Настроить перенаправление всех RADIUS запросов от ТД из сети 192.168.1.0/24 на вышестоящий сервер:

IP-адресс: 10.10.10.12
Порт для авторизации: 1812
Пор для аккаунтинга: 1813
Ключ сервера: password

Производить подмену NAS-IP на 10.10.1020.1

Решение

Настройка будет выполнена на базе заводской конфигурации (Factory)

Шаги выполненияДля решения задачи потребуется:

Настроить локальный RADIUS-

...

сервер
1. Прописать NAS - разрешить серверу принимать запросы от ТД
2. Настроить virtual-server - включить режим проксирования и настроить подмену NAS-IP
3. Настроить upstream-server - указать параметры вышестоящего сервера

...

1. Полная конфигурация radius-server

...

Настройка в разделе WLC

...

1. Настроить radius-profile

...

1. настройки RADIUS на ТД, точка будет отправлять запросы

...

1. Настроить ssid-profile - настроить SSID и выбрать ранее созданный radius-profile
2. Включить

...

1. ssid-profile в локацию
Настроить firewall
Применить конфигурацию

...

Настройка локального RADIUS-сервера:

Переходим в конфигурационный режим
Блок кода
language vb
theme Eclipse
wlc# configure wlc(config)# radius-server local
Переходим в раздел radius-server local:
Блок кода
language vb
theme Eclipse
wlc(config)# radius-server local

...

Прописываем nas
Необходимо добавить подсети ТД (адресное пространство точке доступа, т.е. их IP-адреса), которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi в nas:

Блок кода

language	vb
theme	Eclipse

wlc(config-radius)# nas ap
wlc(config-radius-nas)# network 192.168.1.0/24
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# exit

Подсказка

icon	false

При схеме подключения ТД через L3 сеть (с SoftGRE-туннелями) в конфигурации должна быть настроена запись для NAS local, если она отсутствует нужно её настроить:

Блок кода

language	vb
theme	Eclipse

wlc(config-radius)# nas local
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 127.0.0.1/32
wlc(config-radius-nas)# exit

...

2. Настраиваем virtual-server
  Настраиваем virtual-server для проксирования RADIUS-запросов на внешний сервер.

...

1. Задаём имя virtual-server:
  Блок кода
  language vb
  theme Eclipse
  wlc(config-radius)# virtual-server default
  Задаём NAS-IP:
  Подсказка
  icon false
  title Подмена NAS-IP
  В локальном RADIUS-сервере есть возможность менять NAS-IP

...

во всех входящих RADIUS запросах от ТД к WLC.
Если параметр не задан, при пересылке RADIUS запросов на внешний сервер в атрибуте NAS-IP будет записан адрес ТД. Это может повлечь за собой ошибки в процессе аутентификации, которые подробно рассмотрены в разделе Возможные проблемы при авторизации (ссылка)

Блок кода

language	vb
theme	Eclipse

wlc(config-radius-vserver)# nas-ip-address 10.10.

...

1. 20.1

...

Включаем режим проксирования:
Блок кода
language vb
theme Eclipse
wlc(config-radius-vserver)# proxy-mode wlc(config-radius-vserver)# enable
Включаем virtual-server сервер:
Блок кода
language vb
theme Eclipse
wlc(config-radius-vserver)# enable

Настраиваем upstream-server

Настройка upstream-server доступна из раздела virtual-server. Создаём upstream-server для настройки параметров вышестоящего сервера:

Блок кода

language	vb
theme	Eclipse

wlc(config-radius-vserver)# upstream-server eltex

Задаём адрес вышестоящего сервера, на этот сервер будут перенаправляться запросы от ТД:

Блок кода

language	vb
theme	Eclipse

wlc(config-radius-upstream-server)# host 10.10.10.12

Включаем режим проксирования для запросов аутентификации и аккаунтинга

Подсказка

icon	false
title	Типы upstream серверов

Server-type auth — используется для проксирования только запросов аутентификации. Запросы будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812).

