mac位址認證是一種基於埠和mac位址對使用者的網路訪問許可權進行控制的認證方法,它不需要使用者安裝任何客戶端軟體。裝置在首次檢測到使用者的mac位址以後,即啟動對該使用者的認證操作。認證過程中,也不需要使用者手動輸入使用者名稱或者密碼。
l 通過radius(remote authentication dial-in user service,遠端認證撥號使用者服務)伺服器認證。
l 本地認證。
認證方式確定後,可根據需求選擇mac認證使用者名稱的型別,包括以下兩種方式:
l 採用mac位址使用者名稱時,裝置將檢測到的使用者mac位址作為使用者名稱和密碼傳送給radius伺服器。
l 採用固定使用者名稱時,裝置將已經在本地配置的使用者名稱和密碼作為待認證使用者的使用者名稱和密碼,傳送給radius伺服器。
radius伺服器完成對該使用者的認證後,認證通過的使用者可以訪問網路。
l 採用mac位址使用者名稱時,需要配置的本地使用者名為各接入使用者的mac位址。
l 採用固定使用者名稱時,需要配置的本地使用者名為自定義的,所有使用者對應的使用者名稱和密碼與自定義的一致。
l 下線檢測定時器:用來設定裝置使用者空閒超時的時間間隔。如果在兩個時間間隔之內,沒有來自使用者的流量通過,裝置將切斷使用者的連線,同時通知radius伺服器,停止對該使用者的計費。
l 靜默定時器:用來設定使用者認證失敗以後,裝置需要等待的時間間隔。在靜默期間,裝置不處理該使用者的認證功能,靜默之後裝置再重新對使用者發起認證。
l 伺服器超時定時器:用來設定裝置同radius伺服器的連線超時時間。在使用者的認證過程中,如果伺服器超時定時器超時,裝置將在相應的埠上禁止此使用者訪問網路。
當乙個mac位址認證失敗後,此mac就被新增為靜默mac,在靜默時間內,來自此mac位址的資料報文到達時,裝置直接做丟棄處理。靜默mac的功能主要是防止非法mac短時間內的重複認證。
若配置的靜態mac或者當前認證通過的mac位址與靜默mac相同,則此mac位址的靜默功能失效。
為了將受限的網路資源與使用者隔離,通常將受限的網路資源和使用者劃分到不同的vlan。當使用者通過身份認證後,受限的網路資源所在的vlan會作為授權vlan從授權伺服器上下發。同時使用者所在的埠被加入到此授權vlan中,使用者可以訪問這些受限的網路資源。
從授權伺服器下發的acl被稱為授權acl,它為使用者訪問網路提供了良好的過濾條件設定功能。當使用者上線時,如果radius伺服器上配置了授權acl,則裝置會根據伺服器下發的授權acl對使用者所在埠的資料流進行控制。而且在使用者訪問網路的過程中,可以通過改變伺服器的授權acl設定來改變使用者的訪問許可權。
guest vlan功能允許使用者在未認證或者認證失敗的情況下,可以訪問某一特定vlan中的資源,比如獲取客戶端軟體,公升級客戶端或執行其他一些使用者公升級程式。這個vlan稱之為guest vlan。
mac位址認證支援基於mac的guest vlan (mac-based guest vlan),簡稱mgv。如果接入使用者的埠上配置了mgv,則該埠上認證失敗的使用者會被加入guest vlan,即該使用者被授權訪問guest vlan裡的資源。
若guest vlan中的使用者再次發起認證未成功,則該使用者將仍然處於guest vlan內;若認證成功,則會根據認證伺服器是否下發vlan將使用者加入到下發的vlan中,或回到加入guest vlan之前埠所在的vlan。
MAC位址和IP位址介紹
每乙個網絡卡都有乙個6位元組 48bit 的mac位址 media access control address 全球唯一,固化在網絡卡的rom中,由ieee802標準規定 前3個位元組 out organizationally unique identifier 組織唯一識別符號,由ieee的註冊...
MAC位址IP位址閘道器位址
對於網路上的某一裝置,如一台計算機或一台路由器,其ip位址是基於網路拓撲設計出的,同一臺裝置或計算機上,改動ip位址是很容易的 但必須唯一 而mac則是生產廠商燒錄好的,一般不能改動。我們可以根據需要給一台主機指定任意的ip位址,如我們可以給區域網上的某台計算機分配ip位址為192.168.0.11...
MAC位址表 埠安全 MAC位址偏移
4.mac位址表 2.埠安全 mac位址偏移 1.組成 mac位址為48位 6位元組 前24bit是通過向ietf等機構申請用來表示廠商的 後24bit是廠商分配給產品的唯一數值。2.分類 3.交換機對資料幀的三種處理行為 3.常見mac位址 位址用處 01 00 5e 0x xx xx ipv4組...