H3C WA系列 MAC认证典型配置举例

关键词：Radius，AAA

摘  要：随着网络应用的广泛普及，公司越来越多核心业务会依托网络平台，但由于传统共享网络的特点，局域网网络的安全问题日趋明显，本典型举例可以实现在网络的接入层对非法用户进行控制，既可缓解安全问题，又能节省宝贵的带宽。

缩略语：

缩略语	英文全名	中文解释
Radius	Remote Authentication Dial In User Service	基于用户服务的远程拨号认证
AAA	Authentication Authorization Accounting	认证 授权 计费

 

目  录

1 特性简介... 1

2 应用场合... 1

3 注意事项... 1

4 配置举例... 1

4.1 组网需求.. 1

4.2 配置思路.. 2

4.3 使用版本.. 2

4.4 MAC认证配置.. 3

4.4.1 配置远程MAC认证.. 3

4.4.2 配置本地MAC认证.. 7

4.5 验证结果.. 9

5 相关资料... 10

5.1 相关协议和标准.. 10

5.2 其它相关资料.. 10

 

1 特性简介

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，也不需要用户手动输入用户名或者密码。

2 应用场合

MAC认证提供了一种基于MAC的认证手段，并简单地通过mac地址来实现认证，整个过程不需要输入任何信息。这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证，但在可运营、可管理的宽带IP城域网中作为一种认证方式具有极大的局限性。

3 注意事项

(1)        本举例设置的是无线接口上的MAC认证。

(2)        在配置Radius时，primary authentication，primary accounting，Service type，Key一定要配置正确，并且和Radius服务器一致。值得注意的是如果使用的是Cams服务器一定要把service type设置成extended，这样cams上一些私有设置才会被WA2200识别。

(3)        在配置域时要把Radius方案和域关联起来。

4 配置举例

4.1  组网需求

 

本配置举例通过在AP的WLAN-BSS 2端口上启用MAC认证来达到对接入点Client进行控制的目的。

图4-1 AP 远程MAC认证组网图

 

4.2  配置思路

配置远程MAC认证，需要配置以下内容：

(1)        创建MAC认证时使用的Radius方案。

(2)        创建MAC认证时使用的域，并在域中引用Radius方案作为AAA的认证方案。

(3)        在系统视图下全局开启端口安全。

(4)        在设备上配置的MAC认证配置的用户信息中，用户名、密码应小写。

(5)        在需要认证的端口下使能MAC认证。

配置本地MAC认证，需要配置以下内容：

(6)        创建本地MAC认证时使用的本地用户名。

(7)        使用默认域作为认证域

(8)        在系统视图下全局开启端口安全。

(9)        在需要认证的端口下使能MAC认证。

4.3  使用版本

[AP]display version

H3C Comware Platform Software

Comware Software, Version 5.20, 0001

Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes

 

 CPU type: AMCC PowerPC 266MHz

 64M bytes SDRAM Memory

 8M bytes Flash Memory

 Pcb Version:  Ver.A

 Basic  BootROM  Version:  1.04

 Extend BootROM  Version:  1.04

 [SLOT  1]CON (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.0

 

4.4  MAC认证配置

4.4.1  配置远程MAC认证

1. 配置信息

<AP>display current-configuration

#

 version 5.00, 0001

#

 sysname AP

#

domain default enable cams

#

 port-security enable

#

mac-authentication domain cams

#

vlan 1

#

vlan 2 to 4094

#

radius scheme system

 primary authentication 127.0.0.1

 primary accounting 127.0.0.1

 key authentication h3c

 key accounting h3c

 accounting-on enable

radius scheme cams

 server-type extended

 primary authentication 8.1.1.4

 primary accounting 8.1.1.4

 key authentication h3c

 key accounting h3c

security-policy-server 8.1.1.4

 timer realtime-accounting 3

 user-name-format without-domain

 undo stop-accounting-buffer enable

 accounting-on enable

#

domain cams

 authentication default radius-scheme cams

 authorization default radius-scheme cams

 accounting default radius-scheme cams

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

wlan service-template 2 clear

 ssid h3c-mac

authentication-method open-system

service-template enable

#

interface NULL0

#

interface Vlan-interface1

 ip address 192.168.1.50 255.255.255.0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface WLAN-BSS2

 port-security port-mode mac-authentication

#

interface WLAN-Radio1/0/1

#

interface WLAN-Radio1/0/2

 service-template 2 interface wlan-bss 2

#

 ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

#

user-interface con 0

 idle-timeout 0 0

user-interface vty 0 4

#

return

 

