无线局域网无线控制器MAC地址过滤配置实例-Cisco.PDFVIP

无线局域网无线控制器MAC 地址过滤配置实例 简介2 先决条件2 要求2 组件使用2 无线控制器上的MAC 地址过滤（MAC 认证）2 在无线控制器上配置本地MAC 地址认证3 配置WLAN 并启用MAC 地址过滤4 在无线控制器上的本地数据库配置客户端MAC 地址5 配置使用RADIUS 服务器进行MAC 地址认证7 配置WLAN 并启用MAC 地址过滤7 在RADIUS 服务器上配置客户端MAC 地址9 使用CLI 配置无线控制器上的MAC 过滤 12 为禁用客户端配置超时时间 13 验证 13 故障排查 14 简介 本文档介绍了如何配置无线控制器的MAC 地址过滤。还讨论了如何利用AAA 服务器对轻型 无线接入点授权。 先决条件 要求 确保你满足下列要求然后再尝试配置： *思科无线控制器和无线接入点配置的基本知识 *思科统一无线网络安全解决方案的基本知识 组件使用 本文档中的信息基于下列软件和硬件版本： *运行 软件版本的思科4400 无线控制器 *思科1230AG 系列无线接入点 *固件版本4.4 的思科802.11a/b/g 无线客户端适配器 *Aironet 桌面工具（ADU ）版本4.4 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺 省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带 来的潜在影响。 无线控制器上的MAC 地址过滤（MAC 认证） 当您在无线控制器上创建MAC 地址过滤时，用户客户端的MAC 地址可以被授予或拒绝访问 无线网络。 无线控制器上支持两种MAC 地址认证： *本地MAC 地址认证 *使用RADIUS 服务器进行MAC 地址认证 本地MAC 地址验证，用户的MAC 地址存储在无线控制器里的数据库上。当用户试图访问配 置了无线MAC 过滤的WLAN 时，客户端的MAC 地址由无线控制器上的本地数据库验证，如 果验证成功客户端被授予访问WLAN 的权限。 默认情况下，无线控制器的本地数据库支持512 个用户条目。本地用户数据库最多支持2048 个条目。 本地数据库存储下列这些项目的条目： *本地管理用户，其中包括访客大使用户 *本地的网络用户，其中包括来宾用户 *MAC 地址过滤条目 *排除列表条目 *无线接入点授权列表条目 总之，所有这些类型的用户数量不能超过配置的数据库大小。 为了增加本地数据库的条目，从CLI 使用下面命令： Cisco Controller config database size ? count Enter the maximum number of entries (512-2048) count 另外，MAC 地址认证也可以使用RADIUS 服务器进行。唯一的区别是用户的MAC 地址数据 库存储在 RADIUS 服务器，而不是在无线控制器。当用户数据库存储在 RADIUS 服务器上， 无线控制器转发客户端的MAC 地址到RADIUS 服务器进行客户端验证。然后，RADIUS 服务 器基于数据库验证 MAC 地址。如果客户端验证是成功的，客户端被授予可以访问 WLAN 。 任何支持MAC 地址认证的RADIUS 服务器均可用。 在无线控制器上配置本地MAC 地址认证 完成下面步骤来配置无线控制器上的本地MAC 地址认证： 1.配置WLAN 并启用MAC 地址过滤 2.在无线控制器上的本地数据库配置客户端MAC 地址 注：在配置MAC 地址认证前，您必须配置无线控制器的基本操作并让无线接入点注册上来。 本文档假定无线控制器上已完成基本操作的配置，并使无线接入点注册。在无线客户端上没 有特别的配置需要就可以支持MAC 地址认证。 配置WLAN 并启用MAC 地址过滤 完成下列步骤在WLAN 上配置MAC 地址过滤： 1.点击无线控制器GUI 界面WLAN 菜单以便创建一个WLAN 。WLAN 窗口列出了无线控制器 上已经配置的WLAN 。 2.单击新建以配置一个新的WLAN 。在这个例子中，WLAN 被命名为MAC-WLAN 且WLAN 的 ID 是1。 3.点击 Apply 按钮。 4.在WLAN Edit 窗口定义WLAN 的具体参数。 1.在Security Policies Layer 2 Security 界面选择MAC Filtering 复选框。这使得WLAN 启 用MAC 地址认证。 2.在General Policies Inter