...
После успешного подключения клиента, ТД отправляет запрос (Accouting-Request) на WLC (если отправка включена в конфигурации). WLC подменяет NAS-IP и пересылает запрос на внешний RADIUS-сервер. Внешний RADIUS-сервер отправляет ответ (Accouting-Response) WLC. WLC пересылает запрос ТД
Конфигурация WLC
Настраиваем локальный RADIUS-сервер
Переходим в конфигурационный режим
...
Задача: настроить перенаправление всех RADIUS запросов от ТД из сети 192.168.1.0/24 на сервер:
- IP-адресс: 10.10.10.12
- Порт для авторизации: 1812
- Пор для аккаунтинга: 1813
- Ключ сервера: password
Производить подмену NAS-IP на 10.10.10.1
Настраиваем локальный RADIUS-сервер
Переходим в конфигурационный режим
| Блок кода |
|---|
|
| Блок кода |
|---|
|
wlc# configure
wlc(config)# radius-server local |
...
Настраиваем virtual-server . Для для проксирования RADIUS-запросов на внешний сервер необходимо:
Настраиваем внешний сервер (virtual-server), указываем его адрес (host = 10.10.10.12), тип (server-type = all, по умолчанию задан auth), ключ (key = password) и порт (по умолчанию задан 1812, можно сменить на другой). Пример такой конфигурации:
Задать имя virtual-server
| Блок кода |
|---|
|
wlc(config-radius)# virtual-server default |
Включить virtual-server и режим проксирования:
.
Задаём имя virtual-server:
| Блок кода |
|---|
|
wlc(config-radius)# virtual-server default |
Задаём NAS-IP:
| Подсказка |
|---|
| icon | false |
|---|
| title | Подмена NAS-IP |
|---|
|
В локальном RADIUS-сервере есть возможность менять NAS-IP его во всех входящих RADIUS запросах от ТД к WLC.
Если параметр не задан, при пересылке RADIUS запросов на внешний сервер в атрибуте NAS-IP будет записан адрес ТД. Это может повлечь за собой ошибки в процессе аутентификации, которые подробно рассмотрены в разделе Возможные проблемы при авторизации (ссылка) |
| Блок кода |
|---|
|
| Блок кода |
|---|
|
wlc(config-radius)# virtual-server default
wlc(config-radius-vserver)# proxy-mode
wlc(config-radius-vserver)# enablenas-ip-address 10.10.10.1 |
Включаем virtual-server и режим проксированияСоздать upstream-server:
| Блок кода |
|---|
|
wlc(config-radius-vserver)# proxy-mode
wlc(config-radius-vserver)# enable |
Создаём upstream-server
...
Задать адрес вышестоящего сервера, на этот сервер будут перенаправляться запросы от ТДдля настройки параметров вышестоящего сервера:
| Блок кода |
|---|
|
wlc(config-radius-vserver)# upstream-server eltex |
Задаём адрес вышестоящего сервера, на этот сервер будут перенаправляться запросы от ТД:
| Блок кода |
|---|
|
wlc(config-radius-upstream-server)# host )# host 10.10.10.12 |
Включить Включаем режим проксирования для запросов аутентификации и аккаунтинга:
| Подсказка |
|---|
| icon | false |
|---|
| title | Типы upstream серверов |
|---|
|
Server-type auth — используется для проксирования только запросов аутентификации. Запросы будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812). Server-type acct — используется для проксирования только аккаунтинга. Проксирование осуществляется на порт, указанный в параметре port (по умолчанию – 1812). При необходимости измените его (стандартный порт для аккаунтинга – 1813). Server-type all — используется для проксирования запросов аутентификации и аккаунтинга. Запросы аутентификации будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812), а аккаунтинг будет проксироваться на порт = 'port'+1 (то есть по умолчанию – 1813). |
Выбираем режим all, так как нужно перенаправлять все запросы:
| Блок кода |
|---|
|
wlc(config-radius-upstream-server)# server-type all |
| Якорь |
|---|
| upstream-server.key |
|---|
| upstream-server.key |
|---|
|
Задать Задаём ключ для вышестоящего сервера, ключ должен совпадать с ключом заданным в radius-profile в
разделе WLC ссылка(нужно проверить корректность создания) :
| Блок кода |
|---|
|
wlc(config-radius-upstream-server)# key ascii-text password
wlc(config-radius-upstream-server)# exit
WLC-1(config-radius-vserver)# exit |
Включаем RADIUS сервер:Полная конфигурация radius-server
| Блок кода |
|---|
|
WLC-1(config-radius-servervserver)# enable
WLC-1(config-radius-vserver)# exit |
Полная конфигурация radius-server
| Блок кода |
|---|
|
radius-server local
nas local
nas local
key ascii-text encrypted 8CB5107EA7005AFF
network 127.0.0.1/32
exit
nas ap
key ascii-text encrypted 8CB5107EA7005AFF
network 192.168.1.0/24
exit
virtual-server default
proxy-mode
nas-ip-address 10.10.10.1
upstream-server eltex
host 10.10.10.12
server-type all
key ascii-text password
exit
enable
exit
exit |
| Подсказка |
|---|
| icon | false |
|---|
| title | Подмена NAS-IP |
|---|
|
При конфигурации проксирования, в блоке настройки виртуального сервера есть возможность указать NAS-IP для подмены его во всех входящих RADIUS запросах от ТД к WLC.
