您的位置: 首页  >  生活常识  >  鐢╩ac鍦板潃璁よ瘉(基于无线场景的本地MAC地址认证方案MAC地址认证)

鐢╩ac鍦板潃璁よ瘉(基于无线场景的本地MAC地址认证方案MAC地址认证)

分类: 生活常识 2023-11-21 19:13:34
关于MAC地址认证的场景MAC地址认证最早出现在有线交换机上面,对于接入交换机的口开启MAC认证,对应的终端MAC通过了数据才能正常通过这个口转发出去,随着无线应用的广泛,MAC地址认证也应用在了无线组网里面,在前几年可能应用的还是比较多,但随着智能手机的一些功能(一个叫做随机MAC的功能)出现、更多认证方式的出现、MAC地址认证带来的一些问题,导致MAC地址认证单独使用的场景越来越少了。MAC认证流程在MAC认证过程中,AC会把用户的数据发送给radius服务器进行交互,交互的时候会对用户信息进行认证处

关于MAC地址认证的场景

MAC地址认证最早出现在有线交换机上。当接入交换机的端口开启MAC认证时,相应终端MAC的数据可以通过该端口正常转发。随着无线网络的广泛应用,MAC地址认证也被应用到无线网络中。这几年可能应用的越来越多了。但是随着智能手机的一些功能(一种叫随机MAC的功能)的出现,更多的认证方式以及MAC地址认证带来的一些问题,MAC地址认证越来越多的场景被单独使用。

MAC认证过程在MAC认证过程中,AC会将用户的数据发送到radius服务器进行交互。交互时会对用户的信息进行认证,数据加密方式有PAP和CHAP。

1.终端接入WIFI后,AC(接入设备)发现VAP开启了MAC认证功能,触发MAC认证过程。

2.AC会随机生成一个MD5挑战密钥,用这个密钥对MAC的用户信息进行加密,然后将原始用户信息、加密后的用户信息和MD5挑战密钥发送给radius服务器,让radius服务器对终端的MAC进行认证(这里注意用户信息不是简单的直接发送给radius服务器,中间有一个加密过程)

3.radius服务器收到AC发送的信息后,会提取MD5挑战密钥和原始用户信息,然后用MD5加密本地数据库中对应的MAC用户信息。如果结果与AC发送的相同,则告知AC接受(通过)认证,允许接入网络;否则,它将验证失败并拒绝访问。

PS:PAP和CHAP的区别是PAP对原始信息加密一次,CHAP加密两次。具体是采用PAP还是CHAP,要在实际环境中考虑。如果是别人的责任,应该协商。当然,我们也可以采用本地认证。

MAC认证授权我们认证了认证之后,还可以对通过的用户进行授权,比如授予哪个VLAN,可以访问哪些资源(ACL)。授权可以分为本地授权和服务器认证。

  • 当授权方式为本地授权时,用户从域中获取授权信息。
  • 当该方法授权服务器时,用户从服务器和域获得授权信息。在该域下配置的授权信息的优先级低于服务器发布的授权信息。如果两者的授权信息有冲突,则以服务器发出的授权为准。如果他们的授权信息不冲突,他们的授权信息将同时生效。这样,可以通过域管理灵活地授权处理,而不受服务器提供的授权限制。
  • 以上提到的都是认证通过之后。我们还可以给出一些基于认证前的授权信息,比如认证前哪个VLAN,认证失败后哪个VLAN,认证服务器失败如何处理等。

