RADIUS服务器进行MAC验证

合集下载

RADIUS认证网络-交换机配置教程

sysname NYJG2_OU_DS01 #（这是关键部分）
MAC-authentication MAC-authentication domain nynh
2
RADIUS 认证网络
MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen radius scห้องสมุดไป่ตู้eme system radius scheme nynhjg
设置完毕。
3
RADIUS 认证网络
RADIUS 认证网络华为交换机端配置
教程
2010 年 9 月河南南阳
1
RADIUS 认证网络网络结构：华为交换机－linux 主机，如图所示：图中：服务器地址：192.168.1.13
华为交换机地址：192.168.1.221
以下为路由器配置信息，省略了部分无关的信息
server-type standard primary authentication 192.168.1.13（认证服务器地址） primary accounting 192.168.1.13（计费服务器地址） accounting optional key authentication nynhjgds01（这个根据自己需要设置） key accounting nynhjgds01（这个根据自己需要设置） user-name-format without-domain nas-ip 192.168.1.221（这个根据自己设备的设置） accounting-on enable # domain nynh scheme radius-scheme nynhjg domain system state block # vlan 1 #（交换机的地址为：192.168.1.221） interface Vlan-interface1 ip address 192.168.1.221 255.255.255.0 #（在需要认证的端口上打开 MAC 认证，由于端口较多，只列出 2 个端口，其他的端口设置相同） interface Ethernet1/0/1（由于交换机型号不同，端口表示方式可能不同，请参阅交换机手册） MAC-authentication # interface Ethernet1/0/2 MAC-authentication # undo irf-fabric authentication-mode

RADIUS_服务器进行MAC地址验证的无线接入实验

RADIUS 服务器进行MAC地址验证的无线接入实验一、实验的内容（1）、DHCP的基本配置。

（2）、DHCP中继的基本配置。

（3）、AP三层注册的基本配置。

（4）、RADIUS服务器的配置。

（5）、NAT的基本配置。

二、实验目的（1）、掌握RADIUS 服务器进行MAC地址验证无线接入的基本工作原理。

（2）、掌握RADIUS 服务器进行MAC地址验证无线接入配置过程，熟悉RADIUS 服务器进行MAC地址验证无线接入的配置。

（3）、了解和熟悉RADIUS 服务器进行MAC地址验证无线接入的配置命令。

三、实验设备实验设备数量备注H3C AR28路由器 1计算机 1 Window xp 做RADIUS服务器H3C 6310交换机 1 做DHCP服务器H3C E328交换机 1 做DHCP中继RS-232配置线 1AP 1AC 1手机STA 1 做无线接入用四、实验网络图和ip地址规划（1）、网络图（2）、Ip地址规划设备名称接口或vlan Ip地址网关DHCP Vlan 3 192.168.3.1/24Router E0/1 10.3.102.124/24E0/0 192.168.6.1/24AC Vlan 4 192.168.4.1/24RADIUS 192.168.5.1/25E328 Vlan 1 192.168.1.254/24Vlan 2 192.168.2.254/24Vlan 3 192.168.3.254/24Vlan 4 192.168.4.254/24Vlan 5 192.168.5.254/24Vlan 6 192.168.6.254/24五、实验过程（1）、中继交换机（E328）的配置<一>配置vlan并将端口划分到vlan中去。

<H3C>system[H3C]sysname E328[E328]vlan 2[E328-vlan2]vlan 3[E328-vlan3]port e1/0/24[E328-vlan3]vlan 4[E328-vlan4]vlan 5[E328-vlan5]port e1/0/5[E328-vlan5]vlan 6[E328-vlan6]port e1/0/23[E328-vlan6]interface e1/0/8[switch-Ethernet1/0/8]port link-type trunk [switch-Ethernet1/0/8]port trunk permit vlan 1 2 4 <二>给vlan配置ip地址[E328-vlan6]interface vlan 1[E3328-vlan-inerface1]ip address 192.168.1.254 24 [E3328-vlan-inerface1]interface vlan 2[E3328-vlan-inerface2]ip address 192.168.2.245 24 [E3328-vlan-inerface2]interface vlan 3[E3328-vlan-inerface3]ip address 192.168.3.254 24 [E3328-vlan-inerface3]interface vlan 4[E3328-vlan-inerface4]ip address 192.168.4,254 24 [E3328-vlan-inerface4]interface vlan 5[E3328-vlan-inerface5]ip address 192.168.5.254 24 [E3328-vlan-inerface5]interface vlan 6[E3328-vlan-inerface6]ip address 192.168.6.254 24 <三>配置中继[E328]dhcp enable[E328]dhcp-server 1 ip 192.168.3.1[E328]interface valn 1[E328-vlan-interface1]dhcp-server 1[E3328-vlan-inerface1]interface vlan 2[E3328-vlan-inerface2]dhcp-server 1<四>配置路由协议是网络导通[E3328-vlan-inerface2]rip[E328-rip-1]network 192.168.1.0[E328-rip-1]network 192.168.2.0[E328-rip-1]network 192.168.3.0[E328-rip-1]network 192.168.4.0[E328-rip-1]network 192.168.5.0[E328-rip-1]network 192.168.6.0[E328-rip-1]quit[E328]ip route-static 0.0.0.0 0 192.168.6.1 （2）、dhcp服务器的配置<一>配置vlan 3并配置ip地址<H3C>system[H3C]sysname dhcp[dhcp]vlan 3[dhcp-vlan3]interface vlan 3[dhcp-vlan-inerface3]ip address 192.168.3.1 24<二>将端口e1/0/24划分到vlan 3中。

