础配置

1. 在名称为maca的RADIUS方案配置页面的“高级配置”栏目中“，设置发送给RADIUS服务器的用户名格式为不携带域名。

2. 点击<提交>按钮，完成RADIUS方案高级配置。

图-4 RADIUS方案高级配置

配置ISP域

1. 选择“配置 > 认证配置 > AAA > ISP域 > ISP域配置”，进入ISP域配置页面。

2. 点击<新增>按钮，页面弹出“新增ISP域”配置框：

   • 配置ISP域名为maca，并设置ISP域状态为活跃。

   • 指定AAA的认证、授权和计费的方案均为RADIUS方案，方案都选择maca。

3. 点击<提交>按钮，完成ISP域配置。

图-5 配置ISP域

配置MAC地址认证

1. 选择“配置 > 认证配置 > 认证全局配置 > MAC认证”，进入MAC地址认证配置页面。

2. 在MAC地址认证配置页面的“基础配置”栏目中，配置MAC地址认证的认证方法为PAP，ISP域为maca。配置用户账号格式为“用户MAC地址作为用户名和密码”，MAC地址格式采用缺省配置。

3. 点击<提交>按钮，完成MAC地址认证基础配置。

   

配置RADIUS服务器

请在RADIUS服务器上添加用户帐户，保证用户的认证/授权/计费功能正常运行。（步骤略）

验证配置

MAC用户流量触发认证后，可以成功上线。