...
Данная команда указывает, какой сертификат использовать в качестве caкорневого сертификата (CA-сертификата).
Использование отрицательной формы команды (no) устанавливает ca-корневой сертификат по умолчанию.
Синтаксис
...
| Блок кода |
|---|
wlc(config-radius)# crypto ca default_ca.pem |
crypto cert
Данная команда указывает, какой сертификат использовать.
...
crypto cert <NAME>
no crypto cert
Параметры
<NAME> – название сертификата, загруженного по пути crypto:cert или сгенерированного командой crypto generate cert, задается строкой до 31 символа.
...
| Блок кода |
|---|
wlc(config-radius)# crypto private-key default_cert_key.pem |
domain
Данной командой выполняется добавление домена и осуществляется Данная команда добавляет домен и осуществляет переход в режим настройки его параметров.
...
| Блок кода |
|---|
wlc(config-radius)# domain test |
tls mode
Данная команда предназначена для активации возможности использования дает возможность авторизации по сертификатам TLS.
...
Командный режим
CONFIG-RADIUS-DOMAIN
Пример
...
| Блок кода |
|---|
wlc(config-radius-domain)# tls mode domain |
user
Данной командой выполняется добавление Данная команда добавляет пользователя в локальную базу пользователей и осуществляется осуществляет переход в режим настройки параметров пользователя.
...
Командный режим
CONFIG-RADIUS-DOMAIN
Пример
| Блок кода |
|---|
wlc(config-radius-domain)# user test |
crypto cert
Данная команда указывает, какой сертификат пользователя использовать.
Использование отрицательной формы команды (no) устанавливает сертификат по умолчанию.
...
CONFIG-RADIUS
CONFIG-RADIUS-USER
Пример
| Блок кода |
|---|
wlc(config-radius-user)# crypto cert default_cert.pem |
...
<DESCRIPTION> – произвольное описание, задается строкой до 31 символа.
...
Командный режим
CONFIG-RADIUS-USER
Пример
| Блок кода |
|---|
wlc-30(config-radius-user)# description test123 |
password
Команда для установки пароля Данная команда устанавливает пароль определенному пользователю.
...
Командный режим
CONFIG-RADIUS-USER
Пример
| Блок кода |
|---|
wlc(config-radius-user)# password ascii-text password |
vlan
Данной командой выполняется добавление vlan Данная команда добавляет VLAN для пользователя.
Использование отрицательной формы команды (no) удаляет vlan VLAN для пользователя.
Синтаксис
vlan <ID>
no vlan
Параметры
<ID> – <ID> – номер vlanVLAN, доступны значения от 1 до 4094.
...
Командный режим
CONFIG-RADIUS-USER
Пример
| Блок кода |
|---|
wlc(config-radius-user)# vlan 123 |
...
CONFIG-RADIUS
CONFIG-RADIUS-VSERVER
Пример
| Блок кода |
|---|
wlc(config-radius)# enable |
ldap-profile
Данная команда предназначена для назначения LDAP профиля назначает LDAP-профиль виртуальному серверу.
Использование отрицательной формы команды (no) отключает функцииотменяет назначение LDAP-профиля.
Синтаксис
ldap-profile <NAME>
[no] ldap-profile
Параметры
Команда не содержит параметров.
...
Командный режим
CONFIG-RADIUS
Пример
| Блок кода |
|---|
wlc(config-radius)# ldap-profile tester |
nas
Данной командой задаётся NASДанная команда назначает NAS виртуальному серверу.
Использование отрицательной формы команды (no) удаляет NAS.
...
Командный режим
CONFIG-RADIUS
Пример
...
| Блок кода |
|---|
wlc(config-radius)# nas test |
...
update-
...
interval
Данная команда задаёт интервал обновления информации об upstream RADIUS-серверах в выводе команды show radius-servers.
Использование отрицательной формы команды (no) удаляет upstream RADIUS-сервервозвращает значение по умолчанию.
Синтаксис
upstreamupdate-poolinterval <NAME><UPDATE-INTERVAL>
no upstream-pool { <NAME> | all }update-interval
Параметры
<NAME> – название upstream RADIUS pool, задается строкой до 235 символов;
all – команда удаляет все upstream RADIUS-сервера.<UPDATE-INTERVAL> – интервал обновления информации об upstream RADIUS-серверах в секундах, принимает значения [5..60]
Значение по умолчанию
Отключено.30
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS
CONFIG-RADIUS-VSERVER-SSID-PROFILE
Пример
...
| Блок кода |
|---|
wlc(config-radius)# upstream update-interval 5 |
| Якорь | ||||
|---|---|---|---|---|
|
...
...
upstream-
...
pool
Данная команда
...
добавляет upstream RADIUS pool и осуществляет переход в режим настройки его параметров.
Использование отрицательной формы команды (no) возвращает значение по умолчаниюудаляет upstream RADIUS-сервер.
