MAC认证配置及命令解析（含华为和华三设备）

MAC认证配置及命令解析（含华为和华三设备）

引用

CSDN

1.

https://blog.csdn.net/weixin_47402139/article/details/136369195

MAC认证是网络接入控制方案（NAC）中的一种，它是基于接口和MAC地址对用户的网络访问权限进行控制的认证方法，并且不需要用户安装任何客户端软件。通过MAC认证能够实现保护企业内网的安全性的目的。MAC认证无需用户终端安装客户端，但是却需要在服务器上登记MAC地址，管理较为复杂。相较而言，NAC中的802.1X认证方式安全性高，但是由于需要用户终端安装客户端，部署不灵活；而Portal认证方式同样不需要客户端并且部署灵活，但是安全性不高。MAC认证一般适用于打印机、传真机等哑终端接入认证的场景。

华为Agile Controller-Campus对接入用户进行MAC认证（认证点部署在接入交换机）

华为设备配置

1. 配置RADIUS服务器，添加用户账户，保证用户的认证/授权/计费功能正常运行（略）

2. 配置全网路由可达

3. 创建RADIUS服务器模板（指定RADIUS服务器IP地址及共享密钥）

radius-server template radius_temp                                 #创建radius server模板
radius-server shared-key cipher Radius@Auth                        #定义共享秘钥
radius-server authentication X.X.X.X 1812 vpn-instance Video source ip-address X.X.X.X weight 100   #ip-address为需要修改的地址，每个局点不同
radius-server accounting X.X.X.X 1813 vpn-instance Video source ip-address X.X.X.X weight 100       #ip-address为需要修改的地址，每个局点不同
radius-server testuser username AuthTest password cipher Huayun@123                                           #创建测试用户AuthTest，用户密码Huayun@123
 
radius-server authorization X.X.X.X vpn-instance Video shared-key cip Radius@Auth                        #定义授权秘钥  

4. 创建AAA认证方案，认证方式为RADIUS

aaa                                             #进入aaa模式
authentication-scheme radius_auth               #创建认证方案
authentication-mode radius                      #指定认证方案的认证模式radius  

5. 创建AAA计费方案，认证方式为RADIUS

accounting-scheme radius_acc                     #创建审计方案
accounting-mode radius                           #指定审计方案的审计模式为radius
accounting realtime 15                           #指定实时审计周期为15分钟
accounting start-fail online                     #指定开始计费失败策略为：如果开始计费失败，允许用户上线 （缺省情况下，如果开始计费失败，用户不能上线，即采用offline方式）
                                                  该命令仅在执行accouting-mode命令配置计费模式为HWTACACS或RADIUS模式下生效；
                                                  应用场景：应用了计费方案后，如果有用户上线，设备将向计费服务器发送开始计费请求。
                                                  正常情况下，计费服务器响应设备的请求，由于网络故障的影响，可能造成设备没有收到计费服务器的响应而造成计费失败。
                                                  计费失败后，需要执行响应的策略:  

6. 创建接入用户默认认证域，并将RADIUS服务器模板、认证方案、计费方案绑定至该域

aaa                                                #进入aaa模式
domain video.gov                                   #创建video.gov的域并进入域的视图
authentication-scheme radius_auth                  #配置域下应用的认证方案
accounting-scheme radius_acc                       #配置域下应用的计费方案
radius-server radius_temp                          #配置域下应用radius-server模板  

7. 定义触发逃生通道后用户所能访问的资源，以下配置以能够访问所有资源为例（即配置RADIUS服务器状态探测功能）

#设备通过RADIUS服务器状态探测功能感知RADIUS服务器的状态，在RADIUS服务器状态为Down时，使用户能够获得逃生权限；在RADIUS服务器状态UP后，用户退出逃生权限，进行重认证
#服务器DOWN后，每60S测试一次，3S内只要收到回复（无论认证成功与否都会有回复），服务器状态变为UP.
radius-server template radius_temp
radius-server detect-server interval 60 
radius-server detect-server timeout 3
#RADIUS请求5S秒内无回复再次请求（以下为缺省值）
radius-server retransmit 3 timeout 5 
 
#5S内出现两次Radius请求无响应，循环技术两次则服务器被判定为Down.
#两次Radius请求无响应时间大于300S时，判定服务器Down. 默认 5 2 2 
radius-server dead-interval 5
radius-server dead-count 1
radius-server detect-cycle 2
 
radius-server max-unresponsive-interval 300
 
#配置RADIUS认证服务器和计费服务器的状态同步
radius-server dead-detect-condition by-server   #配置基于IP地址对RADIUS服务器进行自动探测
                                                 缺省情况下，RADIUS服务器和计费服务器是分开进行探测的。
                                                 配置该功能后，相同VPN实例下，相同IP地址的RADIUS认证服务器和计费服务器同步探测，状态同步更新；
 
