WX3010E结合freeradius配置Mac地址认证

使用RADIUS服务器进行MAC地址认证

1. 组网需求

如图1-3所示，AP通过L2switch与无线控制器AC相连，无线控制器通过RADIUS服务器对用户进行认证、授权和计费。

·     无线控制器的管理者希望在WLAN-ESS端口上对用户接入进行MAC地址认证，以控制其对Internet的访问。

·     要求无线控制器每隔180秒就对用户是否下线进行检测。

·     所有用户都属于域2000，认证时采用固定用户名格式，用户名为aaa，密码为123456。

2. 组网图

图1-3 启动MAC地址认证对接入用户进行RADIUS认证

3. 配置步骤

(1)     配置在AC上使用RADIUS服务器进行MAC地址认证

# 配置各接口的IP地址（略）。

# 配置RADIUS方案。

<AC> system-view

[AC] radius scheme 2000

[AC-radius-2000] primary authentication 10.1.1.1 1812

[AC-radius-2000] primary accounting 10.1.1.2 1813

[AC-radius-2000] key authentication simple abc

[AC-radius-2000] key accounting simple abc

[AC-radius-2000] user-name-format without-domain

[AC-radius-2000] quit

# 配置ISP域的AAA方案。

[AC] domain 2000

[AC-isp-2000] authentication default radius-scheme 2000

[AC-isp-2000] authorization default radius-scheme 2000

[AC-isp-2000] accounting default radius-scheme 2000

[AC-isp-2000] quit

# 使能端口安全。

[AC] port-security enable

# 配置无线端口安全，使用密文MAC认证，并指定MAC地址认证用户使用的认证域。

[AC] interface wlan-ess 0

[AC-WLAN-ESS0] port-security port-mode mac-and-psk

[AC-WLAN-ESS0] port-security tx-key-type 11key

[AC-WLAN-ESS0] port-security preshared-key pass-phrase 12345678

[AC-WLAN-ESS0] mac-authentication domain 2000

[AC-WLAN-ESS0] quit

(2)     在AC上配置无线服务和AP

# 创建服务模板2（加密类型服务模板），配置SSID为mac-authentication-radius，将WLAN-ESS0接口绑定到服务模板2。

[AC] wlan service-template 2 crypto

[AC-wlan-st-2] ssid mac-authentication-radius

[AC-wlan-st-2] bind wlan-ess 0

[AC-wlan-st-2] authentication-method open-system

[AC-wlan-st-2] cipher-suite ccmp

[AC-wlan-st-2] security-ie rsn

[AC-wlan-st-2] service-template enable

[AC-wlan-st-2] quit

# 配置AP：创建AP的模板，名称为ap1，型号名称选择WA3628i-AGN，并配置AP的序列号为210235A29G007C000020。

[AC] wlan ap ap1 model WA3628i-AGN

[AC-wlan-ap-ap1] serial-id 210235A29G007C000020

# 将服务模板2绑定到AP的radio 1口。

[AC-wlan-ap-ap1] radio 1 type dot11an

[AC-wlan-ap-ap1-radio-1] service-template 2

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

# 配置MAC地址认证用户所使用的ISP域。

[AC] mac-authentication domain 2000

# 配置MAC地址认证的定时器。

[AC] mac-authentication timer offline-detect 180

# 配置MAC地址认证使用固定用户名格式：用户名为aaa，密码为明文123456。

[AC] mac-authentication user-name-format fixed account aaa password simple 123456

(3)     验证配置结果

# 无线用户通过RADIUS服务器的MAC地址认证上线后，可以通过display mac-authentication interface WLAN-DBSS命令显示无线端口的MAC地址认证信息。

<AC> display mac-authentication interface WLAN-DBSS0:7

MAC address authentication is enabled.

 User name format is fixed account

 Fixed username:aaa

 Fixed password:******

         Offline detect period is 180s

         Quiet period is 60s

         Server response timeout value is 100s

         The max allowed user number is 4096 per slot

         Current user number amounts to 1

         Current domain is 2000

Silent MAC User info:

         MAC Addr         From Port                    Port Index

WLAN-DBSS0:7 is link-up

  MAC address authentication is enabled

  Authenticate success: 1, failed: 0

 Max number of on-line users is 4096

  Current online user number is 1

         MAC Addr         Authenticate State           Auth Index

         000e-35b2-8be9   MAC_AUTHENTICATOR_SUCCESS     1297

# 无线用户Client认证成功后，通过在设备上执行display connection命令可以查看到已上线用户的连接信息。

<AC> display connection

Index=1297,Username=aaa@2000

MAC=00-0E-35-B2-8B-E9

IP=N/A

IPv6=N/A

 Total 2 connection(s) matched.