• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3CWX2520X-LI,未认证无线可以使用,设备认证后无线不能使用

2025-08-22提问
  • 0关注
  • 0收藏,131浏览
粉丝:0人 关注:0人

问题描述:

设备未进行mac认证时,无线是正常使用的,一到点击mac认证后,所有无线都不能使用了

组网及组网描述:

组网

3 个回答
粉丝:9人 关注:0人

第1步:检查最明显的配置——RADIUS服务器可达性

这是最常见的原因。AC设备无法与您指定的RADIUS服务器通信。

  • ​排查方法:​

    1. 1.

      登录到您的华三AC(或路由器/交换机,如果它作为无线控制器)。

    2. 2.

      使用 ping命令测试到RADIUS服务器的IP地址是否通畅。

      ping <RADIUS服务器IP>
    3. 3.

      如果不通,检查:

      • AC和RADIUS服务器之间的网络路由。

      • AC或中间设备的防火墙策略是否放通了UDP 1812(认证端口)和1813(计费端口)的流量。

      • RADIUS服务器的防火墙是否关闭或放通了相应端口。

第2步:检查RADIUS服务器配置

  • ​共享密钥不一致:​

    • 在华三AC上配置RADIUS服务器时,需要设置一个​​共享密钥​​。

    • 这个密钥必须与RADIUS服务器上为这台AC设备配置的密钥​​完全一致​​(大小写敏感)。

    • ​排查方法:​​ 仔细比对AC上的密钥和RADIUS服务器上的密钥,确保一个字符都不差。

  • ​服务器状态和认证端口:​

    • 检查RADIUS服务是否正常启动。

    • 确认AC上配置的认证端口(默认1812)与服务器实际监听的端口一致。

第3步:检查AC上的RADIUS方案配置

在华三设备上,需要正确配置RADIUS方案(Scheme)。

# 显示当前配置的RADIUS方案 display radius scheme <您的方案名称>
  • ​排查点:​

    • Primary authentication server主认证服务器IP是否正确。

    • Primary accounting server主计费服务器IP是否正确(如果开启了计费)。

    • 确认 Server type是标准类型(如standard)还是扩展类型(如extended),需要与服务器类型匹配。

第4步:检查认证域(Domain)的引用

在华三设备中,认证方法通常与域(Domain)绑定,并在SSID策略下引用。

# 显示域配置 display domain <您使用的域名,如system>
  • ​排查点:​

    • 确认该域下配置的认证方法(如 authentication lan-access radius-scheme <方案名>)是否正确引用了您上面配置的RADIUS方案。

    • 检查是否配置了计费(accounting lan-access radius-scheme <方案名>),如果RADIUS服务器不需要计费,可以尝试暂时关闭计费功能测试。

    # 进入域视图 domain system # 尝试先关闭计费看是否有效 undo accounting lan-access # 或者直接指定认证和计费方案 authentication lan-access radius-scheme <你的方案名> accounting lan-access radius-scheme <你的方案名>

第5步:检查RADIUS服务器上的用户列表

  • ​MAC地址格式问题:​

    • 华三设备发送给服务器的MAC地址​​格式​​可能与服务器要求的格式不符。

    • 常见的格式有:aabb-ccdd-eeffaa:bb:cc:dd:ee:ffaabbccddeeff(无分隔符)。

    • ​排查方法:​​ 在AC上开启RADIUS调试日志,查看它发出的用户名到底是什么格式。然后在RADIUS服务器的用户列表中,确保使用​​完全相同的格式​​添加了MAC地址。

第6步:开启调试日志,捕捉认证过程(最有效的方法)

这是定位问题最直接的手段。

# 开启调试功能 terminal monitor terminal debugging # 开启RADIUS报文调试 debugging radius all # 开启所有用户接入调试(信息量较大,可选) debugging wlan all

开启调试后,让一个客户端尝试连接。AC的控制台会打印出详细的认证交互信息。

  • ​关键看什么:​

    1. 1.

      AC是否向正确的服务器IP发送了认证请求(Access-Request)。

    2. 2.

      服务器是否有响应(Access-Accept 或 Access-Reject)。

    3. 3.

      如果收到 Access-Reject,说明服务器拒绝了请求,原因是MAC地址不在名单中或密钥错误。

    4. 4.

      如果​​根本没有响应​​,或者有 Timeout提示,说明网络不通或服务器无响应。

    5. 5.

      仔细观察日志中发送的 Username字段,确认它的格式。

​完成后,记得关闭调试,以免影响设备性能:​

undo debugging all

临时解决方案和测试建议

  1. 1.

    ​在RADIUS服务器上添加一个测试MAC地址​​:找一台已知MAC地址的设备(如手机),将它的MAC地址以各种可能的格式添加到RADIUS服务器的允许列表中。

  2. 2.