Синтаксис
serverupstream-typepool { auth | acct<NAME>
no upstream-pool { <NAME> | all }
no server-type
Параметры
...
<NAME> –
...
название upstream RADIUS pool, задается строкой до 235 символов;
all – команда удаляет все upstream RADIUS-сервера
acct – RADIUS-сервер будет использоваться для сбора аккаунтинга;
all – RADIUS-сервер будет выполнять обе функции.
Значение по умолчанию
authОтключено.
Необходимый уровень привилегий
10
Командный режим
...
CONFIG-
...
RADIUS
CONFIG-
...
RADIUS-
...
VSERVER-
...
SSID-
...
PROFILE
Пример
...
| Блок кода |
|---|
wlc(config-radius-)# upstream-pool)# test |
| Якорь | ||
|---|---|---|
|
...
...
|
...
-type
Данная команда указывает тип сервера.
Использование отрицательной формы команды (no) удаляет upstream RADIUS-сервервозвращает значение по умолчанию.
Синтаксис
upstreamserver-servertype <NAME>
no upstream-server { <NAME>{ auth | acct | all }
no server-type
Параметры
<NAME> auth – название upstream RADIUS-сервера, задается строкой до 235 символовсервер будет использоваться для аутентификации, авторизации;
acct – RADIUS-сервер будет использоваться для сбора аккаунтинга;
all – команда удаляет все upstream RADIUS-серверасервер будет выполнять обе функции.
Значение по умолчанию
Отключено.auth
Необходимый уровень привилегий
10
Командный режим
config-radius
config-radius-upstream-pool
...
CONFIG-RADIUS-UPSTREAM-POOL
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
| Блок кода |
|---|
wlc(config-radius-upstream-pool)# upstreamserver-servertype all test |
upstream-server
Данной командой выполняется добавление Данная команда добавляет upstream RADIUS-сервер и осуществляется переход в режим настройки его параметровв upstream-pool.
Использование отрицательной формы команды (no) удаляет upstream RADIUS-сервер.
...
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS
CONFIG-RADIUS-UPSTREAM-POOLconfig-radius
Пример
...
| Блок кода |
|---|
wlc(config-radius)-upstream-pool)# upstream-server test |
check-interval
Данной командой задаётся интервал отправки проверок статуса к upstream RADIUS-серверу.
...
| Якорь | ||||
|---|---|---|---|---|
|
Данная команда добавляет upstream RADIUS-сервер и осуществляет переход в режим настройки его параметров
...
.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет upstream RADIUS-сервер.
Синтаксис
checkupstream-invervalserver <CHECK-INTERVAL><NAME>
no check-inverval
Параметры
upstream-server { <NAME> | all }Параметры
<NAME> – название upstream RADIUS-сервера, задается строкой до 235 символов;
all – команда удаляет все upstream RADIUS-сервера<CHECK-INTERVAL> – интервал отправки проверочного пакета до upstream RADIUS-сервер в секундах, принимает значения [6..120].
Значение по умолчанию
30Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# checkupstream-intervalserver 10test |
check-
...
interval
| Якорь |
|---|
...
|
...
|
...
|
...
|
Данная команда задаёт интервал отправки проверок статуса к upstream RADIUS-серверу. Данной командой задаётся кол-во проверок статуса, на которые upstream RADIUS-сервер должен ответить подряд, прежде чем контроллер будет считать его активным (Up статус)
Параметр работает, только если если параметр check-type имеет значение значение "request" или "status-server".
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
check-responses-countinterval <RESPONSES<CHECK-COUNT>INTERVAL>
no check-responses-countinterval
Параметры
<RESPONSES<CHECK-COUNT> – количество успешных ответов подряд от INTERVAL> – интервал отправки проверок статуса upstream RADIUS-сервер сервера в секундах, принимает значения [36..10120] секунд.
Значение по умолчанию
330
Необходимый уровень привилегий
...
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# check-responses-count 5 |
check-timeout
Данной командой задаётся максимальное время ожидания ответа на запрос проверки статуса от контроллера к upstream RADIUS-серверу, прежде чем считать запрос неуспешным.
interval 10 |
| Якорь | ||||
|---|---|---|---|---|
|
Данная команда задаёт кол-во проверок статуса, на которые upstream RADIUS-сервер должен ответить подряд, прежде чем контроллер будет считать его активным (статус Up).
Параметр работает только если check-type имеет значение "request" или "status-server"Параметр работает, только если параметр check-type имеет значение request или status-server.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
check-timeout <TIMEOUT>responses-count <RESPONSES-COUNT>
no check-responses-timeoutcount
Параметры
<TIMEOUT> – интервал отправки проверочного пакета в секундах<RESPONSES-COUNT> – количество успешных ответов подряд от upstream RADIUS-сервера, принимает значения [63..12010] ответов подряд.
