MAC认证

简介

MAC认证，全称MAC地址认证，是一种基于客户端MAC地址对用户的访问权限进行控制的认证方法。如图1所示，MAC认证系统通常包括三个基本要素：用户客户端、认证控制点和认证服务器（通常为RADIUS服务器）。

图1 MAC认证示意图

认证流程

上线流程：

上线流程如图2所示。

图2 MAC认证上线流程

1. 在认证之前客户端与RADIUS客户端之间建立预连接。
2. RADIUS客户端在检查到用户发送的ARP/DHCP/ND/DHCPv6中的任意一种报文，即触发用户的MAC认证。
3. 根据配置，RADIUS客户端将用户名和密码发送到RADIUS服务器进行认证。
4. RADIUS服务器验证接收到的用户名和密码，验证成功后向设备发送认证成功报文。同时将用户加入自身在线用户列表中。
5. RADIUS客户端接收到认证成功报文后将接口改为授权状态，允许用户通过接口访问网络。同时将用户加入自身在线用户列表中。

客户端主动注销，用户下线流程：

客户端主动发起注销流程如图3所示。

图3 客户端主动发起注销流程

1. 客户端发送注销认证请求。
2. 接入设备向RADIUS服务器发送计费停止报文（ACCOUNTING-REQUEST），并停止端口授权，将用户从在线列表中删除。
3. RADIUS服务器向接入设备发送计费停止响应报文（ACCOUNTING-RESPONSE），并将用户从在线列表中删除。

管理员在华为乾坤云平台强制用户下线流程：

管理员强制用户下线流程如图4所示。

图4 管理员强制用户下线流程

1. 管理员在华为乾坤云平台强制用户下线。
2. 华为乾坤云平台通知RADIUS服务器用户下线。
3. RADIUS服务器向接入设备发送下线通知报文（REQ_LOGOUT）。
4. 接入设备向RADIUS服务器发送计费停止报文（ACCOUNTING-REQUEST），并停止端口授权，将用户从在线列表中删除。
5. RADIUS服务器向接入设备发送计费停止响应报文（ACCOUNTING-RESPONSE），并将用户从在线列表中删除。