- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
03-MAC地址認證配置
本章節下載: 03-MAC地址認證配置 (317.47 KB)
目 錄
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法,它不需要用戶安裝任何客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以後,即啟動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或者密碼。若該用戶認證成功,則允許其通過端口訪問網絡資源,否則該用戶的MAC地址就被添加為靜默MAC。在靜默時間內(可通過靜默定時器配置),來自此MAC地址的用戶報文到達時,設備直接做丟棄處理,以防止非法MAC短時間內的重複認證。
若配置的靜態MAC或者當前認證通過的MAC地址與靜默MAC相同,則MAC地址認證失敗後的MAC靜默功能將會失效。
目前設備支持兩種方式的MAC地址認證,通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器進行遠程認證和在接入設備上進行本地認證。有關遠程RADIUS認證和本地認證的詳細介紹請參見“安全配置指導”中的“AAA配置”。
根據設備最終用於驗證用戶身份的用戶名格式和內容的不同,可以將MAC地址認證使用的用戶名格式分為兩種類型:
· MAC地址用戶名格式:使用用戶的MAC地址作為認證時的用戶名和密碼;
· 固定用戶名格式:不論用戶的MAC地址為何值,所有用戶均使用設備上指定的一個固定用戶名和密碼替代用戶的MAC地址作為身份信息進行認證。由於同一個端口下可以有多個用戶進行認證,因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名進行認證,服務器端僅需要配置一個用戶帳戶即可滿足所有認證用戶的認證需求,適用於接入客戶端比較可信的網絡環境。
圖1-1 不同用戶名格式下的MAC地址認證示意圖
當選用RADIUS服務器認證方式進行MAC地址認證時,設備作為RADIUS客戶端,與RADIUS服務器配合完成MAC地址認證操作:
· 若采用MAC地址用戶名格式,則設備將檢測到的用戶MAC地址作為用戶名和密碼發送給RADIUS服務器進行驗證。
· 若采用固定用戶名格式,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼,發送給RADIUS服務器進行驗證。
RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問網絡。
當選用本地認證方式進行MAC地址認證時,直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼:
· 若采用MAC地址用戶名格式,則設備將檢測到的用戶MAC地址作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
· 若采用固定用戶名,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
用戶名和密碼匹配成功後,用戶可以訪問網絡。
可配置的MAC地址認證定時器包括以下幾種:
· 下線檢測定時器(offline-detect):用來設置用戶空閑超時的時間間隔。如果在兩個時間間隔之內,某在線用戶沒有流量通過設備,設備將切斷該用戶的連接,同時通知RADIUS服務器,停止對該用戶的計費。
· 靜默定時器(quiet):用來設置用戶認證失敗以後,設備停止對其提供認證服務的時間間隔。在靜默期間,設備不對來自該用戶的報文進行認證處理,直接丟棄。靜默期後,如果設備再次收到該用戶的報文,則依然可以對其進行認證處理。
· 服務器超時定時器(server-timeout):用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答,則設備將在相應的端口上禁止此用戶訪問網絡。
為了將受限的網絡資源與未認證用戶隔離,通常將受限的網絡資源和用戶劃分到不同的VLAN。MAC地址認證支持認證服務器(遠程或本地)授權下發VLAN功能,即當用戶通過MAC地址認證後,認證服務器將指定的受限網絡資源所在的VLAN作為授權VLAN下發到用戶認證的端口。該端口被加入到授權VLAN中後,用戶便可以訪問這些受限的網絡資源。
設備根據用戶接入的端口鏈路類型,按以下三種情況將端口加入下發的授權VLAN中。
· 若用戶從Access類型的端口接入,則端口離開當前VLAN並加入下發的授權VLAN中。
· 若用戶從Trunk類型的端口接入,則設備允許下發的授權VLAN通過該端口,並且修改該端口的缺省VLAN為下發的授權VLAN。
· 若用戶從Hybrid類型的端口接入,則設備允許授權下發的VLAN以不攜帶Tag的方式通過該端口,並且修改該端口的缺省VLAN為下發的授權VLAN。需要注意的是,若該端口上使能了MAC VLAN功能,則設備將根據認證服務器下發的授權VLAN動態地創建基於用戶MAC的VLAN,而端口的缺省VLAN並不改變。
從認證服務器(遠程或本地)下發的ACL被稱為授權ACL,它為用戶訪問網絡提供了良好的過濾條件設置功能。MAC地址認證支持認證服務器授權下發ACL功能,即當用戶通過MAC地址認證後,如果認證服務器上配置了授權ACL,則設備會根據服務器下發的授權ACL對用戶所在端口的數據流進行控製。為使下發的授權ACL生效,需要提前在設備上配置相應的ACL規則。而且在用戶訪問網絡的過程中,可以通過改變服務器的授權ACL設置來改變用戶的訪問權限。
Guest VLAN功能允許用戶在認證失敗的情況下訪問某一特定VLAN中的資源,比如獲取客戶端軟件,升級客戶端或執行其他一些用戶升級程序。這個VLAN稱之為Guest VLAN。
