| Оглавление |
|---|
Описание
В статье будет рассмотрена рассматривается настройка проксирования RADIUS-запросов от ТД через через контроллер WLC WLC в NAC-систему. ТД ТД является устройством идентификации (NAS-клиент), RADIUS-запросы будут будут исходить от ТД. Контроллер WLC выполняет роль посредника в общении ТД и NAC системы.
...
Диаграмма взаимодействия
ТД — самостоятельное устройство идентификации, возможно несколько схем взаимодействия ТД и RADIUS-сервера:
- Авторизация на локальным RADIUS-сервере контроллера WLC;:
Список пользователей Wi-Fi хранится в конфигурации контроллера. На контроллере запущен RADIUS-сервер, который который выполняет проверку пользователей самостоятельно. Подробное описание в статье Настройка локального RADIUS-сервера. - Авторизация на внешнем RADIUS-сервере.:
Список пользователей хранится на внешнем внешнем сервере. На контроллере запущен RADIUS-сервер, который который выполняет проксирование проксирование RADIUS-запросов на вышестоящий сервер.
В статье описана настройка контроллера для проксирования RADIUS-запросов при работе с с внешним RADIUS-сервером, т.е. вторая схема.
Проксирование RADIUS-запросов позволяет использовать использовать общее хранилище учетных данных пользователи пользователи Wi-Fi.
| Подсказка |
|---|
Для успешной авторизации , на внешнем RADIUS-сервере необходимо:
|
Рекомендуется ознакомиться с базовой настройкой подключения ТД к контроллеру WLC, которая описана в в разделе Настрoйка WLC руководства по эксплуатации эксплуатации.
Логика работы Enterprise-авторизации
Успешная авторизация клиента
Рассмотрим поэтапную работу при Enterprise-авторизации. Ниже на диаграмме представлен пример успешной авторизации пользователя с проксированием на внешний RADIUS-сервер.
...
При подключении к SSID клиент вводит учетные данные в виде логина (username) и пароля (password), которые приходят на ТД. ТД отправляет запрос (Access-Request) на RADIUS-сервер WLC, в атрибуте атрибуте NAS-IP будет задан будет задан IP-адрес ТД. На WLC WLC настроено проксированием проксирование на внешний RADIUS-сервер. Получив от ТД запрос (Access-Request), WLC подменит NAS-IP на IP-адрес, который указан в конфигурации и отправит запрос на внешний RADIUS-сервер. Внешний RADIUS-сервер может проверить наличие записи NAS-IP WLC в своей конфигурации. Если запись найдена, происходит проверка учетной записи пользователя и в случае успешной проверки, внешний RADIUS-сервер отправляет ответ (Access-Accept) в сторону WLC. WLC , в свою очередь, получив ответ от внешнего RADIUS-сервера, пересылает ответ ТД.
После успешного подключения клиента , ТД отправляет запрос (Accounting-Request) на WLC (если отправка включена в конфигурации). WLC WLC подменяет NAS-IP и пересылает запрос на внешний RADIUS-сервер. Внешний RADIUS-сервер отправляет ответ (Accounting-Response) WLC. WLC пересылает запрос ТД.
Задача
Настроить Настроить перенаправление всех RADIUS запросов от -запросов от ТД из сети 192.168.1.0/24 на вышестоящий сервер:
...
Настройка будет выполнена на базе заводской конфигурации (Factory).
Шаги выполнения:
- Настроить локальный RADIUS-сервер
- Прописать Прописать nas - – разрешить прием RADIUS-пакетов от от ТД
- Настроить virtual-server - включить – включить режим проксирования и настроить подмену NAS-IP
- Настроить upstream-server - указать параметры – указать параметры вышестоящего сервера
- Настройка в разделе WLC
- Настроить radius-profile - – настроить radius-profile, который будет использоваться для ТД
- Настроить ssid-profile - – настроить SSID и выбрать ранее созданный radius-profile
- Включить ssid-profile в локацию
- Настроить firewall
- Применить конфигурацию
Примеры:
Настройка локального RADIUS-сервера:
Переходим
Перейти в конфигурационный режим:Блок кода language vb theme Eclipse wlc# configure wlc(config)#
Переходим Перейти в раздел radius-server local:
Блок кода language vb theme Eclipse wlc(config)# radius-server local wlc(config-radius)#
Прописываем Прописать NAS.
