Сравнение версий

Старая версия 8

changes.mady.by.user Шкаруба Денис Дмитриевич

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

 

Оглавление

Описание

В статье рассматривается настройка проксирования RADIUS-запросов от ТД через контроллер WLC в NAC-систему. ТД является устройством идентификации (NAS-клиент), RADIUS-запросы будут исходить от ТД. Контроллер WLC выполняет роль посредника в общении ТД и NAC-системы.

...

Проксирование RADIUS-запросов позволяет использовать общее хранилище учетных данных пользователей Wi-Fi. 

Scroll Pagebreak

Подсказка

Для успешной авторизации на внешнем RADIUS-сервере необходимо:

  • Наличие учетных записей пользователей;
  • IP-адреса контроллера WLC нужно прописать в качестве NAS-клиента;
  • Настроить подмену NAS-IP в конфигурации WLC. NAS-IP будет меняться в RADIUS-запросах от ТД при прохождении через контроллер. В таком случае на внешнем RADIUS-сервере нужно добавить один NAS-объект, которым является WLC.

...

  1. При подключении к SSID клиент вводит учетные данные в виде логина (username) и пароля (password), которые приходят на ТД.
  2. ТД отправляет запрос (Access-Request) на RADIUS-сервер WLC, в атрибуте NAS-IP будет задан IP-адрес ТД. На WLC настроено проксирование на внешний RADIUS-сервер.
  3. Получив от ТД запрос (Access-Request), WLC подменит NAS-IP на IP-адрес, который указан в конфигурации и отправит запрос на внешний RADIUS-сервер.
  4. Внешний RADIUS-сервер проверяет наличие записи NAS-IP WLC в своей конфигурации.
  5. Если запись найдена, происходит проверка учетной записи пользователя и в случае успешной проверки, внешний RADIUS-сервер отправляет ответ (Access-Accept) в сторону WLC.
  6. WLC, получив ответ от внешнего RADIUS-сервера, пересылает ответ ТД.
  7. После успешного подключения клиента ТД отправляет запрос (Accounting-Request) на WLC (если отправка включена в конфигурации).
  8. WLC подменяет NAS-IP и пересылает запрос на внешний RADIUS-сервер.
  9. Внешний RADIUS-сервер отправляет ответ (Accounting-Response) WLC. WLC пересылает запрос ТД.

Задача. Реализация авторизации с помощью одного radius-сервера

Настроить перенаправление всех RADIUS-запросов от ТД из сети 192.168.1.0/24 на вышестоящий сервер: 

...

  1. Настройка локального RADIUS-сервера.
    Перейдите в конфигурационный режим:

    Блок кода
    languagevb
    themeEclipse
    wlc# configure
wlc(config)#

    Перейдите в раздел radius-server local:

    Блок кода
    languagevb
    themeEclipse
    wlc(config)# radius-server local
wlc(config-radius)#

    Scroll Pagebreak

    1. Пропишите NAS.
      Добавьте подсети ТД (адресное пространство ТД, т. е. их IP-адреса), которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi в nas ap:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# nas ap
wlc(config-radius-nas)# network 192.168.1.0/24
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# exit

      Scroll Pagebreak


      Подсказка

      При схеме подключения ТД через L3-сеть (с SoftGRE-туннелями) в конфигурации должна быть настроена запись для nas local, если она отсутствует, то её необходимо добавить:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# nas local
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 127.0.0.1/32
wlc(config-radius-nas)# exit



    2. Настройте virtual-server.
      Настройте virtual-server для проксирования RADIUS-запросов на внешний сервер.       Задайте имя virtual-server:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# virtual-server default

      Задайте nas-ip.

      Подсказка
      titleПодмена NAS-IP

      В локальном RADIUS-сервере есть возможность изменять NAS-IP во всех входящих RADIUS-запросах от ТД к WLC.
      Если параметр не задан, при пересылке RADIUS-запросов на внешний сервер в атрибуте NAS-IP будет записан адрес ТД. Это может повлечь за собой ошибки в процессе аутентификации, которые подробно рассмотрены в разделе Возможные проблемы при авторизации.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver)# nas-ip-address 10.10.20.1

      Включите режим проксирования.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver)# mode proxy

      Включите привязку к upstream-pool

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver)# upstream-pool default

      Включите virtual-server.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver)# enable
wlc(config-radius-vserver)# exit

      Scroll Pagebreak

    3. Настройте upstream-server.

