H3CWX2520X-LI,未认证无线可以使用,设备认证后无线不能使用
- 0关注
- 0收藏,263浏览
问题描述:
设备未进行mac认证时,无线是正常使用的,一到点击mac认证后,所有无线都不能使用了
组网及组网描述:
组网
- 2025-08-22提问
- 举报
-
(0)
第1步:检查最明显的配置——RADIUS服务器可达性
这是最常见的原因。AC设备无法与您指定的RADIUS服务器通信。
- •
排查方法:
- 1.
登录到您的华三AC(或路由器/交换机,如果它作为无线控制器)。
- 2.
使用
ping命令测试到RADIUS服务器的IP地址是否通畅。ping <RADIUS服务器IP> - 3.
如果不通,检查:
- •
AC和RADIUS服务器之间的网络路由。
- •
AC或中间设备的防火墙策略是否放通了UDP 1812(认证端口)和1813(计费端口)的流量。
- •
RADIUS服务器的防火墙是否关闭或放通了相应端口。
- •
- 1.
第2步:检查RADIUS服务器配置
- •
共享密钥不一致:
- •
在华三AC上配置RADIUS服务器时,需要设置一个共享密钥。
- •
这个密钥必须与RADIUS服务器上为这台AC设备配置的密钥完全一致(大小写敏感)。
- •
排查方法: 仔细比对AC上的密钥和RADIUS服务器上的密钥,确保一个字符都不差。
- •
- •
服务器状态和认证端口:
- •
检查RADIUS服务是否正常启动。
- •
确认AC上配置的认证端口(默认1812)与服务器实际监听的端口一致。
- •
第3步:检查AC上的RADIUS方案配置
在华三设备上,需要正确配置RADIUS方案(Scheme)。
# 显示当前配置的RADIUS方案
display radius scheme <您的方案名称>- •
排查点:
- •
Primary authentication server主认证服务器IP是否正确。 - •
Primary accounting server主计费服务器IP是否正确(如果开启了计费)。 - •
确认
Server type是标准类型(如standard)还是扩展类型(如extended),需要与服务器类型匹配。
- •
第4步:检查认证域(Domain)的引用
在华三设备中,认证方法通常与域(Domain)绑定,并在SSID策略下引用。
# 显示域配置
display domain <您使用的域名,如system>- •
排查点:
- •
确认该域下配置的认证方法(如
authentication lan-access radius-scheme <方案名>)是否正确引用了您上面配置的RADIUS方案。 - •
检查是否配置了计费(
accounting lan-access radius-scheme <方案名>),如果RADIUS服务器不需要计费,可以尝试暂时关闭计费功能测试。
# 进入域视图 domain system # 尝试先关闭计费看是否有效 undo accounting lan-access # 或者直接指定认证和计费方案 authentication lan-access radius-scheme <你的方案名> accounting lan-access radius-scheme <你的方案名> - •
第5步:检查RADIUS服务器上的用户列表
- •
MAC地址格式问题:
- •
华三设备发送给服务器的MAC地址格式可能与服务器要求的格式不符。
- •
常见的格式有:
aabb-ccdd-eeff,aa:bb:cc:dd:ee:ff,aabbccddeeff(无分隔符)。 - •
排查方法: 在AC上开启RADIUS调试日志,查看它发出的用户名到底是什么格式。然后在RADIUS服务器的用户列表中,确保使用完全相同的格式添加了MAC地址。
- •
第6步:开启调试日志,捕捉认证过程(最有效的方法)
这是定位问题最直接的手段。
# 开启调试功能
terminal monitor
terminal debugging
# 开启RADIUS报文调试
debugging radius all
# 开启所有用户接入调试(信息量较大,可选)
debugging wlan all开启调试后,让一个客户端尝试连接。AC的控制台会打印出详细的认证交互信息。
- •
关键看什么:
- 1.
AC是否向正确的服务器IP发送了认证请求(Access-Request)。
- 2.
服务器是否有响应(Access-Accept 或 Access-Reject)。
- 3.
如果收到
Access-Reject,说明服务器拒绝了请求,原因是MAC地址不在名单中或密钥错误。 - 4.
如果根本没有响应,或者有
Timeout提示,说明网络不通或服务器无响应。 - 5.
仔细观察日志中发送的
Username字段,确认它的格式。
- 1.
完成后,记得关闭调试,以免影响设备性能:
undo debugging all临时解决方案和测试建议
- 1.
