NAC配置与管理——3

MAC认证配置与管理

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。相对802.1x认证来说最大的优势是不需要用户安装任何客户端软件，用户名和密码都是用户设备的MAC地址。网络接入设备在首次检测到用户的MAC地址以后，即启动对该用户的认证。MAC认证主要用于对那些不支持802.1x客户端的设备进行接入控制，如打印机。

MAC认证只是提供了一个用户身份认证的实现方案，为了完成用户的身份认证还需要选择使用RADIUS或本地认证方法，因此也需要首先完成以下配置任务：

（1）配置用户所属的ISP认证域及其使用的AAA方案，即本地认证方案或RADIUS方案。

（2）如果需要通过RADIUS服务器进行认证，则应该在RADIUS服务器上配置相应的用户名和密码；如果需要本地认证，则应该在网络接入设备上手动添加接入用户的用户名和密码（根据MAC认证所采用的用户名形式进行配置）。

MAC认证可配置的任务如下（仅第一项为必选）：

（1）使能MAC认证功能。

（2）（可选）配置用户名形式。

（3）（可选）配置用户认证域。

（4）（可选）配置接口允许接入的最大MAC认证用户数。

（5）（可选）配置MAC认证的定时器。

（6）（可选）配置对MAC认证用户进行重认证。

（7）（可选）配置GuestVLAN功能。

（8）（可选）配置RestrictVLAN功能。

（9）（可选）配置CriticalVLAN功能。

（10）（可选）配置用户组功能。

一、使能MAC认证功能

只有同时使能全局和接口的MAC认证功能，MAC认证的配置才能在接口上生效。但在使能MAC认证功能后，如果在接口下已有MAC认证在线用户，则不允许去使能接口的MAC认证功能。

如果接口使能了MAC认证功能，则不能在该接口下配置如下命令，反之亦然。

（1）mac-limit：配置接口的最大MAC地址学习个数。

（2）mac-addresslearning disable：关闭接口的MAC地址学习功能。

（3）portlink-type：配置接口的链路类型为QinQ。

（4）portvlan-mapping vlan map-vlan和port vlan-mapping vlan inner-vlan：配置接口的VLAN Mapping功能。

（5）portvlan-stacking：配置灵活QinQ功能。

（6）port-securityenable：配置接口安全功能。

（7）mac-vlanenable：使能接口的MAC VLAN功能。

（8）ip-subnet-vlanenable：使能接口基于IP子网划分VLAN的功能。

（9）portmux-vlan enable：使能接口MUX VLAN功能。

二、（可选）配置用户名形式

MAC认证用户采用的认证用户名形式有“MAC地址形式”和“固定用户名形式”两种，可通过在系统视图下使用mac-authen username { fixed username [ password cipher password] |macaddress [ format { with-hyphen | without-hyphen}]}命令进行配置。

●fixed username：指定MAC认证时使用的固定用户名。

●cipher password：指定以密文形式显示的MAC认证密码。

●macaddress：指定以MAC地址作为MAC认证时使用的用户名。

●with-hyphen：指定MAC地址作为用户名输入用户名时使用带有分隔符“-”的MAC地址。如“0005-e01c-0123”

●without-hyphen：指定MAC地址作为用户名输入用户名时使用不带有分隔符“-”的MAC地址。如“0005e01c0123”

缺省情况下，MAC认证的用户名和密码为不带分隔符“-”的MAC地址。

示例：配置固定用户名形式认证的用户名为“vipuser”，明文格式的密码“pass”。

<Huawei> system-view

[Huawei]mac-authen username fixed vipuserpassword cipher pass

         示例：配置MAC地址作为用户名进行认证，输入MAC地址时带有分隔符。

<Huawei> system-view

[Huawei]mac-authen username macaddressformat with-hyphen

三、（可选）配置用户认证域

当MAC认证用户采用的认证用户名形式为MAC地址形式，或者采用固定用户名形式但不带域名时，如果管理员没有配置认证域，用户将使用Default域进行认证。这会导致众多用户在都在Default域下认证，认证方案不灵活。当MAC认证用户名的用户名采用固定用户名形式，且在用户名中指定了认证域，则该用户在其自带的认证域中进行认证。