Значение по умолчанию
43
Необходимый уровень привилегий
...
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# check-timeoutresponses-count 5 |
| Якорь | ||
|---|---|---|
|
...
|
Данная команда задаёт максимальное время ожидания ответа на запрос проверки статуса от контроллера к upstream RADIUS-серверу, прежде чем считать запрос неуспешным.
Параметр работает только если check-type имеет значение "request" или "status-server".
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Данной командой задаётся тип запроса проверки статуса upstream RADIUS-сервера.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию
Синтаксис
check-type { none | request | status-server }timeout <TIMEOUT>
no check-timeout
Параметры
...
<TIMEOUT> – интервал отправки проверочного пакета в секундах, принимает значения [6..120] секунд.
Значение по умолчанию
4
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# check-timeout 5 |
| Якорь | ||||
|---|---|---|---|---|
|
Данная команда задаёт тип запроса проверки статуса upstream RADIUS-сервера.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
check-type { none | request | status-server }
no check-type
Параметры
none – отсутствует фоновая проверка статуса upstream RADIUS-сервера. Статус upstream RADIUS-сервера определяется при наличии фактических RADIUS-запросов.
request – фоновая проверка начинает выполняться, когда upstream RADIUS-сервер находится в статусе "Detection" или "Down". Проверка выполняется через RADIUS-запрос с типом Access-Request или Accounting-Request (тип зависит от параметра server-type).
В запрос подставляются значения RADIUS атрибутов User-Name и User-Password, сконфигурированные через параметры check-type request username и check-type request password.
В целях безопасности рекомендуется, чтобы заранее сконфигурованная учетная запись пользователя отсутствовала на upstream RADIUS-сервере, т.к в рамках запроса статуса необходим фактический ответ, даже Access-Reject.
status-server – фоновая проверка начинает выполняться, когда upstream RADIUS-сервер находится в статусе "Detection" или "Down". Проверка выполняется через RADIUS-запрос с типом Status-Server.
Значение по умолчанию
none
Необходимый уровень привилегий
Значение по умолчанию
none
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-UPSTREAM-SERVER
Пример:
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# check-timeout 5 |
check-type request username
Данной командой задаётся тип запроса проверки статуса upstream RADIUS-сервера.
Использование отрицательной формы команды (no) удаляет значение RADIUS аттрибута User-Name
Синтаксис
check-type request username <USERNAME>
no check-timeout
Параметры
Значение по умолчанию
Отсутствует
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# check-type request username wlc-30-check-requeststatus-server |
| Якорь | ||||
|---|---|---|---|---|
|
...
username
Данной командой задаётся значение RADIUS аттрибута атрибута User-Password рамках запроса Name в запросе проверки статуса upstream RADIUS-сервера.
Параметр работает , только если параметр check-type имеет значение request"request".
Использование отрицательной формы команды (no) удаляет значение значение RADIUS аттрибута атрибута User-Name.
Синтаксис
check-type request password { ascii-text <CLEAR-TEXT> | encrypted <HASH_SHA512> }
username <USERNAME>
no check-type request passwordusername
Параметры
<CLEAR-TEXT> – ключ, <USERNAME> – имя пользователя, которое будет использоваться в атрибуте. Значение задается строкой [4-64] символов;<HASH_SHA512> – хеш ключа по алгоритму sha512, задается строкой [16-126] символов.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
...
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# check-type request passwordusername wlc-30-check-request |
dead-interval
Данной командой задаётся интервал, в котором upstream RADIUS-сервер находится в статусе Down и не будет использоваться контроллером для проксирования RADIUS запросов.
| Якорь | ||||
|---|---|---|---|---|
|
Данная команда задает значение RADIUS-атрибута User-Password в запросе проверки статуса upstream RADIUS-сервера.
Параметр работает только если По истечению dead-interval upstream RADIUS-сервер автоматически (без фактической проверки) переводится из статуса Down в статус Force-Up, только если параметр check-type имеет значение none.
Если параметр check-type имеет значение request или status-server, то значение параметра dead-interval не влияет на интервал нахождения upstream RADIUS-сервера в статусе Down. Upstream RADIUS-сервер будет находится в статусе Down до тех пор, пока кол-во проверок статуса не будет равно значению параметра check-responses-count.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию
Синтаксис
dead-interval <DEAD-INTERVAL>
no dead-interval
Параметры
...
"request".
Использование отрицательной формы команды (no) удаляет значение RADIUS атрибута User-Password.
Синтаксис
check-type request password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no check-type request password
Параметры
<CLEAR-TEXT> – ключ, задается строкой [4-64] символов;
<HASH_SHA512> – хеш ключа по алгоритму sha512, задается строкой [16-128] символов.
Значение по умолчанию
300Отсутствует.
Необходимый уровень привилегий
...
