Сравнение версий

Старая версия 21

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

по сравнению с

Новая версия 22

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Проксирование RADIUS запросов решает одну из главных проблем в Enterprise авторизации. Для успешной авторизации, помимо наличия учетных записей для пользователей, необходимо добавлять подсеть или адрес ТД, которая будет обслуживаться RADIUS-сервером. При настроенном проксировании можно настроить параметр подмены NAS-IP, который будет устанавливаться на все в пересылаемые RADIUS запросы от ТД. В таком случае на внешнем RADIUS-сервере остается добавить только одну запись об обслуживаемых клиентахнужно добавить один NAS объект, которым будет являться WLC с настроенным проксированием.

Перед началом рекомендуется ознакомиться с базовой настройкой подключения ТД к контроллеру WLC, которая описана в статье: Настрoйка WLC.

Лицензирование

Для настройки проксирования RADIUS запросов на ESR необходима лицензия WLC. Для контроллера WLC лицензия установлена по умолчанию.Детально о том, как установить и применить лицензию описано в статье – Активация функционала по лицензии.
Проверить наличие лицензии можно с помощью команды show licence:

Блок кода
titleshow licence
wlc-30# show licence
Feature                            Source     State         Value                              Valid from             Expiries               
--------------------------------   --------   -----------   --------------------------------   --------------------   --------------------   
WLC                                Boot       Active        true                               --                     --                     
WLC                                Boot       Candidate     true                               --                     --                     
WLC-AP                             File       Active        100                                --                     --                     
WLC-AP                             File       Candidate     100                                --                     --                     
WLC-WIDS-WIPS                      File       Active        true                               --                     --                     
WLC-WIDS-WIPS                      File       Candidate     true                               --                     --

Логика работы Enterprise авторизации

...

draw.io Diagram
bordertrue
viewerToolbartrue
fitWindowfalse
diagramNameAcceptProxyRadius
simpleViewerfalse
width600
diagramWidth2921
revision1214

При подключении к SSID клиент вводит учетные данные в виде Логина логина (username)   и Пароля пароля (password), которые приходят на ТД. ТД отправляет запрос (Access-Request) на RADIUS-сервер WLC, в котором один из главных параметров атрибуте  NAS-IP будет  задан  IPимеет ip-адрес ТД, на RADIUS-сервер WLC. WLC, с настроенным . На WLC  настроенно проксированием на внешний RADIUS-сервер, получив . Получив от ТД запрос (Access-Request), подменяет WLC подменит NAS-IP на ipнаIP-адрес, который указан в настройках конфигурации проксирования. Затем WLC пересылает запрос ТД конфигурации и отправит запрос на внешний RADIUS-сервер с измененным NAS-IP. Внешний RADIUS-сервер проверяет, существует ли запись может проверить наличие записи NAS-IP WLC, в базе данныхсвой конфигурации.  Если запись найдена, проверка учетной записи завершена успешно, внешний RADIUS-сервер отправляет ответ (Access-Accept) WLCв сторону WLC. WLC, в свою очередь, получив ответ от внешнего RADIUS-сервера пересылает ответ ТД.

Затем После успешного  подключения клиента, ТД отправляет запрос (Accouting-Request) на WLC . WLC снова (если отправка включена в конфигурации). WLC  подменяет NAS-IP и пересылает запрос на внешний RADIUS-сервер. На данном этапе внешний RADIUS-сервер проверяет наличие учетной записи. В случае наличия учетной записи в базе данных, внешний Внешний RADIUS-сервер отправляет ответ (Accouting-Response) WLC. WLC пересылает ТД, а ТД отправляет клиенту разрешение на подключение.запрос ТД

Запрет доступа по причине неправильного NAS-IP

Рассмотрим один из вариантов запрета доступа, где причиной является отсутствие записи о NAS-IP в базе данных конфигурации внешнего RADIUS-сервера.

Ответ от  внешнего  radius будет Access-Reject?

draw.io Diagram
bordertrue
viewerToolbartrue
fitWindowfalse
diagramNameDeniedNASproxyRADIUS
simpleViewerfalse
width600
diagramWidth2921
revision34

В данном примере внешний RADIUS-сервер на входящий запрос (Access-Request), ответ (Access-Reject). Может быть две причины такого ответа.

При настройке проксирования RADIUS запросов на WLC указывается параметр подмены NAS-IP, в случае, если он не указан, запросы будут пересылаться на внешний RADIUS-сервер без подмены NAS-IP. В результате внешний RADIUS-сервер получит запрос с NAS-IP ТД. В таком случае на внешнем RADIUS-сервере необходимо добавлять подсеть каждой ТД, где настроена Enterprise авторизация. Если же параметр подмены ТД в NAS клиенты  сервера. Если подмены NAS-IP в конфигурации проксирования RADIUS на WLC настроен, но внешний RADIUS-сервер присылает ответ о запрете доступа (Access-Reject), необходим проверить наличие подсети или адреса WLC в базе данных внешнего RADIUS-сервера.

Запрет доступа по причине ошибки аутентификации

...