Server-type acct — используется для проксирования только аккаунтинга. Проксирование осуществляется на порт, указанный в параметре port (по умолчанию – 1812). При необходимости измените его (стандартный порт для аккаунтинга – 1813).

Server-type all — используется для проксирования запросов аутентификации и аккаунтинга. Запросы аутентификации будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812), а аккаунтинг будет проксироваться на порт = 'port'+1 (то есть по умолчанию – 1813).

Выбираем режим all, так как нужно перенаправлять все запросы:

Блок кода

language	vb
theme	Eclipse

wlc(config-radius-upstream-server)# server-type all

Якорь

	upstream-server.key
	upstream-server.key

Задаём ключ для вышестоящего сервера, ключ должен совпадать с ключом заданным в radius-profile в разделе WLCссылка(нужно проверить корректность создания) :

Блок кода

language	vb
theme	Eclipse

wlc(config-radius-upstream-server)# key ascii-text password
wlc(config-radius-upstream-server)# exit

...

1. wlc(config-radius-vserver)# exit

...

2. Полная конфигурация radius-server:
  Блок кода
  language vb
  theme Eclipse

...

WLC-1(config-radius-vserver)# enable
WLC-1(config-radius-vserver)# exit

Полная конфигурация radius-server

...

language	vb
theme	Eclipse

...

radius-server local
  nas local
    key ascii-text encrypted 8CB5107EA7005AFF
    network 127.0.0.1/32
  exit
  nas ap
    key ascii-text encrypted 8CB5107EA7005AFF
    network 192.168.1.0/24
  exit
  virtual-server default
    proxy-mode
    nas-ip-address 10.10.

...

20.1 
    upstream-server eltex
      host 10.10.10.12
      server-type all
      key ascii-text password
    exit
  enable
  exit
exit

Scroll Pagebreak
Настройка в разделе WLC
Переходим в раздел wlc
Блок кода
language vb
theme Eclipse
wlc(config)# wlc
1. Настраиваем radius-profile
  Настраиваем профиль

...

1. default-

...

1. radius:
  Блок кода
  language vb
  theme Eclipse
  wlc(config-wlc)# radius-profile default-radius
  Поскольку мы настраиваем проксирование запросов аутентификации и аккаунтинга, то

...

1. в auth-address

...

1. и acct-address указываем адрес контроллера, который доступен для ТД.

...

1. Ключ RADIUS-сервера (auth-password / acct-password) должен совпадать с ключом, указанным для

...

nas ap, который мы указали в radius-server local ссылка(нужно проверить корректность создания).

Якорь

	wlc.radius-profile
	wlc.radius-profile

Блок кода

language	vb
theme	Eclipse

wlc(config-wlc-radius-profile)# auth-address 192.168.1.1
wlc(config-wlc-radius-profile)# auth-password ascii-text password
wlc(config-wlc-radius-profile)# acct-address 192.168.1.1
wlc(config-wlc-radius-profile)# acct-password ascii-text password

Подсказка

icon	false

Если вы используете проксирование на SoftWLC, укажите домен RADIUS. Этот домен должен совпадать с доменом, в котором созданы учетные записи пользователей Enterprise на SoftWLC.

wlc(config-wlc-radius-profile)# domain root

Включаем отправку аккаунтинга на RADIUS-сервер:

Блок кода

language	vb
theme	Eclipse

wlc(config-wlc-radius-profile)# acct-enable

Включаем добавление идентификатора RADIUS сессии в запросах аккаунтинга:

Блок кода

language	vb
theme	Eclipse

wlc(config-wlc-radius-profile)# auth-acct-id-send

Задаём временной интервал обновления аккаунтинга:

Блок кода

language	vb
theme	Eclipse

wlc(config-wlc-radius-profile)# acct-interval 600

Конфигурация radius-profile:

Блок кода

language	vb
theme	Eclipse

radius-profile default-radius
  auth-address 192.168.1.1
  auth-password ascii-text

...

password
  auth-acct-id-send
  acct-enable
  acct-address 192.168.1.1
  acct-password ascii-text

...

password
  acct-periodic
  acct-interval 600
exit

...

