Поддержано начиная с версий:

Устройства: WLC-15/30/3200, ESR-15/15R/30/3200

Версия ПО WLC/ESR: 1.26.0

Программный контроллер vWLC:

Версия ПО vWLC: 1.27.0

Точки доступа: WEP-1L, WEP-200L, WEP-2L, WEP-30L, WEP-30L-Z, WEP-3L, WOP-20L, WOP-2L, WOP-30L, WOP-30LI, WOP-30LS

Версия ПО ТД: 2.5.0

Точка доступа: WEP-3ax

Версия ПО ТД: 1.8.0

Точки доступа: WEP-2ac, WEP-2ac Smart, WOP-2ac, WOP-2ac rev.B, WOP-2ac rev.C

Версия ПО ТД:  1.25.0


Таблица поддержки функционала на различных моделях ТД:

Модель ТД

По локальным спискамЧерез RADIUS
WEP-1LДаДа
WEP-2LДаДа
WEP-3LДаНет
WEP-200LДаДа
WEP-30LДаДа
WEP-30L-ZДаДа
WOP-2LДаДа
WOP-20LДаДа
WOP-30LДаДа
WOP-30LIДаДа
WOP-30LSДаДа
WEP-3axНетДа
WEP-2acДаДа

WEP-2ac Smart

ДаДа
WOP-2acДаДа
WOP-2ac:rev.BДаДа
WOP-2ac:rev.CДаДа


Настройка осуществляется в SSID-профиле. Существует 2 способа ограничения доступа:

wlc(config-wlc-ssid-profile)# mac-auth mode 
  local   Set MAC authentication local mode
  radius  Set MAC authentication radius mode

Настройка доступа беспроводных клиентов по локальным спискам на ТД

Для авторизации по локальным спискам на ТД требуется:

  1. Создать object-group mac и указать в данной группе MAC-адреса клиентов.

    wlc# configure
wlc(config)# object-group mac test_mac_auth
wlc(config-object-group-mac)# mac address 11:11:11:11:11:11
wlc(config-object-group-mac)# mac address 22:22:22:22:22:22
wlc(config-object-group-mac)# exit


  2. Перейти в настройки SSID-профилей (WLC → SSID-PROFILE <NAME>) и добавить правило, необходимое для работы. Пример ниже приведён для ssid-profile default-ssid.

    wlc(config)# wlc
wlc(config-wlc)# ssid-profile default-ssid 
wlc(config-wlc-ssid-profile)# mac-auth mode local policy permit test_mac_auth
wlc(config-wlc-ssid-profile)# end


  3. Применить изменения.

    wlc# commit
wlc# confirm


В данном примере будет разрешено подключение к default-ssid для устройств, у которых MAC-адрес указан в профиле MAC-адресов test_mac_auth. Помимо этого можно настроить следующие варианты:

mac-auth mode local policy permit any – разрешить доступ всем устройствам;
mac-auth mode local policy deny any  запретить доступ всем устройствам;
mac-auth mode local policy deny test_mac_auth  запретить доступ для устройств, у которых MAC-адрес указан в object group test_mac_auth.

Настройка MAC аутентификации на локальном RADIUS-сервере

Для MAC-аутентификации на локальном RADIUS-сервере требуется:

  1. Добавить пользователя на локальный RADIUS-сервер в домен, который будет использоваться для авторизации. В данном примере создается запись для пользователя 6C-E8-5C-4E-97-1E с паролем NOPASSWORD в домене default.

    wlc# configure 
wlc(config)# radius-server local 
wlc(config-radius)# domain default 
wlc(config-radius-domain)# user 6C-E8-5C-4E-97-1E
wlc(config-radius-user)# password ascii-text NOPASSWORD
wlc(config-radius-user)# exit
wlc(config-radius-domain)# exit
wlc(config-radius)# exit

    В поле "user" необходимо задать МАС-адрес клиента в формате: XX-XX-XX-XX-XX-XX. Важно использовать верхний регистр формата MAC-адреса с разделителем "-".

    В поле "password" необходимо задать пароль: NOPASSWORD (точка доступа по умолчанию подставляет в RADIUS аттрибут User-Password значение: NOPASSWORD)

  2. Перейти в настройки SSID-профилей (WLC → SSID-PROFILE <NAME>) и добавить правило, необходимое для работы mac-auth. Пример ниже приведён для ssid-profile default-ssid.

    wlc(config)# wlc
wlc(config-wlc)# ssid-profile default-ssid  
wlc(config-wlc-ssid-profile)# mac-auth mode radius policy permit

    Логика работы по записям на RADIUS-сервере отличается от логики работы по локальным спискам.
    Если для правила mac-auth mode radius policy permit не создать записи на сервере, то доступ будет запрещён всем, так как записей, для которых необходимо открыть доступ  нет. Аналогично и для mac-auth mode radius policy deny  если записей не создано, то разрешается доступ всем.