    • MAC用户注销

    当用户注销时,我们需要能够感知用户的离开,否则就会出现一些问题。

    (1)Radius服务器会向用户收费,导致计费错误。

    (2)合法用户可能被非法用户假冒访问网络。

    (3)对于已经注销的用户,如果还有用户信息记录,是对设备资源的消耗。

    因此,接入设备(AC)需要能够感知用户离线,立即删除用户信息,并在与外部数据库对接时通知外部服务器。

    学习新的知识点

    在配置MAC地址认证时,我们应该先回顾一下NAC的配置过程。无论哪种方式,我们都应该(1)配置访问模板(2)配置身份验证模板(3)将其应用于VAP模板。

    配置访问模板

    Mac-access-profile名称:创建一个access模板,默认有一个mac_access_profile名称模板。

    有一个默认的模板名为mac_access_profile,包含了一些用户名的格式,是否重新认证和循环,是否绑定认证模板。

    1.这里我们主要了解用户名的格式。

    [AC6005]mac访问配置文件名称mac

    [AC 6005-mac-access-profile-MAC]MAC-authen用户名MAC地址

    我们创建一个access模板为mac,然后定义MAC认证的用户名为MAC地址,就可以直接进入了。我们都知道MAC地址在不同的系统中有不同的表达方式。

    0005-e01c-02e3,

    00-05-e0-1c-02-e3

    0005:e01c:02e3

    00:05:e0:1c:02:e3

    0005e01c02e3

    默认情况下,最后一个是0005e01c02e3,不带-nor:。如果我们想以其他格式配置它,那么我们需要改变参数。

    macaddress后面还有一个歌曲格式参数,指定MAC地址的格式。其中包括:

    带连字符:用分隔符“-”指定MAC地址,例如“0005-e01c-02e3”。

    带连字符normal:用分隔符“-”指定MAC地址,例如“00-05-e0-1c-02-e3”。

    带连字符冒号:用分隔符“:”指定MAC地址,例如“0005:e01c:02e3”。

    带-连字符的普通冒号:用分隔符“:”指定MAC地址,例如“00:05:e0:1c:02:e3”。

    不带连字符:指定不带分隔符“-”或“:”的MAC地址,如“0005e01c02e3”。

    大写:指定用户名的形式为大写。

    可以根据实际环境选择相应的格式,一般使用不带连字符。

    2.采用PAP还是CHAP身份验证?

    Mac-authen认证-方法可以通过这个修改,默认模式是PAP。

    3.MAC重新认证

    Mac-authen reauthenticate:缺省情况下不启用reauthenticate功能。

    MAC-authen timer re authenticate-period:重新认证的时间间隔,默认为1800秒,只有在重新认证功能开启时才会生效。

    MAC地址本地验证案例

    对于MAC认证的本地模式,配置都在AC上,包括用户信息(当然AR路由器充当AC时也是支持的),所以在配置之前需要注意这些问题。

    1.MAC认证用户名的格式为无连字符,即0005e01c02e3没有符号,创建用户名和密码时可以统一为0005e01c02e3。

    2.我们可以在本地使用默认或定制的身份验证模板。建议养成习惯习惯。

    3.如果需要授权,我们可以在本地授权已认证的用户,并考虑在VLAN授权后发布数据VLAN。

    1.基本联网就省略了(已经18条了,基本配置还没有,是时候反思一下了)

    基础环境是Partners属于VLAN2,office属于VLAN3,都可以用open access连接。在此基础上,我们来做MAC地址认证。

    AAA表示身份验证类型为无。

    2.MAC本地认证配置(1)配置MAC访问模板[AC6005] MAC-access-profile名称MAC

    不需要配置任何参数,因为默认是基于不带连字符的用户名方法。

    (2)配置认证模板,包括认证方法、AAA方案、授权信息等。

    美国汽车协会

    [AC 6005-AAA]验证方案mac

    [AC 6005-AAA-authen-MAC]本地身份验证模式

    [AC 6005-AAA-authen-MAC]问

    定义了一个叫MAC的认证方案,认证方式是本地的。

    [AC 6005-AAA]本地用户548998fc5e4b密码密码548998fc5e4b

    错误:密码不能与用户名或颠倒的用户名相同。

    配置本地认证信息时,可以看到用户名和密码一致,会提示错误,说密码不能包含用户名信息。

    解决方法:

