Сравнение версий

Старая версия 1

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Сагательян Регина Михайловна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление
printablefalse

Настройка локального RADIUS-server

Настройте NAS ap. Содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi.

Блок кода
themeEclipse
titleNAS AP
wlc(config)# radius-server local						#переходим в локальный Radius на WLC
wlc(config-radius)# nas ap								#указываем, что конфигурируем NAS, в нашем случае это сами точки доступа
wlc(config-radius-nas)# key ascii-text password			#устанавливаем пароль, который будет использоваться для проверки подлинности между AP (в роли NAS) и WLC (в роли RADIUS-сервера).
wlc(config-radius-nas)# network 192.168.1.0/24			#Все AP с IP-адресами из этой подсети будут использовать указанные настройки для аутентификации на локальном RADIUS-сервере.
wlc(config-radius-nas)# exit

Настройте NAS local. Используется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей.

Блок кода
titleНастройка NAS local
wlc(config-radius)# nas local							#указываем, что конфигурируем NAS, local указывает, что NAS — это сам WLC. 
wlc(config-radius-nas)# key ascii-text password			#устанавливаем пароль, который будет использоваться для проверки подлинности между WLC (в роли NAS) и WLC (в роли RADIUS-сервера).
wlc(config-radius-nas)# network 127.0.0.1/32			#RADIUS-сервер находится локально на контроллере, поэтому указываем nas-ip-address 127.0.0.1
wlc(config-radius-nas)# exit

Создайте домен для пользователей для управления учётными записями. Все пользователи, аутентифицирующиеся через этот RADIUS-сервер, будут принадлежать к домену `default` и к ним будут применяться одни и те же политики.

Блок кода
titleНастройка domain
wlc(config-radius)# domain default						# создаем домен с именем default

В этом домене создайие учетную запись пользователя Wi-Fi для подключения к Enterprise SSID.

Блок кода
titleСоздание УЗ
wlc(config-radius-domain)# user name1					#задаём имя пользователя
wlc(config-radius-user)# password ascii-text password1	#задаём пароль к нему
wlc(config-radius-user)# exit 
wlc(config-radius-domain)# exit 
wlc(config-radius)# exit

Определите параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ. Так как RADIUS-сервер находится локально на контроллере, в качестве адреса хоста задайте 127.0.0.1. Ключ должен совпадать с ключом, указанным для nas local.

Блок кода
titleKey
wlc(config)# radius-server host 127.0.0.1				#задаём адрес хоста
wlc(config-radius-server)# key ascii-text password		#задаём пароль
wlc(config-radius-server)# exit

Добавьте профиль AAA, укажите адрес сервера, который будет использоваться в настройках SSID.

Блок кода
titleAAA
wlc(config)# aaa radius-profile default_radius					#создаём ААА-профиль
wlc(config-aaa-radius-profile)# radius-server host 127.0.0.1	#указываем адрес используемого сервера
wlc(config-aaa-radius-profile)# exit

Включите RADIUS-server.

Блок кода
titleVirtual-server
wlc(config-radius)# virtual-server default				#переходим в настройки виртуального сервера
wlc(config-radius-vserver)# enable						#активируем
wlc(config-radius-vserver)#end

Настройка проксирования на внешний RADIUS-server

Настройка локального RADIUS-server:

Блок кода
titleLocal Radius
wlc(config)# radius-server local								#переходим в настройки локального RADIUS
wlc(config-radius)# nas ap										#указываем, что конфигурируем NAS, в нашем случае это сами точки доступа
wlc(config-radius-nas)# key ascii-text password					#устанавливаем пароль, который будет использоваться для проверки подлинности между AP (в роли NAS) и WLC (в роли RADIUS-сервера)
wlc(config-radius-nas)# network 192.168.1.0/24					#Все AP с IP-адресами из этой подсети будут использовать указанные настройки для аутентификации на локальном RADIUS-сервере
wlc(config-radius-nas)# exit

Настройка внешнего сервера (virtual-server):