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# deadcheck-interval 120 |
detection-interval
type request password ascii-text wlc30_password_for_check |
| Якорь | ||||
|---|---|---|---|---|
|
Данная команда задает интервал, в течении которого Данной командой задаётся интервал, в котором upstream RADIUS-сервер находится будет находиться в статусе Detection. "Down" и не будет использоваться контроллером для проксирования RADIUS-запросов.
Если параметр check-type имеет значение "none", то по истечению dead-interval В статус Detection upstream RADIUS-сервер автоматически переводится контроллером, если при попытке спроксировать RADIUS запрос upstream RADIUS-сервер не отвечает
По истечению dead-interval upstream RADIUS-сервер автоматически переводится в статус Force-Up.
(без фактической проверки) переводится из статуса "Down" в статус "Force-Up"
Если Параметр работает, только если параметр check-type имеет значение none.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию
Синтаксис
"request" или "status-server", то значение параметра dead-interval не влияет на интервал нахождения upstream RADIUS-сервера в статусе "Down".
Upstream RADIUS-сервер будет находиться в статусе "Down" до тех пор, пока количество успешных проверок статуса не будет равно значению параметра check-responses-count.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-interval <DEAD-INTERVAL>
no dead-interval <DEAD-INTERVAL>
no dead-interval
Параметры
<DEAD_-INTERVAL> – интервал, в котором течении которого upstream RADIUS-сервер находится будет находиться в статусе "Down" в секундах, принимает принимает значения [10..3600].
Значение по умолчанию
...
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# dead-interval 120 |
| Якорь |
|---|
...
|
...
|
...
|
Данная команда задает интервал, в котором upstream RADIUS-сервер находится в статусе "Detection".
В статус "Detection" upstream RADIUS-сервер переводится контроллером при достижении значения параметра response-timeouts-count.
Данной командой задаётся максимальное значение кол-ва RADIUS запросов, которые контроллер одновременно отправил конкретному upstream RADIUS-серверу и еще не получил ответа.
При привышении значения данного параметра upstream RADIUS-сервер
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
maxdetection-unanswered-requestsinterval <MAX<DETECTION-UNANSWERED-REQUESTS>INTERVAL>
no deaddetection-interval
Параметры
<MAX<DETECTION-UNANSWERED-REQUESTS> INTERVAL> – интервал, в котором upstream RADIUS-сервер находится в статусе Down "Detection" в секундах, принимает принимает значения [81..1048576120].
Значение по умолчанию
6553640
Необходимый уровень привилегий
...
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# deaddetection-interval 120 |
host
Данной командой задаётся IP-адрес удаленного хоста для аутентификациии и авторизации.
Использование отрицательной формы команды (no) удаляет хост.
Синтаксис
host <ADDR>
no host
Параметры
<ADDR> – IP-адрес удаленного хоста, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-UPSTREAM-SERVER
Пример:
max-unanswered-requests
Данная команда задает максимальное значение количества RADIUS-запросов, которые контроллер одновременно отправил конкретному upstream RADIUS-серверу и еще не получил ответа.
Формула: Если (Количество проксированных запросов) - (Количество полученных ответов) = значению параметра max-unanswered-requests, то upstream RADIUS-сервер в рамках upstream-pool перестает использоваться контроллером для RADIUS обмена.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
max-unanswered-requests <MAX-UNANSWERED-REQUESTS>
no max-unanswered-requests
Параметры
<MAX-UNANSWERED-REQUESTS> – максимальное значение количества RADIUS-запросов, которые контроллер одновременно отправил конкретному upstream RADIUS-серверу и еще не получил ответа, принимает значения [8..1048576].
Значение по умолчанию
65536
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
| Блок кода |
|---|
wlc-30 |
| Блок кода |
wlc(config-radius-upstream-server)# host 192.168.1.1 |
key
max-unanswered-requests 500 |
| Якорь | ||||
|---|---|---|---|---|
|
Данная команда задает максимальное время ожидания ответа на каждый проксированный RADIUS-запрос от контроллера к upstream RADIUS-серверу.
По истечении этого времени запрос считается неуспешным и увеличивается счетчик response-timeouts-countДанной командой задаётся ключ аутентификации.
Использование отрицательной формы команды (no) удаляет заданный ключустанавливает значение по умолчанию.
Синтаксис
keyresponse-timeout ascii<RESPONSE-text { <KEY> | encrypted <ENCRYPTED-KEY> }
no keyПараметры
<KEY> – строка из [4..64] ASCII-символов;
TIMEOUT>
no response-timeout
Параметры
<RESPONSE-TIMEOUT> – максимальное время ожидания ответа на каждый проксированный RADIUS-запрос от контроллера к upstream RADIUS-серверу в секундах, принимает значения [5..30]<ENCRYPTED-KEY> – зашифрованный ключ, задаётся строкой [8..128] символов.
Значение по умолчанию
Отсутствует.30
Необходимый уровень привилегий
10
Командный режим
...
