Что такое ac mac radius

GeekBrains

Что такое MAC-адрес?

MAC-адрес (от англ. Media Access Control — управление доступом к среде, также Hardware Address) — это уникальный идентификатор, присваиваемый каждой единице оборудования компьютерных сетей. Не все протоколы используют MAC-адреса, и не все протоколы, использующие MAC-адреса, нуждаются в подобной уникальности этих адресов.

В широковещательных сетях (таких, как сети на основе Ethernet) MAC-адрес позволяет уникально идентифицировать каждый узел сети и доставлять данные только этому узлу. Таким образом, MAC-адреса формируют основу сетей на канальном уровне, которую используют протоколы более высокого (сетевого) уровня. Для преобразования MAC-адресов в адреса сетевого уровня и обратно применяются специальные протоколы

Адреса вроде MAC-48 наиболее распространены, они используются в таких технологиях, как Ethernet, Token ring, FDDI, WiMAX и др. Они состоят из 48 бит, таким образом, адресное пространство MAC-48 насчитывает 248 (или 281 474 976 710 656) адресов. Согласно подсчётам IEEE, этого запаса адресов хватит по меньшей мере до 2100 года.

Стандарты IEEE определяют 48-разрядный (6 октетов) MAC-адрес, который разделен на четыре части. Первые 3 октета содержат 24-битный уникальный идентификатор организации (OUI), или (Код MFG — Manufacturing, производителя), который производитель получает в IEEE. При этом используются только младшие 22 разряда (бита), 2 старшие имеют специальное назначение: первый бит указывает, для одиночного (0) или группового (1) адресата предназначен кадр следующий бит указывает, является ли MAC-адрес глобально (0) или локально (1) администрируемым.

Таким образом, глобально администрируемый MAC-адрес устройства глобально уникален и обычно «зашит» в аппаратуру.

Администратор сети имеет возможность, вместо использования «зашитого», назначить устройству MAC-адрес по своему усмотрению. Такой локально администрируемый MAC-адрес выбирается произвольно и может не содержать информации об OUI. Признаком локально администрируемого адреса является соответствующий бит первого октета адреса.

Для того, чтобы узнать MAC-адрес сетевого устройства используются следующие команды:

Что такое ac mac radius

Есть устройство (Беспроводная точка 3Com 8760) которое потдерживает RADIUS-аутентификации на уровне
MAC-адресов как это дело запустить где в RADIUS сервере прописывать маки
чтоб он блочил или наоборот пропускал только эти?

RADUIS поднят на Вин2к3 служба IAS

Ответы

"на уровне MAC-адресов" в данном случае означает не аутентификация по значениям MAC-адресов, а лишь то, что точка будет воспринимать аутентифицированного клиента по MAC-адресу.

Сама аутентификация производится по имени/паролю, сертификату или smart-card.

Сам процесс выглядит так: клиент включает компьютер, точка у него запрашивает аутентификацию, клиент вводит имя пользователя/пароль, точка сверяет его с базой RADIUS. Если RADIUS говорит о том, что имя/пароль верны, точка заносит в свою базу MAC клиента, как аутентифицированный, клиенту открывается доступ в сеть и он может работать.

Почитайте про MAC-based и Port-based 802.1x авторизацию, если не понятно. Сравнивая первую со второй, разберетесь.

Аутентификация RADIUS MAC

Можно управлять доступом к сети через коммутатор, используя несколько различных методов аутентификации. Junos OS поддерживают 802.1X, MAC-RADIUS и Captive Portal в качестве способов аутентификации устройств, требующих подключения к сети.

Аутентификацию MAC-RADIUS можно настроить на интерфейсах коммутатора, к которым подключены хосты для обеспечения доступа в ЛВС. Дополнительные сведения можно получить на этом тему.

Настройка аутентификации RADIUS MAC-интерфейс командной строки MAC-интерфейс командной строки)

Можно разрешить устройствам, которые не имеют доступа к LAN с поддержкой 802.1X, RADIUS аутентификацию MAC-RADIUS на интерфейсах коммутатора, к которым подключены хосты.

Можно также разрешить устройствам, не включенным 802.1X, доступ к LAN, настроив их MAC-адрес для статического обхода аутентификации MAC.

Можно настроить аутентификацию MAC RADIUS на интерфейсе, который также позволяет аутентификацию 802.1X, или можно настроить любой из методов аутентификации отдельно.

Если на интерфейсе включены RADIUS MAC-интерфейс и аутентификация 802.1X, коммутатор сначала отправляет хосту три запроса EAPoL. Если от хоста нет ответа, коммутатор отправляет сообщение MAC-адрес хоста на RADIUS, чтобы проверить, является ли это разрешенным MAC-адрес. Если MAC-адрес настроен на сервере RADIUS, сервер коммутатора отправляет коммутатору сообщение о том RADIUS, что MAC-адрес является разрешенным адресом, и коммутатор открывает доступ к нереационным хостам на интерфейсе, к которому он подключен.

