MAC认证配置及下令解析(含华为和华三装备)

北冰洋以北  金牌会员 | 2024-8-3 05:30:08 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 704|帖子 704|积分 2112

前言:

MAC认证是网络接入控制方案(NAC)中的一种,它是基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,而且不需要用户安装任何客户端软件。通过MAC认证能够实现保护企业内网的安全性的目的。
MAC认证无需用户终端安装客户端,但是却需要在服务器上登记MAC地址,管理较为复杂。相较而言,NAC中的802.1X认证方式安全性高,但是由于需要用户终端安装客户端,部署不机动;而Portal认证方式同样不需要客户端而且部署机动,但是安全性不高。
MAC认证一般实用于打印机、传真机等哑终端接入认证的场景。
场景


华为Agile Controller-Campus对接入用户进行MAC认证(认证点部署在接入交换机)
HUAWEI/H3C装备——对接HUAWEI AG(RADIUS服务器)
NAC为同一模式,可基于VPN实例
终端用户接纳MAC认证方式接入组网环境

一、华为装备:

1、配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略)

#配置过程中有两个个共享密钥(RADIUS认证和计费密钥)交换机侧与服务器侧必须要配置一致
2、配置全网路由可达

4、创建RADIUS服务器模板(指定RADIUS服务器IP地址及共享密钥)

  1. radius-server template radius_temp                                 #创建radius server模板
  2. radius-server shared-key cipher Radius@Auth                        #定义共享秘钥
  3. radius-server authentication X.X.X.X 1812 vpn-instance Video source ip-address X.X.X.X weight 100   #ip-address为需要修改的地址,每个局点不同
  4. radius-server accounting X.X.X.X 1813 vpn-instance Video source ip-address X.X.X.X weight 100       #ip-address为需要修改的地址,每个局点不同
  5. radius-server testuser username AuthTest password cipher Huayun@123                                           #创建测试用户AuthTest,用户密码Huayun@123
  7. radius-server authorization X.X.X.X vpn-instance Video shared-key cip Radius@Auth                        #定义授权秘钥
复制代码
5、创建AAA认证方案,认证方式为RADIUS

  1. aaa                                             #进入aaa模式
  2. authentication-scheme radius_auth               #创建认证方案
  3. authentication-mode radius                      #指定认证方案的认证模式radius
复制代码
6、创建AAA计费方案,认证方式为RADIUS

  1. accounting-scheme radius_acc                     #创建审计方案
  2. accounting-mode radius                           #指定审计方案的审计模式为radius
  3. accounting realtime 15                           #指定实时审计周期为15分钟
  4. accounting start-fail online                     #指定开始计费失败策略为:如果开始计费失败,允许用户上线 (缺省情况下,如果开始计费失败,用户不能上线,即采用offline方式)
  5.                                                   该命令仅在执行accouting-mode命令配置计费模式为HWTACACS或RADIUS模式下生效;
  6.                                                   应用场景:应用了计费方案后,如果有用户上线,设备将向计费服务器发送开始计费请求。
  7.                                                   正常情况下,计费服务器响应设备的请求,由于网络故障的影响,可能造成设备没有收到计费服务器的响应而造成计费失败。
  8.                                                   计费失败后,需要执行响应的策略:
复制代码
7、创建接入用户默认认证域,并将RADIUS服务器模板、认证方案、计费方案绑定至该域;

  1. aaa                                                #进入aaa模式
  2. domain video.gov                                   #创建video.gov的域并进入域的视图
  3. authentication-scheme radius_auth                  #配置域下应用的认证方案
  4. accounting-scheme radius_acc                       #配置域下应用的计费方案
  5. radius-server radius_temp                          #配置域下应用radius-server模板
复制代码
8、界说触发逃生通道后用户所能访问的资源,以下配置以能够访问所有资源为例(即配置RADIUS服务器状态探测功能)

  1. #设备通过RADIUS服务器状态探测功能感知RADIUS服务器的状态,在RADIUS服务器状态为Down时,使用户能够获得逃生权限;在RADIUS服务器状态UP后,用户退出逃生权限,进行重认证
  2. #服务器DOWN后,每60S测试一次,3S内只要收到回复(无论认证成功与否都会有回复),服务器状态变为UP.
  3. radius-server template radius_temp
  4. radius-server detect-server interval 60
  5. radius-server detect-server timeout 3
  6. #RADIUS请求5S秒内无回复再次请求(以下为缺省值)
  7. radius-server retransmit 3 timeout 5
  9. #5S内出现两次Radius请求无响应,循环技术两次则服务器被判定为Down.
  10. #两次Radius请求无响应时间大于300S时,判定服务器Down. 默认 5 2 2
  11. radius-server dead-interval 5
  12. radius-server dead-count 1
  13. radius-server detect-cycle 2
  15. radius-server max-unresponsive-interval 300
  17. #配置RADIUS认证服务器和计费服务器的状态同步
  18. radius-server dead-detect-condition by-server   #配置基于IP地址对RADIUS服务器进行自动探测
  19.                                                  缺省情况下,RADIUS服务器和计费服务器是分开进行探测的。
  20.                                                  配置该功能后,相同VPN实例下,相同IP地址的RADIUS认证服务器和计费服务器同步探测,状态同步更新;
  23. #配置授权参数
  24. 用户在预连接、认证失败或认证服务器Down时,支持通过VLAN、UCL组和业务方案授权
  25. #业务方案
  27. acl  number 3000                  #定义acl,service-scheme需调用
  28. description For_Video
  29. rule 1 permit ip                  #放行所有IP流量
  31. aaa
  32. service-scheme AuthServer_Down    #创建一个业务方案,并进入业务方案视图。缺省情况下,设备没有创建业务方案
  33. acl-id  3000                      #业务方案下绑定ACL
复制代码
9、创建并配置MAC认证接入模板