在RADIUS服务器上添加一个测试MAC地址:找一台已知MAC地址的设备(如手机),将它的MAC地址以各种可能的格式添加到RADIUS服务器的允许列表中。
- 2.
使用本地MAC认证测试:如果您的华三AC支持,可以暂时在AC本地创建几个MAC地址用户进行测试,从而排除外部RADIUS服务器的问题。这能帮你快速定位问题是出在AC本身还是服务器。
- 3.
分步操作:不要一次性在所有SSID上开启MAC认证。可以先创建一个测试用的SSID,开启MAC认证,用一台设备进行测试,成功后再应用到生产SSID。
总结
故障现象 | 最可能的原因 | 排查重点 |
|---|---|---|
所有设备无法上网 | 1. 网络不通 |
|
请按照上述步骤,尤其是第6步开启调试日志,绝大部分此类问题都能被迅速定位并解决。问题通常就出在服务器IP、共享密钥、MAC格式这三大元凶上。
- 2025-08-22回答
- 评论(0)
- 举报
-
(0)
看你描述的情况说的是无线开启了白名单吧,你在WEB开启的话就是全局开启白名单,所有SSID都要通过白名单认证才可连网
配置案例:
1.关闭白名单功能的方法
登录AC的Web管理界面 进入“安全 > 黑白名单”模块,默认进入“黑名单”页签。
切换到白名单配置页面 在顶部选择 “白名单”页签,进入白名单配置页面。
移除白名单表项 在现有白名单列表中勾选需要删除的MAC地址表项。
单击 <删除> 按钮清除已配置的白名单条目。
全局关闭白名单(可选)
若需完全禁用白名单功能: 移除所有白名单条目后,确保界面无任何生效的白名单规则。
白名单功能会自动失效(无单独的全局开关按钮),移除全部条目即等同于关闭白名单。
2.开启白名单的方法
一、AC控制器(Web网管配置)
登录Web界面 导航至 安全 > 黑白名单 → 选择 白名单 页签。
添加白名单表项 点击 添加 按钮,进入添加页面。
配置方式(二选一): 手动指定MAC地址:选中“MAC地址”单选按钮,输入允许接入的客户端MAC地址。
从当前客户端选择:通过“选择当前连接客户端”将在线设备加入白名单。
单击 确定 保存配置。
作用范围 静态白名单对AC下所有AP生效,仅允许白名单内设备接入,其他设备拒绝。
二、基于SSID的白名单(AC命令行配置)
# 创建二层ACL(以4000为例)
system-view
acl mac 4000
rule 0 permit source-mac xxxx-xxxx-xxxx ffff-ffff-ffff # 允许指定MAC
rule 1 deny # 拒绝其他所有设备
quit #
在无线服务模板调用
ACL wlan service-template [模板ID]
access-control acl 4000 # 应用白名单ACL
service-template enable
quit
效果:仅允许ACL中指定的MAC地址接入该SSID。
- 2025-08-22回答
- 评论(0)
- 举报
-
(0)
暂无评论
你的mac 认证配置有问题:
先了解一白名单和mac 认证的区别;在去参考配置案例选择何种方式;
1. 无线白名单
- 机制:
- 在AC的Web界面配置静态MAC白名单列表(通过`wlan whitelist`或ACL规则)。
- 仅允许列表中的MAC地址接入无线网络,不涉及认证流程(如用户名/密码交互)。
- 工作层级:
- 作用于数据链路层(L2),在终端关联请求阶段直接过滤MAC地址(如`auth request`报文)。
- 特点:
- 配置简单,无额外认证服务器依赖。
- 仅控制终端能否关联SSID,无用户身份校验。
- 典型命令:
wlan whitelist mac-address xxxx-xxxx-xxxx 全局白名单
acl mac 4000 rule 0 permit source-mac xxxx-xxxx-xxxx 基于ACL的白名单
---
2. 无线MAC认证
- 机制:
- 属于认证技术(如`mac-authentication`),终端MAC地址作为用户名/密码发送到认证服务器(如RADIUS)。
- 支持本地认证或RADIUS远程认证,需配置AAA域(如`domain local-mac`)。
- 工作层级:
- 作用于认证层(L3+),终端关联SSID后触发802.1X认证流程,校验MAC有效性。
- 特点:
- 可结合用户角色(`user-profile`)实现精细化授权(如限制可访问的SSID)。
- 支持认证失败静默、重试机制,安全性更高。
- 典型命令:
client-security authentication-mode mac 服务模板启用MAC认证
mac-authentication domain local-mac 指定认证域
---
关键区别总结
| 维度 | 无线白名单 | 无线MAC认证 |
|------------------|----------------------------------------|------------------------------------------|
| 功能本质 | MAC地址过滤(黑白名单) | 基于MAC的认证与授权 |
| 是否需认证 | 否(直接放行/拦截) | 是(需通过AAA校验) |
| 配置依赖 | ACL或全局黑白名单 | AAA域、RADIUS/本地用户表 |
| 安全性 | 较低(仅识别MAC) | 较高(支持加密传输、动态授权) |
| 适用场景 | 小型网络、简单访客控制 | 企业网络、合规审计(如终端绑定账号) |
无线mac认证配置案例:
1 本地MAC认证典型配置
1.1 简介
本文档介绍无线客户端通过本地认证方式进行MAC地址认证并访问外网的典型配置举例。
1.2 组网需求
如图1所示,集中式转发架构下,AP和Client通过DHCP server获取IP地址,要求在AC上使用MAC地址用户名格式认证方式进行用户身份认证,以控制其对网络资源的访问。
图1 本地MAC地址认证配置组网图
1.3 配置注意事项
· 配置AP的序列号时请确保该序列号与AP唯一对应。
· 在AC上配置的MAC地址认证的用户名、密码需要与Client上配置的用户名、密码保持一致,即使用Client的MAC地址作为用户名和密码进行MAC地址认证。
· 配置Switch和AP相连的接口禁止VLAN 1报文通过,以防止AC上VLAN 1内的报文过多。
· 部分款型终端默认会开启随机MAC功能,可能会导致MAC认证失败,建议终端侧关闭随机MAC功能。