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# key asciiresponse-texttimeout password |
port
5 |
response-timeouts-count
| Якорь | ||||
|---|---|---|---|---|
|
Данная команда задает максимальное количество неуспешных ответов от upstream RADIUS-сервера на проксированные RADIUS-запросы от контроллера.
При достижении значения параметра response-timeouts-count RADIUS-сервер переводится в статус "Detection"Данной командой задаётся номер порта для обмена данными c удаленным сервером.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
response-timeouts-count <RESPONSE-TIMEOUTS-COUNT>port <PORT>
no portresponse-timeouts-count
Параметры
<PORT> – номер TCP/UDP-порта для обмена данными c удаленным сервером<RESPONSE-TIMEOUTS-COUNT> – максимальное количество неуспешных ответов от upstream RADIUS-сервера, принимает значения [1..655351000].
Значение по умолчанию
01
Необходимый уровень привилегий
...
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc-30(config-radius-upstream-server)# port 1812 |
priority
response-timeouts-count 10 |
host
Данная команда задает IP-адрес удаленного хоста для аутентификациии и авторизации.Данной командой задаётся приоритет использования удаленного сервера. Чем ниже значение, тем приоритетнее сервер.
Использование отрицательной формы команды (no) удаляет параметрхост.
Синтаксис
host priority <PRIORITY> <ADDR>
no priority host
Параметры
<PRIORITY> – приоритет использования удаленного сервера, <ADDR> – IP-адрес удаленного хоста, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [10..100255].
Значение по умолчанию
Отсутствует.
...
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc(config-radius-upstream-server)# priorityhost 192.168.1.1 |
...
key
Данная команда указывает тип серверазадает ключ аутентификации.
Использование отрицательной формы команды (no) возвращает значение по умолчаниюудаляет заданный ключ.
Синтаксис
serverkey ascii-typetext { auth<KEY> | acctencrypted |<ENCRYPTED-KEY> all }
no server-typekey
Параметры
auth – RADIUS-сервер будет использоваться для аутентификации, авторизации;
acct – RADIUS-сервер будет использоваться для сбора акаунтинга;
<KEY> – строка из [4..64] ASCII-символов;
<ENCRYPTED-KEY> – зашифрованный ключ, задаётся строкой [8..128] символовall – RADIUS-сервер будет выполнять обе функции.
Значение по умолчанию
authОтсутствует.
Необходимый уровень привилегий
10
Командный режим
...
CONFIG-
...
RADIUS-
...
NAS
...
CONFIG-
...
RADIUS-
...
UPSTREAM-
...
SERVER
Пример
...
| Блок кода |
|---|
wlc(config-radius-upstream-server)# serverkey ascii-typetext all |
virtual-server
password |
port
Данная команда задает номер порта для обмена данными c удаленным серверомДанной командой выполняется добавление виртуального RADIUS-сервера и осуществляется переход в режим настройки его параметров.
Использование отрицательной формы команды (no) удаляет виртуальный RADIUS-серверустанавливает значение по умолчанию.
Синтаксис
virtual-serverport <NAME><PORT>
no virtual-server { <NAME> | all }port
Параметры
<NAME> – название виртуального RADIUS-сервера, задается строкой до 235 символов;
all – команда удаляет все созданные RADIUS-сервера.
Значение по умолчанию
<PORT> – номер TCP/UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
Значение по умолчанию
0Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-UPSTREAM-SERVER
Пример
| Блок кода |
|---|
wlc(config-radius-upstream-server)# virtual-server default |
acct-port
port 1812 |
priority
| Якорь | ||||
|---|---|---|---|---|
|
Данная команда задает приоритет использования удаленного сервера. Чем ниже значение, тем приоритетнее серверДанной командой задается номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтинга.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет параметр.
Синтаксис
priority <PRIORITY> no priority acct-port <PORT>
no acct-port
Параметры
<PORT> – номер UDP-порта для обмена данными c удаленным сервером<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535100].
Значение по умолчанию
1813Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-UPSTREAM-VSERVERSERVER
Пример
| Блок кода |
|---|
wlc(config-radius-vserverupstream-server)# acct-portpriority 18131 |
...
server-
...
type
Данная команда указывает тип сервераДанной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аутентификации и авторизации.
Использование отрицательной формы команды (no) устанавливает возвращает значение по умолчанию.
Синтаксис
authserver-porttype <PORT>
no auth-portПараметры
{ auth | acct | all }
no server-type
Параметры
auth – RADIUS-сервер будет использоваться для аутентификации, авторизации;
acct – RADIUS-сервер будет использоваться для сбора акаунтинга;
all – RADIUS-сервер будет выполнять обе функции.<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
Значение по умолчанию
1812auth
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-UPSTREAM-POOL
CONFIG-RADIUS-
...
UPSTREAM-SERVER
Пример
...
| Блок кода |
|---|
wlc(config-radius-upstream-vserverserver)# authserver-porttype all 1812 |
...
virtual-server
...
