97i

思科ISE对有线接⼊⽤户进⾏MAC认证

Part1原理介绍

前⾔

随着信息化的快速发展，对国家、组织、公司或个⼈来说⾄关重要的信息越来越多的通过⽹络来进⾏存储、传输和处理，为获取这些关键信息的各

种⽹络犯罪也相应急剧上升。当前，⽹络安全在某种意义上已经成为⼀个事关国家安全，社会经济稳定的重⼤问题，得到越来越多的重视。

在⽹络安全中，⾝份认证技术作为第⼀道，甚⾄是最重要的⼀道防线，有着重要地位，可靠的⾝份认证技术可以确保信息只被正确的“⼈”所访

问。⾝份认证技术提供了关于某个⼈或某个事物⾝份的保证，这意味着当某⼈（或某事）声称具有⼀个特别的⾝份时，认证技术将提供某种⽅法来

证实这⼀声明是正确的。

【图1-1】

常见的⽹络接⼊⾝份认证技术主要有三种：

WebAuth(Portal)认证

MAC认证

802.1X认证

通过前期给分享的⽂章《思科ISE对公司访客进⾏Portal认证（基于HTTPS协议）》，⼤家应该对WebAuth认证很熟悉了。今天跟⼤家聊聊如何

利⽤MAC认证⽅式为⽹络设备做接⼊认证。下⼀期⽂章将为⼤家分享，如何使⽤802.1x认证⽅式做⽹络接⼊认证。

⼀.MAC认证简介

MAC认证是⽹络接⼊控制⽅案（NAC）中的⼀种，它是基于接⼝和MAC地址对⽤户的⽹络访问权限进⾏控制的认证⽅法，并且不需要⽤户安装

任何客户端软件。通过MAC认证能够实现保护企业内⽹的安全性的⽬的。MAC认证⽆需⽤户终端安装客户端，但是却需要在服务器上登记MAC

地址，如果为每台终端设备做接⼊MAC地址记录。⼯作量⾮常⼤。所以通常，MAC认证⼀般适⽤于打印机、传真机等哑终端接⼊认证的场景。

1.使⽤不同⽤户名格式的MAC地址认证

⽬前设备⽀持两种⽅式的MAC地址认证，通过RADIUS（RemoteAuthenticationDial-InUrService，远程认证拨号⽤户服务）服务器进

⾏远程认证和在接⼊设备上进⾏本地认证。

根据设备最终⽤于验证⽤户⾝份的⽤户名格式和内容的不同，可以将MAC地址认证使⽤的⽤户帐户格式分为两种类型：

MAC地址⽤户名格式：使⽤⽤户的MAC地址作为认证时的⽤户名和密码。

固定⽤户名格式：不论⽤户的MAC地址为何值，所有⽤户均使⽤设备上指定的⼀个固定⽤户名和密码替代⽤户的MAC地址作为⾝份信息进⾏

认证。由于同⼀个端⼝下可以有多个⽤户进⾏认证，因此这种情况下端⼝上的所有MAC地址认证⽤户均使⽤同⼀个固定⽤户名进⾏认证，服务

器端仅需要配置⼀个⽤户帐户即可满⾜所有认证⽤户的认证需求，适⽤于接⼊客户端⽐较可信的⽹络环境。

【图1-2】

地址两种认证类型介绍

2.1RADIUS服务器认证⽅式进⾏MAC地址认证（本⽂将以RADIUS服务器⽅式为例为⼤家介绍）

当选⽤RADIUS服务器认证⽅式进⾏MAC地址认证时，设备作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作：

