• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

WX3540X对接ISE mac认证失败,ise已认证通过

2023-06-02提问
  • 0关注
  • 0收藏,1232浏览
粉丝:0人 关注:4人

问题描述:

WX3540X对接ISE mac认证失败,ise已认证通过:

AC上debug出现如下告警:A user failed MAC authentication.Reason:Received deauthentication packet with reason code 3 in Userauth state.


组网及组网描述:


最佳答案

粉丝:227人 关注:8人

检查下配置:


1.4  H3C无线控制器通过ISE(2.3)进行MAC认证举例

1.4.1  组网需求

图1-11所示,AP通过交换机与AC相连,设备管理员希望对Client进行MAC地址和PSK认证,以控制其对网络资源的访问,具体要求如下:

·     Client通过MAC地址认证接入无线网络。

·     配置Client和AP之间的数据报文采用PSK认证密钥管理模式来确保用户数据的传输安全。

·     通过ISE服务器下发授权ACL和VLAN。

图1-11 MAC认证组网图

 

1.4.2  配置步骤

说明

本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。

 

1. 配置AC

#

配置RADIUS服务器地址和密钥,此密钥要与ISE服务器配置的一致;指定NAS-IP,此地址与服务器添加的设备地址一致。

#

radius scheme ise

 primary authentication 8.1.1.18 key cipher $c$3$FpBySjKd6TF17QmPAQ83vNM+mNuZHUw=

 user-name-format without-domain

 nas-ip 191.120.1.56

#

创建ISP域,为default用户配置认证方案为RADIUS方案,方案名称为ise;为default用户配置授权方案为RADIUS方案,方案名称为ise。

#

domain ise

 authentication default radius-scheme ise

 authorization default radius-scheme ise

# 配置MAC地址认证的用户名为ldf00001,密码为明文Ldf123456。

#

mac-authentication user-name-format fixed account ldf00001 password simple Ldf123456

#

配置并使能名称为isemac2的无线服务模板,配置SSID,配置客户端从无线服务模板上线后加入VLAN71,配置客户端身份认证与密钥管理模式为PSK,配置加密套件为CCMP,配置安全信息元素为WPA,配置客户端接入认证方式为MAC地址认证,配置MAC地址认证用户使用的ISP域为ise。

#

wlan service-template isemac2

 ssid 000AAAMACAU-MAC-CCMP-WPA

 vlan 71

 akm mode psk

 preshared-key pass-phrase cipher $c$3$XYqokG6I8YoOymukIyvxoJuzFoB+oVJD6exoqw==

 cipher-suite ccmp

 security-ie rsn

 client-security authentication-mode mac

 mac-authentication domain ise

 service-template enable

#

配置名称为ax的AP在AC上线,将无线服务模板isemac2绑定到AP的Radio 1接口,并使能Radio 1。

#

wlan ap ax model WA6528

 serial-id 219801A1LH8188E00011

vlan 1

 radio 1

  radio enable

  service-template isemac2

# 配置授权ACL 3100,禁止Client访问8.1.1.5。

acl advanced 3100

 rule 1 deny ip destination 8.1.1.5 0

# 配置授权VLAN 4094及其对应的VLAN接口。

vlan 4094

interface vlan-interface 4094

 ip address 191.94.0.1 24

# 配置授权VLAN的DHCP地址池vlan4094。

dhcp server ip-pool vlan4094

 network 191.94.0.0 mask 255.255.255.0

 gateway-list 191.94.0.1

 dns-list 191.94.0.1

2. 配置ISE服务器(2.3)

(1)     创建用户组和用户账号

#

创建用户组:在页面上方导航栏中选择[Administration/Identity Management/Groups/User Identity Groups]选项,点击<Add>按钮,创建名称为LDF的用户组。

图1-12 创建用户组

 

#

创建用户账号:在页面上方导航栏中选择[Administration/Identity Management/Identities/Users]选项,点击<Add>按钮,创建名称为ldf00001的用户账号,配置密码为Ldf123456(密码由大写字母、小写字母和数字组成),与AC的配置保持一致,并绑定用户组LDF。

图1-13 创建用户账号

 