可在系统视图下为设备上所有接口全局配置或者在接口视图下为具体接口配置MAC认证用户的认证域。

四、（可选）配置接口允许接入的最大MAC认证用户数

如果管理员需对某接口下通过MAC认证接入的用户数量进行限制的时候，可配置接口允许接入的MAC认证最大用户数量。这样，当接入用户到达配置的最大数时，后续的MAC认证用户将不能通过该接口接入网络。

接口允许接入的最大MAC认证用户数可在系统视图下为多个接口进行批量配置，或在接口视图下为单个接口具体配置。

五、（可选）配置MAC认证的定时器

MAC认证过程中可启动多个定时器以控制接入用户、设备以及认证服务器之间进行合理、有序的交互。可配置的MAC认证定时器包括以下几种：

（1）Guest-Vlan用户重认证定时器（guest-vlanreauthenticate-period）：在用户被加入Guest Vlan之后，设备将以此定时器设置的时间间隔为周期向Guest Vlan中的用户发起重认证。若重认证成功，则用户退出Guest Vlan。

（2）用户下线探测定时器（offline-detect）：为确保用户的正常在线，设备会向在线用户发送探测报文，如果用户在探测周期内没有回应，则设备认为该用户已下线。

（3）静默定时器（quiet-period）：在用户认证失败后，设备需要静默一段时间。在静默期间，设备不处理该用户的认证请求。

（4）认证服务器超时定时器（server-timeout）：当设备向认证服务器发送RADIUSAccess-Request请求报文后，设备启动此定时器。若在该定时器设置的时长内，设备未收到认证服务器的响应，则将重发认证请求报文。

以上这些认证定时器的配置方法是在系统视图下使用mac-authen timer { guest-vlan reauthenticate-period interval |offline-detect offline-detect-value | quiet-period quiet-value | server-timeoutserver-timeout-value}命令进行。

需要分别单独为每个定时器配置。

六、（可选）配置对MAC认证用户进行重认证

与802.1x认证用户重认证一样，MAC认证中也可以为用户进行重认证。在配置了对MAC认证用户进行重认证功能后，设备会把保存的在线用户的认证参数发送到认证服务器进行重认证，若认证服务器上用户的认证信息没有变化，则用户正常在线；若用户的认证信息已更改，则用户将会被下线，此后需要用户根据更改后的认证参数重新进行接入认证。

MAC认证中同样可以有两种重认证方式，（1）对指定接口下所有在线MAC认证用户进行周期重认证；（2）对指定MAC地址的在线MAC认证用户进行重认证，且仅进行一次重认证。

对MAC认证用户进行重认证可在系统视图下为多个接口进行批量配置，或在接口视图下为单个接口具体配置。

七、MAC认证配置管理

（1）displaymac-authen [interface { interface-type interface-number1 [ tointerface-number2]} &<1-10>]：查看所有或者指定接口的MAC认证配置信息。

（2）displaymac-address { authen | guest} [interface-type interface-number | vlanvlan-id]*[verbose]：查看系统当前存在的authen类型或guest类型的MAC地址表项。

（3）displayuser-group [group-name]：查看所有或指定用户组的相关配置信息。

（4）displayaccess-user user-group group-name：查看与指定用户组绑定的所有用户摘要信息。

在用户视图下执行resetmac-authen statistics [ interface { interface-type interface-number1 [ tointerface-number2] }]命令清除所有或者指定接口上的MAC地址认证的统计信息。

八、MAC认证配置示例

如上应用，某公司内部大量打印机通过Switch的GE0/0/1接口接入网络。在该网络运行一段时间后，为了增强网络的安全性，管理员需对打印机的网络访问权限进行控制。