2. Создаём ssid-profile
  Создаём новый профиль SSID:
  Блок кода
  language vb
  theme Eclipse
  wlc(config-wlc)# ssid-profile test_enterprise
  Указываем в ssid-profile ранее настроенный

...

1. профиль radius-profile:
  Блок кода
  language vb
  theme Eclipse
  wlc(config-wlc-ssid-profile)# radius-profile default-radius
  Задаем имя SSID:
  Блок кода
  language vb
  theme Eclipse
  wlc(config-wlc-ssid-profile)# ssid "test_enterprise"
  Задаем режим безопасности:
  Блок кода
  language vb
  theme Eclipse
  wlc(config-wlc-ssid-profile)# security-mode WPA2_1X
  Задаем VLAN:
  Блок кода
  language vb
  theme Eclipse
  WLC-1(config-wlc-ssid-profile)#

...

1. vlan-id 3
  Задаем остальные параметры SSID:
  Блок кода
  language vb
  theme Eclipse
  WLC-1(config-wlc)# ssid-profile test_enterprise WLC-1(config-wlc-ssid-profile)#

...

description "SSID  for enterprise users"
WLC-1(config-wlc-ssid-profile)#

...

802.11kv
WLC-1(config-wlc-ssid-profile)#

...

band 2g
WLC-1(config-wlc-ssid-profile)#

...

1. band 5g WLC-1(config-wlc-ssid-profile)#

...

 enable
WLC-1(config-wlc-ssid-profile)# exit

Конфигурация ssid-profile:

Блок кода

language	vb
theme	Eclipse

ssid-profile test_enterprise
  description "SSID for enterprise users"
  ssid "test_enterprise"
  radius-profile default-radius
  vlan-id 3
  security-mode WPA2_1X
  802.11kv
  band 2g
  band 5g
  enable
exit

Включение ssid-profile в локацию
Нужно включить созданный SSID в локацию. ТД получит конфигурацию и начнёт вещать данные SSID. Включаем ssid-profile в локацию default-location

...

Блок кода

language	vb
theme	Eclipse

ap-location default-location
  ssid-profile test_enterprise
exit

...

2. Полная конфигурация раздела wlc:
  Блок кода
  language vb
  theme Eclipse

...

1. wlc

...

 outside-address 192.168.1.1
  service-activator
    aps join auto
  exit
  airtune
    enable
  exit
  ap-location default-location
    description "default-location"
    mode tunnel
    ap-profile default-ap
    airtune-profile default_airtune
    ssid-profile default-ssid
  exit
  airtune-profile default_airtune
    description "default_airtune"
  exit
  ssid-profile default-ssid
    description "default-ssid"
    ssid "default-ssid"
    radius-profile default-radius
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  ssid-profile test_enterprise
    description "SSID for enterprise users"
    ssid "test_enterprise"
    radius-profile default-radius
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  radio-2g-profile default_2g
    description "default_2g"
  exit
  radio-5g-profile default_5g
    description "default_5g"
  exit
  ap-profile default-ap
    description "default-ap"
    password ascii-text encrypted 8CB5107EA7005AFF
  exit
  radius-profile default-radius
    description "default-radius"
    auth-address 192.168.1.1
    auth-password ascii-text encrypted 8CB5107EA7005AFF
    auth-acct-id-send
    acct-enable
    acct-address 192.168.1.1
    acct-password ascii-text encrypted 8CB5107EA7005AFF
    acct-periodic
    domain default
  exit
  wids-profile default-wids
    description "default-wids"
  exit
  ip-pool default-ip-pool
    description "default-ip-pool"
    ap-location default-location
  exit
  enable
exit

