基于无线场景的本地MAC地址认证方案

关于MAC地址认证的场景

MAC地址认证最早出现在有线交换机上面，对于接入交换机的口开启MAC认证，对应的终端MAC通过了数据才能正常通过这个口转发出去，随着无线应用的广泛，MAC地址认证也应用在了无线组网里面，在前几年可能应用的还是比较多，但随着智能手机的一些功能（一个叫做随机MAC的功能）出现、更多认证方式的出现、MAC地址认证带来的一些问题，导致MAC地址认证单独使用的场景越来越少了。

MAC认证流程

在MAC认证过程中，AC会把用户的数据发送给radius服务器进行交互，交互的时候会对用户信息进行认证处理，处理数据加密方式为PAP与CHAP。

1、终端接入WIFI后，AC（接入设备）发现VAP启用了MAC认证功能，触发MAC认证流程

2、AC会随机生成一个MD5挑战秘钥，并且使用这个秘钥对MAC的用户信息进行加密，然后把原始用户信息，加密的用户信息以及MD5的挑战秘钥发送给radius服务器，让radius服务器对终端的MAC进行认证处理（这里注意并不是单纯的把用户信息直接发给radius服务器，中间有一个加密过程）

3、radius服务器收到AC发过来的信息后，会提取里面的MD5挑战秘钥以及原始用户信息，然后对本地数据库中存在的对应MAC用户信息也用MD5加密以此，得到的结果跟AC发过来的结果相同，则告诉AC认证接受（通过），允许接入网络，反之，则认证失败，拒绝接入。

PS：PAP与CHAP的加密方式，区别在于PAP对原始信息加密一次，而CHAP则加密两次，具体采用PAP还是CHAP，在实际环境中要考虑服务器的配置权是否属于自己，如果是其他人负责，则需要根据协商来。当然我们也可以采用本地认证方式。

MAC认证授权

在我们对认证进行认证通过后，我们还可以对通过的用户进行授权，比如授予哪个VLAN、可以访问哪些资源（ACL），授权分为本地授权以及服务器认证。

• 授权方法为本地授权时，用户从域下获取授权信息。
• 授权方法为服务器授权时，用户从服务器和域下获取授权信息。域下配置的授权信息比服务器下发的授权信息优先级低，如果两者的授权信息冲突，则服务器下发的授权优先生效；如果两者的授权信息不冲突，则两者的授权信息同时生效。这样处理可以通过域管理进行灵活授权，而不必受限于服务器提供的授权。
• 上面提到的都是认证通过后的，我们还可以基于认证前给予一些授权信息，比如认证前在哪个VLAN，认证失败后在哪个VLAN，以及认证服务器出现故障后如何处理。

MAC用户下线

当用户下线后，我们需要能够感知到用户的离开，否则会出现一些问题。

（1）Radius服务器会对用户进行计费，造成计费失误

（2）可能被非法用户仿冒合法用户进行接入网络

（3）已经下线的用户，如果还存在用户信息记录，对设备资源是一种消耗。

所以，接入设备（AC）需要能够感知到用户下线，即时删除用户信息，如果对接外部数据库的时候，需要通知外部服务器。

新知识点学习

在配置MAC地址认证的时候，我们首先要回顾下NAC的配置流程，不管是哪种思路都是（1）配置接入模板 （2）配置认证模板 （3）应用到VAP模板。

配置接入模板

mac-access-profile name ：创建一个接入模板，默认存在一个mac_access_profile名字模板

默认存在一个模板名字叫做 mac_access_profile，内容为一些用户名的格式，是否重认证以及周期，是否绑定了认证模板。

1、这里我们主要来了解下用户名的格式
[AC6005]mac-access-profile
name mac
[AC6005-mac-access-profile-mac]mac-authen
username macaddress
我们创建一个接入模板为MAC，然后定义mac认证的用户名为MAC地址就可以直接回车了，我们都知道MAC地址在不同的系统表示方式不太一样。
0005-e01c-02e3、
00-05-e0-1c-02-e3
0005:e01c:02e3
00:05:e0:1c:02:e3
0005e01c02e3
默认为最后这一种不带-也不带:的0005e01c02e3，如果我们想要配置成其他格式的，那么我们需要改参数。

在macaddress后面还有歌format参数，指定MAC地址的格式。其中：
with-hyphen：指定MAC地址带有分隔符“-”，例如“0005-e01c-02e3”。
with-hyphennormal：指定MAC地址带有分隔符“-”，例如“00-05-e0-1c-02-e3”。
with-hyphencolon：指定MAC地址带有分隔符“:”，例如“0005:e01c:02e3”。
with-hyphen normalcolon：指定MAC地址带有分隔符“:”，例如“00:05:e0:1c:02:e3”。
without-hyphen：指定MAC地址不带有分隔符“-”或“:”，例如“0005e01c02e3”。
Uppercase：指定用户名的形式为大写。
可以根据实际环境选择对应的格式，通常用without-hyphen最多。

