Краткое описание
MAB — это аутентификация, которая основана на MAC-адресе устройства, то есть MAC-адрес устройства используется в качестве имени пользователя и пароля.
Может использоваться в следующих сценариях:
1. Для предоставления контролируемого сетевого доступа устройствам, которые не могут пройти стандартную аутентификацию по логину и паролю или с помощью сертификатов (802.1X).
2. Для упрощения развертывания, когда индивидуальная настройка методов аутентификации (например, 802.1X или сертификатов) на каждом конечном устройстве требует больших трудозатрат.
Далее приведен приведен пример настройки Eltex WLC-30 (v.1.30.6) с точкой WEP-30L(2.8.0). Предполагается, что на контроллере уже настроен IP-адрес и обеспечена сетевая связность с сервером NAICE.
Настройка конфигурации контроллера
Настройка проксирования запросов на внешний RADIUS NAICE
Добавить NAICE, как RADIUS-сервер, и настроить проксирование RADIUS-запросов от ТД на него.
wlc-30(config)# radius-server local wlc-30(config-radius)# nas AP_subnet wlc-30(config-radius-nas)# key ascii-text testing123 wlc-30(config-radius-nas)# network 192.168.1.0/24 wlc-30(config-radius-nas)# exit
#переходим в раздел radius-server local: #пропишите NAS #установите пароль, который будет использоваться для проверки подлинности между AP (в роли NAS) и WLC (в роли RADIUS-сервера). #добавьте подсети ТД (адресное пространство ТД, т.е. их IP-адреса), которые будут обслуживаться локальным RADIUS-сервером
Настройка внешнего сервера (virtual-server):
wlc(config-radius)# virtual-server default wlc(config-radius-vserver)# enable wlc(config-radius-vserver)# proxy-mode wlc(config-radius-vserver)# upstream-server eltex wlc(config-radius-upstream-server)# host 100.110.3.81 wlc(config-radius-upstream-server)# server-type all wlc(config-radius-upstream-server)# key ascii-text testing123 wlc-30(config-radius-upstream-server)# exit wlc-30(config-radius-vserver)# exit wlc-30(config-radius)# exit
#переходим в настройки виртуального сервера #активируем его #включаем proxy-mode для проксирования RADIUS-запросов на внешний сервер #задаём название внешнего сервера #указываем адрес внешнего RADIUS-сервера #указываем тип запросов для проксирования, в данном случае выбран all, поэтому будут проксироваться и запросы аутентификации и аккаунтинга #устанавливаем пароль для аутентификации между WLC (как прокси) и внешним RADIUS-сервером
Настройка блока SSID
wlc(config)# wlc wlcconfig-wlc)# ssid-profile TestNaice wlc(config-wlc-ssid-profile)# ssid TEST_Naice wlc(config-wlc-ssid-profile)# vlan-id 115 wlс(config-wlc-ssid-profile)# radius-profile default-radius wlc(config-wlc-ssid-profile)# mac-auth mode radius policy permit wlc(config-wlc-ssid-profile)# band 5g wlc(config-wlc-ssid-profile)# enable wlc(config-wlc-ssid-profile)#end
#переходим в блок настроек WLC #создаём профиль для конфигурации SSID #указываем название беспроводной сети #VLAN ID — номер VLAN для передачи пользовательского трафика #указываем профиль настроек RADIUS-сервера #добавить правило, необходимое для работы mac-auth #указываем хотя бы один диапазон, в котором будет работать SSID: 2.4/5 ГГц #активируем профиль SSID
Все внесённые изменения в конфигурации необходимо записать в постоянную память устройства.
wlc-30# commit
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds. #изменения сохранены и запущен таймер
wlc-30# confirm
Configuration has been confirmed. Commit timer canceled. #изменения подтверждены и применены
Проверка работы