    ​使用本地MAC认证测试​​:如果您的华三AC支持,可以暂时在AC本地创建几个MAC地址用户进行测试,从而排除外部RADIUS服务器的问题。这能帮你快速定位问题是出在AC本身还是服务器。

  3. 3.

    ​分步操作​​:不要一次性在所有SSID上开启MAC认证。可以先创建一个测试用的SSID,开启MAC认证,用一台设备进行测试,成功后再应用到生产SSID。

总结

故障现象

最可能的原因

排查重点

​所有设备无法上网​

​1. 网络不通​
​2. 共享密钥错误​
​3. 服务器无响应​

ping测试、核对密钥、开启 debugging radius看超时

请按照上述步骤,尤其是​​第6步开启调试日志​​,绝大部分此类问题都能被迅速定位并解决。问题通常就出在​​服务器IP、共享密钥、MAC格式​​这三大元凶上。

暂无评论

粉丝:1人 关注:0人

看你描述的情况说的是无线开启了白名单吧,你在WEB开启的话就是全局开启白名单,所有SSID都要通过白名单认证才可连网

配置案例: 

1.关闭白名单功能的方法 

登录AC的Web管理界面 进入“安全 > 黑白名单”模块,默认进入“黑名单”页签。 

 切换到白名单配置页面 在顶部选择 “白名单”页签,进入白名单配置页面。 

 移除白名单表项 在现有白名单列表中勾选需要删除的MAC地址表项。 

单击 <删除> 按钮清除已配置的白名单条目。 

全局关闭白名单(可选) 

若需完全禁用白名单功能: 移除所有白名单条目后,确保界面无任何生效的白名单规则。 

白名单功能会自动失效(无单独的全局开关按钮),移除全部条目即等同于关闭白名单。

2.开启白名单的方法

 一、AC控制器(Web网管配置) 

登录Web界面 导航至 安全 > 黑白名单 → 选择 白名单 页签。

 添加白名单表项 点击 添加 按钮,进入添加页面。 

配置方式(二选一): 手动指定MAC地址:选中“MAC地址”单选按钮,输入允许接入的客户端MAC地址。

 从当前客户端选择:通过“选择当前连接客户端”将在线设备加入白名单。 

单击 确定 保存配置。 

作用范围 静态白名单对AC下所有AP生效,仅允许白名单内设备接入,其他设备拒绝。 

 二、基于SSID的白名单(AC命令行配置) 

 # 创建二层ACL(以4000为例) 

system-view 

acl mac 4000 

 rule 0 permit source-mac xxxx-xxxx-xxxx ffff-ffff-ffff # 允许指定MAC 

 rule 1 deny # 拒绝其他所有设备 

 quit # 

在无线服务模板调用

ACL wlan service-template [模板ID] 

 access-control acl 4000 # 应用白名单ACL 

 service-template enable 

 quit 

效果:仅允许ACL中指定的MAC地址接入该SSID。


暂无评论

粉丝:40人 关注:6人

你的mac 认证配置有问题:

先了解一白名单和mac 认证的区别;在去参考配置案例选择何种方式;


1. 无线白名单
- 机制:
- 在AC的Web界面配置静态MAC白名单列表(通过`wlan whitelist`或ACL规则)。
- 仅允许列表中的MAC地址接入无线网络,不涉及认证流程(如用户名/密码交互)。
- 工作层级:
- 作用于数据链路层(L2),在终端关联请求阶段直接过滤MAC地址(如`auth request`报文)。
- 特点:
- 配置简单,无额外认证服务器依赖。
- 仅控制终端能否关联SSID,无用户身份校验。
- 典型命令:

wlan whitelist mac-address xxxx-xxxx-xxxx 全局白名单
acl mac 4000 rule 0 permit source-mac xxxx-xxxx-xxxx 基于ACL的白名单

---

2. 无线MAC认证
- 机制:
- 属于认证技术(如`mac-authentication`),终端MAC地址作为用户名/密码发送到认证服务器(如RADIUS)。
- 支持本地认证或RADIUS远程认证,需配置AAA域(如`domain local-mac`)。
- 工作层级:
- 作用于认证层(L3+),终端关联SSID后触发802.1X认证流程,校验MAC有效性。
- 特点:
- 可结合用户角色(`user-profile`)实现精细化授权(如限制可访问的SSID)。
- 支持认证失败静默、重试机制,安全性更高。
- 典型命令:

client-security authentication-mode mac 服务模板启用MAC认证
mac-authentication domain local-mac 指定认证域


