【选配】无感知认证（MAB认证）

 

一、原理介绍：

极简方案主要认证功能之一，无感知认证主要适用于校园网办公区域的无线用户。为了避免老师使用无线终端web认证时需要重复输入账号密码造成的用户体验低下，无感知认证通过MAB认证原型配合N18K高性能认证处理能力，实现在用户连入网络的同时学习到用户MAC地址，并通过用户MAC地址作为帐户名和密码向SAM发出认证请求，代理完成整个认证过程对于用户无感知。

 

以下为无感知认证流程：

l      SAM上启用终端无感知认证（接入控制目录下）；

l      用户首次进行Web认证成功后，在认证成功页面上，可以选择启用无感知认证；

l      用户选择启用无感知认证时，在SAM上面注册用户终端的MAC地址；

l      用户终端接入网络后，N18K作为NAS设备，识别到终端的MAC地址，然后使用该MAC地址作为账户与密码，向SAM发起认证；

l      SAM判断该MAC地址的合法性，返回认证成功或失败信息给NAS设备；

l      若认证成功后，NAS设备发送记账开始报文。

 

二、配置命令：

注意，无感知认证需要每个用户首次在WEB认证成功后才能生效，同时无感知认证（MAB认证）属于802.1X的认证体系，所以在配置方面WEB认证和802.1X认证都需要配置。

æ 配置AAA全局参数

aaa new-model      //启用AAA

aaa accounting network (list name) start-stop group (group name)      // AAA 参考配置，以实际业务部署为准

aaa authentication dot1x (list name) group (group name)          // AAA 的1x模板参考配置，以实际业务部署为准

aaa authentication web-auth (list name) group (group name)          // AAA 的web模板参考配置，以实际业务部署为准

aaa authentication login default local      // AAA 的设备登入采用本地username/password

aaa group server radius (group name)           //配置aaa server组，多radius场景适用

  server (radius ip)                                //配置aaa server组，多radius场景适用

radius-server host (radius ip) key 7 (radius key)        //配置aaa server IP和key，单radius场景适用

aaa accounting update periodic 30         //配置aaa记帐更新周期30s

aaa accounting update               //配置aaa记帐更新

no aaa log enable      //关闭aaa log

æ   配置DOT1X相关参数，接口使能

dot1x accounting (list name)     //选配，当aaa自定义list name时，需要匹配

dot1x authentication (list name)     //选配，当aaa自定义list name时，需要匹配

interface range GigabitEthernet 0/2-3  //接口启用802.1X认证 

    dot1x port-control auto//接口使能

æ   配置WEB认证相关参数，接口使能

web-auth template eportalv2  

ip 202.204.193.32                 //portal服务器的IP

url http://202.204.193.32/eportal/index.jsp    //portal服务器的url地址

authentication  (list name)     //选配，当aaa自定义list name时，需要匹配

accounting  (list name)       //选配，当aaa自定义list name时，需要匹配

web-auth portal key university     //选配，密钥

interface range GigabitEthernet 0/2-3  //接口启用web认证 

    web-auth enable eportalv2//接口使能

æ   配置无感知认证（MAB）相关参数，接口使能

aaa authorization ip-auth-mode mixed    //必配，配置dot1x上传sam的IP方式为混合模式，会通过多种方式轮询获取IP（su客户端/dhcp/radius等）

ip dhcp snooping              //必配，无感知认证需要通过dhcp snooping模块获取IP地址，否则SAM会出现0.0.0.0地址的用户

dot1x mac-auth-bypass valid-ip-auth          //必配，由DHCP模块通告MAB模块开始认证，终端用户进行无感知认证前必须要先获取到IP地址，否则该功能会阻止认证，防止SAM出现0.0.0.0地址用户。注意该命令配置后会导致已有用户掉线，不建议在业务高峰期开启。

dot1x valid-ip-acct enable           //必配，通过记帐更新报文上传用户IP通告给SAM，如果发现1x认证模块没有终端用户的IP表项，5分钟后就会将用户踢下线。防止SAM出现0.0.0.0地址的用户。注意该命令配置后会导致已有用户掉线，不建议在业务高峰期开启。

dot1x mac-auth-bypass multi-user                   //必配，接口下使能无感知认证

dot1x mac-auth-bypass vlan (vlan-list)              //选配，接口下配置，可基于用户认证的vlan范围，启用无感知认证

dot1x multi-mab quiet-period 0             //选配，mab认证静默时间，即用户认证失败后只要N18K对于该用户的mac表项未老化都无法重新无感知认证。好处是解决未在SAM上注册的用户会频繁在SAM上打印用户不存在的log，坏处是第一次mab认证失败后需要等待N18K对于该用户的mac表项老化后才能再触发无感知认证。请根据实际情况慎重选配。

 

 

三、注意事项：

l      无感知认证需要在SAM上完成相应配置才可以生效，详细见【SAM配置】章节的无感知认证对应配置

l      无感知认证需要在认证页面上勾选无感知认证按钮才可以生效

l      无感知认证需要首次WEB认证通过后才可以生效

l      无感知认证当前仅支持动态DHCP用户认证，静态IP用户不支持。因为N18K仅会从DHCP snooping模块取IP地址传给SAM，静态IP用户在dhcp snooping模块中不存在。

l      802.1x优先级高于MAB，因此一个终端先MAB认证通过后，如果再使用客户端软件做802.1x认证，MAB的表项将被删除。

l      开启无感知认证后，避免在SAM上配置”认证抢占“和”相同用户名仅允许1台终端接入“，防止出现相同用户的两台终端相互进行无感知认证抢占掉线。

 

四、配置举例：

同配置命令介绍