2、采用PAP还是CHAP认证
mac-authenauthentication-method可以通过这个修改，默认采用PAP方式

3、MAC重新认证
mac-authenreauthenticate  ：默认没启用重新认证功能
mac-authentimer reauthenticate-period ：重新认证的时间间隔，默认是1800s，只有开启重新认证功能才生效。

MAC地址本地认证案例

对于MAC认证本地方式的话，配置全部在AC上面，包括用户信息（当然AR路由器充当AC的时候也支持），那么我们在配置之前需要注意这些问题。

1、MAC认证的用户名的格式为without-hyphen，就是0005e01c02e3没任何符号的，在创建用户名密码的时候可以统一为0005e01c02e3

2、认证模板本地我们可以采用默认或者是自定义，推荐养成自定义的习惯。

3、如果需要授权，我们可以对于认证后的用户进行本地授权，并且要考虑如果授权了VLAN后，数据VLAN放行的情况。

1、基本组网省略（已经第十八篇了，基础配置还不会，该反省了）

基本环境就是Partners属于VLAN2， office属于VLAN3，开放式接入，都可以连接上，在这个基础上面，我们来做MAC地址认证。

AAA里面提示 认证类型是none

2、MAC本地认证配置

（1）配置MAC接入模板

[AC6005]mac-access-profile name mac

不需要配置任何参数，因为默认就是基于without-hyphen的用户名方式

（2）配置认证模板，认证模板分为认证方式、AAA方案、授权信息等

[AC6005]aaa
[AC6005-aaa]authentication-schememac
[AC6005-aaa-authen-mac]authentication-modelocal
[AC6005-aaa-authen-mac]q
定义了一个认证方式方案叫MAC，认证方式为local

[AC6005-aaa]local-user548998fc5e4b password  cipher548998fc5e4b
Error: The passwordcannot be the same as a user name or an inverted user name.

当配置本地认证信息的时候，可以看到用户名跟密码一致会提示错误，说密码不能包含用户名的信息。

解决方法：

[AC6005]mac-access-profilename mac
[AC6005-mac-access-profile-mac]mac-authenusername macaddress format without-hyphen password cipher Test@123
Info: The passwordshould meet the complexity check requirement.
定义一个通用密码，然后我们把本地信息的用户信息密码都设置这个。

[AC6005-aaa]local-user548998fc5e4b password  cipher Test@123
[AC6005-aaa]local-user548998fc5e4b service-type 8021x

[AC6005]authentication-profilename mac
[AC6005-authentication-profile-mac]mac-access-profilemac
[AC6005-authentication-profile-mac]authentication-schememac
定义一个认证模板，关联认证方式、接入模板，这里没有授权，所以不需要调用。

（3）调用认证模板到VAP
[AC6005-wlan-view]vap-profile  name Partners
[AC6005-wlan-vap-prof-Partners]authentication-profilemac
Warning: This actionmay cause service interruption. Continue?[Y/N]y

[AC6005-wlan-view]vap-profilename office
[AC6005-wlan-vap-prof-office]authentication-profilemac
Warning: This actionmay cause service interruption. Continue?[Y/N]y

总结下整个配置流程：（1）配置接入模板（采用哪种NAC认证） （2）配置认证模板：认证模板里面分为认证方式（采用本地还是外部数据库） 如果是本地认证则配置本地用户信息（这里MAC地址用户名密码不能一致，所以采用通用密码方式解决），如果是外部数据库还需要配置radius等服务器的对接参数，还可以调用授权。（该实例就定义了认证方式为本地，然后配置了本地用户信息，然后调用了接入模板） （3）把认证模板在VAP里面调用。

测试，可以连接，但是我们怎么判断它是不是属于MAC地址认证呢？

display mac-auten：查看MAC认证，可以看到有这个MAC的用户信息

display access-user detail：查看用户信息的时候也可以看到AA的用户类型

可以看到type是提示的 MAC authentication

点击连接，连不上。

这时候可以用到我们之前学过的一个排错命令

display station online-fail-record all

display aaa online-fail-record all：查看aaa失败的原因

提示认证失败，认证失败的原因是因为我们没有这个用户名的本地信息，创建即可。

[AC6005-aaa]local-user54899886606e password cipher Test@123

[AC6005-aaa]local-user54899886606e service-type 8021x

已经连接成功，因为我们已经添加了本地用户信息，这个时候在来试试office。

office是先密码认证，密码认证城后在进行MAC地址认证。

可以的，因为这个用户名在本地数据库里面。

可以看到连的是Office，然后采用MAC地址认证方式。

总结

1、对于从老版本过来的童鞋，一定要适应新版本的模板

2、思路就是（1）定义接入模板，采用什么NAC接入方式（2）定义认证模板（包括认证方式、授权，以及AAA，然后关联接入模板） （3）把认证模板关联到VAP里面

3、本地认证的时候注意帐号密码在AC新版本里面都不能是包含用户名，我们解决办法是设置一个通用密码。

4、对MAC地址的认证流程有一个了解，然后了解查认证成功或者失败后如何去排查。