Сравнение версий

Старая версия 2

changes.mady.by.user Брагов Леонид Александрович

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

crypto private-key

Данная команда указывает, какой приватный ключ использовать для сертификата сервера.

...

Данная команда задаёт интервал отправки проверок статуса к upstream RADIUS-серверу. 

Параметр работает , только если параметр check-type имеет значение "request" или "status-server".

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример
Блок кода
wlc-30(config-radius-upstream-server)# check-interval 10

Якорь
check-responses-count
check-responses-count
check-responses-count

Данная команда задаёт кол-во количество проверок статуса, на которые upstream RADIUS-сервер должен ответить подряд, прежде чем контроллер будет считать его активным (статус Up).

Если для сервера включен параметр check-status-force, то текущий параметр check-responses-count будет дополнительно отвечать за количество проверок статуса, на которые upstream RADIUS-сервер должен не ответить подряд, прежде чем контроллер будет считать его недоступным (статус Down).

Параметр работает только если check-type имеет значение "request" или "status-server".

...

Блок кода
wlc-30(config-radius-upstream-server)# check-responses-count 5

Якорь
check-

...

status-

...

force
check-

...

status-

...

force
check-status-force

Данная команда включает принудительную проверку статуса upstream RADIUS-сервер в статусах "Up" и "Unknown"

После активации данного параметра контроллер начинает выступать источником 

Параметр работает только если check-type имеет значение "request" или "status-server".Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

После активации данного параметра контроллер начинает циклично проверять статус upstream RADIUS-сервера, отправляя запросы проверки статуса со своего адреса с интервалом check-interval и ожидать ответа в течении check-timeout.

Если upstream RADIUS-сервер не отвечает на количество запросов подряд равное параметру check-responses-count, то такой сервер считается недоступным, статус "Down".

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Примечание
  1. В крупномасштабной сети рекомендуется не включать параметр check-status-force. 
    Это связано с тем, что если принудительная проверка статуса сервера будет включена на большом количестве контроллеров, а upstream RADIUS-сервер используется один и тот же, сервер будет периодически получать большое количество запросов проверки статуса, что может ухудшить производительность обработки основного RADIUS трафика на сервере.
  2.  Для минимизация количества ложных проверок статуса upstream RADIUS-серверов в статусах "Up" и "Unknown", рекомендуется настраивать низкое значение параметра check-inverval и большое значения параметра check-responses-count
Синтаксис
check-responses-count <RESPONSES-COUNT>status-force
no check-responsesstatus-countforce
Параметры

<RESPONSES-COUNT> – количество успешных ответов подряд от upstream RADIUS-сервера, принимает значения [3..10] ответов подрядКоманда не содержит параметров.

Значение по умолчанию

3

Необходимый уровень привилегий

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример
Блок кода
wlc-30(config-radius-upstream-server)# check-responsesstatus-count 5force

Якорь
check-timeout
check-timeout
check-

...

timeout

Данная команда задаёт максимальное время ожидания ответа на запрос проверки статуса от контроллера к upstream RADIUS-серверу, прежде чем считать запрос неуспешным.

...

none – отсутствует фоновая проверка статуса upstream RADIUS-сервера. Статус upstream RADIUS-сервера определяется при наличии фактических RADIUS-запросов.

request – по умолчанию фоновая проверка статуса начинает выполняться, когда upstream RADIUS-сервер находится в статусе "Detection" или "Down".

Если сконфигурирован параметр check-status-force проверки статуса будут выполняться, когда - сервер находится в статусе "DetectionUp" или "Down". Проверка выполняется через RADIUS-запрос с типом Access-Request или Accounting-Request (тип зависит от параметра параметра server-type), используется протокол PAP.
В запрос подставляются значения RADIUS атрибутов User-Name и User-Password, сконфигурированные через параметры check-type request username и check-type request password.
В целях безопасности рекомендуется, чтобы заранее сконфигурованная учетная запись пользователя отсутствовала на upstream RADIUS-сервере, т.к в рамках запроса статуса необходим фактический ответ, даже Access. Результатом успешной проверки статуса является фактический ответ от сервера, независимо от того это Access-Accept или Acess-Reject.

status-server –  по умолчанию фоновая проверка статуса начинает выполняться, когда upstream RADIUS-сервер находится в статусе "Detection" или "Down".

