MAC地址认证实施方案

RADIUS 服务器进行MAC地址验证的无线接入实验一、实验的内容（1）、DHCP的基本配置。

（2）、DHCP中继的基本配置。

（3）、AP三层注册的基本配置。

（4）、RADIUS服务器的配置。

（5）、NAT的基本配置。

二、实验目的（1）、掌握RADIUS 服务器进行MAC地址验证无线接入的基本工作原理。

（2）、掌握RADIUS 服务器进行MAC地址验证无线接入配置过程，熟悉RADIUS 服务器进行MAC地址验证无线接入的配置。

（3）、了解和熟悉RADIUS 服务器进行MAC地址验证无线接入的配置命令。

三、实验设备实验设备数量备注H3C AR28路由器 1计算机 1 Window xp 做RADIUS服务器H3C 6310交换机 1 做DHCP服务器H3C E328交换机 1 做DHCP中继RS-232配置线 1AP 1AC 1手机STA 1 做无线接入用四、实验网络图和ip地址规划（1）、网络图（2）、Ip地址规划设备名称接口或vlan Ip地址网关DHCP Vlan 3 192.168.3.1/24Router E0/1 10.3.102.124/24E0/0 192.168.6.1/24AC Vlan 4 192.168.4.1/24RADIUS 192.168.5.1/25E328 Vlan 1 192.168.1.254/24Vlan 2 192.168.2.254/24Vlan 3 192.168.3.254/24Vlan 4 192.168.4.254/24Vlan 5 192.168.5.254/24Vlan 6 192.168.6.254/24五、实验过程（1）、中继交换机（E328）的配置<一>配置vlan并将端口划分到vlan中去。

<H3C>system[H3C]sysname E328[E328]vlan 2[E328-vlan2]vlan 3[E328-vlan3]port e1/0/24[E328-vlan3]vlan 4[E328-vlan4]vlan 5[E328-vlan5]port e1/0/5[E328-vlan5]vlan 6[E328-vlan6]port e1/0/23[E328-vlan6]interface e1/0/8[switch-Ethernet1/0/8]port link-type trunk [switch-Ethernet1/0/8]port trunk permit vlan 1 2 4 <二>给vlan配置ip地址[E328-vlan6]interface vlan 1[E3328-vlan-inerface1]ip address 192.168.1.254 24 [E3328-vlan-inerface1]interface vlan 2[E3328-vlan-inerface2]ip address 192.168.2.245 24 [E3328-vlan-inerface2]interface vlan 3[E3328-vlan-inerface3]ip address 192.168.3.254 24 [E3328-vlan-inerface3]interface vlan 4[E3328-vlan-inerface4]ip address 192.168.4,254 24 [E3328-vlan-inerface4]interface vlan 5[E3328-vlan-inerface5]ip address 192.168.5.254 24 [E3328-vlan-inerface5]interface vlan 6[E3328-vlan-inerface6]ip address 192.168.6.254 24 <三>配置中继[E328]dhcp enable[E328]dhcp-server 1 ip 192.168.3.1[E328]interface valn 1[E328-vlan-interface1]dhcp-server 1[E3328-vlan-inerface1]interface vlan 2[E3328-vlan-inerface2]dhcp-server 1<四>配置路由协议是网络导通[E3328-vlan-inerface2]rip[E328-rip-1]network 192.168.1.0[E328-rip-1]network 192.168.2.0[E328-rip-1]network 192.168.3.0[E328-rip-1]network 192.168.4.0[E328-rip-1]network 192.168.5.0[E328-rip-1]network 192.168.6.0[E328-rip-1]quit[E328]ip route-static 0.0.0.0 0 192.168.6.1 （2）、dhcp服务器的配置<一>配置vlan 3并配置ip地址<H3C>system[H3C]sysname dhcp[dhcp]vlan 3[dhcp-vlan3]interface vlan 3[dhcp-vlan-inerface3]ip address 192.168.3.1 24<二>将端口e1/0/24划分到vlan 3中。

1.14 MAC地址认证典型配置举例1.14.1 本地MAC地址认证1. 组网需求如图1-2所示，某子网的用户主机与设备的端口GigabitEthernet2/0/1相连接。

∙设备的管理者希望在端口GigabitEthernet2/0/1上对用户接入进行MAC地址认证，以控制它们对Internet的访问。

∙要求设备每隔180秒就对用户是否下线进行检测；并且当用户认证失败时，需等待180秒后才能对用户再次发起认证。

∙所有用户都属于ISP域bbb，认证时使用本地认证的方式。

∙使用用户的MAC地址作用户名和密码，其中MAC地址带连字符、字母小写。

2. 组网图图1-2 启动MAC地址认证对接入用户进行本地认证3. 配置步骤# 添加网络接入类本地接入用户。

本例中添加Host A的本地用户，用户名和密码均为Host A的MAC地址00-e0-fc-12-34-56，服务类型为lan-access。

<Device> system-view[Device] local-user 00-e0-fc-12-34-56 class network[Device-luser-network-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56[Device-luser-network-00-e0-fc-12-34-56] service-type lan-access[Device-luser-network-00-e0-fc-12-34-56] quit# 配置ISP域，使用本地认证方法。

