...
Проксирование RADIUS запросов решает одну из главных проблем в Enterprise авторизации. Пользователи могут подключаться к Wi-Fi сети использую общее хранилище учетных данных. Для успешной авторизации, помимо наличия учетных записей для пользователей, необходимо добавлять подсеть или адрес ТД, которая будет обслуживаться RADIUS-сервером. При настроенном проксировании можно/нужно настроить параметр подмены подмену NAS-IP, который будет устанавливаться в пересылаемые RADIUS запросы от ТД. В таком случае на внешнем RADIUS-сервере нужно добавить один NAS объект, которым являться WLC.
...
| draw.io Diagram |
|---|
| border | true |
|---|
| viewerToolbar | true |
|---|
| |
|---|
| fitWindow | false |
|---|
| diagramName | AcceptProxyRadius |
|---|
| simpleViewer | false |
|---|
| width | 600 |
|---|
| diagramWidth | 2921 |
|---|
| revision | 1718 |
|---|
|
При подключении к SSID клиент вводит учетные данные в виде логина (username) и пароля (password), которые приходят на ТД. ТД отправляет запрос (Access-Request) на RADIUS-сервер WLC, в атрибуте NAS-IP будет задан IP-адрес ТД. На WLC настроенно настроено проксированием на внешний RADIUS-сервер. Получив от ТД запрос (Access-Request), WLC подменит NAS-IP на IPнаIP-адрес, который указан в конфигурации и отправит запрос на внешний RADIUS-сервер. Внешний RADIUS-сервер может проверить наличие записи NAS-IP WLC, в свой конфигурации. Если запись найдена, проверка учетной записи завершена завершится успешно, внешний RADIUS-сервер отправляет ответ (Access-Accept) в сторону WLC. WLC, в свою очередь, получив ответ от внешнего RADIUS-сервера пересылает ответ ТД.
После успешного подключения клиента, ТД отправляет запрос (Accouting-Request) на WLC (если отправка включена в конфигурации). WLC подменяет NAS-IP IP и пересылает запрос на внешний RADIUS-сервер. Внешний RADIUS-сервер отправляет ответ (Accouting-Response) WLC. WLC пересылает запрос ТД
...
| Блок кода |
|---|
|
wlc# configure
wlc(config)# radius-server local |
Настраиваем NAS ap, который содержит подсети точек доступа. Необходимо ввести подсети ТД, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi:
| Блок кода |
|---|
|
wlc(config-radius)# nas ap
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 192.168.1.0/24
wlc(config-radius-nas)# exit
nas ap
key ascii-text encrypted 8CB5107EA7005AFF
network 192.168.1.0/24
exit |
...
| Подсказка |
|---|
|
При схеме подключения ТД через L3 сеть (с Data SoftGRE-туннелем необходимо настроить NAS local для построения Softgre-туннеля при обращении на локальный RADIUS-сервер. туннелями) в конфигурации должна быть настроена запись для NAS local, если она отсутствует нужно её настроить: nas local
key ascii-text encrypted 8CB5107EA7005AFF
network 127.0.0.1/32
exit
wlc(config-radius)# nas local
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 127.0.0.1/32
wlc(config-radius-nas)# exit |
radius-server local
nas local
key ascii-text encrypted 8CB5107EA7005AFF
network 127.0.0.1/32
exit
exit |
|
Настройки виртуального сервера содержат номера портов для аутентификации и аккаунтинга, настройки проксирования на внешний RADIUS server. Использование стандартных портов (1812 для аутентификации и 1813 для аккаунтинга) не требует настройки. Для проксирования RADIUS-запросов на внешний сервер необходимо включить proxy-mode:
| Подсказка |
|---|
| icon | false |
|---|
| title | Типы upstream серверов |
|---|
|
Server-type auth — используется для проксирования только запросов аутентификации. Запросы будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812). Server-type acct — используется для проксирования только аккаунтинга. Проксирование осуществляется на порт, указанный в параметре port (по умолчанию – 1812). При необходимости измените его (стандартный порт для аккаунтинга – 1813). Server-type all — используется для проксирования запросов аутентификации и аккаунтинга. Запросы аутентификации будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812), а аккаунтинг будет проксироваться на порт = 'port'+1 (то есть по умолчанию – 1813). |
...
