MAC认证触发方式和报文交互流程

MAC认证触发方式和报文交互流程

对于MAC认证用户密码的处理，有PAP和CHAP两种方式：

• PAP：设备将MAC地址、共享秘钥、随机值依次排列顺序，经过MD5算法进行HASH处理后封装在属性名User-Password中。

• CHAP：设备将CHAP ID、MAC地址、随机值依次排列顺序，经过MD5算法进行HASH处理后封装在属性名CHAP-Password和CHAP-Challenge中。

采用PAP和CHAP方式的MAC认证流程分别如图3-2和图3-3所示，两者实现方式相似，以下重点介绍PAP方式。

图3-2 MAC认证流程（PAP方式）

1. 接入设备收到终端发送的ARP/DHCP/DHCPv6/ND报文，触发MAC认证。

2. 设备随机生成一个随机值，并对MAC认证用户的MAC地址、共享秘钥、随机值依次排列后经过MD5算法进行HASH处理，然后将用户名、HASH处理结果以及随机值封装在RADIUS认证请求报文中发送给RADIUS服务器，请求RADIUS服务器对该终端进行MAC认证。

3. RADIUS服务器使用收到的随机值对本地数据库中对应MAC认证用户进行MAC地址、共享秘钥、随机值依次排列后经过MD5算法进行HASH处理，如果与设备发来的值相同，则向设备发送认证接受报文，表示终端MAC认证成功，允许该终端访问网络。

图3-3 MAC认证流程（CHAP方式）

MAC认证支持的授权信息

认证用于确认尝试接入网络的用户身份是否合法，而授权则用于指定身份合法的用户所能拥有的网络访问权限，即用户能够访问哪些资源。此处以RADIUS服务器授权为例，说明几种常用授权参数的含义，以及设备侧和服务器侧涉及的配置。其他授权方式的授权方法以及更多可授权的参数请参见（可选）配置业务方案。

VLAN

为了将受限的网络资源与未认证用户隔离，通常将受限的网络资源和未认证的用户划分到不同的VLAN。用户认证成功后，认证服务器将指定VLAN授权给用户。此时，设备会将用户所属的VLAN修改为授权的VLAN，授权的VLAN并不改变接口的配置。但是，授权的VLAN优先级高于用户配置的VLAN，即用户认证成功后生效的VLAN是授权的VLAN，用户下线后继续使用配置的VLAN。授权VLAN时：

设备侧，需要完成VLAN的部署。

RADIUS服务器侧，必须同时设置以下RADIUS标准属性：

• Tunnel-Type：必须配置为“VLAN”或“13”。

• Tunnel-Medium-Type：必须配置为“802”或“6”。

• Tunnel-Private-Group-ID：可以是VLAN编号、VLAN描述信息、VLAN名称和VLAN Pool。

ACL

用户认证成功后，认证服务器将指定ACL授权给用户，则设备会根据该ACL对用户报文进行控制。

• 如果用户报文匹配到该ACL中动作为permit的规则，则允许其通过。

• 如果用户报文匹配到该ACL中动作为deny的规则，则将其丢弃。

RADIUS服务器授权ACL的方法有：

• 授权静态ACL：RADIUS服务器侧通过RADIUS标准属性Filter-Id将ACL ID授权给用户。为使授权的ACL生效，需要提前在设备上配置相应的ACL及规则。

• 授权动态ACL：RADIUS服务器侧通过华为RADIUS扩展属性HW-Data-Filter将ACL ID、ACL规则和DACL授权给用户。授权动态ACL时，设备侧不需要进行ACL的相关配置，ACL及其规则都是在RADIUS服务器侧完成的。

UCL组

用户控制列表UCL组（User Control List）是网络成员的集合。UCL组里面的成员，可以是PC、手机等网络终端设备。借助UCL组，管理员可以将具有相同网络访问策略的一类用户划分为同一个组，然后为其部署组内或组间访问策略。相对于为每个用户部署网络访问策略，基于UCL组的网络控制方案能够极大的减少管理员的工作量。

RADIUS服务器授权UCL组的方法有：

• 授权UCL组名称：RADIUS服务器通过RADIUS标准属性Filter-Id将UCL组名称授权给指定用户。

• 授权UCL组ID：RADIUS服务器通过华为RADIUS扩展属性HW-UCL-Group将UCL组ID授权给指定用户。

无论是哪一种授权UCL组方式，都必须提前在设备上配置相应的UCL组及UCL组的组内或者组间访问策略。

free-rule

用户认证成功之前，为满足用户基本的网络访问需求，需要用户认证成功前就能获取部分网络访问权限。可在free-rule模板中配置free-rule规则，满足用户的认证成功前的网络访问需求。