[Device] domain bbb[Device-isp-bbb] authentication lan-access local[Device-isp-bbb] quit# 开启端口GigabitEthernet2/0/1的MAC地址认证。

[Device] interface gigabitethernet 2/0/1[Device-Gigabitethernet2/0/1] mac-authentication[Device-Gigabitethernet2/0/1] quit# 配置MAC地址认证用户所使用的ISP域。

目录第1章 MAC地址认证配置1.1 MAC地址认证简介1.1.1 RADIUS服务器认证方式进行MAC地址认证1.1.2 本地认证方式进行MAC地址认证1.2 相关概念1.2.1 MAC地址认证定时器1.2.2 静默MAC1.3 MAC地址认证基本功能配置1.3.1 MAC地址认证基本功能配置1.4 MAC地址认证增强功能配置1.4.1 MAC地址认证增强功能配置任务1.4.2 配置Guest VLAN1.4.3 配置端口下MAC地址认证用户的最大数量1.4.4 配置端口的静默MAC功能1.5 MAC地址认证配置显示和维护1.6 MAC地址认证配置举例第1章 MAC地址认证配置1.1 MAC地址认证简介MAC地址认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法，它不需要用户安装任何客户端认证软件。

交换机在首次检测到用户的MAC 地址以后，即启动对该用户的认证操作。

认证过程中，也不需要用户手动输入用户名或者密码。

S3100系列以太网交换机进行MAC地址认证时，可采用两种认证方式：●通过RADIUS服务器认证●本地认证当认证方式确定后，用户可根据需求选择以下一种类型的认证用户名：●MAC地址用户名：使用用户的MAC地址作为认证时的用户名和密码。

●固定用户名：所有用户均使用在交换机上预先配置的本地用户名和密码进行认证，因此用户能否通过认证取决于该用户名和密码是否正确及此用户名的最大用户数属性控制（具体内容请参见本手册“AAA”中的配置本地用户属性部分）。

1.1.1 RADIUS服务器认证方式进行MAC地址认证当选用RADIUS服务器认证方式进行MAC地址认证时，交换机作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作：●采用MAC地址用户名时，交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。

●采用固定用户名时，交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密码，发送给RADIUS服务器。

MAC地址认证配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章配置Mac地址认证 (1)1.1 Mac地址认证简介 (1)1.2 Mac地址认证配置 (1)1.2.1 AAA相关配置 (1)1.2.2 功能开启配置 (2)1.2.3 下线检测配置 (3)1.2.4 静默定时器配置 (3)1.2.5 Mac-vlan功能配置 (3)1.2.6 Guest-vlan功能配置 (4)1.2.7 用户特性配置 (4)1.2.8 配置实例 (5)第1章配置Mac地址认证1.1 Mac地址认证简介mac地址认证功能是基于端口和mac地址对用户进行访问网络权限进行控制的功能模块。

刚开始时，交换机的mac地址表不存在用户的mac地址表项，用户的报文首次到达交换机会触发mac地址认证，在认证过程中，不需要用户的参与（比如输入相关用户名和密码），认证通过后用户的mac地址会加进交换机的mac地址表，以后该用户的流量就可以直接根据mac地址表项内容进行转发。

认证时支持两种认证方式，在配置AAA域的时候选择方案配置：通过radius服务器进行认证；通过本地用户数据库进行认证；1.2 Mac地址认证配置1.2.1 AAA相关配置mac认证需要配置使用哪个AAA认证域进行认证。

而进行radius服务器认证或者本地用户数据库认证的选择在AAA认证域进行。

如果没有配置，则使用系统配置的默认认证域进行。

当两者都没有配置，则无法进行认证。

由于没有用户参与，mac地址认证在认证时需要构造相关的用户名称和密码，现在存在两种方法：a)mac地址方式，在此种方式下，使用mac地址作为认证的用户名称和密码，固定为12字符长度的字符串，比如mac地址为00:0a:5a:00:03:02，则用户名称和密码为“000a5a000302”；b)固定用户名称和密码，在此种方式下，使用用户配置的固定用户名称和密码；默认情况下为mac地址方式。

基于MAC认证的Portal无感知认证：基于portal在线用户的MAC认证一、组网需求：WX系列AC、FIT AP、便携机（安装有无线网卡）、Radius/Portal Server 二、实现原理：中国移动主推的Portal无感知认证是基于流量触发的mac-trigger，要求支持移动的mac-trigger协议，并且新增MAC绑定服务器以存储MAC的绑定关系。