---

关键区别总结
| 维度 | 无线白名单 | 无线MAC认证 |
|------------------|----------------------------------------|------------------------------------------|
| 功能本质 | MAC地址过滤(黑白名单) | 基于MAC的认证与授权 |
| 是否需认证 | 否(直接放行/拦截) | 是(需通过AAA校验) |
| 配置依赖 | ACL或全局黑白名单 | AAA域、RADIUS/本地用户表 |
| 安全性 | 较低(仅识别MAC) | 较高(支持加密传输、动态授权) |
| 适用场景 | 小型网络、简单访客控制 | 企业网络、合规审计(如终端绑定账号) |


无线mac认证配置案例:

1  本地MAC认证典型配置

1.1  简介

本文档介绍无线客户端通过本地认证方式进行MAC地址认证并访问外网的典型配置举例。

1.2  组网需求

图1所示,集中式转发架构下,AP和Client通过DHCP server获取IP地址,要求在AC上使用MAC地址用户名格式认证方式进行用户身份认证,以控制其对网络资源的访问。

图1 本地MAC地址认证配置组网图

 

1.3  配置注意事项

·     配置AP的序列号时请确保该序列号与AP唯一对应。

·     在AC上配置的MAC地址认证的用户名、密码需要与Client上配置的用户名、密码保持一致,即使用Client的MAC地址作为用户名和密码进行MAC地址认证。

·     配置Switch和AP相连的接口禁止VLAN 1报文通过,以防止AC上VLAN 1内的报文过多。

·     部分款型终端默认会开启随机MAC功能,可能会导致MAC认证失败,建议终端侧关闭随机MAC功能。

1.4  配置步骤

1.4.1  配置AC

(1)     配置AC的接口

# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。

<AC> system-view

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 112.12.1.25 16

[AC-Vlan-interface100] quit

# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。Client使用该VLAN接入无线网络。

[AC] vlan 200

[AC-vlan200] quit

[AC] interface vlan-interface 200

[AC-Vlan-interface200] ip address 112.13.1.25 16

[AC-Vlan-interface200] quit

# 配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100和VLAN 200通过。

[AC] interface gigabitethernet1/0/1

[AC-GigabitEthernet1/0/1] port link-type trunk

[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200

[AC-GigabitEthernet1/0/1] quit

(2)     配置DHCP server

# 开启DHCP server功能。

[AC] dhcp enable

# 配置DHCP地址池vlan100为AP分配地址范围为112.12.0.0/16,网关地址为112.12.1.25。

[AC] dhcp server ip-pool vlan100

[AC-dhcp-pool-vlan100] network 112.12.0.0 mask 255.255.0.0

[AC-dhcp-pool-vlan100] gateway-list 112.12.1.25

[AC-dhcp-pool-vlan100] quit

# 配置DHCP地址池vlan200为Client分配地址范围为112.13.0.0/16,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),网关地址为112.13.1.25。

[AC] dhcp server ip-pool vlan200

[AC-dhcp-pool-vlan200] network 112.13.0.0 mask 255.255.0.0

[AC-dhcp-pool-vlan200] gateway-list 112.13.1.25

[AC-dhcp-pool-vlan200] dns-list 112.13.1.25

[AC-dhcp-pool-vlan200] quit

(3)     配置本地认证域

# 创建一个名称为local-mac的认证域,为lan-access用户配置认证方法为local,计费和授权方式为none。

[AC] domain local-mac

[AC-isp-local-mac] authentication lan-access local

[AC-isp-local-mac] accounting lan-access none

[AC-isp-local-mac] authorization lan-access none

# 配置用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。

[AC-isp-local-mac] authorization-attribute idle-cut 15 1024

[AC] quit

(4)     配置本地用户

# 配置一个网络接入类的本地用户,名称为客户端的MAC地址3ca9f4144c20,密码为明文密码3ca9f4144c20,并指定用户可以使用lan-access服务。

[AC] local-user 3ca9f4144c20 class network

[AC-luser-network-3ca9f4144c20] password simple 3ca9f4144c20

[AC-luser-network-3ca9f4144c20] service-type lan-access

[AC-luser-network-3ca9f4144c20] quit

(5)     配置本地MAC地址认证的用户名格式

# 配置MAC地址认证的用户名和密码均为用户的MAC地址(该配置为缺省配置)。

[AC] mac-authentication user-name-format mac-address without-hyphen lowercase

(6)     配置无线服务

# 创建无线服务模板1,并进入无线服务模板视图。

[AC] wlan service-template 1

# 配置SSID为service。

[AC-wlan-st-1] ssid service

# 配置客户端从无线服务模板1上线后会被加入VLAN 200。

[AC-wlan-st-1] vlan 200

# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。

[AC-wlan-st-1] akm mode psk

[AC-wlan-st-1] preshared-key pass-phrase simple 12345678

# 配置加密套件为CCMP,安全信息元素为RSN。

[AC-wlan-st-1] cipher-suite ccmp

[AC-wlan-st-1] security-ie rsn

# 配置客户端数据报文转发位置为AC。(如果客户端数据报文的缺省转发位置与本配置相同,请跳过此步骤)

[AC-wlan-st-1] client forwarding-location ac

# 配置客户端接入认证方式为MAC地址认证。

[AC-wlan-st-1] client-security authentication-mode mac

# 配置MAC地址认证用户使用的ISP域为local-mac。

[AC-wlan-st-1] mac-authentication domain local-mac

# 开启无线服务模板。

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

(7)     配置AP

说明

在大规模组网时,推荐在AP组内进行配置。

 

