MAC认证问题
- 0关注
- 0收藏,955浏览
问题描述:
我们学校有一台H3C 7506E核心交换机,下面有线接入也为H3C交换机,AC为WX3510,AP为WA4320和WA6330,AC和AP中间为H3C POE交换机,有线和无线的DHCP服务目前都做在7506交换机上。我们学校想做有线和无线MAC地址认证,有几个问题咨询下。
1、无线MAC地址认证,只要在AC上配置,AP和POE交换机无需任何配置?
2、AC上配置MAC认证后,是不是一开通,全网无线设备必须MAC认证,否则无法上网。
3、AC web配置MAC认证是只要配置如下三步吗?
1)在新增用户,添加MAC地址,作为MAC认证的用户名和密码
2)快速配置下,点击认证模式,点击MAC地址认证
3)网络安全,点击接入管理,点击开启MAC认证
4、如何认证失败或没添加MAC认证,有线无线如何配置guest vlan ?
- 2024-04-01提问
- 举报
-
(0)
最佳答案
1、无线MAC地址认证,只要在AC上配置,AP和POE交换机无需任何配置?
是的需要在AC配置即可;
2、AC上配置MAC认证后,是不是一开通,全网无线设备必须MAC认证,否则无法上网。
是的,未通过认证的设备是无法接入网络的;
3、AC web配置MAC认证是只要配置如下三步吗?
参考配置案例:
配置需求及实现的效果
无线电脑连接SSID:service后,无线电脑终端通过在小贝产品上进行的MAC认证配置,获取到网关vlan200的IP地址:192.168.200.0/24,实现对无线用户的统一管理和认证功能。现使用WAC380作为无线网络的网关设备。通过对终端设备的MAC进行认证,达到对用户访问进行控制的目的。
3.1 在无线控制器上配置相关VLAN及对应虚接口的地址
提示:ap注册和无线配置详细步骤参考:《2.2.05 WAC380系列产品AP二层注册、无线加密配置方法(命令行版)》
在H3C上配置相关VLAN及对应虚接口的地址,并放通对应接口。
#创建VLAN100及其对应的VLAN接口,为该接口配置IP地址192.168.100.1/24。开启dhcp服务,AP使用该VLAN进行上线。
<H3C> system-view //进入系统视图
[H3C] vlan 100 //创建vlan 100
[H3C-vlan100] quit //退出
[H3C] interface Vlan-interface 100 //创建vlan 100虚接口
[H3C-Vlan-interface100] ip address 192.168.100.1 24 //给vlan 100虚接口配置ip地址
[H3C-Vlan-interface100] quit //退出
#创建VLAN200及其对应的VLAN接口,为该接口配置IP地址192.168.200.1/24。开启dhcp服务,终端使用该VLAN接入无线网络。
[H3C] vlan 200 //创建vlan 200
[H3C-vlan200]quit //退出
[H3C] interface Vlan-interface 200 //创建vlan 200虚接口
[H3C-Vlan-interface200] ip address 192.168.200.1 24 //给vlan 200虚接口配置ip地址
[H3C-Vlan-interface200] quit //退出
配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100和VLAN 200通过,设置当前Trunk口的PVID为100。
[H3C] interface gigabitethernet1/0/1 //进入接口视图
[H3C -GigabitEthernet1/0/1] port link-type trunk //配置接口类型为trunk
[H3C -GigabitEthernet1/0/1] undo port trunk permit vlan 1 //禁止vlan1通过
[H3C -GigabitEthernet1/0/1] port trunk permit vlan 100 200 //放通vlan 100和vlan 200
[H3C -GigabitEthernet1/0/1] port trunk pvid vlan 100 //设置接口pvid为vlan 100
[H3C -GigabitEthernet1/0/1]quit //退出
#开启DHCP服务器功能
[H3C]dhcp enable //开启dhcp服务
#配置地址池vlan100,为AP分配192.168.100.0/24网段
[H3C]dhcp server ip-pool vlan100 //创建vlan 100的地址池
[H3C-dhcp-pool-1] network 192.168.100.0 mask 255.255.255.0 //配置下发的地址网段
#分配网关和DNS服务器地址,网关是192.168.100.1,DNS服务器是114.114.114.114。
[H3C-dhcp-pool-1] gateway-list 192.168.100.1 //配置下发的网关地址
[H3C-dhcp-pool-1] dns-list 114.114.114.114 //配置下发的DNS
[H3C-dhcp-pool-1] quit //退出
#配置地址池vlan200,为终端分配192.168.200.0/20网段
[H3C]dhcp server ip-pool vlan200 //创建vlan 200的地址池
[H3C-dhcp-pool-1] network 192.168.200.0 mask 255.255.255.0 //配置下发的地址网段
#分配网关和DNS服务器地址,网关是192.168.200.1,DNS服务器是114.114.114.114。
[H3C-dhcp-pool-1]gateway-list 192.168.200.1 //配置下发的网关地址
[H3C-dhcp-pool-1]dns-list 114.114.114.114 //配置下发的DNS
[H3C-dhcp-pool-1]quit //退出
3.1 配置本地认证域
#创建一个名称为local-mac的认证域,为lan-access用户配置认证方法为local。
[H3C] domain local-mac //创建域
[H3C-isp-local-mac] authentication lan-access local //设置认证方法为本地
