MAC认证是一种基于接口和终端MAC地址对用户的访问权限进行控制的认证方法。

特点

免安装：用户终端不需要安装任何客户端软件。

免输入：认证过程中，不需要手动输入用户名和口令。

哑终端友好：能够对不具备802.1x认证能力的终端进行认证，比如打印机和传真机等哑终端。

C/S架构：终端、接入设备、认证服务器

用户名形式

进行mac认证时使用的用户名和密码需要在接入设备上预先配置。

缺省情况下，终端进行mac认证时使用的用户名和密码均为终端的mac地址。

MAC认证时使用的用户名	密码	适用场景
终端的MAC地址	两种形式：终端的MAC地址指定的密码	客户端少量部署且MAC地址容易获取的场景，例如对少量接入网络的打印机进行认证。
指定的用户名	指定的密码	由于同一个接口下可以存在多个终端，此时所有终端均使用指定的用户名和密码进行MAC认证，服务器端仅需要配置一个账户即可满足所有终端的认证需求，适用于终端比较可信的网络环境。
DHCP选项，有三种形式： circuit-id子选项 remote-id子选项 circuit-id子选项和remote-id子选项的组合	指定的密码	该场景下终端需通过DHCP方式获取IP地址，且需保证DHCP报文能够触发MAC认证。

认证流程

对于MAC认证用户密码的处理，有PAP和CHAP两种方式：

PAP:设备将MAC地址、共享密钥、随机值依次排列后，经过HASH处理后封装在属性“user-password”中。

CHAP:设备将CHAP ID、MAC地址、随机值依次排列后，经过HASH处理后封装在属性“CHAP-Password”和“CHAP-Challenge”中。

pap方式

1、接入设备收到终端发送的arp/dhcp/dhcpv6/nd报文，触发MAC认证。

2、设备随机生成一个随机值，并对MAC认证用户的MAC地址、共享密钥、随机值依次排列后经过MD5算法进行HASH处理，然后将用户名、HASH处理结果以及随机值封装在RADIUS认证请求报文中发送给RADIUS服务器，请求RADIUS服务器对该终端进行MAC认证。

3、RADIUS服务器使用收到的随机值对本地数据库中对应mac认证用户进行mac地址、共享密钥、随机值依次排列后经过md5算法进行HASH处理，如果与设备发来的值相同，则向设备发送认证接受报文，表示终端mac认证成功，允许该终端访问网络。

chap方式

认证授权

认证用于确认尝试接入网络的用户身份是否合法，而授权则用于指定身份合法的用户所能拥有的网络访问权限，即用户能够访问哪些资源。授权最基础也是最常使用的授权参数是VLAN、ACL和UCL组。

vlan

为了将受限的网络资源与未认证用户隔离，通常将受限的网络资源和未认证的用户划分到不同的VLAN。用户认证成功后，认证服务器将指定VLAN授权给用户。此时，设备会将用户所属的VLAN修改为授权的VLAN，授权的VLAN并不改变接口的配置。但是，授权的VLAN优先级高于用户配置的VLAN，即用户认证成功后生效的VLAN是授权的VLAN，用户配置的VLAN在用户下线后生效。RADIUS服务器授权VLAN时，必须同时使用以下RADIUS标准属性：

Tunnel-Type：必须配置为“VLAN”或“13”
Tunnel-Medium-Type：必须配置为“802”或“6”
Tunnel-Private-Group-ID：可以是VLAN ID、VLAN描述

ACL

用户认证成功后，认证服务器将指定ACL授权给用户，则设备会根据该ACL对用户报文进行控制。

如果用户报文匹配到该ACL中动作为permit的规则，则允许其通过。
如果用户报文匹配到该ACL中动作为deny的规则，则将其丢弃。

RADIUS服务器授权ACL有两种方法：

授权静态ACL：RADIUS服务器通过RADIUS标准属性Filter-Id将ACL ID授权给用户。为使授权的ACL生效，需要提前在设备上配置相应的ACL及规则。
授权动态ACL：RADIUS服务器通过华为RADIUS扩展属性HW-Data-Filter将ACL ID及其ACL规则授权给用户。ACL ID及其ACL规则需要在RADIUS服务器上配置，设备上不需要配置。

