...
При настройке проксирования RADIUS запросов на WLC указывается параметр подмены NAS-IP, в случае, если он не указан, запросы будут пересылаться на внешний RADIUS-сервер без подмены NAS-IP. В результате внешний RADIUS-сервер получит запрос с NAS-IP ТД. В таком случае на внешнем RADIUS-сервере необходимо добавлять подсеть ТД в NAS клиенты клиенты сервера. Если подмены NAS-IP в конфигурации проксирования RADIUS на WLC настроеннастроена, но внешний RADIUS-сервер присылает ответ о запрете доступа ответ (Access-Reject), необходим проверить наличие подсети или адреса WLC в базе данных конфигурации внешнего RADIUS-сервера.
Запрет доступа по причине ошибки аутентификации
Ошибки на диаграмме, reject будет на этапе подключения, отправки аccouting не будет.
| draw.io Diagram | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Данный пример описывает проблему ответа о запрете доступа (Accouting-Reject), на запрос (Accouting-Request).
Причиной такого ответа является отсутствие учетной записи в базе данных внешнего RADIUS-сервера, под которыми авторизуется клиент. В таком случае необходимо проверить наличие учетной записи в базе данных внешнего RADIUS-сервера, а также корректность вводимых данных клиента, так как может быть допущена опечатка.
Конфигурация WLC
...
Настраиваем локальный RADIUS-сервер
...
| Блок кода | ||||
|---|---|---|---|---|
| ||||
nas ap
key ascii-text encrypted 8CB5107EA7005AFF
network 192.168.1.0/24
exit
wlc(config-radius)# nas ap
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 192.168.1.0/24
wlc(config-radius-nas)# exit |
...
| Блок кода | ||||
|---|---|---|---|---|
| ||||
nas local
key ascii-text encrypted 8CB5107EA7005AFF
network 127.0.0.1/32
exit
wlc(config-radius)# nas local
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 127.0.0.1/32
wlc(config-radius-nas)# exit |
...
Настраиваем внешний сервер (virtual-server), указывая указываем его адрес (host = 10.10.10.12), тип (server-type ) и ключ, также можно указать порт. По умолчанию выставлен сервер для аутентификации (server-type auth) и порт 1812, если нет необходимости менять эти настройки, тогда достаточно настроить адрес и ключ для сервера: = all, по умолчанию задан auth), ключ (key = password) и порт (по умолчанию задан 1812, можно сменить на другой). Пример такой конфигурации:
| Блок кода | ||||
|---|---|---|---|---|
| ||||
virtual-server default proxy-mode upstream-server eltex host 10.10.10.12 server-type all key ascii-text password exit enable wlc(config-radius)# virtual-server default wlc(config-radius-vserver)# enable wlc(config-radius-vserver)# proxy-mode wlc(config-radius-vserver)# upstream-server eltex wlc(config-radius-upstream-server)# host 10.10.10.12 wlc(config-radius-upstream-server)# server# server-type all wlc(config-radius-upstream-server)# key# key ascii-text password wlc(config-radius-vserver)# exit |
...
| Подсказка | ||||
|---|---|---|---|---|
| ||||
При конфигурации проксирования, в блоке настройки виртуального сервера есть возможность указать NAS-IP для подмены подмены его во всех приходящий входящих RADIUS запросов от ТД к WLC. |
Нужно задать NAS-IP в конфигурации, можно произвольный адрес, лучше использовать адрес которые задан на интерфейсе WLC:
| Блок кода | ||||
|---|---|---|---|---|
| ||||
radius-server local virtual-server default nas-ip-address 10.10.10.1 exit exit wlc(config-radius)# virtual-server default wlc(config-radius-vserver)# nas-ip-address 10.10.10.1 #IP-адрес интерфейса WLC, с которого доступен внешний RADIUS-сервер wlc(config-radius-vserver)# exit |
...
| Блок кода | ||||
|---|---|---|---|---|
| ||||
radius-server local enable exit wlc(config)# radius-server local wlc(config-radius)# enable wlc(config-radius)# exit |
| Scroll Pagebreak |
|---|
...