...
Настраиваем локальный RADIUS-сервер
Переходим в конфигурационный режим
| Блок кода |
|---|
|
wlc# configure
wlc(config)# radius-server local |
Переходим в раздел radius-server local:
| Блок кода |
|---|
|
wlc(config)# radius-server local |
Настраиваем NAS ap. Необходимо ввести подсети ТД, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi:
| Блок кода |
|---|
|
wlc(config-radius)# nas ap
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 192.168.1.0/24
wlc(config-radius-nas)# exit
nas ap
key ascii-text encrypted 8CB5107EA7005AFF
network 192.168.1.0/24
exitpassword
wlc(config-radius-nas)# exit
|
| Подсказка |
|---|
|
При схеме подключения ТД через L3 сеть (с SoftGRE-туннелями) в конфигурации должна быть настроена запись для NAS local, если она отсутствует нужно её настроить: | Блок кода |
|---|
| wlc(config-radius)# nas local
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 127.0.0.1/32
wlc(config-radius-nas)# exit
radius-server local
nas local
key ascii-text encrypted 8CB5107EA7005AFF
network 127.0.0.1/32
exit
exit |
|
Настраиваем virtual-server. Для проксирования RADIUS-запросов на внешний сервер необходимо:
Настраиваем внешний сервер (virtual-server), указываем его адрес (host = 10.10.10.12), тип (server-type = all, по умолчанию задан auth), ключ (key = password) и порт (по умолчанию задан 1812, можно сменить на другой). Пример такой конфигурации:
Задать имя virtual-server
| Блок кода |
|---|
|
wlc(config-radius)# virtual-server default |
Включить virtual-server и режим проксирования:
| Блок кода |
|---|
|
wlc(config-radius)# virtual-server default
wlc(config-radius-vserver)# proxy-mode
wlc(config-radius-vserver)# enable |
Создать upstream-server:
| Блок кода |
|---|
|
wlc(config-radius-vserver)# upstream-server eltex |
Задать адрес вышестоящего сервера, на этот сервер будут перенаправляться запросы от ТД:
| Блок кода |
|---|
|
wlc(config-radius-upstream-server)# host 10.10.10.12 |
Включить режим проксирования для запросов аутентификации и аккаунтингаДля проксирования RADIUS-запросов на внешний сервер необходимо включить proxy-mode:
| Подсказка |
|---|
| icon | false |
|---|
| title | Типы upstream серверов |
|---|
|
Server-type auth — используется для проксирования только запросов аутентификации. Запросы будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812). Server-type acct — используется для проксирования только аккаунтинга. Проксирование осуществляется на порт, указанный в параметре port (по умолчанию – 1812). При необходимости измените его (стандартный порт для аккаунтинга – 1813). Server-type all — используется для проксирования запросов аутентификации и аккаунтинга. Запросы аутентификации будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812), а аккаунтинг будет проксироваться на порт = 'port'+1 (то есть по умолчанию – 1813). |
| Блок кода |
|---|
|
wlc(config-radius-upstream-server)# server-type all |
Задать ключ для вышестоящего сервера, ключ должен совпадать с ключом заданным в radius-profile в разделе WLC сылка Настраиваем внешний сервер (virtual-server), указываем его адрес (host = 10.10.10.12), тип (server-type = all, по умолчанию задан auth), ключ (key = password) и порт (по умолчанию задан 1812, можно сменить на другой). Пример такой конфигурации:
| Блок кода |
|---|
|
wlc(config-radius-upstream-server)# virtualkey ascii-servertext password |
Полная конфигурация radius-server
| Блок кода |
|---|
|
radius-server local
nas local
key ascii-text encrypted 8CB5107EA7005AFF
network 127.0.0.1/32
exit
nas ap
default
wlc(config-radius-vserver)# enable
wlc(config-radius-vserver)# proxy-mode
wlc(config-radius-vserver)# upstream-server eltex
wlc(config-radius-upstream-server)# host 10.10.10.12
wlc(config-radius-upstream-server)# server-type all
wlc(config-radius-upstream-server)# key ascii-text password
wlc(config-radius-vserver)# exit
radius-server localencrypted 8CB5107EA7005AFF
network 192.168.1.0/24
exit
virtual-server default
proxy-mode
upstream-server eltex
host 10.10.10.12
server-type all
key ascii-text password
exit
enable
exit
exit |
...
Нужно задать NAS-IP в конфигурации (рекомендуется использовать адрес использовать адрес которые задан на интерфейсе WLC)
...
Поскольку мы настраиваем проксирование запросов аутентификации и аккаунтинга, то указываем адрес контроллера, который доступен для ТД.
Ключ RADIUS-сервера должен совпадать с ключом, указанным для NAS ap, который мы указали в radius-server local.| Якорь |
|---|
| radius-profile |
|---|
| radius-profile |
|---|
|
| Блок кода |
|---|
|
wlc(config-wlc-radius-profile)# auth-address 192.168.1.1
wlc(config-wlc-radius-profile)# auth-password ascii-text password |
...
