MAC认证原理

MAC认证原理

简介

MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。

用户名形式

根据接入设备最终用于验证用户身份的用户名格式和内容的不同，可以将MAC认证使用的用户名格式分为三种类型：

MAC地址格式：设备使用用户的MAC地址作为用户名进行认证，同时可以使用MAC地址或者自定义的字符串作为密码。

固定用户名形式：不论用户的MAC地址为何值，所有用户均使用接入设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个接口下可以有多个用户进行认证，因此这种情况下接口上的所有MAC认证用户均使用同一个固定用户名进行认证，服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求，这适用于客户端比较可信的网络环境。

DHCP选项格式：设备将获取到的用户DHCP选项字段以及一个固定的密码代替用户的MAC地址作为身份信息进行认证。

该方式需保证设备支持通过DHCP报文触发MAC认证。

认证流程

MAC认证流程如图1所示。

图1 MAC认证流程图

（1）在认证之前客户端与设备之间建立预连接。

（2）设备在检查到用户发送的ARP/DHCP/ND/DHCPv6中的任意一种报文，即触发用户的MAC认证。

（3）根据配置，设备将用户名和密码发送到认证服务器进行认证。

（4）认证服务器验证接收到的用户名和密码，验证成功后向设备发送认证成功报文。同时将用户加入自身在线用户列表中。

（5）设备接收到认证成功报文后将接口改为授权状态，允许用户通过接口访问网络。同时将用户加入自身在线用户列表中。

终端主动注销，用户下线流程

图2 客户端主动发起注销认证请求

（1）客户端发送注销认证请求。

（2）接入设备向RADIUS服务器发送计费停止报文（ACCOUNTING-REQUEST），并停止端口授权，将用户从在线列表中删除。

（3）RADIUS服务器向接入设备发送计费停止响应报文（ACCOUNTING-RESPONSE），并将用户从在线列表中删除。

管理员在SM强制用户下线流程

图3 管理员强制用户下线

（1）管理员在SM强制用户下线。

（2）SM通知RADIUS服务器用户下线。

（3）RADIUS服务器向接入设备发送下线通知报文（REQ_LOGOUT）。

（4）接入设备向RADIUS服务器发送计费停止报文（ACCOUNTING-REQUEST），并停止端口授权，将用户从在线列表中删除。

（5）RADIUS服务器向接入设备发送计费停止响应报文（ACCOUNTING-RESPONSE），并将用户从在线列表中删除。

Huawei Agile Controller（列表、list、全）华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html