混合认证、MAC旁路认证

混合认证简介

在客户端形式多样的网络环境中，不同客户端支持的接入认证方式有所不同。有的客户端只能进行MAC地址认证（比如打印机终端）；有的主机安装了802.1X客户端软件，可以进行802.1X认证。为了灵活地适应这种网络环境中的多种认证需求，需要在接入用户的端口上对多种认证方式进行统一部署，使得用户可以选择任何一种适合的认证机制来进行认证，且只需要成功通过一种方式的认证即可实现接入，无需通过多种认证。

MAC旁路认证

简介

MAC旁路认证是指接入设备在发起802.1X认证失败后，能够再次发起MAC认证，使终端通过MAC认证接入。当接入设备接口下同时存在PC和打印机/传真机等哑终端时，推荐配置MAC旁路认证，从而先尝试对终端进行802.1X认证，认证失败后再尝试对终端进行MAC认证。

与MAC认证相比，MAC旁路认证多出了802.1X认证环节，因此认证时间更长。当接入设备接口下只存在打印机/传真机等哑终端时，推荐配置MAC认证，从而缩短认证时间。

认证流程

当接入设备接口下同时存在PC和打印机/传真机等哑终端时，如果仅配置802.1X认证，会导致打印机/传真机无法通过认证。此时可以通过MAC旁路认证功能，使不具备802.1X认证能力的哑终端能够通过MAC认证方式接入网络。MAC旁路认证流程如图3-20所示。

图3-20 MAC旁路认证流程

1. 在接入设备使能MAC旁路认证的接口上，接口收到用户终端的报文后，首先对该用户进行802.1X认证。

2. 接入设备向终端发送一个Identity类型的请求帧（EAP-Request/Identity）要求用户的客户端程序发送输入的用户名。

3. 如果在重传间隔内，接入设备未收到回应报文，会再次发送一个Identity类型的请求帧（EAP-Request/Identity）。

4. 接入设备不断重复步骤2，直至收到用户终端的回应。当重传次数达到最大重传次数后，如果接入设备仍未收到回应，则向用户发送EAP请求失败报文。

5. 此时，802.1X认证超时。接入设备将MAC认证用户名和密码发送到RADIUS服务器对该用户进行MAC认证。

6. RADIUS服务器将收到的MAC认证用户名和密码与本地保存的用户名和密码进行比对，如果相同，则MAC认证成功，并向设备发送RADIUS认证接受报文。