    [AC6005]mac访问配置文件名称mac

    [AC 6005-mac-access-profile-MAC]MAC-authen用户名MAC地址格式无连字符密码密码测试@123

    信息:密码应该满足复杂性检查要求。

    定义一个通用密码,然后我们为本地信息的所有用户信息设置这个密码。

    [AC 6005-AAA]本地用户548998fc5e4b密码密码测试@123

    [AC 6005-AAA]本地用户548998fc5e4b服务类型8021x

    [AC 6005]身份验证-配置文件名mac

    [AC 6005-验证-配置文件-mac]MAC-访问-配置文件MAC

    [AC 6005-身份验证配置文件-mac]身份验证-方案MAC

    定义身份验证模板、关联的身份验证方法和访问模板。这里没有授权,所以不需要调用。

    (3)向VAP调用认证模板

    [AC 6005-WLAN-view]VAP-档案名称合作伙伴

    [AC 6005-WLAN-VAP-prof-Partners]验证-配置文件mac

    警告:此操作可能会导致服务中断。继续吗?[是/否]是

    [AC 6005-WLAN-view]VAP-档案名称办公室

    [AC 6005-WLAN-VAP-prof-office]验证-配置文件mac

    警告:此操作可能会导致服务中断。继续吗?[是/否]是

    总结整个配置过程:(1)配置接入模板(采用哪种NAC认证);(2)配置认证模板:认证模板分为认证方式(使用本地或外部数据库)。如果是本地认证,配置本地用户信息(这里MAC地址,用户名,密码不一致,所以用通用密码解决)。如果是外部数据库,需要配置radius和其他服务器的对接参数,也可以调用授权。(本例定义认证方式为本地,然后配置本地用户信息,然后调用访问模板)(3)调用VAP的认证模板。

    测试,可以连接,但是怎么才能分辨出是不是属于MAC地址认证呢?

    显示mac-auten:检查mac认证,可以看到这台MAC的用户信息。

    显示访问权限-用户详细信息:在查看用户信息时,您还可以看到AA的用户类型。

    你可以看到类型是提示MAC认证。

    点击连接,但无法连接。

    这时候我们可以用一个之前学过的调试命令。

    显示站在线-失败-记录全部

    显示aaa在线-失败-全部记录:检查AAA失败的原因。

    提示认证失败。认证失败的原因是我们没有这个用户名的本地信息。只是创造它。

    本地用户54899886606e密码密码测试@123

    [AC 6005-AAA]本地用户54899886606e服务类型8021x

    连接已经成功,因为我们已经添加了本地用户信息。现在让我们试试office。

    Office是先密码认证,密码认证后进行MAC地址认证。

    是的,因为这个用户名在本地数据库中。

    可以看到连接到Office,然后使用MAC地址认证方式。

    1.总结:对于来自老版本的童鞋,一定要适应新版本的模板。

    2.其思路是(1)定义接入模板,采用什么样的NAC接入方式;(2)定义认证模板(包括认证方式、授权和AAA,然后关联接入模板);(3)将认证模板与VAP相关联。

    3.在本地进行身份验证时,请注意帐户密码不能包含新版本AC中的用户名。我们的解决方案是设置一个通用密码。

    4.对MAC地址的认证过程有所了解,然后知道认证成功或失败后如何检查。

    简介《带你学习华为企业无线网络应用》是博主原创的系列课程,主要讲述常见华为厂商的无线AC AP组网系列应用的部署。结合实际环境,把博主的部署经验和将要遇到的问题结合起来,做到学以致用,给你不一样的学习体验。

    如有疑问或文中有错误或遗漏,欢迎留言指出,博主们一看到就会修改。谢谢你的支持。更多技术文章在网路博客,版权归网路博客所有。原创不易,侵权必究。如果觉得有帮助,请注意转发。谢谢你。

    以前的审查

    下一项研究

    19.基于无线场景的外部服务器MAC地址认证方案

    相关推荐