MAC认证原理

MAC认证是什么？

MAC认证，是指终端网络接入控制设备自动获取终端的MAC地址，作为接入网络的凭证发到RADIUS服务器进行校验。

MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。

MAC认证的特点：

不需要在终端安装认证客户端。
终端无需输入账号和密码，认证自动进行。
安全性比802.1X和Portal低。

安全性比较低的原因是：因为MAC地址很容易被仿冒。建议只在网络打印机、IP电话应用MAC认证方案，在授权时只开放开展业务所需的网络访问权限。

MAC认证应用场景：

MAC认证适用于无法安装认证客户端的终端（例如IP电话、网络打印机、摄像头），以MAC地址作为用户和密码自动接入网络的场景。

用户名形式：

根据接入设备最终用于验证用户身份的用户名格式和内容的不同，可以将MAC认证使用的用户名格式分为三种类型：

MAC地址格式：设备使用用户的MAC地址作为用户名进行认证，同时可以使用MAC地址或者自定义的字符串作为密码。
固定用户名形式：不论用户的MAC地址为何值，所有用户均使用接入设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个接口下可以有多个用户进行认证，因此这种情况下接口上的所有MAC认证用户均使用同一个固定用户名进行认证，服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求，这适用于客户端比较可信的网络环境。
DHCP选项格式：设备将获取到的用户DHCP选项字段以及一个固定的密码代替用户的MAC地址作为身份信息进行认证。该方式需保证设备支持通过DHCP报文触发MAC认证。

MAC认证流程：

图：MAC认证流程图

在认证之前客户端与设备之间建立预连接。
设备在检查到用户发送的ARP/DHCP/ND/DHCPv6中的任意一种报文，即触发用户的MAC认证。
根据配置，设备将用户名和密码发送到认证服务器进行认证。
认证服务器验证接收到的用户名和密码，验证成功后向设备发送认证成功报文。同时将用户加入自身在线用户列表中。
设备接收到认证成功报文后将接口改为授权状态，允许用户通过接口访问网络。同时将用户加入自身在线用户列表中。

终端主动注销下线流程：

图：客户端主动发起注销认证请求

客户端发送注销认证请求。
接入设备向RADIUS服务器发送计费停止报文（ACCOUNTING-REQUEST），并停止端口授权，将用户从在线列表中删除。
RADIUS服务器向接入设备发送计费停止响应报文（ACCOUNTING-RESPONSE），并将用户从在线列表中删除。

MAC旁路认证原理

什么是MAC旁路认证？

MAC旁路认证：是指在802.1X认证环境中终端接入网络后未回应来自接入控制设备的802.1X认证请求。为了方便终端接入网络，接入控制设备自动获取终端的MAC地址，作为接入网络的凭证发到RADIUS服务器进行校验。

MAC旁路认证特点同MAC认证特点。

MAC旁路应用场景：

MAC旁路认证适用于802.1X认证环境中，无法安装802.1X认证客户端的终端（又称之为哑终端，例如IP电话、网络打印机、摄像头），以MAC地址作为用户和密码自动接入网络的场景。

MAC旁路认证原理：

图：MAC旁路认证流程

MAC认证和MAC旁路认证对比

MAC认证：直接进行MAC认证。
MAC旁路认证：先802.1x, 长时间不回应（30S）不回应，采用MAC作为用户和密码发送认证。结合802.1X使用

MAC认证与MAC旁路认证有什么区别：

MAC认证不属于802.1X认证，适用于哑终端通过MAC地址接入网络的场景。

MAC旁路认证属于802.1X认证，适用于员工和无法主动触发认证的终端混合接入网络的场景，在802.1X认证阶段，员工通过帐号和密码完成认证，不会进入MAC认证阶段。对于哑终端，在802.1X认证失败后在MAC认证阶段通过MAC地址接入网络。

