WX3540X对接ISE mac认证失败,ise已认证通过
- 0关注
- 0收藏,713浏览
问题描述:
WX3540X对接ISE mac认证失败,ise已认证通过:
AC上debug出现如下告警:A user failed MAC authentication.Reason:Received deauthentication packet with reason code 3 in Userauth state.
组网及组网描述:
- 2023-06-02提问
- 举报
-
(0)
最佳答案
检查下配置:
1.4 H3C无线控制器通过ISE(2.3)进行MAC认证举例
1.4.1 组网需求
如图1-11所示,AP通过交换机与AC相连,设备管理员希望对Client进行MAC地址和PSK认证,以控制其对网络资源的访问,具体要求如下:
· Client通过MAC地址认证接入无线网络。
· 配置Client和AP之间的数据报文采用PSK认证密钥管理模式来确保用户数据的传输安全。
· 通过ISE服务器下发授权ACL和VLAN。
图1-11 MAC认证组网图
1.4.2 配置步骤
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
1. 配置AC
#
配置RADIUS服务器地址和密钥,此密钥要与ISE服务器配置的一致;指定NAS-IP,此地址与服务器添加的设备地址一致。
#
radius scheme ise
primary authentication 8.1.1.18 key cipher $c$3$FpBySjKd6TF17QmPAQ83vNM+mNuZHUw=
user-name-format without-domain
nas-ip 191.120.1.56
#
创建ISP域,为default用户配置认证方案为RADIUS方案,方案名称为ise;为default用户配置授权方案为RADIUS方案,方案名称为ise。
#
domain ise
authentication default radius-scheme ise
authorization default radius-scheme ise
# 配置MAC地址认证的用户名为ldf00001,密码为明文Ldf123456。
#
mac-authentication user-name-format fixed account ldf00001 password simple Ldf123456
#
配置并使能名称为isemac2的无线服务模板,配置SSID,配置客户端从无线服务模板上线后加入VLAN71,配置客户端身份认证与密钥管理模式为PSK,配置加密套件为CCMP,配置安全信息元素为WPA,配置客户端接入认证方式为MAC地址认证,配置MAC地址认证用户使用的ISP域为ise。
#
wlan service-template isemac2
ssid 000AAAMACAU-MAC-CCMP-WPA
vlan 71
akm mode psk
preshared-key pass-phrase cipher $c$3$XYqokG6I8YoOymukIyvxoJuzFoB+oVJD6exoqw==
cipher-suite ccmp
security-ie rsn
client-security authentication-mode mac
mac-authentication domain ise
service-template enable
#
配置名称为ax的AP在AC上线,将无线服务模板isemac2绑定到AP的Radio 1接口,并使能Radio 1。
#
wlan ap ax model WA6528
serial-id 219801A1LH8188E00011
vlan 1
radio 1
radio enable
service-template isemac2
# 配置授权ACL 3100,禁止Client访问8.1.1.5。
acl advanced 3100
rule 1 deny ip destination 8.1.1.5 0
# 配置授权VLAN 4094及其对应的VLAN接口。
vlan 4094
interface vlan-interface 4094
ip address 191.94.0.1 24
# 配置授权VLAN的DHCP地址池vlan4094。
dhcp server ip-pool vlan4094
network 191.94.0.0 mask 255.255.255.0
gateway-list 191.94.0.1
dns-list 191.94.0.1
2. 配置ISE服务器(2.3)
(1) 创建用户组和用户账号
#
创建用户组:在页面上方导航栏中选择[Administration/Identity Management/Groups/User Identity Groups]选项,点击<Add>按钮,创建名称为LDF的用户组。
图1-12 创建用户组
#
创建用户账号:在页面上方导航栏中选择[Administration/Identity Management/Identities/Users]选项,点击<Add>按钮,创建名称为ldf00001的用户账号,配置密码为Ldf123456(密码由大写字母、小写字母和数字组成),与AC的配置保持一致,并绑定用户组LDF。
图1-13 创建用户账号
(2) 添加AC设备