Если параметр не задан, при пересылке RADIUS запросов на внешний сервер в атрибуте NAS-IP будет записан адрес ТД. Это может повлечь за собой ошибки в процессе аутентификации, которые подробно рассмотрены в разделе Возможные проблемы при авторизации (ссылка) |
Настройка в разделе WLC:| Блок кода |
|---|
|
wlc(config)# wlc |
Настраиваем профиль RADIUS-сервера:
| Блок кода |
|---|
|
wlc(config-wlc)# radius-profile default-radius |
Поскольку мы настраиваем проксирование запросов аутентификации и аккаунтинга, то в auth-address и acct-address указываем адрес контроллера, который доступен для ТД.
Ключ RADIUS-сервера (auth-password / acct-password) должен совпадать с ключом, указанным для NAS ap, который мы указали в radius-server local ссылка(нужно проверить корректность создания).| Якорь |
|---|
| wlc.radius-profile |
|---|
| wlc.radius-profile |
|---|
|
Нужно задать NAS-IP в конфигурации (рекомендуется использовать адрес которые задан на интерфейсе WLC)
| Блок кода |
|---|
|
wlc(config-wlc-radius-profile)# virtualauth-server defaultaddress 192.168.1.1
wlc(config-wlc-radius-vserverprofile)# nas-ip auth-password ascii-text password
wlc(config-wlc-radius-profile)# acct-address 10192.10168.101.1
wlc(config-wlc-radius-vserverprofile)# exit
radius-server local
virtual-server default
nas-ip-address 10.10.10.1
exit
exit |
Включаем работу локального RADIUS сервера.
| Блок кода |
|---|
|
wlc(config)# radius-server local
wlc(config-radius)# enable
wlc(config-radius)# exit
radius-server local
enable
exit |
...
acct-password ascii-text password |
| Подсказка |
|---|
|
Если вы используете проксирование на SoftWLC, укажите домен RADIUS. Этот домен должен совпадать с доменом, в котором созданы учетные записи пользователей Enterprise на SoftWLC.
wlc(config-wlc-radius-profile)# domain root |
Включаем отправку аккаунтинга на RADIUS-сервер:
| Блок кода |
|---|
|
wlc(config-wlc-radius-profile)# wlc |
...
Включаем добавление идентификатора RADIUS сессии в запросах аккаунтинга:
| Блок кода |
|---|
|
wlc(config-wlc-radius-profile)# auth-acct-id-send |
Задаём временной интервал обновления аккаунтинга:
| Блок кода |
|---|
|
wlc(config-wlc-radius-profile)# defaultacct-interval 600 |
Конфигурация radius
...
-profile
| Блок кода |
|---|
|
radius-profile default-radius
|
...
| Блок кода |
|---|
|
wlc(config-wlc-radius-profile)# auth-address 192.168.1.1
wlc(config-wlc-radius-profile)# auth-password ascii-text password |
| Подсказка |
|---|
|
Если вы используете проксирование на SoftWLC, укажите домен RADIUS. Этот домен должен совпадать с доменом, в котором созданы учетные записи пользователей Enterprise на SoftWLC.
wlc(config-wlc-radius-profile)# domain root
...
ascii-text password
auth-acct-id-send
acct-enable
acct-address 192.168.1.1
acct-password ascii-text ascii-text password
acct-periodic
acct-interval 600
exit |
Создаем ssid-profile
...
:
| Блок кода |
|---|
|
wlc(config-wlc-radius)# ssid-profile)# acct-address 192.168.1.1
wlc(config-wlc-radius-profile)# acct-password ascii-text password |
...
