交换机基于mac地址的认证

交换机基于mac地址的认证

交换机基于802.1x的认证，可以依托两种方式：1.交换机本身的认证数据库；2.基于外部radius服务器的数据库；

radius服务器，选用了Cisco的ACS4.2 trail 版本，此软件只能安装在windows2000/windows2003/windows2008;安装后，在本地登录方式为http://127.0.0.1:2002；也可以在局域网内远程登录配置，比如192.168.1.13:2002；注意无论是在本地还是在远端，登录ACS的前提是安装JAVA插件，推荐jre-6u4-windows-i586-p;

在802.1x认证中，ACS作为AAA Server，交换机作为AAA Client，两者通过key，以及authentication port/authorized port建立认证信息通道，所以两边设置一定要匹配；两者要在路由层可达；

交换机连接Radius服务器的接口，不能开启802.1x认证功能，作为acces接口即可；

常见的802.1x认证: 1.是基于用户名和密码的方式，客户端PC安装802.1x认证客户端，如xp下的自带客户端，注意：XP系统，要到服务中，开启wired autoconfig项；2.是基于设备mac地址的认证，以下主要涉及mac地址认证的一些个人认识，欢迎大家批评补充ACS支持对接入设备的mac地址认证。接入设备，如PC、PDA、打印机、查询机等不需要进行802.1x客户端的用户名/密码认证时，可以使用mac地址认证；

Cisco含有基于mac地址的802.1x免认证功能，接口配置下，dot1x mac-auth-pass eap; Huawei叫做mac旁路认证方式，接口配置下，dot1x mac-bypass;

含有此功能的交换机，请查阅相关设备型号；含有以上功能的，比如cisco的3560/huawei 的S7700；不具有此功能的，huawei的S2000；

测试中，S2000交换机802.1x配置中，对于接口，有port-based和mac-based两种认证方式，区别是：mac-based(默认)此接口下的多个终端设备都要一一进行802.1x认证，不

论是用户名、密码，还是mac地址，一旦其中一个终端退出网络，其他终端不受任何影响；port-based此接口下的多个终端设备，一旦有一台设备通过802.1x认证，所有其他终端不需要进行认证，一旦其中一台退出网络，其他终端亦被拒绝；

补充：对于cisco的WLC5508等无线系统，可以使用ACS对Light AP下的接入终端设备，进行基于mac地址的认证；WLC5508等设备也可以直接创建mac地址库，但是较为复杂也费事；