如何根据MAC地址实现无感知免密认证入网?

已于 2023-03-31 18:25:20 修改
阅读量612 收藏 1
点赞数
文章标签: 网络安全 网络
于 2023-03-28 17:15:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuzijiang11111/article/details/129820418
版权

WiFi 无感知认证是一种无需用户手动输入用户名和密码就能自动连接 WiFi 网络的认证方式。它基于用户设备的 MAC 地址或其他身份标识,将设备与已经注册的用户帐户相关联,从而实现自动认证。它可以提高用户使用 WiFi 的便利性和安全性,同时也可以减少用户记忆账号密码的烦恼和时间浪费。

01 需求分析:

为增强企业内网的安全性及可控性,某科技公司期望对员工接入有线网络、无线 WiFi 时执行 Portal 认证入网的准入控制,不允许外来电脑进入公司随意接入内网。同时,该公司对接入场景提出挑战,要求目前内网中的用户入网认证是完全无感知的,而对于后面要接入网络的用户则进行 Portal 认证。

02 解决方案:

对于该公司的需求,我们提出 MAC 认证的方案,正常配置 Portal 认证,Portal 认证前,设备会携带自身的 MAC 先进行一次 MAC 无感知认证,此次认证的优先级会高于页面的 Portal 认证,如图:

0c10a00ac7bb2e4663aaf7eb746b05c9.jpeg

所以设备侧还是正常对接宁盾身份认证系统,进行Portal认证。然后在启用Portal认证前,在系统上先更新目前已经入网的终端设备、用户设备MAC地址,如图:

afb5597694a1b1c3da9e481a25c716a0.jpeg

然后正常启用Portal,所有已经更新了MAC地址的用户设备和终端设备都可以通过MAC进行无感知入网,不对目前的用户有任何打扰,但实际上内网已经拉起了入网管控,后续如果有未在系统中有MAC记录的设备,都需要进行入网的Portal认证,如此便达到了客户需要实现的效果。

d1c4e31b459a8dbd3f70c21f73a5bf42.jpeg

用户正常通过MAC地址认证上线

同理:

后续用户设备在进行 Portal 认证后,也会对应着发送自身设备的 MAC 进行认证,认证通过后,系统会关联记录此用户和 MAC 的关联关系,进行绑定,如图:

64f9f7d58614f2921f653fbdee5e2d6c.jpeg

用户后续入网时,同一台设备不需要进行二次认证,直接可以通过MAC无感知上线,对于用户的打扰降至最低。

03 方案价值:

通过宁盾身份认证系统建设内网用户有线/无线认证基线后,实现了用户身份认证可信,有效阻止了非法接入。并且通过宁盾身份认证系统对于内网的终端资源可进行统计,对于用户的打扰非常低,可以实现全程无感上线。

(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)

