配置MAC认证
介绍配置MAC认证的详细操作和注意事项。
使用场景
MAC认证是一种基于设备端口和终端MAC地址对终端访问网络权限进行控制的认证方案。在终端连接到网络时,接入控制设备自动检测终端的MAC地址,然后自动把MAC地址当做帐号和密码发到RADIUS服务器进行身份认证。身份信息的有效性得到RADIUS服务器的校验之后,RADIUS服务器将会通知接入控制设备放开终端用户的网络访问权限。MAC认证通常用于打印机、IP电话等哑终端,无法通过用户名密码进行认证的场合;或者因特殊需要,不需要校验用户名密码只校验终端MAC地址认证的场合。这些终端通常无法主动触发身份认证请求,需要通过接入控制设备向RADIUS服务器主动发起认证来接入网络。
任务概览
操作步骤
- 配置接入控制设备。
- 作用
MAC认证是接入控制设备向RADIUS服务器主动发起认证,所以在接入控制设备上必须要进行RADIUS认证相关配置。
- 入口
通过Console或SSH的方式登录接入设备的CLI。
- 关键配置说明
请参见MAC认证的配置举例。
- 作用
- 在Agile Controller-Campus中添加接入设备。
- 作用
Agile Controller-Campus需要将设备纳入管理范围,并与设备上配置的对接参数一致,才能实现与接入设备联动。
- 入口
选择。
- 关键配置说明
- 认证计费密钥:与RADIUS模板下配置的radius-server shared-key值一致。
- 授权密钥:与系统视图下配置的radius-server authorization 172.18.1.1 shared-key cipher Admin@123值一致。
- 实时计费周期:与计费模板下配置的accounting realtime值一致。
- 作用
- 增加MAC认证的终端。
- 作用
MAC认证是通过终端MAC地址验证终端的身份,需要将终端手动添加到终端设备列表中,终端才能正常认证。
- 入口
- 选择。
- 在“设备组”列表中选中首节点,在右侧单击“增加”,添加MAC认证的设备组。
- 在“设备组”列表中单击新创建的设备组,在右侧增加MAC认证的终端。
- 单个增加
单击“设备列表”页签,单个增加MAC认证的终端。
- 批量增加
单击“设备组列表”页签,单击“导入”,批量增加MAC认证的终端。
- 单个增加
- 关键配置说明
参数
说明
终端类型
- 未知类型:暂时未能够识别终端属于哪种类型的设备,这是默认值,需要Agile Controller-Campus继续进行识别。
- 固定终端:通过有线网络方式接入的终端。例如台式机。
- 移动终端:通过无线网络方式接入的终端。例如平板电脑。
- 哑终端:功能比PC弱,本身不具有处理器和硬盘,需要依赖主机才能进行处理业务的终端。例如网络打印机、IP电话。
静态指派策略
- 启用:Agile Controller-Campus只尝试“匹配策略”中设置的策略对设备进行识别。如果管理员了解目标设备的类型,可通过静态指派策略来提高设备识别的效率和准确性。
- 禁用:Agile Controller-Campus会自动选择策略来识别设备。这是默认值。当管理员不了解设备类型时请选择此选项。
Agile Controller-Campus会使用规则库对初步收集的设备信息进行匹配。如果发现规则库中其中一条规则匹配设备信息,则根据该规则在识别策略中进行查找,找到所有包含该规则的所有识别策略。最后再根据识别策略对设备信息进行评估,得分最高的策略就是确定设备类型。
匹配策略
在启用“静态指派策略”的情况下,这里需要继续设置识别策略的名称。所有策略的名称可以在找到。
自定义设备组
- 启用:Agile Controller-Campus直接把设备加入目标设备组,而不再由Agile Controller-Campus对该设备进行自动分组。如果管理员了解目标设备的类型,可通过自定义设备组来设置,可实现手工精确加入设备组。
- 禁用:Agile Controller-Campus会自动识别设备类型并自动把当前设备加入设备组。这是默认值。当管理员不了解设备类型时请选择此选项。
设备组
在启用“自定义设备组”的情况下,这里需要继续设置设备组的名称。所有设备组名称可以在找到。
XMPP设备IP
这三个参数主要应用于如下场景:终端全部采用MAC认证接入网络,交换机作为DHCP服务器为终端分配IP地址。管理员希望终端认证完成后交换机为每个MAC地址分配的IP地址都是固定的。管理员在Agile Controller-Campus上创建终端MAC地址和IP地址的对应关系,并将该对应关系通过XMPP协议下发给交换机,使得交换机每次为终端分配的IP地址都是固定的。
