2510H AC如何做到“先设备(MAC)认证,后用户(AD)认证”
- 0关注
- 0收藏,70浏览
核心原理:认证模板与授权VLAN
- 认证模板 (Authentication Profile):这是实现“先后顺序”的关键。您需要创建一个认证模板,里面同时引用 MAC 接入模板和 Portal 接入模板。设备默认会先尝试 MAC 认证,如果失败(即该 MAC 地址不在 Radius 服务器中),则自动触发 Portal 认证。
- 授权VLAN (Authorization VLAN):这是实现“隔离与放行”的关键。
- 成功时:MAC 认证通过,用户被授权到正常的业务 VLAN(如 VLAN 186)。
- 失败时(关键点):MAC 认证失败,用户会被强制分配到一个隔离 VLAN(或称为 Guest VLAN)。在这个 VLAN 里,您通过 ACL 只允许用户访问 AC 本机的 Portal 页面和 DNS 服务,从而强制用户进行 Portal 认证。
具体配置步骤
- 业务 VLAN:186(MAC 认证通过后进入的 VLAN)
- 隔离 VLAN:100(MAC 认证失败后进入的 VLAN,仅能访问 Portal)
- Radius Server:已配置,用于 MAC 认证。
- AD Server:已配置,用于 Portal 认证。
1. 配置 MAC 接入模板
# 创建 MAC 接入模板 2mac-access-profile name MAC_AUTH_PROF 3 # 配置用户名格式为 MAC 地址(不带分隔符) 4 user-name-format mac-address without-hyphen lowercase 5quit
2. 配置 Portal 接入模板
# 创建 Portal 接入模板 2portal-access-profile name PORTAL_AUTH_PROF 3 # 引用之前配置好的 Portal Web 服务器 4 portal web-server <web-server-name> 5 # 配置重定向方式(直接重定向或主动探测) 6 portal method direct 7quit
3. 配置认证模板(关键步骤)
4. 配置隔离 VLAN 的 ACL(重要)
# 创建高级 ACL,允许访问 AC 的 Portal 服务和 DNS 2acl number 3000 3 rule 5 permit udp source-port eq 53 destination-port eq 53 # DNS 4 rule 10 permit tcp destination <AC的IP地址> destination-port eq 80 # HTTP Portal 5 rule 15 permit tcp destination <AC的IP地址> destination-port eq 443 # HTTPS Portal 6 rule 20 deny ip # 拒绝其他所有流量 7quit 8 9# 将 ACL 应用到隔离 VLAN 100 的入方向 10interface Vlan-interface 100 11 packet-filter 3000 inbound 12quit
5. 应用到服务模板
wlan service-template yyyyy-ldap 2 # 关联之前配置好的 SSID 和 VLAN 3 ssid ldap-test 4 vlan 186 5 # --- 替换这里的配置 --- 6 # 删除之前的 client-security 和 mac-authentication domain 命令 7 # 改为应用认证模板 8 authentication-profile MAC_THEN_PORTAL 9 # 开启服务模板 10 service-template enable 11quit
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论