H3C-MAC地址认证配置

从授权服务器下发的 ACL 被称为授权 ACL，它为用户访问网络提供了良好的过滤条件设置功能。当用户上线时，如果 RADIUS 服务器上配置了授权 ACL，则设备会根据服务器下发的授权 ACL 对用户所在端口的数据流进行控制。而且在用户访问网络的过程中，可以通过改变服务器的授权 ACL 设置来改变用户的访问权限。
目录
1 MAC地址认证配置 ............................................................................................................................. 1-1 1.1 MAC地址认证简介............................................................................................................................. 1-1 1.1.1 RADIUS服务器认证方式进行MAC地址认证........................................................................... 1-2 1.1.2 本地认证方式进行MAC地址认证 ............................................................................................ 1-2 1.2 相关概念............................................................................................................................................ 1-2 1.2.1 MAC地址认证定时器 .............................................................................................................. 1-2 1.2.2 静默MAC ................................................................................................................................ 1-2 1.2.3 下发VLAN ............................................................................................................................... 1-3 1.2.4 下发ACL ................................................................................................................................. 1-3 1.2.5 MAC地址认证的Guest VLAN ................................................................................................. 1-3 1.3 配置MAC地址认证............................................................................................................................. 1-3 1.3.1 配置准备 ................................................................................................................................. 1-3 1.3.2 配置过程 ................................................................................................................................. 1-4 1.4 配置MAC地址认证的Guest VLAN..................................................................................................... 1-4 1.4.1 配置准备 ................................................................................................................................. 1-4 1.4.2 配置Guest VLAN .................................................................................................................... 1-5 1.5 MAC地址认证的显示和维护 .............................................................................................................. 1-5 1.6 MAC地址认证典型配置举例 .............................................................................................................. 1-6 1.6.1 MAC地址本地认证 .................................................................................................................. 1-6 1.6.2 MAC地址RADIUS认证 ........................................................................................................... 1-7 1.6.3 下发ACL典型配置举例............................................................................................................ 1-9

