Поддержано начиная с версий:
Устройства: WLC-15/30/3200, ESR-15/15R/30/3200
Версия ПО WLC/ESR: 1.26.0
Программный контроллер vWLC:
Версия ПО vWLC: 1.27.0
Точки доступа: WEP-1L, WEP-200L, WEP-2L, WEP-30L, WEP-30L-Z, WEP-3L, WOP-20L, WOP-2L, WOP-30L, WOP-30LI, WOP-30LS
Версия ПО ТД: 2.5.0
Точка доступа: WEP-3ax
Версия ПО ТД: 1.8.0
Точки доступа: WEP-2ac, WEP-2ac Smart, WOP-2ac, WOP-2ac rev.B, WOP-2ac rev.C
Версия ПО ТД: 1.25.0
Таблица поддержки функционала на различных моделях ТД:
Модель ТД | По локальным спискам | Через RADIUS |
|---|---|---|
| WEP-1L | Да | Да |
| WEP-2L | Да | Да |
| WEP-3L | Да | Нет |
| WEP-200L | Да | Да |
| WEP-30L | Да | Да |
| WEP-30L-Z | Да | Да |
| WOP-2L | Да | Да |
| WOP-20L | Да | Да |
| WOP-30L | Да | Да |
| WOP-30LI | Да | Да |
| WOP-30LS | Да | Да |
| WEP-3ax | Нет | Да |
| WEP-2ac | Да | Да |
WEP-2ac Smart | Да | Да |
| WOP-2ac | Да | Да |
| WOP-2ac:rev.B | Да | Да |
| WOP-2ac:rev.C | Да | Да |
Настройка осуществляется в SSID-профиле. Существует 2 способа ограничения доступа:
- По локальным спискам на ТД;
- По записям на RADIUS-сервере.
wlc(config-wlc-ssid-profile)# mac-auth mode local Set MAC authentication local mode radius Set MAC authentication radius mode
Настройка доступа беспроводных клиентов по локальным спискам на ТД
Для авторизации по локальным спискам на ТД требуется:
Создать object-group mac и указать в данной группе MAC-адреса клиентов.
wlc# configure wlc(config)# object-group mac test_mac_auth wlc(config-object-group-mac)# mac address 11:11:11:11:11:11 wlc(config-object-group-mac)# mac address 22:22:22:22:22:22 wlc(config-object-group-mac)# exit
Перейти в настройки SSID-профилей (WLC → SSID-PROFILE <NAME>) и добавить правило, необходимое для работы. Пример ниже приведён для ssid-profile default-ssid.
wlc(config)# wlc wlc(config-wlc)# ssid-profile default-ssid wlc(config-wlc-ssid-profile)# mac-auth mode local policy permit test_mac_auth wlc(config-wlc-ssid-profile)# end
Применить изменения.
wlc# commit wlc# confirm
В данном примере будет разрешено подключение к default-ssid для устройств, у которых MAC-адрес указан в профиле MAC-адресов test_mac_auth. Помимо этого можно настроить следующие варианты:
mac-auth mode local policy permit any – разрешить доступ всем устройствам;
mac-auth mode local policy deny any – запретить доступ всем устройствам;
mac-auth mode local policy deny test_mac_auth – запретить доступ для устройств, у которых MAC-адрес указан в object group test_mac_auth.
Настройка MAC аутентификации на локальном RADIUS-сервере
Для MAC-аутентификации на локальном RADIUS-сервере требуется:
Добавить пользователя на локальный RADIUS-сервер в домен, который будет использоваться для авторизации. В данном примере создается запись для пользователя 6C-E8-5C-4E-97-1E с паролем NOPASSWORD в домене default.
wlc# configure wlc(config)# radius-server local wlc(config-radius)# domain default wlc(config-radius-domain)# user 6C-E8-5C-4E-97-1E wlc(config-radius-user)# password ascii-text NOPASSWORD wlc(config-radius-user)# exit wlc(config-radius-domain)# exit wlc(config-radius)# exit
В поле "user" необходимо задать МАС-адрес клиента в формате: XX-XX-XX-XX-XX-XX. Важно использовать верхний регистр формата MAC-адреса с разделителем "-".
В поле "password" необходимо задать пароль: NOPASSWORD (точка доступа по умолчанию подставляет в RADIUS аттрибут User-Password значение: NOPASSWORD)
Перейти в настройки SSID-профилей (WLC → SSID-PROFILE <NAME>) и добавить правило, необходимое для работы mac-auth. Пример ниже приведён для ssid-profile default-ssid.
wlc(config)# wlc wlc(config-wlc)# ssid-profile default-ssid wlc(config-wlc-ssid-profile)# mac-auth mode radius policy permit
Логика работы по записям на RADIUS-сервере отличается от логики работы по локальным спискам.
