思科ccie认证网络工程师——MAC地址认证和MAC地址旁路认证解析必看‘’MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。
MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。
特点:
1、不需要在终端安装认证客户端。
2、终端无需输入账号和密码,认证自动进行。
3、安全性比802.1X和Portal低。
安全性比较低的原因是:因为MAC地址很容易被仿冒。建议只在网络打印机、IP电话应用MAC认证方案,在授权时只开放开展业务所需的网络访问权限。
目前设备支持两种方式的认证:
[if !supportLists](1) [endif]通过RADIUS服务器认证:
选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
采用MAC地址用户名时,设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。
采用固定用户名时,设备将已经在本地配置的用户名和密码作为待认证用户的用户名和密码,发送给RADIUS服务器。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
[if !supportLists](2) [endif]本地认证:
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
采用MAC地址用户名时,需要配置的本地用户名为各接入用户的MAC地址。
采用固定用户名时,需要配置的本地用户名为自定义的,所有用户对应的用户名和密码与自定义的一致。
MAC旁路认证:是指在802.1X认证环境中终端接入网络后未回应来自接入控制设备的802.1X认证请求。为了方便终端接入网络,接入控制设备自动获取终端的MAC地址,作为接入网络的凭证发到RADIUS服务器进行校验。
MAC认证和MAC旁路认证对比:
[if !supportLists]² [endif]MAC认证:直接进行MAC认证。
[if !supportLists]² [endif]MAC旁路认证:先802.1x, 长时间不回应(30S)不回应,采用MAC作为用户和密码发送认证 。结合802.1X使用
两者最大的区别是MAC旁路认证属于802.1X认证,而MAC认证不属于802.1X认证,MAC旁路认证比MAC认证多一个802.1X认证环节,故时间要比MAC认证时间长。
如果一个网口既可能连接哑终端(打印机、IP电话),又可能连接便携机(保证认证过后再接入),请使用MAC旁路认证,优先尝试802.1X认证,认证失败再尝试MAC认证。
如果一个网口只会连接哑终端(打印机、IP电话),请使用MAC认证,以便缩短认证时间。思科ccie认证网络工程师——MAC地址认证和MAC地址旁路认证解析必看