Если аутентификация MAC RADIUS настроена на интерфейсе, но аутентификация 802.1X не является (с помощью параметра), коммутатор сначала пытается аутентификацию MAC-адрес аутентификацией MAC-адрес сервером RADIUS без задержки, пытаясь сначала аутентификацию mac-radius restrict 802.1X.

GeekBrains

Прежде чем настраивать аутентификацию MAC RADIUS, убедитесь, что у вас есть:

Настроен основной доступ между коммутатором и RADIUS сервером. См. пример: Подключение сервера RADIUS 802.1X к коммутатору серии EX.

Чтобы настроить аутентификацию MAC-RADIUS с помощью интерфейс командной строки:

На коммутаторе настройте интерфейсы, к которым нереактивные хосты подключены для аутентификации MAC-RADIUS, и добавьте к нему классификатор для интерфейса, чтобы он мог использовать только АУТЕНТИФИКАЦИЮ restrict ge-0/0/20 MAC RADIUS:

На RADIUS аутентификации создайте профили пользователей для каждого нереактивного хоста, используя MAC-адрес (без двоеточий) нереактивного хоста в качестве имени пользователя и пароля (здесь MAC-адреса: 00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f и:

См. также

Примере: Настройка аутентификации MAC-RADIUS на коммутаторе серии EX

Чтобы разрешить хосту, не подключенным к локальной сети с поддержкой 802.1X, можно настроить аутентификацию MAC RADIUS на интерфейсах коммутатора, к которым подключены хосты с поддержкой не-802.1X. Когда аутентификация MAC RADIUS настроена, коммутатор попытается аутентификацию хоста с помощью RADIUS сервера, используя MAC-адрес.

В данном примере описана настройка аутентификации MAC RADIUS для двух хостов с поддержкой 802.1X:

Требования

В данном примере используются следующие программные и аппаратные компоненты:

Этот пример также применим и к QFX5100 коммутаторам.

Junos OS версии 9.3 или более поздней для коммутаторов серии EX.

Коммутатор серии EX, выступая в качестве объекта доступа к аутентификации порта (PAE). Порты на аутентиаторе PAE формируют контрольный шлюз, который блокирует весь трафик к и отпродатантам до аутентификации.

Сервер RADIUS аутентификации. Сервер аутентификации действует как сервер серверной базы данных и содержит учетные данные для хостов (запросителей), которые имеют разрешение на подключение к сети.

Прежде чем настраивать аутентификацию MAC RADIUS, убедитесь, что у вас есть:

Настраивается основной доступ между коммутатором серии EX и RADIUS сервером. См. пример: Подключение сервера RADIUS 802.1X к коммутатору серии EX.

Выполняется базовая настройка стежков и VLAN на коммутаторе. См. документацию, в которую описывается настройка основного замещения и VLAN для коммутатора. При использовании коммутатора, поддерживаюного тип конфигурации Enhanced Layer 2 (ELS), см. пример: Настройка базового переключения и VLAN для коммутатора серии EX с поддержкой ИЛИ примером ELS: Настройка базового переключения и VLAN на коммутаторах. Для всех остальных коммутаторов см. пример: Настройка базового замещения и VLAN для коммутатора серии EX.

Выполнена базовая конфигурация 802.1X. См. "Настройка параметров интерфейса 802.1X" (интерфейс командной строки настройки).

Обзор и топология

IEEE 802.1X управление доступом к сети на основе порта 802.1X (PNAC) аутентификация и разрешение доступа устройств к LAN, если устройства могут взаимодействовать с коммутатором с помощью протокола 802.1X (то есть устройства с поддержкой 802.1X). Чтобы разрешить конечным устройствам с поддержкой не 802.1X доступ к LAN, можно настроить аутентификацию MAC RADIUS на интерфейсах, к которым подключены конечные устройства. Когда MAC-адрес интерфейсе отображается MAC-адрес, коммутатор консультируется с RADIUS сервером, чтобы проверить, является ли это разрешенным MAC-адрес. Если MAC-адрес конечного устройства настроено так, как это разрешено на RADIUS сервере, коммутатор открывает доступ к конечному устройству в локальной сети.

Можно настроить как методы аутентификации MAC RADIUS, так и методы аутентификации по методу 802.1X на интерфейсе, настроенного для нескольких источников. Кроме того, если интерфейс подключен только к хосту с поддержкой не 802.1X, можно включить аутентификацию MAC RADIUS и не включить аутентификацию 802.1X с помощью этого параметра, что позволит избежать задержки, возникащей в то время, когда коммутатор определяет, что устройство не отвечает на сообщения mac-radius restrict EAP.

Рис. 1 показывает два принтера, подключенных к коммутатору.

Этот рисунок также относится к QFX5100 коммутаторам.

Табл. 1 отображает компоненты в примере для аутентификации MAC RADIUS аутентификации.

GeekBrains

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *