问
mac认证raduis交互流程
1天前提问
- 0关注
- 0收藏,50浏览
一、基本前提(H3C)
- 触发:终端发 ARP/DHCP/ND/ 流量 → 交换机 / AC 学到新 MAC → 触发 MAC 认证
- 端口:RADIUS UDP 1812(认证)、1813(计费)
- 认证方式:PAP(默认)、CHAP;用户名 / 密码两种模式:
- MAC 账号:用户名 = MAC,密码 = MAC(或固定密码)
- 固定账号:所有终端共用同一账号密码
二、完整交互流程(7 步,含报文)
0. 触发(无报文)
终端上电 / 接入 → 发 ARP/DHCP → 接入设备(NAS)学习到新 MAC → 启动 MAC 认证
1. NAS → RADIUS:Access‑Request(认证请求)
PAP 模式(明文)
- 用户名(User‑Name):终端 MAC(如
xx‑xx‑xx‑xx‑xx‑xx) - 密码(User‑Password):终端 MAC 或 固定密码(明文)
- NAS‑IP:接入设备 IP
- NAS‑Port:接入端口
- Service‑Type:Call‑Check(=10,MAC 认证标志)
- Calling‑Station‑ID:终端 MAC(关键)
- Called‑Station‑ID:设备 MAC/SSID(无线)
CHAP 模式(密文,多 1 步挑战)
- 先发空请求:Access‑Request(无密码,仅带 MAC)
2. RADIUS → NAS:Access‑Challenge(仅 CHAP,挑战)
- 生成随机 Challenge(16 字节)
- 下发:Access‑Challenge(含 Challenge)
3. NAS → RADIUS:Access‑Request(带 CHAP 响应)
- 用共享密钥 + Challenge + 密码 → MD5 算出 Response
- 报文字段:
- User‑Name:MAC
- CHAP‑Challenge:挑战值
- CHAP‑Response:MD5 结果
- 其他同 PAP
4. RADIUS → NAS:Access‑Accept / Reject(认证结果)
Access‑Accept(成功)
- 关键属性:
- Service‑Type:Framed(=2)
- Framed‑VLAN:授权 VLAN(如 VLAN 10)
- Filter‑ID:授权 ACL(如 ACL 3000)
- Vendor‑Specific:H3C 私有属性(下发带宽 / 优先级)
Access‑Reject(失败)
- 仅提示:Invalid User/Password
5. NAS → RADIUS:Accounting‑Request(Start,计费开始)
- 会话建立后立即发
- 字段:
- Acct‑Status‑Type:Start(=1)
- User‑Name:MAC
- Calling‑Station‑ID:MAC
- Acct‑Session‑ID:会话唯一 ID
- NAS‑IP、NAS‑Port
6. RADIUS → NAS:Accounting‑Response(计费应答)
- 确认计费开始,无额外数据
7. 下线:Accounting‑Request(Stop)→ Response
- 终端离线 / 端口 down → NAS 发 Stop 计费
- 字段:Acct‑Status‑Type:Stop(=2)+ 会话时长 / 流量
三、PAP vs CHAP 对比(抓包区别)
表格
| 项目 | PAP(明文) | CHAP(密文) |
|---|---|---|
| 交互次数 | 3 次(请求→接受→计费) | 5 次(请求→挑战→响应→接受→计费) |
| 密码传输 | 明文(可抓包看到 MAC) | 密文(MD5 哈希,无明文) |
| 安全性 | 低 | 高(推荐) |
四、关键报文字段(必记)
- Access‑Request:User‑Name、User‑Password/PAP、CHAP‑Challenge/Response、Calling‑Station‑ID、Service‑Type=10
- Access‑Accept:Framed‑VLAN、Filter‑ID、Vendor‑Specific
- Accounting‑Request:Acct‑Status‑Type(Start/Stop)、Acct‑Session‑ID
五、H3C 配置要点(对应流程)
bash
运行
# 1. 开启MAC认证
mac-authentication
# 2. 认证方式CHAP(推荐)
mac-authentication authentication-method chap
# 3. RADIUS方案
radius scheme 1
primary authentication 10.1.1.1 1812
primary accounting 10.1.1.1 1813
key authentication simple 123456
key accounting simple 123456
user-name-format without-domain
