Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

使用带有 MAC 身份验证旁路的 RADIUS 服务器进行访客访问

总结 如果要利用基于 RADIUS 的门户进行访客访问,请启用此选项。

首先,熟悉使用具有 MAC 身份验证旁路 (MAB) 的 RADIUS 服务器的访客访问流程。然后配置您的 WLAN。最后,对身份验证策略和授权配置文件执行其他 RADIUS 配置。

使用带有 MAC 身份验证旁路的 RADIUS 服务器进行访客访问的流程

  1. WLAN 是在瞻博网络 Mist 中创建的,MAB 使用 RADIUS 查找来执行。

  2. 当客户端与此 WLAN 关联时,其 MAC 地址将使用ACCESS_REQUEST发送到 RADIUS 服务器。

  3. 服务器在其数据库中查找 MAC 地址。

    • 如果在数据库中找不到客户端,则会将带有重定向 URL 的ACCESS_ACCEPT发回瞻博网络 Mist AP,然后流程将继续执行步骤 4。

    • 如果在数据库中找到客户端,则流将转到步骤 10。

  4. 客户端具有对网络的有限访问权限,包括对 BOOTP、DNS 和 RADIUS 服务器的访问。

  5. 客户端收到 IP 后,AP 会打开 Web 套接字并侦听从客户端发起的任何 HTTP 流量。

  6. 流量将被拦截,并使用 RADIUS 服务器发送的重定向 URL 进行响应。

  7. 客户端将重定向到指定的 URL。根据您配置的策略,它可能是赞助门户、自注册门户或热点门户。

  8. 客户端提供必要的信息后,客户端的 MAC 地址将安装在数据库中,并发出 CoA(授权更改)请求以重新授权客户端。

  9. 收到 CoA 请求后,AP 确认请求并发回与步骤 2 中相同的ACCESS_REQUEST。

  10. 客户端在 RADIUS 服务器数据库中可用,并提供 ACCESS-ACCEPT,没有任何 URL 重定向限制,并且客户端具有基于您配置的策略的网络连接。

WLAN 配置

创建或编辑 WLAN,启用 MAB,然后添加 RADIUS 服务器。
  1. 使用带有 MAC 身份验证绕过的 RADIUS 服务器创建或导航到要设置的访客访问的 WLAN。

    • 对于基于模板的 WLAN,请导航到“组织> WLAN 模板”,单击模板(或创建模板),然后单击 WLAN(或添加 WLAN)。

    • 若要选择特定于站点的 WLAN,请导航到“站点> WLAN”,然后单击该 WLAN(或添加 WLAN)。

    具体操作,请参见 配置WLAN模板

  2. 在创建/编辑 WLAN 窗口的安全部分中,选择通过 RADIUS 查找进行 MAC 地址身份验证和通过 Mac 身份验证绕过进行访客访问
    MAB Options in the Security Section of the WLAN Settings
  3. (可选)使用“允许的子网”和“允许的主机名”字段指定来宾在重定向状态下可以访问的资源。
    如果将这些字段留空,则 RADIUS 服务器是来宾可以访问的唯一 IP 地址。
  4. 添加 RADIUS 服务器,如在 WLAN 上启用 WPA2/WPA3 企业 (802.1X) 安全性中所述。
完成以下其他 RADIUS 配置任务。

RADIUS 配置

配置 RADIUS 策略和配置文件以支持身份验证流。

  1. 身份验证策略 - 将身份验证策略配置为在数据库中找不到用户时“继续”。这允许客户端获取 IP 并处于重定向状态。

    RADIUS Authentication Policy

  2. 授权策略:配置在访客访问流过程中将命中的两个策略。

    Authorization Policies

    • 第一个策略是 Wifi_Redirect_to_Guest_Login,当 RADIUS 服务器收到请求时应用。此策略提供对客户端的部分访问权限。(请参阅流程的步骤 2-3。

    • 第二项政策是 Wifi_Guest_Access,在成功完成 CoA 请求后适用。此策略为客户端提供完全访问权限。(请参阅流程的步骤 9-10。

  3. 授权配置文件:配置 RADIUS 授权策略,如下例所示。此策略为流的步骤 6-7 提供重定向 URL。

    RADIUS Authorization Profile