配置MAC认证示例(Web)
MAC认证简介
MAC认证是网络接入控制方案(NAC)中的一种,它是基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,并且不需要用户安装任何客户端软件。通过MAC认证能够实现保护企业内网的安全性的目的。
MAC认证无需用户终端安装客户端,但是却需要在服务器上登记MAC地址,管理较为复杂。相较而言,NAC中的802.1X认证方式安全性高,但是由于用户终端需要安装客户端,部署不灵活;而Portal认证方式同样不需要客户端并且部署灵活,但是安全性不高。
MAC认证一般适用于打印机、传真机等哑终端接入认证的场景。
对于设备侧配置,如果您只需查阅MAC认证相关的配置方法,请直接参见配置WLAN业务。
如果您只需查阅Cisco ISE服务器侧的配置方法,请直接参见配置Cisco ISE。
数据规划
配置项 |
数据 |
|---|---|
管理VLAN |
VLAN100 |
业务VLAN |
VLAN101 |
AC的源接口 |
VLANIF100:10.23.100.1/24 |
DHCP服务器 |
AC作为DHCP服务器为AP分配IP地址,SwitchB作为DHCP服务器为STA分配IP地址 |
AP的IP地址池 |
10.23.100.2~10.23.100.254/24 |
STA的IP地址池 |
10.23.101.2~10.23.101.254/24 |
RADIUS认证参数 |
|
MAC接入模板 |
名称:wlan-net |
认证模板 |
|
AP组 |
|
域管理模板 |
|
SSID模板 |
|
安全模板 |
|
VAP模板 |
|
配置思路
- 配置AP、AC和周边网络设备之间实现网络互通。
- 使用配置向导,配置AC系统参数。
- 使用配置向导,配置AP在AC上线。
- 使用配置向导在AC上配置WLAN相关业务。在配置安全策略时,选择MAC认证和RADIUS认证,设置RADIUS服务器参数。
- 配置Cisco ISE服务器。
配置注意事项
建议在与AP直连的设备接口上配置端口隔离,如果不配置端口隔离,尤其是业务数据转发方式采用直接转发时,可能会在VLAN内形成大量不必要的广播报文,导致网络阻塞,影响用户体验。
AC侧配置的RADIUS共享密钥需要和服务器侧保持一致。
操作步骤
- 配置周边设备
# 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。
<HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] vlan batch 100 101 [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] port link-type trunk [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100 [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 [SwitchA-GigabitEthernet0/0/1] port-isolate enable [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2] port link-type trunk [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101 [SwitchA-GigabitEthernet0/0/2] quit
# 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101,GE0/0/2加入VLAN100和VLAN102,GE0/0/3加入VLAN103,GE0/0/4加入VLAN104,创建VLANIF102、VLANIF103和VLANIF104接口,并配置下一跳为Router的缺省路由。<HUAWEI> system-view [HUAWEI] sysname SwitchB [SwitchB] vlan batch 100 to 104 [SwitchB] interface gigabitethernet 0/0/1 [SwitchB-GigabitEthernet0/0/1] port link-type trunk [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 [SwitchB-GigabitEthernet0/0/1] quit [SwitchB] interface gigabitethernet 0/0/2 [SwitchB-GigabitEthernet0/0/2] port link-type trunk [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102 [SwitchB-GigabitEthernet0/0/2] quit [SwitchB] interface gigabitethernet 0/0/3 [SwitchB-GigabitEthernet0/0/3] port link-type trunk [SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103 [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103 [SwitchB-GigabitEthernet0/0/3] quit [SwitchB] interface gigabitethernet 0/0/4 [SwitchB-GigabitEthernet0/0/4] port link-type trunk [SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104 [SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104 [SwitchB-GigabitEthernet0/0/4] quit [SwitchB] interface vlanif 102 [SwitchB-Vlanif102] ip address 10.23.102.1 24 [SwitchB-Vlanif102] quit [SwitchB] interface vlanif 103 [SwitchB-Vlanif103] ip address 10.23.103.2 24 [SwitchB-Vlanif103] quit [SwitchB] interface vlanif 104 [SwitchB-Vlanif104] ip address 10.23.104.1 24 [SwitchB-Vlanif104] quit [SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
# 配置Router的接口GE0/0/1的IP地址,并配置指向STA网段的静态路由。<Huawei> system-view [Huawei] sysname Router [Router] interface gigabitethernet 0/0/1 [Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24 [Router-GigabitEthernet0/0/1] quit [Router] ip route-static 10.23.101.0 24 10.23.104.1
- 配置DHCP服务器为STA分配IP地址
