Поддержано начиная с версий:
Устройства: WLC-15/30/3200, ESR-15/15R/30/3200
Версия ПО WLC: 1.26.0
Устройства: vWwlc
Устройства: WEP-1L/2L/30L/30L-Z/200L и WOP-2L/20L/30L/30LS
Версия ПО ТД: 2.5.0
Устройства: WEP-3ax
Версия ПО ТД: 1.8.0 (для работы с WLC нужно использовать актуальную версию ПО 1.12.0 или выше)
Таблица поддержки функционала MAC-Авторизации на различных моделях точек доступа
Модель точки доступа | MAC-Авторизация по локальным спискам | MAC-Авторизация через RADIUS |
|---|---|---|
| WEP-1L | Да | Да |
| WEP-2L | Да | Да |
| WOP-2L | Да | Да |
| WEP-3L | Да | Да |
WOP-20L | Да | Да |
| WEP-200L | Да | Да |
| WEP-30L | Да | Да |
| WEP-30L-Z | Да | Да |
| WOP-30L | Да | Да |
| WOP-30LS | Да | Да |
| WOP-30LI | Да | Да |
| WEP-2ac | Да | Да |
| WEP-2ac Smart | Да | Да |
| WOP-2ac | Да | Да |
| WOP-2ac rev.B | Да | Да |
| WOP-2ac rev.C | Да | Да |
| WEP-3ax | Нет | Да |
Настройка осуществляется в рамках настройки SSID-профиля. Существует 2 режима работы mac-auth:
- По локальным спискам;
- По записям в RADIUS server.
wlc(config-wlc-ssid-profile)# mac-auth mode local Set MAC authentication local mode radius Set MAC authentication radius mode
Настройка mac-auth по локальным спискам
Для авторизации по локальным спискам требуется:
Создать object-group mac и указать в данной группе MAC-адреса клиентов.
wlc# configure wlc(config)# object-group mac test_mac_auth wlc(config-object-group-mac)# mac address 11:11:11:11:11:11 wlc(config-object-group-mac)# mac address 22:22:22:22:22:22 wlc(config-object-group-mac)# exit
Перейти в настройки SSID-профилей (WLC → SSID-PROFILE <NAME>) и добавить правило, необходимое для работы mac-auth. Пример ниже приведён для ssid-profile default-ssid.
wlc(config)# wlc wlc(config-wlc)# ssid-profile default-ssid wlc(config-wlc-ssid-profile)# mac-auth mode local policy permit test_mac_auth wlc(config-wlc-ssid-profile)# end
Применить изменения.
wlc# commit wlc# confirm
В данном примере будет разрешено подключение к default-ssid для устройств, у которых MAC-адрес указан в профиле MAC-адресов test_mac_auth. Помимо этого можно настроить следующие варианты:
mac-auth mode local policy permit any – разрешить доступ всем
mac-auth mode local policy deny any – запретить доступ всем
mac-auth mode local policy deny test_mac_auth – запретить доступ для устройств, у которых MAC-адрес указан в object group test_mac_auth.
Настройка mac-auth по спискам на локальном RADIUS-сервере
Для авторизации по записям на RADIUS-сервере требуется:
Добавить адрес пользователя на RADIUS-сервер в домен, который будет использоваться для авторизации. В данном примере запись создаётся в domain default.
wlc# configure wlc(config)# radius-server local wlc(config-radius)# domain default wlc(config-radius-domain)# user 11-11-11-11-11-11 wlc(config-radius-user)# password ascii-text NOPASSWORD wlc(config-radius-user)# ex wlc(config-radius-domain)# ex wlc(config-radius)# ex
В поле "user" необходимо вводить МАС-адрес в формате: AA-BB-CC-DD-EE-FF
В поле "password" необходимо вводить: NOPASSWORD
Верхний регистр формата MAC-адреса важен
Перейти в настройки SSID-профилей (WLC → SSID-PROFILE <NAME>) и добавить правило, необходимое для работы mac-auth. Пример ниже приведён для ssid-profile default-ssid.
Настройка проксирования на внешний RADIUS.
wlc(config)# wlc wlc(config-wlc)# ssid-profile default-ssid wlc(config-wlc-ssid-profile)# mac-auth mode radius policy permit
Применить изменения.
wlc# commit wlc# confirm
Логика работы по записям на RADIUS-сервере отличается от логики работы по локальным спискам.
Если для правила mac-auth mode radius policy permit не создать записи на сервере, то доступ будет запрещён всем, так как записей, для которых необходимо открыть доступ – нет.
Аналогично и для mac-auth mode radius policy deny – если записей не создано, то разрешается доступ всем.
Если список пользователей находится на внешнем сервере, необходимо настроить проксирование по статье "Настройка проксирования на внешний RADIUS".