802.1X集成Radius认证

802.1X集成Radius认证802.1X是一种网络访问控制协议，它提供了对网络中用户和设备的认证和授权。

Radius（远程身份验证拨号用户服务）是一种用于网络访问控制的认证和授权协议。

802.1X集成Radius认证意味着将这两种协议结合在一起使用，以增强网络的安全性和管理能力。

802.1X协议的主要目的是验证连接到LAN或WLAN的用户或设备的身份，并根据他们的认证状态控制他们的访问权限。

它是一种基于端口的认证方法，只有在用户或设备提供有效的凭证后，才能建立网络连接。

这可以防止未授权的用户或设备访问网络资源，保护网络的安全性。

Radius协议是一种用于网络认证和授权的协议，它通过对用户身份进行验证，并为其分配相应的权限和访问级别来控制网络访问。

Radius服务器负责处理用户认证请求，并与认证服务器进行通信进行身份验证和授权。

集成Radius认证意味着802.1X协议将使用Radius服务器来处理认证请求和授权决策。

802.1X集成Radius认证提供了许多优势。

首先，它增强了网络的安全性。

通过要求用户或设备提供有效的凭证，并通过Radius服务器进行身份验证，可以防止未经授权的用户或设备访问网络资源。

这可以减少网络攻击的风险，保护敏感数据和资源的安全性。

其次，802.1X集成Radius认证提供了更好的管理能力。

通过使用Radius服务器，网络管理员可以更轻松地管理和控制用户对网络资源的访问。

他们可以根据用户的身份和权限，对其进行精确的访问控制。

此外，管理员还可以跟踪和审计用户的网络活动，以确保他们的行为符合网络策略和合规要求。

另外，802.1X集成Radius认证还可以支持灵活的网络配置和部署。

由于Radius协议的灵活性，网络管理员可以根据实际需求和网络拓扑来配置和部署认证和授权策略。

他们可以定义不同的认证方法、访问权限和策略，并将其应用到不同的网络设备和用户上。

最后，802.1X集成Radius认证还提供了互操作性。

mac地址认证配置举例

1.14 MAC地址认证典型配置举例1.14.1 本地MAC地址认证1. 组网需求如图1-2所示，某子网的用户主机与设备的端口GigabitEthernet2/0/1相连接。

∙设备的管理者希望在端口GigabitEthernet2/0/1上对用户接入进行MAC地址认证，以控制它们对Internet的访问。

∙要求设备每隔180秒就对用户是否下线进行检测；并且当用户认证失败时，需等待180秒后才能对用户再次发起认证。

∙所有用户都属于ISP域bbb，认证时使用本地认证的方式。

∙使用用户的MAC地址作用户名和密码，其中MAC地址带连字符、字母小写。

2. 组网图图1-2 启动MAC地址认证对接入用户进行本地认证3. 配置步骤# 添加网络接入类本地接入用户。

本例中添加Host A的本地用户，用户名和密码均为Host A的MAC地址00-e0-fc-12-34-56，服务类型为lan-access。

<Device> system-view[Device] local-user 00-e0-fc-12-34-56 class network[Device-luser-network-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56[Device-luser-network-00-e0-fc-12-34-56] service-type lan-access[Device-luser-network-00-e0-fc-12-34-56] quit# 配置ISP域，使用本地认证方法。

[Device] domain bbb[Device-isp-bbb] authentication lan-access local[Device-isp-bbb] quit# 开启端口GigabitEthernet2/0/1的MAC地址认证。

[Device] interface gigabitethernet 2/0/1[Device-Gigabitethernet2/0/1] mac-authentication[Device-Gigabitethernet2/0/1] quit# 配置MAC地址认证用户所使用的ISP域。

802.1x下mac地址旁路认证环境

802.1CISCO:MAC旁路认证特性(MAB)
H3C:MAC认证旁路功能
思路
当终端发送无EAPOL认证信息的数据包通过交换机时，交换机若开启了基于MAC的认证功能（MAB），则交换机等待802.1X认证超时后会启动MAB认证以终端MAC作为帐号密码进行认证，如果在RADIUS服务器上已授权许可该MAC地址表，则认证成功,PXE协议通过，PHANTOSYS终端启动，终端进入操作系统后，进行再认证过程，此时先以域帐号进行认证，若不能以域帐号通过认证，则认证失败，再次以MAB通过认证
When the MAC authentication bypass feature is enabled on an 802.1x port, the switch uses the MAC address as the client identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a client on an 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is configured.

基于freeradius的mac认证

什么是FreeRADIUS？RADIUS是Remote Access Dial In User Service的简称。

RADIUS主要用来提供认证（Authentication）机制，用来辨认使用者的身份与密码–> 确认通过之后，经由授权（Authorization）使用者登入网域使用相关资源–> 并可提供计费（Accounting）机制，保存使用者的网络使用记录。

FreeRADIUS是一款OpenSource软件，基于RADIUS协议，实现RADIUS AAA(Authentication、Authorization、Accounting)功能。

Radius认证的过程：1，supplicant向NAS发起802.1X的EAP0L-START；2，NAS收到EAP0L-START之后发给supplicant一个eap/identity；3，supplicant收到这个eap/identity之后将username作为response发回给NAS;4，NAS将包含有username的eap包封装入RADIUS包的的eap_message属性中，并作为access request包（包ID假定为1）发给RADIUS服务器；5，RADIUS服务器收到这个含有eap_message属性的RADIUS包之后，发回一个带有eap_message(其内部的EAP包为md5 challenge)给NAS；6，NAS收到这个RADIUS包之后将eap_message属性中的EAP包提取出来，然后封装在EAPOL中发给supplicant；7，supplicant收到这个EAP/MD5 CHALLENGE之后将passwd放入EAP包中发给NAS，然后NAS再次打包发给RADIUS8，RADIUS进行认证，如果username和passwd匹配之后认证通过。

目的：搭建freeradius服务器实现用户上网的Mac地址认证环境：centos+freeradius+mysql安装：一、安装openssl二、安装mysql1 2 3 4 5 [root@zhinan~] yun groupinstall "MySQL Database"/#安装MySQL数据库[root@zhinan~] service mysqld start /#启动数据库[root@zhinan~] netstat -nax /#查看3306端口是否在使用，从而确定安装是否成功[root@zhinan~] mysqladmin -u root password '123'/#修改root的密码为123 [root@zhinan~] mysql -u root -p123 /#进入mysql，查看数据库是正常使用。

mac portal原理

mac portal原理
MAC Portal认证是一种基于MAC地址的认证方式，其原理是设备在首次检测到用户的MAC地址后，即启动对该用户的认证操作。

认证过程中不需要用户手动输入用户名或密码。

当终端因无线信号不稳定或离开无线信号覆盖区域导致掉线而重新尝试接入网络时，接入控制设备会把终端的MAC地址发到RADIUS 服务器进行认证。

认证报文丢失、网络设备发生网络震荡等都可能导致MAC认证数据包没有发送到Radius认证服务器，从而调用起Portal认证页面。

在解决此问题时，可以在无线AC上配置，将认证报文的重发次数增多、间隔时间加长，例如：间隔5秒钟发送一次，共发送5次，5次全部全部丢包后，再调取Portal认证页面。

