04-MAC地址认证配置
本章节下载: 04-MAC地址认证配置 (338.74 KB)
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为静默MAC。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
若配置的静态MAC或者当前认证通过的MAC地址与静默MAC相同,则MAC地址认证失败后的MAC静默功能将会失效。
目前设备支持两种方式的MAC地址认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证。有关远程RADIUS认证和本地认证的详细介绍请参见“安全配置指导”中的“AAA”。
根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户名格式分为两种类型:
· MAC地址用户名格式:使用用户的MAC地址作为认证时的用户名和密码;
· 固定用户名格式:不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
图1-1 不同用户名格式下的MAC地址认证示意图
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
· 若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。
· 若采用固定用户名格式,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码,发送给RADIUS服务器进行验证。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
· 若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。
· 若采用固定用户名,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。
可配置的MAC地址认证定时器包括以下几种:
· 下线检测定时器(offline-detect):用来设置用户空闲超时的时间间隔。如果在一个时间间隔之内,某在线用户没有流量通过设备,设备将切断该用户的连接,同时通知RADIUS服务器,停止对该用户的计费。
· 静默定时器(quiet):用来设置用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自该用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和用户划分到不同的VLAN。MAC地址认证支持认证服务器(远程或本地)授权下发VLAN功能,即当用户通过MAC地址认证后,认证服务器将指定的受限网络资源所在的VLAN作为授权VLAN下发到用户认证的端口。该端口被加入到授权VLAN中后,用户便可以访问这些受限的网络资源。
设备根据用户接入的端口链路类型,按以下三种情况将端口加入下发的授权VLAN中。
· 若用户从Access类型的端口接入,则端口离开当前VLAN并加入下发的授权VLAN中。
· 若用户从Trunk类型的端口接入,则设备允许下发的授权VLAN通过该端口,并且修改该端口的缺省VLAN为下发的授权VLAN。
· 若用户从Hybrid类型的端口接入,则设备允许授权下发的VLAN以不携带Tag的方式通过该端口,并且修改该端口的缺省VLAN为下发的授权VLAN。需要注意的是,若该端口上使能了MAC VLAN功能,则设备将根据认证服务器下发的授权VLAN动态地创建基于用户MAC的VLAN,而端口的缺省VLAN并不改变。
从认证服务器(远程或本地)下发的ACL被称为授权ACL,它为用户访问网络提供了良好的过滤条件设置功能。MAC地址认证支持认证服务器授权下发ACL功能,即当用户通过MAC地址认证后,如果认证服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制。为使下发的授权ACL生效,需要提前在设备上配置相应的ACL规则。而且在用户访问网络的过程中,可以通过改变服务器的授权ACL设置来改变用户的访问权限。
Guest VLAN功能允许用户在认证失败的情况下访问某一特定VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。这个VLAN称之为Guest VLAN。
如果接入用户的端口上配置了Guest VLAN,则该端口上认证失败的用户会被加入Guest VLAN,且设备允许Guest VLAN以不携带Tag的方式通过该端口,即该用户被授权访问Guest VLAN里的资源。若Guest VLAN中的用户再次发起认证未成功,则该用户将仍然处于Guest VLAN内;若认证成功,则会根据认证服务器是否下发授权VLAN决定是否将用户加入到下发的授权VLAN中,在认证服务器未下发授权VLAN的情况下,用户回到加入Guest VLAN之前端口所在的VLAN。
在用户通过Portal认证之后触发MAC地址认证和本地转发,即满足了用户在AC上集中做Portal认证的安全需求,又可以使用户在通过安全认证后数据流量能够在AP本地进行转发。当无线客户端在初次接入网络时,AC会检查其MAC地址是否通过Portal认证,如果没有则会认为用户MAC认证失败,此时无线客户端会进入Guest VLAN走集中转发并进行Portal认证;Portal认证成功之后,会重新触发MAC地址认证,此次由于检查其MAC地址已经通过了Portal认证,所以MAC地址认证成功,下发授权VLAN,该授权VLAN即为本地转发VLAN,此后无线客户端的数据流量都将会通过AP进行本地转发。
