MAC本地认证配置指导_第1页
MAC本地认证配置指导_第2页
MAC本地认证配置指导_第3页
MAC本地认证配置指导_第4页
MAC本地认证配置指导_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、mac本地认证配置指导00191333huawei华为技术有限公司mac本地认证配置指导1. mac认证mac地址认证是一种基于端口和mac地址对用户的网络访问权限进行控制的认 证方法,它不需要用户安装任何客户端软件,用户名和密码都是用户设备的mac 地址。网络接入设备在首次检测到用户的mac地址以后,即启动对该用户的认证。2. mac认证方式根据有无radius服务器配合认证,mac认证可分为mac木地认证(在ac上认证) 和mac地址radius认证。3. mac本地认证配置举例3.1组网图stageo/o/1 ge0/0/1etho/o/1ap1接入交换机ac192.168.10.13.

2、2组网需求如图1所示,二层组网直接转发。业务vkm为vlan 100,管理vlan为vlan 800o丿1户的无线终端 连接到ssid为huawei的无线网络屮。设备管理者希望对用户接入进行mac地址认证, 以控制其xjlnternet的访问。使用用八的mac地址作为用丿名和密码,其中mac地址不 带连字符,字母小写。3.3配置思路采用如k的思路在ac上进行配置。1. 配置wlan基木业务,使ap正常工作。2. 配置mac认证mac地址格式,是否带“雹3. 在aaa视图卜添加新用户,用户名和密码都为无线终端maco4. 在需要认证的端口下使能mac认证。5. 业务下发至ap,用户完成业务验证。

3、说明木配置通过在ac的wlan-ess接口上启川mac认证來实现对sta进行控制的冃的。直接转发模式fsta的网关不能配置在ac无线侧,町以选择配置在汇聚交换机上或ac有线 侧。配置 security-profile 模板时,ac6605 v200r001 版木只能使用 wpa/wpa2-psk 认证, v200r002 nj*以使用 0pen、wep、wpa/wpa2-psk 认证3.4操作步骤步骤1配置接入交换机接入交换机接ap端口trunk透传业务vlan 10(),管理vlan 800,并打管理vlan pvid 800 需要将所有二层交换机在ap管理vlan和业务vlan内的下行口上

4、配置端口隔离,如果不配 査端口隔离,可能会在vlan内存在不必要的广播报文,或者导致不同ap间的wlan用 户二层互通的问题。端口隔离功能未开启时,建议从接入交换机到ac之间的所有网络设备的接口都配置undo port trunk allow-pass vlan 1,防止引起报文冲突,占用端口资源。<quidway> system-viewquidwa刃 vlan batch 100 800quidway interface ethernet 0/0/1quidway-ethernet0/0/l port link-type trunkquidway-ethernet0/0/l j

5、 port trunk pvid vlan 800quidway-ethernet0/0/l j port trunk allow-pass vlan 100 800quidway-ethernet0/0/l port-isolate enablequidway-ethcrncto/0/1 quitquidway interface gigabitethernet0/0/1quidway- gigabitetherneto/0/1 j port link-type trunkquidway gigabitetherneto/0/11 port trunk allow-pass vlan 100

6、 80()quidway gigabitethemeto/o/1 quit步骤2配置ac有线侧,将流量引入ac无线侧说明ac6605中有线侧与无线侧相连的端口分别为xge0/0/27和xge 0/0/1,以下配置以ac6605 为例。<quidway> system-viewquidway sysname ac-lswac-lsw vlan batch 100 800iac-lsw interface gigabitethernet 0/0/1ac-lsw-gigabitethcrncto/o/1 port link-type trunkac-lsw-gigabitethernet

7、o/o/1 port trunk allow-pass vlan 100 800 ac-lsw-gigabitetherneto/o/1 j quitac-lsw interface xgigabitethernet 0/0/27ac-lsw-xgigabitetherneto/o/27 port link-type trunkac-lsw-xgigabitethcrnct0/0/27 port trunk allow-pass vlan 100 800 ac-lsw-xgigabitetherneto/o/27 quit步骤3配置sta地址池,ac有线侧作为作为sta的dhcp服务器ac-l