MAC认证

目录第1章 MAC地址认证配置1.1 MAC地址认证简介1.1.1 RADIUS服务器认证方式进行MAC地址认证1.1.2 本地认证方式进行MAC地址认证1.2 相关概念1.2.1 MAC地址认证定时器1.2.2 静默MAC1.3 MAC地址认证基本功能配置1.3.1 MAC地址认证基本功能配置1.4 MAC地址认证增强功能配置1.4.1 MAC地址认证增强功能配置任务1.4.2 配置Guest VLAN1.4.3 配置端口下MAC地址认证用户的最大数量1.4.4 配置端口的静默MAC功能1.5 MAC地址认证配置显示和维护1.6 MAC地址认证配置举例第1章 MAC地址认证配置1.1 MAC地址认证简介MAC地址认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法，它不需要用户安装任何客户端认证软件。

交换机在首次检测到用户的MAC 地址以后，即启动对该用户的认证操作。

认证过程中，也不需要用户手动输入用户名或者密码。

S3100系列以太网交换机进行MAC地址认证时，可采用两种认证方式：●通过RADIUS服务器认证●本地认证当认证方式确定后，用户可根据需求选择以下一种类型的认证用户名：●MAC地址用户名：使用用户的MAC地址作为认证时的用户名和密码。

●固定用户名：所有用户均使用在交换机上预先配置的本地用户名和密码进行认证，因此用户能否通过认证取决于该用户名和密码是否正确及此用户名的最大用户数属性控制（具体内容请参见本手册“AAA”中的配置本地用户属性部分）。

1.1.1 RADIUS服务器认证方式进行MAC地址认证当选用RADIUS服务器认证方式进行MAC地址认证时，交换机作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作：●采用MAC地址用户名时，交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。

●采用固定用户名时，交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密码，发送给RADIUS服务器。

radius用法

radius用法
RADIUS（Remote Authentication Dial-In User Service）是一种用于远程用户访问验证和管理的协议。

它广泛应用于企业网络和ISP环境，用于提供对网络资源的远程访问控制。

以下是RADIUS的主要用法：
用户验证：RADIUS可以用于对远程用户进行身份验证，通过用户名和密码进行匹配，并可结合加密算法实现安全传输。

用户验证可以限制未经授权的用户访问网络资源。

动态分配资源：RADIUS可以根据用户的身份和权限，动态分配网络资源，如IP地址、VLAN、MAC地址等。

这有助于实现灵活的网络管理，满足不同用户的资源需求。

客户端配置：RADIUS可以通过配置客户端来实现对网络设备的远程管理，如交换机、路由器、VPN设备等。

通过RADIUS服务器发送的配置命令，可以实现对设备的远程管理和控制。

访问控制：RADIUS可以限制或允许特定用户访问特定的网络资源，如限制某个IP地址范围的访问、限制特定时间段内的访问等。

这有助于提高网络安全性和可靠性。

计费和审计：RADIUS可以记录用户的网络活动和访问记录，用于计费和审计目的。

通过收集和分析RADIUS日志，可以对用户的使用情况进行统计和分析，以优化资源管理和计费策略。

为了实现RADIUS的功能，需要部署RADIUS服务器，并在网络设备上配置RADIUS客户端。

RADIUS服务器和客户端之间通过UDP协议进行通信，使用1812端口进行用户认证，使用1813端口进行计费信息传输。

同时，为了确保安全性，应该使用加密算法对传输的数据进行加密。

无线路由器设置和加密措施(mac地址)

静态IP
选择静态IP方式，输入指定的IP地址、子网掩码和默认网关等参数。
输入宽带账号和密码
登录界面
在登录界面中输入宽带账号和密码。
保存设置
点击保存按钮，保存设置。
设置无线密码
安全设置
在路由器设置页面中找到无线安全选项，选择 WPA2加密方式。
输入密码
在无线密码框中输入自定义的无线密码。
保存设置
需要注意的是，如果设备更换了网卡或网卡被修改（例如克隆MAC地址），则可能会绕过MAC地址过滤规则。因此，为了确保安全，应定期更新 MAC地址过滤列表。
在设置MAC地址过滤时，建议同时启用其他安全功能，如WPA2加密和防火墙等，以增加多重保护。
03
WEP加密
WEP加密的原理
WEP加密是一种基于对称加密算法的无线网络加密方式，它使用一个共享的密钥对数据进行加密和解密。在WEP加密中，每个数据包都使用不同的随机密钥进行加密，而每个密钥只能使用一次。
2. 找到并点击“无线设置”或“无线安全”等相关选项。
3. 在弹出的页面中，找到“MAC地址过滤”或类似的选项。
4. 启用MAC地址过滤功能。
5. 添加允许或阻止的MAC地址。通常可以输入一个或多个MAC地址，也可以选择允许或阻止所有设备。
6. 保存设置并退出。
注意事项
不要忘记在路由器设置中保存更改，以确保MAC过滤规则生效。
在“无线安全”选项下，选择“WEP加密”选项卡。在“WEP加密”选项卡中，可以选择“64位”或“128位”加密方式
，选择其中一种后，在下面的文本框中输入共享的密钥。点击“保存”按钮保存设置，重启路由器后生效。
WEP加密的优缺点
优点