Если для правила mac-auth mode radius policy permit не создать записи на сервере, то доступ будет запрещён всем, так как записей, для которых необходимо открыть доступ – нет. Аналогично и для mac-auth mode radius policy deny – если записей не создано, то разрешается доступ всем.Применить изменения.
wlc# commit wlc# confirm
Пример пакета Acess-Request от ТД в процессе MAС-аутентификации через локальный RADIUS-сервер:
(56) Fri Dec 6 07:13:11 2024: Debug: Received Access-Request Id 0 from 100.129.48.1:56038 to 100.129.58.1:1812 length 210 (56) Fri Dec 6 07:13:11 2024: Debug: User-Name = "6C-E8-5C-4E-97-1E" <<------------------- формат MAC-адреса клиента в верхнем регистре (56) Fri Dec 6 07:13:11 2024: Debug: Eltex-Domain = "default" (56) Fri Dec 6 07:13:11 2024: Debug: User-Password = "NOPASSWORD" <<------------------- в качестве значения аттрибута User-Password ТД по умолчанию подставляет значение NOPASSWORD (56) Fri Dec 6 07:13:11 2024: Debug: NAS-IP-Address = 100.129.48.1 (56) Fri Dec 6 07:13:11 2024: Debug: NAS-Identifier = "E0-D9-E3-73-07-62" (56) Fri Dec 6 07:13:11 2024: Debug: NAS-Port-Id = "2" (56) Fri Dec 6 07:13:11 2024: Debug: Called-Station-Id = "E0-D9-E3-73-07-60:WLC_ENTERPRICE" (56) Fri Dec 6 07:13:11 2024: Debug: Calling-Station-Id = "6C-E8-5C-4E-97-1E" (56) Fri Dec 6 07:13:11 2024: Debug: NAS-Port-Type = Wireless-802.11 (56) Fri Dec 6 07:13:11 2024: Debug: Connect-Info = "CONNECT 11Mbps 802.11b" (56) Fri Dec 6 07:13:11 2024: Debug: Message-Authenticator = 0x8ede933ed54795333b6a35ae73020088
Начиная с версии ПО 2.8.0 на точках доступа WEP-30L, WEP-30L-Z, WOP-30L, WOP-30LI, WOP-30LS с помощью настройки session password mac возможно подставлять значение MAC-адреса клиента в атрибут User-Password и настраивать его формат. Настройка выполняется в профиле RADIUS, который используется в соответствующем SSID. В этом случае, в учетной записи пользователя на RADIUS-сервере, в качестве пароля, также необходимо задать MAC-адрес клиента в соответствующем формате.
Пример пакета Acess-Request от ТД в процессе MAС-аутентификации через локальный RADIUS-сервер с настроенным параметром session password mac uppercase-separator-dash:
(0) Wed May 14 12:35:52 2025: Debug: Received Access-Request Id 0 from 192.168.1.2:60054 to 192.168.1.1:1812 length 223 (0) Wed May 14 12:35:52 2025: Debug: User-Name = "B6-9A-E6-CC-62-3A" (0) Wed May 14 12:35:52 2025: Debug: User-Password = "B6-9A-E6-CC-62-3A" <<------------------- Значение MAC-адреса клиента в формате XX-XX-XX-XX-XX-XX (0) Wed May 14 12:35:52 2025: Debug: NAS-IP-Address = 192.168.1.2 (0) Wed May 14 12:35:52 2025: Debug: Eltex-Domain = "default" (0) Wed May 14 12:35:52 2025: Debug: NAS-Identifier = "68-13-E2-C2-F7-40" (0) Wed May 14 12:35:52 2025: Debug: Called-Station-Id = "68-13-E2-C2-F7-40:WLC_ENTERPRICE" (0) Wed May 14 12:35:52 2025: Debug: NAS-Port-Type = Wireless-802.11 (0) Wed May 14 12:35:52 2025: Debug: NAS-Port-Id = "8" (0) Wed May 14 12:35:52 2025: Debug: Calling-Station-Id = "B6-9A-E6-CC-62-3A" (0) Wed May 14 12:35:52 2025: Debug: Connect-Info = "CONNECT 11Mbps 802.11b" (0) Wed May 14 12:35:52 2025: Debug: Service-Type = Call-Check (0) Wed May 14 12:35:52 2025: Debug: Message-Authenticator = 0xcfd079fe6d97930bbc9ba8cf341e60e6
Если список пользователей находится на внешнем сервере, необходимо настроить проксирование (см. статью Настройка проксирования на внешний RADIUS).