没人会告诉你的MAC地址认证原理，网络工程师懂了就牛掰

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，也不需要用户手动输入用户名或者密码。

MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。

特点：

1、不需要在终端安装认证客户端。

2、终端无需输入账号和密码，认证自动进行。

3、安全性比802.1X和Portal低。

安全性比较低的原因是：因为MAC地址很容易被仿冒。建议只在网络打印机、IP电话应用MAC认证方案，在授权时只开放开展业务所需的网络访问权限。

目前设备支持两种方式的认证：

1、通过RADIUS服务器认证：

选用RADIUS服务器认证方式进行MAC地址认证时，设备作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作：

采用MAC地址用户名时，设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。

采用固定用户名时，设备将已经在本地配置的用户名和密码作为待认证用户的用户名和密码，发送给RADIUS服务器。

RADIUS服务器完成对该用户的认证后，认证通过的用户可以访问网络。

2、本地认证：

当选用本地认证方式进行MAC地址认证时，直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码：

采用MAC地址用户名时，需要配置的本地用户名为各接入用户的MAC地址。

采用固定用户名时，需要配置的本地用户名为自定义的，所有用户对应的用户名和密码与自定义的一致。

相关术语：

静默MAC：

当一个MAC地址认证失败后，此MAC就被添加为静默MAC，在静默时间内，来自此MAC地址的数据报文到达时，设备直接做丢弃处理。静默MAC的功能主要是防止非法MAC短时间内的重复认证。

下发VLAN：

为了将受限的网络资源与用户隔离，通常将受限的网络资源和用户划分到不同的VLAN。当用户通过身份认证后，受限的网络资源所在的VLAN会作为授权VLAN从授权服务器上下发。同时用户所在的端口被加入到此授权VLAN中，用户可以访问这些受限的网络资源。

MAC地址认证的GUEST VLAN：

Guest VLAN功能允许用户在未认证或者认证失败的情况下，可以访问某一特定VLAN中的资源，比如获取客户端软件，升级客户端或执行其他一些用户升级程序。这个VLAN称之为Guest VLAN。

MAC地址认证支持基于MAC的Guest VLAN （MAC-based Guest VLAN），简称MGV。如果接入用户的端口上配置了MGV，则该端口上认证失败的用户会被加入Guest VLAN，即该用户被授权访问Guest VLAN里的资源。

若Guest VLAN中的用户再次发起认证未成功，则该用户将仍然处于Guest VLAN内；若认证成功，则会根据认证服务器是否下发VLAN将用户加入到下发的VLAN中，或回到加入Guest VLAN之前端口所在的VLAN。

MAC地址认证安全性还是比较低的，很容易受到仿冒，所以一般在中小型网络中使用比较好，不建议在大型网络中使用。一般使用在网络打印机、IP电话等地方比较好，安全问题不会威胁到整个网络。

IELAB网络实验室技术文案分享，转载需注明出处。