1. AP通过交换机与AC相连,在AC开启DHCP server功能,为AP和客户端分配IP地址。
2. 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待180秒后才能对用户再次发起认证。
3. 所有用户都属于ISP域imc,认证时使用本地认证的方式。
4. 要求使用MAC认证方式进行用户身份认证,使用用户的MAC地址作用户名和密码,其中MAC地址带连字符、字母小写。测试终端mac地址:5c-ad-cf-34-c9-95
(1) 创建VLAN100,并配置VLAN100接口的IP地址。
<AC> system-view
vlan 1
#vlan 100
#dhcp server ip-pool ap
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
#dhcp server ip-pool sta
gateway-list 192.168.100.254
network 192.168.100.0 mask 255.255.255.0
#interface Vlan-interface1
ip address 192.168.1.254 255.255.255.0
#interface Vlan-interface100
ip address 192.168.100.254 255.255.255.0
(2) 配置本地MAC地址认证
# 添加网络接入类本地接入用户。本例中添加Host A的本地用户,用户名和密码均为Host A的MAC地址00-e0-fc-12-34-56,服务类型为lan-access。
#local-user 5c-ad-cf-34-c9-95 class network
password cipher $c$3$9JVgdWX2MEeB2XJ+/JjpNoDuVSxJEBFZOn42rSpUTpvctVxQ
service-type lan-access
authorization-attribute user-role network-operator
# 配置imc域,使用本地认证方法。
domain imc
authentication lan-access local
quit
# 配置MAC地址认证用户所使用的imc域。
mac-authentication domain imc
# 配置MAC地址认证的定时器。
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
# 配置MAC地址认证用户名格式:使用带连字符的MAC地址作为用户名与密码,其中字母小写。
[AC] mac-authentication user-name-format mac-address with-hyphen lowercase
# 开启全局MAC地址认证。
[AC] mac-authentication
# 配置无线服务模板SSID为mac-v7,并设置用户认证方式为MAC地址认证,ISP域为imc。
#wlan service-template 1
ssid mac-v7
vlan 100
client-security authentication-mode mac
mac-authentication domain imc
# 无线服务模板使能。
service-template enable
(3) 配置手工AP并将无线服务模板绑定到radio上
# 创建手工AP
wlan ap ap1 model WA4320-ACN-B
serial-id 210235A1PRC15B000023
# 配置射频,指定工作信道为157。
[AC] wlan ap ap1
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 157
# 将无线服务模板service1绑定到Radio 1接口。
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] service-template service1
Quit
(4) 验证配置
# 当用户接入后,可以通过如下显示信息看到Host A成功通过认证,处于上线状态,Host B没有通过认证,它的MAC地址被加入静默MAC列表。
[V7_AC]dis mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
User name format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
Offline detect period : 180 s
Quiet period : 180 s
Server timeout : 100 s
Authentication domain : imc
Online MAC-auth wired users : 0
Online MAC-auth wireless users : 0
Silent MAC users:
MAC address VLAN ID From port Port index
AP name: ap1 Radio ID: 1 SSID: mac-v7
BSSID : 3891-d598-8d80
MAC authentication : Enabled
Authentication domain : imc
Max online users : 4096
Authentication attempts : successful 1, failed 6
常见的问题
编号 |
问题描述 |
初步判断方法 |
解决方法 |
1 |
MAC认证不通过 |
通过debugging mac-authentication调试开关进行定位 |
检查用户名是否匹配,关注“user-name-format without-domain” |
2 |
MAC认证不通过 |
检查认证服务器是否有相应的认证信息 |
调整设备Radius相关的配置 |
3 |
漫游不顺利 |
通过debugging wlan mac 和debug mac-authentcation确认漫游失败 |
检查上面的“在线数量限制”是否配置为大于等于2 |
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作