H3C-MAC地址认证-网络安全

微微一笑

H3C-MAC地址认证-网络安全

H3C-MAC地址认证-网络安全[td]
MAC地址认证概述

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。若该用户认证成功，则允许其通过端口访问网络资源，否则该用户的MAC地址就被添加为静默MAC。在静默时间内（可通过静默定时器配置），来自此MAC地址的用户报文到达时，设备直接做丢弃处理，以防止非法MAC短时间内的重复认证。

说明

若配置的静态MAC或者当前认证通过的MAC地址与静默MAC相同，则MAC地址认证失败后的MAC静默功能将会失效。

2  使用不同用户名格式的MAC地址认证

目前设备支持两种方式的MAC地址认证，通过RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器进行远程认证和在接入设备上进行本地认证。有关远程RADIUS认证和本地认证的详细介绍请参见“安全配置指导”中的“AAA”。

根据设备最终用于验证用户身份的用户名格式和内容的不同，可以将MAC地址认证使用的用户名格式分为两种类型：

·              MAC地址用户名格式：使用用户的MAC地址作为认证时的用户名和密码；

·              固定用户名格式：不论用户的MAC地址为何值，所有用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证，因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证，服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求，适用于接入客户端比较可信的网络环境。

图1-1 不同用户名格式下的MAC地址认证示意图

1. RADIUS服务器认证方式进行MAC地址认证

当选用RADIUS服务器认证方式进行MAC地址认证时，设备作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作：

·              若采用MAC地址用户名格式，则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。

·              若采用固定用户名格式，则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码，发送给RADIUS服务器进行验证。

RADIUS服务器完成对该用户的认证后，认证通过的用户可以访问网络。

2. 本地认证方式进行MAC地址认证

当选用本地认证方式进行MAC地址认证时，直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码：

·              若采用MAC地址用户名格式，则设备将检测到的用户MAC地址作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。

·              若采用固定用户名，则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。

用户名和密码匹配成功后，用户可以访问网络。

3  MAC地址认证定时器

可配置的MAC地址认证定时器包括以下几种：

·              下线检测定时器（offline-detect）：用来设置用户空闲超时的时间间隔。如果在两个时间间隔之内，某在线用户没有流量通过设备，设备将切断该用户的连接，同时通知RADIUS服务器，停止对该用户的计费。

·              静默定时器（quiet）：用来设置用户认证失败以后，设备停止对其提供认证服务的时间间隔。在静默期间，设备不对来自该用户的报文进行认证处理，直接丢弃。静默期后，如果设备再次收到该用户的报文，则依然可以对其进行认证处理。

·              服务器超时定时器（server-timeout）：用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中，如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答，则设备将在相应的端口上禁止此用户访问网络。

4  和MAC地址认证配合使用的特性1. 支持VLAN下发

为了将受限的网络资源与未认证用户隔离，通常将受限的网络资源和用户划分到不同的VLAN。MAC地址认证支持认证服务器（远程或本地）授权下发VLAN功能，即当用户通过MAC地址认证后，认证服务器将指定的受限网络资源所在的VLAN作为授权VLAN下发到用户认证的端口。该端口被加入到授权VLAN中后，用户便可以访问这些受限的网络资源。

设备根据用户接入的端口链路类型，按以下三种情况将端口加入下发的授权VLAN中。

·              若用户从Access类型的端口接入，则端口离开当前VLAN并加入下发的授权VLAN中。

·              若用户从Trunk类型的端口接入，则设备允许下发的授权VLAN通过该端口，并且修改该端口的缺省VLAN为下发的授权VLAN。

·              若用户从Hybrid类型的端口接入，则设备允许授权下发的VLAN以不携带Tag的方式通过该端口，并且修改该端口的缺省VLAN为下发的授权VLAN。需要注意的是，若该端口上使能了MAC VLAN功能，则设备将根据认证服务器下发的授权VLAN动态地创建基于用户MAC的VLAN，而端口的缺省VLAN并不改变。

2. 支持ACL下发

从认证服务器（远程或本地）下发的ACL被称为授权ACL，它为用户访问网络提供了良好的过滤条件设置功能。MAC地址认证支持认证服务器授权下发ACL功能，即当用户通过MAC地址认证后，如果认证服务器上配置了授权ACL，则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制。为使下发的授权ACL生效，需要提前在设备上配置相应的ACL规则。而且在用户访问网络的过程中，可以通过改变服务器的授权ACL设置来改变用户的访问权限。

3. MAC地址认证的Guest VLAN

Guest VLAN功能允许用户在认证失败的情况下访问某一特定VLAN中的资源，比如获取客户端软件，升级客户端或执行其他一些用户升级程序。这个VLAN称之为Guest VLAN。

如果接入用户的端口上配置了Guest VLAN，则该端口上认证失败的用户会被加入Guest VLAN，且设备允许Guest VLAN以不携带Tag的方式通过该端口，即该用户被授权访问Guest VLAN里的资源。若Guest VLAN中的用户再次发起认证未成功，则该用户将仍然处于Guest VLAN内；若认证成功，则会根据认证服务器是否下发授权VLAN决定是否将用户加入到下发的授权VLAN中，在认证服务器未下发授权VLAN的情况下，用户回到加入Guest VLAN之前端口所在的VLAN。

4. MAC地址认证的Critical VLAN

MAC地址认证的Critical VLAN功能允许用户在进行MAC地址认证时，当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源，这个VLAN称之为Critical VLAN。

端口上配置Critical VLAN后，若该端口上有用户进行MAC地址认证时，若所有认证服务器都不可达，则用户将被授权访问Critical VLAN里的资源。

如果满足以下任意一个条件，端口将会离开Critical VLAN：

·              用于认证用户的ISP域中的认证服务器配置有所变化，包括修改、新增或删除服务器。

·               RADIUS认证服务器恢复为active状态。

·               通过命令行将RADIUS认证服务器的状态置为active。

·               配置了RADIUS认证服务器探测功能，且探测结果表示某认证服务器可达。

说明

·        只采用RADIUS认证方式的情况下，在认证服务器都不可达后，端口才会加入Critical VLAN。若采用了其它认证方式，则端口不会加入Critical VLAN。

·        RADIUS服务器相关的配置请参见“安全配置指导”中的“AAA”。

京东翰林教育  中国零起点网络专家   华为NA NP零起点授课

咨询qq：1875816702  张老师

关注下方二维码，免费送华为技术视频、文章，考试试题，免费推荐高薪职位

                               
登录/注册后可看大图

微微一笑

微微一笑