如果接入用戶的端口上配置了Guest VLAN,則該端口上認證失敗的用戶會被加入Guest VLAN,且設備允許Guest VLAN以不攜帶Tag的方式通過該端口,即該用戶被授權訪問Guest VLAN裏的資源。若Guest VLAN中的用戶再次發起認證未成功,則該用戶將仍然處於Guest VLAN內;若認證成功,則會根據認證服務器是否下發授權VLAN決定是否將用戶加入到下發的授權VLAN中,在認證服務器未下發授權VLAN的情況下,用戶回到加入Guest VLAN之前端口所在的VLAN。
表1-1 MAC地址認證配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
MAC地址認證基本配置 |
必選 |
|
|
配置MAC地址認證用戶使用的認證域 |
可選 |
|
|
配置MAC地址認證的Guest VLAN |
可選 |
· 創建並配置ISP域。
· 若采用本地認證方式,需創建本地用戶並設置其密碼,且本地用戶的服務類型應設置為lan-access。
· 若采用遠程RADIUS認證方式,需要確保設備與RADIUS服務器之間的路由可達,並添加MAC地址認證用戶帳號。
創建本地用戶或添加遠程用戶帳號時,需要注意這些用戶的用戶名必須與設備上指定的MAC地址認證用戶名格式保持一致。
隻有全局和端口的MAC地址認證特性均開啟後,MAC地址認證配置才能在端口上生效。
表1-2 配置全局MAC地址認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
啟動全局的MAC地址認證特性 |
mac-authentication |
必選 缺省情況下,全局的MAC地址認證特性為關閉狀態 |
|
配置MAC地址認證定時器 |
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value } |
可選 缺省情況下,下線檢測定時器為300秒,靜默定時器為60秒,服務器超時定時器取值為100秒 |
|
配置MAC地址認證用戶的用戶名格式 |
mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } password ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] } |
可選 缺省情況下,使用用戶的源MAC地址做用戶名與密碼,其中字母為小寫,MAC地址不帶連字符“-” |
表1-3 配置端口MAC地址認證
|
配置步驟 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
開啟端口MAC地址認證特性 |
係統視圖 |
mac-authentication interface interface-list |
二者必選其一 缺省情況下,端口的MAC地址認證特性為關閉狀態 |
|
接口視圖 |
interface interface-type interface-number |
||
|
mac-authentication |
|||
|
配置端口同時可容納接入的MAC地址認證用戶數量的最大值 |
mac-authentication max-user user-number |
可選 端口同時可容納接入用戶數量為1024 |
|
端口啟動MAC地址認證與端口加入聚合組及端口加入業務環回組互斥。
缺省情況下,對端口上接入的用戶進行MAC地址認證時,使用係統缺省的認證域。為了便於接入設備的管理員更為靈活地部署用戶的接入策略,設備支持指定MAC地址認證用戶使用的認證域,可以通過以下兩種配置實現:
· 在係統視圖下指定一個認證域,該認證域對所有使能了MAC地址認證的端口生效。
· 在接口視圖下指定該端口的認證域,不同的端口可以指定不同的認證域。
如果係統視圖和接口視圖下都指定了認證域,則端口優先采用本端口上指定的認證域。
表1-4 指定MAC地址認證用戶使用的認證域
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定MAC地址認證用戶使用的認證域 |
mac-authentication domain domain-name |
二者至少選其一 缺省情況下,未指定MAC地址認證用戶使用的認證域,使用係統缺省的認證域 |
|
interface interface-type interface-number mac-authentication domain domain-name |
端口上接入的MAC地址認證用戶將按照如下先後順序選擇認證域:端口上指定的認證域-->係統視圖下指定的認證域-->係統缺省的認證域。關於認證域的相關介紹請參見“安全配置指導”中的“AAA配置”。
· 若在802.1X接入控製方式為MAC-based的端口上同時配置了802.1X認證的Guest VLAN與MAC地址認證的Guest VLAN,則僅802.1X認證的Guest VLAN生效,因此建議在配置MAC地址認證的Guest VLAN之前,確認是否配置了802.1X認證的Guest VLAN。關於802.1X的Guest VLAN介紹請參見“安全配置指導”中的“802.1X配置”。
· MAC地址認證Guest VLAN功能的優先級高於端口安全中端口入侵檢測的阻塞MAC功能,低於端口入侵檢測的端口關閉功能,因此在開啟了端口安全入侵檢測的端口關閉功能時,MAC地址認證的Guest VLAN功能不生效。關於端口入侵檢測功能的具體介紹請參見“安全配置指導”中的“端口安全配置”。
· 開啟MAC地址認證特性。
· 端口的MAC VLAN功能已經使能。
· 已經創建需要配置為Guest VLAN的VLAN。
表1-5 配置Guest VLAN
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入WLAN-ESS接口視圖 |