      Настройте upstream-server доступна из раздела radius-server. Создайте upstream-server для настройки параметров вышестоящего сервера:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# upstream-server eltex

      Задайте адрес вышестоящего сервера. На этот сервер будут перенаправляться запросы от ТД:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-server)# host 10.10.10.12

      Включите режим проксирования для запросов аутентификации и аккаунтинга.scroll-pagebreak

      Подсказка
      titleТипы upstream серверов

      Server-type auth – проксирование только запросов аутентификации. Запросы будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812).

      Server-type acct – проксирование только аккаунтинга. Проксирование осуществляется на порт, указанный в параметре port (по умолчанию – 1812). При необходимости порт может быть изменен (стандартный порт для аккаунтинга – 1813).

      Server-type all – проксирование запросов аутентификации и аккаунтинга. Запросы аутентификации будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812), а аккаунтинг будет проксироваться на порт = 'port'+1 (то есть по умолчанию – 1813).

      Выберите режим all, так как нужно перенаправлять все запросы.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-server)# server-type all

      Якорь
      upstream-server.key
      upstream-server.key

      Задайте ключ для вышестоящего сервера.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-server)# key ascii-text password
wlc(config-radius-upstream-server)# exit


    4. Настройте upstream-pool.
      Настройте upstream-pool доступна из раздела radius-server. Создайте upstream-pool для настройки всех необходимых upstream-server:
      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# upstream-pool default

      Укажите необходимые upstream-pool для проксирования radius запросов.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-pool)# upstream-server eltex

      Включите режим проксирования для запросов аутентификации и аккаунтинга.

      Scroll Pagebreak

      Подсказка
      titleТипы upstream серверов

      Server-type auth – проксирование только запросов аутентификации. Запросы будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812).

      Server-type acct – проксирование только аккаунтинга. Проксирование осуществляется на порт, указанный в параметре port (по умолчанию – 1812). При необходимости порт может быть изменен (стандартный порт для аккаунтинга – 1813).

      Server-type all – проксирование запросов аутентификации и аккаунтинга. Запросы аутентификации будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812), а аккаунтинг будет проксироваться на порт = 'port'+1 (то есть по умолчанию – 1813).

      Выберите режим all, так как нужно перенаправлять все запросы.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-pool)# server-type all

    5. Конфигурация раздела radius-server.

      Блок кода
      languagevb
      themeEclipse
      radius-server local
  nas local
    key ascii-text encrypted 8CB5107EA7005AFF
    network 127.0.0.1/32
  exit
  nas ap
    key ascii-text encrypted 8CB5107EA7005AFF
    network 192.168.1.0/24
  exit
  virtual-server default
    mode proxy
    nas-ip-address 10.10.20.1 
	upstream-pool default
	enable
  exit
  upstream-server eltex
    host 10.10.10.12
    server-type all
    key ascii-text password
  exit
  upstream-pool default                                                                                            
    server-type all                                                                                                
    upstream-server eltex                                                                                          
  exit 
  enable
exit

      Scroll Pagebreak

  2. Настройка в разделе WLC.
    Перейдите в раздел wlc:

    Блок кода
    languagevb
    themeEclipse
    wlc(config)# wlc

    1. Настройте radius-profile.
      Настройте профиль default-radius:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc)# radius-profile default-radius

      Поскольку настраивается проксирование запросов аутентификации и аккаунтинга, то в auth-address и acct-address должен быть указан адрес контроллера, который доступен для ТД. Ключ RADIUS-сервера (auth-password/acct-password) должен совпадать с ключом, указанным для nas ap, который был указан в radius-server local

      Якорь
      wlc.radius-profile
      wlc.radius-profile

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc-radius-profile)# auth-address 192.168.1.1
wlc(config-wlc-radius-profile)# auth-password ascii-text password
wlc(config-wlc-radius-profile)# acct-address 192.168.1.1
wlc(config-wlc-radius-profile)# acct-password ascii-text password


      Подсказка

      Если используется проксирование на SoftWLC, необходимо указать домен RADIUS. Этот домен должен совпадать с доменом, в котором созданы учетные записи пользователей Enterprise на SoftWLC.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc-radius-profile)# domain root


      Включите отправку аккаунтинга на RADIUS-сервер.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc-radius-profile)# acct-enable

      Включите добавление идентификатора RADIUS-сессии в запросах аккаунтинга.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc-radius-profile)# auth-acct-id-send

      Задайте временной интервал обновления аккаунтинга.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc-radius-profile)# acct-interval 600

      Конфигурация radius-profile.