8、swintfacc vlan 100ac-lsw- vlanifl00ip address 192.168.1.1 24ac-lsw- vlaniflooj dhcp select interface步骤4配置ac无线侧1. 配置无线侧连接有线侧的接口xge0/0/1透传所有业务和管理vlan <quidway> system-viewquidwayj sysname acac vlan batch 100 800ac1 interface xgigabitethernet ()/0/1ac-xgigabitethcrncto/0/1 port link-type trunkac-

9、xgigabitetherneto/0/1 port trunk allow-pass vlan 100 800ac-xgigabitetherneto/0/1j quit2. 配置ac无线侧的接口,使能dhcp服务器,ac作为ap的dhcp服务器 fac dhcp enableac interface vlanif 800ac-vlanif800 ip address 192.168.10.1 24ac-vlanif800j dhcp select interfaceac-vlanif800j quit3. 配置ac的全局参数#配置ac全局参数(运营商标识、id、国家码)和ac的源接口ac

10、wlan ac-global ac id 1 carrier id etcacj wlan ac-global country-code cnacj wlanac-wlan-view wlan ac source interface vlanif 8004. 配置ap并上线#查询ap的设备类型ac-wlan-viewj display ap-type allall ap types information:id type 0 wa60ii wa6316 wa603sn7 wa603dn8 wa633snii wa603de12 wa653de14 wa653sn17 ap6010sn-gn19

11、 ap6010dn-agn21 ap6310sn-gn23 ap6510dn-agn25 ap6610dn-agn27 ap7110sn-gn28 ap7110dn-agn29 ap5010sn-gn30 ap5010dn-agn31 ap3010dn-agn33 ap6510dn-agn-us34 ap6610dn-agn-ustotal number: 20#根据杳询到的ap设备类型id,离线添加ap ac-wlan-view ap id 1 type-id 19 mac0046-4b59-1 f80 ac-wlan-ap-1 j quit#杏看ap的上线状态ac-wlan-view di

12、splay ap allall ap information (normal-l,unnormal-0):apapapprofileapap/regionidtypemacidstalesysname1ap6010dn-agn0046-4b59-lf800/0normalap-1total number: 15. 全局配置mac认证的用户名不带分隔符“丿。acj mac-authen username macaddress format vvithout-hyphen 默认是不带分隔符#配置ap的上线方式acj wlanac-wlan-viewl ap-auth-mode mac-auth6.

13、 将ap加入指定域ac-wlan-viewj ap-region id 100ac-wlan-ap-region-100 quitac-wlan-view ap id 1ac-wlan-ap-1 j region-id 100ac-wlan-ap-1 quitac-wlan-view quit7. 配置wlan-ess虚接口#使能wlan-ess接口 mac认证acj interface wlan-ess 0ac-wlan-esso dhcp enableac-wlan-esso port link-type hybridac-wlan-esso port hybrid pvid vlan 1

14、00ac-wlan-esso port hybrid untagged vlan 100ac-wlan-esso mac-authentication enable使能端口 mac 认证#配置安全模板,采用的安全策略为wpa+psk+tkipac-wlan-view security-profile name huawei-apac-wlan-scc-prof-huawci-ap security-policy wpaac-wlan-sec-prof-huawei-ap wpa authentication-method psk pass-phrase 01234567 encryptionm

15、ethod tkip / 配直 security-profile 模板时,ac6605 v200r001 版本只能使 用 wpa/wpa2-psk 认证,v2()()r()()2 可以使用 open、wep、wpa/wpa2-psk 认证ac-wlan-scc-pro仁huawciap quit&配置流量模板ac-wlan-viewj traffic-profile name huawei-apac-wlan-traffic-huawei-apj quit9. 配置ap服务集,设置数据转发模式为隧道转发模式。ac-wlan-view scrvicc-sct name huaweiac-

16、wlan-service-set-huawei ssid huaweiac-wlan-service-set-huaweij wlan-ess 0ac-wlan-service-set-huawei service-vlan 100ac-wlan-service-set-huaweil security-profile name huawei-apac-wlan-scrvicc-sct-huawci traffic-profile name huawei-apac-wlan-service-set-huawei quit10. 在aaa视图下创建新用户,用户名和密码都为sta的macac-wlan-viewjaaaac-aaa local-user a088b445737c password cipher a088b445737c添加用户 mac11. 配置ap对应的vap并下发配置ac-wlan-vicw ap 1 radio 0ac-wlan-radio-1/0 service-set na

人人文库> 全部分类> 生活休闲 > 科普知识

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论