Сравнение версий

Старая версия 1

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сагательян Регина Михайловна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление
printablefalse

Настройка локального RADIUS-server

Настройте NAS

...

AP. Содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi.

Блок кода

...

language

...

bash
titleNAS AP
wlc(config)# radius-server local

...


wlc(config-radius)# nas ap
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 192.168.1.0/24
wlc(config-radius-nas

...

)# exit
Блок кода
titleОписание команд
#переходим в локальный RADIUS на WLC
#указываем, что конфигурируем NAS, в нашем случае это сами точки доступа

...

#устанавливаем пароль, который будет использоваться для проверки подлинности между AP (в роли NAS) и WLC (в роли RADIUS-сервера).

...

#все AP с IP-адресами из этой подсети будут использовать указанные настройки для аутентификации на локальном RADIUS-сервере.

...

Настройте NAS local. Используется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей.
 Блок  кода
languagebash
titleНастройка NAS local
wlc(config-radius)# nas local
...
 
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 127.0.0.1/32
wlc(config-radius-nas)# exit 

 Блок  кода
titleОписание команд
#указываем, что конфигурируем NAS, local указывает, что NAS — это сам WLC. 

...
#устанавливаем пароль, который будет использоваться для проверки подлинности между WLC (в роли NAS) и WLC (в роли RADIUS-сервера).

...
#RADIUS-сервер находится локально на контроллере, поэтому указываем nas-ip-address 127.0.0.1

...
 

Создайте домен для пользователей для управления учётными записями. Все пользователи, аутентифицирующиеся через этот RADIUS-сервер, будут принадлежать к домену 
...
 default и к ним будут применяться одни и те же политики.
 Блок  кода
languagebash
titleНастройка domain
wlc(config-radius)# domain default
...
 Блок  кода
titleОписание команд
# создаем домен с именем default
В этом домене 
...
создайте учетную запись пользователя Wi-Fi для подключения к Enterprise SSID.
 Блок  кода
languagebash
titleСоздание УЗ
wlc(config-radius-domain)# user name1
...

wlc(config-radius-user)# password ascii-text password1
...

wlc(config-radius-user)# exit 
wlc(config-radius-domain)# exit 
wlc(config-radius)# exit 

 Блок  кода
titleОписание команд
#задаём имя пользователя
#задаём пароль к нему
 
 
 

Определите параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ. Так как RADIUS-сервер находится локально на контроллере, в качестве адреса хоста задайте 127.0.0.1. Ключ должен совпадать с ключом, указанным для nas local.
 Блок  кода
languagebash
titleKey
wlc(config)# radius-server host 127.0.0.1
...

wlc(config-radius-server)# key ascii-text password
...

wlc(config-radius-server)# exit 

 Блок  кода
titleОписание команд
#задаём адрес хоста
#задаём пароль
 

Добавьте профиль AAA, укажите адрес сервера, который будет использоваться в настройках SSID.
 Блок  кода
languagebash
titleAAA
wlc(config)# aaa radius-profile default_radius
...

wlc(config-aaa-radius-profile)# radius-server host 127.0.0.1
...

wlc(config-aaa-radius-profile)# exit 

 Блок  кода
titleОписание команд
#создаём ААА-профиль
#указываем адрес используемого сервера
 

Включите RADIUS-server.
 Блок  кода
languagebash
titleVirtual-server
wlc(config-radius)# virtual-server default
...

wlc(config-radius-vserver)# enable
...

wlc(config-radius-vserver)#end
 Блок  кода
titleОписание команд
#переходим в настройки виртуального сервера
#активируем
   
Настройка проксирования на внешний RADIUS-server
Настройка локального RADIUS-server:
 Блок  кода
languagebash
titleLocal Radius
wlc(config)# radius-server local
...

wlc(config-radius)# nas ap
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 192.168.1.0/24
wlc(config-radius-nas
...
)# exit

 Блок  кода
titleОписание команд
#переходим в настройки локального RADIUS
#указываем, что конфигурируем NAS, в нашем случае это сами точки доступа

...
#устанавливаем пароль, который будет использоваться для проверки подлинности между AP (в роли NAS) и WLC (в роли RADIUS-сервера)

...
#Все AP с IP-адресами из этой подсети будут использовать указанные настройки для аутентификации на локальном RADIUS-сервере

...


Настройка внешнего сервера (virtual-server):
 Блок  кода
languagebash
titleVirtual-server
wlc-30(config-radius)# virtual-server default
...
 
wlc-30(config-radius-vserver)# nas-ip-address 10.10.20.1
wlc-30(config-radius-vserver)# 
...
mode proxy 
wlc-30(config-radius-vserver)# 
...
upstream-pool default 
wlc-30(config-radius-vserver)# enable 
wlc-30(config-radius-vserver)# exit 
wlc-30(config-radius)# upstream-server eltex
...
 
