【选配】无感知认证(MAB认证)

 

一、原理介绍:

针对校内一些终端用户,学校可能会要求相应终端在首次WEB认证通过以后,在未来的某一段时间内再次接入网络时实现无感知认证后上网,该需求下则可配置MAB无感知认证。


交互流程:


1.18k检测到有新的mac地址加入
2.使用该mac地址作为用户名,该mac地址作为密码发起radius认证。
3.SAM检查mac快速接入表中是否有相关条目,如果有相关条目,则回复认证通过报文。否则回复拒绝报文,到此结束。
4.18k收到认证通过报文后,向SAM发送记账开始报文。
5.SAM对该报文进行回复。



 

二、配置命令:

注意,无感知认证需要每个用户首次在WEB认证成功后才能生效,同时无感知认证(MAB认证)属于802.1X的认证体系,所以在配置方面WEB认证和802.1X认证都需要配置。

1、配置AAA全局参数

aaa new-model      //启用AAA

aaa accounting network (list name) start-stop group (group name)// AAA 参考配置,以实际业务部署为准

aaa authentication dot1x (list name) group (group name)// AAA 的1x模板参考配置,以实际业务部署为准

aaa authentication web-auth (list name) group (group name)// AAA 的web模板参考配置,以实际业务部署为准

aaa authentication login default local      // AAA 的设备登入采用本地username/password

aaa group server radius (group name)           //配置aaa server组,多radius场景适用

  server (radius ip)    //配置aaa server组,多radius场景适用

radius-server host (radius ip) key 7 (radius key)        //配置aaa server IP和key,单radius场景适用

aaa accounting update periodic 30         //配置aaa记帐更新周期30s

aaa accounting update   //配置aaa记帐更新

no aaa log enable      //关闭aaa log


2、配置802.1X相关参数,接口使能

dot1x accounting (list name)     //选配,当aaa自定义list name时,需要匹配

dot1x authentication (list name)     //选配,当aaa自定义list name时,需要匹配

interface range GigabitEthernet 0/2-3  //接口启用802.1X认证 

    dot1x port-control auto//接口使能


3、配置WEB认证相关参数,接口使能

web-auth template eportalv2  

ip 202.204.193.32//portal服务器的IP

url http://202.204.193.32/eportal/index.jsp    //portal服务器的url地址

authentication  (list name)     //选配,当aaa自定义list name时,需要匹配

accounting  (list name)       //选配,当aaa自定义list name时,需要匹配

web-auth portal key university//选配,密钥

interface range GigabitEthernet 0/2-3  //接口启用web认证 

    web-auth enable eportalv2//接口使能


4、配置无感知认证(MAB)相关参数,接口使能

aaa authorization ip-auth-mode mixed    //必配,配置dot1x上传sam的IP方式为混合模式

ip dhcp snooping    //必配,动态获取IP的用户无感知认证需要通过dhcp snooping模块获取IP地址,否则SAM会出现0.0.0.0地址的用户

dot1x mac-auth-bypass valid-ip-auth      //必配,由DHCP模块通告MAB模块开始认证,终端用户进行无感知认证前必须要先获取到IP地址,否则该功能会阻止认证,防止SAM出现0.0.0.0地址用户。注意该命令配置后会导致已有用户掉线,不建议在业务高峰期开启。

dot1x valid-ip-acct enable     //必配,通过记帐更新报文上传用户IP通告给SAM,如果发现1x认证模块没有终端用户的IP表项,5分钟后就会将用户踢下线。防止SAM出现0.0.0.0地址的用户。注意该命令配置后会导致已有用户掉线,不建议在业务高峰期开启。

interface range GigabitEthernet 0/2-3  //接口启用MAB认证 

  dot1x mac-auth-bypass multi-user      //必配,接口下使能无感知认证

  dot1x mac-auth-bypass vlan (vlan-list)   //选配,接口下配置,可基于用户认证的vlan范围,启用无感知认证

  dot1x multi-mab quiet-period 0//选配,mab认证静默时间,即用户认证失败后只要N18K对于该用户的mac表项未老化都无法重新无感知认证。好处是解决未在SAM上注册的用户会频繁在SAM上打印用户不存在的log,坏处是第一次mab认证失败后需要等待N18K对于该用户的mac表项老化后才能再触发无感知认证。请根据实际情况慎重选配。

 

 

三、注意事项:

l      无感知认证需要在SAM上完成相应配置才可以生效,详细见【SAM配置】章节的无感知认证对应配置

l      无感知认证需要在认证页面上勾选无感知认证按钮才可以生效

l      需要SAM的“MAC快速认证表项”中存在该绑定条目才能实现无感知,该条目可通过WEB认证成功以后绑定或者管理员手动绑定。

l      静态IP无感知需要特殊配置(请参见静态IP无感知认证配置章节)

l      802.1x优先级高于MAB,因此一个终端先MAB认证通过后,如果再使用客户端软件做802.1x认证,MAB的表项将被删除。


 

四、配置举例:

NA