15-集中式MAC地址认证操作

集中式MAC地址认证目录目录第1章集中式MAC地址认证配置..........................................................................................1-11.1 集中式MAC地址认证简介...............................................................................................1-11.2 集中式MAC地址认证配置...............................................................................................1-11.2.1 启动全局的集中式MAC地址认证..........................................................................1-21.2.2 启动端口的集中式MAC地址认证..........................................................................1-21.2.3 配置集中式MAC地址认证的方式..........................................................................1-31.2.4 配置集中式MAC地址认证用户所使用域名...........................................................1-41.2.5 配置集中式MAC地址认证定时器..........................................................................1-41.2.6 配置集中式MAC地址重认证.................................................................................1-51.3 集中式MAC地址认证配置显示和维护.............................................................................1-51.4 集中式MAC地址认证配置举例.......................................................................................1-6第1章集中式MAC地址认证配置!说明：目前Quidway S6500系列以太网交换机的LS81FT48A/LS81FM24A/LS81FS24A/LS81GT8UA/LS81GB8UA业务板不支持集中式MAC地址认证。

MAC认证

交换机在首次检测到用户的MAC 地址以后，即启动对该用户的认证操作。

认证过程中，也不需要用户手动输入用户名或者密码。

●采用固定用户名时，交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密码，发送给RADIUS服务器。

802.1x MAC-AUTH配置指导

交换机MAC认证(MBA)说明与配置方法功能说明：为了完善802.1X解决方案，经过对相关模块的修改，IDNAC3.2以上版本现在已经支持交换机的MAC-AUTH，并在Cisco-3550和H3C-3600上测试通过，主要修改为：（1）在新建NAS设备的时候在Radius配置标签页添加了“此设备使用802.1X的MAC-AUTH认证方式”，选中这个选项的时候此设备来的认证都认为是MAC-AUTH的认证；（2）新终端或者未审批终端接入交换机，并触发MAC-AUTH认证请求的时候，Radius禁止其接入网络；（3）已审批的合法终端接入交换机，并触发MAC-AUTH认证请求，Radius直接发送Accept通知交换机开启端口；ACK配置步骤如下：1)新建网络接入设备2)选择网络访问设备，具体类型和厂商型号可以根据实际情况选择配置，如果实际型号没有提供，则选择默认，或者接近的一个。

3)给这个设备命名，填写IP地址4)配置Radius共享密钥，并勾选此设备支持MAC-AUTH认证方式。

5)将允许接入的终端配置成合法终端则此终端允许通过MAC-AUTH入网。

交换机具体配置如下：（1）Cisco-3550配置：#全局启用802.1Xdot1x system-auth-control#创建radius配置aaa new-modelaaa authentication dot1x default group radiusradius-server host 192.168.22.221 key 123456#进入端口视图interface fastEthernet 0/2switchport mode access#端口下启用802.1Xdot1x port-control auto#端口下启用mac-authdot1x mac-auth-bypass#设置mac-auth认证前探测802.1X客户端存在次数dot1x max-reauth-req 1#探测802.1X客户端重试间隔dot1x timeout tx-period 1（2）H3C-3600配置：system-view#创建Radius方案radius scheme radius1primary authentication 192.168.22.221primary accounting 192.168.22.221key authentication 123456key accounting 123456user-name-format without-domainquit#创建域domain Authentication default radius-scheme radius1authorization default radius-scheme radius1accounting default radius-scheme radius1quit#指定域用户的radius方案mac-authentication domain #全局启用mac地址认证[H3C] mac-authentication#开启端口mac-authmac-authentica on interface Ethernet 1/0/1mac-authentication authmode usernameasmacaddress 此命令默认，可不配置mac-authentication domain 需要进一步确认的问题是（我只是简单测试过下面的结论）：（1）现在H3C-3600的mac-auth过程很快，基本上在1-3秒内完成，而Cisco-3550速度比较慢，整个认证过程大约有1分钟左右，现在不能确认慢在哪里，可能是我们3550交换机本来就有问题（802.1X认证的时候也很慢），也可能是mac-auth过程就是这么慢（因为cisco的原理是首先它会尝试使用802.1X认证，当尝试失败后才会使用mac-auth认证）；（2）下挂hub的问题在mac-auth中交换机已经解决，两种交换机的处理方式基本相同，他们会对hub上接入的每一个mac地址做单独的认证，不经过mac-auth的pc是不能通过交换机进行网络通信的，即使hub上已经有pc通过mac-auth认证并正常通信，没有通过mac-auth认证的pc任然不能通过交换机。

