MAC地址认证实施方案
目录
1MAC地址认证概述 .................................................................................................................. - 1 -2实施规划..................................................................................................................................... - 3 -
2.1准备阶段 (3)
2.1.1MAC地址统计........................................................................................................... - 3 -
2.1.2服务器准备................................................................................................................ - 3 -
2.1.3接入交换机准备 ........................................................................................................ - 4 -
2.1.4备份准备.................................................................................................................... - 4 -2.2测试阶段 .. (4)
2.3实施阶段 (5)
2.4应急回退方法 (6)
1MAC地址认证概述
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。

设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。

认证过程中，不需要用户手动输入用户名或者密码。

若该用户认证成功，则允许其通过端口访问网络资源，否则该用户的MAC地址就被添加为静默MAC。

在静默时间内（可通过静默定时器配置），来自此MAC地址的用户报文到达时，设备直接做丢弃处理，以防止非法MAC短时间内的重复认证。

为了将受限的网络资源与用户隔离，通常将受限的网络资源和用户划分到不同的VLAN。

当用户通过身份认证后，受限的网络资源所在的VLAN会作为授权VLAN 从授权服务器上下发。

同时用户所在的端口被加入到此授权VLAN中，用户可以访问这些受限的网络资源。

要实现MAC地址认证，需要提供以下功能组件：
具有MAC地址认证功能的交换机
为了能够对接入终端进行MAC地址认证，需要接入交换机拥有MAC认证功能，能够直接对接入终端进行地址认证。

Radius服务器
一般情况下，接入交换机无法判断终端的MAC地址是否合法，需要将终端的MAC提交给Radius服务器进行验证，在Windows server 2003中，Windows IAS服务能够提供标准的Radius服务，但IAS无法建立MAC帐户，利用Windows的Active Directory（AD；活动目录）服务与IAS服务结合，就可以实现认证和管理MAC帐户的功能。

具体认证过如图所示：
1.客户端接上网线，接入办公网络。

2.接入交换机学习到客户端的MAC地址，但不会开启接入端口，而是以客
户端的MAC地址作为用户名和密码，向Radius服务器发起认证请求。

3.Radius服务器收到接入交换机的查询请求后，立即向DC发出查询请求。

4.DC查询自身的AD，看是否有该用户，是否到期，能否接入等信息，如
果所需信息是肯定的，则认证成功，若其中一项是否定的，则认证失败。

5.DC完成AD查询，回复Radius服务器。

6.收到DC的回复后，Radius服务器立即回复接入交换机。

7.接入交换机收到Radius服务器的回复后，根据回复的结果，确定是否
开启客户端所连接的端口，如果是“肯定”回复，则开启端口，并将客户端的MAC地址以静态方式加入自身MAC地址表，不会老化；如果是“否定”回复，则交换机会拒绝该客户端接入，并在一个静默周期内不允许该客端重新认证。

不过，还有一种处理失败认证的方法，交换机可以将未通过认证的终端端口加入一个Guest VLAN,在这个VLAN中可以访问有
限资源的网络，但不能访问办公网络。

2实施规划
2.1 准备阶段
2.1.1MAC地址统计
在整个MAC地址认证实施过程中，MAC地址统计是最慢长的过程，这个过程需要统计所有电脑的网卡、无线网卡，所有网络打印机的MAC地址，其他接入终端的MAC地址等。

可以采用如下格式表格进行统计：
2.1.2服务器准备
目前，办公网络中已经有两台域控制器，可以直接利用这两台域控制器作为认证服务器，但需完成以下准备工作：
1.安装IAS服务。

2.在活动目录（AD）中建立一个组织单元（OU），用来存放MAC地址帐户。

3.改变域或组织单元对应的密码策略，因为MAC地址帐户的帐户名和密码
都是MAC地址，不能满足缺省域安全策略当中的密码策略，建议为存放
MAC地址帐户的组织单元建立独立的组策略，禁用该策略中的密码策略，并阻止上层组策略继承到当前组织单元上。

2.1.3接入交换机准备
接入交换机是MAC地址认证的主体，由它收集MAC地址，并产生MAC地址帐户，也是由它向认证服务器发起认证，响应认证结果。

所以，接入交换机必须能够与认证服务器通信，要满足这一点，接入交换机必须可网管，拥有管理接口和管理地址，并且能够ping通认证服务器。

准备如下一份表格：
2.1.4备份准备
为了保证办公网络的正常运行，有必要在实施MAC地址认证前对域控制器、所有接入交换机的配置进行备份，确保所有设备可回退到实施前的状态。

2.2 测试阶段
为了能够保证全网MAC地址认证实施的顺利进行，有必要在小范围内进行MAC地址认证测试，测试环境如下。

1.认证服务器一台，可利用现有域控制器。

2.可网管接入交换机一台，可利用当前接入交换机。

3.电脑若干台。

为了不影响办公网络正常使用，测试前需对域控制器和接入交换机配置进行备份，确保可回退到原有状态。

测试过程中只对指定交换机以太口进行认证，其他端口不开启认证，这样可将测试影响降到最小。

测试过程如下：
1.配置IAS服务，添加测试交换机，开启Radius服务。

2.为测试接入电脑建立MAC帐户，帐户名和密码都是其MAC地址，并允许
拔入。

3.配置接入交换机，全局开启MAC地址认证，并进入测试电脑所连接的以
太口，开启该端口的MAC地址认证，其他端口不开启MAC地址认证。

4.接入测试电脑，开启一个ping测试，看其能否ping通域控制器。

5.在域控制器中打开“事件查看器”，在“系统”中查看是否有IAS成功
事件，如果有表示测试成功。

6.接入一台未添MAC地址帐户的电脑，利用ping测试是否能访问其他地
址，结果应当是不能访问其他地址；修改IP，测试其能否与其他电脑地
址冲突，结果应当是不能产生地址冲突；检查域控制器“事件查看器”
的“系统”事件，是否有IAS未成功认证事件，结果应当是有多个未成
功认证事件。

2.3 实施阶段
测试成功后，说明服务器和交换机配置都正确，可进入到实施阶段。

具体实施过程如下：
1.建立全网MAC地址帐户
这个过程需要向AD中添加所有合法的MAC地址帐户，包括合法台式电脑、笔记本电脑的MAC地址，网络打印机的MAC地址，其他类型终端的MAC 地址等，并指定这些帐户永久有效，不能更改密码，全天能够登录，允许拔入等信息。

2.配置 IAS服务
测试阶段已经配置好了IAS服务，实施阶段只需向IAS中添加所有要开
启MAC地址认证的接入交换机管理地址。

3.配置接入交换机
按照测试阶段接入交换机的配置，配置其他需开启MAC地址认证的交换机，并将这些交换机接入端口开启MAC认证。

注意，不能开启上连端口的MAC地址认证功能。

2.4 应急回退方法
一般情况下，在经过测试的情况下，MAC地址认证功能不会有什么问题。

但认证服务器失效，或很多MAC地址帐户不正确，会造成大面积断网，此时有必要进行应急回退，恢复到未开启MAC地址认证状态。

回退的方法很简单，只需进入接入交换机，全局关闭交换机MAC地址认证功能即可，不需进入所有以太口关闭MAC地址认证。

由于实施阶段只是向接入交换机添加MAC地址认证功能，没有改动原有配置，保持了原有网络结构，所以，关闭MAC地址认证功能之后，就恢复到原有网络状态。