集中式MAC地址認證實現路由器上網
目錄
測試三:MAC地址用戶名認證+802.1X同時存在... 3
測試四:MAC 地址用戶名認證+802.1X同時存在,採用不同的認證域... 4
一:背景
家屬區無線路由器設備增多,先前採用的騰達W302R路由器不僅成本昂貴而且穩定性不佳,另外騰達W302R的停產更爲家屬區路由器的接入帶來困難。找到一種成本低穩定性高的方法迫在眉睫。考慮到家屬區並不需要安全檢查,劉西洋主管提出採用MAC地址認證+IMC服務器的方法,針對這一設想進行了測試,最後證明IMC服務器可行。
二:技術分析
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控制的認證方法,它不需要用戶安裝任何客戶端軟件。設備在首次檢測到用戶的MAC地址以後,即啓動對該用戶的認證操作。認證過程中,也不需要用戶手動輸入用戶名或者密碼。
目前華三設備支持兩種方式的MAC地址認證:
通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器認證。
本地認證。
認證方式確定後,可根據需求選擇MAC認證用戶名的類型,包括以下兩種方式:
MAC地址用戶名:使用用戶的MAC地址作爲認證時的用戶名和密碼;
固定用戶名:不論用戶的MAC地址爲何值,所有用戶均使用在設備上預先配置的本地用戶名和密碼進行認證。
當選用RADIUS服務器認證方式進行MAC地址認證時,設備作爲RADIUS客戶端,RADIUS服務器配合完成MAC地址認證操作:
採用MAC地址用戶名時,設備將檢測到的用戶MAC地址作爲用戶名和密碼發送給RADIUS服務器。
採用固定用戶名時,設備將已經在本地配置的用戶名和密碼作爲待認證用戶的用戶名和密碼,發送給RADIUS服務器。
RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問網絡。
當選用本地認證方式進行MAC地址認證時,直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼:
採用MAC地址用戶名時,需要配置的本地用戶名爲各接入用戶的MAC地址。
採用固定用戶名時,需要配置的本地用戶名爲自定義的,所有用戶對應的用戶名和密碼與自定義的一致。
三:測試總結
根據家屬區的網絡結構測試方案採用集中式的MAC地址認證。採用RADIUS服務器認證,進行了四次測試。
測試一:IMC+MAC地址認證固定用戶名
1:交換機配置:
配置認證方案與認證域,配置步驟不再講,配置結果如下。
radius scheme huawei ####創建認證方案####
server-type extended
primary authentication 10.1.17.XX
primary accounting 10.1.17.XX
key authentication cams
key accounting cipher cams
user-name-format without-domain
domain Huawei####創建認證域####
authentication default radius-scheme huawei
authorization default radius-scheme huawei
accounting default radius-scheme huawei
access-limit disable
state active
idle-cut disable
self-service-url disable
配置MAC地址認證,主要的配置步驟如下
[H3C]mac-authentication####全局開啓MAC地址認證####
[H3C]mac-authentication timer offline-detect 60 ####用戶下線檢測60S一次####
[H3C]mac-authentication timer quiet 60####用戶靜默時間爲60S####
[H3C]mac-authentication domain Huawei ####MAC認證與未huawei ####
[H3C]mac-authentication user-name-format fixed account aaa password cipher 123321
####配置MAC認證採用固定用戶名####
[H3C]interface Ethernet1/0/1
[H3C-Ethernet1/0/1]mac-authentication####開啓端口MAC地址認證####
[H3C]interface Ethernet1/0/8
[H3C-Ethernet1/0/8]mac-authentication
2:IMC管理中心配置
在imc中添加接入用戶名:aaa、密碼123321,用於MAC地址固定用戶名認證測試
3:測試結果
<H3C>dis connection
Index=155 , Username=aaa@huawei
IP=N/A
IPv6=N/A
MAC=5c26-0a5f-800a
1:所有同一交換機上開啓MAC地址認證的端口下的用戶使用統一的用戶名aaa,密碼123321認證成功。
2:採用固定用戶名的方式由於同一交換機上的所有用戶使用同一用戶名認證所以不能綁定端口,不能限制上線人數。
3:多個用戶名使用同一用戶名密碼,安全性不高,不能針對用戶計費,但是管理方便。
測試二:IMC+MAC地址認證MAC用戶名
1:交換機配置:
交換機配置與測試一基本相同唯一變爲的地方如下:
[H3C]mac-authentication user-name-format mac-address####修改用戶模式爲mac-address
2:IMC管理中心配置
在imc中添加接入用戶名:5c26-XXXX-800a、密碼5c26-XXXX-800a,用於MAC地址認證測試
3:測試結果
<H3C>dis connection
Index=153 , Username=5c260aXXXX0a@huawei
IP=N/A
IPv6=N/A
MAC=5c26-0a5f-XXXX
1:設備使用MAC地址作爲用戶名密碼能認證成功
2:端口綁定、MAC地址綁定均生效。有一定安全性。並且結合dhcp配置能限制靜態用戶的接入。
測試三:MAC地址用戶名認證+802.1X同時存在
1:交換機配置
交換機配置與測試二基本相同,只需在全局和測試端口開啓802.1X。
2:IMC管理中心配置
在imc中添加接入用戶名:7845c4095XXX、密碼7845c409XXXX,用於MAC地址認證測試
在imc中添加接入用戶名:test、密碼:test,用於802.1x測試
3:測試結果
<H3C>dis connection
Slot: 1
Index=151 , Username=OjJZGB9TZiF4HktnJwErKAZbfU0=test@huawei
IP=N/A
IPv6=N/A
MAC=5c26-0a5f-XXXX
Index=152 , Username=7845c409XXXX@huawei
IP=N/A
IPv6=N/A
MAC=7845-XXXX-5291
Total 2 connection(s) matched on slot 1.
Total 2 connection(s) matched.
MAC地址認證與802.1x認證均正常,兩者沒有影響。
測試四:MAC 地址用戶名認證+802.1X同時存在,採用不同的認證域
1:交換機配置
交換機配置與測試三基本相同,需添加新的認證域h3c
radius scheme h3c
primary authentication 10.1.17.XX
primary accounting 10.1.17.XX
key authentication cipher $c$3$nXU56kCAnh9OvzV9MBOqzGiBq2BrXxw=
key accounting cipher $c$3$QyktU6TqevtfdpANwjJTKJbaB7sPOxM=
user-name-format without-domain
domain h3c
authentication default radius-scheme h3c
authorization default radius-scheme h3c
accounting default radius-scheme h3c
access-limit disable
state active
idle-cut disable
self-service-url disable
mac地址認證與採用h3c
[H3C]mac-authentication domain h3c
2:IMC管理中心配置
在imc中添加接入用戶名:7845c4095XXX、密碼7845c4095XXX,用於MAC地址認證測試
在imc中添加接入用戶名:test、密碼:test,用於802.1x測試
3:測試結果
[H3C]dis connection
Slot: 1
Index=157 , Username=7845-c409-XXXX@h3c
IP=N/A
IPv6=N/A
MAC=7845-c409-XXXX
Index=158 , Username=PG5TFxBZOid+QkFoKAt3LkTUfx8= test@huawei
IP=N/A
IPv6=N/A
MAC=5c26-0a5f-XXXX
四:技術問答
問:MAC地址認證與802.1x認證之間會不會有影響?
不會,測試三可以看出沒有影響
問:不同的域會不會對認證有影響?
不會,測試四可以看出沒有影響,另外認證時配置的是without-domain,理論推斷也不會有影響。
問:兩種方式MAC地址用戶名、固定用戶名哪個更適合家屬區?
MAC地址用戶名更適合,固定用戶名雖然方便但是不夠安全,而且不能綁定端口等信息。在財務收費方面不能滿足需求,
五:測試總結
1:家屬區應該採用IMC+MAC地址用戶名認證的方式(對應測試三)。
2:IMC+MAC地址用戶名認證可以解決家屬區路由器認證問題,不需要特定路由器成本低,認證對用戶來說是透明的,但是用戶繳費時會帶來不便。
3:IMC+MAC地址認證對目前的家屬區接入環境不會產生影響。可以實現平滑過渡。
4:今後再有家屬區需要路由器接入時,可以採用此種方法,在使用的同時進行測試。必要時可以對先前的路由器進行修改過渡到是所有的路由器都使用MAC地址認證。