H3C-S3100-MAC地址认证配置

可选缺省情况下，采用 MAC 地址用户名
设置采用固定用户名设置用户名
设置密码
mac-authentication authmode usernamefixed
mac-authentication authusername username
mac-authentication authpassword password
说明
必选
缺省情况下，未配置认证用户使用的域，使用“default domain”作为 ISP 域名
可选
缺省情况下，下线检测定时器的超时时间为 300 秒；静默定时器的超时时间为 60 秒；服务器超时定时器的超时时间为 100 秒
z 如果端口开启了 MAC 地址认证，则不能配置该端口的最大 MAC 地址学习个数（通过命令 mac-address max-mac-count 配置），反之，如果端口配置了最大 MAC 地址学习个数，则禁止在该端口上开启 MAC 地址认证。
1.2 相关概念
1.2.1 MAC 地址认证定时器
MAC 地址认证过程受以下定时器的控制：
1-1
z 下线检测定时器（offline-detect）：用来设置交换机检查用户是否已经下线的时间间隔。当检测到用户下线后，交换机立即通知 RADIUS 服务器，停止对该用户的计费。
z 静默定时器（quiet）：用来设置用户认证失败以后，该用户需要等待的时间间隔。在静默期间，交换机不处理该用户的认证功能，静默之后交换机再重新对用户发起认证。
interface interface-type interface-number
mac-authentication
二者必选其一
缺省情况下，所有端口的 MAC 地址认证特性处于关闭状态

MAC本地认证配置指导

MAC本地认证配置指导00191333华为技术有限公司MAC本地认证配置指导1.MAC认证MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，用户名和密码都是用户设备的MAC地址。

网络接入设备在首次检测到用户的MAC地址以后，即启动对该用户的认证。

2.MAC认证方式根据有无radius服务器配合认证，MAC认证可分为MAC本地认证（在AC上认证）和MAC地址radius认证。

3.MAC本地认证配置举例3.1组网图图13.2组网需求如图1所示，二层组网直接转发。

业务vlan为vlan 100，管理vlan为vlan 800。

用户的无线终端连接到SSID 为huawei 的无线网络中。

设备管理者希望对用户接入进行MAC 地址认证，以控制其对Internet 的访问。

使用用户的MAC 地址作为用户名和密码，其中MAC 地址不带连字符，字母小写。

3.3配置思路采用如下的思路在AC上进行配置。

1.配置WLAN 基本业务，使AP正常工作。

2.配置MAC认证MAC地址格式，是否带“-”。

3. 在AAA视图下添加新用户，用户名和密码都为无线终端MAC。

4. 在需要认证的端口下使能MAC认证。

5. 业务下发至AP，用户完成业务验证。

说明本配置通过在AC的WLAN-ESS 接口上启用MAC认证来实现对STA进行控制的目的。

直接转发模式下STA的网关不能配置在AC无线侧，可以选择配置在汇聚交换机上或AC有线侧。

配置Security-profile模板时，AC6605 V200R001版本只能使用WPA/WPA2-PSK认证，V200R002可以使用OPEN、WEP、WPA/WPA2-PSK认证3.4操作步骤步骤1 配置接入交换机接入交换机接AP端口trunk透传业务VLAN 100，管理VLAN 800，并打管理vlan pvid 800。

需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端口隔离，如果不配置端口隔离，可能会在VLAN 内存在不必要的广播报文，或者导致不同AP 间的WLAN 用户二层互通的问题。

mac认证实现机制

mac认证实现机制Mac认证是一种凭证验证机制，用于确认用户身份和权限，确保只有经过授权的用户才能访问系统或资源。

Mac认证实现机制是指实现这种认证机制的具体方法和技术，包括认证协议、加密算法、密钥管理和密码学技术等。

1.认证协议认证协议是Mac认证的基础，常见的认证协议包括RADIUS协议、TACACS+协议和Kerberos协议等。

这些协议提供了认证过程所需的数据格式、报文交换规则和安全传输机制等。

RADIUS（Remote Authentication Dial-In User Service）是一种常用的认证协议，用于在远程访问服务器上进行用户认证。

RADIUS协议采用客户端/服务器模型，客户端发送认证请求到RADIUS服务器，服务器进行身份验证并返回认证结果。

RADIUS协议提供了加密传输、鉴权和计费等功能。

TACACS+（Terminal Access Controller Access Control System Plus）是一种认证和授权协议，用于网络设备的远程访问控制。