| Блок кода |
|---|
|
virtual-server default
proxy-mode
upstream-server eltex
host 10.10.10.12
server-type all
key ascii-text password
exit
enable
wlc(config-radius)# virtual-server default
wlc(config-radius-vserver)# enable
wlc(config-radius-vserver)# proxy-mode
wlc(config-radius-vserver)# upstream-server eltex
wlc(config-radius-upstream-server)# host 10.10.10.12
wlc(config-radius-upstream-server)# server-type all
wlc(config-radius-upstream-server)# key ascii-text password
wlc(config-radius-vserver)# exit
radius-server local
virtual-server default
proxy-mode
upstream-server eltex
host 10.10.10.12
server-type all
key ascii-text password
exit
enable
exit
exit |
| Подсказка |
|---|
| icon | false |
|---|
| title | Подмена NAS-IP |
|---|
|
При конфигурации проксирования, в блоке настройки виртуального сервера есть возможность указать NAS-IP для подмены его во всех входящих RADIUS запросов запросах от ТД к WLC.
Если Если параметр не указать данный параметр, пересылаемые RADIUS запросы на внешний RADIUS-сервер остаются с задан, при пересылке RADIUS запросов на внешний сервер в атрибуте NAS-IP будет записан адрес ТД. Это может повлечь за собой ошибки в процессе аутентификации, которые подробно рассмотрены в этой статье в параграфе "Логика работы Enterprise авторизации"разделе Возможные проблемы при авторизации (ссылка) |
Нужно задать NAS-IP в конфигурации , можно произвольный адрес, лучше (рекомендуется использовать адрес которые задан на интерфейсе WLC:)
| Блок кода |
|---|
|
radius-server local
wlc(config-radius)# virtual-server default
wlc(config-radius-vserver)# nas-ip-address 10.10.10.1
exit
exit
wlc(config-radius-vserver)# exit
radius-server local
virtual-server default
wlc(config-radius-vserver)# nas-ip-address 10.10.10.1
wlc(config-radius-vserver)# exit
exit |
Включаем работу локального RADIUS сервера.
| Блок кода |
|---|
|
radius-server local
enable
exit
wlc(config)# radius-server local
wlc(config-radius)# enable
wlc(config-radius)# exit
radius-server local
enable
exit |
Переходим к настройкам модуля управления конфигурацией точек доступаНастройка в разделе WLC:
| Блок кода |
|---|
|
wlc(config)# wlc |
...
Поскольку мы настраиваем проксирование запросов аутентификации и аккаунтинга, то указываем адрес контроллера локального RADIUS-сервера в подсети точек доступа, который доступен для ТД.
Ключ RADIUS-сервера должен совпадать с ключом, указанным для NAS ap, который мы указали в radius-server local.
...
| Блок кода |
|---|
|
wlc(config-wlc-radius-profile)# acct-enable |
Включаем добавление передачу идентификатора RADIUS сессии в запросах аккаунтинга:
| Блок кода |
|---|
|
wlc(config-wlc-radius-profile)# auth-acct-id-send |
Задает временной интервал обновления аккаунтинга:
| Блок кода |
|---|
|
wlc(config-wlc-radius-profile)# acct-interval 600 |
Конфигурация radius-profile
| Блок кода |
|---|
|
radius-profile default-radius
auth-address 192.168.1.1
auth-password ascii-text ascii-text password
auth-acct-id-send
acct-enable
acct-address 192.168.1.1
acct-password ascii-text ascii-text password
acct-periodic
acct-interval 600
exit |
Настраиваем radius-profile в ssid-profile:Настройки SSID точки доступа.
| Блок кода |
|---|
|
wlc(config-wlc)# ssid-profile default-ssid |
...
| Блок кода |
|---|
|
wlc(config-wlc-ssid-profile)# radius-profile default-radius |
Конфигурация ssid-profile:
| Блок кода |
|---|
|
ssid-profile default-ssid
description "default-ssid"
ssid "default-ssid"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
802.11kv
band 2g
band 5g
enable
exit |
Применяем и сохраняем проделанные настройкиизменений конфигурации и подтверждаем.
| Блок кода |
|---|
|
wlc# commit
wlc# confirm |
...
