В версии 1.26.0 реализован функционал MAC-авторизации пользователей.
...
| Оглавление |
|---|
| Информация |
|---|
Поддержано начиная с версий: Устройства: WLC-15/30/3200, ESR-15/15R/30/3200 Версия ПО WLC: 1.26.0 Устройства: WEP-1L/2L/30L/30L-Z/200L и WOP-2L/20L/30L/30LS Версия ПО ТД: 2.5.0 Устройства: WEP-3ax Версия ПО ТД: 1.8.0 (для работы с WLC нужно использовать актуальную версию ПО 1.12.0 или выше) |
Настройка осуществляется в рамках настройки SSID-профиля. Существует 2 режима работы mac-auth: по
- По локальным спискам
...
- ;
- По записям в
...
- RADIUS server.
| Блок кода |
|---|
wlc(config-wlc-ssid-profile)# mac-auth mode
local Set MAC authentication local mode
radius Set MAC authentication radius mode
|
Настройка mac-auth по локальным спискам
Для авторизации по локальным спискам требуется:
Создать object-group mac и указать в данной группе MAC-адреса клиентов.
Блок кода wlc-30#wlc# configure wlc-30(config)# object-group mac test_mac_auth wlc-30(config-object-group-mac)# mac address 11:11:11:11:11:11 wlc-30(config-object-group-mac)# mac address 22:22:22:22:22:22 wlc-30(config-object-group-mac)# exit
Перейти Перейти в настройки SSID-профилей (WLC - → SSID-PROFILE <NAME>) и добавить правило, необходимое для работы mac-auth, . Пример ниже приведён пример для ssid-profile default-ssid.
Блок кода wlc-30(config)# wlc wlc-30(config-wlc)# ssid-profile default-ssid wlc-30(config-wlc-ssid-profile)# mac-auth mode local policy permit test_mac_auth wlc-30(config-wlc-ssid-profile)# end
Применить изменения.
Блок кода wlc-30#wlc# commit wlc-30#wlc# confirm
| Примечание |
|---|
В данном примере будет разрешено подключение к default-ssid для устройств, чей у которых MAC-адрес указан в object group профиле MAC-адресов test_mac_auth. Помимо этого возможно можно настроить следующие варианты: mac-auth mode local policy permit any - any – разрешить доступ всем |
Настройка mac-auth по спискам на локальном
...
RADIUS-сервере
Для авторизации по спискам записям на RADIUS-сервере требуется:
Добавить адрес пользователя на Radius server на RADIUS-сервер в домен, который будет использоваться для авторизации. В данном примере запись создаётся в domain default.
Блок кода wlc-30#wlc# configure wlc-30(config)# radius-server local wlc-30(config-radius)# domain default wlc-30(config-radius-domain)# user 11-11-11-11-11-11 wlc-30(config-radius-user)# password ascii-text NOPASSWORD wlc-30(config-radius-user)# ex wlc-30(config-radius-domain)# ex wlc-30(config-radius)# ex
ПерейтиПредупреждение Важным моментом является указание В поле "user" необходимо вводить МАС-адреса адрес в формате: AA:-BB:-CC:-DD:-EE:-FF в поле user и пароля NOPASSWORD
В поле "password" необходимо вводить: NOPASSWORD
Scroll Pagebreak Перейти в настройки SSID-профилей (WLC - → SSID-PROFILE <NAME>) и добавить правило, необходимое для работы mac-auth, . Пример ниже приведён пример для ssid-profile default-ssid.
Настройка проксирования на внешний RADIUS.
Блок кода wlc-30(config)# wlc wlc-30(config-wlc)# ssid-profile default-ssid wlc-30(config-wlc-ssid-profile)# mac-auth mode radius policy permit
Применить изменения.
Блок кода wlc-30#wlc# commit wlc-30#wlc# confirm
| Примечание |
|---|
Логика работы по записям на Radius RADIUS-сервере отличается от логики работы по локальным спискам. |
Если список пользователей находится на внешнем сервере, необходимо настроить проксирование по статье "Настройка проксирования на внешний RADIUS".