 
#配置授权参数
用户在预连接、认证失败或认证服务器Down时，支持通过VLAN、UCL组和业务方案授权
#业务方案
 
acl  number 3000                  #定义acl，service-scheme需调用
description For_Video
rule 1 permit ip                  #放行所有IP流量
 
aaa
service-scheme AuthServer_Down    #创建一个业务方案，并进入业务方案视图。缺省情况下，设备没有创建业务方案
acl-id  3000                      #业务方案下绑定ACL  

8. 创建并配置MAC认证接入模板

mac-access-profile name mac_access_profile        #创建MAC认证接入模板
Quit  

9. 创建并配置认证模板

authentication-profile name Video                 #创建认证模板
authentication timer handshake-period 10          #接入设备控制用户下线
                                                   在接入设备上配置用户探测功能，用于探测用户是否在线。当用户在指定的时间内无响应（ARP探测），则认为用户下线，删除用户表项。                                              
mac-access-profile mac_access_profile             #绑定MAC认证接入模板。缺省情况下，设备自带1个名称为mac_access_profile的MAC接入模板
access-domain video.gov  force                    #指定强制认证域
authentication mode multi-authen max-user 100     #指定用户接入模式为多用户单独认证接入模式、最大接入用户数为100。
authentication event authen-server-down action authorize service-scheme AuthServer_Down         #配置用户在认证服务器Down时的网络访问权限
authentication event authen-server-up action re-authen                                          #使能当认证服务器状态由Down或强制Up转变为真正Up时，设备对处于逃生状态的用户进行重认证。
                                                                                                 缺省情况下，当认证服务器状态由Down或强制UP转变为真正UP时，设备不会对处于逃生状态的用户进行重认证。
                                                                                                 缺省情况下，对预连接用户或认证失败用户进行重认证的周期为60S
说明：设备将RADIUS服务器的状态设置为Down，执行命令radius-server dead-time dead-time配置RADIUS服务器恢复激活状态的时间，当dead-time超时后，设备会将服务器的状态设置为Up，此状态为强制Up。
      服务器可以成功收发报文时为真正Up状态。服务器状态从Down或强制Up状态转变为真正Up状态时，设备会对用户进行重认证。
                                                                                                   

10. 接口下绑定认证模板

interface vlanif 3058        #需要修改的vlan，每个局点不同
 authentication-profile Video
或者
interface GigabitEthernet0/0/17
 authentication-profile Video
   

相关查看命令

 #display access-user //查看MAC认证上线情况  

华三设备配置

1. 配置RADIUS服务器，添加用户账户，保证用户的认证/授权/计费功能正常运行（略）

2. 配置全网路由可达

3. 配置RADIUS方案

radius scheme radius_temp  #创建RADIUS方案，并进入RADIUS方案视图
primary authentication X.X.X.X  vpn-instance Video key simple  Radius@Auth weight 100   #配置主RADIUS认证服务器
primary accounting X.X.X.X vpn-instance Video key simple  Radius@Auth weight 100        #配置主RADIUS计费服务器
user-name-format without-domain             #设置发送给RADIUS服务器的用户名不携带携带ISP域名（缺省情况下，发送给RADIUS服务器的用户名携带ISP域名）                                           
nas-ip X.X.X.X                              #为指定RADIUS方案配置发送RADIUS报文使用的源IP地址   
                                            #需要修改的地址，每个局点不同  

4. 配置ISP域

domain video.gov  #创建非缺省ISP域
authentication default radius-scheme radius_temp  
authorization default radius-scheme radius_temp
accounting default radius-scheme radius_temp  

5. 配置MAC认证

全局模式下
mac-authentication  #开启MAC地址认证
mac-authentication timer offline-detect 900  #配置MAC地址认证定时器类型为下线检测定时器（缺省为300S）
mac-authentication user-name-format mac-address with-hyphen（注释：用连字符） lowercase（注释：小写）  #配置全局MAC地址认证用户的账号格式
mac-authentication access-user log enable failed-login logoff successful-login  #开启MAC地址认证用户上线成功的日志信息
  

interface interface-type interface-number 
mac-authentication #接口视图下，开启MAC地址认证
mac-authentication carry user-ip  #配置MAC地址认证请求中携带用户IP地址（适用终端用户采用静态IP地址方式接入的组网环境中）
#只有全局和端口的MAC地址认证均开启后，MAC地址认证才能在端口生效  

相关查看命令

#display  mac-authentication connection //查看MAC地址认证上线情况
#display mac-authentication //显示MAC地址认证配置信息