集中式MAC地址认证实现路由器上网

集中式MAC地址认证实现路由器上网... 1

一：背景... 1

二：技术分析... 1

三：测试总结... 2

测试一：IMC+MAC地址认证固定用户名... 2

测试二：IMC+MAC地址认证MAC用户名... 3

测试三：MAC地址用户名认证+802.1X同时存在... 3

测试四：MAC 地址用户名认证+802.1X同时存在，采用不同的认证域... 4

四：技术问答... 4

五：测试总结... 5

一：背景

家属区无线路由器设备增多，先前采用的腾达W302R路由器不仅成本昂贵而且稳定性不佳，另外腾达W302R的停产更为家属区路由器的接入带来困难。找到一种成本低稳定性高的方法迫在眉睫。考虑到家属区并不需要安全检查，刘西洋主管提出采用MAC地址认证+IMC服务器的方法，针对这一设想进行了测试，最后证明IMC服务器可行。

二：技术分析

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，也不需要用户手动输入用户名或者密码。

目前华三设备支持两种方式的MAC地址认证：

• 通过RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器认证。

• 本地认证。

认证方式确定后，可根据需求选择MAC认证用户名的类型，包括以下两种方式：

• MAC地址用户名：使用用户的MAC地址作为认证时的用户名和密码；

• 固定用户名：不论用户的MAC地址为何值，所有用户均使用在设备上预先配置的本地用户名和密码进行认证。

RADIUS服务器认证方式进行MAC地址认证

当选用RADIUS服务器认证方式进行MAC地址认证时，设备作为RADIUS客户端，RADIUS服务器配合完成MAC地址认证操作：

• 采用MAC地址用户名时，设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。

• 采用固定用户名时，设备将已经在本地配置的用户名和密码作为待认证用户的用户名和密码，发送给RADIUS服务器。

RADIUS服务器完成对该用户的认证后，认证通过的用户可以访问网络。

本地认证方式进行MAC地址认证

当选用本地认证方式进行MAC地址认证时，直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码：

• 采用MAC地址用户名时，需要配置的本地用户名为各接入用户的MAC地址。

• 采用固定用户名时，需要配置的本地用户名为自定义的，所有用户对应的用户名和密码与自定义的一致。

节选自http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Technology_recommend/200805/605910_30003_0.htm

三：测试总结

根据家属区的网络结构测试方案采用集中式的MAC地址认证。采用RADIUS服务器认证，进行了四次测试。

测试一：IMC+MAC地址认证固定用户名

1：交换机配置：

配置认证方案与认证域，配置步骤不再讲，配置结果如下。

radius scheme huawei ####创建认证方案####

 server-type extended

 primary authentication 10.1.17.14

 primary accounting 10.1.17.14

 key authentication cams

 key accounting cipher cams

 user-name-format without-domain

domain Huawei####创建认证域####

 authentication default radius-scheme huawei

 authorization default radius-scheme huawei

 accounting default radius-scheme huawei

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

配置MAC地址认证，主要的配置步骤如下

[H3C]mac-authentication####全局开启MAC地址认证####

[H3C]mac-authentication timer offline-detect 60 ####用户下线检测60S一次####

[H3C]mac-authentication timer quiet 60####用户静默时间为60S####

[H3C]mac-authentication domain Huawei ####MAC认证与未huawei ####

[H3C]mac-authentication user-name-format fixed account aaa password cipher 123321