表1-1 MAC地址认证配置任务简介
MAC地址认证基本配置 |
||
配置MAC地址认证用户使用的认证域 |
||
配置MAC地址认证的Guest VLAN |
||
配置MAC地址认证的触发时机 |
可选 |
|
配置MAC地址认证的计费延时功能 |
可选 |
|
配置MAC地址认证后忽略Portal认证功能 |
可选 |
· 若采用本地认证方式,需创建本地用户并设置其密码,且本地用户的服务类型应设置为lan-access。
· 若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证用户帐号。
创建本地用户或添加远程用户帐号时,需要注意这些用户的用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
只有全局和端口的MAC地址认证特性均开启后,MAC地址认证配置才能在端口上生效。
表1-2 配置全局MAC地址认证
启动全局的MAC地址认证特性 |
缺省情况下,全局的MAC地址认证特性为关闭状态 开启端口安全特性时,会同时开启全局MAC地址认证特性 |
|
配置MAC地址认证定时器 |
缺省情况下,下线检测定时器为300秒,静默定时器为60秒,服务器超时定时器取值为100秒 |
|
配置MAC地址认证用户的用户名格式 |
缺省情况下,使用用户的源MAC地址做用户名与密码,其中字母为小写,不带连字符“-” |
表1-3 配置端口MAC地址认证
开启以太网端口MAC地址认证特性 |
缺省情况下,端口的MAC地址认证特性为关闭状态 端口启动MAC地址认证与端口加入聚合组互斥。 |
||
开启WLAN-ESS/WLAN-MESH端口的MAC地址认证特性 |
通过配置MAC地址认证的端口安全模式来开启端口的MAC地址认证特性,有关端口安全模式的详细介绍请参见“安全配置指导”中的“端口安全” |
||
配置端口同时可容纳接入的MAC地址认证用户数量的最大值 |
缺省情况下,对端口上接入的用户进行MAC地址认证时,使用系统缺省的认证域。为了便于接入设备的管理员更为灵活地部署用户的接入策略,设备支持指定MAC地址认证用户使用的认证域,可以通过以下两种配置实现:
· 在系统视图下指定一个认证域,该认证域对所有使能了MAC地址认证的端口生效。
· 在接口视图下指定该端口的认证域,不同的端口可以指定不同的认证域。
如果系统视图和接口视图下都指定了认证域,则端口优先采用本端口上指定的认证域。
表1-4 指定MAC地址认证用户使用的认证域
指定MAC地址认证用户使用的认证域 |
缺省情况下,未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域 |
|
interface interface-type interface-number |
端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。关于认证域的相关介绍请参见“安全配置指导”中的“AAA”。
· 若在802.1X接入控制方式为MAC-based的端口上同时配置了802.1X认证的Guest VLAN与MAC地址认证的Guest VLAN,则仅802.1X认证的Guest VLAN生效,因此建议在配置MAC地址认证的Guest VLAN之前,确认是否配置了802.1X认证的Guest VLAN。关于802.1X的Guest VLAN介绍请参见“安全配置指导”中的“802.1X”。
· MAC地址认证Guest VLAN功能的优先级高于端口安全中端口入侵检测的阻塞MAC功能,低于端口入侵检测的端口关闭功能,因此在开启了端口安全入侵检测的端口关闭功能时,MAC地址认证的Guest VLAN功能不生效。关于端口入侵检测功能的具体介绍请参见“安全配置指导”中的“端口安全”。
· 开启MAC地址认证特性。
· 端口的MAC VLAN功能已经使能。
· 已经创建需要配置为Guest VLAN的VLAN。
进入WLAN-ESS接口视图 |
||
配置MAC认证的Guest VLAN |
缺省情况下,没有配置MAC认证的Guest VLAN |
· 不同的端口可以配置不同的Guest VLAN,但一个端口只能配置一个Guest VLAN。
· MAC地址认证Guest VLAN功能的优先级高于MAC地址认证的静默MAC功能,即认证失败的用户可访问指定的Guest VLAN中的资源,且该用户的MAC地址不会被加入静默MAC。
· 配置无线服务为Clear方式;
· 配置无线用户认证的集中转发VLAN和本地转发VLAN;
· 开启无线端口安全的MAC地址认证特性;
· 开启无线端口的MAC VLAN功能;
· 创建Guest VLAN,并指定Guest VLAN为集中转发VLAN;
· 在集中转发VLAN中开启本地Portal功能;
· 配置Portal认证和MAC地址认证相关的AAA本地认证。
· 配置AAA服务器在MAC认证后下发的授权VLAN是本地转发VLAN。
表1-6 配置MAC地址认证的触发时机
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-ESS接口视图 |
interface interface-type interface-number |
- |
配置MAC认证的触发时机 |
mac-authentication trigger after-portal [ wait-time wait-time-value ] |
必选 缺省情况下,接口不对用户MAC地址认证和Portal认证的顺序进行限制 |