在页面上方导航栏中选择[Administration/Network Resources/Network Devices]选项,点击<Add>按钮,添加名称为ac的新设备,配置IP地址为191.120.1.56,与AC指定的NAS-IP保持一致,配置密码H3cc。
图1-14 添加AC设备
(3) 配置认证协议
在页面上方导航栏中选择[Policy/Policy Elements/Results/Authentication/Allowed Protocols]选项,新建名称为mab的认证协议服务。在Authentication Bypass栏中勾选Process Host Lookup选项,在Authentication Protocols栏中勾选PAP/ASCII和CHAP选项。
图1-15 配置认证协议
(4) 配置授权ACL和VLAN
#
服务器下发授权信息:配置授权ACL,在页面上方导航栏中选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项,点击<Add>按钮,在Authorization Profile栏中配置名称为acl_3100,在Network Device Profile下拉框中选择“Cisco”选项,下发属性选择Radius:Filter-ID,输入ACL编号为3100。
图1-16 配置授权ACL
#
服务器下发授权信息:配置授权VLAN,选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项,点击<Add>按钮,Authorization Profile栏中配置名称为vlan_4094,在Network Device Profile下拉框中选择“Cisco”选项,在Custom Tasks栏中勾选VLAN属性并输入VLAN编号4094。
图1-17 配置授权VLAN
(5) 配置认证和授权策略
#
配置认证和授权策略:在页面上方导航栏中选择[Policy/Policy Sets]选项,点击Policy Sets下方的<+>按钮,配置名称mab的认证和授权策略,并配置Conditions名称为mab。在Allowed Protocols/Server Sequence栏中选择mab。
图1-18 新建认证和授权策略
#
在Conditions栏中选择“Wired_MAB”或“Wireless_MAB”选项。
图1-19 配置Conditions
#
点击<View>按钮,在Authorization Policy栏中新增名为acl_vlan的授权策略,在Result Pofiles栏中选择acl_3100和vlan4094。
图1-20 新增授权策略
1.4.3 验证配置
终端无需特殊配置,搜索到网络后输入密码即可。
上线成功后,设备上可以看到用户信息,查看授权ACL和VLAN信息正确。
图1-21 查看用户信息
1.4.4 配置文件
#
vlan 4094
#
dhcp server ip-pool vlan4094
network 191.94.0.0 mask 255.255.255.0
gateway-list 191.94.0.1
dns-list 191.94.0.1
#
interface vlan-interface 4094
ip address 191.94.0.1 24
#
acl advanced 3100
rule 1 deny ip destination 8.1.1.5 0
#
radius scheme ise
primary authentication 8.1.1.19 key cipher $c$3$FpBySjKd6TF17QmPAQ83vNM+mNuZHUw=
user-name-format without-domain
nas-ip 191.120.1.56
#
domain ise
authentication default radius-scheme ise
authorization default radius-scheme ise
#
mac-authentication user-name-format fixed account ldf00001 password simple Ldf123456
#
wlan ap ax model WA6528
serial-id 219801A1LH8188E00011
#
wlan service-template isemac2
ssid 000AAAMACAU-MAC-CCMP-WPA
vlan 71
akm mode psk
preshared-key pass-phrase cipher $c$3$XYqokG6I8YoOymukIyvxoJuzFoB+oVJD6exoqw==
cipher-suite ccmp
security-ie rsn
client-security authentication-mode mac
mac-authentication domain ise
service-template enable
#
wlan ap ax model WA6528
serial-id 219801A1LH8188E00011
vlan 1
radio 1
radio enable
service-template isemac2
- 2023-06-02回答
- 评论(3)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
配置都完全一致,还是一直有这个报错
配置没问题 还有其他什么方面的问题嘛?
mac认证的格式需要注意一下