interface interface-type interface-number |
- |
|
配置MAC認證的Guest VLAN |
mac-authentication guest-vlan guest-vlan-id |
必選 缺省情況下,沒有配置MAC認證的Guest VLAN |
· 不同的端口可以配置不同的Guest VLAN,但一個端口隻能配置一個Guest VLAN。
· MAC地址認證Guest VLAN功能的優先級高於MAC地址認證的靜默MAC功能,即認證失敗的用戶可訪問指定的Guest VLAN中的資源,且該用戶的MAC地址不會被加入靜默MAC。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MAC地址認證的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
表1-6 MAC地址認證的顯示和維護
|
操作 |
命令 |
|
顯示MAC地址認證的相關信息 |
display mac-authentication [ interface interface-list ] [ | { begin | exclude | include } regular-expression ] |
|
清除MAC地址認證的統計信息 |
reset mac-authentication statistics [ interface interface-list ] |
如圖1-2所示,無線用戶Client通過L2switch與無線控製器AC的相連接。
· 無線控製器的管理者希望在WLAN-ESS端口上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。
· 要求無線控製器每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於域:example.com,認證時使用本地認證的方式。
· 使用用戶的MAC地址00-e0-fc-12-34-56做用戶名和密碼都,其中MAC地址帶連字符、字母小寫。
圖1-2 啟動MAC地址認證對接入用戶進行本地認證
(1) 在AC上配置本地MAC地址認證
# 添加本地接入用戶。用戶名和密碼均為接入用戶的MAC地址00-e0-fc-12-34-56,服務類型為lan-access。
<AC> system-view
[AC] local-user 00-e0-fc-12-34-56
[AC-luser-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56
[AC-luser-00-e0-fc-12-34-56] service-type lan-access
[AC-luser-00-e0-fc-12-34-56] quit
# 配置ISP域,使用本地認證方式。
[AC] domain example.com
[AC-isp-example.com] authentication lan-access local
[AC-isp-example.com] quit
# 配置MAC地址認證用戶所使用的ISP域。
[AC] mac-authentication domain example.com
# 配置MAC地址認證的定時器。
[AC] mac-authentication timer offline-detect 180
[AC] mac-authentication timer quiet 180
# 配置MAC地址認證用戶名格式:使用帶連字符的MAC地址作為用戶名與密碼,其中字母小寫。
[AC] mac-authentication user-name-format mac-address with-hyphen lowercase
# 使能端口安全。
[AC] port-security enable
# 配置無線端口安全,使用密文MAC認證。
[AC] interface WLAN-ESS 0
[AC-WLAN-ESS0] port-security port-mode mac-and-psk
[AC-WLAN-ESS0] port-security tx-key-type 11key
[AC-WLAN-ESS0] port-security preshared-key pass-phrase 12345678
[AC-WLAN-ESS0] quit
(2) 在AC上配置無線服務和AP
# 創建服務模板2(加密類型服務模板),配置SSID為mac-authentication-local,將WLAN-ESS0接口綁定到服務模板2。
[AC] wlan service-template 2 crypto
[AC-wlan-st-2] ssid mac-authentication-local
[AC-wlan-st-2] bind WLAN-ESS 0
[AC-wlan-st-2] authentication-method open-system
[AC-wlan-st-2] cipher-suite ccmp
[AC-wlan-st-2] security-ie rsn
[AC-wlan-st-2] service-template enable
[AC-wlan-st-2] quit
# 配置AP 1:創建AP 1的模板,名稱為ap1,型號名稱選擇WA2100,並配置AP 1的序列號為210235A29G007C000020。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 將服務模板2綁定到AP 1的radio 1口,並啟用射頻。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] service-template 2
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