2. 主要配置步骤

在MAC认证接入端配置MAC认证

# 启用port-security

[AP]port-security enable

# 配置认证策略

[AP]radius scheme cams

[AP-radius-cams]server-type extended

[AP-radius-cams]primary authentication 8.1.1.4

[AP-radius-cams]primary accounting 8.1.1.4

[AP-radius-cams]key authentication h3c

[AP-radius-cams]key accounting h3c  

[AP-radius-cams]timer realtime-accounting 3

[AP-radius-cams]user-name-format without-domain

[AP-radius-cams]undo stop-accounting-buffer enable

[AP-radius-cams]accounting-on enable

# 配置认证域

[AP-radius-cams]domain cams

[AP-isp-cams]authentication default radius-scheme cams  

[AP-isp-cams]authorization default radius-scheme cams

[AP-isp-cams]accounting default radius-scheme cams

# 把配置MAC认证域为CAMS域

[AP] mac-authentication domain cams

# 配置无线服务模板

[AP]wlan service-template 2 clear  

[AP-wlan-st-2]ssid h3c-mac

[AP-wlan-st-2]authentication-method open-system 

[AP-wlan-st-2]service-template enable  

# 配置无线口，并在无线口启用端口安全（MAC认证）

[AP]interface WLAN-BSS 2

[AP-WLAN-BSS2] port-security port-mode mac-authentication

# 在射频口绑定无线服务模板和无线口

[AP]interface WLAN-Radio 1/0/2

[AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2

# 配置VLAN虚接口

[AP1]interface Vlan-interface1  

[AP-Vlan-interface1]ip address 192.168.1.50 255.255.255.0

# 配置缺省路由

[AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

3. CAMS配置

CAMS版本：2.10 试用版（CAMS 详细版本号：2.10-R0209）

在CAMS上配置MAC认证项：

系统配置：

 

配置计费策略：

 

配置服务策略：

配置帐号用户：

（这里需要注意的是：当采用MAC地址认证时，相应MAC用户的密码形式应和用户名形式一致，但必须是小写）

4.4.2  配置本地MAC认证

1. 配置信息

<AP>display current-configuration

#

 version 5.00, 0001

#

 sysname AP

#

 configure-user count 1 

#

 domain default enable system

#

 port-security enable

#  

mac-authentication domain system

# 

vlan 1

#

vlan 2 to 4094

#

radius scheme system

 primary authentication 127.0.0.1 

 primary accounting 127.0.0.1

 key authentication h3c 

 key accounting h3c

 accounting-on enable

#

domain system 

 access-limit disable

 state active 

 idle-cut disable

 self-service-url disable

#

wlan service-template 2 clear

 ssid h3c-mac

authentication-method open-system

service-template enable

#

interface NULL0

#

interface Vlan-interface1

 ip address 192.168.1.50 255.255.255.0 

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface WLAN-BSS2

 port-security port-mode mac-authentication

#

interface WLAN-Radio1/0/1

#

interface WLAN-Radio1/0/2

 service-template 2 interface wlan-bss 2

#

 ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

#

user-interface con 0

 idle-timeout 0 0

user-interface vty 0 4

#

return

 

2. 主要配置步骤

在MAC认证接入端配置MAC认证

# 启用port-security

[AP]port-security enable 

# 把配置MAC认证域为system域

[AP] mac-authentication domain system

# 配置本地MAC认证用户

[AP]local-user 00179a007b47

New local user added.

[AP-luser-00179a007b47]password simple 00179a007b47

Updating user(s) information, please wait.........

[AP-luser-00179a007b47]service-type lan-access

[AP-luser-00179a007b47]

# 配置无线服务模板

[AP]wlan service-template 2 clear  

[AP-wlan-st-2]ssid h3c-mac

[AP-wlan-st-2]authentication-method open-system 

[AP-wlan-st-2]service-template enable  

# 配置无线口，并在无线口启用端口安全（MAC认证）

[AP]interface WLAN-BSS 2

[AP-WLAN-BSS2] port-security port-mode mac-authentication

# 在射频口绑定无线服务模板和无线口

[AP]interface WLAN-Radio 1/0/2

[AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2

[AP-WLAN-Radio1/0/2]

# 配置VLAN虚接口

[AP]interface Vlan-interface1  

[AP-Vlan-interface1]ip address 192.168.1.50 255.255.255.0

[AP-Vlan-interface1]

# 配置缺省路由

[AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

4.5  验证结果

(1)        非用户名指定的网卡无法通过MAC认证，在这种情况下使用Client1访问internet，有结果1。

(2)        用mac地址与配置的MAC认证用户名相同的Client进行认证，有结果2。

(3)        结果1：Client1不能访问Internet上的资源。

(4)        结果2：Client2可以通过MAC认证成功，并且可以正常访问internet上的资源。

5 相关资料

5.1  相关协议和标准

表5-1 相关协议与标准

标准号	标题
RFC 2284	PPP Extensible Authentication Protocol (EAP)

 

5.2  其它相关资料

《H3C WA系列无线局域网接入点设备 用户手册》“安全分册”中的“MAC地址认证”。