1、基本配置思路分析

由于打印机无法安装和使用802.1x客户端，为实现对其网络访问权限进行限制的需求，管理员可在Switch上配置MAC认证功能。

（1）创建并配置RADIUS服务器模板、AAA方案以及ISP域，并在ISP域下绑定RADIUS服务器模板与AAA方案。保证了Switch与RADIUS服务器之间的信息交互。

（2）使能设备全局与接口的MAC认证功能。可选配置接口接口允许接入的最大MAC认证用户数为100，防止过多的用户同时接入网络。还可配置Guest VLAN为10，满足当用户未进行认证时能够访问Guest VLAN中的资源。

2、具体的配置步骤

（1）创建并配置RADIUS服务器模板、AAA方案以及ISP域。

<Huawei>system-view

[Huawei]radius-server template rd1 #--创建并配置RADIUS服务器模板rd1

[Huawei-radius-rd1]radius-serverauthentication 192.168.2.30 1812 #--指定RADIUS服务器地址为192.168.2.30，端口为1812

[Huawei-radius-rd1]radius-server shared-keycipher hello #---指定与RADIUS服务器通信的验证密码为hello

[Huawei-radius-rd1]radius-server retransmit2 #---设置RADIUS请求报文可以超时重传的次数为2次。

[Huawei-radius-rd1]quit

[Huawei]aaa  

[Huawei-aaa]authentication-scheme abc #---创建AAA认证授权方案abc

[Huawei-aaa-authen-abc]authentication-moderadius #---指定采用RADIUS服务器进行认证

[Huawei-aaa-authen-abc]quit

[Huawei-aaa]domain isp1  #---创建ISP域“isp1”

[Huawei-aaa-domain-isp1]authentication-schemeabc  #---绑定AAA方案“abc”

[Huawei-aaa-domain-isp1]radius-server rd1  #---绑定RADIUS服务器模板rd1

[Huawei-aaa-domain-isp1]quit

[Huawei-aaa]quit

（2）配置MAC认证

[Huawei]mac-authen   #---在全局使能MAC认证

[Huawei]interface gigabitethernet 0/0/1

[Huawei-GigabitEthernet0/0/1]mac-authen  #---在接口下使能MAC认证

[Huawei-GigabitEthernet0/0/1]mac-authenmax-user 100  #---指定接口允许接入的最大MAC认证用户数为100

[Huawei-GigabitEthernet0/0/1]quit

[Huawei]vlan batch 10

[Huawei]authentication guest-vlan 10interface gigabitethernet 0/0/1  #---配置MAC认证的Guest Vlan为10

         配置后的查验：

Portal认证配置与管理

Portal认证可使用户不经过特定客户端软件即可进行接入认证的一种基于Web页面的认证方式。Portal服务器为用户提供免费门户服务和基于Portal认证的Web页面。Portal服务器可分为外置Portal服务器与内置Portal服务器两种。

与802.1x认证和MAC认证一样，Portal认证也只提供了一个用户身份认证的实现方案，为了完成用户的身份认证还需要选择使用RADIUS或本地认证方法。因此也需要先完成以下AAA配置任务：

（1）配置用户所属的ISP认证域及其使用的AAA方案，即本地认证方案或RADIUS方案。

（2）如果需要通过RADIUS服务器进行认证，则应该在RADIUS服务器上配置相应的用户名和密码；如果需要本地认证，则应该在本地设备上手动添加接入用户的用户名和密码。

Portal认证的配置任务如下（仅前面两项是必选的）：

（1）配置Portal服务器参数。

（2）使能Portal认证功能。

（3）（可选）配置与Portal服务器信息交互参数。

（4）（可选）配置Portal认证用户接入控制参数。

（5）（可选）配置Portal认证用户下线探测周期。

（6）（可选）配置Portal认证探测与逃生功能。

（7）（可选）配置Portal认证用户信息同步功能。

（8）（可选）配置Portal认证静态用户。

（9）（可选）配置用户组功能。

（10）（可选）配置Portal认证静默功能。

一、配置Portal服务器参数

在Portal认证配置过程中，为保证设备与Portal服务器之间能够进行通信，必须先在设备上配置指向Portal服务器的参数，譬如指向Portal服务器的IP地址。