若采⽤MAC地址⽤户名格式，则设备将检测到的⽤户MAC地址作为⽤户名和密码发送给RADIUS服务器进⾏验证。

若采⽤固定⽤户名格式，则设备将⼀个已经在本地指定的MAC地址认证⽤户使⽤的固定⽤户名和对应的密码作为待认证⽤户的⽤户名和密码，

发送给RADIUS服务器进⾏验证。

RADIUS服务器完成对该⽤户的认证后，认证通过的⽤户可以访问⽹络。

2.2本地认证⽅式进⾏MAC地址认证

当选⽤本地认证⽅式进⾏MAC地址认证时，直接在设备上完成对⽤户的认证。需要在设备上配置本地⽤户名和密码：

若采⽤MAC地址⽤户名格式，则设备将检测到的⽤户MAC地址作为待认证⽤户的⽤户名和密码与配置的本地⽤户名和密码进⾏匹配。

若采⽤固定⽤户名，则设备将⼀个已经在本地指定的MAC地址认证⽤户使⽤的固定⽤户名和对应的密码作为待认证⽤户的⽤户名和密码与配置

的本地⽤户名和密码进⾏匹配。

⽤户名和密码匹配成功后，⽤户可以访问⽹络。

Part2-实验配置

⼀.实验拓扑

【图2-1】

认证前域：⽤户认证未通过时可以访问的区域。

认证后域：⽤户认证通过后可以访问的区域。

⼆.实验需求

1.⽹络管理员为了防⽌⾮法⼈员和不安全的电脑接⼊到公司⽹络中，造成公司信息资源受到损失，希望员⼯的电脑在接⼊到公司⽹络之前进⾏⾝

份验证和安全检查。

2.只有合法⽤户（已认证终端）才能访问公司业务服务器，⾮合法(未认证终端)⽤户⽆法访问公司业务服务器.

