cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Filtrar asociacion de Clientes segun MAC en AP Cisco AIR-AP1231G-E-K9

Hola tengo un AP con dos SSID cada uno en una VLAN distinta y deseo filtrar las asociaciones a uno de los SSID por la mac de los clientes, he visto muchas soluciones en la WEB pero no he logrado lo que quiero, la unico que he podido es filtrar todas las conexiones a la radio sin diferenciar el SSID mediantes ACL y el comando dot11 association mac-list 700 pero no es lo que quiero.

Tambien he intentado asociar filtros a las subinterfaces ethernet de cada VLAN pero los clientes se pueden asociar a los SSID.

Es resumen he tratado lo siguiente:

dot11 association mac-list 700 (Filtra todos los SSID)

access-list 700 permit xxxx.xxxx.xxxx 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff

ethernet 0
l2-filter bridge-group-acl - No Funciona

ethernet0.6
bridge-group 6 input-address-list 700 No Funciona
bridge-group 6 output-address-list 700 No Funciona

¿Como puedo lograr lo que quiero?

8 RESPUESTAS
Cisco Employee

Hola leofers78,

Hola leofers78,

Podrías confirmar lo siguiente? 

  • Es autonomous AP de lo que estamos hablando?
  • Que tipo de autenticación estas usando en los SSID

Lo que buscas es permitir acceso o no, con base en una lista de MAC addresses, donde aquellas que estén en la lista se pueden asociar al SSID? 

Saludos,

Rafael 

New Member

Hola rafenriq

Hola rafenriq

  • Si es un autonomous AP.
  • La autenticacion es WPA

Lo que busco es solo permitir la asociación a los SSID según una lista de MAC address, el resto de MAC que no estén en la lista que no se puedan conectar al SSID.

Cisco Employee

Si el AP es el que autentica

Si el AP es el que autentica a los clientes. Lo  que necesitas configurar es lo siguiente: 

SSID - MAC Address Authentication 

This SSID authenticates the wireless clients based on their MAC address. It uses the MAC address as username/password. In this example the AP acts as local RADIUS, so the AP stores  the MAC address list. The same configuration can be applied with external RADIUS server.

 

Step 1. Enable AP as RADIUS server. The NAS IP address is the AP's BVI. Create the entry for the client with MAC address aaaabbbbcccc.

# aaa new-model
# radius-server local
# nas <a.b.c.d> key 0 <shared-key>
# user aaaabbbbcccc password 0 aaaabbbbcccc mac-auth-only

   

Step 2. Configure the RADIUS server to which the AP sends the authentication request (it is the AP itself).   

# radius server <radius-server-name>
# address ipv4 <a.b.c.d> auth-port 1812 acct-port 1813
# timeout 10
# retransmit 3
# key 0 <shared-key>

 

Step 3. Assign this RADIUS server to a radius group.

# aaa group server radius <radius-group>
# server name <radius-server-name>

   

Step 4. Assign this radius group to an authentication method.  

# aaa authentication login <mac-method> group <radius-group>

 

Step 5. Create the SSID, this example assigns it to VLAN 2402.

#  dot11 ssid mac-auth
#  vlan 2402
#  authentication open mac-address <mac-method>
#  mbssid guest-mode

 

Step 6. Assign the SSID to the interface 802.11a.  

# interface dot11radio 1
# mbssid
# ssid mac-auth
New Member

Hola rafenriq,

Hola rafenriq,

Configure el AP según tu informacion pero no conecta al SSID, tampoco veo nada el logs ni el debug, te paso la configuración que hice.

aaa group server radius rgroup
server 192.168.84.210 auth-port 1812 acct-port 1813

aaa authentication login mac-method group rgroup

dot11 ssid 23
vlan 23
authentication open mac-address mac-method
authentication key-management wpa
mbssid guest-mode

interface BVI1
ip address 192.168.84.210 255.255.255.0
no ip route-cache

radius-server local
nas 192.168.84.210 key cisco 
user 34f3.9abc.0a02 password 34f3.9abc.0a02  mac-auth-only
!
radius-server host 192.168.84.210 auth-port 1812 acct-port 1813
radius-server timeout 10
radius-server key 7 cisco

Has intentado probar desde la

Has intentado probar desde la GUI?

Aquí hay un link de cómo hacerlo.

Cisco Employee

Hola 

Hola 

La configuracion no es la misma. El problema esta en como configuraste el radius server y el group. 

Sigue la misma configuración posteada anteriormente. 

Saludos,

Rafael - TAC 

Hola leofers78

Hola leofers78

Has intentado asociar el access-list 700 a las subiterfaces de los radios, en lugar de hacerlo en la interfaz Ethernet?

interface Dot11Radio1
 l2-filter bridge-group-acl
!
interface Dot11Radio1.6
 bridge-group 6 input-address-list 700
 bridge-group 6 output-address-list 700
New Member

Hola Daniel, 

Hola Daniel, 

Si, he asociado el access-list 700 a las subinterfaces de la radio así como las subinterfaces de red pero no funciona los AP se sigue conectando al AP.

La configuración que tengo es la siguientes.

dot11 ssid 23
vlan 23
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii 7 12485744465E5A537272
!
dot11 ssid 6
vlan 6
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii 7 06575D72181B5F4E5D4E

!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 6 mode ciphers aes-ccm tkip
!
encryption vlan 23 mode ciphers aes-ccm tkip
!
ssid 23
!
ssid 6
!
mbssid
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
l2-filter bridge-group-acl
bridge-group 1
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.6
encapsulation dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 subscriber-loop-control
bridge-group 6 input-address-list 700
bridge-group 6 output-address-list 700
bridge-group 6 block-unknown-source
no bridge-group 6 source-learning
no bridge-group 6 unicast-flooding
bridge-group 6 spanning-disabled
!
interface Dot11Radio0.23
encapsulation dot1Q 23
no ip route-cache
bridge-group 23
bridge-group 23 subscriber-loop-control
bridge-group 23 input-address-list 700
bridge-group 23 output-address-list 700
bridge-group 23 block-unknown-source
no bridge-group 23 source-learning
no bridge-group 23 unicast-flooding
bridge-group 23 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
l2-filter bridge-group-acl
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface FastEthernet0.6
encapsulation dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 input-address-list 700
bridge-group 6 output-address-list 700
no bridge-group 6 source-learning
bridge-group 6 spanning-disabled
!
interface FastEthernet0.23
encapsulation dot1Q 23
no ip route-cache
bridge-group 23
bridge-group 23 input-address-list 700
bridge-group 23 output-address-list 700
no bridge-group 23 source-learning
bridge-group 23 spanning-disabled
!

!
access-list 700 permit 34f3.9abc.0a02 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff

60
Visitas
0
ÚTIL
8
Respuestas