【NAC】【802.1x】802.1x环境配置MAC地址白名单不生效排查

王燚发表于:2021年04月02日 20:54:05更新于:2021年05月08日 20:31:23

1 问题描述

802.1x环境配置MAC地址白名单不生效

 

2 适用场景

•通用

3 原因分析

其原理就是利用交换机的MAB MAC认证功能,将哑终端的MAC地址通过交换机转发至准入服务器进行认证。

1、提供MAB MAC认证时例外的终端MAC是必填项,也可批量导入MAC列表

image.png

确认nac设备/var/log/nac/macwhite.log 是否有拿到mac白名单配置。

image.png

2、MAB Mac认证是基于802.1x的扩展基础上,根据不同交换机型号或版本配置有所不同,请以交换机厂商配置文档为准,在端口下开启MAC认证模式。

 3、认证时抓包确认是否有交换机发向nac的mac认证信息。

image.png

4 解决办法

• 根治办法:确认交换机是否有配置mab认证,按照原因分析确认nac是否有收到mac地址的radius报文、mac地址白名单配置nac设备是否有拿到。


附:

MAB Mac认证是基于802.1x的扩展基础上,根据不同交换机型号或版本配置有所不同,请以交换机厂商配置文档为准,这里以H3C和思科为例,在端口下开启MAC认证模式。

H3C交换机:

 

•    mac-authentication                 

•    开启mac认证全局命令

•    mac-authentication domain test.commac

•    认证引用认证的域,此域可以与802.1x认证的域通用

•    interface GigabitEthernet1/0/18

•    dot1x port-method macbased

•    mac-authentication                            

•    端口开启mac认证

•    dot1x     

•    开启802.1X认证   

 

思科交换机:

 

•     interface FastEthernet0/8

•     switchport mode access

•     authentication order dot1x  mab

•     authentication priority dot1x  mab

•     authentication port-control auto

•     mab eap

•     dot1x pae authenticator

•     spanning-tree portfast