В версии 1.26.0 реализован функционал MAC-авторизации пользователей.
MAC-авторизация реализована на ТД WEP-3ax, начиная с версии 1.8.0. На ТД WEP/WOP-1L, WEP/WOP-2L,WEP/WOP-30L, WEP-200L начиная с версии 2.5.2
Настройка осуществляется в рамках настройки SSID-профиля. Существует 2 режима работы mac-auth: по локальным спискам и по записям в Radius server.
wlc(config-wlc-ssid-profile)# mac-auth mode local Set MAC authentication local mode radius Set MAC authentication radius mode
Настройка mac-auth по локальным спискам
Для авторизации по локальным спискам требуется:
Создать object-group mac и указать в данной группе MAC-адреса клиентов
wlc-30# configure wlc-30(config)# object-group mac test_mac_auth wlc-30(config-object-group-mac)# mac address 11:11:11:11:11:11 wlc-30(config-object-group-mac)# mac address 22:22:22:22:22:22 wlc-30(config-object-group-mac)# exit
Перейти в настройки SSID-профилей (WLC - SSID-PROFILE <NAME>) и добавить правило, необходимое для работы mac-auth, приведён пример для ssid-profile default-ssid.
wlc-30(config)# wlc wlc-30(config-wlc)# ssid-profile default-ssid wlc-30(config-wlc-ssid-profile)# mac-auth mode local policy permit test_mac_auth wlc-30(config-wlc-ssid-profile)# end
Применить изменения
wlc-30# commit wlc-30# confirm
В данном примере будет разрешено подключение к default-ssid для устройств, чей MAC-адрес указан в object group test_mac_auth. Помимо этого возможно настроить следующие варианты:
mac-auth mode local policy permit any - разрешить доступ всем
mac-auth mode local policy deny any - запретить доступ всем
mac-auth mode local policy deny test_mac_auth- запретить доступ для устройств, чей MAC-адрес указан в object group test_mac_auth.
Настройка mac-auth по спискам на локальном Radius сервере
Для авторизации по записям на Radius-сервере требуется:
Добавить адрес пользователя на Radius server в домен, который будет использоваться для авторизации. В данном примере запись создаётся в domain default.
wlc-30# configure wlc-30(config)# radius-server local wlc-30(config-radius)# domain default wlc-30(config-radius-domain)# user 11-11-11-11-11-11 wlc-30(config-radius-user)# password ascii-text NOPASSWORD wlc-30(config-radius-user)# ex wlc-30(config-radius-domain)# ex wlc-30(config-radius)# ex
Важным моментом является указание МАС-адреса в формате AA-BB-CC-DD-EE-FF в поле user и пароля NOPASSWORD
Перейти в настройки SSID-профилей (WLC - SSID-PROFILE <NAME>) и добавить правило, необходимое для работы mac-auth, приведён пример для ssid-profile default-ssid.
wlc-30(config)# wlc wlc-30(config-wlc)# ssid-profile default-ssid wlc-30(config-wlc-ssid-profile)# mac-auth mode radius policy permit
Применить изменения
wlc-30# commit wlc-30# confirm
Логика работы по записям на Radius сервере отличается от логики работы по локальным спискам.
Если для правила mac-auth mode radius policy permit не создать записи на сервере, то доступ будет запрещён всем, так как записей, для которых необходимо открыть доступ - нет.
Аналогично и для mac-auth mode radius policy deny - если записей не создано, то разрешается доступ всем.