1.4 配置步骤
1.4.1 配置AC
(1) 配置AC的接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 112.12.1.25 16
[AC-Vlan-interface100] quit
# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。Client使用该VLAN接入无线网络。
[AC] vlan 200
[AC-vlan200] quit
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address 112.13.1.25 16
[AC-Vlan-interface200] quit
# 配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100和VLAN 200通过。
[AC] interface gigabitethernet1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200
[AC-GigabitEthernet1/0/1] quit
(2) 配置DHCP server
# 开启DHCP server功能。
[AC] dhcp enable
# 配置DHCP地址池vlan100为AP分配地址范围为112.12.0.0/16,网关地址为112.12.1.25。
[AC] dhcp server ip-pool vlan100
[AC-dhcp-pool-vlan100] network 112.12.0.0 mask 255.255.0.0
[AC-dhcp-pool-vlan100] gateway-list 112.12.1.25
[AC-dhcp-pool-vlan100] quit
# 配置DHCP地址池vlan200为Client分配地址范围为112.13.0.0/16,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),网关地址为112.13.1.25。
[AC] dhcp server ip-pool vlan200
[AC-dhcp-pool-vlan200] network 112.13.0.0 mask 255.255.0.0
[AC-dhcp-pool-vlan200] gateway-list 112.13.1.25
[AC-dhcp-pool-vlan200] dns-list 112.13.1.25
[AC-dhcp-pool-vlan200] quit
(3) 配置本地认证域
# 创建一个名称为local-mac的认证域,为lan-access用户配置认证方法为local,计费和授权方式为none。
[AC] domain local-mac
[AC-isp-local-mac] authentication lan-access local
[AC-isp-local-mac] accounting lan-access none
[AC-isp-local-mac] authorization lan-access none
# 配置用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC-isp-local-mac] authorization-attribute idle-cut 15 1024
[AC] quit
(4) 配置本地用户
# 配置一个网络接入类的本地用户,名称为客户端的MAC地址3ca9f4144c20,密码为明文密码3ca9f4144c20,并指定用户可以使用lan-access服务。
[AC] local-user 3ca9f4144c20 class network
[AC-luser-network-3ca9f4144c20] password simple 3ca9f4144c20
[AC-luser-network-3ca9f4144c20] service-type lan-access
[AC-luser-network-3ca9f4144c20] quit
(5) 配置本地MAC地址认证的用户名格式
# 配置MAC地址认证的用户名和密码均为用户的MAC地址(该配置为缺省配置)。
[AC] mac-authentication user-name-format mac-address without-hyphen lowercase
(6) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1
# 配置SSID为service。
[AC-wlan-st-1] ssid service
# 配置客户端从无线服务模板1上线后会被加入VLAN 200。
[AC-wlan-st-1] vlan 200
# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。
[AC-wlan-st-1] akm mode psk
[AC-wlan-st-1] preshared-key pass-phrase simple 12345678
# 配置加密套件为CCMP,安全信息元素为RSN。
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
# 配置客户端数据报文转发位置为AC。(如果客户端数据报文的缺省转发位置与本配置相同,请跳过此步骤)
[AC-wlan-st-1] client forwarding-location ac
# 配置客户端接入认证方式为MAC地址认证。
[AC-wlan-st-1] client-security authentication-mode mac
# 配置MAC地址认证用户使用的ISP域为local-mac。
[AC-wlan-st-1] mac-authentication domain local-mac
# 开启无线服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(7) 配置AP
在大规模组网时,推荐在AP组内进行配置。
# 创建手工AP,名称为officeap,型号名称为WA6320,并配置序列号219801A28N819CE0002T。
[AC] wlan ap officeap model WA6320