Блок кода
titleVirtual-server
wlc(config-radius)# virtual-server default						#переходим в настройки виртуального сервера
wlc(config-radius-vserver)# enable								#активируем его
wlc(config-radius-vserver)# proxy-mode							#включаем proxy-mode для проксирования RADIUS-запросов на внешний сервер
wlc(config-radius-vserver)# upstream-server eltex				#задаём название внешнего сервера
wlc(config-radius-upstream-server)# host 10.10.10.12			#указываем адрес внешнего RADIUS-сервера
wlc(config-radius-upstream-server)# server-type all				#указываем тип запросов для проксирования, в данном случае выбран all, поэтому будут проксироваться и запросы аутентификации и аккаунтинга
wlc(config-radius-upstream-server)# key ascii-text password		#устанавливаем пароль для аутентификации между WLC (как прокси) и внешним RADIUS-сервером
wlc-30(config-radius-upstream-server)# exit 
wlc-30(config-radius-vserver)# exit 
wlc-30(config-radius)# exit

Переход к настройкам модуля управления конфигурацией точек доступа:













Переход к настройкам модуля управления конфигурацией точек доступа:

Блок кода
titleRadius-profile
# Настройка подключения к Radius-серверу 
wlc(config)# wlc

...


wlc(config-wlc)# radius-profile SSID-radius

...


wlc(config-wlc-radius-profile)# auth-address 192.168.1.1
wlc(config-wlc-radius-profile)# auth-password ascii-text password
wlc(config-wlc-radius-profile)# acct-address 192.168.1.1
wlc(config-wlc-radius-profile)# acct-password ascii-text password

# Настройка и включение отправки аккаунтинга на RADIUS-сервер:
wlc(config-wlc-radius-profile)# acct-enable
wlc(config-wlc-radius-profile)# auth

...

-acct-id-send
wlc(config-wlc-radius-profile)# acct-interval 600
wlc(config-wlc-radius-profile)# end
Блок кода
titleОписание команд
 
	
#создаем Radius-профиль и переходим в его настройки		
#указываем адрес RADIUS-сервера (WLC-radius_server), находящийся в подсети точек доступа

...

#ключ RADIUS-сервера (auth-password) должен совпадать с ключом, указанным для NAS ap, который мы указали в radius-server local (WLC-radius_server)

...

#указываем адрес RADIUS-сервера (WLC-radius_server), находящийся в подсети точек доступа

...

#ключ RADIUS-сервера (acct-password) должен совпадать с ключом, указанным для NAS ap, который мы указали в radius-server local (WLC-radius_server)

...

...

...

...

#активируем отправку аккаунтинга на RADIUS-сервер

...

#включаем отправку идентификатора аутентификации и учета на RADIUS-сервер (это позволит ему различать сессии и правильно отследить их активность)

...

#устанавливаем интервал отправки идентификатора (в секундах)

...

Точки доступа: прямое взаимодействие с внешним RADIUS

В настройках WLC:

Блок кода
languagebash
titleWLC
wlc(config-wlc)# radius-profile external-radius

...


wlc(config-wlc-radius-profile)# auth-address 10.10.10.10

...


wlc(config-wlc-radius-profile)# auth-password ascii-text encrypted 8CB5107EA7005AFF

...


wlc(config-wlc-radius-profile)# acct-enable

...


wlc(config-wlc-radius-profile)# acct-address 10.10.10.10

...


wlc(config-wlc-radius-profile)# acct-password ascii-text encrypted 8CB5107EA7005AFF
wlc(config-wlc-radius-profile)# end
Блок кода
titleОписание команд
 
#указываем адрес внешнего RADIUS-сервера, используемого для аутентификации
#указываем пароль для RADIUS-сервера, используемого для аутентификации
#включение аккаунтинга
#указываем адрес внешнего RADIUS-сервера, используемого для аккаунтинга

...

#указываем пароль для RADIUS-сервера, используемого для аккаунтинга

...

...

 Предупреждение
Все внесённые изменения в конфигурации необходимо записать в постоянную память устройства. 

wlc-30# commit

Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds. #изменения сохранены и запущен таймер

wlc-30# confirm 

Configuration has been confirmed. Commit timer canceled. #изменения подтверждены и применены