Данная команда включает DAS-сервер (Dynamic Authorization Server) который используется для управления клиентами через CoA-запросыдобавляет виртуальный RADIUS-сервер и осуществляет переход в режим настройки его параметров.
Использование отрицательной формы команды (no) отключает работу DAS-сервераудаляет виртуальный RADIUS-сервер.
Синтаксис
[no] das-server enableПараметры
Отсутствуют.
Значение по умолчанию
virtual-server <NAME>
no virtual-server { <NAME> | all }
Параметры
<NAME> – название виртуального RADIUS-сервера, задается строкой до 235 символов;
all – команда удаляет все созданные RADIUS-сервера.
Значение по умолчанию
ОтсутствуетОтключено.
Необходимый уровень привилегий
10
Командный режим
...
CONFIG-
...
RADIUS
Пример
| Блок кода |
|---|
wlc(config-radius-vserver)# dasvirtual-server enabledefault |
...
acct-
...
port
Данная команда устанавливает порт для DAS-серверазадает номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтинга.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
...
acct-
...
port <PORT>
no
...
acct-
...
portПараметры
<PORT> – номер номер UDP-порта для подключения к серверуобмена данными c удаленным сервером, принимает значения [1-..65535].
Значение по умолчанию
17001813
Необходимый уровень привилегий
10
Командный режим
...
CONFIG-
...
RADIUS-
...
VSERVER
Пример
| Блок кода |
|---|
wlc(config-radius-vserver)# dasacct-server port 12341813 |
...
auth-port
Данная команда предназначена для активации функций серверазадает номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аутентификации и авторизации.
Использование отрицательной формы команды (no) отключает функцииустанавливает значение по умолчанию.
Синтаксис
[no] enableПараметры
auth-port <PORT>no auth-portПараметры
<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535]Команда не содержит параметров.
Значение по умолчанию
Отключено.1812
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUSCONFIG-RADIUS-VSERVER-VSERVER
Пример
| Блок кода |
|---|
wlc(config-radius-vserver)# enable |
mode
auth-port 1812 |
das-server enable
Данная команда включает DAS-сервер (Dynamic Authorization Server), который используется для управления клиентами через CoA-запросыДанной командой устанавливается режим RADIUS-сервера.
Использование отрицательной формы команды (no)
...
отключает работу DAS-сервера.
Синтаксис
mode { local | proxy | ldap }[no] modedas-server enable
Параметры
Local – Авторизация на локальном RADIUS-сервере;
Proxy – Проксирование на внешний RADIUS-сервер;
LDAP – Авторизация с помощью внешнего LDAP сервера.
Значение по умолчанию
Отсутствуют.
Значение по умолчанию
Отключено.local
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS
...
-
...
VSERVER
...
Пример
| Блок кода |
|---|
wlc(config-radius-vserver)# mode proxy |
nas-ip-address
...
das-server enable |
das-server port
Данная команда устанавливает порт для DAS-сервера.
Использование отрицательной формы команды (no) удаляет IP-адрес, поле NAS IP будет содержать адрес точки доступа.устанавливает значение по умолчанию.
Синтаксис
nas-ip-address { object-group <NAME> | <ADDR> }
no nas-ip-address { object-group <NAME> | <ADDR> }
Параметры
<ADDR> – IP-адрес, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
das-server port <PORT>
no das-server port
Параметры
<PORT> – номер порта для подключения к серверу, принимает значения [1-65535]<NAME> – имя предварительно созданной группы адресов с указанным IP-адресом для каждого юнита.
Значение по умолчанию
Отсутствует.1700
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-
...
VSERVER
...
Пример
| Блок кода |
|---|
wlc(config-radius-vserver)# nas-ip-address 192.168.1.100
wlc(config-radius-vserver)# nas-ip-address object-group test
|
ssid-profile
...
das-server port 1234 |
enable
Данная команда предназначена для активации функций сервера.
Использование отрицательной формы команды (no) отключает функции.
Синтаксис
[no] enableПараметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS
CONFIG-RADIUS-VSERVER
Пример
| Блок кода |
|---|
wlc(config-radius-vserver)# enable |
mode
Данная команда устанавливает режим RADIUS-сервера.
Использование отрицательной формы команды (no)
...
устанавливает значение по умолчанию.
Синтаксис
ssid-profile <SSID>
no ssid-profile { <SSID>mode { local | proxy | allldap }
[no] modeПараметры
<SSID> – название SSID;
...
local – авторизация на локальном RADIUS-сервере;
proxy – проксирование на внешний RADIUS-сервер;
ldap – авторизация с помощью внешнего LDAP-сервера.