  1. mac-access-profile name mac_access_profile        #创建MAC认证接入模板
  2. Quit
复制代码
10、创建并配置认证模板

  1. authentication-profile name Video                 #创建认证模板
  2. authentication timer handshake-period 10          #接入设备控制用户下线
  3.                                                    在接入设备上配置用户探测功能,用于探测用户是否在线。当用户在指定的时间内无响应(ARP探测),则认为用户下线,删除用户表项。                                             
  4. mac-access-profile mac_access_profile             #绑定MAC认证接入模板。缺省情况下,设备自带1个名称为mac_access_profile的MAC接入模板
  5. access-domain video.gov  force                    #指定强制认证域
  6. authentication mode multi-authen max-user 100     #指定用户接入模式为多用户单独认证接入模式、最大接入用户数为100。
  8. authentication event authen-server-down action authorize service-scheme AuthServer_Down         #配置用户在认证服务器Down时的网络访问权限
  9. authentication event authen-server-up action re-authen                                          #使能当认证服务器状态由Down或强制Up转变为真正Up时,设备对处于逃生状态的用户进行重认证。
  10.                                                                                                  缺省情况下,当认证服务器状态由Down或强制UP转变为真正UP时,设备不会对处于逃生状态的用户进行重认证。
  11.                                                                                                  缺省情况下,对预连接用户或认证失败用户进行重认证的周期为60S
  12. 说明:设备将RADIUS服务器的状态设置为Down,执行命令radius-server dead-time dead-time配置RADIUS服务器恢复激活状态的时间,当dead-time超时后,设备会将服务器的状态设置为Up,此状态为强制Up。
  13.       服务器可以成功收发报文时为真正Up状态。服务器状态从Down或强制Up状态转变为真正Up状态时,设备会对用户进行重认证。
  14.                                                                                                 
复制代码
11、接口下绑定认证模板

  1. interface vlanif 3058        #需要修改的vlan,每个局点不同
  2. authentication-profile Video
  3. 或者
  4. interface GigabitEthernet0/0/17
  5. authentication-profile Video
复制代码
相关查看下令 

  1. #display access-user //查看MAC认证上线情况
复制代码
二、华三装备

1、配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略)

#配置过程中有两个个共享密钥(RADIUS认证和计费密钥)交换机侧与服务器侧必须要配置一致
2、配置全网路由可达

3、配置RADIUS方案

  1. radius scheme radius_temp  #创建RADIUS方案,并进入RADIUS方案视图
  2. primary authentication X.X.X.X  vpn-instance Video key simple  Radius@Auth weight 100   #配置主RADIUS认证服务器
  3. primary accounting X.X.X.X vpn-instance Video key simple  Radius@Auth weight 100        #配置主RADIUS计费服务器
  4. user-name-format without-domain             #设置发送给RADIUS服务器的用户名不携带携带ISP域名(缺省情况下,发送给RADIUS服务器的用户名携带ISP域名)                                          
  5. nas-ip X.X.X.X                              #为指定RADIUS方案配置发送RADIUS报文使用的源IP地址   
  6.                                             #需要修改的地址,每个局点不同
复制代码
4、配置ISP域

  1. domain video.gov  #创建非缺省ISP域
  2. authentication default radius-scheme radius_temp  
  3. authorization default radius-scheme radius_temp
  4. accounting default radius-scheme radius_temp
复制代码
5、配置MAC认证

  1. 全局模式下
  2. mac-authentication  #开启MAC地址认证
  3. mac-authentication timer offline-detect 900  #配置MAC地址认证定时器类型为下线检测定时器(缺省为300S)
  4. mac-authentication user-name-format mac-address with-hyphen(注释:用连字符) lowercase(注释:小写)  #配置全局MAC地址认证用户的账号格式
  5. mac-authentication access-user log enable failed-login logoff successful-login  #开启MAC地址认证用户上线成功的日志信息
复制代码
  1. interface interface-type interface-number
  2. mac-authentication #接口视图下,开启MAC地址认证
  3. mac-authentication carry user-ip  #配置MAC地址认证请求中携带用户IP地址(适用终端用户采用静态IP地址方式接入的组网环境中)
  4. #只有全局和端口的MAC地址认证均开启后,MAC地址认证才能在端口生效
复制代码
相关查看下令

  1. #display  mac-authentication connection //查看MAC地址认证上线情况
  2. #display mac-authentication //显示MAC地址认证配置信息
复制代码


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

北冰洋以北

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表