1685718794,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区

问题描述：

WX3540X对接ISE mac认证失败，ise已认证通过：

AC上debug出现如下告警：A user failed MAC authentication.Reason:Received deauthentication packet with reason code 3 in Userauth state.

组网及组网描述：

7小时前提问

检查下配置：

1.4  H3C无线控制器通过ISE（2.3）进行MAC认证举例

1.4.1  组网需求

如图1-11所示，AP通过交换机与AC相连，设备管理员希望对Client进行MAC地址和PSK认证，以控制其对网络资源的访问，具体要求如下：

·     Client通过MAC地址认证接入无线网络。

·     配置Client和AP之间的数据报文采用PSK认证密钥管理模式来确保用户数据的传输安全。

·     通过ISE服务器下发授权ACL和VLAN。

图1-11 MAC认证组网图

 

1.4.2  配置步骤

本配置仅展示认证的相关配置，网络互通的相关配置略，请保证设备间能够互相访问。

 

1. 配置AC

#

配置RADIUS服务器地址和密钥，此密钥要与ISE服务器配置的一致；指定NAS-IP，此地址与服务器添加的设备地址一致。

#

radius scheme ise

 primary authentication 8.1.1.18 key cipher $c$3$FpBySjKd6TF17QmPAQ83vNM+mNuZHUw=

 user-name-format without-domain

 nas-ip 191.1

#

创建ISP域，为default用户配置认证方案为RADIUS方案，方案名称为ise；为default用户配置授权方案为RADIUS方案，方案名称为ise。

#

domain ise

 authentication default radius-scheme ise

 authorization default radius-scheme ise

# 配置MAC地址认证的用户名为ldf00001，密码为明文Ldf123456。

#

mac-authentication user-name-format fixed account ldf00001 password simple Ldf123456

#

配置并使能名称为isemac2的无线服务模板，配置SSID，配置客户端从无线服务模板上线后加入VLAN71，配置客户端身份认证与密钥管理模式为PSK，配置加密套件为CCMP，配置安全信息元素为WPA，配置客户端接入认证方式为MAC地址认证，配置MAC地址认证用户使用的ISP域为ise。

#

wlan service-template isemac2

 ssid 000AAAMACAU-MAC-CCMP-WPA

 vlan 71

 akm mode psk

 preshared-key pass-phrase cipher $c$3$XYqokG6I8YoOymukIyvxoJuzFoB+oVJD6exoqw==

 cipher-suite ccmp

 security-ie rsn

 client-security authentication-mode mac

 mac-authentication domain ise

 service-template enable

#

配置名称为ax的AP在AC上线，将无线服务模板isemac2绑定到AP的Radio 1接口，并使能Radio 1。

#

wlan ap ax model WA6528

 serial-id

vlan 1

 radio 1

  radio enable

  service-template isemac2

# 配置授权ACL 3100，禁止Client访问8.1.1.5。

acl advanced 3100

 rule 1 deny ip destination 8.1.1.5 0

# 配置授权VLAN 4094及其对应的VLAN接口。

vlan 4094

interface vlan-interface 4094

 ip address 191.94.0.1 24

# 配置授权VLAN的DHCP地址池vlan4094。

dhcp server ip-pool vlan4094

 network 191.94.0.0 mask 255.255.255.0

 gateway-list 191.94.0.1

 dns-list 191.94.0.1

2. 配置ISE服务器（2.3）

     创建用户组和用户账号

#

创建用户组：在页面上方导航栏中选择[Administration/Identity Management/Groups/User Identity Groups]选项，点击<Add>按钮，创建名称为LDF的用户组。

图1-12 创建用户组

 

#

创建用户账号：在页面上方导航栏中选择[Administration/Identity Management/Identities/Users]选项，点击<Add>按钮，创建名称为ldf00001的用户账号，配置密码为Ldf123456（密码由大写字母、小写字母和数字组成），与AC的配置保持一致，并绑定用户组LDF。

图1-13 创建用户账号

 

     添加AC设备

在页面上方导航栏中选择[Administration/Network Resources/Network Devices]选项，点击<Add>按钮，添加名称为ac的新设备，配置IP地址为191.1

图1-14 添加AC设备

 

     配置认证协议

在页面上方导航栏中选择[Policy/Policy Elements/Results/Authentication/Allowed Protocols]选项，新建名称为mab的认证协议服务。在Authentication Bypass栏中勾选Process Host Lookup选项，在Authentication Protocols栏中勾选PAP/ASCII和CHAP选项。

图1-15 配置认证协议

 

(4)     配置授权ACL和VLAN

#

服务器下发授权信息：配置授权ACL，在页面上方导航栏中选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项，点击<Add>按钮，在Authorization Profile栏中配置名称为acl_3100，在Network Device Profile下拉框中选择“Cisco”选项，下发属性选择Radius:Filter-ID，输入ACL编号为3100。

图1-16 配置授权ACL

 

#

服务器下发授权信息：配置授权VLAN，选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项，点击<Add>按钮，Authorization Profile栏中配置名称为vlan_4094，在Network Device Profile下拉框中选择“Cisco”选项，在Custom Tasks栏中勾选VLAN属性并输入VLAN编号4094。

图1-17 配置授权VLAN

 

(5)     配置认证和授权策略

#

配置认证和授权策略：在页面上方导航栏中选择[Policy/Policy Sets]选项，点击Policy Sets下方的<＋>按钮，配置名称mab的认证和授权策略，并配置Conditions名称为mab。在Allowed Protocols/Server Sequence栏中选择mab。

图1-18 新建认证和授权策略

 

#

在Conditions栏中选择“Wired_MAB”或“Wireless_MAB”选项。

图1-19 配置Conditions

 

#

点击<View>按钮，在Authorization Policy栏中新增名为acl_vlan的授权策略，在Result Pofiles栏中选择acl_3100和vlan4094。

图1-

 

1.4.3  验证配置

终端无需特殊配置，搜索到网络后输入密码即可。

上线成功后，设备上可以看到用户信息，查看授权ACL和VLAN信息正确。

图1-

 

1.4.4  配置文件

#

vlan 4094

#

dhcp server ip-pool vlan4094

 network 191.94.0.0 mask 255.255.255.0

 gateway-list 191.94.0.1

 dns-list 191.94.0.1

#

interface vlan-interface 4094

 ip address 191.94.0.1 24

#

acl advanced 3100

 rule 1 deny ip destination 8.1.1.5 0

#

radius scheme ise

 primary authentication 8.1.1.19 key cipher $c$3$FpBySjKd6TF17QmPAQ83vNM+mNuZHUw=

 user-name-format without-domain

 nas-ip 191.1

#

domain ise

 authentication default radius-scheme ise

 authorization default radius-scheme ise

#

mac-authentication user-name-format fixed account ldf00001 password simple Ldf123456

#

wlan ap ax model WA6528

 serial-id

#

wlan service-template isemac2

 ssid 000AAAMACAU-MAC-CCMP-WPA

 vlan 71

 akm mode psk

 preshared-key pass-phrase cipher $c$3$XYqokG6I8YoOymukIyvxoJuzFoB+oVJD6exoqw==

 cipher-suite ccmp

 security-ie rsn

 client-security authentication-mode mac

 mac-authentication domain ise

 service-template enable

#

wlan ap ax model WA6528

 serial-id

 vlan 1

 radio 1

  radio enable

  service-template isemac2

7小时前回答

配置都完全一致，还是一直有这个报错

配置没问题 还有其他什么方面的问题嘛？

mac认证的格式需要注意一下

你正在,WX3540X对接ISE mac认证失败，ise已认证通过