(3) 驗證配置結果
# 無線用戶通過本地MAC地址認證上線後,可以通過display mac-authentication interface WLAN-DBSS命令顯示無線端口的MAC地址認證信息。
<AC> display mac-authentication interface WLAN-DBSS 0:0
MAC address authentication is enabled.
User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx
Fixed username:mac
Fixed password:not configured
Offline detect period is 180s
Quiet period is 180s
Server response timeout value is 100s
The max allowed user number is 4096 per slot
Current user number amounts to 1
Current domain is example.com
Silent MAC User info:
MAC Addr From Port Port Index
WLAN-DBSS0:6 is link-up
MAC address authentication is enabled
Authenticate success: 0, failed: 0
Max number of on-line users is 4096
Current online user number is 1
MAC Addr Authenticate State Auth Index
00e0-fc12-3456 MAC_AUTHENTICATOR_AUTHOR 1299
# 無線用戶Client認證成功後,通過在設備上執行display connection命令可以查看到已上線用戶的連接信息
<AC>display connection
Index=1299,[email protected]
MAC=00-E0-FC-12-34-56
IP=N/A
IPv6=N/A
Total 1 connection(s) matched.
如圖1-3所示,無線用戶Client通過L2switch與無線控製器AC 相連,無線控製器通過RADIUS服務器對用戶進行認證、授權和計費。
· 無線控製器的管理者希望在WLAN-ESS端口上對用戶接入進行MAC地址認證,以控製其對Internet的訪問。
· 要求無線控製器每隔180秒就對用戶是否下線進行檢測;並且當用戶認證失敗時,需等待180秒後才能對用戶再次發起認證。
· 所有用戶都屬於域2000,認證時采用固定用戶名格式,用戶名為aaa,密碼為123456。
圖1-3 啟動MAC地址認證對接入用戶進行RADIUS認證
確保RADIUS服務器與無線控製器間路由可達,並成功添加了接入用戶帳戶:用戶名為aaa,密碼為123456。
(1) 配置在AC上使用RADIUS服務器進行MAC地址認證
# 配置各接口的IP地址(略)。
# 配置RADIUS方案。
<AC> system-view
[AC] radius scheme 2000
[AC-radius-2000] primary authentication 10.1.1.1 1812
[AC-radius-2000] primary accounting 10.1.1.2 1813
[AC-radius-2000] key authentication abc
[AC-radius-2000] key accounting abc
[AC-radius-2000] user-name-format without-domain
[AC-radius-2000] quit
# 配置ISP域的AAA方案。
[AC] domain 2000
[AC-isp-2000] authentication default radius-scheme 2000
[AC-isp-2000] authorization default radius-scheme 2000
[AC-isp-2000] accounting default radius-scheme 2000
[AC-isp-2000] quit
# 使能端口安全。
[AC] port-security enable
# 配置無線端口安全,使用密文MAC認證,並指定MAC地址認證用戶使用的認證域。
[AC] interface WLAN-ESS 0
[AC-WLAN-ESS0] port-security port-mode mac-and-psk
[AC-WLAN-ESS0] port-security tx-key-type 11key
[AC-WLAN-ESS0] port-security preshared-key pass-phrase 12345678
[AC-WLAN-ESS0] mac-authentication domain 2000
[AC-WLAN-ESS0] quit
(2) 在AC上配置無線服務和AP
# 創建服務模板2(加密類型服務模板),配置SSID為mac-authentication-radius,將WLAN-ESS2接口綁定到服務模板2。
[AC] wlan service-template 2 crypto
[AC-wlan-st-2] ssid mac-authentication-radius
[AC-wlan-st-2] bind WLAN-ESS 0
[AC-wlan-st-2] authentication-method open-system
[AC-wlan-st-2] cipher-suite ccmp
[AC-wlan-st-2] security-ie rsn
[AC-wlan-st-2] service-template enable
