所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
混合认证

混合认证

MAC旁路认证

当接入设备接口下同时存在PC和打印机/传真机等哑终端时,如果仅配置802.1X认证,会导致打印机/传真机无法通过认证。此时可以通过MAC旁路认证功能,使不具备802.1X认证能力的哑终端能够通过MAC认证方式接入网络。MAC旁路认证流程如图2-38所示。

认证流程
图2-38  MAC旁路认证流程
  1. 在接入设备使能MAC旁路认证的接口上,接口收到用户终端的报文后,首先对该用户进行802.1X认证。
  2. 接入设备向终端发送一个Identity类型的请求帧(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。
  3. 如果在重传间隔内,接入设备未收到回应报文,会再次发送一个Identity类型的请求帧(EAP-Request/Identity)。
  4. 接入设备不断重复步骤2,直至收到用户终端的回应。当重传次数达到最大重传次数后,如果接入设备仍未收到回应,则向用户发送EAP请求失败报文。
  5. 此时,802.1X认证超时。接入设备将MAC认证用户名和密码发送到RADIUS服务器对该用户进行MAC认证。
  6. RADIUS服务器将收到的MAC认证用户名和密码与本地保存的用户名和密码进行比对,如果相同,则MAC认证成功,并向设备发送RADIUS认证接受报文。

MAC优先的Portal认证

MAC优先的Portal认证本质上是Portal认证,用来解决在无线环境下客户端用户通过Portal认证之后,因无线信号不稳定或客户端用户离开无线信号覆盖区域导致客户端用户掉线,客户端用户需要频繁在Web浏览器上输入用户名和密码重新认证才能接入网络。

认证流程

图2-39所示,客户端用户首次认证时,接入设备会把客户端的MAC地址发到RADIUS服务器进行认证,但由于RADIUS服务器未查找到MAC地址信息,导致认证失败,触发客户端用户进行Portal认证。认证成功后,RADIUS服务器会自动保存客户端的MAC地址。当客户端因无线信号不稳定或离开无线信号覆盖区域导致客户端掉线而重新尝试接入网络时,接入设备会把客户端的MAC地址发到RADIUS服务器进行认证。

  • 如果客户端的MAC地址还保存在RADIUS服务器,则RADIUS服务器校验用户名和密码(用户名和密码均为MAC地址)后,直接进行授权,用户授权后即可以直接访问网络,不需要再次输入用户名密码进行认证。
  • 如果客户端的MAC地址在RADIUS服务器已经过期,则RADIUS服务器会删除保存的客户端MAC地址。MAC地址认证失败之后,接入设备会向客户端用户推送Portal认证页面。客户端用户输入帐号和密码完成身份认证。
图2-39  认证流程图

带有Portal服务器的MAC认证

带有Portal服务器的MAC认证的原理是,接入设备和Cisco ISE服务器以Central Web Authentication (CWA)方式或者Aruba ClearPass服务器以Server-Initiated方式进行Portal对接时,接入设备仅需配置MAC认证,无需配置Portal认证,利用RADIUS服务器和Portal服务器实现Portal认证页面的弹出。Portal服务器收到客户端的Portal认证请求时,Portal服务器没有发起Portal认证,而是通知RADIUS服务器对客户端进行MAC重认证,从而进入MAC认证流程。

认证流程

带有Portal服务器的MAC认证报文交互流程如图2-40所示。

图2-40  带有Portal服务器的MAC认证
  1. 客户端连接到无线网络上之后,先进行MAC认证,发送Access-Request报文到RADIUS服务器。
  2. RADIUS服务器检查客户端MAC地址不在缓存中(第一次认证或者缓存超时),则回复认证成功并下发初始用户授权(只能访问Portal服务器、DNS服务器和DHCP服务器)以及重定向ACL和重定向URL(让客户端的HTTP请求重定向到Portal服务器登录页面)。如果客户端的MAC地址在缓存中,则授予客户端完整访问权限。
  3. 客户端获取到IP地址后,打开浏览器访问不允许访问的页面,接入设备会将客户端的HTTP请求重定向到Portal服务器登录页面(即重定向的URL)。
  4. 用户输入用户名和密码,向Portal服务器发送Portal认证请求。
  5. Portal服务器对用户名和密码做检查,如果检查通过则让RADIUS服务器对客户端进行MAC重认证,如果检查不通过,则不进行MAC重认证。
  6. RADIUS服务器通过DM报文或者CoA报文让接入设备对客户端进行MAC重认证。
  7. 接入设备向RADIUS服务器发送MAC认证请求。
  8. RADIUS服务器检查客户端已经认证成功则在Access-Accept报文中授权完整的访问权限,允许用户正常访问网络。如果认证失败,则重定向到认证失败页面。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29744

下载量:1207

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页