本特性需要结合本地转发,本地Portal功能一起来达到Portal认证支持本地转发的目的。
缺省情况下,计费延时功能处于关闭状态,用户认证成功后设备无论能否获取到用户的IP地址,都会立即向计费服务器发起计费请求。若该计费请求报文中携带了用户IP地址,则计费服务器将记录下用户的IP地址,该IP地址可用于管理用户的资费信息;若该计费请求报文中没有携带用户的IP地址,则计费服务器无法记录用户的IP地址。
如果开启了计费延时功能,则设备仅在获取到用户IP地址后才向计费服务器发送用户的计费请求报文,如果在指定的计费延时时间之内没有获取到用户的IP地址,则根据配置的计费延时动作来决定用户能否继续后续的计费流程。
若用户通过DHCP动态获取IP地址,且计费服务器要求记录用户IP地址时,建议开启该功能,确保设备在获取到用户的IP地址之后,将用户IP地址发送给计费服务器。
表1-7 配置MAC地址认证的计费延时功能
mac-authentication accounting-delay [ logoff | time time ] * |
当设备上同时开启了MAC地址认证和Portal认证时,可以通过开启本功能,使用户通过MAC地址认证后不需要再进行Portal认证即可访问相关资源。
表1-8 配置MAC地址认证后忽略Portal认证功能
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WLAN-ESS接口视图 |
interface wlan-ess interface-number |
- |
开启MAC认证成功后忽略Portal认证功能 |
mac-authentication bypass-portal enable |
可选 缺省情况下,MAC认证成功后忽略Portal认证功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后MAC地址认证的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除相关统计信息。
表1-9 MAC地址认证的显示和维护
显示MAC地址认证的相关信息 |
|
清除MAC地址认证的统计信息 |
reset mac-authentication statistics [ interface interface-list ] |
如图1-2所示,AP通过L2switch与无线控制器AC相连接。
· 无线控制器的管理者希望在WLAN-ESS端口上对用户接入进行MAC地址认证,以控制其对Internet的访问。
· 所有用户都属于域:example.com,认证时使用本地认证的方式。
· 使用用户的MAC地址00-e0-fc-12-34-56做为用户名和密码,其中MAC地址不带连字符、字母小写(缺省方式)。
图1-2 启动MAC地址认证对接入用户进行本地认证
(1) 在AC上配置本地MAC地址认证
# 添加本地接入用户。用户名和密码均为接入用户的MAC地址00e0fc123456,服务类型为lan-access。
[AC] local-user 00e0fc123456
[AC-luser-00e0fc123456] password simple 00e0fc123456
[AC-luser-00e0fc123456] service-type lan-access
[AC-luser-00e0fc123456] quit
# 配置ISP域,使用本地认证方式。
[AC-isp-example.com] authentication lan-access local
[AC-isp-example.com] quit
# 配置MAC地址认证用户所使用的ISP域。
[AC] mac-authentication domain example.com
# 配置MAC地址认证的定时器。
[AC] mac-authentication timer offline-detect 180
# 使能端口安全。
# 配置无线端口安全,使用MAC地址认证。
[AC-WLAN-ESS0] port-security port-mode mac-authentication
[AC-WLAN-ESS0] quit
(2) 在AC上配置无线服务和AP
# 创建服务模板2,配置SSID为mac-authentication-local,将WLAN-ESS0接口绑定到服务模板2。
[AC-wlan-st-2] ssid mac-authentication-local
[AC-wlan-st-2] bind wlan-ess 0
[AC-wlan-st-2] authentication-method open-system
[AC-wlan-st-2] service-template enable
[AC-wlan-st-2] quit
# 配置AP:创建AP的模板,名称为ap1,型号名称选择WA3628i-AGN,并配置AP的序列号为210235A29G007C000020。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 将服务模板2绑定到AP的radio 1口,并启用射频。
[AC-wlan-ap-ap1] radio 1 type dot11an
[AC-wlan-ap-ap1-radio-1] service-template 2
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 无线用户通过本地MAC地址认证上线后,可以通过display mac-authentication interface WLAN-DBSS命令显示无线端口的MAC地址认证信息。