UCL

用户控制列表UCL组（User Control List）是网络成员的集合。UCL组里面的成员，可以是PC、手机等网络终端设备。借助UCL组，管理员可以将具有相同网络访问策略的一类用户划分为同一个组，然后为其部署一组网络访问策略，满足该类别所有用户的网络访问需求。相对于为每个用户部署网络访问策略，基于UCL组的网络控制方案能够极大的减少管理员的工作量。RADIUS服务器授权UCL组有两种方式：

授权UCL组名称：RADIUS服务器通过RADIUS标准属性Filter-Id将UCL组名称授权给指定用户。
授权UCL组ID：RADIUS服务器通过华为RADIUS扩展属性HW-UCL-Group将UCL组ID授权给指定用户。无论是哪一种授权UCL组方式，都必须提前在设备上配置相应的UCL组及UCL组的网络访问策略。

free-rule

用户认证成功之前，为满足用户基本的网络访问需求，需要用户认证成功前就能获取部分网络访问权限。可在free-rule模板中配置free-rule规则，满足用户的认证成功前的网络访问需求。

用户的free-rule可以通过普通的free-rule定义，也可以通过ACL定义。普通的free-rule由IP地址、MAC地址、接口、VLAN等参数确定；通过ACL定义的free-rule由ACL规则确定。两种方式定义的free-rule都能够指定用户无需认证就可以访问的目的IP地址。除此之外，ACL定义的free-rule还能够指定用户认证成功前就可以访问的目的域名。

基于域名定义用户的free-rule有时要比基于IP地址简单方便。例如，某些认证用户由于没有认证账号，必须首先在运营商提供的官方网站上注册申请会员账号；或者通过微博、微信等第三方账号进行登录。这就要求用户认证通过前，能够访问特定的网站。由于用户记忆网站的域名要比记忆其IP地址容易的多，所以，此时可以通过ACL定义的free-rule，指定用户认证成功前即可访问以上网站域名。

实验案例

实验拓扑

配置思路

1、底层网络互通配置

2、交换机mac认证配置

3、ac配置

3.1、添加mac认证设备

3.2、配置认证规则

3.3、配置授权结果

3.4、配置授权规则

3.5、验证结果

具体配置

1、防火墙基础配置

#接口配置
sys fw1
int g0/0/0
ip add 192.168.0.10 24
int g0/0/1
ip add 10.1.1.10 24
int g0/0/3
ip add 192.168.1.10 24
int g0/0/2
ip add 202.100.1.10 24
#配置安全区域
fire zone trust
add int g0/0/1
fire zone dmz
add int g0/0/3
fire zone untrust
add int g0/0/2
quit
ip route-static 0.0.0.0 0 202.100.1.254
ip route-static 10.1.2.0 24 10.1.1.254user-interface con 0
id 0

2、路由器配置

sys ISP
undo int vlanif1acl 2000
rule permitint g0/0/0
undo portswitch
nat outbound 2000
ip add dhcp-allocint g0/0/1
undo portswitch
ip add 202.100.1.254 24
quitip route-static 10.1.0.0 16  202.100.1.10user-interface con 0
id 0

3、接入交换机配置MAC认证

3.1、创建并配置radius服务器模板

#配置radius
radius-server template RADIUS-POLICYradius-server shared-key cipher Huawei@123radius-server authentication 192.168.1.100 1812radius-server accounting 192.168.1.100 1813quit
radius-server auththorization 192.168.1.100 shared-key cipher Huawei@123

3.2、创建并配置AAA认证、计费方案

aaa
authentication-scheme AUTH
authentication-mode radius
accounting-scheme ACCOUNT
accounting-mode radius
accounting realtime 3

3.3、配置认证域，并在其上绑定aaa认证、计费方案、radius服务器模板

aaa
domain default
authentication-scheme AUTH
accounting-scheme ACCOUNT
radius-server RADIUS-POLICY

3.4、在认证模板下绑定MAC模板并在接入接口下调用认证模板

#配置MAC认证#统一模式
#第一步：配置接入模板
mac-access-profile name MAC-ACC-PROFILE#第二步：配置认证模板
authentication-profile name AUTH-RPOFILEmac-access-profile MAC-ACC-PROFILE  #调用MAC模板#第三步：接口下应用认证模板
interface GigabitEthernet0/0/9authentication-profile AUTH-RPOFILE   #调用认证模