与RADIUS类似，TACACS+也采用客户端/服务器模型进行认证，但相比RADIUS，TACACS+能够提供更灵活的权限控制和日志记录等功能。

Kerberos是一种网络认证协议，主要用于分布式环境中的用户认证。

Kerberos协议通过用户和服务器之间的互相验证，确保只有经过授权的用户才能登录和使用系统。

Kerberos协议使用票据（ticket）和密钥交换等方式实现认证机制，提供了更高的安全性和可靠性。

2.加密算法加密算法在Mac认证中起到了保护用户身份信息和传输数据安全的作用。

常见的加密算法包括对称加密算法和非对称加密算法。

对称加密算法采用相同的密钥进行加密和解密，常见的对称加密算法有DES、AES和RC4等。

在Mac认证中，对称加密算法可以用于保护认证协议中的敏感信息传输，防止被窃听和篡改。

非对称加密算法使用一对密钥，公钥用于加密数据，私钥用于解密数据。

无线认证的几种方式radius-web-mac

NETGEAR智能无线控制器动手操作实验（三）NETGEAR 无线控制器的几种认证方式目录1. 实验目的 (2)1.1实验条件 (2)2. 实验内容 (2)2.1基于内部数据库或Radius的802.1x认证。

(2)2.1.1 使用内部数据库的802.1x认证 (3)2.1.2 使用Radius服务器的802.1x认证 (9)2.2 基于内部数据库或Radius的Web认证。

(12)2.2.1 使用内部数据库的Web认证 (12)2.2.2 使用Radius的Web认证 (16)2.3 基于MAC地址的认证 (17)1. 实验目的本实验将详细描述Netgear无线控制器的几种认证方式的配置，主要包括以下内容：1. 基于内部数据库或Radius的802.1x认证。

2. 基于内部数据库或Radius的Web认证。

3. 基于MAC地址的认证通过以上实验操作，实验者能够独立完成无线客户端通过控制器身份认证的调试。

1.1实验条件要完成实验内容，必须具备以下环境：1． NETGEAR WFS709TP无线控制器一台2． NETGEAR瘦AP（WGL102或WAGL102）一台3． 9针串口设置电缆一根，网线数条4．测试用的个人电脑若干，带无线网卡注：如果需要获得NETGEAR公司所有产品的最新软件，请平常及时访问，并请注意每个产品升级的注意事项。

2. 实验内容WFS709TP支持使用内部用户数据库、Radius和MAC地址对无线客户端进行认证。

下面我们将分类介绍如何使用WFS709TP的认证功能。

2.1基于内部数据库或Radius的802.1x认证。

该种认证方式使用802.1x协议，需要无线客户端带有802.1x客户端软件。

拓扑结构图如下：2.1.1 使用内部数据库的802.1x认证1、进入Configuration－Basic－WLAN中，新建一个SSID在Network Authentication选择802.1x/WEP，然后在Auth Server Type处选择使用内部服务器还是Radius。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

RADIUS服务器进行MAC验证,配置nat，使无线接入端连接外网一、实验目的：通过Radius服务器的mac验证和路由器上的nat配置，使得在局域网内的无线设备可以上网。

