MAC 認証バイパス
MAC 認証バイパス(MAB)機能を使用し、クライアント MAC アドレスに基づいてクライアントを許可するように 組み込みワイヤレスコントローラを設定できます。
MAB を有効にすると、 組み込みワイヤレスコントローラはクライアント ID として MAC アドレスを使用します。認証サーバーには、ネットワーク アクセスを許可されたクライアント MAC アドレスのデータベースがあります。クライアントの検出後、 組み込みワイヤレスコントローラはクライアントからのパケットを待機します。 組み込みワイヤレスコントローラは、MAC アドレスに基づくユーザー名とパスワードを含む RADIUS アクセス/要求フレームを認証サーバーに送信します。認証が成功すると、 組み込みワイヤレスコントローラはクライアントにネットワークへのアクセス権を付与します。認証が失敗した場合、ゲスト WLAN が設定されていれば、 組み込みワイヤレスコントローラはゲスト WLAN にポートを割り当てます。
MAC 認証バイパスで認証されたクライアントは再認証できます。再認証プロセスは、認証されたクライアントの場合と同じです。再認証の間、ポートは前に割り当てられた WLAN のままです。再認証が成功すると、 組み込みワイヤレスコントローラは同じ WLAN でポートを保持します。再認証が失敗した場合、ゲスト WLAN が設定されていれば、 組み込みワイヤレスコントローラはゲスト WLAN にポートを割り当てます。
MAB の設定に関する注意事項
-
MAB の設定に関する注意事項は、802.1x 認証の注意事項と同じです。
-
MAC アドレスで認可された後にポートで MAB を無効にしても、ポート ステートに影響はありません。
-
ポートが未許可ステートであり、クライアント MAC アドレスが認証サーバーデータベースにない場合、ポートは未許可ステートのままです。ただし、クライアント MAC アドレスがデータベースに追加されると、スイッチは MAC 認証バイパス機能を使用してポートを再認証できます。
-
ポートが認証ステートにない場合、再認証が行われるまでポートはこのステートを維持します。
-
MAB によって接続されているにもかかわらず非アクティブなホストのタイムアウト時間を設定できます。有効な範囲は 1 ~ 65535 秒です。
(注) |
ユーザーに対して wlan-profile-name が設定されている場合、ゲストユーザー認証はその WLAN からのみ許可されます。 ユーザーに対して wlan-profile-name が設定されていない場合、すべての WLAN でゲストユーザー認証が許可されます。 |
クライアントを SSID1 に接続するが、MAC フィルタリングを使用して SSID2 には接続しない場合は、ポリシープロファイルで aaa-override を設定してください。
次の例では、MAC アドレスが 1122.3344.0001 のクライアントが WLAN に接続しようとすると、要求がローカル RADIUS サーバーに送信され、属性リスト(FILTER_1 および FILTER_2)にクライアントの MAC アドレスが存在するかどうかがチェックされます。クライアントの MAC アドレスが属性リスト(FILTER_1)にリストされている場合、クライアントは、RADIUS サーバーから ssid 属性として返される WLAN(WLAN_1)に接続できます。クライアントの MAC アドレスが属性リストにリストされていない場合、そのクライアントは拒否されます。
ローカル RADIUS サーバーの設定
!Configures an attribute list as FILTER_2
aaa attribute list FILTER_2
!Defines an attribute type that is to be added to an attribute list.
attribute type ssid "WLAN_2"
!Username with the MAC address is added to the filter
username 1122.3344.0002 mac aaa attribute list FILTER_2
!
aaa attribute list FILTER_1
attribute type ssid "WLAN_1"
username 1122.3344.0001 mac aaa attribute list FILTER_1
Controller Configuration
! Sets authorization to the local radius server
aaa authorization network MLIST_MACFILTER local
!A WLAN with the SSID WLAN_2 is created and MAC filtering is set along with security
parameters.
wlan WLAN_2 2 WLAN_2
mac-filtering MLIST_MACFILTER
no security wpa
no security wpa wpa2 ciphers
!WLAN with the SSID WLAN_1 is created and MAC filtering is set along with security parameters.
wlan WLAN_1 1 WLAN_1
mac-filtering MLIST_MACFILTER
no security wpa
no security wpa wpa2 ciphers aes
no security wpa akm dot1x
security web-auth
security web-auth authentication-list WEBAUTH
! Policy profile to be associated with the above WLANs
wireless profile policy MAC_FILTER_POLICY
aaa-override
vlan 504
no shutdown