• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

胖ap上开启mac认证,求命令行配置

2023-10-24提问
  • 0关注
  • 0收藏,815浏览
魔法 零段
粉丝:0人 关注:0人

问题描述:

版本是v5的,胖ap上开启mac认证本地和服务器认证,求命令行配置

组网及组网描述:


最佳答案

已采纳
粉丝:97人 关注:1人

H3C WA系列 MAC认证典型配置举例

关键词:RadiusAAA

  要:随着网络应用的广泛普及,公司越来越多核心业务会依托网络平台,但由于传统共享网络的特点,局域网网络的安全问题日趋明显,本典型举例可以实现在网络的接入层对非法用户进行控制,既可缓解安全问题,又能节省宝贵的带宽。

缩略语:

缩略语

英文全名

中文解释

Radius

Remote Authentication Dial In User Service

基于用户服务的远程拨号认证

AAA

Authentication Authorization Accounting

认证 授权 计费

 



1 特性简介

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。

2 应用场合

MAC认证提供了一种基于MAC的认证手段,并简单地通过mac地址来实现认证,整个过程不需要输入任何信息。这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,但在可运营、可管理的宽带IP城域网中作为一种认证方式具有极大的局限性。

3 注意事项

(1)        本举例设置的是无线接口上的MAC认证。

(2)        在配置Radius时,primary authenticationprimary accountingService typeKey一定要配置正确,并且和Radius服务器一致。值得注意的是如果使用的是Cams服务器一定要把service type设置成extended,这样cams上一些私有设置才会被WA2200识别。

(3)        在配置域时要把Radius方案和域关联起来。

4 配置举例

4.1  组网需求

本配置举例中的AP使用的是WA2200无线局域网接入点。

 

本配置举例通过在APWLAN-BSS 2端口上启用MAC认证来达到对接入点Client进行控制的目的。

图4-1 AP 远程MAC认证组网图

 

4.2  配置思路

配置远程MAC认证,需要配置以下内容:

(1)        创建MAC认证时使用的Radius方案。

(2)        创建MAC认证时使用的域,并在域中引用Radius方案作为AAA的认证方案。

(3)        在系统视图下全局开启端口安全。

(4)        在设备上配置的MAC认证配置的用户信息中,用户名、密码应小写。

(5)        在需要认证的端口下使能MAC认证。

配置本地MAC认证,需要配置以下内容:

(6)        创建本地MAC认证时使用的本地用户名。

(7)        使用默认域作为认证域

(8)        在系统视图下全局开启端口安全。

(9)        在需要认证的端口下使能MAC认证。

4.3  使用版本

[AP]display version

H3C Comware Platform Software

Comware Software, Version 5.20, 0001

Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes

 

 CPU type: AMCC PowerPC 266MHz

 64M bytes SDRAM Memory

 8M bytes Flash Memory

 Pcb Version:  Ver.A

 Basic  BootROM  Version:  1.04

 Extend BootROM  Version:  1.04

 [SLOT  1]CON (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.0

 

4.4  MAC认证配置

4.4.1  配置远程MAC认证

1. 配置信息

<AP>display current-configuration

#

 version 5.00, 0001

#

 sysname AP

#

domain default enable cams

#

 port-security enable

#

mac-authentication domain cams

#

vlan 1

#

vlan 2 to 4094

#

radius scheme system

 primary authentication 127.0.0.1

 primary accounting 127.0.0.1

 key authentication h3c

 key accounting h3c

 accounting-on enable

radius scheme cams

 server-type extended

 primary authentication 8.1.1.4

 primary accounting 8.1.1.4

 key authentication h3c

 key accounting h3c

security-policy-server 8.1.1.4

 timer realtime-accounting 3

 user-name-format without-domain

 undo stop-accounting-buffer enable

 accounting-on enable

#

domain cams

 authentication default radius-scheme cams

 authorization default radius-scheme cams

 accounting default radius-scheme cams

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

wlan service-template 2 clear

 ssid h3c-mac

authentication-method open-system

service-template enable

#

interface NULL0

#

interface Vlan-interface1

 ip address 192.168.1.50 255.255.255.0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface WLAN-BSS2

 port-security port-mode mac-authentication

#

interface WLAN-Radio1/0/1

#

interface WLAN-Radio1/0/2

 service-template 2 interface wlan-bss 2

#

 ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

#

user-interface con 0

 idle-timeout 0 0

user-interface vty 0 4

#

return

 