MAC旁路认证和MAC认证对应的业务类型是否一样？

在设置认证规则、授权结果和授权规则，MAC旁路认证和MAC认证对应的业务类型都是MAC旁路业务。

MAC认证配置思路

配置思路：
交换机部分：
mac-authen
int xxxx
mac-authen
mac-authen  max-user 100 AC部分
1. 配置设备列表（MAC地址）2.配置认证3.配置授权
A. 动态ACL
B.授权结果
C. 授权

MAC旁路认证配置思路

配置思路：
交换机部分：
dot1x  enable ------------全局开启dot1x功能
dot1x authentication-method eap  ---------dot1x认证方法eap
int  xxxdot1x enable  ----------开启dot1xdot1x mac-bypass -------开启MAC旁路认证（交换机传统模式）AC部分
1. 配置设备列表（MAC地址）2.配置认证3.配置授权
A. 动态ACL
B.授权结果
C. 授权

MAC认证配置示例

交换机部分配置：

AC部分配置：

添加需要进行MAC认证的终端MAC地址

配置认证规则：

配置动态acl。

4. 配置授权结果：

配置授权规则：

检查测试：

参考文档：华为HedEx文档

MAC认证和MAC旁路认证相关推荐

HMAC(1)消息认证码MAC算法
1. 定义 MAC(Message Authentication Code) 算法是以消息本身和密钥作为输入,经过一系列计算产生一个消息哈希的算法,用来保证消息的数据完整性和消息的数据源认证. 2. ...
mac认证服务器无响应,无法连接认证服务器mac
无法连接认证服务器mac 内容精选换一换华为云帮助中心,为用户提供产品简介.价格说明.购买指南.用户指南.API参考.最佳实践.常见问题.视频帮助等技术文档,帮助您快速上手使用华为云服务. 本文将 ...
华为外部Portal认证 Radius认证计费实现基于Mac快速认证的Mac无感知认证和结合CAS单点登录统一认证平台和AD域LDAP对接配置
华为外部Portal认证 Radius认证计费实现基于Mac快速认证的Mac无感知认证结合CAS单点登录统一认证平台 AD域LDAP对接配置实现用户名密码实名认证访客短信认证二维码扫码钉钉 ...
上网行为管理获取不到三层MAC问题，无法上网认证
1.故障背景客户上网行为管理透明部署,客户需求采用WEB上网认证,网络拓扑如下 2.问题描述在开启完WEB认证上网以后,发现有些人不用认证直接可以上网,经过排查发现所以用户IP地址对应了同一MAC ...
802.1x认证和MAC认证讲解
目录 802.1x基础 EAP(Extensible Authentication Protocol)可扩展认证协议 EAPoL(EAP over LAN)局域网可扩展认证协议 802.1x体系架构 ...
CleanMyMac X苹果官方认证的Mac系统管理软件
然而灵动岛的发布的热度还未褪去,苹果 10 月份的新品发布会已经有了新的消息.据悉,10 月份的发布会苹果公司推出全新的 Mac 及其新系统 macOS Ventura.这对于许多垂涎 M2 芯片已久 ...
时代亿信认证墙-UAP统一认证与访问控制产品
1.1 产品简介 UAP统一认证与访问控制产品 (以下简称UAP产品)集数字证书.动态口令.指纹.短信等强身份认证方式于一身, 是一个针对B/S.C/S架构应用系统的强身份认证及资源整合解决方案,对 ...
OpenPortal Wifi认证、Portal协议认证、WEB认证解决方案
OpenPortal认证系统操作手册 OpenPortal网络接入认证专家目录声明 4 前言 5 一. 内容概述 6 二. 技术支持 6 三. 致谢: 6 第一章理念与组成 7 1.1 理念 ...
Web认证如何对接第三方认证平台？
WSG上网行为管理网关(WFilter NGF)的Web认证功能非常强大,可以支持多种用户名认证(本地用户.邮箱认证.域认证.Radius认证等),还可以支持短信认证.微信认证.钉钉认证等第三方认证. ...

MAC认证和MAC旁路认证