Настраиваем firewall
Для приёма аккаунтинга нужно разрешить прохождение UDP трафика по порту 1813 из зоны trusted в зону self. В заводской конфигурации порт 1813 закрыт.
1. Создаем группу radius_acct
  Блок кода
  object-group service radius_acct port-range 1813 exit
2. Добавляем правило в zone-pair trusted self
  Блок кода
  rule 91 action permit match protocol udp match destination-port object-group radius_acct enable exit
Применяем конфигурацию и подтверждаем
Блок кода
language vb
theme Eclipse
wlc# commit wlc# confirm

Подсказка
Для настройки внешнего RADIUS-сервера необходимо записать в таблицу NAS внешнего RADIUS-сервера адрес и ключ локального RADIUS-сервера WLС.

Scroll Pagebreak

Конфигурация WLC:

Раскрыть

Блок кода

language	text
theme	Eclipse

#!/usr/bin/clish
#270
#1.30.0
#2024-12-18
#09:24:58
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit
object-group service dns
  port-range 53
exit
object-group service netconf
  port-range 830
exit
object-group service radius_auth
  port-range 1812
exit
object-group service sa
  port-range 8043-8044
exit
object-group service airtune
  port-range 8099
exit
object-group service web
  port-range 443
exit
object-group service radius_acct
  port-range 1813
exit

syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
  severity info
exit

radius-server local
  nas ap
    key ascii-text encrypted 8CB5107EA7005AFF
    network 192.168.1.0/24
  exit
  nas local
    key ascii-text encrypted 8CB5107EA7005AFF
    network 127.0.0.1/32
  exit
  domain default
  exit
  virtual-server default
    proxy-mode
    nas-ip-address 10.10.20.1
    upstream-server eltex
      host 10.10.10.12
      server-type all
      key ascii-text encrypted 8CB5107EA7005AFF
    exit
    enable
  exit
  enable
exit
radius-server host 127.0.0.1
  key ascii-text encrypted 8CB5107EA7005AFF
exit
aaa radius-profile default_radius
  radius-server host 127.0.0.1
exit

boot host auto-config
boot host auto-update

vlan 3
  force-up
exit
vlan 2
exit

no spanning-tree

domain lookup enable

security zone trusted
exit
security zone untrusted
exit
security zone users
exit

bridge 1
  vlan 1
  security-zone trusted
  ip address 192.168.1.1/24
  no spanning-tree
  enable
exit
bridge 2
  vlan 2
  security-zone untrusted
  ip address dhcp
  no spanning-tree
  enable
exit
bridge 3
  vlan 3
  mtu 1458
  security-zone users
  ip address 192.168.2.1/24
  no spanning-tree
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  switchport access vlan 2
exit
interface gigabitethernet 1/0/2
  mode switchport
exit
interface gigabitethernet 1/0/3
  mode switchport
exit
interface gigabitethernet 1/0/4
  mode switchport
exit
interface tengigabitethernet 1/0/1
  mode switchport
  switchport access vlan 2
exit
interface tengigabitethernet 1/0/2
  mode switchport
exit

tunnel softgre 1
  mode data
  local address 192.168.1.1
  default-profile
  enable
exit

security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port object-group ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group ntp
    enable
  exit
  rule 50
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 60
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
  rule 70
    action permit
    match protocol tcp
    match destination-port object-group netconf
    enable
  exit
  rule 80
    action permit
    match protocol tcp
    match destination-port object-group sa
    enable
  exit
  rule 90
    action permit
    match protocol udp
    match destination-port object-group radius_auth
    enable
  exit
  rule 100
    action permit
    match protocol gre
    enable
  exit
  rule 110
    action permit
    match protocol tcp
    match destination-port object-group airtune
    enable
  exit
  rule 120
    action permit
    match protocol tcp
    match destination-port object-group web
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-port object-group dhcp_server
    match destination-port object-group dhcp_client
    enable
  exit
exit
security zone-pair users self
  rule 10
    action permit
    match protocol icmp
    enable
  exit
  rule 20
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 30
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
exit
security zone-pair users untrusted
  rule 1
    action permit
    enable
  exit
exit