Необходимо добавить подсети ТД (адресное пространство точек доступаТД, т.е. их IP-адреса), которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi в nas ap:Блок кода language vb theme Eclipse wlc(config-radius)# nas ap wlc(config-radius-nas)# network 192.168.1.0/24 wlc(config-radius-nas)# key ascii-text password wlc(config-radius-nas)# exit
Подсказка icon false При схеме подключения ТД через L3 сеть (с SoftGRE-туннелями) в конфигурации должна быть настроена запись для nas local, если она отсутствует нужно её добавить:
Блок кода language vb theme Eclipse wlc(config-radius)# nas local wlc(config-radius-nas)# key ascii-text password wlc(config-radius-nas)# network 127.0.0.1/32 wlc(config-radius-nas)# exit
Настраиваем Настроить virtual-server
Настраиваем Настроить virtual-server для проксирования RADIUS-запросов на внешний сервер. Задаём Задать имя virtual-server:Блок кода language vb theme Eclipse wlc(config-radius)# virtual-server default
Задаём Задать nas-ip:
Подсказка icon false title Подмена NAS-IP В локальном RADIUS-сервере есть возможность менять NAS-
IP воIP во всех входящих RADIUS запросах от ТД к WLC.
сервер
Если параметр не задан, при пересылке RADIUS запросов на внешнийсервер в
атрибутеатрибуте NAS-IP будет записан адрес ТД. Это может повлечь за собой ошибки в процессе аутентификации, которые подробно рассмотрены в разделе Возможные проблемы при авторизации (ссылка)
Блок кода language vb theme Eclipse wlc(config-radius-vserver)# nas-ip-address 10.10.20.1
Включаем Включить режим проксирования:
Блок кода language vb theme Eclipse wlc(config-radius-vserver)# proxy-mode
Включаем virtualВключить virtual-server сервер:
Блок кода language vb theme Eclipse wlc(config-radius-vserver)# enable
Настраиваем Настроить upstream-server
Настройка upstream-server доступна из раздела virtual-server. Создаём Создать upstream-server для настройки параметров вышестоящего сервера:
Блок кода language vb theme Eclipse wlc(config-radius-vserver)# upstream-server eltex
Задаём Задать адрес вышестоящего сервера, на этот сервер будут перенаправляться запросы от ТД:
Блок кода language vb theme Eclipse wlc(config-radius-upstream-server)# host 10.10.10.12
Включаем Включить режим проксирования для запросов для запросов аутентификации и аккаунтинга.
Подсказка icon false title Типы upstream серверов Server-type auth — используется для проксирования проксирование только запросов аутентификации. Запросы будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812).
Server-type acct — используется для проксирования проксирование только аккаунтинга. Проксирование осуществляется на порт, указанный в параметре port (по умолчанию – 1812). При необходимости измените его (стандартный порт для аккаунтинга – 1813).
Server-type all — используется для проксирования проксирование запросов аутентификации и аккаунтинга. Запросы аутентификации будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812), а аккаунтинг будет проксироваться на порт = 'port'+1 (то есть по умолчанию – 1813).
Выбираем Выбрать режим all, так как нужно перенаправлять все запросы:
Блок кода language vb theme Eclipse wlc(config-radius-upstream-server)# server-type all
Якорь upstream-server.key upstream-server.key Задаём Задать ключ для вышестоящего сервера:
Блок кода language vb theme Eclipse wlc(config-radius-upstream-server)# key ascii-text password wlc(config-radius-upstream-server)# exit wlc(config-radius-vserver)# exit
Конфигурация раздела radius-server:
Блок кода language vb theme Eclipse radius-server local nas local key ascii-text encrypted 8CB5107EA7005AFF network 127.0.0.1/32 exit nas ap key ascii-text encrypted 8CB5107EA7005AFF network 192.168.1.0/24 exit virtual-server default proxy-mode nas-ip-address 10.10.20.1 upstream-server eltex host 10.10.10.12 server-type all key ascii-text password exit enable exit exit
Настройка в разделе WLCScroll Pagebreak
Переходим Перейти в раздел wlcБлок кода language vb theme Eclipse wlc(config)# wlc
Настраиваем Настроить radius-profile
Настраиваем Настроить профиль default-radius:Блок кода language vb theme Eclipse wlc(config-wlc)# radius-profile default-radius
Поскольку мы настраиваем настраивается проксирование запросов аутентификации и аккаунтинга, то в auth-address и acct-address указываем должен быть указан адрес контроллера, который доступен для ТД. Ключ RADIUS-сервера (auth-password/acct-password) должен совпадать с ключом, указанным для nas ap, который мы указали в radius-server local ссылка (нужно проверить корректность создания).
