ACS5.2 MAC旁路技术实现与配置教程

"本文主要介绍了如何在Cisco的ACS 5.2系统中配置MAC地址旁路技术，结合RADIUS授权，实现对IPPhone和PC的差异化服务。此技术适用于IPPhone与PC共用网络接口的环境，允许根据设备类型提供不同的认证方式。" 在Cisco的ACS（身份验证、授权和计费服务器）5.2版本中，MAC地址旁路技术是一种功能，它允许在同一个网络端口上，根据连接设备的MAC地址或认证协议来提供不同的接入服务。这对于需要对IPPhone进行无阻碍访问，同时又要对PC进行PEAP（Protected Extensible Authentication Protocol）认证的环境特别有用。MAC旁路技术使得IPPhone可以通过MAC地址被识别并绕过认证，而PC则需要通过PEAP进行身份验证。 配置MAC地址旁路技术的步骤大致如下： 1. 首先，需要在交换机上配置为RADIUS客户端，使用命令`aaa new-model`和`radius-server host 202.100.1.241 key cisco`来指定RADIUS服务器的地址和共享密钥。 2. 在ACS 5.2上，定义RADIUS客户端，并创建三个身份组（IdentityGroup）：Test、PEAP和MAC。Test用于测试，PEAP用于PEAP认证，MAC用于MAC地址Bypass。 3. 在内部身份存储（Internal Identity Stores）下的User部分创建用户，例如Cisco（用于客户端测试）和Peapuser（用于PEAP认证），并将它们关联到相应的身份组。 4. 在Hosts中添加设备的MAC地址，并将其分配到MAC组中。 5. 在交换机上执行测试，如`test aaagroup radius cisco cisco new-code`，确保配置正确。 6. 在Access Policies的Access Services中创建新的服务。创建一个PEAP服务，选择UserSelectedServiceType为NetworkAccess，启用PAP/ASCII和PEAP（使用MS-CHAPv2）认证。 7. 创建一个MACBypass的Access Service，基于NetworkAccess - MACAuthenticationBypass模板，仅保留默认的ProcessHostLookup选项。 通过这样的配置，当设备连接到端口时，ACS会根据设备的MAC地址或认证请求类型来决定应用哪种服务。PEAP服务适用于需要认证的PC，而MACBypass服务则允许IPPhone等预定义MAC地址的设备直接接入，无需认证。 这种配置方法在实际网络环境中提供了灵活性，可以根据设备类型实现精细化管理，提高了安全性，同时也简化了网络运维。对于那些需要对特定设备进行特殊处理的网络环境，如企业内部网络，MAC地址旁路技术是十分实用的。