宁盾Nington
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为交换机对接城市热点实现MAC优先的portal接入认证+无感知登录
symstandsun的博客
08-13 1799
全程记录华为交换机在校园网中作为接入NAS与portal、radius服务器对接,实现mac感知认证优先+MAC首次使用时走portal网页认证的全程配置,适用于OLT无法作为AC控制器或作为AC控制器功能不足无法对接时的,OLT+ONT无线网络统一接入认证、授权、计费对接方案,照此配置即可完成对接部署...
华为AD+NPS+DHCP+MAC地址认证配置(一)Windows
weixin_33778778的博客
08-27 1392
创建角色AD、DHCP、NPS作者:闫欢Q Q:253408824一、 准备工作1. AD Windows Server 2008 R2服务器:创建域帐号和组硬件需求:内存:2G以上硬盘:20G以上CPU:1.4GHz(X64架构)2. NPS:通过NPS做访问策略3. DHCP:验证通过后分配172.16.0.0/24地址,验证不通过分配192.168.0.0/24地址4....
基于MAC地址的802.1x认证
08-17
cisco设备上通过MAC地址实现802。1x认证
【vlan-给予mac地址认证
weixin_33910137的博客
08-31 447
根据项目需求搭建好如下的路由和交换拓扑图: 1:用pc1 ping pc2 使交换机捕捉到4台pc及的 mac地址 查看交换机学习到的mac地址情况 2:配置交换机和pc机之间的接口,根pc机的mac地址分别加入各自的vlan,其次配置hybird认证 注:在配置vlan给予mac地址认证的情况下...
本地及集中式MAC地址[ACS]认证操作
weixin_34186931的博客
11-12 622
简介: 示意图: 本地MAC认证: 客户机配置: 交换机配置: <Quidway>dis version Huawei Versatile Routing Platform Software. VRP software, Version V3.10, Release 0008 Copyright(c) 1998-2006 Huawei...
MAC认证技术
独行侠梦的博客
01-28 4702
点击上方蓝字关注我们011 简介MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测...
战术目标瞄准网络技术入网安全认证技术研究
01-29
战术目标瞄准网络技术(TTNT,Tactical Targeting Network Technology)作为美军新...首先分析了TTNT的入网和退网流程,然后从密匙创建、密匙管理和密匙交换三方面出发,对TTNT用户的身份验证技术进行了具体的剖析。
阿里云服务器出网带宽和入网带宽如何计算?
01-06
阿里云ECS云服务器宽带分为入网带宽和出网带宽,用户购买云服务器公网宽带后实际的出网带宽和入网带宽是如何计算的?以5M公网带宽来详细解析: ECS云服务器的入网带宽和出网带宽 用户购买云服务器公网宽带就是出网...
电信设备入网许可认证知识.docx
10-14
电信设备入网许可认证知识.docx
ZigBee新设备入网过程.pdf
08-31
协调器的 NWK 层接收到连接指示原语后,将根据自己的资源情况(存储空间和 LQI 能量)决定是否同意此节点的加入请求,然后给节点的 MAC 层发送响应。当新设备收到协调器加入请求命令的 ACK 后,新设备 MAC 将等待一...
web端不限制浏览器获取客户端MAC+IP地址进行权限安全校验
01-19
web端项目通过浏览器访问的项目获取客户端mac地址及ip地址,进行登录权限校验; web端通过浏览器访问的项目增加权限; 本次项目由于对数据安全性要求较为严格,所以增加了用户在登录时对于客户端电脑的ip地址和mac地址校验,非授权用户禁止登录,并且每次修改需要管理员进行修改mac地址。 本项目只做针对与在浏览器中如何获取到客户端的mac地址+ip地址进行解决,此项目做了一周时间,本人尝试过各种办法,例如:通过js+后端语言进行交互访问,但又要在客户端装服务,太麻烦了,最后做成了一个插件,在登录时判断是否能够获取到用户的计算机信息,当无法访问的时候,提示下载插件,此插件由前端js+node做的,因为js是无法访问客户端的网卡信息,故只能借助后端语言去实现,想了好多办法,觉得只有node做成插件比较好点,后面会将下载的插件做成msi或exe可执行文件,如有什么问题,可直接与作者联系,欢迎大家沟通交流,有需要帮助的地方作者会在第一时间与您沟通,保证您的项目能够用到此插件,希望您的薪资待遇越来越高,身体健康,心情开心快乐!
身份认证——802.1x认证MAC认证讲解
m0_49864110的博客
03-16 7980
用户通过802.1x客户端输入用户和密码来向接入设备发送EAPoL-Start报文来触发认证,接入控制器收到客户端发送的EAPoL-Start报文之后,会向客户端发送EAP-Request/Identity报文,要求用户发送身份标识。EAP中继方式中,用来对用户密码进行加密处理的挑战字由认证服务器生成,设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器,整个认证处理都由认证服务器来完成。其实就是接入控制端主动触发进行802.1x认证,不过不通过用户密码认证了,而是通过MAC进行认证