#配置用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[H3C-isp-local-mac] authorization-attribute idle-cut 15 1024 //设置闲置流量切断时间
[H3C-isp-local-mac] quit //退出
3.2 配置本地用户
配置一个网络接入类的本地用户,名称为客户端的MAC地址b0eb57595cea,密码为明文密码b0eb57595cea(同账号),并指定用户可以使用lan-access服务
[H3C] local-user b0eb57595cea class network //创建本地mac认证用户
[H3C-luser-network-b0eb57595cea] password simple b0eb57595cea //设置mac认证的密码
[H3C-luser-network-b0eb57595cea] service-type lan-access //配置服务类型
[H3C-luser-network-b0eb57595cea] quit //退出
3.3 配置本地MAC地址认证的用户名格式
#配置MAC地址认证的用户名格式为小写不带横杠(该配置为缺省配置)。
[H3C] mac-authentication user-name-format mac-address without-hyphen lowercase
//设置mac地址认证的格式
3.4 配置无线服务
#创建无线服务模板1,并进入无线服务模板视图。
[H3C] wlan service-template 1 //创建服务模板
#配置SSID为service。
[H3C-wlan-st-1] ssid service //配置wifi名字
#配置无线服务模板VLAN为200。
[H3C-wlan-st-1] vlan 200 //绑定vlan 200
#配置客户端接入认证方式为MAC地址认证。
[H3C-wlan-st-1] client-security authentication-mode mac //配置客户端接入方式为mac认证
#配置MAC地址认证用户使用的ISP域为local-mac。
[H3C-wlan-st-1] mac-authentication domain local-mac //调用mac地址认证域
#使能无线服务模板。
[H3C-wlan-st-1] service-template enable //开启服务模板
[H3C-wlan-st-1] quit //退出
#创建AP,配置AP名称为officeap,型号名称选择WAP722S,并配置序列号
2…………………1。提示:此处根据实际的AP序列号来填写
[H3C] wlan ap officeap model WAP722S //创建AP模板
[H3C-wlan-ap-officeap] serial-id 2…………………1 //绑定AP序列号
#进入Radio 2视图,绑定服务模板1。
[H3C-wlan-ap-office] radio 2 //进入射频口2
#将无线服务模板1绑定到radio 2,并开启射频。
[H3C-wlan-ap-officeap-radio-2] service-template 1 //绑定服务模板
[H3C-wlan-ap-officeap-radio-2] radio enable //开启射频
[H3C-wlan-ap-officeap-radio-2] quit //退出
3.5 配置Switch
#创建VLAN 100,其中VLAN 100用于转发AC和AP间CAPWAP隧道内的流量,VLAN 200用于转发Client无线报文。
[H3C] vlan 100 //创建vlan 100
[H3C-vlan100] quit //退出
#配置Switch与WAC361相连的GigabitEthernet1/0/1接口的属性为Trunk,禁止VLAN 1报文通过,允许VLAN 100通过,配置当前Trunk口的PVID为100。
[H3C] interface gigabitethernet1/0/1 //进入1/0/1配置视图
[H3C-GigabitEthernet1/0/1] port link-type trunk //配置接口类型为trunk模式
[H3C-GigabitEthernet1/0/1] undo port trunk permit vlan 1 //禁止vlan 1通过
[H3C-GigabitEthernet1/0/1] port trunk permit vlan 100 //配置允许通过的vlan 100
[H3C-GigabitEthernet1/0/1] port trunk pvid vlan 100 //配置端口的pvid为100
[H3C-GigabitEthernet1/0/1] quit //退出
#配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过
[H3C] interface gigabitethernet1/0/2 //进入1/0/2配置视图
[H3C-GigabitEthernet1/0/2] port link-type access //配置接口类型为access模式
[H3C-GigabitEthernet1/0/2] port access vlan 100 //将此接口加入vlan 100
#开启PoE接口远程供电功能
[H3C-GigabitEthernet1/0/2] poe enable //开启接口poe供电功能
[H3C-GigabitEthernet1/0/2] quit //退出
3.6 实验结果验证
#无线用户Client通过连接到WLAN网络并进行本地MAC认证,用户在通过认证后。
通过执行以下显示命令查看WAC上生成的无线在线用户信息。
<H3C> display wlan client
Total Number of Clients : 1
MAC address User name AP name RID IP address IPv6 address VLAN
b0eb-5759-5cea b0eb57595cea officeap 2 192.168.200.2 -NA- 200
#未通过认证的设备不能不能进行接入。
- 2024-04-01回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论