...

wlc-30(config-radius-upstream-server)# host 
...
100.
...
110.
...
3.197
wlc-30(config-radius-upstream-server)# server-type all 
wlc-30(config-radius-upstream-server)# key ascii-text testing123
wlc-30(config-radius-upstream-server)# exit
wlc-30(config-radius)# upstream-pool default 
wlc-30(config-radius-upstream-pool)# upstream-server eltex 
wlc-
...
30(config-radius-upstream-pool)# server-type all 
wlc-30(config-radius-upstream-pool)# end

 Блок  кода
titleОписание команд
#переходим в настройки виртуального сервера
#задаём nas-ip (адрес WLC)
#включаем proxy-mode для проксирования RADIUS-запросов на внешний сервер
#включаем привязку к upstream-pool
#активируем его

#задаём название внешнего сервера
#указываем адрес внешнего RADIUS-сервера
#указываем тип запросов для проксирования, в данном случае выбран all, поэтому будут проксироваться и запросы аутентификации и аккаунтинга

...
#устанавливаем пароль для аутентификации между WLC (как прокси) и внешним RADIUS-сервером

...

#переходим в настройки upstream-pool
#пказываем необходимые upstream-server
...
 для 
...
проксирования 
...
RADIUS-запросов.
#включаем режим проксирования для запросов аутентификации и аккаунтинга.

Переход к настройкам модуля управления конфигурацией точек доступа
...
.
Поскольку настраивается проксирование запросов аутентификации и аккаунтинга, то в auth-address и acct-address должен быть указан адрес контроллера, который доступен для ТД.
 Блок  кода
languagebash
...
titleRadius-profile
# Настройка подключения к 
...
RADIUS-серверу: 
wlc(config)# wlc
...

wlc(config-wlc)# radius-profile SSID-radius
...

wlc(config-wlc-radius-profile)# auth-address 192.168.1.1
wlc(config-wlc-radius-profile)# auth-password ascii-text password
wlc(config-wlc-radius-profile)# acct-address 192.168.1.1
wlc(config-wlc-radius-profile)# acct-password ascii-text password

# Настройка и включение отправки аккаунтинга на RADIUS-сервер:
wlc(config-wlc-radius-profile)# acct-enable
wlc(config-wlc-radius-profile)# auth
...
-acct-id-send
wlc(config-wlc-radius-profile)# acct-interval 600
wlc(config-wlc-radius-profile)# end
 Блок  кода
titleОписание команд
# Настройка подключения к RADIUS-серверу

#создаем RADIUS-профиль и переходим в его настройки		
#указываем адрес RADIUS-сервера (WLC-radius_server), находящийся в подсети точек доступа

...
#ключ RADIUS-сервера (auth-password) должен совпадать с ключом, указанным для NAS ap, который мы указали в radius-server local (WLC-radius_server)

...
#указываем адрес RADIUS-сервера (WLC-radius_server), находящийся в подсети точек доступа

...
#ключ RADIUS-сервера (acct-password) должен совпадать с ключом, указанным для NAS ap, который мы указали в radius-server local (WLC-radius_server)
   
# Настройка и включение отправки аккаунтинга на RADIUS-сервер:

...
#активируем отправку аккаунтинга на RADIUS-сервер

...
#включаем отправку идентификатора аутентификации и учета на RADIUS-сервер (это позволит ему различать сессии и правильно отследить их активность)

...
#устанавливаем интервал отправки идентификатора (в секундах)
...
  
Точки доступа: прямое взаимодействие с внешним RADIUS
В настройках WLC:
 Блок  кода
languagebash
titleWLC
wlc(config-wlc)# radius-profile external-radius
...

wlc(config-wlc-radius-profile)# auth-address 10.10.10.10
...

wlc(config-wlc-radius-profile)# auth-password ascii-text encrypted 8CB5107EA7005AFF
...

wlc(config-wlc-radius-profile)# acct-enable
...

wlc(config-wlc-radius-profile)# acct-address 10.10.10.10
...

wlc(config-wlc-radius-profile)# acct-password ascii-text encrypted 8CB5107EA7005AFF
wlc(config-wlc-radius-profile)# end
 Блок  кода
titleОписание команд
 
#указываем адрес внешнего RADIUS-сервера, используемого для аутентификации
#указываем пароль для RADIUS-сервера, используемого для аутентификации
#включение аккаунтинга
#указываем адрес внешнего RADIUS-сервера, используемого для аккаунтинга

...
#указываем пароль для RADIUS-сервера, используемого для аккаунтинга

...
 
...
 Предупреждение
Все внесённые изменения в конфигурации необходимо записать в постоянную память устройства. 

wlc-30# commit

Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds. #изменения сохранены и запущен таймер

wlc-30# confirm 

Configuration has been confirmed. Commit timer canceled. #изменения подтверждены и применены