集中式mac地址认证解决家属区路由器认证问题

集中式MAC地址认证实现路由器上网

目录

集中式MAC地址认证实现路由器上网... 1

一:背景... 1

二:技术分析... 1

三:测试总结... 2

测试一:IMC+MAC地址认证固定用户名... 2

测试二:IMC+MAC地址认证MAC用户名... 3

测试三:MAC地址用户名认证+802.1X同时存在... 3

测试四:MAC 地址用户名认证+802.1X同时存在,采用不同的认证域... 4

四:技术问答... 4

五:测试总结... 5

一:背景

家属区无线路由器设备增多,先前采用的腾达W302R路由器不仅成本昂贵而且稳定性不佳,另外腾达W302R的停产更为家属区路由器的接入带来困难。找到一种成本低稳定性高的方法迫在眉睫。考虑到家属区并不需要安全检查,刘西洋主管提出采用MAC地址认证+IMC服务器的方法,针对这一设想进行了测试,最后证明IMC服务器可行。

二:技术分析

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。

目前华三设备支持两种方式的MAC地址认证:

  • 通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器认证。
  • 本地认证。

认证方式确定后,可根据需求选择MAC认证用户名的类型,包括以下两种方式:

  • MAC地址用户名:使用用户的MAC地址作为认证时的用户名和密码;
  • 固定用户名:不论用户的MAC地址为何值,所有用户均使用在设备上预先配置的本地用户名和密码进行认证。

RADIUS服务器认证方式进行MAC地址认证

当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,RADIUS服务器配合完成MAC地址认证操作:

  • 采用MAC地址用户名时,设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。
  • 采用固定用户名时,设备将已经在本地配置的用户名和密码作为待认证用户的用户名和密码,发送给RADIUS服务器。

RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。

本地认证方式进行MAC地址认证

当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:

  • 采用MAC地址用户名时,需要配置的本地用户名为各接入用户的MAC地址。
  • 采用固定用户名时,需要配置的本地用户名为自定义的,所有用户对应的用户名和密码与自定义的一致。

节选自http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Technology_recommend/200805/605910_30003_0.htm

三:测试总结

根据家属区的网络结构测试方案采用集中式的MAC地址认证。采用RADIUS服务器认证,进行了四次测试。

测试一:IMC+MAC地址认证固定用户名

1:交换机配置:

配置认证方案与认证域,配置步骤不再讲,配置结果如下。

radius scheme huawei ####创建认证方案####

server-type extended

primary authentication 10.1.17.XX

primary accounting 10.1.17.XX

key authentication cams

key accounting cipher cams

user-name-format without-domain

domain Huawei####创建认证域####

authentication default radius-scheme huawei

authorization default radius-scheme huawei

accounting default radius-scheme huawei

access-limit disable

state active

idle-cut disable

self-service-url disable

配置MAC地址认证,主要的配置步骤如下

[H3C]mac-authentication####全局开启MAC地址认证####

[H3C]mac-authentication timer offline-detect 60 ####用户下线检测60S一次####

[H3C]mac-authentication timer quiet 60####用户静默时间为60S####

[H3C]mac-authentication domain Huawei ####MAC认证与未huawei ####

[H3C]mac-authentication user-name-format fixed account aaa password cipher 123321

####配置MAC认证采用固定用户名####

[H3C]interface Ethernet1/0/1

[H3C-Ethernet1/0/1]mac-authentication####开启端口MAC地址认证####

[H3C]interface Ethernet1/0/8

[H3C-Ethernet1/0/8]mac-authentication

2IMC管理中心配置

在imc中添加接入用户名:aaa、密码123321,用于MAC地址固定用户名认证测试

3:测试结果

<H3C>dis connection

Index=155 , [email protected]

 IP=N/A

 IPv6=N/A

 MAC=5c26-0a5f-800a

1:所有同一交换机上开启MAC地址认证的端口下的用户使用统一的用户名aaa,密码123321认证成功。

2:采用固定用户名的方式由于同一交换机上的所有用户使用同一用户名认证所以不能绑定端口,不能限制上线人数。

3:多个用户名使用同一用户名密码,安全性不高,不能针对用户计费,但是管理方便。

测试二:IMC+MAC地址认证MAC用户名

1:交换机配置:

交换机配置与测试一基本相同唯一变为的地方如下:

[H3C]mac-authentication user-name-format mac-address####修改用户模式为mac-address

2IMC管理中心配置

在imc中添加接入用户名:5c26-XXXX-800a、密码5c26-XXXX-800a,用于MAC地址认证测试

3:测试结果

<H3C>dis connection

Index=153 , [email protected]