Если сконфигурирован параметр check-status-force, проверки статуса будут выполняться, когда сервер находится в статусе "Up".

Проверка выполняется через RADIUS-запрос с типом Status-Server-Server. Результатом успешной проверки статуса является фактический ответ от сервера, независимо от того это Access-Accept или Acess-Reject.

Значение по умолчанию

none

...

Данной командой задаётся значение RADIUS-атрибута User-Name в запросе проверки статуса upstream RADIUS-сервера.

...

Данная команда задает интервал, в течении течение которого upstream RADIUS-сервер будет находиться в статусе "Down" и не будет использоваться контроллером для проксирования RADIUS-запросов.

...

Формула: Если (Количество проксированных запросов) - (Количество полученных ответов) = значению значение параметра max-unanswered-requests, то upstream RADIUS-сервер в рамках upstream-pool перестает использоваться контроллером для RADIUS обмена.

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример
Блок кода
wlc-30(config-radius-upstream-server)# response-timeout 5

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример
Блок кода
wlc-30(config-radius-upstream-server)# response-timeouts-count 10

...

Данная команда выводит информацию по внешним RADIUS-серверам, настроенных настроенным для проксирования.

Описание выводимых параметров:

...

  • Up (Доступен) – RADIUS-сервер доступен и используется контроллером для проксирования RADIUS-запросов.
  • Down (Недоступен) – RADIUS-сервер недоступен и не используется контроллером для проксирования RADIUS-запросов.
    Если для RADIUS-сервера включены фоновые проверки параметрами check-type "request" или "status-server", то сервер будет находиться в статусе "Down" до тех пор, пока не ответит на заданное параметром check-responses-count количество проверок с интервалом check-interval.
  • Detection (Проверка на доступность) – дополнительный интервал определения статуса RADIUS-сервера, который задается параметром detection-interval.
    RADIUS-cервер переходит в статус "Detection" из статуса "Up", если он не ответил на количество запросов, равное значению response-timeouts-count с таймаутом для каждого запроса равное response-timeout
    Контроллер начинает выполнять фоновые проверки статуса к RADIUS-серверам, которые находятся в статусе Detection, если они включены параметрами check-type "request" или "status-server". 
    Если RADIUS-сервер успевает ответить на заданное параметром check-responses-count количество проверок с интервалом check-interval пока  находится в статусе "Detection", то он считается доступным (статус "Up"), иначе – считается недоступным (статус "Down").
    RADIUS-сервер в статусе "Detection" продолжит использоваться контроллером для проксирования, только если он единственный в upstream-pool; если RADIUS-серверов несколько, то серверу будет понижен приоритет и он не будет использоваться для проксирования, а последующие запросы будут отправлены контроллером на следующий RADIUS-сервер в рамках upstream-pool, согласно приоритету priority.
    Если RADIUS-сервер в статусе "Detection" отвечает хотя бы на 1 реальный запрос (запрос клиента), то он считается снова доступным (статус "Up").
  • Force-up (Сервер считается доступным независимо от проверки) – статус, в который сервер переходит автоматически из статуса "Down" по истечении интервала dead-interval
    В данном статусе сервер используется контроллером для проксирования. Сервер будет находиться в данному статусе, только если задан параметр check-type "none".
  • Unknown (Доступность неизвестна) – статус,   в котором сервер находится если:
    • Была изменена конфигурация в блоке radius-server local.
    • Статус сервера не проверялся или он не отвечал на спроксированные запросы больше чем 600 секунд, находясь в статусе "Up".
    • Произошла непредвиденная ошибка.

Описание методов проверки статуса RADIUS-сервера:

  • none – без фоновой проверки. Статус определяется только в момент запроса на серверепроксирования клиентского и получение успешного ответа от RADIUS-сервера;

  • status-server – отправка специальных пакетов формата "Status-Server" для подтверждения проверки статуса RADIUS-сервера. Результатом успешной проверки статуса является ответ на запрос, независимо от того, Access-Accept или Acess-Reject;

  • request – отправка запроса, используя протокол PAP с заранее сконфигурированными логином и паролем для подтверждения проверки статуса RADIUS-сервера. Результатом успешной проверки статуса является ответ на запрос от сервера, независимо от того, Access-Accept или Acess-Reject.

Синтаксис
show radius-servers

...