[AC-wlan-st-2] quit
# 配置AP 1:創建AP 1的模板,名稱為ap1,型號名稱選擇WA2100,並配置AP 1的序列號為210235A29G007C000020。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 將服務模板2綁定到AP 1的radio 1口。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] service-template 2
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 配置MAC地址認證用戶所使用的ISP域。
[AC] mac-authentication domain 2000
# 配置MAC地址認證的定時器。
[AC] mac-authentication timer offline-detect 180
[AC] mac-authentication timer quiet 180
# 配置MAC地址認證使用固定用戶名格式:用戶名為aaa,密碼為123456。
[AC] mac-authentication user-name-format fixed account aaa password simple 123456
(3) 驗證配置結果
# 無線用戶通過RADIUS服務器的MAC地址認證上線後,可以通過display mac-authentication interface WLAN-DBSS命令顯示無線端口的MAC地址認證信息。
<AC> display mac-authentication interface WLAN-DBSS0:7
MAC address authentication is enabled.
User name format is fixed account
Fixed username:aaa
Fixed password:123456
Offline detect period is 180s
Quiet period is 180s
Server response timeout value is 100s
The max allowed user number is 4096 per slot
Current user number amounts to 1
Current domain is 2000
Silent MAC User info:
MAC Addr From Port Port Index
WLAN-DBSS0:7 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Max number of on-line users is 4096
Current online user number is 1
MAC Addr Authenticate State Auth Index
000e-35b2-8be9 MAC_AUTHENTICATOR_SUCCESS 1297
# 無線用戶Client認證成功後,通過在設備上執行display connection命令可以查看到已上線用戶的連接信息。
<AC> display connection
Index=1297,Username=aaa@2000
MAC=00-0E-35-B2-8B-E9
IP=N/A
IPv6=N/A
Total 2 connection(s) matched.
如圖1-4所示,無線用戶Client通過MAC認證接入網絡,認證服務器為RADIUS服務器,可對接入用戶進行認證、授權和計費,Internet網絡中有一台FTP服務器,IP地址為10.0.0.1。
· 認證時使用用戶的源MAC地址做用戶名和密碼,其中MAC地址帶連字符、字母小寫。
· 在認證服務器上配置授權下發ACL 3000,同時在AC的WLAN-ESS接口上開啟MAC認證,並配置ACL 3000。
· 當用戶認證成功上線,認證服務器下發ACL 3000,此時ACL 3000在WLAN-ESS接口上生效,無線用戶Client可以訪問除FTP服務器之外的Internet資源。
圖1-4 下發ACL典型配置組網圖
· 確保RADIUS服務器與無線控製器間路由可達。
· 由於該例中使用了MAC地址認證的缺省用戶名和密碼,即使用用戶的源MAC地址做用戶名與密碼,因此還要保證RADIUS服務器上正確添加了接入用戶帳戶:用戶名為00-e0-fc-12-34-56,密碼為00-e0-fc-12-34-56。
· 指定RADIUS服務器上的授權ACL為設備上配置的ACL 3000。
(1) 配置授權ACL
# 配置各接口的IP地址(略)。
# 配置ACL 3000,拒絕目的IP地址為10.0.0.1的報文通過。
<AC> system-view
[AC] acl number 3000
[AC-acl-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[AC-acl-adv-3000] quit
(2) 配置使用RADIUS服務器進行MAC地址認證
# 配置RADIUS方案。
[AC] radius scheme 2000
[AC-radius-2000] primary authentication 10.1.1.1 1812
[AC-radius-2000] primary accounting 10.1.1.2 1813
[AC-radius-2000] key authentication abc
[AC-radius-2000] key accounting abc
[AC-radius-2000] user-name-format without-domain
[AC-radius-2000] quit
# 配置ISP域的AAA方案。
[AC] domaim 2000