<AC> display mac-authentication interface WLAN-DBSS 0:0
MAC address authentication is enabled.
User name format is MAC address in lowercase, like xxxxxxxxxxxx
Fixed username:mac
Fixed password:not configured
Offline detect period is 180s
Quiet period is 60s
Server response timeout value is 100s
The max allowed user number is 4096 per slot
Current user number amounts to 1
Current domain is example.com
Silent MAC User info:
MAC Addr From Port Port Index
WLAN-DBSS0:6 is link-up
MAC address authentication is enabled
Authenticate success: 0, failed: 0
Max number of on-line users is 4096
Current online user number is 1
MAC Addr Authenticate State Auth Index
00e0-fc12-3456 MAC_AUTHENTICATOR_AUTHOR 1299
# 无线用户Client认证成功后,通过在设备上执行display connection命令可以查看到已上线用户的连接信息
Index=1299,Username=00-e0-fc-l2-34-56@example.com
MAC=00-E0-FC-12-34-56
IP=N/A
IPv6=N/A
Total 1 connection(s) matched.
如图1-3所示,AP通过L2switch与无线控制器AC相连,无线控制器通过RADIUS服务器对用户进行认证、授权和计费。
· 无线控制器的管理者希望在WLAN-ESS端口上对用户接入进行MAC地址认证,以控制其对Internet的访问。
· 要求无线控制器每隔180秒就对用户是否下线进行检测。
· 所有用户都属于域2000,认证时采用固定用户名格式,用户名为aaa,密码为123456。
图1-3 启动MAC地址认证对接入用户进行RADIUS认证
确保RADIUS服务器与无线控制器间路由可达,并成功添加了接入用户帐户:用户名为aaa,密码为123456。
(1) 配置在AC上使用RADIUS服务器进行MAC地址认证
# 配置各接口的IP地址(略)。
# 配置RADIUS方案。
[AC] radius scheme 2000
[AC-radius-2000] primary authentication 10.1.1.1 1812
[AC-radius-2000] primary accounting 10.1.1.2 1813
[AC-radius-2000] key authentication simple abc
[AC-radius-2000] key accounting simple abc
[AC-radius-2000] user-name-format without-domain
[AC-radius-2000] quit
# 配置ISP域的AAA方案。
[AC-isp-2000] authentication default radius-scheme 2000
[AC-isp-2000] authorization default radius-scheme 2000
[AC-isp-2000] accounting default radius-scheme 2000
[AC-isp-2000] quit
# 使能端口安全。
# 配置无线端口安全,使用密文MAC认证,并指定MAC地址认证用户使用的认证域。
[AC-WLAN-ESS0] port-security port-mode mac-and-psk
[AC-WLAN-ESS0] port-security tx-key-type 11key
[AC-WLAN-ESS0] port-security preshared-key pass-phrase 12345678
[AC-WLAN-ESS0] mac-authentication domain 2000
[AC-WLAN-ESS0] quit
(2) 在AC上配置无线服务和AP
# 创建服务模板2(加密类型服务模板),配置SSID为mac-authentication-radius,将WLAN-ESS0接口绑定到服务模板2。
[AC] wlan service-template 2 crypto
[AC-wlan-st-2] ssid mac-authentication-radius
[AC-wlan-st-2] bind wlan-ess 0
[AC-wlan-st-2] authentication-method open-system
[AC-wlan-st-2] cipher-suite ccmp
[AC-wlan-st-2] security-ie rsn
[AC-wlan-st-2] service-template enable
[AC-wlan-st-2] quit