[AC-wlan-ap-officeap] serial-id 219801A28N819CE0002T
[AC-wlan-ap-officeap] quit
# 创建AP组group1,并配置AP名称入组规则。
[AC] wlan ap-group group1
[AC-wlan-ap-group-group1] ap officeap
# 将无线服务模板1绑定到AP组group1下的Radio 2上。
[AC-wlan-ap-group-group1] ap-model WA6320
[AC-wlan-ap-group-group1-ap-model-WA6320] radio 2
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template 1
# 开启Radio 2的射频功能。
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] quit
[AC-wlan-ap-group-group1-ap-model-WA6320] quit
[AC-wlan-ap-group-group1] quit
1.4.2 配置Switch
# 创建VLAN 100和VLAN 200,其中VLAN 100用于转发AC和AP间CAPWAP隧道内的流量,VLAN 200用于转发Client无线报文。
<Switch> system-view
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] vlan 200
[Switch-vlan200] quit
# 配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk,禁止VLAN 1报文通过,允许VLAN 100通过。
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100
[Switch-GigabitEthernet1/0/1] quit
# 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过。
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port access vlan 100
# 开启PoE接口远程供电功能。
[Switch-GigabitEthernet1/0/2] poe enable
[Switch-GigabitEthernet1/0/2] quit
1.5 验证配置
# 完成以上配置后,无线用户Client连接到WLAN网络并进行MAC地址认证。在AC上通过命令display wlan client可以看见无线用户Client从VLAN 200上线。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
3ca9-f414-4c20 3ca9f4144c20 officeap 2 112.13.0.2 200
1.6 配置文件
· AC:
#
dhcp enable
#
vlan 1
#
vlan 100
#
vlan 200
#
dhcp server ip-pool vlan100
gateway-list 112.12.1.25
network 112.12.0.0 mask 255.255.0.0
#
dhcp server ip-pool vlan200
gateway-list 112.13.1.25
network 112.13.0.0 mask 255.255.0.0
dns-list 112.13.1.25
#
wlan service-template 1
ssid service
vlan 200
client forwarding-location ac
akm mode psk
preshared-key pass-phrase cipher $c$3$9tIUHSkAUVqCH9/EPrL26ldkcEQnngexUEFj
cipher-suite ccmp
security-ie rsn
client-security authentication-mode mac
mac-authentication domain local-mac
service-template enable
#
interface Vlan-interface100
ip address 112.12.1.25 255.255.0.0
#
interface Vlan-interface200
ip address 112.13.1.25 255.255.0.0
#
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200
#
domain local-mac
authentication lan-access local
accounting lan-access none
authorization lan-access none
authorization-attribute idle-cut 15 1024
#
local-user 3ca9f4144c20 class network
password cipher $c$3$KWMkvq/FnQ2opPqBnpSTs3NPhVKrSOvqFPLAECSiDQ==
service-type lan-access
authorization-attribute user-role network-operator
#
wlan ap-group group1
ap officeap
ap-model WA6320
radio 1
radio 2
radio enable
service-template 1
#
wlan ap officeap model WA6320
serial-id 219801A28N819CE0002T
#
· Switch:
#
vlan 1
#
vlan 100
#
vlan 200
#
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100
#
interface GigabitEthernet1/0/2
port access vlan 100
poe enable
- 2025-08-22回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论