如何設定 MAC-Based Authentication（控制器模式）

Knowledgebase

Configuration Guide

Authentication

ACL

Bookmarks Feedback

11-08-2024

內容

目標

要求

介紹

使用 External Radius Server 進行設定

使用 Omada 控制器 Built-in RADIUS 進行設定

驗證

結論

FAQ

目標

本文介紹如何使用 External Radius 伺服器或 Omada 控制器的 Built-in RADIUS 為無線用戶端設定 MAC-Based Authentication，確認只有擁有授權 MAC 位址的用戶端才能取得網路存取權限。

要求

Omada AP
Omada 控制器（軟體控制器/硬體控制器/雲端控制器）
External Radius Server

介紹

MAC-Based Authentication 旨在依據裝置的連接埠和 MAC 位址控制網路存取。要透過此身份驗證，用戶端的 MAC 位址應事先在 Radius 伺服器上註冊，無需額外的用戶端軟體。使用者的驗證流程是無縫的，無需手動輸入使用者名稱和密碼，極大提升了無線網路存取體驗。透過此功能，您可以控制哪些用戶端可以存取無線網路，降低網路入侵和資料竊取的風險。

在 Omada 控制器中，此功能僅適用於無線用戶端，因此可以將其視為依據無線 MAC-Based Authentication。當用戶端嘗試連線到設定了依據 MAC 的驗證的 SSID 時，AP 作為 RADIUS 用戶端，將用戶端的 MAC 位址轉換為指定格式，然後將其作為使用者名稱和密碼傳送至 RADIUS 伺服器。如果伺服器將 MAC 位址辨識為授權的，它將通知 AP，並且用戶端將有權存取網路資源。

您可以依據需要使用 Omada 控制器的 Built-in RADIUS Server 或 External RADIUS Server。本指南將使用 EAP660 HD v1 和 Omada 軟體控制器 v5.14.30.7 來示範如何使用這兩種方法設定 MAC-Based Authentication。透過外部RADIUS伺服器進行設定，以 CentOS 系統上安裝的 FreeRADIUS 為範例。

CentOS 版本：centos-release-7-5.1804.el7.centos.×86_64
FreeRADIUS 版本：FreeRADIUS 版本 3.0.13

說明：

在 Omada 軟體控制器 v5.14 或更高版本上選擇 External RADIUS Server 來設定 MAC-Based Authentication 時，您最多可以新增 4 個 RADIUS Server 來提高容錯能力。當一台伺服器不可用時，系統可以自動切換到另一台 Server 完成驗證。確認您使用的 AP 支援此功能。若要驗證這一點，請參閱 TP-Link 官方網站上裝置韌體更新的版本說明。
Omada 雲端控制器（CBC）不支援 Built-in RADIUS Server。Built-in RADIUS Server 將從 OC200 v5.15 型號中移除，但仍可在 Omada 軟體控制器和其他硬體控制器上使用。
由於授權用戶端的 MAC 位址必須在 RADIUS Server 中註冊，因此 MAC-Based Authentication 管理起來有點複雜。當管理員想要新增/取代/刪除用戶時，必須更新驗證列表，這降低了網路彈性。因此，您可以將 MAC-Based Authentication 與其他方法（例如 WPA/WPA2/WPA3 和門戶驗證）結合起來，以實現全方位的網路安全。

使用 External Radius Server 進行設定

步驟 1. 在 FreeRADIUS 中新增多個授權用戶端。

開啟安裝了 FreeRADIUS 的 CentOS 系統，進入命令列介面（CLI），編輯並儲存使用者檔案以新增授權用戶端的 MAC 位址，如下圖所示。您可以使用兩種方法新增用戶端：透過 Cleartext-Password 屬性和 Auth-Type 屬性。但是，請勿混合使用這兩種設定。

透過 Cleartext-Password 屬性：格式為 MAC address Cleartext-Password := “MAC address”

Configure your device MAC in the Cleartext-Password attribute.

透過 Auth-Type 屬性：格式為 MAC address Auth-Type := Accept

Configure your MAC address Auth-Type as Accept.

說明：透過 Cleartext-Password 屬性新增用戶端時，不要在 步驟 7 啟用 Empty Password。如果這樣做，用戶端將無法通過身份驗證。

步驟 2. Restart FreeRADIUS

編輯並儲存 User 檔案後，在 CLI 中執行下列兩個指令重新啟動 FreeRADIUS 並確認設定生效：

service radiusd stop

radius –X

Restart FreeRADIUS to ensure that the configuration takes effect.

說明：您在此步驟中需要輸入的特定 CLI 指令會因您的 Linux 系統而異。上述兩條指令僅適用於本文環境中。

步驟 3. 登入控制器，前往 設定 > 無線網路 > WLAN，然後點擊 建立新的無線網路。

步驟 4. 設定參數或選項，例如 網路名稱（SSID） / 頻段 / 安全性。您可以點選 進階設定 依據您的需求調整更多進階設定項目，然後點擊套用按鈕。

步驟 5. 前往 設定 > 設定檔 > RADIUS 設定檔 點選 建立新的 RADIUS 設定檔。

步驟 6. 輸入名稱、Authentication Server IP/網址、Authentication Port 和 Authentication Password。同時，如果您的 AP 支援多個 RADIUS 伺服器，您可以按一下新增 Authentication Server 完成其他幾個 RADIUS 伺服器的設定，然後點擊 儲存。相關參數說明如下：

Authentication Server IP/URL：用於身份驗證的 Radius Server 的 IP 位址或 URL。
Authentication Port：Radius Server 上用於驗證請求的 UDP 通訊埠。
Authentication Password：在 FreeRADIUS 的 clients.conf 檔案中設定的密碼，用於驗證 Omada AP 與 RADIUS Server 之間的通訊。

步驟 7. 前往 設定 > 驗證 > MAC-Based Authentication 然後開啟 MAC-Based Authentication 並選擇目標 SSID 和在上述步驟中建立的 RADIUS 設定檔。設定其他設定（NAS ID / MAC-Based Authentication Fallback / Empty Password）並依據您的需求選擇 MAC 位址格式，但必須與您在 RADIUS 伺服器中輸入的 MAC 位址格式一致。

說明：

NAS ID：設定網路存取伺服器識別碼（NAS ID）來進行身份驗證。AP 向 RADIUS 伺服器傳送的驗證請求封包中會帶有 NAS ID。RADIUS 伺服器可以依據 NAS ID 將使用者分為不同的群組。然後針對不同的群組選擇不同的政策。如果沒有填寫， NAS ID 預設為 TP-Link_AP 的 Model_AP 的 MAC_NAS，如 TP-Link_EAP660 HD_xx-xx-xx-xx-xx-xx_NAS。
MAC-Based Authentication Fallback：對於同時啟用 MAC-Based Authentication 與門戶驗證的無線網路，如果啟用此功能，無線用戶端只需要通過一次驗證。用戶端會先嘗試進行 MAC-Based Authentication ，若驗證失敗，則可以嘗試進行 Po門戶驗證。如果此功能關閉（預設關閉），無線用戶端需要通過 MAC-Based Authentication 與門戶驗證兩項驗證才能連接網路，若任何一項驗證失敗，將無法連接網路。
空白密碼：啟用此選項後，用於身份驗證的密碼將為空白。否則，密碼將與使用者名稱（即用戶端的 MAC 位址）相同。