“地址池类型”和“地址池名称”需要与交换机上配置的一致。- 如果“地址池类型”选择“接口地址池”,则需要输入vlanif端口号。
- 如果“地址池类型”选择“全局地址池”,则需要输入全局地址池的名称。
详细的配置方法请参见配置哑终端MAC-IP绑定并集中部署。
地址池类型
地址池名称
- 作用
- 配置认证规则。
- 作用
MAC认证不需要输入用户名和密码认证,与普通认证的业务类型不一样,所以无法使用默认的认证规则,需要单独配置认证规则。
- 入口
选择。
- 关键配置说明
“业务类型”请选择“MAC旁路认证业务”。
- 作用
- 配置授权规则。
- 作用
Agile Controller-Campus通过授权规则为终端授权,默认的授权规则不适用于MAC认证,需要单独配置授权规则。
- 入口
选择。
- 关键配置说明
- 增加授权规则时,“业务类型”请选择“MAC旁路认证业务”。
- 根据规则的优先级,Agile Controller-Campus将终端接入的信息与授权规则的授权条件匹配。当终端接入的信息与某条授权规则的所有授权条件都匹配时,Agile Controller-Campus授予终端该条授权规则的授权结果定义的权限。
- 作用
- 终端接入网络。
终端连接网络后,自动进行认证,认证通过后可访问认证后域的资源。
终端认证成功后:- 在设备上执行命令display access-user,可以看到终端MAC地址的在线信息。
- 在业务管理器选择,可以看到终端的在线信息。
- 在业务管理器选择,可查到终端的RADIUS认证日志。
如果终端认证不成功,在Agile Controller-Campus上新建一个帐号,登录设备,执行test-aaa user-name user-password radius-template template-name pap命令测试帐号是否能够通过RADIUS认证。- 如果测试结果显示Info: Account test succeed,表明该帐号可以通过RADIUS认证,则故障出现在接入认证阶段,请检查终端和接入设备之间的网络连接。
- 如果测试结果显示Error: Account test time out,表明该帐号无法通过RADIUS认证,则故障出现在RADIUS认证阶段,请检查Agile Controller-Campus和接入设备上RADIUS服务器的对接参数配置是否一致。
执行test aaa命令只是用来测试用户是否能够通过RADIUS认证,并没有经过RADIUS计费的交互过程,所以test aaa命令执行完成后,Agile Controller-Campus中能够看到RADIUS日志,但是看不到用户的在线信息。
任务示例
- 在管理员不了解设备详细信息的场景下如何填写Excel表
在不了解设备详细信息的场景下,仅需要填写设备的MAC地址和设备组,“设备组”请填写“未识别列表”。
- 在管理员了解设备详细信息的场景下如何填写Excel表
在管理员了解设备类型的场景下,为了提高设备识别的效率和准确度,允许管理员手工设置识别策略,Agile Controller-Campus直接使用管理员设置的识别策略对设备进行识别,从而跳过逐条识别策略进行匹配并评分的环节。
在这种情况下,除了需要填写“设备MAC”,管理员还需要把“静态指派策略”设为“启用”,并在“匹配策略”填写识别策略的名字,而“设备组”请填写“未识别列表”,由Agile Controller-Campus自动识别设备组。
- 在管理员手工把设备加入指定设备组的场景下如何填写Excel表
在默认情况下,Agile Controller-Campus在自动识别设备时是根据设备类型来分组的。如果管理员希望通过手工方式把设备加入指定的设备组,以便实现更加灵活的分组方式,从而改变Agile Controller-Campus对设备进行自动分组的行为。
在这种情况下,除了需要填写“设备MAC”,管理员还需要把“自定义设备组”设为“启用”,并在“设备组”填写具体的设备组名字。
- 在管理员想标识设备接入位置的场景下如何填写Excel表
- 对于经常维护的设备,管理员需要知道这些设备的位置,以便在这些设备出现问题时能够快速找到这些设备。通过接入设备的IP地址和连接的接口可以方便的定位设备的位置。
在这种情况下,除了需要填写“设备MAC”,管理员还需要填写“接入设备IP”和“接入设备端口”,“设备组”请填写“未识别列表”。