 IP=N/A

 IPv6=N/A

 MAC=5c26-0a5f-XXXX

1:设备使用MAC地址作为用户名密码能认证成功

2:端口绑定、MAC地址绑定均生效。有一定安全性。并且结合dhcp配置能限制静态用户的接入。

测试三:MAC地址用户名认证+802.1X同时存在

1:交换机配置

交换机配置与测试二基本相同,只需在全局和测试端口开启802.1X。

2IMC管理中心配置

在imc中添加接入用户名:7845c4095XXX、密码7845c409XXXX,用于MAC地址认证测试

在imc中添加接入用户名:test、密码:test,用于802.1x测试

3:测试结果

<H3C>dis connection

Slot:  1

Index=151 , [email protected]

 IP=N/A

 IPv6=N/A

 MAC=5c26-0a5f-XXXX

Index=152 , [email protected]

 IP=N/A

 IPv6=N/A

 MAC=7845-XXXX-5291

 Total 2 connection(s) matched on slot 1.

 Total 2 connection(s) matched.

MAC地址认证与802.1x认证均正常,两者没有影响。

测试四:MAC 地址用户名认证+802.1X同时存在,采用不同的认证域

1:交换机配置

交换机配置与测试三基本相同,需添加新的认证域h3c

radius scheme h3c

primary authentication 10.1.17.XX

primary accounting 10.1.17.XX

key authentication cipher $c$3$nXU56kCAnh9OvzV9MBOqzGiBq2BrXxw=

key accounting cipher $c$3$QyktU6TqevtfdpANwjJTKJbaB7sPOxM=

user-name-format without-domain

domain h3c

authentication default radius-scheme h3c

authorization default radius-scheme h3c

accounting default radius-scheme h3c

access-limit disable

state active

idle-cut disable

self-service-url disable

mac地址认证与采用h3c

[H3C]mac-authentication domain h3c

2IMC管理中心配置

在imc中添加接入用户名:7845c4095XXX、密码7845c4095XXX,用于MAC地址认证测试

在imc中添加接入用户名:test、密码:test,用于802.1x测试

3:测试结果

[H3C]dis connection

Slot:  1

Index=157 , [email protected]

 IP=N/A

 IPv6=N/A

 MAC=7845-c409-XXXX

Index=158 , Username=PG5TFxBZOid+QkFoKAt3LkTUfx8=  [email protected]

 IP=N/A

 IPv6=N/A

 MAC=5c26-0a5f-XXXX

四:技术问答

  • 问:MAC地址认证与802.1x认证之间会不会有影响?

不会,测试三可以看出没有影响

  • 问:不同的域会不会对认证有影响?

不会,测试四可以看出没有影响,另外认证时配置的是without-domain,理论推断也不会有影响。

  • 问:两种方式MAC地址用户名、固定用户名哪个更适合家属区?

MAC地址用户名更适合,固定用户名虽然方便但是不够安全,而且不能绑定端口等信息。在财务收费方面不能满足需求,

五:测试总结

1:家属区应该采用IMC+MAC地址用户名认证的方式(对应测试三)。

2:IMC+MAC地址用户名认证可以解决家属区路由器认证问题,不需要特定路由器成本低,认证对用户来说是透明的,但是用户缴费时会带来不便。

3:IMC+MAC地址认证对目前的家属区接入环境不会产生影响。可以实现平滑过渡。

4:今后再有家属区需要路由器接入时,可以采用此种方法,在使用的同时进行测试。必要时可以对先前的路由器进行修改过渡到是所有的路由器都使用MAC地址认证。

时间: 2024-08-18 09:00:05

集中式mac地址认证解决家属区路由器认证问题的相关文章

集中式MAC地址认证实现路由器上网

集中式MAC地址认证实现路由器上网 集中式MAC地址认证实现路由器上网... 1 一:背景... 1 二:技术分析... 1 三:测试总结... 2 测试一:IMC+MAC地址认证固定用户名... 2 测试二:IMC+MAC地址认证MAC用户名... 3 测试三:MAC地址用户名认证+802.1X同时存在... 3 测试四:MAC 地址用户名认证+802.1X同时存在,采用不同的认证域... 4 四:技术问答... 4 五:测试总结... 5 一:背景 家属区无线路由器设备增多,先前采用的腾达W

局域网内两台9303 的管理vlan mac地址冲突解决方法

公司内网是由多台9306组成的环形传输网络,近几天增加一个新的节点,将设备加入环网内发现 管理 vlan 99 下的 10.9.9.12 和 10.9.9.76(新增节点)在管理设备时 经常掉线,非常不稳定,通过排查发现 只有管理vlan 99 存在这个现象  其它业务vlan正常,业务也未受任何 影响,当时割接结束.过了几天问题越发严重,甚至有时这两台设备都无法管理,再次进行排查发现,是由于10.9.9.76 10.9.9.12 使用了相同的mac,导致同一个vlan 下的两个Ip 具有相同的

如何克隆路由器MAC地址,怎么操作?