Указываем в ssid-profile ранее настроенный профиль radius-profile:
| Блок кода |
|---|
|
wlc(config-wlc-radiusssid-profile)# acct-enable |
...
radius-profile default-radius |
Задаем имя SSID:
| Блок кода |
|---|
|
wlc(config-wlc-radiusssid-profile)# auth-acct-id-send |
...
Задаем режим безопасности
...
:
| Блок кода |
|---|
|
wlc(config-wlc-radiusssid-profile)# acctsecurity-interval 600 |
...
Задаем VLAN:
| Блок кода |
|---|
|
radius-profile default-radius
auth-address 192.168.1.1
auth-password ascii-text ascii-text password
auth-acct-id-send
acct-enable
acct-address 192.168.1.1
acct-password ascii-text ascii-text password
acct-periodic
acct-interval 600
exit |
Настраиваем radius-profile в ssid-profile:
| Блок кода |
|---|
|
wlc(config-wlc)# ssid-profile default-ssid |
WLC-1(config-wlc-ssid-profile)# vlan-id 3 |
Задаем остальные параметры SSID:
| Блок кода |
|---|
|
WLC-1(config-wlc)# ssid-profile test_enterprise
WLC-1(config-wlc-ssid-profile)# description "SSID for enterprise users"
WLC-1(config-wlc-ssid-profile)# 802.11kv
WLC-1(config-wlc-ssid-profile)# band 2g
WLC-1(config-wlc-ssid-profile)# band 5g
WLC-1(config-wlc-ssid-profile)# enable
WLC-1(config-wlc-ssid-profile)# exit |
Конфигурация ssid-profileУказываем в ssid-profile ранее настроенный профиль настроек RADIUS-сервера, который будет использоваться для авторизации пользователей Wi-Fi:
| Блок кода |
|---|
|
wlc(config-wlc-ssid-profile)# radius-profile default-radius |
Конфигурация ssid-profile:
| Блок кода |
|---|
|
ssid-profile default-ssid
description "default-ssid"
ssid "default-ssid"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
802.11kv
band 2g
band 5g
enable
exit |
Применяем изменений конфигурации и подтверждаем.
| Блок кода |
|---|
|
wlc# commit
wlc# confirm |
| Подсказка |
|---|
Для настройки внешнего RADIUS-сервера необходимо записать в таблицу NAS внешнего RADIUS-сервера адрес и ключ локального RADIUS-сервера WLC-30. |
Пример конфигурации:
ssid-profile test_enterprise
description "SSID for enterprise users"
ssid "test_enterprise"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
802.11kv
band 2g
band 5g
enable
exit |
Применяем конфигурацию и подтверждаем.
| Блок кода |
|---|
|
wlc# commit
wlc# confirm |
| Подсказка |
|---|
Для настройки внешнего RADIUS-сервера необходимо записать в таблицу NAS внешнего RADIUS-сервера адрес и ключ локального RADIUS-сервера WLС. |
Конфигурация:
| Раскрыть |
|---|
| Блок кода |
|---|
| radius-server local
nas local
key ascii-text encrypted 8CB5107EA7005AFF
network 127.0.0.1/32
exit
nas ap
key ascii-text encrypted 8CB5107EA7005AFF
network 192.168.1.0/24
exit
virtual-server default
proxy-mode
nas-ip-address 10.10.10.1
upstream-server eltex
host 10.10.10.12
server-type all
key ascii-text password
exit
enable
exit
exit
wlc
radius-profile default-radius
auth-address 192.168.1.1
auth-password ascii-text ascii-text password
auth-acct-id-send
acct-enable
acct-address 192.168.1.1
acct-password ascii-text ascii-text password
acct-periodic
acct-interval 600
exit
ssid-profile test_enterprise
description "SSID for enterprise users"
ssid "test_enterprise"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
802.11kv
band 2g
band 5g
enable
exit |
|
| Раскрыть |
|---|
| Блок кода |
|---|
| radius-server local
nas ap
key ascii-text encrypted 8CB5107EA7005AFF
network 192.168.1.0/24
exit
virtual-server default
proxy-mode
upstream-server eltex
host 10.10.10.12
server-type all
key ascii-text encrypted 8CB5107EA7005AFF
exit
enable
exit
enable
exit
wlc
radius-profile default-radius
auth-address 192.168.1.1
auth-password ascii-text encrypted 8CB5107EA7005AFF
acct-enable
acct-address 192.168.1.1
acct-password ascii-text encrypted 8CB5107EA7005AFF
exit |
|
Возможные проблемы при авторизации
...