# 配置AP:创建AP的模板,名称为ap1,型号名称选择WA3628i-AGN,并配置AP的序列号为210235A29G007C000020。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 将服务模板2绑定到AP的radio 1口。
[AC-wlan-ap-ap1] radio 1 type dot11an
[AC-wlan-ap-ap1-radio-1] service-template 2
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 配置MAC地址认证用户所使用的ISP域。
[AC] mac-authentication domain 2000
# 配置MAC地址认证的定时器。
[AC] mac-authentication timer offline-detect 180
# 配置MAC地址认证使用固定用户名格式:用户名为aaa,密码为明文123456。
[AC] mac-authentication user-name-format fixed account aaa password simple 123456
# 无线用户通过RADIUS服务器的MAC地址认证上线后,可以通过display mac-authentication interface WLAN-DBSS命令显示无线端口的MAC地址认证信息。
<AC> display mac-authentication interface WLAN-DBSS0:7
MAC address authentication is enabled.
User name format is fixed account
Fixed username:aaa
Fixed password:******
Offline detect period is 180s
Quiet period is 60s
Server response timeout value is 100s
The max allowed user number is 4096 per slot
Current user number amounts to 1
Current domain is 2000
Silent MAC User info:
MAC Addr From Port Port Index
WLAN-DBSS0:7 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Max number of on-line users is 4096
Current online user number is 1
MAC Addr Authenticate State Auth Index
000e-35b2-8be9 MAC_AUTHENTICATOR_SUCCESS 1297
# 无线用户Client认证成功后,通过在设备上执行display connection命令可以查看到已上线用户的连接信息。
Index=1297,Username=aaa@2000
MAC=00-0E-35-B2-8B-E9
IP=N/A
IPv6=N/A
Total 2 connection(s) matched.
如图1-4所示,无线用户Client通过MAC认证接入网络,认证服务器为RADIUS服务器,可对接入用户进行认证、授权和计费,Internet网络中有一台FTP服务器,IP地址为10.0.0.1。
· 认证时使用用户的源MAC地址做用户名和密码,其中MAC地址带连字符、字母小写。
· 在认证服务器上配置授权下发ACL 3000,同时在AC的WLAN-ESS接口上开启MAC认证,并配置ACL 3000。
· 当用户认证成功上线,认证服务器下发ACL 3000,此时ACL 3000在WLAN-ESS接口上生效,无线用户Client可以访问除FTP服务器之外的Internet资源。
图1-4 下发ACL典型配置组网图
· 确保RADIUS服务器与无线控制器间路由可达。
· 由于该例中使用了MAC地址认证的缺省用户名和密码,即使用用户的源MAC地址做用户名与密码,因此还要保证RADIUS服务器上正确添加了接入用户帐户:用户名为00-e0-fc-12-34-56,密码为00-e0-fc-12-34-56。
· 指定RADIUS服务器上的授权ACL为设备上配置的ACL 3000。
# 配置各接口的IP地址(略)。
# 配置ACL 3000,拒绝目的IP地址为10.0.0.1的报文通过。
[AC] acl number 3000
[AC-acl-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[AC-acl-adv-3000] quit
(2) 配置使用RADIUS服务器进行MAC地址认证
# 配置RADIUS方案。
[AC-radius-2000] primary authentication 10.1.1.1 1812
[AC-radius-2000] primary accounting 10.1.1.2 1813
[AC-radius-2000] key authentication simple abc
[AC-radius-2000] key accounting simple abc
[AC-radius-2000] user-name-format without-domain
[AC-radius-2000] quit
# 配置ISP域的AAA方案。
[AC-isp-2000] authentication default radius-scheme 2000
