用户现场办公环境,采用本地MAC地址认证。要求领导办公室的两个AP只有领导可以连接,其他员工无法连接。办公楼内的所有AP领导均可以连接。
设备关键配置如下:
一、配置本地MAC地址认证
(1) 配置本地认证域
# 创建一个名称为local-mac的认证域,为lan-access用户配置认证方法为local。
[AC] domain local-mac
[AC-isp-local-mac] authentication lan-access local
# 配置用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC-isp-local-mac] authorization-attribute idle-cut 15 1024
[AC] quit
(2)配置本地用户
# 配置一个网络接入类的本地用户,名称为客户端的MAC地址3ca9f4144c20,密码为明文密码3ca9fxxxxc20,并指定用户可以使用lan-access服务。
[AC] local-user 3ca9f4144c20 class network//领导mac
[AC-luser-network-3ca9f4144c20] password simple 3ca9fxxxxc20
[AC-luser-network-3ca9f4144c20] service-type lan-access
[AC-luser-network-3ca9f4144c20] quit
[AC] local-user 3ca9fxxxxa21 class network//普通员工mac
[AC-luser-network-3ca9f3133a21] password simple 3ca9fxxxxa21
[AC-luser-network-3ca9f3133a21] service-type lan-access
[AC-luser-network-3ca9f3133a21] quit
(3)配置本地MAC地址认证的用户名格式
# 配置MAC地址认证的用户名和密码均为用户的MAC地址(该配置为缺省配置)。
[AC] mac-authentication user-name-format mac-address without-hyphen lowercase
(4)配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1
# 配置SSID为service。
[AC-wlan-st-1] ssid service
# 配置客户端从无线服务模板1上线后会被加入VLAN 200。
[AC-wlan-st-1] vlan 200
# 配置客户端接入认证方式为MAC地址认证。
[AC-wlan-st-1] client-security authentication-mode mac
# 配置MAC地址认证用户使用的ISP域为local-mac。
[AC-wlan-st-1] mac-authentication domain local-mac
# 开启无线服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
二、配置用户和ap绑定
# 将AP进行分组
[AC]wlan ap-group yuangong
[AC-wlan-ap-group-leader]ap yuangong1
[AC-wlan-ap-group-leader]ap yuangong2
所有ap都属于默认分组wlan ap-group default-group
# 创建user-profile
[AC]user-profile leader
[AC-user-profile-leader]wlan permit-ap-group default-group
[AC]user-profile yuangong
[AC-user-profile-leader]wlan permit-ap-group yuangong
# 将user-profile和用户进行绑定
[AC-luser-network-3ca9f3133a21] authorization-attribute user-profile yuangong
[AC-luser-network-3ca9f4144c20] authorization-attribute user-profile leader
1.此方法不限于本地MAC地址认证,只要是本地认证,用户创建在本地此配置都试用
2.注意mac地址的格式,要与配置的一致
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作