Portal服务器可分为外置Portal服务器与内置Portal服务器，外置Portal服务器具有独立的硬件设备，内置Portal服务器为存在于接入设备之内的内嵌实体（即由接入设备实现Portal服务器功能）。

二、使能Portal认证功能

在配置完成指向Portal服务器的参数后，设备即能够与Portal服务器进行通信。此时如果需对接入用户进行Portal认证，还必须使能设备的Portal认证功能。

针对外置Portal服务器，仅需将配置的Portal服务器模板绑定到VLANIF接口即可对该接口下的用户进行Portal认证。而对于内置Portal服务器，则需先使能内置Portal服务器功能，然后使能设备二层接口的Portal认证功能，才能够对该接口下的用户进行Portal认证。

三、（可选）配置与Portal服务器信息交互参数

如果Portal服务器为外置Portal服务器，则可通过配置设备与Portal服务器信息交互参数，以达到设备与外置Portal服务器之间正常通信同时提高信息交互安全性的目的。

四、（可选）配置Portal认证用户接入控制参数

在Portal认证网络的部署中，通过配置Portal认证用户的接入控制参数可以灵活地控制接入用户。譬如通过配置Portal认证用户的免认证规则可使特定的用户不经过认证或认证失败的情况下能够访问特定的网络资源；通过配置Portal认证的源认证网段，能够控制设备仅对源认证网段内的用户进行Portal认证，而其他网段的用户不能够通过Portal认证接入网络。

         示例：配置所有Portal用户可以免认证访问IP地址为10.1.1.1/24的网络。

<Huawei>system-view

[Huawei]portal free-rule 1 destination ip10.1.1.1 mask 24 source ip any

         示例：配置网段2.2.100.0/24中的实验室设备归属到用户组static-user，无需认证即可获取访问全部网络权限。

<Huawei>system-view

[Huawei]acl number 3100

[Huawei-acl-adv-3100]rule 5 permit ip

[Huawei-acl-adv-3100]quit

[Huawei]user-group static-user

[Huawei-user-group-static-user]acl-id 3100

[Huawei-user-group-static-user]quit

[Huawei]user-group static-user enable

[Huawei]portal free-rule 0 source ip2.2.100.0 mask 24 destination user-group static-user

五、（可选）配置Portal认证用户下线探测周期

对于Portal认证用户，如果由于断电、网络异常断开等缘故造成用户下线，此时设备与Portal服务器上可能仍然保存该用户信息，这将会造成计费不准等问题。另一方面，由于设备允许接入的用户数是有限的，若用户异常下线但设备上仍保存用户信息，则可能导致其他用户不能接入网络。配置Portal认证用户下线探测周期后，如果用户在探测周期内没有回应，则设备认为该用户已经下线。之后设备与认证服务器会及时清除该用户信息，并释放其占用的资源。但本功能仅适用于二层Portal认证方式，同时仅适用于外置Portal服务器环境。

配置Portal认证用户下线探测周期的方法只需在系统视图下使用portal timer offline-detect time-length命令配置即可。缺省为300s。

六、（可选）配置Portal认证探测与逃生功能

在Portal认证中，如果设备与Portal服务器之间出现网络故障导致通信中断或Portal服务器本身出现故障，则会造成新的Portal认证用户无法上线，已经在线的Portal用户也无法正常下线。这时可配置Portal探测和逃生功能，使在网络故障或Portal服务器无法正常工作的情况下让用户仍然能够正常使用网络，并具有一定的网络访问权限，同时通过日志和Trap的方式报告故障。但本功能仅适用于外置Portal服务器环境。

七、（可选）配置Portal认证用户信息同步功能

在portal认证中，如果设备与Portal服务器之间出现网络故障导致通信中断或Portal服务器本身出现故障，使已经在线的Portal用户无法正常下线。这可能导致设备与Portal服务器用户信息不一致以及计费不准确问题。此时，可以配置用户信息同步机制来保证Portal服务器与设备上用户信息的一致性，以避免可能出现的计费不准确问题。本功能仅适用于外置Portal服务器场景。