MAC认证配置及命令解析(含华为和华三设备)
最新发布
weixin_47402139的博客
03-01 2236
本篇文章介绍了华为和华三交换机设备针对MAC认证(对接华为Agile Controller-Campus,NAC为统一模式,认证点部署在接入交换机)的配置命令,及相关命令解析
Windows server 2019从头搭建私网***
weixin_39963973的博客
08-22 3812
环境:windows 2019 vpn采取域用户的认证方式。所以请将vpn服务器提前加入到域中。 使用nps网络策略控制vpn接入协议及权限账户 首先修改好计算机名称;自行修改。 先配置安全证书,vpn传输安全还是很重要的。证书自行购买 运行mmc,添加“证书管理单元” 在“证书”管理单元中选择“计算机账户”,本地账户 最后完成。 然后,我们准备导入申请过的证书吧...
windows 2012 NPS 为 H3C&CISCO提供 radius服务
weixin_34384915的博客
08-06 1154
windows 2008和2012内嵌了NPS,其可以作为radius服务器,参数什么的和Freeradius差不多,指南很少,文档很少接下来主要记录的是NPS为cisco&h3c 提供telnet认证服务ipsec用户认证(测试中,逐渐补完)TheNetworkPolicyandAccessServicesincludethefollowingro...
Windows Server2016 NPS服务构建基于AD域控的radius认证
热门推荐
weixin_45832527的博客
07-03 1万+
创建Windows Server 2016 (一)安装AD域服务并升级到AD域控制器 1.添加域服务 下一步 点安装 2.升级到域控制器,添加成功后会自动重启服务器 添加新林 输入还原密码 设置域名 点下一步 点下一步 点安装 (二),添加网络策略服务和AD证书 添加网络策略和访问服务 添加AD证书 全选证书类型 点安装 (三)创建用户组 (四)网络策略服务的配置 点击右键配置网络策略服务器 右键NPS(本地)点击在AD中注册服务器 开始页面设置用于无线RADIUS服务器 开始配置802.1X 选择安全无线
华为交换机:基于mac地址的vlan
迷逝
11-04 2681
sw2 <Huawei>sys [Huawei]sysname sw2 [sw2] [sw2]un in en #关闭消息回执 Info: Information center is disabled. [sw2]vlan batch 10 20 [sw2]int g0/0/2 [sw2-GigabitEthernet0/0/2]port link-type access [sw2-GigabitEthernet0/0/2]port default vlan 10 [sw2.
OSV配合windows 2008 r2 NPS 搭建802.1X认证环境
weixin_33991418的博客
02-28 574
前言 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;...
某金融机构身份国产化LDAP创新实践——国产自主可控 LDAP目录服务建设经验分享
yuzijiang11111的博客
12-01 1755
金融机构微软目录服务 Active Directory(AD)面临替换,国产ldap目录服务建设解决方案。
华为核心交换机,可以通过哪些方法限制未授权设备入网?分别举例说明一下
06-11
华为核心交换机可以通过以下几种方法限制未授权设备入网: 1. MAC地址认证:可以通过配置MAC地址认证,只有在认证名单内的设备才能够接入网络,其他未授权设备将无法连接。例如,可以在交换机中配置一个MAC地址白名单,只有白名单中的MAC地址才能够访问网络,其他MAC地址将被禁止访问。 2. 端口安全:可以通过配置端口安全,限制每个端口上允许的最大MAC地址数量,从而避免未授权设备入网。例如,可以在交换机中配置一个端口最大MAC地址数量,当某个端口上的MAC地址数量超过设定值时,新的设备将无法接入该端口。 3. 802.1x认证:802.1x认证是一种网络认证协议,可以通过配置802.1x认证,只有在认证通过的设备才能够接入网络,其他未授权设备将无法连接。例如,可以在交换机中配置802.1x认证,当一个设备接入网络时,需要输入用户名和密码进行认证,只有认证通过的设备才能够访问网络。 4. VLAN隔离:可以通过配置VLAN隔离,将不同的设备分配到不同的VLAN中,从而实现对不同设备的隔离和管理。例如,可以将所有无线设备分配到一个VLAN中,有线设备分配到另一个VLAN中,从而在网络层面上实现不同设备之间的隔离。 以上是四种限制未授权设备入网的方法,可以根据实际情况选择合适的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值