在无感知的状态下,获取到身份相应的网络权限
MAC地址认证的优势:全程无感知,客户电脑进行联网就能完成认证。
场景举例:某公司有不同层级的员工,分别对应着不同的网络访问权限。领导们的网络是全开放的,员工的网络是部分受限制的,驻场的外包人员访问网络的权限会更少。如何在无感知的情况下为相关的人员分配不同的访问权限呢?
目的:领导到公司拿电脑插上网线,即可获取到领导的专属VLAN_ID,这个vlanid可以访问所有的资源。驻场人员到公司,连上网线,自动下发驻场VLAN_ID,这个vlanid只可以访问一些驻场需要的服务器资源。
基于MAC地址的VLAN划分方式
基于MAC的VLAN是根据报文的源MAC地址来划分VLAN。设备维护的MAC VLAN表记录了MAC地址和VLAN的对应关系。这种划分方法的最大优点就是当用户物理位置发生变化,VLAN不用重新配置。所以这种根据MAC地址的划分方法也称为基于用户的VLAN。
1. 手动配置静态MAC VLAN-网络设备本身能力
手动配置静态MAC VLAN常用于VLAN中用户相对较少的网络环境。在该方式下,用户需要手动配置MAC VLAN表项,开启基于MAC地址的VLAN功能,并将端口加入MAC VLAN。其原理为:
● 当端口收到的报文为Untagged报文时,根据报文的源MAC地址匹配MAC VLAN表项。首先进行模糊匹配,即查询MAC VLAN表中掩码不是全F的表项,将源MAC地址和掩码相与运算后与MAC VLAN表项中的MAC地址匹配,如果完全相同,则模糊匹配成功,给报文添加表项中对应的VLAN Tag并转发该报文;如果模糊匹配失败,则进行精确匹配,即查询表中掩码为全F的表项。如果报文中的源MAC地址与某MAC VLAN表项中的MAC地址完全相同,则精确匹配成功,给报文添加表项中对应的VLAN Tag并转发该报文;如果没有找到匹配的MAC VLAN表项,则继续按照其他原则(基于IP子网的VLAN、基于协议的VLAN、基于端口的VLAN)确定报文所属的VLAN,给报文添加对应的VLAN Tag并转发该报文。
● 当端口收到的报文为Tagged报文时,如果报文的VLAN ID在该端口允许通过的VLAN ID列表里,则转发该报文;否则丢弃该报文。
2. 动态触发端口加入静态MAC VLAN-网络设备本身能力
手动配置静态MAC VLAN时,如果不能确定从哪些端口收到指定VLAN的报文,就不能把相应端口加入到MAC VLAN。此时可以采用动态触发端口加入静态MAC VLAN的方式。在该方式下,配置MAC VLAN表项后,需要在端口上开启基于MAC的VLAN功能和MAC VLAN的动态触发功能,不需要手动把端口加入MAC VLAN。
配置动态触发端口加入静态MAC VLAN后,端口在收到报文时,首先判断报文是否携带VLAN Tag,若带VLAN Tag,则直接获取报文源MAC地址;若不带VLAN Tag,则先进行报文VLAN选择(按照基于MAC的VLAN->基于IP子网的VLAN->基于协议的VLAN->基于端口的VLAN的优先次序为该Untagged报文添加对应的VLAN Tag,并获取该VLAN Tag),再获取报文源MAC地址,然后根据报文的源MAC地址和VLAN查询静态MAC VLAN表项:
● 如果报文源MAC地址与MAC VLAN表项中的MAC地址精确匹配,再检查报文的VLAN ID是否与对应表项中的VLAN ID一致,若一致,通过该报文动态触发端口加入相应VLAN,同时转发该报文;否则丢弃该报文。
● 如果报文源MAC地址与MAC VLAN表项的MAC地址不精确匹配,当报文VLAN ID为PVID,判断端口是否允许报文在PVID内转发,若允许,则在PVID中转发该报文,否则丢弃该报文。
3. 基于MAC认证实现动态vlan划分-对接宁盾
MAC认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。
对接宁盾网络准入实现基于“身份”的vlan划分
这里的“身份”:用户和mac地址进行绑定,也就是人与端的绑定关系。
宁盾基于mac地址动态认证的方式,实现对于不同人员的VLAN_ID划分。
认证概述流程:
1、在认证之前客户端与设备之间建立预连接,比如:连接网线等操作。
2、设备在检查到用户发送的ARP/DHCP/ND/DHCPv6中的任意一种报文,即触发用户的MAC认证。
3、根据配置,设备将mac地址作为用户名,发送认证请求至宁盾。
4、认证服务器验证接收到的mac地址,并且查询本地的用户与mac地址的绑定关系,基于用户的角色等信息,划分mac地址的权限,验证成功后向设备发送认证成功报文,并将查询到的相关vlan_id携带其中。
5、设备接收到认证成功报文后将接口改为授权状态,允许用户通过接口访问网络。同时将用户加入自身在线用户列表中。
宁盾(www.nington.com)版权所有
—END—