无线配置案例三

 3、基于mac地址的认证

无线AP除了采用wpa预共享密钥认证的方式以外，还可以采用eap的方式认证，但对大多数中小企业来说，采用eap认证的方式还需要架设radius服务器，无形中又提高了管理成本。幸运的是很多的AP还提供基于mac地址的认证方式，我们只需要将允许接入企业无线网络的客户端设备的mac地址登记到AP中，客户端设备就可以方便的接入，而不在AP的mac地址列表中的设备则无法通过认证，这一点对于企业想限制BYOD的使用尤为方便。配置说明如下：

第一步：在启用aaa认证功能

aaa new-model

第二步：配置名称为maclist的登录认证，采用本地认证方式

aaa authentication login maclist local

第三步：以允许接入AP的客户端设备的mac地址为名称建立用户，密码必须和用户名保持一致，即都必须是设备的mac地址

username 0018de 4048f 7 password 0 0018de 4048f 7

第四步：配置SSID，使用mac地址认证的方式

dot11 ssid dcdb

   vlan 303

   authentication open mac-address maclist              //采用mac地址认证方式

   mbssid guest-mode

!

dot11 ssid dcdefault

   vlan 302

   authentication open mac-address maclist

   mbssid guest-mode

基于mac地址认证的主要配置完成，但这时会留下一个隐患，用户可以通过自己的mac地址登陆到AP，这显然是不行的，我们需要禁止用户通过mac地址来登陆到AP。首先在全局命令模式下启用授权，然后设置用户登陆后自动执行exit命令，这样一旦用mac地址登陆AP时，就会自动退出，配置命令如下

aaa authorization exec default local

username 0018de 4048f 7 autocommand exit               //配置自动执行命令exit