Значение по умолчанию
Отсутствует.local
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-VSERVER
CONFIG-RADIUS-VSERVER-SSID-PROFILE
Пример
| Блок кода |
|---|
wlc(config-radius-vserver)# ssid-profile test |
mode
mode proxy |
nas-ip-address
Данная команда задает IP-адрес или группу адресов всем профилям SSID, которыми будет заменен NAS IP при проксировании пакетов RADIUS.
Параметр с группой IP-адресов, используется при реализации кластерной схемыДанной командой устанавливается режим RADIUS-сервера конкретному профиль SSID.
Использование отрицательной формы команды (no)
...
удаляет IP-адрес или группу адресов, поле NAS IP в пакете будет содержать адрес точки доступа.
Синтаксис
modenas-ip-address { object-group local<NAME> | proxy | ldap<ADDR> }
[no] modeno nas-ip-address
Параметры
Local – Авторизация на локальном RADIUS-сервере;
Proxy – Проксирование на внешний RADIUS-сервер;
...
<ADDR> – IP-адрес, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<NAME> – имя предварительно созданной группы адресов с указанным IP-адресом для каждого юнита.
Значение по умолчанию
localОтсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-VSERVER
CONFIG-RADIUS-VSERVER-SSID-PROFILE
Пример
| Блок кода |
|---|
wlc(config-radius-vserver-ssid-profile)# mode ldap )# nas-ip-address 192.168.1.100 wlc(config-radius-vserver)# nas-ip-address |
...
object-group test
|
ssid-profile
Данная команда добавляет SSID-профилю индивидуальные настройки RADIUS и осуществляет переход в режим настройки его параметровДанной командой задаётся IP-адрес или группа адресов, которыми будет заменен NAS IP при проксировании пакетов RADIUS конкретному профиль SSID.
Использование отрицательной формы команды (no) удаляет IP-адрес, поле NAS IP будет содержать адрес точки доступа.
Синтаксис
nas-ip-address { object-group <NAME> | <ADDR> }
no nas-ip-address { object-group <NAME> | <ADDR> }
Параметры
<ADDR> – IP-адрес, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<NAME> – имя предварительно созданной группы адресов с указанным IP-адресом для каждого юнита.
Значение по умолчанию
Отсутствует.
...
привязку.
Синтаксис
ssid-profile <SSID>
no ssid-profile { <SSID> | all }
Параметры
<SSID> – название SSID;
all – команда удаляет привязки SSID.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-VSERVER
CONFIG-RADIUS-VSERVER-SSID-PROFILE
Пример
| Блок кода |
|---|
wlc(config-radius-vserver-ssid-profile)# nas-ip-address 192.168.1.100 wlc(config-radius-vserver-ssid-profile)# nas-ip-address object-group test |
upstream-pool
test |
mode
Данной командой устанавливается режим RADIUS-сервера конкретному профилю Данной командой выполняется добавление upstream RADIUS pool конкретному профиль SSID.
Использование отрицательной формы команды (no)
...
устанавливает значение по умолчанию.
Синтаксис
upstream-pool <NAME>
no upstream-pool { <NAME>mode { local | proxy | allldap }
[no] modeПараметры
<NAME> – название upstream RADIUS pool, задается строкой до 235 символов;
...
local – авторизация на локальном RADIUS-сервере;
proxy – проксирование на внешний RADIUS-сервер;
ldap – авторизация с помощью внешнего LDAP сервера.
Значение по умолчанию
Отключено.local
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-VSERVER
CONFIG-RADIUS
...
CONFIG-RADIUS-VSERVER-SSID-PROFILE
Пример
| Блок кода |
|---|
wlc(config-radius-vserver-ssid-profile)# upstream-pool test |
show radius-servers
Данная команда выводит информацию по внешним RADIUS-серверам, настроенных для проксирования.
Описание выводимых параметров:
- IP address – IP-адрес RADIUS-сервера;
- Port – порт, используемый RADIUS-сервером;
- Server ID – название RADIUS-сервера;
- Usage – метод, для которого используется данный сервер. Может принимать значения:
- auth – для обмена данными c удаленным RADIUS-сервером при выполнении аутентификации и авторизации;
- acct – для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтинга;
- Status – статус RADIUS-сервера;
- Last response – время последнего ответа RADIUS-сервера;
- Check type – метод проверки RADIUS-сервера.
Описание статусов:
...
-VSERVER-SSID-PROFILE
Пример
| Блок кода |
|---|
wlc(config-radius-vserver-ssid-profile)# mode ldap |
nas-ip-address
Данная команда задает IP-адрес или группу адресов конкретному профилю SSID, которыми будет заменен NAS IP при проксировании пакетов RADIUS.
Параметр с группой IP-адресов, используется при реализации кластерной схемы.
Использование отрицательной формы команды (no) удаляет IP-адрес или группу адресов, поле NAS IP в пакете будет содержать адрес точки доступа.
