- 论坛徽章:
- 0
|
公司新买了几个H3C的无线AP(WA2220E-AG),为安全起见,严格控制允许接入无线AP的MAC地址。一开始使用白名单功能进行无线用户MAC地址控制。结果没想到H3C这个东东的白名单只支持64个MAC地址,晕!没办法,找800,建议使用MAC地址认证来控制。
MAC地址认证有两种方式,其一是认证的用户名和密码设置在AP配置的LOCAL-USER中,这个很麻烦。比如我们有好几个AP,来一个新用户,就要登录这些AP都执行一遍添加操作,删除过程也是如此。其二可以使用radius服务器来认证,只要在mysql数据库中加入MAC地址,所有AP都可以对MAC地址进行验证,简单方便。
关于freeradius+mysql的配置参考我的前一篇文章
http://blog.chinaunix.net/u/12207/showart.php?id=163495
,过程完全一样。
需要注意:
mysql数据库中加入的用于MAC认证的用户名和密码为MAC地址,必须小写并且没有间隔。例如无线网卡的mac地址为:0021-0064-E2B1,则加入mysql数据库中的用户名和密码均为:00210064e2b1。用户名和密码对应mysql数据库中radius表的username和value字段。
配置完这两个软件后,剩下的就是配置AP了。
环境:freeradius主服务器地址:192.168.30.3(必须) 备用服务器:192.168.30.4(可选)
AP的地址:192.168.44.11
AP与freeradius服务器之间通讯的密码为:123456(参考前一篇文章,在clients.conf中配置)
1、配置radius scheme:
全局下:
radius scheme mac-radius
primary authentication 192.168.30.3
primary accounting 192.168.30.3
secondary authentication 192.168.30.4
secondary accounting 192.168.30.4
key authentication 123456
key accounting 123456
user-name-format without-domain
2、配置MAC认证的域:
全局下:
domain mac-dom
authentication default radius-scheme mac-radius
authorization default radius-scheme mac-radius
accounting default radius-scheme mac-radius
access-limit disable
state active
idle-cut disable
self-service-url disable
3、配置全局MAC认证:
#
port-security enable
#
mac-authentication domain mac-dom
4、开启无线端口的MAC认证
[AP01] int WLAN-BSS 1
[AP01-WLAN-BSS1] port-security port-mode mac-authentication
[AP01] int WLAN-BSS 2
[AP01-WLAN-BSS2] port-security port-mode mac-authentication
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/12207/showart_1714028.html |
|