(2)     添加AC设备

在页面上方导航栏中选择[Administration/Network Resources/Network Devices]选项,点击<Add>按钮,添加名称为ac的新设备,配置IP地址为191.120.1.56,与AC指定的NAS-IP保持一致,配置密码H3cc。

图1-14 添加AC设备

 

(3)     配置认证协议

在页面上方导航栏中选择[Policy/Policy Elements/Results/Authentication/Allowed Protocols]选项,新建名称为mab的认证协议服务。在Authentication Bypass栏中勾选Process Host Lookup选项,在Authentication Protocols栏中勾选PAP/ASCII和CHAP选项。

图1-15 配置认证协议

 

(4)     配置授权ACL和VLAN

#

服务器下发授权信息:配置授权ACL,在页面上方导航栏中选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项,点击<Add>按钮,在Authorization Profile栏中配置名称为acl_3100,在Network Device Profile下拉框中选择“Cisco”选项,下发属性选择Radius:Filter-ID,输入ACL编号为3100。

图1-16 配置授权ACL

 

#

服务器下发授权信息:配置授权VLAN,选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项,点击<Add>按钮,Authorization Profile栏中配置名称为vlan_4094,在Network Device Profile下拉框中选择“Cisco”选项,在Custom Tasks栏中勾选VLAN属性并输入VLAN编号4094。

图1-17 配置授权VLAN

 

(5)     配置认证和授权策略

#

配置认证和授权策略:在页面上方导航栏中选择[Policy/Policy Sets]选项,点击Policy Sets下方的<+>按钮,配置名称mab的认证和授权策略,并配置Conditions名称为mab。在Allowed Protocols/Server Sequence栏中选择mab。

图1-18 新建认证和授权策略

 

#

在Conditions栏中选择“Wired_MAB”或“Wireless_MAB”选项。

图1-19 配置Conditions

 

#

点击<View>按钮,在Authorization Policy栏中新增名为acl_vlan的授权策略,在Result Pofiles栏中选择acl_3100和vlan4094。

图1-20 新增授权策略

 

1.4.3  验证配置

终端无需特殊配置,搜索到网络后输入密码即可。

上线成功后,设备上可以看到用户信息,查看授权ACL和VLAN信息正确。

图1-21 查看用户信息

 

1.4.4  配置文件

#

vlan 4094

#

dhcp server ip-pool vlan4094

 network 191.94.0.0 mask 255.255.255.0

 gateway-list 191.94.0.1

 dns-list 191.94.0.1

#

interface vlan-interface 4094

 ip address 191.94.0.1 24

#

acl advanced 3100

 rule 1 deny ip destination 8.1.1.5 0

#

radius scheme ise

 primary authentication 8.1.1.19 key cipher $c$3$FpBySjKd6TF17QmPAQ83vNM+mNuZHUw=

 user-name-format without-domain

 nas-ip 191.120.1.56

#

domain ise

 authentication default radius-scheme ise

 authorization default radius-scheme ise

#

mac-authentication user-name-format fixed account ldf00001 password simple Ldf123456

#

wlan ap ax model WA6528

 serial-id 219801A1LH8188E00011

#

wlan service-template isemac2

 ssid 000AAAMACAU-MAC-CCMP-WPA

 vlan 71

 akm mode psk

 preshared-key pass-phrase cipher $c$3$XYqokG6I8YoOymukIyvxoJuzFoB+oVJD6exoqw==

 cipher-suite ccmp

 security-ie rsn

 client-security authentication-mode mac

 mac-authentication domain ise

 service-template enable

#

wlan ap ax model WA6528

 serial-id 219801A1LH8188E00011

 vlan 1

 radio 1

  radio enable

  service-template isemac2

mac认证的格式需要注意一下

zhiliao_sEUyB 发表时间:2023-06-02 更多>>

配置都完全一致,还是一直有这个报错

zhiliao_3vUH06 发表时间:2023-06-02

配置没问题 还有其他什么方面的问题嘛?

zhiliao_3vUH06 发表时间:2023-06-02

mac认证的格式需要注意一下

zhiliao_sEUyB 发表时间:2023-06-02
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明