二、实验拓扑图：三、使用的设备列表：S3610交换机3台AR28路由器1台AP无线路由器1台AC无线控制器1台Radius服务器1台四、具体的配置：步骤一：在AC上设置用户和做mac地址绑定，以及设计无线网<h3c>sys[h3c]sysname AC( 注意，AC为WA2620-AGN，本AC改名字的时候不能只打sys+名字，需要的是完整才能打出来sysname+名字) [AC]int vlan 1[AC-vlan-interfacel]undo ip add[AC-vlan-interfacel]vlan 2[AC-vlan2]vlan 4[AC-vlan4]int vlan 4[AC-vlan-interface4]ip add 192.168.4.1 24[AC-vlan-interface4]quit[AC]radius scheme yu[AC-radius-yu]server-type extended[AC-radius-yu]primary authentication 192.168.5.1[AC-radius-yu]primary accounting 192.168.5.1[AC-radius-yu]key authentication h3c(radius上默认的密钥为h3c，可以重设，所以在配置上需要一致，所以这里配置h3c)[AC-radius-yu]key accounting h3c[AC-radius-yu]user-name-format without-domain(注意：这条指令的意思是，不用域名，让你在radius添加账户时可以不带域名)[AC]radius scheme yu[AC-isp-yu]authentication lan-access radius-scheme yu[AC-isp-yu]authorization lan-access radius-scheme lu[AC-isp-yu]accounting lan-access radius-scheme lu[AC]int g1/0/1[AC-GigabitEthernet1/0/1]port link-type trunk[AC-GigabitEthernet1/0/1]port trunk permit vlan 1 to 2 4 [AC]interface WLAN-ESS7[AC-WLAN-ESS7] port access vlan 2[AC-WLAN-ESS7]port-security port-mode mac-authentication [AC]wlan service-template 7 clear[AC-wlan-st-7]ssid yu[AC-wlan-st-7]bind WLAN-ESS 7[AC-wlan-st-7] service-template enable[AC]wlan ap yu model wa2620-agn[AC-wlan-ap-yu]serial-id 219801A0A89112G03396[AC-wlan-ap-yu]radio 2[AC-wlan-ap-yu-radio-2]service-template 7[AC-wlan-ap-yu-radio-2]radio enable[AC]ip route-static 0.0.0.0 0.0.0.0 192.168.4.254[AC]local –user 90c1151c77db[AC-luser-90c1151c77db]password simple 90c1151c77db(这里是接入的无线客户端的mac地址)步骤二：在AC交换模块上配置连接<ac>oap connet slot 0<acsw>sys[acsw]int vlan 1[acsw-vlan-interfacel]undo ip add[acsw-vlan-interfacel]vlan 2[acsw-vlan2]vlan 4[acsw-vlan4]quit[acsw]interface GigabitEthernet1/0/8[acsw- GigabitEthernet1/0/8]port link-type trunk[acsw- GigabitEthernet1/0/8]port trunk permit vlan 1 to 2 4 [acsw]int g1/0/9[acsw- GigabitEthernet1/0/9] port link-type trunk[acsw- GigabitEthernet1/0/9] port trunk permit vlan 1 to 2 4 步骤三：配置Dhcp中继交换机上的ip地址池[dhcp]vlan 3[dhcp]dhcp enable[dhcp]dhcp server ip-pool 1[dhcp-pool-pool1]network 192.168.1.0 24[dhcp-pool-pool1]gateway-list 192.168.1.254[dhcp-pool-pool1]option 43 hex 80070000 01C0A804 01 [dhcp-pool-pool2]network 192.168.2.0 24[dhcp-pool-pool2]gateway-list 192.168.2.254[dhcp]int vlan 3[dhcp-vlan-interface3]ip add 192.168.3.1 24[dhcp]int e1/0/24[dhcp-Ethernet1/0/24] port access vlan 3[dhcp]rip 1[dhcp-rip-1]network 192.168.3.0[dhcp]dhcp server forbidden-ip 192.168.1.254[dhcp]dhcp server forbidden-ip 192.168.2.254步骤四：作为连接所有设备的交换机，配置其中继功能[sw]vlan 2[sw-vlan2]vlan 3[sw-vlan3]vlan 4[sw-vlan4]vlan 5[sw-vlan5]vlan 6[sw-vlan6]quit[sw] dhcp relay server-group 1 ip 192.168.3.1[sw]int vlan 1[sw-vlan-interfacel]ip add 192.168.1.254 24[sw-vlan-interfacel]dhcp select relay[sw-vlan-interfacel]dhcp relay server-select 1 [sw-vlan-interface2]ip address 192.168.2.254 24 [sw-vlan-interface2]dhcp select relay[sw-vlan-interface2]dhcp relay server-select 1 [sw-vlan-interface3]ip address 192.168.3.254 24 [sw-vlan-interface4]ip address 192.168.4.254 24 [sw-vlan-interface5]ip address 192.168.5.254 24 [sw-vlan-interface6] ip address 192.168.6.254 24 [sw]int e1/0/5[sw-Ethernet1/0/5]port access vlan 5[sw]int e1/0/6[sw- Ethernet1/0/6]port access vlan 2[sw]int e1/0/8[sw-Ethernet1/0/8]port link-type trunk[sw-Ethernet1/0/8]port trunk permit vlan 1 to 2 4 [sw]int e1/0/24[sw- Ethernet1/0/24]port access vlan 3[sw]rip 1[sw-rip-1]network 192.168.1.0[sw-rip-1]network 192.168.2.0[sw-rip-1] network 192.168.3.0[sw-rip-1] network 192.168.4.0[sw-rip-1] network 192.168.5.0[sw-rip-1] network 192.168.6.0[sw]dhcp enble[sw]ip route-static 0.0.0.0 0.0.0.0 192.168.6.1(这里指向下一跳的地址，即连接外网的路由器的接口地址)步骤五:配置路由器上的路由功能[RA]acl number 2000[RA-acl-basic-2000]rule 1 permit source 192.168.2.0 0.0.0.255[RA-acl-basic-2000]rule 2 permit source 192.168.6.0 0.0.0.255 [RA]rip[RA-rip]network 192.168.2.0[RA-rip] network 192.168.6.0[RA]int e0/0[RA- Ethernet0/0]ip add 192.168.6.1 24[RA]int e0/1[RA- Ethernet0/1]ip address 10.3.102.33 24[RA- Ethernet0/1]nat outbound 2000[RA]ip route-static 0.0.0.0 0.0.0.0 10.3.102.1至此，基本配置全部完成步骤五：测试配置结果查看3层注册是否成功假如3层注册不成功，我们应该一环环进行检查，ping测试AC ping switch测试DHCP ping switch测试3层注册成功后，我们检查下DHCP获取情况建立起RADIUS服务器手机连接过程与结果手机客户端连接后的DHCP获取情况查看一下路由器上nat转换的情况接下来看看我们连接的手机是不是可以正常的上网随便上的2个不同的网，再看看上面的各种图片证明，毫无疑问实验成功。