Якорь wlc.radius-profile wlc.radius-profile Блок кода language vb theme Eclipse wlc(config-wlc-radius-profile)# auth-address 192.168.1.1 wlc(config-wlc-radius-profile)# auth-password ascii-text password wlc(config-wlc-radius-profile)# acct-address 192.168.1.1 wlc(config-wlc-radius-profile)# acct-password ascii-text password
Подсказка icon false Если вы используете проксирование на SoftWLC, укажите домен RADIUS. Этот домен должен совпадать с доменом, в котором созданы учетные записи пользователей Enterprise на SoftWLC.
wlc(config-wlc-radius-profile)# domain rootВключаем Включить отправку аккаунтинга на RADIUS-сервер:
Блок кода language vb theme Eclipse wlc(config-wlc-radius-profile)# acct-enable
Включаем Включить добавление идентификатора RADIUS-сессии в запросах аккаунтинга:
Блок кода language vb theme Eclipse wlc(config-wlc-radius-profile)# auth-acct-id-send
Задаём Задать временной интервал обновления аккаунтинга:
Блок кода language vb theme Eclipse wlc(config-wlc-radius-profile)# acct-interval 600
Конфигурация radius-profile:
Блок кода language vb theme Eclipse radius-profile default-radius auth-address 192.168.1.1 auth-password ascii-text password auth-acct-id-send acct-enable acct-address 192.168.1.1 acct-password ascii-text password acct-periodic acct-interval 600 exit
Создаём Создать ssid-profile
Создаём Создать новый профиль SSID:Блок кода language vb theme Eclipse wlc(config-wlc)# ssid-profile test_enterprise
Указываем Указать в ssid-profile ранее настроенный профиль radius-profile:
Блок кода language vb theme Eclipse wlc(config-wlc-ssid-profile)# radius-profile default-radius
Задаем Задать имя SSID:
Блок кода language vb theme Eclipse wlc(config-wlc-ssid-profile)# ssid "test_enterprise"
Задаем Задать режим безопасности:
Блок кода language vb theme Eclipse wlc(config-wlc-ssid-profile)# security-mode WPA2_1X
Задаем Задать VLAN:
Блок кода language vb theme Eclipse wlc(config-wlc-ssid-profile)# vlan-id 3
Задаем Задать остальные параметры SSID:
Блок кода language vb theme Eclipse wlc(config-wlc-ssid-profile)# description "SSID for enterprise users" wlc(config-wlc-ssid-profile)# 802.11kv wlc(config-wlc-ssid-profile)# band 2g wlc(config-wlc-ssid-profile)# band 5g wlc(config-wlc-ssid-profile)# enable wlc(config-wlc-ssid-profile)# exit
Конфигурация ssid-profile:
Блок кода language vb theme Eclipse ssid-profile test_enterprise description "SSID for enterprise users" ssid "test_enterprise" radius-profile default-radius vlan-id 3 security-mode WPA2_1X 802.11kv band 2g band 5g enable exit
Включаем Включить ssid-profile в локацию
Нужно Нужно включить созданный SSID в локацию. ТД получит конфигурацию и начнёт вещать начнёт вещать данные SSID. Включаем ssid-profile в локацию default-location.Блок кода language vb theme Eclipse ap-location default-location ssid-profile test_enterprise exit
Конфигурация раздела wlc:
Блок кода language vb theme Eclipse wlc outside-address 192.168.1.1 service-activator aps join auto exit airtune enable exit ap-location default-location description "default-location" mode tunnel ap-profile default-ap airtune-profile default_airtune ssid-profile default-ssid ssid-profile test_enterprise exit airtune-profile default_airtune description "default_airtune" exit ssid-profile default-ssid description "default-ssid" ssid "default-ssid" radius-profile default-radius vlan-id 3 security-mode WPA2_1X 802.11kv band 2g band 5g enable exit ssid-profile test_enterprise description "SSID for enterprise users" ssid "test_enterprise" radius-profile default-radius vlan-id 3 security-mode WPA2_1X 802.11kv band 2g band 5g enable exit radio-2g-profile default_2g description "default_2g" exit radio-5g-profile default_5g description "default_5g" exit ap-profile default-ap description "default-ap" password ascii-text encrypted 8CB5107EA7005AFF exit radius-profile default-radius description "default-radius" auth-address 192.168.1.1 auth-password ascii-text encrypted 8CB5107EA7005AFF auth-acct-id-send acct-enable acct-address 192.168.1.1 acct-password ascii-text encrypted 8CB5107EA7005AFF acct-periodic domain default exit wids-profile default-wids description "default-wids" exit ip-pool default-ip-pool description "default-ip-pool" ap-location default-location exit enable exit
- НастраиваемНастройте firewall.
Для приёма аккаунтинга нужно разрешить прохождение UDP трафика по порту 1813 из зоны trusted в зону self. В заводской конфигурации порт 1813 порт 1813 закрыт.Переходим в конфигурационный режим
Блок кода language vb theme Eclipse wlc# configure wlc(config)#
Создаем группу radius_acct
Блок кода object-group service radius_acct port-range 1813 exit
Добавляем правило в zone-pair trusted self
Блок кода security zone-pair trusted self rule 91 action permit match protocol udp match destination-port object-group radius_acct enable exit exit
Применяем конфигурацию и подтверждаем
Блок кода language vb theme Eclipse wlc# commit wlc# confirm
...