ccieh3c.qzone安全認證配置2基于無線mac地址

之前已經(jīng)介紹過無線的認證了，包括open以 的方式，這次介紹一個在企業(yè)網(wǎng)絡中比較特殊的方式，基于客戶MACMACradius一、AC的基本配置四、基于radius這里拓撲很簡單，具體配置都在AC上面，所以參考之前的拓撲即可 資料 /PKbCbb訂閱郵箱 【企業(yè)常見應用技術系列】第七期：無 學【企業(yè)合集實戰(zhàn)系列】帶您全方面學習企業(yè)常見的需求入門與應用【路由交 無 安全合集CiscoH3CHW無線實戰(zhàn)wireless模擬器實驗書籍安Dhcp -AC6605]intvlan -AC6605-Vlanif1]dhcpsel說明：配置一個IP地址，該接口地址用來與AP通信 - -AC6605-wlan-view]wlanacsourceinterfaceVlanif -AC6605-wlan-view]ap-auth-modesn- -AC6605-wlan-view]apid1type-id19 后在AP定義了一個ID1，然后AP類型為19，序列號為那個。其中type-id是可以查看的，SN則在AP上面查看。displayap-typeall查看該ACAPAP6010DNID19，ID19，至于序列號怎么查看，在AP上面通過displasystem-information查看目前來看，AP還沒有獲取到地址，這個是定期發(fā)送DHCP報文獲取的查看隧道狀態(tài)為RUN可以看到AC上面也有對應的AP信息了。至此AP上線完成.2、AC配置第二部【定義AP -AC6605-wlan-view]ap-regionid -AC6605-wlan-ap-region-1]apid0，建議的是不同業(yè)務或者部門可以加入不同的域，這樣的話后續(xù)調(diào)整射頻參數(shù)、調(diào)優(yōu)等參數(shù)則只WMM模板定AC_VI()、AC_BE(盡力而為)、AC_BK(背景)，高優(yōu)先級的AC占用信道的機會大于低優(yōu)先級的AC。 - 說明：WMM默認情況下有默認策略的，沒有特別需求的話，可以直接使用默認的射頻模板定射頻模板參數(shù)內(nèi)容包括：射頻類型、射頻速率、射頻信道模式、射頻功率模式、丟包/錯包率門限、率門限、分段門限、RTS/CTS門限、短/長幀最大重傳次數(shù)門限、是否支持短前導碼、DTIM周期、beacon幀周期、WMM參數(shù)等。 -AC6605-wlan-view]radio-profilename -AC6605-wlan-radio-prof-2.4G]wmm-profilename -AC6605-wlan-view]radio-profilename -AC6605-wlan-radio-prof-5G]wmm-profilename -AC6605-wlan-radio-prof-5G]radio-type說明：這里模板默認情況下只需要調(diào)用WMM模板，其余的都有默認策略，比如默認情況下，信道模式為Auto，也就是AC會自動AP圍的信道自動合理規(guī)劃信道，射頻類型等。這里定義2是一個作為2.4G用，另外一個使用安全模板定 - -AC6605-wlan-view]security-profilenamepre--AC6605-wlan-sec-prof-pre-authen]security- -AC6605-wlan-sec-prof-pre- authentication-pass- encryption-method說明：安全模板定了2個，一個為Open，即默認策略，也就是后續(xù)定義的Guest，不進行認證，而后面定義了一個pre-auten則 進行認證，這個是給用的流量模流量模板可以實現(xiàn)為某個無線網(wǎng)絡定制特定的優(yōu)先級和流量功能 - 說明：默認情況量模板下，有默認策略，比如802.1P，用戶的限速、VAP限速等功能，這里先使用默認的，后續(xù)需求的話在行調(diào)整WLAN-ESS類似于一個模板，它的作用主要給一AP以虛擬VAPVAP供給不同的服務接入，而一VAP一屬性則繼承WLAN-ESS定義的。 - Wlan- -AC6605-Wlan-Ess1]porthybriduntaggedvlan說明：創(chuàng)建了一個WLAN-ESS接口，并且允許了VLAN19的流量不打進入該接口，默認情況下VLAN1已經(jīng)通過了，所以這里的流量即為VLAN19與1。當然該接口還可以部署其他策略，比如dot1x、MAC認證等功能，注意的是，V200R3的版本是不需要啟用DHCP功能的，默認就開啟了。服務集的功能就是來匯集之前定義的業(yè)務參數(shù)功能，比如定義，轉(zhuǎn)發(fā)模式，關聯(lián)射頻模板，認證策略等，然后調(diào)用在AP，進行 - -AC6605-wlan-view]service-setname -AC6605-wlan-service-set-open] -AC6605-wlan-service-set-open]forward-modedirect- -AC6605-wlan-service-set-open]wlan-ess -AC6605-wlan-service-set-open]service-vlan -AC6605-wlan-service-set-open]security-profilename -AC6605-wlan-view]service-setname -AC6605-wlan-service-set- -AC6605-wlan-service-set-intrenet]service-vlan -AC6605-wlan-service-set-intrenet]wlan-ess -AC6605-wlan-service-set-intrenet]security-profilenamepre- -AC6605-wlan-service-set-intrenet]forward-modedirect- -AC6605-wlan-service-set-intrenet]traffic-profilenameAP-說明：這里創(chuàng)建了2個服務集，一個用于Guest用的，一個用于intrenet，除 與安全策略不一樣外，其余的都一致射頻配每個AP都有一個或多個射頻模塊，這個射頻模塊負責無線信號的收發(fā)、功率的調(diào)整以及信道的配置等功 -AC6605-wlan-view]ap1 -AC6605-wlan-radio-1/0]service-setname -AC6605-wlan-view]ap1 -AC6605-wlan-radio-1/1]radio-profilename 說明：這里定義了2個射頻，一個給2.4G用，另外一個給intrenet，2.4G主要提供給Guest使用，而5G在內(nèi)企業(yè)網(wǎng)AC配置第三步【下放業(yè)務配置給AP -AC6605-wlan-view]commitap8.4可以看 個客戶端都已經(jīng)連接上去了，默認情況下訪客是不需要用戶名認證，而用戶則需要可以看到已經(jīng)正常獲取到IP地址（8）無線MAC說明：在有時候希望這用對客戶的C做確認，用C地址進行認證登陸，而認證方式則Opn的，那么需要開啟CC直接調(diào)用之前的Open的策說明：之前有策略存在，所以這里直接調(diào)用即可，先把服務集在ap1中去MAC WLAN-ESSmac-auth 說明：這里在WLAN-ESS接口開啟MAC認證，并且必須指定從哪個域來的，然后允 說明：直接調(diào)用在WLAN-ES下就行了 -AC6605-wlan- 已經(jīng)成功了。有正常認證的四、Radius配置定Radius服務器定義，與 -AC6605]radius-servertemplatemac- -AC6605-radius-dot1x]radius-serverauthentication192.168.2.253 -AC6605-radius-dot1x]radius-servershared-key -AC6605-radius-dot1x]undoradius-serveruser- - -AC6605-aaa]authentication-schememac- -AC6605- ]radius-servermac-authen -AC6605]interfaceWlan-Ess -AC6605-Wlan-Ess0]mac-authentication mac- 說明：這個需要把服務集去掉，然后去掉關來呢，然后才能設 WLAN- 接口，最后在關聯(lián)服務器配這里說明，是演示環(huán)境，所以直接匹配任何用戶，然后匹配以太網(wǎng)類型即可擬器該方支持，所沒辦進試方法的。模擬進可AC上面也可以進行test資料盡在網(wǎng)絡空間;【