什么是MAC认证
MAC认证是一种基于MAC地址对用户的网络访问权限进行控制的认证方法,接入设备会获取用户终端的MAC地址,并将其与预先配置的MAC地址列表进行比对。如果在列表中找到匹配的MAC地址,允许用户访问网络;否则,根据配置决定是否允许用户进行认证。
什么是MAC认证
MAC认证是一种基于MAC地址对用户的网络访问权限进行控制的认证方法。接入设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,将其与预先配置的MAC地址列表进行比对。如果在列表中找到匹配的MAC地址,则允许用户访问网络;否则,拒绝用户访问访问。MAC认证过程中,不需要用户手动输入用户名或者密码。
MAC认证系统通常包括三个基本要素:用户客户端、认证控制点和认证服务器(通常为RADIUS服务器)。
图1-1 MAC认证系统示意图
客户端一般为一个用户终端设备,客户端可以是有线客户端如台式机、打印机,无线客户端平板电脑,也可以是物联网设备如摄像头等。客户端在连接网络时会发送ARP、DHCP等报文,这些报文会被接入设备捕获,触发MAC认证过程。
接入设备负责捕获客户端发送的报文,并从中提取客户端的MAC地址。
认证服务器用于验证接收到的用户名和密码,通常为RADIUS服务器。
为什么要MAC认证
MAC认证一般适用于打印机、传真机等哑终端接入认证的场景,这些设备通常无法安装客户端软件,MAC认证通过比对MAC地址列表进行接入控制,简便易实现。此外,对于安全性要求较高,且终端设备相对固定的企业内网,MAC认证也是一种理想的选择。
MAC认证如何工作
MAC认证上线流程
iMaster NCE-Campus作为RADIUS服务器或者直接使用第三方RADIUS服务器图1-2 MAC认证流程图
客户端尝试发送网络请求,发送的ARP/DHCP/ND/DHCPv6中的任意一种报文,即触发用户的MAC认证。
接入设备检测到网络请求报文,获取客户端MAC地址。
设备将用户名和密码发送到认证服务器进行认证。
认证服务器验证接收到的用户名和密码,验证成功后向设备发送认证成功报文。
设备接收到认证成功报文后将接口改为授权状态,允许用户通过接口访问网络。
用户认证成功,进行正常网络访问。
iMaster NCE-Campus作为RADIUS中继服务器图1-3 MAC认证流程图(iMaster NCE-Campus作为RADIUS中继服务器)
客户端请求访问网络。
设备在检查到用户发送的ARP/DHCP/ND/DHCPv6中的任意一种报文,即触发用户的MAC认证。
根据配置,设备将用户名和密码发送到iMaster NCE-Campus。
iMaster NCE-Campus将用户名和密码发送至第三方RADIUS服务器进行认证。
RADIUS服务器验证接收到用户名和密码,验证成功后向设备发送认证成功报文。
iMaster NCE-Campus将认证成功报文通知到设备,并请求下发授权。
设备接收到认证成功报文后将接口改为授权状态,允许用户通过接口访问网络。
接入设备通知用户认证成功。
用户正常访问网络。
MAC认证下线流程
客户端主动注销,用户下线流程图1-4 客户端主动发起注销认证请求
客户端发送注销请求。
接入设备向RADIUS服务器发送计费停止报文(ACCOUNTING-REQUEST),并停止端口授权,将用户从在线列表中删除。
RADIUS服务器向接入设备发送计费停止响应报文(ACCOUNTING-RESPONSE),并将用户从在线列表中删除。
管理员强制用户下线(iMaster NCE-Campus作为RADIUS服务器或者RADIUS中继服务器场景)图1-5 管理员强制用户下线
租户管理员在iMaster NCE-Campus强制用户下线。
iMaster NCE-Campus通知RADIUS服务器用户下线。
RADIUS服务器向接入设备发送下线通知报文(REQ_LOGOUT)。
接入设备向RADIUS服务器发送计费停止报文(ACCOUNTING-REQUEST),并停止端口授权,将用户从在线列表中删除。
RADIUS服务器向接入设备发送计费停止响应报文(ACCOUNTING-RESPONSE),并将用户从在线列表中删除。
MAC认证使用场景
MAC认证通常用于打印机、IP电话等哑终端,无法通过用户名密码进行认证的场合:
哑终端接入:打印机、IP电话、摄像头等哑终端通常无法安装客户端软件,可以通过MAC认证确保只有匹配MAC地址的哑终端接入网络,提高网络安全性。
不需要频繁更换的设备:对于不需要频繁更换的设备,如办公区域的固定电脑,MAC认证可以简化认证流程,避免频繁的用户名/密码认证,提高用户体验。