MAC認證簡介 定義 MAC認證，全稱MAC地址認證，是一種基於接口和終端MAC地址對用戶的訪問權限進行控制的認證方法。 優點 用戶終端不需要安裝任何客戶端軟件。 MAC認證過程中，不需要用戶手動輸入用戶名和密碼。 能夠對不具備802.1X認證能力的終端進行認證，如打印機和傳真機等啞終端。 認證系統 如圖所示，MAC認證系統為典型的客戶端/服務器結構，包括三個實體：終端、接入設備和認證服務器。 圖MAC認證系統 終端：嘗試接入網絡的終端設備。 接入設備：是終端訪問網絡的網絡控制點，是企業安全策略的實施者，負責按照客戶網絡制定的安全策略，實施相應的准入控制（允許、拒絕、隔離或限制）。 認證服務器：用於確認嘗試接入網絡的終端身份是否合法，還可以指定身份合法的終端所能擁有的網絡訪問權限。 用戶名形式 終端進行MAC認證時使用的用戶名和密碼需要在接入設備上預先配置，有以下幾種形式。缺省情況下，終端進行MAC認證時使用的用戶名和密碼均為終端的MAC地址。 MAC認證時使用的用戶名 密碼 適用場景 終端的MAC地址 兩種形式： 終端的MAC地址 指定的密碼 客戶端少量部署且MAC地址容易獲取的場景，例如對少量接入網絡的打印機進行認證。 指定的用戶名 指定的密碼 由於同一個接口下可以存在多個終端，此時所有終端均使用指定的用戶名和密碼進行MAC認證，服務器端僅需要配置一個賬戶即可滿足所有終端的認證需求，適用於終端比較可信的網絡環境。 DHCP選項，有三種形式： circuit-id子選項 remote-id子選項 circuit-id子選項和remote-id子選項的組合 指定的密碼 該場景下終端需通過DHCP方式獲取IP地址，且需保證DHCP報文能夠觸發MAC認證。 MAC認證流程 對於MAC認證用戶密碼的處理，有PAP和CHAP兩種方式： PAP：設備將MAC地址、共享密鑰、隨機值依次排列順序後，經過MD5算法進行HASH處理後封裝在屬性名”User-Password”中。 CHAP：設備將CHAP ID、MAC地址、隨機值依次排列順序後，經過MD5算法進行HASH處理後封裝在屬性名”CHAP-Password”和”CHAP-Challenge”中。 採用PAP和CHAP方式的MAC認證流程分別如 圖2-14和 圖2-15所示，兩者實現方式相似，以下重點介紹PAP方式。 圖2-14 MAC認證流程（PAP方式） 接入設備收到終端發送的arp/dhcp/dhcpv6/nd報文，觸發MAC認證。 設備隨機生成一個隨機值，並對MAC認證用戶的MAC地址、共享密鑰、隨機值依次排列後經過MD5算法進行HASH處理，然後將用戶名、HASH處理結果以及隨機值封裝在RADIUS認證請求報文中發送給RADIUS服務器，請求RADIUS服務器對該終端進行MAC認證。 RADIUS服務器使用收到的隨機值對本地數據庫中對應MAC認證用戶進行MAC地址、共享密鑰、隨機值依次排列後經過MD5算法進行HASH處理，如果與設備發來的值相同，則向設備發送認證接受報文，表示終端MAC認證成功，允許該終端訪問網絡。 圖2-15 MAC認證流程（CHAP方式） MAC認證授權 認證用於確認嘗試接入網絡的用戶身份是否合法，而授權則用於指定身份合法的用戶所能擁有的網絡訪問權限，即用戶能夠訪問哪些資源。授權最基礎也是最常使用的授權參數是VLAN、ACL和UCL組，此處以RADIUS授權進行說明，其他授權方式的授權方法以及更多可授權的參數請參見AAA授權方案。 VLAN 為了將受限的網絡資源與未認證用戶隔離，通常將受限的網絡資源和未認證的用戶劃分到不同的VLAN。用戶認證成功後，認證服務器將指定VLAN授權給用戶。此時，設備會將用戶所屬的VLAN修改為授權的VLAN，授權的VLAN並不改變接口的配置。但是，授權的VLAN優先級高於用戶配置的VLAN，即用戶認證成功後生效的VLAN是授權的VLAN，用戶配置的VLAN在用戶下線後生效。RADIUS服務器授權VLAN時，必須同時使用以下RADIUS標準屬性： Tunnel-Type：必須配置為“VLAN”或“13” Tunnel-Medium-Type：必須配置為“802”或“6” Tunnel-Private-Group-ID：可以是VLAN ID、VLAN描述、VLAN名稱和VLAN…