# 创建手工AP,名称为officeap,型号名称为WA6320,并配置序列号219801A28N819CE0002T。

[AC] wlan ap officeap model WA6320

[AC-wlan-ap-officeap] serial-id 219801A28N819CE0002T

[AC-wlan-ap-officeap] quit

# 创建AP组group1,并配置AP名称入组规则。

[AC] wlan ap-group group1

[AC-wlan-ap-group-group1] ap officeap

# 将无线服务模板1绑定到AP组group1下的Radio 2上。

[AC-wlan-ap-group-group1] ap-model WA6320

[AC-wlan-ap-group-group1-ap-model-WA6320] radio 2

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template 1

# 开启Radio 2的射频功能。

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] quit

[AC-wlan-ap-group-group1-ap-model-WA6320] quit

[AC-wlan-ap-group-group1] quit

1.4.2  配置Switch

# 创建VLAN 100和VLAN 200,其中VLAN 100用于转发AC和AP间CAPWAP隧道内的流量,VLAN 200用于转发Client无线报文。

<Switch> system-view

[Switch] vlan 100

[Switch-vlan100] quit

[Switch] vlan 200

[Switch-vlan200] quit

# 配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk,禁止VLAN 1报文通过,允许VLAN 100通过。

[Switch] interface gigabitethernet1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100

[Switch-GigabitEthernet1/0/1] quit

# 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过。

[Switch] interface gigabitethernet1/0/2

[Switch-GigabitEthernet1/0/2] port link-type access

[Switch-GigabitEthernet1/0/2] port access vlan 100

# 开启PoE接口远程供电功能。

[Switch-GigabitEthernet1/0/2] poe enable

[Switch-GigabitEthernet1/0/2] quit

1.5  验证配置

# 完成以上配置后,无线用户Client连接到WLAN网络并进行MAC地址认证。在AC上通过命令display wlan client可以看见无线用户Client从VLAN 200上线。

[AC] display wlan client

Total number of clients: 1

 

MAC address    User name            AP name               R IP address      VLAN

3ca9-f414-4c20 3ca9f4144c20         officeap              2 112.13.0.2      200

1.6  配置文件

·     AC:

#

dhcp enable

#

vlan 1

#

vlan 100

#

vlan 200

#

dhcp server ip-pool vlan100

 gateway-list 112.12.1.25

 network 112.12.0.0 mask 255.255.0.0

#

dhcp server ip-pool vlan200

gateway-list 112.13.1.25

 network 112.13.0.0 mask 255.255.0.0

dns-list 112.13.1.25

#

wlan service-template 1

 ssid service

 vlan 200

 client forwarding-location ac

 akm mode psk

 preshared-key pass-phrase cipher $c$3$9tIUHSkAUVqCH9/EPrL26ldkcEQnngexUEFj

 cipher-suite ccmp

 security-ie rsn

 client-security authentication-mode mac

 mac-authentication domain local-mac

 service-template enable

#

interface Vlan-interface100

 ip address 112.12.1.25 255.255.0.0

#

interface Vlan-interface200

 ip address 112.13.1.25 255.255.0.0

#

interface GigabitEthernet1/0/1

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 100 200

#

domain local-mac

 authentication lan-access local

accounting lan-access none

authorization lan-access none

authorization-attribute idle-cut 15 1024

#

local-user 3ca9f4144c20 class network

 password cipher $c$3$KWMkvq/FnQ2opPqBnpSTs3NPhVKrSOvqFPLAECSiDQ==

 service-type lan-access

 authorization-attribute user-role network-operator

#

wlan ap-group group1

 ap officeap

 ap-model WA6320

  radio 1

  radio 2

   radio enable

   service-template 1

#

wlan ap officeap model WA6320

 serial-id 219801A28N819CE0002T

#

·     Switch:

#

vlan 1

#

vlan 100

#

vlan 200

#

interface GigabitEthernet1/0/1

 port link-type trunk

undo port trunk permit vlan 1

 port trunk permit vlan 100

#

interface GigabitEthernet1/0/2

 port access vlan 100

poe enable


暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明