对于第三方的Radius/Portal server厂商来说开发较繁琐，有些厂商是不支持的。

如果不支持mac-trigger协议，可以以下方案实现Portal的无感知认证，实现原理如下：（1）用户的业务VLAN开启MAC认证和guest vlan功能；（2）用户第一次上线时进行MAC认证，AC根据用户MAC查找在线Portal 用户，如果有该MAC地址的Portal用户，则MAC认证成功。

因为用户第一次认证，AC没有该MAC地址的Portal在线用户，用户MAC认证失败，进入guest v lan；（3）guest vlan开启Portal认证；（4）用户在guest vlan进行Portal认证，Portal认证成功后，AC立即将该用户去关联，触发用户重关联，此时由于设置idle-cut时间还未生效，AC上有该Portal用户在线；（5）用户重关联时进行MAC认证，此时AC上已有该MAC地址的Portal用户，MAC认证通过。

（6）用户后续都是无感知的MAC认证，MAC认证通过的前提是对应MAC 地址的Portal用户在线，因为后续用户流量属于业务VLAN，Portal用户的流量为0，因此设置idle-cut时间为Portal用户的在线时间，即用户能够MAC认证通过的时间。

备注：该方案中，第三方Radius/Portal server只需具有Radius服务器和Portal服务器的功能，没有特殊要求，基于portal用户的MAC认证功能在AC自身实现。

MAC认证流程详解1. 什么是MAC认证？MAC（Media Access Control）认证是一种无线网络访问控制技术，它通过限制和验证设备的物理地址（MAC地址）来控制网络的访问权限。

在MAC认证过程中，网络管理员可以通过限制设备的MAC地址来保护无线网络的安全，并防止未授权的设备接入网络。

2. MAC认证流程步骤下面是典型的MAC认证流程的详细步骤：步骤1：设备连接和识别用户首先需要将其设备（如手机、电脑等）连接到无线网络。

一旦设备连接成功，无线接入点（Access Point）将会识别并记录设备的MAC地址。

步骤2：验证请求一旦设备被识别，无线接入点将生成一个认证请求，并将其发送给设备。

该请求通常是一个特殊的帧，其中包含认证所需的参数和信息。

接收到请求后，设备会进入认证模式。

步骤3：认证请求发送设备将会生成认证请求，并将其发送回无线接入点。

该请求包含设备的MAC地址以及一些其他信息，如身份凭证（用户名和密码）等。

步骤4：认证请求验证无线接入点将收到设备发送的认证请求，并开始验证该请求的有效性。

认证请求验证的方式可以是多种多样的，如以下几种：•MAC地址白名单：无线接入点会根据预先配置的MAC地址白名单来验证设备的有效性。

如果设备的MAC地址在白名单内，则请求通过验证。

否则，请求将会被拒绝。

•WPA/WPA2-Enterprise认证：无线接入点将发送设备提供的用户名和密码到认证服务器进行验证。

认证服务器会对提供的凭证进行验证，如果验证通过，则请求通过验证。

否则，请求将会被拒绝。

•证书认证：无线接入点会验证设备所提供的数字证书的有效性。

如果证书有效，则请求通过验证。

否则，请求将会被拒绝。

步骤5：认证结果通知一旦认证请求被验证通过，无线接入点将向设备发送认证结果通知。

如果认证成功，设备将获得网络访问权限。

否则，设备将被限制或拒绝访问网络。

3. MAC认证流程流程图下面是一个简化的MAC认证流程的流程图：设备连接和识别 -> 验证请求 -> 认证请求发送 -> 认证请求验证 -> 认证结果通知4. MAC认证流程的特点和优势MAC认证流程具有以下几个特点和优势：•安全性：通过限制和验证设备的MAC地址，MAC认证可以有效地保护无线网络的安全。

集中式MAC地址认证目录目录第1章集中式MAC地址认证配置..........................................................................................1-11.1 集中式MAC地址认证简介...............................................................................................1-11.2 集中式MAC地址认证配置...............................................................................................1-11.2.1 启动全局的集中式MAC地址认证..........................................................................1-21.2.2 启动端口的集中式MAC地址认证..........................................................................1-21.2.3 配置集中式MAC地址认证的方式..........................................................................1-31.2.4 配置集中式MAC地址认证用户所使用域名...........................................................1-41.2.5 配置集中式MAC地址认证定时器..........................................................................1-41.2.6 配置集中式MAC地址重认证.................................................................................1-51.3 集中式MAC地址认证配置显示和维护.............................................................................1-51.4 集中式MAC地址认证配置举例.......................................................................................1-6第1章集中式MAC地址认证配置!说明：目前Quidway S6500系列以太网交换机的LS81FT48A/LS81FM24A/LS81FS24A/LS81GT8UA/LS81GB8UA业务板不支持集中式MAC地址认证。