[AC-isp-2000] authorization default radius-scheme 2000
[AC-isp-2000] accounting default radius-scheme 2000
[AC-isp-2000] quit
# 配置MAC地址认证用户所使用的ISP域。
[AC] mac-authentication domain 2000
# 配置MAC地址认证用户名格式:使用带连字符的MAC地址做用户名与密码,其中字母小写。
[AC] mac-authentication user-name-format mac-address with-hyphen lowercase
# 使能端口安全。
# 配置无线端口安全,使用密文MAC认证,并指定MAC地址认证用户使用的认证域。
[AC-WLAN-ESS0] port-security port-mode mac-and-psk
[AC-WLAN-ESS0] port-security tx-key-type 11key
[AC-WLAN-ESS0] port-security preshared-key pass-phrase 12345678
[AC-WLAN-ESS0] mac-authentication domain 2000
[AC-WLAN-ESS0] quit
# 创建服务模板2(加密类型服务模板),配置SSID为mac-authention-acl,将WLAN-ESS0接口绑定到服务模板2。
[AC] wlan service-template 2 crypto
[AC-wlan-st-2] ssid mac-authention-acl
[AC-wlan-st-2] bind wlan-ess 0
[AC-wlan-st-2] authentication-method open-system
[AC-wlan-st-2] cipher-suite ccmp
[AC-wlan-st-2] security-ie rsn
[AC-wlan-st-2] service-template enable
[AC-wlan-st-2] quit
# 创建AP的模板,名称为ap1,型号名称选择WA3628i-AGN,并配置AP的序列号为210235A29G007C000020。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 将服务模板2绑定到AP的radio 1口。
[AC-wlan-ap-ap1] radio 1 type dot11an
[AC-wlan-ap-ap1-radio-1] service-template 2
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] return
# 无线用户通过RADIUS服务器的MAC地址认证上线后,可以通过display mac-authentication interface WLAN-DBSS命令显示无线端口的MAC地址认证信息。
<AC>display mac-authentication interface WLAN-DBSS 0:9
MAC address authentication is enabled.
User name format is MAC address in lowercase, like xx-xx-xx-xx-xx-xx
Fixed username:mac
Fixed password:not configured
Offline detect period is 180s
Quiet period is 180s
Server response timeout value is 100s
The max allowed user number is 4096 per slot
Current user number amounts to 1
Current domain is 2000
Silent MAC User info:
MAC Addr From Port Port Index
WLAN-DBSS0:9 is link-up
MAC address authentication is enabled
Authenticate success: 1, failed: 0
Max number of on-line users is 4096
Current online user number is 1
MAC Addr Authenticate State Auth Index
00e0-fc12-3456 MAC_AUTHENTICATOR_SUCCESS 1301
# 无线用户Client认证成功后,通过在设备上执行display connection命令可以查看到已上线用户信息。
Index=1301,Username=00-e0-fc-12-34-56@2000
MAC=00-E0-FC-L2-34-56
IP=N/A
IPv6=N/A
Total 1 connection(s) matched.
无线用户Client通过ping FTP服务器,可以验证认证服务器下发的ACL 3000是否生效。服务器下发的ACL 3000生效后,无线用户无法ping通FTP服务器。
PING 10.0.0.1: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
--- 10.0.0.1 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!