security passwords default-expired

nat source
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
exit

ip dhcp-server
ip dhcp-server pool ap-pool
  network 192.168.1.0/24
  address-range 192.168.1.2-192.168.1.254
  default-router 192.168.1.1
  dns-server 192.168.1.1
  option 42 ip-address 192.168.1.1
  vendor-specific
    suboption 12 ascii-text "192.168.1.1"
    suboption 15 ascii-text "https://192.168.1.1:8043"
  exit
exit
ip dhcp-server pool users-pool
  network 192.168.2.0/24
  address-range 192.168.2.2-192.168.2.254
  default-router 192.168.2.1
  dns-server 192.168.2.1
exit

softgre-controller
  nas-ip-address 127.0.0.1
  data-tunnel configuration wlc
  aaa radius-profile default_radius
  keepalive-disable
  service-vlan add 3
  enable
exit

wlc
  outside-address 192.168.1.1
  service-activator
    aps join auto
  exit
  airtune
    enable
  exit
  ap-location default-location
    description "default-location"
    mode tunnel
    ap-profile default-ap
    airtune-profile default_airtune
    ssid-profile default-ssid
  exit
  airtune-profile default_airtune
    description "default_airtune"
  exit
  ssid-profile default-ssid
    description "default-ssid"
    ssid "default-ssid"
    radius-profile default-radius
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  ssid-profile test_enterprise
    description "SSID for enterprise users"
    ssid "test_enterprise"
    radius-profile default-radius
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  radio-2g-profile default_2g
    description "default_2g"
  exit
  radio-5g-profile default_5g
    description "default_5g"
  exit
  ap-profile default-ap
    description "default-ap"
    password ascii-text encrypted 8CB5107EA7005AFF
  exit
  radius-profile default-radius
    description "default-radius"

Подсказка
Для настройки внешнего RADIUS-сервера необходимо записать в таблицу NAS внешнего RADIUS-сервера адрес и ключ локального RADIUS-сервера WLС.

Scroll Pagebreak

Конфигурация WLC:

Раскрыть

Блок кода

language	text
theme	Eclipse

radius-server local
  nas local
    key ascii-text encrypted 8CB5107EA7005AFF
    network 127.0.0.1/32
  exit
  nas ap
    key ascii-text encrypted 8CB5107EA7005AFF
    network 192.168.1.0/24
  exit
  virtual-server default
    proxy-mode
    nas-ip-address 10.10.10.1 
    upstream-server eltex
      host 10.10.10.12
      server-type all
      key ascii-text password
    exit
  enable
  exit
exit

wlc
  radius-profile default-radius
    auth-address 192.168.1.1
    auth-password ascii-text ascii-textencrypted password8CB5107EA7005AFF
    auth-acct-id-send
    acct-enable
    acct-address 192.168.1.1
    acct-password ascii-text ascii-text encrypted password8CB5107EA7005AFF
    acct-periodic
    acct-intervaldomain 600default
  exit
  ssidwids-profile test_enterprisedefault-wids
    description "SSID for enterprise usersdefault-wids"
    ssid "test_enterprise"exit
    radiusip-profilepool default-radiusip-pool
    vlan-id 3
    security-mode WPA2_1X
    802.11kvdescription "default-ip-pool"
    band 2gap-location default-location
  exit
  band 5genable
exit

wlc-journal all
  limit days enable365
  exit

ip  ap-location default-location
    ssid-profile test_enterprise
  exit
exitssh server

ip tftp client timeout 45
ntp enable
ntp server 100.110.0.65
exit

ip https server

Возможные проблемы

Рассмотрим возможные проблемы при авторизации.

...

Дерево страниц

Сравнение версий

Старая версия 82

Новая версия 83

Ключ

Решение

Возможные проблемы

Дерево страниц

История страницы

Сравнение версий

Старая версия 82

Новая версия 83

Ключ

Решение

Возможные проблемы