####配置MAC认证采用固定用户名####

[H3C]interface Ethernet1/0/1

[H3C-Ethernet1/0/1]mac-authentication####开启端口MAC地址认证####

[H3C]interface Ethernet1/0/8

[H3C-Ethernet1/0/8]mac-authentication

2：IMC管理中心配置

在imc中添加接入用户名：aaa、密码123321，用于MAC地址固定用户名认证测试

3：测试结果

<H3C>dis connection

Index=155 , Username=aaa@huawei

 IP=N/A

 IPv6=N/A

 MAC=5c26-0a5f-800a

1：所有同一交换机上开启MAC地址认证的端口下的用户使用统一的用户名aaa，密码123321认证成功。

2：采用固定用户名的方式由于同一交换机上的所有用户使用同一用户名认证所以不能绑定端口，不能限制上线人数。

3：多个用户名使用同一用户名密码，安全性不高，不能针对用户计费，但是管理方便。

测试二：IMC+MAC地址认证MAC用户名

1：交换机配置：

交换机配置与测试一基本相同唯一变为的地方如下：

[H3C]mac-authentication user-name-format mac-address####修改用户模式为mac-address

2：IMC管理中心配置

在imc中添加接入用户名：5c26-0a5f-800a、密码5c26-0a5f-800a，用于MAC地址认证测试

3：测试结果

<H3C>dis connection

Index=153 , Username=5c260a5f800a@huawei

 IP=N/A

 IPv6=N/A

 MAC=5c26-0a5f-800a

1：设备使用MAC地址作为用户名密码能认证成功

2：端口绑定、MAC地址绑定均生效。有一定安全性。并且结合dhcp配置能限制静态用户的接入。

测试三：MAC地址用户名认证+802.1X同时存在

1：交换机配置

交换机配置与测试二基本相同，只需在全局和测试端口开启802.1X。

2：IMC管理中心配置

在imc中添加接入用户名：7845c4095291、密码7845c4095291，用于MAC地址认证测试

在imc中添加接入用户名：test、密码：test，用于802.1x测试

3：测试结果

<H3C>dis connection

Slot:  1

Index=151 , Username=OjJZGB9TZiF4HktnJwErKAZbfU0=test@huawei

 IP=N/A

 IPv6=N/A

 MAC=5c26-0a5f-800a

Index=152 , Username=7845c4095291@huawei

 IP=N/A

 IPv6=N/A

 MAC=7845-c409-5291

 Total 2 connection(s) matched on slot 1.

 Total 2 connection(s) matched.

MAC地址认证与802.1x认证均正常，两者没有影响。

测试四：MAC 地址用户名认证+802.1X同时存在，采用不同的认证域

1：交换机配置

交换机配置与测试三基本相同，需添加新的认证域h3c

radius scheme h3c

 primary authentication 10.1.17.14

 primary accounting 10.1.17.14

 key authentication cipher $c$3$nXU56kCAnh9OvzV9MBOqzGiBq2BrXxw=

 key accounting cipher $c$3$QyktU6TqevtfdpANwjJTKJbaB7sPOxM=

 user-name-format without-domain

domain h3c

 authentication default radius-scheme h3c

 authorization default radius-scheme h3c

 accounting default radius-scheme h3c

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

mac地址认证与采用h3c

[H3C]mac-authentication domain h3c

2：IMC管理中心配置

在imc中添加接入用户名：7845c4095291、密码7845c4095291，用于MAC地址认证测试

在imc中添加接入用户名：test、密码：test，用于802.1x测试

3：测试结果

[H3C]dis connection

Slot:  1

Index=157 , Username=7845-c409-5291@h3c

 IP=N/A

 IPv6=N/A

 MAC=7845-c409-5291

Index=158 , Username=PG5TFxBZOid+QkFoKAt3LkTUfx8=  test@huawei

 IP=N/A

 IPv6=N/A

 MAC=5c26-0a5f-800a

四：技术问答

• 问：MAC地址认证与802.1x认证之间会不会有影响？

不会，测试三可以看出没有影响

• 问：不同的域会不会对认证有影响？

不会，测试四可以看出没有影响，另外认证时配置的是without-domain，理论推断也不会有影响。

• 问：两种方式MAC地址用户名、固定用户名哪个更适合家属区？

MAC地址用户名更适合，固定用户名虽然方便但是不够安全，而且不能绑定端口等信息。在财务收费方面不能满足需求，

五：测试总结

   1：家属区应该采用IMC+MAC地址用户名认证的方式（对应测试三）。

2：IMC+MAC地址用户名认证可以解决家属区路由器认证问题，不需要特定路由器成本低，认证对用户来说是透明的，但是用户缴费时会带来不便。

3：IMC+MAC地址认证对目前的家属区接入环境不会产生影响。可以实现平滑过渡。

4：今后再有家属区需要路由器接入时，可以采用此种方法，在使用的同时进行测试。必要时可以对先前的路由器进行修改过渡到是所有的路由器都使用MAC地址认证。

本文出自 “网络蟑螂” 博客，请务必保留此出处http://fenggao.blog.51cto.com/8119616/1601940