2. 主要配置步骤

MAC认证接入端配置MAC认证

# 启用port-security

[AP]port-security enable

# 配置认证策略

[AP]radius scheme cams

[AP-radius-cams]server-type extended

[AP-radius-cams]primary authentication 8.1.1.4

[AP-radius-cams]primary accounting 8.1.1.4

[AP-radius-cams]key authentication h3c

[AP-radius-cams]key accounting h3c  

[AP-radius-cams]timer realtime-accounting 3

[AP-radius-cams]user-name-format without-domain

[AP-radius-cams]undo stop-accounting-buffer enable

[AP-radius-cams]accounting-on enable

# 配置认证域

[AP-radius-cams]domain cams

[AP-isp-cams]authentication default radius-scheme cams  

[AP-isp-cams]authorization default radius-scheme cams

[AP-isp-cams]accounting default radius-scheme cams

# 把配置MAC认证域为CAMS

[AP] mac-authentication domain cams

# 配置无线服务模板

[AP]wlan service-template 2 clear  

[AP-wlan-st-2]ssid h3c-mac

[AP-wlan-st-2]authentication-method open-system 

[AP-wlan-st-2]service-template enable  

# 配置无线口,并在无线口启用端口安全(MAC认证)

[AP]interface WLAN-BSS 2

[AP-WLAN-BSS2] port-security port-mode mac-authentication

# 在射频口绑定无线服务模板和无线口

[AP]interface WLAN-Radio 1/0/2

[AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2

# 配置VLAN虚接口

[AP1]interface Vlan-interface1  

[AP-Vlan-interface1]ip address 192.168.1.50 255.255.255.0

# 配置缺省路由

[AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

3. CAMS配置

CAMS版本:2.10 试用版(CAMS 详细版本号:2.10-R0209

CAMS上配置MAC认证项:

系统配置:

 

配置计费策略:

 

配置服务策略:

配置帐号用户:

(这里需要注意的是:当采用MAC地址认证时,相应MAC用户的密码形式应和用户名形式一致,但必须是小写)

4.4.2  配置本地MAC认证

1. 配置信息

<AP>display current-configuration

#

 version 5.00, 0001

#

 sysname AP

#

 configure-user count 1 

#

 domain default enable system

#

 port-security enable

#  

mac-authentication domain system

vlan 1

#

vlan 2 to 4094

#

radius scheme system

 primary authentication 127.0.0.1 

 primary accounting 127.0.0.1

 key authentication h3c 

 key accounting h3c

 accounting-on enable

#

domain system 

 access-limit disable

 state active 

 idle-cut disable

 self-service-url disable

#

wlan service-template 2 clear

 ssid h3c-mac

authentication-method open-system

service-template enable

#

interface NULL0

#

interface Vlan-interface1

 ip address 192.168.1.50 255.255.255.0 

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface WLAN-BSS2

 port-security port-mode mac-authentication

#

interface WLAN-Radio1/0/1

#

interface WLAN-Radio1/0/2

 service-template 2 interface wlan-bss 2

#

 ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

#

user-interface con 0

 idle-timeout 0 0

user-interface vty 0 4

#

return

 

2. 主要配置步骤

MAC认证接入端配置MAC认证

# 启用port-security

[AP]port-security enable 

# 把配置MAC认证域为system

[AP] mac-authentication domain system

# 配置本地MAC认证用户

[AP]local-user 00179a007b47

New local user added.

[AP-luser-00179a007b47]password simple 00179a007b47

Updating user(s) information, please wait.........

[AP-luser-00179a007b47]service-type lan-access

[AP-luser-00179a007b47]

# 配置无线服务模板

[AP]wlan service-template 2 clear  

[AP-wlan-st-2]ssid h3c-mac

[AP-wlan-st-2]authentication-method open-system 

[AP-wlan-st-2]service-template enable  

# 配置无线口,并在无线口启用端口安全(MAC认证)

[AP]interface WLAN-BSS 2

[AP-WLAN-BSS2] port-security port-mode mac-authentication

# 在射频口绑定无线服务模板和无线口

[AP]interface WLAN-Radio 1/0/2

[AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2

[AP-WLAN-Radio1/0/2]

# 配置VLAN虚接口

[AP]interface Vlan-interface1  

[AP-Vlan-interface1]ip address 192.168.1.50 255.255.255.0

[AP-Vlan-interface1]

# 配置缺省路由

[AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

4.5  验证结果

(1)        非用户名指定的网卡无法通过MAC认证,在这种情况下使用Client1访问internet,有结果1

(2)        mac地址与配置的MAC认证用户名相同的Client进行认证,有结果2

(3)        结果1Client1不能访问Internet上的资源。

(4)        结果2Client2可以通过MAC认证成功,并且可以正常访问internet上的资源。

5 相关资料

5.1  相关协议和标准

表5-1 相关协议与标准

标准号

标题

RFC 2284

PPP Extensible Authentication Protocol (EAP)

 

5.2  其它相关资料

H3C WA系列无线局域网接入点设备 用户手册》“安全分册”中的“MAC地址认证”。

暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明