Синтаксис
nas-ip-address { object-group <NAME> | <ADDR> }
no nas-ip-address
Параметры
<ADDR> – IP-адрес, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<NAME> – имя предварительно созданной группы адресов с указанным IP-адресом для каждого юнита.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-VSERVER
CONFIG-RADIUS-VSERVER-SSID-PROFILE
Пример
| Блок кода |
|---|
wlc(config-radius-vserver-ssid-profile)# nas-ip-address 192.168.1.100
wlc(config-radius-vserver-ssid-profile)# nas-ip-address object-group test |
upstream-pool
Данная команда добавляет upstream RADIUS pool конкретному профилю SSID.
Использование отрицательной формы команды (no) удаляет upstream RADIUS-сервер.
Синтаксис
upstream-pool <NAME>
no upstream-pool { <NAME> | all }
Параметры
<NAME> – название upstream RADIUS pool, задается строкой до 235 символов;
all – команда удаляет все upstream RADIUS-сервера.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS
CONFIG-RADIUS-VSERVER-SSID-PROFILE
Пример
| Блок кода |
|---|
wlc(config-radius-vserver-ssid-profile)# upstream-pool test |
| Якорь | ||||
|---|---|---|---|---|
|
Данная команда выводит информацию по внешним RADIUS-серверам, настроенных для проксирования.
Описание выводимых параметров:
- IP address – IP-адрес RADIUS-сервера;
- Port – порт, используемый RADIUS-сервером;
- Server ID – название RADIUS-сервера;
- Usage – метод, для которого используется данный сервер. Может принимать значения:
- auth – для обмена данными c удаленным RADIUS-сервером при выполнении аутентификации и авторизации;
- acct – для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтинга;
- Status – статус RADIUS-сервера;
- Last response – время последнего ответа RADIUS-сервера;
- Check type – метод проверки RADIUS-сервера.
Описание статусов:
- Up (Доступен) – RADIUS-сервер доступен и используется контроллером для проксирования RADIUS запросов.
- Down (Недоступен) – RADIUS-сервер недоступен и не используется контроллером для проксирования RADIUS запросов.
Если для RADIUS-сервера включены фоновые проверки параметрами check-type "request" или "status-server", то сервер будет находиться в статусе "Down" до тех пор, пока не ответит на заданное параметром check-responses-count количество проверок с интервалом check-interval. - Detection (Проверка на доступность) – дополнительный интервал определения статуса RADIUS-сервера, который задается параметром detection-interval.
RADIUS-cервер переходит в статус "Detection" из статуса "Up", если он не ответил на количество запросов, равное значению response-timeouts-count с таймаутом для каждого запроса равное response-timeout.
Контроллер начинает выполнять фоновые проверки статуса к RADIUS-серверам, которые находятся в статусе Detection, если они включены параметрами check-type "request" или "status-server".
Если RADIUS-сервер успевает ответить на заданное параметром check-responses-count количество проверок с интервалом check-interval пока находится в статусе "Detection", то он считается доступным (статус "Up"), иначе – считается недоступным (статус "Down").
RADIUS-сервер в статусе "Detection" продолжит использоваться контроллером для проксирования, только если он единственный в upstream-pool; если RADIUS-серверов несколько, то серверу будет понижен приоритет и он не будет использоваться для проксирования, а последующие запросы будут отправлены контроллером на следующий RADIUS-сервер в рамках upstream-pool, согласно приоритету priority.
Если RADIUS-сервер в статусе "Detection" отвечает хотя бы на 1 реальный запрос (запрос клиента), то он считается снова доступным (статус "Up"). - Force-up (Сервер считается доступным независимо от проверки) – статус, в который сервер переходит автоматически из статуса "Down" по истечении интервала dead-interval.
В данном статусе сервер используется контроллером для проксирования. Сервер будет находиться в данному статусе, только если задан параметр check-type "none". - Unknown (Доступность неизвестна) – статус, в котором сервер находится если:
- Была изменена конфигурация в блоке radius-server local.
- Статус сервера не проверялся или он не отвечал на спроксированные запросы больше чем 600 секунд, находясь в статусе "Up".
- Произошла непредвиденная ошибка
...
- .
Описание методов проверки:
none – без фоновой проверки. Статус определяется только в момент запроса на сервере;
statusServer status-server – отправка специальных пакетов формата "Status-Server" для подтверждения статуса RADIUS-сервера;
request – отправка запроса с заранее сконфигурированными логином и паролем для подтверждения статуса RADIUS-сервера;invalid – данный статус отображается при некорректном ответе от RADIUS-сервера.
Синтаксис
show radius-servers
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Пример
| Блок кода |
|---|
wlc# show radius-servers IP address Port Server ID Usage Status Last response Check type --------------- ----- -------------- ---------- ----------- -------------------- -------------- 172.16.0.134 1812 eltex auth Up 20252026-1002-0317 1412:5254:4710 none 172.16.0.134 1813 eltex acct Up 20252026-1002-0317 1412:5254:4810 none |