【无线】无线MAC旁路认证

发布时间: 2013-09-07 点击量:1937 打印 字体:

功能介绍:

在实际应用中,存在着一些无法安装 1X 客户端的无线设备,但是这些设备却需要连接到一个需要认证的无线网络。针对此类用户,可以使用基于MAC地址认证的MAB功能。MAB 功能全称MAC旁路认证(MAC Authentication Bypass),这是一种基于MAC地址认证的免1X客户端方式。

适用场景说明

在网络中,用户只要能接到网络设备上,不需要经过认证和授权即可直接使用。这样,一个未经授权的用户,他可以没有任何阻碍地通过连接到局域网的设备进入网络,对网络安全造成了巨大的影响。一般认证都需要客户端,但是部分客户端不支持认证功能(比如打印机、手机等),客户又希望对其进行准入控制,可以使用MAB认证,即MAC旁路认证(MAC Authentication Bypass),这是一种基于MAC地址认证的免1X客户端方式。

优点:可以对不支持认证功能的客户端进行做准入控制

缺点:需要增加radius服务器(用于储存客户端用户名和密码的设备)

一、组网需求

 部分客户端不支持认证功能,客户又希望对其进行准入控制,可以使用MAB认证

 

二、组网拓扑

 

三、配置要点

1、启用MAB AAA认证

2、配置radius服务器

3、WLAN启用MAB认证

4、配置SNMP服务器

5、SAM服务器配置

 

四、配置步骤

1、启用MAB AAA认证

AC-1(config)#aaa new-mode  //启用AAA认证功能

AC-1(config)#aaa group server radius MAB    //定义MAB radius服务器列表 

AC-1(config-gs-radius)# server 192.168.34.183

AC-1(config)#aaa accounting network  dot1x-mab start-stop group MAB //定义用户上下线审计列表为dot1x-mab,并且使用radius列表为MAB

AC-1(config)#aaa authentication dot1x dot1x-mab group MAB    //定义dot1x认证列表为dot1x-mab,并且使用radius列表为MAB

2、配置radius服务器

AC-1(config)#radius-server host 192.168.34.183 key ruijie //配置radius服务器IP地址及key

3、WLAN启用MAB认证

AC-1(config)#wlansec 1

AC-1(config-wlansec)# dot1x-mab   //启用MAB认证

AC-1(config-wlansec)# dot1x accounting dot1x-mab //dot1x审计使用dot1x-mab列表

AC-1(config-wlansec)# dot1x authentication dot1x-mab //dot1x认证使用dot1x-mab列表

4、配置SNMP服务器

AC-1(config)#snmp-server enable traps

AC-1(config)#snmp-server community rijie rw

5、配置SAM服务器

1)登陆SAM服务器--->“系统管理”--->“设备管理”

2)选择“添加”

3)添加设备,填充设备相关参数“设备IP地址”、“设备类型”、“具体型号”、“设备key”、“读写Community”,点击“保存”。

4)将无线客户端MAC地址做为用户名和密码在SAM上开户。

注:对于3.81版本的SAM设备默认会进行客户端软件检测,需要在“修改接入控制”去掉“禁止使用破解锐捷客户端”和“禁止使用非锐捷客户端”

 

五、配置验证

1、分别使用在SAM上添加了MAC地址和没有添加MAC的客户端连接无线网络,添加MAC地址的无线用户可以正常使用无线网络,未添加MAC地址的无线用户不能使用无线网络。

2、登陆到AC上通过show ac-config client 查看无线用户状态。

 

 

00 分享 纠错
相关条目