4、ac配置

4.1、增加接入设备

资源---设备--设备管理---所有设备----添加

新增设备组--接入设备，并将刚刚增加的设备接入设备移动到接入设备组

4.2、添加终端设备

资源--终端---终端列表--增加设备组

在设备组内增加设备，注意提前获知设备mac地址00-50-56-9E-CE-30

4.3、配置认证规则

创建认证规则

选择mac旁路认证业务

关联接入设备组

关联终端设备组

注意和dot1x的区别是不需要关联认证协议。

4.4、配置动态acl

4.5、配置授权结果

新增授权结果

关联动态acl

4.6、配置授权规则

新增授权规则

关联接入设备组

关联终端设备组

关联授权结果

5、验证结果

0、在终端pc上访问公网

1、在sw上检查在线用户

[sw1]dis access-user
UserID  Username               IP address                               MAC            Status
19      0050569ece30           10.1.2.1                                 0050-569e-ce30 Success
Total: 1, printed: 1

2、检查在线用户详细信息

[sw1]dis access-user user-id 19Basic:User ID                         : 19User name                       : 0050569ece30Domain-name                     : default                         User MAC                        : 0050-569e-ce30User IP address                 : 10.1.2.1User vpn-instance               : -User IPv6 address               : -User access Interface           : GigabitEthernet0/0/9User vlan event                 : Success        QinQVlan/UserVlan               : 0/11User vlan source                : user request                  User access time                : 2021/02/10 09:53:31User accounting session ID      : sw100009000000011ac****0000013Option82 information            : -User access type                : MACTerminal Device Type            : Data Terminal  Service Scheme Priority         : 0AAA:User authentication type        : MAC authenticationCurrent authentication method   : RADIUSCurrent authorization method    : -Current accounting method       : RADIUS

3、ac检查日志

HCIE-Security Day47：AC准入控制MAC相关推荐

HCIE-Security Day46：AC准入控制Dot1x
简介 802.1X协议是一种基于端口的网络接入控制协议(Port based networkaccess control protocol)."基于端口的网络接入控制"是指在局域网 ...
HCIE-Security Day48：AC准入控制Portal
定义 portal认证通常也称为web认证,一般将portal认证网站称为门户网站.用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源. ...
HCIE-Security Day44：AC产品概述、功能、架构组成、AC准入主要技术、RADIUS协议
什么是AC Agile Controller:敏健控制器.基于用户与应用的网络资源自动化控制系统,作为园区网络的集中化控制核心,全局控制园区网络的用户.业务与安全等策略. Agile Controll ...
[4G/5G/6G专题基础-154]: 5G无线准入控制RAC（Radio Admission Control）+ 其他准入控制
作者主页(文火冰糖的硅基工坊):文火冰糖(王文兵)的博客_文火冰糖的硅基工坊_CSDN博客本文网址:https://blog.csdn.net/HiWangWenBing/article/detai ...
局域网流量控制_基于软件定义的网络准入控制体系
引用本文邓永晖,周佳,鹿文杨.基于软件定义的网络准入控制体系[J].通信技术,2020,53(04):970-975.DENG Yong-hui,ZHOU Jia,LU Wen-yang. N ...
计算机终端网络准入控制要求,计算机网络终端准入控制技术资料.pdf
201 计算机系统应用 1年第20卷第l期http://www．c-S·a．org．cn 计算机网络终端准入控制技术① 周超,周城,丁晨路 (重庆通信学院研究生管理大队,重庆400035) 摘要:终端 ...
准入控制(NAC)技术调研
1. NAC分类根据美国著名调研机构Gartner研究,他们把所有的NAC厂家.技术统一做了归类与分析,提出了三个NAC技术框架的理论: 1.基于端点系统的架构–Software-base NAC; ...
安全认证、准入控制、RBAC
文章目录准入机制一.Authentication:认证 1.https的认证需要认证的节点总结二.鉴权(Authorization) API Server目前支持以下几种授权策略: RBAC ...
kubectl认证授权准入控制
kubernetes 认证及serviceaccount(服务账号) kubernetes中apiservice是唯一访问的入口认证->授权->准入控制认证方式:token s ...

HCIE-Security Day47：AC准入控制MAC

特点