3.采⽤MAC地址认证⽅式做接⼊认证。

三.配置逻辑

【图2-2】华为交换机的配置逻辑

【表1】思科ISE的配置逻辑

配置项说明

添加部门及⽤户账

号

-

添加交换机指定允许与ISE对接的交换机的相关参数。

(可选）创建认证协

议模板

指定⽤户进⾏MAC认证可以使⽤的认证协议。如果未创建新的认证协议模板，则使⽤ISE默认

的“DefaultNetworkAccess”模板。

创建认证策略指定⽤户通过MAC认证需要满⾜的条件。

(可选）创建授权策

略

指定⽤户通过MAC认证后允许访问的资源。如果未创建授权策略，则允许⽤户访问所有其路由可达的

资源。

四.实验设备及注意事项

1.本⽂以华为V200R009C00版本交换机为例，认证&授权服务器以2.1版本的CiscoISE为例。

2.认证终端使⽤WindowsPC机模拟。

3.交换机默认放⾏发往RADIUS服务器的报⽂，不需要针对其配置免认证规则。

五.数据规划

【表2】交换机接⼝和VLAN规划

设备接⼝VLAN

SwitchG0/0/1VLAN100

SwitchG0/0/2VLAN200

SwitchG0/0/3VLAN300

SwitchG0/0/4VLAN300

【表3】⽹络设备IP地址规划

项⽬数据

ISE（认证前域）IP地址：192.168.100.100/24

业务服务器（认证后域）IP地址：192.168.102.100/24

未认证终端IP地址：192.168.1.1/24

已认证终端IP地址：192.168.1.2/24

SwitchVLANIF100IP地址:192.168.100.254/24

SwitchVLANIF200IP地址:192.168.102.254/24

SwitchVLANIF300IP地址:192.168.1.254/24

所有设备将⽹关指向交换机，对应各⾃的VLANIF。

【表4】交换机业务数据规划

项⽬数据

RADIU

S⽅案

认证服务器IP地址：192.168.100.100，认证服务器端⼝号：1812，计费服务器IP地址：

192.168.100.100，计费服务器端⼝号：1813，RADIUS服务器共享密钥：Helperaddress@2019，计费周

期：15分钟，认证域：HA

认证后

域ACL

编号

3002

六.实验步骤

Step1-交换机VLAN配置。

1.创建VLAN100，200，300。

system-view

[HUAWEI]sysnameSwitch

[SwitchC]vlanbatch100200300

２.按照VLAN规划，将接⼝加⼊对应的VLAN。

[Switch]interfacegigabitethernet0/0/1

[Switch-GigabitEthernet0/0/1]portlink-typeaccess

[Switch-GigabitEthernet0/0/1]portdefaultvlan１00

[Switch-GigabitEthernet0/0/1]quit

[Switch]interfacegigabitethernet0/0/2

[Switch-GigabitEthernet0/0/2]portlink-typeaccess

[Switch-GigabitEthernet0/0/2]portdefaultvlan200

[Switch-GigabitEthernet0/0/2]quit

[Switch]interfacegigabitethernet0/0/３

[Switch-GigabitEthernet0/0/2]portlink-typeaccess

[Switch-GigabitEthernet0/0/2]portdefaultvlan３00

[Switch-GigabitEthernet0/0/2]quit

[Switch]interfacegigabitethernet0/0/４

[Switch-GigabitEthernet0/0/2]portlink-typeaccess

[Switch-GigabitEthernet0/0/2]portdefaultvlan３00

[Switch-GigabitEthernet0/0/2]quit

Step2-CiscoISE，业务服务器，终端IP地址配置略。

Step3-交换机侧配置。

1.配置交换机上的VLANIF接⼝，保证⽹络通畅。

[Switch]interfacevlanif100

[Switch-Vlanif100]ipaddress192.168.100.25424//ISE设备使⽤的⽹关IP

[Switch-Vlanif100]quit

[Switch]interfacevlanif200

[Switch-Vlanif200]ipaddress192.168.102.25424//业务服务器使⽤的⽹关IP

[Switch-Vlanif200]quit

[Switch]interfacevlanif300

[Switch-Vlanif300]ipaddress192.168.1.25424//终端设备使⽤的⽹关IP

[Switch-Vlanif300]quit

2.配置认证后域对应的ACL规则3002。

[Switch]acl3002

[Switch-acl-adv-3002]//ISE上勾选“Filter-ID”后，授权ACL会⾃动携带.in后缀，必须在交换机上将该ACL描述为

[Switch-acl-adv-3002]rule1permitipdestination192.168.102.1000

[Switch-acl-adv-3002]rule2denyipdestinationany

[Switch-acl-adv-3002]quit

3.创建并配置RADIUS服务器模板、AAA认证⽅案以及认证域。

创建并配置RADIUS服务器模板“rd1”。

[Switch]radius-rvertemplaterd1

[Switch-radius-rd1]radius-rverauthentication192.168.100.1001812

[Switch-radius-rd1]radius-rveraccounting192.168.100.1001813

[Switch-radius-rd1]radius-rvershared-keycipherHelperaddress@2019

[Switch-radius-rd1]quit

创建AAA认证⽅案“abc”并配置认证⽅式为RADIUS。

[Switch]aaa

[Switch-aaa]authentication-schemeabc

[Switch-aaa-authen-abc]authentication-moderadius

[Switch-aaa-authen-abc]quit

配置计费⽅案“acco1”。为了⽅便RADIUS服务器维护帐号的状态信息，例如上下线信息，强制帐号下线，计费模式必须配置为radius。

[Switch-aaa]accounting-schemeacco1

[Switch-aaa-accounting-acco1]accounting-moderadius

[Switch-aaa-accounting-acco1]accountingrealtime15//配置实时计费周期为15分钟

[Switch-aaa-accounting-acco1]quit

创建认证域“HA”，并在其上绑定AAA认证⽅案“abc”、计费⽅案acco1与RADIUS服务器模板“rd1”。

[Switch-aaa]domainHA

[Switch-aaa-domain-HA]authentication-schemeabc

[Switch-aaa-domain-HA]accounting-schemeacco1

[Switch-aaa-domain-HA]radius-rverrd1

[Switch-aaa-domain-HA]quit

配置全局默认域为“HA”。⽤户进⾏接⼊认证时，以格式“ur@HA”输⼊⽤户名即可在HA域下进⾏aaa认证。如果⽤户名中不携带域名或

携带的域名不存在，⽤户将会在默认域中进⾏认证。

[Switch]domainHA

4.使能MAC认证

将NAC配置模式切换成统⼀模式。

[Switch]authenticationunified-mode

设备默认为统⼀模式。传统模式与统⼀模式相互切换后，管理员必须保存配置后重启设备，新配置模式的各项功能才能⽣

效。

配置MAC接⼊模板。

[Switch]mac-access-profilenamem1

[Switch-mac-access-profile-m1]mac-authenurnamefixedHApasswordcipherHelperaddress123//配置MAC认证⽤户采⽤固定⽤户名形式，⽤户名为HA，密码为Helpera

