基於 MAC 的身份驗證
配置指南

超過view

MAC認證是一種根據使用者的MAC位址來控制使用者存取網路的權限的認證方法。啟用基於 MAC 的身份驗證後，當用戶端連線時，控制器將無線用戶端的 MAC 位址作為使用者名稱和密碼進行身份驗證。
第一次要求網路存取。用戶端認證成功後即可存取配置了MAC位址認證的無線網路。

基於MAC的認證方法根據SSID生效。 MAC 位址在驗證過程中用作使用者名稱和密碼。當設備的MAC位址儲存在RADIUS伺服器資料庫中並在控制器上完成相關​​配置後，設備無需輸入使用者名稱和密碼即可上網。同時，MAC位址不在資料庫中的設備將被拒絕。在此過程中，使用者無需手動輸入使用者名稱或密碼，無線設備也無需安裝任何用戶端
軟體.

Examp用於基於 Mac 的身份驗證的文件

網路需求
網路管理員想要賦予一批無線設備存取網際網路的權限。
這些設備在訪問互聯網之前應經過身份驗證。為了方便起見，認證過程要求自動運行，設備上不需要額外的客戶端軟體。為了滿足該需求，建議使用基於MAC的認證。

配置
基於 MAC 的身份驗證使用設備的 MAC 位址對設備進行身份驗證。提前檢查設備的MAC位址。 FreeRADIUS 用於示範使用 Omada SDN 控制器設定基於 MAC 的身份驗證。過程包括以下三個步驟。

1. 建置 RADIUS 伺服器。
2. 建立無線網路 (SSID) 和 RADIUS profile 在控制器上。
3.  在控制器上設定基於 MAC 的身份驗證。

以 Omada Software Controller 為前身amp文件中，網路拓撲如下圖所示。

1. 下載 FreeRADIUS.net 並依照精靈進行安裝。
2. 右鍵單擊圖標 載入以下頁面。選擇啟動 FreeRADIUS.net 服務以啟動 RADIUS 伺服器。
   
3. 右鍵單擊圖標 並選擇編輯 Radius 用戶端。為 RADIUS 用戶端新增一個條目。
   一個客戶端部分意味著一個 RADIUS 客戶端。您可以選擇客戶端部分之一併編輯下列屬性，或新增新的客戶端部分。
   為避免格式錯誤，建議使用程式碼編輯器編輯配置 file.
   本指南使用Notepad++進行示範。編輯或新增屬性並儲存 file.
   

   第一行	定義RADIUS客戶端，通常是NAS（網路存取伺服器），格式為“client [主機名稱|主機名稱]” IP位址]」。您應在此輸入 EAP 的 IP 位址。 請注意，FreeRADIUS 支援以「IP/遮罩」的格式輸入 IP 位址，但其他 RADIUS 伺服器可能不支援。使用其他 RADIUS 伺服器時，請先檢查支援的格式。
   秘密	輸入 RADIUS 伺服器和控制器之間的共用金鑰。 RADIUS 伺服器和控制器使用金鑰字串來加密密碼並交換回應。
   簡稱	（可選）輸入一個短名稱來標識客戶端部分。

4.  右鍵單擊圖標 並選擇編輯使用者將設備的 MAC 位址新增至資料庫。
   
5. 將設備的 MAC 位址作為使用者名稱和密碼新增至資料庫。請注意，MAC 位址的格式應為 12 個小寫十六進位數字，不含任何標點符號或空格。
   
6. 點選 重新啟動 FreeRaDIUS.net 服務 重新啟動 FreeRaDIUS.net 以使新編輯的程式碼生效。

1. 前往設定 > 無線網路以建立無線網路。
2.  點擊+建立新的無線網路以載入以下頁面。設定無線網路的基本參數，安全策略選擇「無」。
   

   網絡名稱 (SSID))	輸入網路名稱 (SSID) 以識別無線網路。 MAC認證根據SSID生效。
   樂團	為無線網路啟用 2.4 GHz 和/或 5 GHz 無線電頻段。
   訪客網絡	啟用訪客網路後，所有連接到 SSID 的用戶端都會被阻止到達任何私人 IP 子網路。
   安全	選擇無線網路的安全策略。 當您想要使用 SSID 進行基於 MAC 的身份驗證時，請選擇「無」作為安全性策略，否則，用戶端在存取網際網路之前需要同時透過基於 MAC 的身份驗證和您在此處選擇的安全性原則。

3. 前往設定 > 驗證 > RADIUS Profile建立 RADIUS profile.
4.  點選 + 建立新的 RADIUS Profile 載入以下頁面。配置以下參數。
   

   姓名	輸入名稱以識別 RADIUS profile.
   認證伺服器IP	輸入認證伺服器的IP位址。此處輸入安裝 freeRADIUS.net 的電腦的 IP 位址。
   認證埠	輸入身份驗證伺服器上用於身份驗證請求的 UDP 目標連接埠。 1812端口是RADIUS伺服器認證的預設端口，大多數情況下可以保留。
   認證密碼	輸入將用於驗證 Omada 設備和 RADIUS 身份驗證伺服器之間的通訊的密碼。這裡輸入secret，即你在自由半徑中設定的共享密鑰。

   

1.  前往設定 > 驗證 > 基於 MAC 的身份驗證以啟用該功能。
   
2. 配置以下參數。
   

   SSID	選擇一個或多個SSID，MAC認證生效。
   半徑專業版file	選擇 RADIUS 專業版file 您已從下拉清單中建立。 RADIUS 專業版file 記錄MAC認證時作為認證伺服器的RADIUS伺服器的資訊。
   基於MAC的 身份驗證回退	如果無線網路同時設定了MAC認證和Portal認證，則啟用此功能後，無線用戶端只需通過一次認證。用戶端首先嘗試MAC認證，如果MAC認證失敗，則允許嘗試Portal認證。 當預設關閉此功能時，無線用戶端需要同時通過MAC認證和Portal認證才能上網，否則會被拒絕 如果其中任何一個失敗 身份驗證。
   MAC地址格式	選擇控制器用於驗證的用戶端 MAC 位址格式。然後控制器將以指定的格式變更 MAC 位址，並將它們用作 RADIUS 伺服器上用戶端的使用者名稱。 在 freeRADIUS.net 中，MAC 位址以 aabbccddeeff 的格式儲存（12 個小寫十六進位數字，沒有標點符號或空格）。
   密碼為空	按一下以允許使用空白密碼進行基於 MAC 的身份驗證。停用此選項後，密碼將與使用者名稱相同。

配置驗證

完成所有設定後，您可以按照以下步驟測試MAC認證是否有效。

1. 搜尋 設備上的無線網絡，其 MAC 位址已新增至 RADIUS 伺服器的資料庫。
2. 選擇您選擇的用於基於 MAC 的身份驗證生效的 SSID。
3.  如果裝置連接到該SSID並且可以存取互聯網，則表示設備已通過認證。
   前往 客戶 檢查裝置是否在用戶端清單中且狀態為“已連線”，則表示該裝置已通過認證。

Omada SDN 控制器 4.1.5 或更高版本
19110012900 版本1.0.0
©2021 TP-Link
2021 年 XNUMX 月

文件/資源

tp-link 基於 MAC 的身份驗證配置 [pdf] 使用者指南 tp-link、基於 MAC、身份驗證、配置

參考

• 使用者手冊