3、基於mac地址的認證
無線AP除了採用wpa預共享密鑰認證的方式以外,還可以採用eap的方式認證,但對大多數中小企業來說,採用eap認證的方式還需要架設radius服務器,無形中又提高了管理成本。幸運的是很多的AP還提供基於mac地址的認證方式,我們只需要將允許接入企業無線網絡的客戶端設備的mac地址登記到AP中,客戶端設備就可以方便的接入,而不在AP的mac地址列表中的設備則無法通過認證,這一點對於企業想限制BYOD的使用尤爲方便。配置說明如下:
第一步:在啓用aaa認證功能
aaa new-model
第二步:配置名稱爲maclist的登錄認證,採用本地認證方式
aaa authentication login maclist local
第三步:以允許接入AP的客戶端設備的mac地址爲名稱建立用戶,密碼必須和用戶名保持一致,即都必須是設備的mac地址
username 0018de
第四步:配置SSID,使用mac地址認證的方式
dot11 ssid dcdb
vlan 303
authentication open mac-address maclist //採用mac地址認證方式
mbssid guest-mode
!
dot11 ssid dcdefault
vlan 302
authentication open mac-address maclist
mbssid guest-mode
基於mac地址認證的主要配置完成,但這時會留下一個隱患,用戶可以通過自己的mac地址登陸到AP,這顯然是不行的,我們需要禁止用戶通過mac地址來登陸到AP。首先在全局命令模式下啓用授權,然後設置用戶登陸後自動執行exit命令,這樣一旦用mac地址登陸AP時,就會自動退出,配置命令如下
aaa authorization exec default local
username 0018de