  3. Применить изменения.

    wlc# commit
wlc# confirm

 Пример пакета Acess-Request от ТД в процессе MAС-аутентификации через локальный RADIUS-сервер:

(56) Fri Dec  6 07:13:11 2024: Debug: Received Access-Request Id 0 from 100.129.48.1:56038 to 100.129.58.1:1812 length 210
(56) Fri Dec  6 07:13:11 2024: Debug:   User-Name = "6C-E8-5C-4E-97-1E" <<------------------- формат MAC-адреса клиента в верхнем регистре
(56) Fri Dec  6 07:13:11 2024: Debug:   Eltex-Domain = "default"
(56) Fri Dec  6 07:13:11 2024: Debug:   User-Password = "NOPASSWORD" <<------------------- в качестве значения аттрибута User-Password ТД по умолчанию подставляет значение NOPASSWORD
(56) Fri Dec  6 07:13:11 2024: Debug:   NAS-IP-Address = 100.129.48.1
(56) Fri Dec  6 07:13:11 2024: Debug:   NAS-Identifier = "E0-D9-E3-73-07-62"
(56) Fri Dec  6 07:13:11 2024: Debug:   NAS-Port-Id = "2"
(56) Fri Dec  6 07:13:11 2024: Debug:   Called-Station-Id = "E0-D9-E3-73-07-60:WLC_ENTERPRICE"
(56) Fri Dec  6 07:13:11 2024: Debug:   Calling-Station-Id = "6C-E8-5C-4E-97-1E"
(56) Fri Dec  6 07:13:11 2024: Debug:   NAS-Port-Type = Wireless-802.11
(56) Fri Dec  6 07:13:11 2024: Debug:   Connect-Info = "CONNECT 11Mbps 802.11b"
(56) Fri Dec  6 07:13:11 2024: Debug:   Message-Authenticator = 0x8ede933ed54795333b6a35ae73020088

Начиная с версии ПО 2.8.0 на точках доступа WEP-30L, WEP-30L-Z, WOP-30L, WOP-30LI, WOP-30LS с помощью настройки session password mac возможно подставлять значение MAC-адреса клиента в атрибут User-Password и настраивать его формат. Настройка выполняется в профиле RADIUS, который используется в соответствующем SSID. В этом случае, в учетной записи пользователя на RADIUS-сервере, в качестве пароля, также необходимо задать MAC-адрес клиента в соответствующем формате.

Пример пакета Acess-Request от ТД в процессе MAС-аутентификации через локальный RADIUS-сервер с настроенным параметром session password mac uppercase-separator-dash:

(0) Wed May 14 12:35:52 2025: Debug: Received Access-Request Id 0 from 192.168.1.2:60054 to 192.168.1.1:1812 length 223
(0) Wed May 14 12:35:52 2025: Debug:   User-Name = "B6-9A-E6-CC-62-3A" 
(0) Wed May 14 12:35:52 2025: Debug:   User-Password = "B6-9A-E6-CC-62-3A" <<------------------- Значение MAC-адреса клиента в формате XX-XX-XX-XX-XX-XX  
(0) Wed May 14 12:35:52 2025: Debug:   NAS-IP-Address = 192.168.1.2
(0) Wed May 14 12:35:52 2025: Debug:   Eltex-Domain = "default" 
(0) Wed May 14 12:35:52 2025: Debug:   NAS-Identifier = "68-13-E2-C2-F7-40" 
(0) Wed May 14 12:35:52 2025: Debug:   Called-Station-Id = "68-13-E2-C2-F7-40:WLC_ENTERPRICE" 
(0) Wed May 14 12:35:52 2025: Debug:   NAS-Port-Type = Wireless-802.11
(0) Wed May 14 12:35:52 2025: Debug:   NAS-Port-Id = "8" 
(0) Wed May 14 12:35:52 2025: Debug:   Calling-Station-Id = "B6-9A-E6-CC-62-3A" 
(0) Wed May 14 12:35:52 2025: Debug:   Connect-Info = "CONNECT 11Mbps 802.11b" 
(0) Wed May 14 12:35:52 2025: Debug:   Service-Type = Call-Check 
(0) Wed May 14 12:35:52 2025: Debug:   Message-Authenticator = 0xcfd079fe6d97930bbc9ba8cf341e60e6


Если список пользователей находится на внешнем сервере, необходимо настроить проксирование (см. статью Настройка проксирования на внешний RADIUS).