八、（可选）配置Portal认证静态用户

在Portal认证中，有些终端无HTTP访问能力以致无法主动进行Portal认证。通过配置Portal认证静态用户，可使静态用户在接收到ARP报文后自动触发，使其进行Portal认证。

九、Portal认证配置管理

（1）displayportal [ interface vlanif interface-number]：查看VLANIF接口下Portal认证的配置信息。

（2）displayweb-auth-server configuration：查看Portal认证服务器相关的配置信息。

（3）displayuser-group [group-name]：查看用户组的配置信息。

（4）displayaccess-user user-group group-name：查看用户组内上线用户的信息。

（5）displaystatic-user [ domain-name domain-name | interface interface-typeinterface-number1 | ip-address start-ip-address [ end-ip-address] | vpn-instancevpn-instance-name]：查看静态用户的信息。

采用内置Portal服务器时，可使用以下display任意视图命令查看配置信息：

（1）displayportal local-server：查看内置portal服务器的配置信息。

（2）displayportal local-server connect [ user-ip ip-address]：查看内置Portal服务器上portal认证用户的连接状态。

（3）displaystatic-user [domain-name domain-name | interface interface-typeinterface-number | ip-address start-ip-address [ end-ip-address] | vpn-instancevpn-instance-name]：查看静态用户信息。

十、内置Portal服务器认证配置示例

如上拓扑，某公司内部大量用户终端通过Switch（作为接入设备）的GE0/0/1接口接入网络。在该网络运行一段时间后，发现存在用户对网络进行攻击，为确保网络的安全性，将IP地址Wie192.168.2.30的服务器用作RADIUS服务器，在Switch上配置内置Portal服务器认证功能（将一LoopBack接口的IP地址“192.168.1.30”配置为内置Portal服务器的IP地址）。只有用户终端通过认证后，Switch才允许其访问Internet中的资源。

1、基本配置思路

（1）创建并配置RADIUS服务器模板、AAA方案以及ISP域，并在ISP域下绑定RADIUS服务器模板与AAA方案。保证了Switch与RADIUS服务器之间的信息交互。

（2）配置内置Portal认证，使用户终端能够通过Portal认证方式接入网络。

2、具体配置步骤

（1）创建并配置RADIUS服务器模板、AAA方案以及ISP域。

<Huawei>system-view

[Huawei]radius-server template rd1

[Huawei-radius-rd1]radius-serverauthentication 192.168.2.30 1812

[Huawei-radius-rd1]radius-server shared-keycipher hello

[Huawei-radius-rd1]radius-server retransmit2

[Huawei-radius-rd1]quit

[Huawei]aaa

[Huawei-aaa]authentication-scheme abc

[Huawei-aaa-authen-abc]authentication-moderadius

[Huawei-aaa-authen-abc]quit

[Huawei-aaa]domain isp1

[Huawei-aaa-domain-isp1]authentication-schemeabc

[Huawei-aaa-domain-isp1]radius-server rd1

[Huawei-aaa-domain-isp1]quit

[Huawei-aaa]quit

（2）配置Portal服务器信息交互参数和HTTPS访问的SSL策略。

[Huawei]interface loopback 6

[Huawei-LoopBack6]ip address 192.168.1.3032 #---建一个Loopback接口，并配置该Loopback接口的IP地址

[Huawei-LoopBack6]quit

[Huawei]portal local-server ip192.168.1.30  #---设置内置Portal服务器的IP地址

[Huawei]ssl policy hauwei

[Huawei-ssl-policy-huawei]certificate loadpem-cert cert_rsa_cert.pem key-pair rsa key-file cert_rsa_key.pem auth-codecipher 123456@abc  #---配置打开内置Portal认证网页时所需的SSL策略

