一、MAC 认证原理

1、MAC认证是什么？

MAC 认证，是指终端网络接入控制设备自动获取终端的 MAC 地址，作为接入网络的凭证发到RADIUS 服务器进行校验。

MAC 认证是一种基于接口和 MAC 地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了 MAC 认证的接口上首次检测到用户的 MAC 地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。

2、MAC认证的特点

（1）不需要在终端安装认证客户端；

（2）终端无需输入账号和密码，认证自动进行；

（3）安全性比 802.1X 和 Portal 低。

安全性比较低的原因是：因为 MAC 地址很容易被仿冒。建议只在网络打印机、IP电话应用 MAC 认证方案，在授权时只开放开展业务所需的网络访问权限。

3、MAC认证应用场景

MAC 认证适用于无法安装认证客户端的终端（例如 IP 电话、网络打印机、摄像头），以 MAC 地址作为用户和密码自动接入网络的场景。

4、用户名形式

根据接入设备最终用于验证用户身份的用户名格式和内容的不同，可以将 MAC 认证使用的用户名格式分为三种类型：

（1）MAC 地址格式

设备使用用户的 MAC 地址作为用户名进行认证，同时可以使用 MAC 地址或者自定义的字符串作为密码。

（2）固定用户名形式

不论用户的 MAC 地址为何值，所有用户均使用接入设备上指定的一个固定用户名和密码替代用户的 MAC 地址作为身份信息进行认证。由于同一个接口下可以有多个用户进行认证，因此这种情况下接口上的所有 MAC 认证用户均使用同一个固定用户名进行认证，服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求，这适用于客户端比较可信的网络环境。

（3）DHCP 选项格式

设备将获取到的用户 DHCP 选项字段以及一个固定的密码代替用户的 MAC 地址作为身份信息进行认证。该方式需保证设备支持通过 DHCP 报文触发 MAC 认证。

5、MAC认证流程

（1）在认证之前客户端与设备之间建立预连接；

（2）设备在检查到用户发送的 ARP / DHCP / ND / DHCPv6 中的任意一种报文，即触发用户的MAC 认证。

（3）根据配置，设备将用户名和密码发送到认证服务器进行认证。

（4）认证服务器验证接收到的用户名和密码，验证成功后向设备发送认证成功报文。同时将用户加入自身在线用户列表中。

（5）设备接收到认证成功报文后将接口改为授权状态，允许用户通过接口访问网络。同时将用户加入自身在线用户列表中。

6、终端主动注销下线流程

（1）客户端发送注销认证请求。

（2）接入设备向 RADIUS 服务器发送计费停止报文（ACCOUNTING-REQUEST），并停止端口授权，将用户从在线列表中删除。

（3）RADIUS 服务器向接入设备发送计费停止响应报文（ACCOUNTING-RESPONSE），并将用户从在线列表中删除。

二、MAC旁路认证原理

1、什么是MAC旁路认证？

MAC 旁路认证：是指在 802.1X 认证环境中终端接入网络后未回应来自接入控制设备的 802.1X 认证请求。为了方便终端接入网络，接入控制设备自动获取终端的 MAC 地址，作为接入网络的凭证发到 RADIUS 服务器进行校验。

MAC 旁路认证特点同 MAC 认证特点。

2、MAC旁路应用场景

MAC 旁路认证适用于 802.1X 认证环境中，无法安装 802.1X 认证客户端的终端（又称之为哑终端，例如 IP 电话、网络打印机、摄像头），以 MAC 地址作为用户和密码自动接入网络的场景。

3、MAC旁路认证原理

三、MAC 认证和 MAC 旁路认证对比

• MAC认证：直接进行 MAC 认证。
• MAC旁路认证：先 802.1X，长时间不回应（30S）不回应，采用 MAC 作为用户和密码发送认证，结合 802.1X 使用。
• MAC认证不属于802.1X认证，适用于哑终端通过MAC地址接入网络的场景。
• MAC旁路认证属于802.1X认证，适用于员工和无法主动触发认证的终端混合接入网络的场景，在802.1X认证阶段，员工通过帐号和密码完成认证，不会进入MAC认证阶段。对于哑终端，在802.1X认证失败后在MAC认证阶段通过MAC地址接入网络。

 

转载：MAC认证和MAC旁路认证_dot1x mac-authentication enable_曹世宏的博客的博客-CSDN博客

 

（SAW：Game Over！）