路由器的“MAC地址克隆”的意思是: 不克隆时,从外网访问你的电脑,获得的MAC地址是路由器的mac地址. 克隆后,从外网访问你的电脑,获得的MAC地址是你电脑网卡的mac地址. 实用举例如下: 中国电信宽带用户被电信限制只能用一台电脑上网(假设这台电脑的网卡的MAC地址是11-11-11-11-11-11),你换了一台电脑(假设这台电脑的网卡的MAC地址是22-22-22-22-22-22)后,肯定上不了网的.由于电信只允许MAC地址是11-11-11-11-11-11的电脑上网,即锁定了MA

绕过MAC地址认证接入目标网络

仅供学习,禁止非法用途. 在本教程中,我将介绍如何绕过无线网络上的MAC地址过滤. MAC地址代表媒体访问控制地址,是分配给你的网络接口的唯一标识符,这有两个重要的含义:它可以用来识别试图访问网络的黑客或合法网络测试人员,并且可以用作验证个人身份并授予他们访问网络的手段.MAC过滤对于保护公司网络和数据或防止网络被WiFi入侵是完全没用的,因为它很容易绕过. 在本教程中,我们将通过欺骗已连接客户端的MAC地址绕过路由器上的MAC过滤.已连接客户端的MAC地址已列入白名单,否则将无法连接到无线网络

OpenWRT TP_LINK703N 校园网 锐捷认证解决办法

OpenWRT TP_LINK703N 校园网 锐捷认证解决办法 一.准备的工具 1)      SSH登录工具,推荐使用MobaXterm_Personal下载链接https://moba.en.softonic.com:这款SSH功能很强大,它集成了很多功能,也是很多电脑爱好者所喜欢的 2)      703N的OpenWrt的固件openwrt-15.05-ar71xx-generic-tl-wr703n-v1-squashfs-factory.bin:可以到http://download

网络编程懒人入门(九):通俗讲解,有了IP地址,为何还要用MAC地址?

1.前言 标题虽然是为了解释有了 IP 地址,为什么还要用 MAC 地址,但是本文的重点在于理解为什么要有 IP 这样的东西.本文对读者的定位是知道 MAC 地址是什么,IP 地址是什么. (本文同步发布于:http://www.52im.net/thread-2067-1-1.html) 2.关于作者 翟志军,个人博客地址:https://showme.codes/,Github:https://github.com/zacker330.感谢作者的原创分享. 作者的另一篇<即时通讯安全篇(七)

如果重新设计网络,有没有可能合并IP地址跟MAC地址?

前阵子看网络基础相关的书籍,冒过一个疑问,为什么要有MAC地址跟IP地址?两者可否合二为一? 现在的逻辑是这样子:在数据传输过程中,路由器查看这个数据包的IP地址,跟路由表中记录的“IP集合:下一跳的mac地址”做对照,确定了要往那边扔:网卡在接收数据的时候,也会看看这个数据包中记录的目标MAC地址是不是自己,只接收自己的. MAC地址是数据链路层使用到的,IP地址是网络层使用到的.MAC地址是硬件的物理属性,在网卡上固定不变,IP地址是逻辑属性. 所以,因为网络分层的设计,很自然的就想到要使用

VMware ESXI5.5虚拟机更改MAC地址

上周在盘点和整理服务器信息时,发现一台去年上线的临时服务器(POS查货系统)还运行在PC机上.看样子公司是不打算换新服务器了,为防止出意外打算迁移到VMware虚拟机上.现有vSphere环境可利用资源不多,遂打算把前年更换的A8服务器(已更换OA系统,但原数据要保留3年以上供查询.硬件资源使用率不到一半)重装成vSphere环境,再迁移POS系统到A8服务器上.实施步骤: 一.P2V迁移A8系统到vCenter6.5(ESXI主机为5.5,IBMx3650M2兼容性问题不建议升级),迁移过程比

同源虚拟机MAC地址网络冲突

问题: 建立了一个linux系统的虚拟机,接着把虚拟机复制两份,分别打开两个虚拟机,会提示是 "移动"还是"复制",如果是"移动"则不会改变当前虚拟机的物理MAC地址,而另外一台虚拟机还是选择"移动"的话,则物理MAC地址跟前一台虚拟机都是同样的物理MAC地址,这样就会造成网络冲突,最后开启的虚拟机无法跟真实的物理机器进行网络通信. ? ? 解决:如果复制来于同一个源文件虚拟机,可以生成新的物理MAC地址来解决冲突问题. 原文