# 在SwitchB上配置VLANIF101接口为STA提供IP地址。DNS服务器地址请根据实际需要配置。常用配置方法如下:
- 接口地址池场景,需要在VLANIF接口视图下执行命令dhcp server dns-list ip-address &<1-8>。
- 全局地址池场景,需要在IP地址池视图下执行命令dns-list ip-address &<1-8>。
[SwitchB] dhcp enable [SwitchB] interface vlanif 101 [SwitchB-Vlanif101] ip address 10.23.101.1 24 [SwitchB-Vlanif101] dhcp select interface [SwitchB-Vlanif101] quit
- 配置AC系统参数
- 配置AC基本参数。
# 单击,进入“AC基本配置”页面。
# “所在国家/地区”按实际情况选择,以“中国”为例。“系统时间”配置为“手动设置”。“日期和时间”配置为“使用PC当前时间”。
# 单击页面下方的“下一步”,进入“端口配置”页面。
- 配置端口。
# 选择接口“GigabitEthernet0/0/1”,展开“批量修改”,选择“接口类型”为“Trunk”,将“GigabitEthernet0/0/1”加入VLAN100(管理VLAN)和VLAN102。
如果AC直接连接AP,需要在AC直连AP的接口上配置缺省VLAN为管理VLAN100。
# 单击“应用”,在弹出的提示对话框中单击“确定”,完成配置。
# 单击“下一步”,进入“网络互联配置”页面。
- 配置网络互联。
# 单击“接口配置”下的“新建”,进入“新建接口配置”页面。
# 配置接口VLANIF100的IP地址为10.23.100.1/24,“DHCP状态”为“ON”,“DHCP类型”为“接口地址池”。
DNS服务器地址请根据实际需要配置。# 单击“确定”,完成VLANIF100接口地址池的配置。
# 以同样的方式配置虚拟接口VLANIF102的IP地址为10.23.102.2/24。
# 单击“静态路由表”下的“新建”,进入“新建静态路由表”页面。
# 配置“目的IP地址”为“10.23.103.0”,“子网掩码”为“24(255.255.255.0)”,“下一跳”为“10.23.102.1”。
# 单击“确定”,完成静态路由表的配置。
# 单击“下一步”。
# 单击“下一步”,进入“AC源地址”页面。
- 配置AC源地址。
# “AC源地址”选择“VLANIF”,单击选择按钮,选择“Vlanif100”。
# 单击“下一步”,进入“配置确认”页面。
- 配置AC基本参数。
- 配置AP上线
- 配置AP上线。
# 单击“批量导入”,进入“批量导入”页面。单击
,下载批量添加AP模板文件到本地。
# 在AP模板文件中填写AP信息,示例如下。如需添加多个AP,可以参照该示例在AP模板文件中填写多条AP信息。- AP MAC地址:60de-4476-e360
- AP SN:210235419610CB002287
- AP名称:area_1
- AP组:ap-group1
# 单击“导入AP文件”后的
,选择填写后的模板文件,单击“导入”。
# 导入完成后,页面显示导入结果信息,单击“确定”,完成添加。
# 单击“下一步”,进入“AP分组”页面。
# AP模板文件中已添加AP组信息,直接单击“下一步”,进入“配置确认”页面。
- 配置AP上线。
- 配置无线业务
# 单击“新建”,进入“基本信息”页面。
# 配置SSID名称、转发模式、业务VLAN ID等信息。
# 单击“下一步”,进入“安全认证”页面。
# 选择“安全配置”为“不认证(个人网络适用)”。
# 单击“下一步”,进入“接入控制”页面。
# 选择“绑定AP组”为“ap-group1”。
# 单击“完成”。
- 配置AP的信道和功率
- 关闭AP射频的信道和功率自动调优功能,并手动配置AP的信道和功率。
射频的信道和功率自动调优功能默认开启,如果不关闭此功能则会导致手动配置不生效。
# 选择,进入“AP列表”页面。
# 单击需要配置信道和功率的AP ID,进入“AP个性化配置”页面。
# 单击“射频管理”前的
,显示当前射频管理下的模板。
# 单击“射频0”,进入射频0配置页面。在射频0配置页面关闭信道自动调优和功率自动调优功能,并设置信道为带宽20MHz信道6,发送功率为127dBm。
# “射频1”上关闭信道自动调优和功率自动调优功能,并设置信道带宽20MHz信道149,发送功率127dBm的步骤与“射频0”类似,此处不再赘述。
# 单击“应用”,在弹出的提示对话框中单击“确定”,完成配置。
- 关闭AP射频的信道和功率自动调优功能,并手动配置AP的信道和功率。
- 配置Cisco ISE
- 添加终端。
# 依次选择,在右侧操作区域单击“Add”,设置MAC地址,单击“Save”。
- 添加AC设备,使Cisco ISE可以和AC联动。
# 依次选择,在左侧操作区域单击“Add”,新建网络设备模板“Huawei”,单击“Submit”。
# 依次选择,在右侧操作区域单击“Add”,配置设备名称为“AC6605”,IP地址为“10.23.102.2/32”,RADIUS共享密钥为“huawei@123”,单击“Submit”。
- 配置认证使用的协议。
# 依次选择,勾选“Default Network Access”,单击“Edit”。
# 勾选“Allow CHAP”、“Allow MS-CHAPv2”和“Allow PEAP”,其他参数使用缺省配置即可,单击“Save”。Cisco ISE默认关闭CHAP认证选项,为了后续在AC上使用CHAP认证进行test-aaa测试,需要在服务器上选择认证协议CHAP。
- 添加终端。
- 在AC上测试用户是否能够通过RADIUS认证
# 单击,进入“AAA Test”页面。
# 配置RADIUS服务器模板、认证方式、用户名和密码。
# 单击“开始”。
- 检查配置结果
,下载批量添加AP模板文件到本地。
,选择填写后的模板文件,单击
,显示当前射频管理下的模板。
