H3C MAC地址认证概述

    MAC 地址认证是一种基于端口和 MAC 地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了 MAC 地址认证的端口上首次检测到用户的 MAC 地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。若该用户认证成功，则允许其通过端口访问网络资源，否则该用户的 MAC 地址就被添加为静默 MAC。在静默时间内（可通过静默定时器配置），来自此 MAC 地址的用户报文到达时，设备直接做丢弃处理，以防止非法 MAC 短时间内的重复认证。

    注意：若配置的静态 MAC 或者当前认证通过的 MAC 地址与静默 MAC 相同，则 MAC 地址认证失败后的MAC 静默功能将会失效。

    目前设备支持两种方式的 MAC 地址认证：

    · 通过 RADIUS（ Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器进行远程认证。

    · 在接入设备上进行本地认证。

    目前， MAC 地址认证支持两种类型的用户名格式：

    · MAC 地址用户名：使用用户的 MAC 地址作为认证时的用户名和密码。

    · 固定用户名：不论用户的 MAC 地址为何值，所有用户均使用在设备上预先配置的用户名和密码进行认证。由于同一个端口下可以有多个用户进行认证，因此这种情况下端口上的所有MAC 地址认证用户均使用同一个固定用户名进行认证。

RADIUS服务器认证方式进行MAC地址认证

    当选用 RADIUS 服务器认证方式进行 MAC 地址认证时，设备作为 RADIUS 客户端，与 RADIUS服务器配合完成 MAC 地址认证操作：

    · 采用 MAC 地址用户名时，设备将检测到的用户 MAC 地址作为用户名和密码发送给 RADIUS服务器。

    · 采用固定用户名时，设备将已经在本地配置的用户名和密码作为待认证用户的用户名和密码，发送给 RADIUS 服务器。

    RADIUS 服务器完成对该用户的认证后，认证通过的用户可以访问网络。

本地认证方式进行MAC地址认证

    当选用本地认证方式进行 MAC 地址认证时，直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码：

    · 采用 MAC 地址用户名时，需要配置的本地用户名和密码为各接入用户的 MAC 地址。

    · 采用固定用户名时，需要配置的本地用户名为自定义的，所有用户对应的用户名和密码与自定义的一致。

MAC地址认证定时器

    MAC 地址认证过程受以下定时器的控制：

    · 离线检测定时器：用来设置设备用户空闲超时的时间间隔。如果在两个时间间隔之内，没有来自用户的流量通过，设备将切断用户的连接，同时通知 RADIUS 服务器，停止对该用户的计费。

    · 静默定时器：用来设置用户认证失败以后，设备停止对其提供认证服务的时间间隔。在静默期间，设备不对来自该用户的报文进行认证处理，直接丢弃。静默期后，如果设备再次收到该用户的报文，则依然可以对其进行认证处理。

    · 认证超时定时器：用来设置设备同 RADIUS 服务器的连接超时时间。在用户的认证过程中，如果认证超时定时器超时时设备一直没有收到 RADIUS 服务器的应答，则设备将在相应的端口上禁止此用户访问网络。

和MAC地址认证配合使用的特性

    1. 下发VLAN

    为了将受限的网络资源与未认证用户隔离，通常将受限的网络资源和用户划分到不同的 VLAN。MAC 地址认证支持认证服务器授权下发 VLAN 功能，即当用户通过 MAC 地址认证后，认证服务器支持将指定的受限网络资源所在的 VLAN 作为授权 VLAN 下发到用户认证的端口。该端口被加入到授权 VLAN 中后，用户便可以访问这些受限的网络资源。

    2. 下发ACL

    从认证服务器下发的 ACL 被称为授权 ACL，它为用户访问网络提供了良好的过滤条件设置功能。MAC 地址认证支持认证服务器授权下发 ACL 功能，即当用户通过 MAC 地址认证后，如果 RADIUS服务器上配置了授权 ACL，则设备会根据服务器下发的授权 ACL 对用户所在端口的数据流进行控制。为使下发的授权 ACL 生效，需要提前在设备上配置相应的 ACL 规则。而且在用户访问网络的过程中，可以通过改变服务器的授权 ACL 设置来改变用户的访问权限。

    3. 认证失败VLAN

    认证失败 VLAN（ Auth-Fail VLAN）功能允许用户在认证失败的情况下可以访问某一特定 VLAN 中的资源，比如获取客户端软件，升级客户端或执行其他一些用户升级程序。这个 VLAN 称之为认证失败 VLAN。需要注意的是，这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过，比如用户密码错误，而不是认证超时或网络连接等原因造成的认证失败。

    如果接入用户的端口上配置了认证失败 VLAN ，则该端口上认证失败的用户会被加入认证失败VLAN，即该用户被授权访问认证失败 VLAN 里的资源。若认证失败 VLAN 中的用户再次发起认证未成功，则该用户将仍然处于认证失败 VLAN 内；若认证成功，则会根据认证服务器是否下发 VLAN将用户加入到下发的 VLAN 中，或回到加入认证失败 VLAN 之前端口所在的 VLAN。