ccieh3c.qzone安全认证配置2基于无线mac地址

之前已经介绍过无线的认证了，包括open以 的方式，这次介绍一个在企业网络中比较特殊的方式，基于客户MACMACradius一、AC的基本配置四、基于radius这里拓扑很简单，具体配置都在AC上面，所以参考之前的拓扑即可 资料 /PKbCbb订阅邮箱 【企业常见应用技术系列】第七期：无 学【企业合集实战系列】带您全方面学习企业常见的需求入门与应用【路由交 无 安全合集CiscoH3CHW无线实战wireless模拟器实验书籍安Dhcp -AC6605]intvlan -AC6605-Vlanif1]dhcpsel说明：配置一个IP地址，该接口地址用来与AP通信 - -AC6605-wlan-view]wlanacsourceinterfaceVlanif -AC6605-wlan-view]ap-auth-modesn- -AC6605-wlan-view]apid1type-id19 后在AP定义了一个ID1，然后AP类型为19，序列号为那个。其中type-id是可以查看的，SN则在AP上面查看。displayap-typeall查看该ACAPAP6010DNID19，ID19，至于序列号怎么查看，在AP上面通过displasystem-information查看目前来看，AP还没有获取到地址，这个是定期发送DHCP报文获取的查看隧道状态为RUN可以看到AC上面也有对应的AP信息了。至此AP上线完成.2、AC配置第二部【定义AP -AC6605-wlan-view]ap-regionid -AC6605-wlan-ap-region-1]apid0，建议的是不同业务或者部门可以加入不同的域，这样的话后续调整射频参数、调优等参数则只WMM模板定AC_VI()、AC_BE(尽力而为)、AC_BK(背景)，高优先级的AC占用信道的机会大于低优先级的AC。 - 说明：WMM默认情况下有默认策略的，没有特别需求的话，可以直接使用默认的射频模板定射频模板参数内容包括：射频类型、射频速率、射频信道模式、射频功率模式、丢包/错包率门限、率门限、分段门限、RTS/CTS门限、短/长帧最大重传次数门限、是否支持短前导码、DTIM周期、beacon帧周期、WMM参数等。 -AC6605-wlan-view]radio-profilename -AC6605-wlan-radio-prof-2.4G]wmm-profilename -AC6605-wlan-view]radio-profilename -AC6605-wlan-radio-prof-5G]wmm-profilename -AC6605-wlan-radio-prof-5G]radio-type说明：这里模板默认情况下只需要调用WMM模板，其余的都有默认策略，比如默认情况下，信道模式为Auto，也就是AC会自动AP围的信道自动合理规划信道，射频类型等。这里定义2是一个作为2.4G用，另外一个使用安全模板定 - -AC6605-wlan-view]security-profilenamepre--AC6605-wlan-sec-prof-pre-authen]security- -AC6605-wlan-sec-prof-pre- authentication-pass- encryption-method说明：安全模板定了2个，一个为Open，即默认策略，也就是后续定义的Guest，不进行认证，而后面定义了一个pre-auten则 进行认证，这个是给用的流量模流量模板可以实现为某个无线网络定制特定的优先级和流量功能 - 说明：默认情况量模板下，有默认策略，比如802.1P，用户的限速、VAP限速等功能，这里先使用默认的，后续需求的话在行调整WLAN-ESS类似于一个模板，它的作用主要给一AP以虚拟VAPVAP供给不同的服务接入，而一VAP一属性则继承WLAN-ESS定义的。 - Wlan- -AC6605-Wlan-Ess1]porthybriduntaggedvlan说明：创建了一个WLAN-ESS接口，并且允许了VLAN19的流量不打进入该接口，默认情况下VLAN1已经通过了，所以这里的流量即为VLAN19与1。当然该接口还可以部署其他策略，比如dot1x、MAC认证等功能，注意的是，V200R3的版本是不需要启用DHCP功能的，默认就开启了。服务集的功能就是来汇集之前定义的业务参数功能，比如定义，转发模式，关联射频模板，认证策略等，然后调用在AP，进行 - -AC6605-wlan-view]service-setname -AC6605-wlan-service-set-open] -AC6605-wlan-service-set-open]forward-modedirect- -AC6605-wlan-service-set-open]wlan-ess -AC6605-wlan-service-set-open]service-vlan -AC6605-wlan-service-set-open]security-profilename -AC6605-wlan-view]service-setname -AC6605-wlan-service-set- -AC6605-wlan-service-set-intrenet]service-vlan -AC6605-wlan-service-set-intrenet]wlan-ess -AC6605-wlan-service-set-intrenet]security-profilenamepre- -AC6605-wlan-service-set-intrenet]forward-modedirect- -AC6605-wlan-service-set-intrenet]traffic-profilenameAP-说明：这里创建了2个服务集，一个用于Guest用的，一个用于intrenet，除 与安全策略不一样外，其余的都一致射频配每个AP都有一个或多个射频模块，这个射频模块负责无线信号的收发、功率的调整以及信道的配置等功 -AC6605-wlan-view]ap1 -AC6605-wlan-radio-1/0]service-setname -AC6605-wlan-view]ap1 -AC6605-wlan-radio-1/1]radio-profilename 说明：这里定义了2个射频，一个给2.4G用，另外一个给intrenet，2.4G主要提供给Guest使用，而5G在内企业网AC配置第三步【下放业务配置给AP -AC6605-wlan-view]commitap8.4可以看 个客户端都已经连接上去了，默认情况下访客是不需要用户名认证，而用户则需要可以看到已经正常获取到IP地址（8）无线MAC说明：在有时候希望这用对客户的C做确认，用C地址进行认证登陆，而认证方式则Opn的，那么需要开启CC直接调用之前的Open的策说明：之前有策略存在，所以这里直接调用即可，先把服务集在ap1中去MAC WLAN-ESSmac-auth 说明：这里在WLAN-ESS接口开启MAC认证，并且必须指定从哪个域来的，然后允 说明：直接调用在WLAN-ES下就行了 -AC6605-wlan- 已经成功了。有正常认证的四、Radius配置定Radius服务器定义，与 -AC6605]radius-servertemplatemac- -AC6605-radius-dot1x]radius-serverauthentication192.168.2.253 -AC6605-radius-dot1x]radius-servershared-key -AC6605-radius-dot1x]undoradius-serveruser- - -AC6605-aaa]authentication-schememac- -AC6605- ]radius-servermac-authen -AC6605]interfaceWlan-Ess -AC6605-Wlan-Ess0]mac-authentication mac- 说明：这个需要把服务集去掉，然后去掉关来呢，然后才能设 WLAN- 接口，最后在关联服务器配这里说明，是演示环境，所以直接匹配任何用户，然后匹配以太网类型即可拟器该方支持，所没办进试方法的。模拟进可AC上面也可以进行test资料尽在网络空间;【