iMC-EIA的终端MAC地址池功能是通过管理一个允许接入的MAC地址池列表或者一个禁止接入的MAC地址池列表来限制用户对网络的使用。终端MAC地址池和接入策略中“启用终端MAC地址控制”一起配合使用。只有在接入策略中选中该选项,MAC地址管理才会生效。 MAC地址列表的类型(允许接入或禁止接入)由接入控制类型决定,具体说明如下:
该功能重点在于iMC-EIA要获得终端MAC地址。根据Radius报文得知,Radius报文CODE=1(即认证请求报文)中Calling-Station-Id(31)号属性为终端MAC地址,如下图所示:
此案例采用Portal认证方式,对于Portal认证的配置此处不再进行详细讲解,参考KMS中Portal认证典型配置案例即可。
一、配置iMC的Portal认证基本配置项,如Portal设备、端口组、IP地址组等,此处不再进行详细描述。下面重点讲解终端MAC地址控制的配置要点。
(1)用户-接入策略管理-接入策略管理中修改Portal认证所用的接入策略,勾选认证绑定信息中“启用终端MAC地址控制”选项,如下图所示:
(2)添加终端MAC地址池的接入列表,具体位置如下图所示:
此处可以修改接入控制类型,如上图所示接入控制类型为“禁止接入”,即操作员可以配置禁止接入MAC地址列表。接入用户上线时,如果该用户的MAC地址在禁止接入的MAC地址列表中,则用户不能上线。如果该用户的MAC地址不在列表中,则用户正常上线。
此案例中手工添加某一终端的终端MAC地址,当终端MAC数量过多时,可以采用批量导入接入MAC地址的方法将一定量的接入MAC地址导入MAC地址列表中。如下图所示:
二、使用终端进行验证,连接Portal认证所用的SSID,在Portal认证页面输入用户名和密码后,点击上线按钮,效果如下图所示:
查看用户接入日志-认证失败日志,能够看到认证失败的原因及建议的解决方案,如下图所示:
当修改接入控制类型为“允许接入”,并添加同样的终端MAC地址之后,进行Portal认证测试,测试效果如下图所示,认证成功:
三、与接入策略中“绑定用户MAC”功能搭配使用效果(注:接入策略管理-业务参数配置-系统配置-用户绑定信息配置中MAC地址的自学习数量为1)
(1)当终端MAC控制列表为允许接入,且增加终端MAC地址时,测试认证效果如下:
(2)在终端MAC地址池中再添加一个终端MAC地址,根据MAC地址自学习数量为1的设置,使用刚刚添加的终端进行认证测试,使用与测试效果如下:
认证失败,提示MAC地址绑定检查失败。通过上述实验我们能够分析出,当接入策略里同时启用绑定用户MAC地址和启用终端MAC地址控制两项功能时,绑定用户MAC地址的优先级高于终端MAC地址控制。当接入用户的绑定信息中用户MAC地址没有被绑定时,即使在终端MAC地址为允许接入且配置了终端MAC地址列表时,终端仍然无法认证通过。
可以通过如下方法使第二个终端能认证通过:
(1)手工在接入用户的绑定信息列表中添加终端的MAC地址信息。
(2)修改用户绑定信息配置中,用户MAC地址的自学习数量,使终端第一次认证时能够自主绑定用户MAC,如下图所示:
(1)认证方式务必要保证设备能够在认证请求报文中上传终端MAC地址。
(2)接入策略中要勾选“启用终端MAC地址控制”
(3)MAC地址列表的控制类型有且只能设置一种,即“允许接入”和“禁止接入”只能设置一种方式,一旦控制类型确认且添加终端MAC地址后,不能直接改变控制类型。需要先将MAC地址列表删除后才能进行控制类型变更。
(4)MAC地址输入方式可以参考如下样例:XX:XX:XX:XX:XX:XX或者XX-XX-XX-XX-XX-XX或者XXXX-XXXX-XXXX以上三种方式。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作