MAC认证配置及命令解析（含华为和华三设备）

前言：

MAC认证是网络接入控制方案（NAC）中的一种，它是基于接口和MAC地址对用户的网络访问权限进行控制的认证方法，并且不需要用户安装任何客户端软件。通过MAC认证能够实现保护企业内网的安全性的目的。

MAC认证无需用户终端安装客户端，但是却需要在服务器上登记MAC地址，管理较为复杂。相较而言，NAC中的802.1X认证方式安全性高，但是由于需要用户终端安装客户端，部署不灵活；而Portal认证方式同样不需要客户端并且部署灵活，但是安全性不高。

MAC认证一般适用于打印机、传真机等哑终端接入认证的场景。

场景

华为Agile Controller-Campus对接入用户进行MAC认证（认证点部署在接入交换机）

HUAWEI/H3C设备——对接HUAWEI AG（RADIUS服务器）

NAC为统一模式，可基于VPN实例

终端用户采用MAC认证方式接入组网环境

一、华为设备：

1、配置RADIUS服务器，添加用户账户，保证用户的认证/授权/计费功能正常运行（略）

#配置过程中有两个个共享密钥（RADIUS认证和计费密钥）交换机侧与服务器侧必须要配置一致

2、配置全网路由可达

4、创建RADIUS服务器模板（指定RADIUS服务器IP地址及共享密钥）

radius-server template radius_temp                                 #创建radius server模板
radius-server shared-key cipher Radius@Auth                        #定义共享秘钥
radius-server authentication X.X.X.X 1812 vpn-instance Video source ip-address X.X.X.X weight 100   #ip-address为需要修改的地址，每个局点不同
radius-server accounting X.X.X.X 1813 vpn-instance Video source ip-address X.X.X.X weight 100       #ip-address为需要修改的地址，每个局点不同
radius-server testuser username AuthTest password cipher Huayun@123                                           #创建测试用户AuthTest，用户密码Huayun@123
 
radius-server authorization X.X.X.X vpn-instance Video shared-key cip Radius@Auth