[Switch-mac-access-profile-m1]quit

配置认证模板。

[Switch]authentication-profilenamep1

[Switch-authen-profile-p1]mac-access-profilem1//绑定MAC接⼊模板

[Switch-authen-profile-p1]quit

在接⼝GE0/0/3和GE0/0/4上同时使能MAC认证。

[Switch]interfacegigabitethernet0/0/3

[Switch-Gigabitethernet0/0/1]authentication-profilep1//绑定认证模板，使能MAC认证

[Switch-Gigabitethernet0/0/1]quit

[Switch]interfacegigabitethernet0/0/4

[Switch-Gigabitethernet0/0/2]authentication-profilep1//绑定认证模板，使能MAC认证

[Switch-Gigabitethernet0/0/2]quit

Step4-配置ISE。

1.登录ISE。

打开InternetExplorer浏览器，在地址栏输⼊ISE的访问地址，单击“Enter”。输⼊ISE管理员账号和密码登录ISE。

2.创建部门和账号。

选择“Administration>IdentityManagement>Groups”，在左侧导航区域选择“EndpointIdentityGroups”，在右侧操作区域内

单击“Add”，创建RD部门所属群组“RD”，配置完成后单击左下⾓“Submit”提交。

选择“Administration>IdentityManagement>Identities”，在左侧导航区域选择“EndPoints”，在右侧操作区域单击“Add”，添

加的终端MAC地址为“3c-97-0e-bd-6a-65“，绑定到群组“RD”，配置完成后单击下⽅“Save”提交。

3.在ISE中添加交换机设备，以便ISE能与交换机正常联动。

在上⽅导航区域选择“Administration>NetworkResources>NetworkDeviceProfiles”，单击下⽅“Add”，创建接⼊设备模

板“HUAWEI”，“Vendor”选择“Other”，“SupportedProtocols”勾选“RADIUS”。

按照图⽰配置“Authentication/Authorization”和“Permisssions”，配置完成后单击下⽅“Submit”提交。

选择“Administration>NetworkResources>NetworkDevices”，在右侧操作区域单击“Add”，添加接⼊设备Switch，根据下表配

置Switch参数，配置完成后单击下⽅“Submit”提交。

参数说明：

设备名称：Switch

IP地址：192.168.100.254，交换机上该接⼝必须与ISE互通。

RADIUS密钥：Helperaddress@2019，必须与交换机上配置的RADIUS认证和计费密钥⼀致

4.配置使⽤的密码认证协议。

在上⽅导航区域选择“Policy>PolicyElements>Results”，在左侧导航区域选择“Authentication>AllowedProtocols”，在右侧操

作区域单击“Add”，创建允许⽤户进⾏认证的协议模板“Authentication”，根据实际需求勾选适合的认证协议，配置完成后单击下

⽅“Submit”提交。

“DefaultNetworkAccess”为ISE默认的认证协议模板，如果能够满⾜实际需求，可以不再另⾏创建新的模板。

5.配置认证策略。

选择“Policy>Authentication”。认证策略分为简单模式和基于规则的，这⾥以“Simple”为例。单击“NetworkAccessService”下

拉选项，弹出“NetworkAccessServices”界⾯，单击“AllowedProtocols”，选择“Authentication”。

6.添加授权规则。

在上⽅导航区域选择“Policy>Authorization”，单击第⼀条认证策略最右侧的三⾓形，选择“InrtNewRuleAbove”。

新增授权结果，并绑定授权规则。

单击右侧“Save”，点击“Done”保存。

7.检查配置结果

员⼯在没有认证的情况下只能访问ISE服务器。

员⼯认证通过后，能够访问认证后域的⽹络资源。