# 4. 域绑定
domain system
authentication default radius-scheme 1
authorization default radius-scheme 1
accounting default radius-scheme 1暂无评论
MAC认证的RADIUS报文交互流程,本质上就是网络接入设备(NAS)和RADIUS服务器之间,围绕用户MAC地址进行身份核实与权限下发的四次握手过程。
整个流程的核心可以简化为:接入设备“代为询问”,服务器“核查并授权”。
MAC认证RADIUS报文交互流程
完整的流程可以分为以下几个关键步骤:
| 步骤 | 方向 | 报文类型 | 核心目的与携带的关键信息 |
|---|---|---|---|
| 0. 触发 | 终端 ↔ NAS | 无 | 终端上线发送ARP/DHCP报文,NAS学习到其MAC地址,触发认证流程。 |
| 1. 认证请求 | NAS → RADIUS | Access-Request | NAS将终端的MAC地址作为用户名和密码(格式可配置),并携带Calling-Station-Id(用户MAC)、Service-Type设为Call-Check (10) 等属性,向RADIUS服务器发起认证请求。 |
| 2. 认证应答 | RADIUS → NAS | Access-Accept / Access-Reject | RADIUS服务器核查用户信息。若通过,返回Access-Accept,并可能携带授权信息(如VLAN、ACL);若失败,则返回Access-Reject。 |
| 3. 计费开始 (可选) | NAS → RADIUS | Accounting-Request (Start) | 认证成功后,NAS可向RADIUS服务器发送计费开始报文,包含Acct-Status-Type: Start。 |
| 4. 计费应答 (可选) | RADIUS → NAS | Accounting-Response | RADIUS服务器确认收到计费开始请求,开始计费。 |
| 5. 用户下线 (可选) | NAS → RADIUS | Accounting-Request (Stop) | 用户离线时,NAS发送计费停止报文,包含Acct-Status-Type: Stop及会话时长、流量等统计信息。 |
| 6. 计费应答 (可选) | RADIUS → NAS | Accounting-Response | RADIUS服务器确认收到计费停止报文,结束计费。 |
关键区别:PAP vs. CHAP
步骤1中的Access-Request报文,其密码部分有两种常见的加密方式:PAP(密码验证协议)和CHAP(挑战握手认证协议),它们的区别在于:
PAP (明文传输):NAS直接将密码(即MAC地址)以明文形式放置在Access-Request中发送。这种方式安全性较低,存在被嗅探的风险,但配置简单。
CHAP (挑战响应):此方式更安全,过程多两步“握手”:
挑战:RADIUS服务器先向NAS发送一个Access-Challenge报文,其中包含一个随机的"挑战码"(Challenge)。
响应:NAS收到挑战后,使用这个挑战码、密码(MAC地址)和共享密钥通过MD5算法计算出响应值(Response),再封装到新的Access-Request中发给服务器。
验证:服务器执行相同计算,若结果一致则认证通过。
两种MAC认证用户名格式
在Access-Request报文中,用户名(User-Name)和密码(User-Password)的格式可以配置:
MAC地址用户名格式:直接使用终端的MAC地址(如
xx-xx-xx-xx-xx-xx)作为用户名和密码。固定用户名格式:网络上所有终端共享一个在NAS上预先配置好的用户名和密码。
核心RADIUS报文属性解读
为了帮你更精准地分析抓包,下表列出了MAC认证中几个核心的RADIUS属性:
| 属性名称 | 在交互中的关键作用 |
|---|---|
| User-Name & User-Password | 认证凭证。MAC认证中,通常直接使用终端的MAC地址填充这两个字段。 |
| Calling-Station-Id | 用户标识。直接填入请求接入的用户终端的MAC地址,用于服务器端记录和识别。 |
| Called-Station-Id | 接入位置。在有线和无线网络中分别填入接入设备的MAC或无线SSID,用于服务器识别接入点。 |
| Service-Type | 服务类型标识。MAC认证的Access-Request报文中,该值被明确设为Call-Check (10),以此与普通用户拨号认证进行区分。 |
| Framed-IP-Address & Framed-VLAN | 授权属性。在认证通过的Access-Accept报文中下发,用于分配固定IP或指定用户所属的VLAN。 |
| Filter-Id | 授权属性。同样是Access-Accept报文中下发,用于指定用户需要应用的ACL访问控制列表。 |
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论