[Huawei-ssl-policy-huawei]quit

在为SSL策略加载证书时，需确保设备上已存在所需的证书文件和秘钥对文件，否则加载不成功。

（3）在全局和接入接口上使能内置Portal认证功能。

[Huawei]portal local-server httpsssl-policy hauwei

[Huawei]interface gigabitethernet 0/0/1

[Huawei-GigabitEthernet0/0/1]portallocal-server enable

[Huawei-GigabitEthernet0/0/1]quit

配置好后的验证：

十一、外置Portal服务器认证配置示例

如上拓扑，某公司内部大量用户终端通过Switch（作为接入设备）的GE0/0/1接口接入网络。在该网络运行一段时间后，发现存在用户对网络进行攻击，为确保网络的安全性，将IP地址为192.168.2.30的服务器用作RADIUS服务器后，在Switch上配置Portal认证功能，并且选取的Portal服务器的IP地址为192.168.3.20，使只有用户终端通过认证后，Switch才允许其访问Internet中的资源。

1、基本配置思路

（1）创建并配置RADIUS服务器模板、AAA方案以及ISP域，并在ISP域下绑定RADIUS服务器模板与AAA方案。保证了Switch与RADIUS服务器之间的信息交互。

（2）创建并配置Portal服务器模板，保证设备与Portal服务器的正常信息交互。

（3）使能Portal认证功能，对接入用户进行Portal认证。

（4）（可选）配置设备与Portal服务器信息交互的共享秘钥，增强设备与Portal服务器信息交互安全性。

（5）（可选）配置允许接入的最大Portal认证用户数，限制过多用户同时接入网络。

（6）（可选）配置Portal认证用户下线探测周期，保证设备能够及时删除已下线用户的信息。

（7）（可选）配置Portal认证探测与逃生功能，使用户在Portal服务器出现故障时能够正常访问网络。

2、具体配置步骤

（1）创建并配置RADIUS服务器模板、AAA方案以及ISP域。

<Huawei>system-view

[Huawei]radius-server template rd1

[Huawei-radius-rd1]radius-serverauthentication 192.168.2.30 1812

[Huawei-radius-rd1]radius-server shared-keycipher hello

[Huawei-radius-rd1]radius-server retransmit2

[Huawei-radius-rd1]quit

[Huawei]aaa

[Huawei-aaa]authentication-scheme abc

[Huawei-aaa-authen-abc]authentication-moderadius

[Huawei-aaa-authen-abc]quit

[Huawei-aaa]domain isp1

[Huawei-aaa-domain-isp1]authentication-schemeabc

[Huawei-aaa-domain-isp1]radius-server rd1

[Huawei-aaa-domain-isp1]quit

[Huawei-aaa]quit

（2）创建并配置名称为“abc”的Portal服务器模板。

[Huawei]web-auth-server abc

[Huawei-web-auth-server-abc]server-ip192.168.3.20

[Huawei-web-auth-server-abc]quit

（3）使能Portal认证功能。

[Huawei]interface vlanif 10

[Huawei-Vlanif10]web-auth-server abcdirect  #---采用二层认证方式

[Huawei-Vlanif10]quit

（4）配置其他可选配置

[Huawei]web-auth-server abc

[Huawei-web-auth-server-abc]shared-keycipher 12345

[Huawei-web-auth-server-abc]quit

[Huawei]portal max-user 100  #---配置允许接入的最大Portal认证用户数为100

[Huawei]portal timer offline-detect500  #---配置Portal认证用户下线探测周期为500秒

（5）配置Portal认证探测与逃生功能和用户信息同步功能。

[Huawei]web-auth-server abc

[Huawei-web-auth-server-abc]server-detectaction log  #---使能Portal认证探测与逃生功能

[Huawei-web-auth-server-abc]user-sync

[Huawei-web-auth-server-abc]quit

配置好后，通过displayportal任意视图命令检查在系统视图下配置的Portal参数；执行display portal interface查看VLANIF接口下配置的Portal参数；displayweb-auth-server configuration查看Portal服务器相关的配置信息。