[AC-isp-2000] authentication default radius-scheme 2000
[AC-isp-2000] authorization default radius-scheme 2000
[AC-isp-2000] accounting default radius-scheme 2000
[AC-isp-2000] quit
# 配置MAC地址認證用戶所使用的ISP域。
[AC] mac-authentication domain 2000
# 配置MAC地址認證用戶名格式:使用帶連字符的MAC地址做用戶名與密碼,其中字母小寫。
[AC] mac-authentication user-name-format mac-address with-hyphen lowercase
# 使能端口安全。
[AC] port-security enable
# 配置無線端口安全,使用密文MAC認證,並指定MAC地址認證用戶使用的認證域。
[AC] interface WLAN-ESS 0
[AC-WLAN-ESS0] port-security port-mode mac-and-psk
[AC-WLAN-ESS0] port-security tx-key-type 11key
[AC-WLAN-ESS0] port-security preshared-key pass-phrase 12345678
[AC-WLAN-ESS0] mac-authentication domain 2000
[AC-WLAN-ESS2] quit
# 創建服務模板2(加密類型服務模板),配置SSID為mac-authention-acl,將WLAN-ESS2接口綁定到服務模板2。
[AC] wlan service-template 2 crypto
[AC-wlan-st-2] ssid mac-authention-acl
[AC-wlan-st-2] bind WLAN-ESS 0
[AC-wlan-st-2] authentication-method open-system
[AC-wlan-st-2] cipher-suite ccmp
[AC-wlan-st-2] security-ie rsn
[AC-wlan-st-2] service-template enable
[AC-wlan-st-2] quit
(3) 配置AP
# 配置AP 1:創建AP 1的模板,名稱為ap1,型號名稱選擇WA2100,並配置AP 1的序列號為210235A29G007C000020。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 將服務模板2綁定到AP 1的radio 1口。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] service-template 2
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] return
(4) 驗證配置結果
# 無線用戶通過RADIUS服務器的MAC地址認證上線後,可以通過display mac-authentication interface WLAN-DBSS命令顯示無線端口的MAC地址認證信息。
<AC>display mac-authentication interface WLAN-DBSS 0:9
MAC address authentication is enabled.
User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx
Fixed username:mac
Fixed password:not configured
Offline detect period is 180s
Quiet period is 180s
Server response timeout value is 100s
The max allowed user number is 4096 per slot
Current user number amounts to 1
Current domain is 2000
Silent MAC User info:
MAC Addr From Port Port Index
WLAN-DBSS0:9 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Max number of on-line users is 4096
Current online user number is 1
MAC Addr Authenticate State Auth Index
00e0-fc12-3456 MAC_AUTHENTICATOR_SUCCESS 1301
# 無線用戶Client認證成功後,通過在設備上執行display connection命令可以查看到已上線用戶信息。
<AC> display connection
Index=1301,Username=00-e0-fc-12-34-56@2000
MAC=00-E0-FC-L2-34-56
IP=N/A
IPv6=N/A
Total 1 connection(s) matched.
無線用戶Client通過ping FTP服務器,可以驗證認證服務器下發的ACL 3000是否生效。服務器下發的ACL 3000生效後,無線用戶無法ping通FTP服務器。
<AC> ping 10.0.0.1
PING 10.0.0.1: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
--- 10.0.0.1 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
售前谘詢
售後谘詢
人工在線谘詢