      Блок кода
      languagevb
      themeEclipse
      radius-profile default-radius
  auth-address 192.168.1.1
  auth-password ascii-text password
  auth-acct-id-send
  acct-enable
  acct-address 192.168.1.1
  acct-password ascii-text password
  acct-periodic
  acct-interval 600
exit

      Scroll Pagebreak

    2. Создайте ssid-profile.
      Создайте новый профиль SSID:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc)# ssid-profile test_enterprise

      Укажите в ssid-profile ранее настроенный профиль radius-profile.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc-ssid-profile)# radius-profile default-radius

      Задайте имя SSID.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc-ssid-profile)#   ssid "test_enterprise"

      Задайте режим безопасности.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc-ssid-profile)#   security-mode WPA2_1X

      Задайте VLAN.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc-ssid-profile)# vlan-id 3

      Задать остальные параметры SSID.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-wlc-ssid-profile)# description "SSID  for enterprise users"
wlc(config-wlc-ssid-profile)# 802.11kv
wlc(config-wlc-ssid-profile)# band 2g
wlc(config-wlc-ssid-profile)# band 5g
wlc(config-wlc-ssid-profile)# enable
wlc(config-wlc-ssid-profile)# exit

      Конфигурация ssid-profile.

      Блок кода
      languagevb
      themeEclipse
      ssid-profile test_enterprise
  description "SSID for enterprise users"
  ssid "test_enterprise"
  radius-profile default-radius
  vlan-id 3
  security-mode WPA2_1X
  802.11kv
  band 2g
  band 5g
  enable
exit


    3. Включить ssid-profile в локацию.
      Включите созданный SSID в локацию. ТД получит конфигурацию и начнёт вещать данные SSID. В примере ниже ssid-profile включен в локацию default-location.

      Блок кода
      languagevb
      themeEclipse
      ap-location default-location
  ssid-profile test_enterprise
exit

      Конфигурация раздела wlc.

      Блок кода
      languagevb
      themeEclipse
      wlc
  outside-address 192.168.1.1
  service-activator
    aps join auto
  exit
  airtune
    enable
  exit
  ap-location default-location
    description "default-location"
    mode tunnel
    ap-profile default-ap
    airtune-profile default_airtune
    ssid-profile default-ssid
    ssid-profile test_enterprise
  exit
  airtune-profile default_airtune
    description "default_airtune"
  exit
  ssid-profile default-ssid
    description "default-ssid"
    ssid "default-ssid"
    radius-profile default-radius
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  ssid-profile test_enterprise
    description "SSID for enterprise users"
    ssid "test_enterprise"
    radius-profile default-radius
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  radio-2g-profile default_2g
    description "default_2g"
  exit
  radio-5g-profile default_5g
    description "default_5g"
  exit
  ap-profile default-ap
    description "default-ap"
    password ascii-text encrypted 8CB5107EA7005AFF
  exit
  radius-profile default-radius
    description "default-radius"
    auth-address 192.168.1.1
    auth-password ascii-text encrypted 8CB5107EA7005AFF
    auth-acct-id-send
    acct-enable
    acct-address 192.168.1.1
    acct-password ascii-text encrypted 8CB5107EA7005AFF
    acct-periodic
    domain default
  exit
  wids-profile default-wids
    description "default-wids"
  exit
  ip-pool default-ip-pool
    description "default-ip-pool"
    ap-location default-location
  exit
  enable
exit


  3. Настройка firewall.
    Для приёма аккаунтинга разрешите прохождение UDP-трафика по порту 1813 из зоны trusted в зону self. В заводской конфигурации порт 1813 закрыт.

    1. Перейдите в конфигурационный режим:

      Блок кода
      languagevb
      themeEclipse
      wlc# configure
wlc(config)#


    2. Создайте группу radius_acct:

      Блок кода
      object-group service radius_acct
  port-range 1813
exit


    3. Добавьте правило в zone-pair trusted self:

      Блок кода
      security zone-pair trusted self
  rule 91
    action permit
    match protocol udp
    match destination-port object-group radius_acct
    enable
  exit
exit


  4. Примените и подтвердите конфигурацию.

    Блок кода
    languagevb
    themeEclipse
    wlc# commit
wlc# confirm


...

Раскрыть


Блок кода
languagetext
themeEclipse
#!/usr/bin/clish
#270
#1.30.0
#2024-12-18
#09:24:58
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit
object-group service dns
  port-range 53
exit
object-group service netconf
  port-range 830
exit
object-group service radius_auth
  port-range 1812
exit
object-group service sa
  port-range 8043-8044
exit
object-group service airtune
  port-range 8099
exit
object-group service web
  port-range 443
exit
object-group service radius_acct
  port-range 1813
exit

syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
  severity info
exit

radius-server local
  nas local
    key ascii-text encrypted 8CB5107EA7005AFF
    network 127.0.0.1/32
  exit
  nas ap
    key ascii-text encrypted 8CB5107EA7005AFF
    network 192.168.1.0/24
  exit
  virtual-server default
    mode proxy
    nas-ip-address 10.10.20.1 
	upstream-pool default
	enable
  exit
  upstream-server eltex
    host 10.10.10.12
    server-type all
    key ascii-text password
  exit
  upstream-pool default                                                                                            
    server-type all                                                                                                
    upstream-server eltex                                                                                          
  exit 
  enable
exit

radius-server host 127.0.0.1
  key ascii-text encrypted 8CB5107EA7005AFF
exit
aaa radius-profile default_radius
  radius-server host 127.0.0.1
exit

boot host auto-config
boot host auto-update

vlan 3
  force-up
exit
vlan 2
exit

no spanning-tree

domain lookup enable

security zone trusted
exit
security zone untrusted
exit
security zone users
exit

bridge 1
  vlan 1
  security-zone trusted
  ip address 192.168.1.1/24
  no spanning-tree
  enable
exit
bridge 2
  vlan 2
  security-zone untrusted
  ip address dhcp
  no spanning-tree
  enable
exit
bridge 3
  vlan 3
  mtu 1458
  security-zone users
  ip address 192.168.2.1/24
  no spanning-tree
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  switchport access vlan 2
exit
interface gigabitethernet 1/0/2
  mode switchport
exit
interface gigabitethernet 1/0/3
  mode switchport
exit
interface gigabitethernet 1/0/4
  mode switchport
exit
interface tengigabitethernet 1/0/1
  mode switchport
  switchport access vlan 2
exit
interface tengigabitethernet 1/0/2
  mode switchport
exit

tunnel softgre 1
  mode data
  local address 192.168.1.1
  default-profile
  enable
exit

security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port object-group ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group ntp
    enable
  exit
  rule 50
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 60
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
  rule 70
    action permit
    match protocol tcp
    match destination-port object-group netconf
    enable
  exit
  rule 80
    action permit
    match protocol tcp
    match destination-port object-group sa
    enable
  exit
  rule 90
    action permit
    match protocol udp
    match destination-port object-group radius_auth
    enable
  exit
  rule 100
    action permit
    match protocol gre
    enable
  exit
  rule 110
    action permit
    match protocol tcp
    match destination-port object-group airtune
    enable
  exit
  rule 120
    action permit
    match protocol tcp
    match destination-port object-group web
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-port object-group dhcp_server
    match destination-port object-group dhcp_client
    enable
  exit
exit
security zone-pair users self
  rule 10
    action permit
    match protocol icmp
    enable
  exit
  rule 20
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 30
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
exit
security zone-pair users untrusted
  rule 1
    action permit
    enable
  exit
exit

security passwords default-expired

nat source
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
exit

ip dhcp-server
ip dhcp-server pool ap-pool
  network 192.168.1.0/24
  address-range 192.168.1.2-192.168.1.254
  default-router 192.168.1.1
  dns-server 192.168.1.1
  option 42 ip-address 192.168.1.1
  vendor-specific
    suboption 12 ascii-text "192.168.1.1"
    suboption 15 ascii-text "https://192.168.1.1:8043"
  exit
exit
ip dhcp-server pool users-pool
  network 192.168.2.0/24
  address-range 192.168.2.2-192.168.2.254
  default-router 192.168.2.1
  dns-server 192.168.2.1
exit

softgre-controller
  nas-ip-address 127.0.0.1
  data-tunnel configuration wlc
  aaa radius-profile default_radius
  keepalive-disable
  service-vlan add 3
  enable
exit

wlc
  outside-address 192.168.1.1
  service-activator
    aps join auto
  exit
  airtune
    enable
  exit
  ap-location default-location
    description "default-location"
    mode tunnel
    ap-profile default-ap
    airtune-profile default_airtune
    ssid-profile default-ssid
  exit
  airtune-profile default_airtune
    description "default_airtune"
  exit
  ssid-profile default-ssid
    description "default-ssid"
    ssid "default-ssid"
    radius-profile default-radius
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  ssid-profile test_enterprise
    description "SSID for enterprise users"
    ssid "test_enterprise"
    radius-profile default-radius
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  radio-2g-profile default_2g
    description "default_2g"
  exit
  radio-5g-profile default_5g
    description "default_5g"
  exit
  ap-profile default-ap
    description "default-ap"
    password ascii-text encrypted 8CB5107EA7005AFF
  exit
  radius-profile default-radius
    description "default-radius"
    auth-address 192.168.1.1
    auth-password ascii-text encrypted 8CB5107EA7005AFF
    auth-acct-id-send
    acct-enable
    acct-address 192.168.1.1
    acct-password ascii-text encrypted 8CB5107EA7005AFF
    acct-periodic
    domain default
  exit
  wids-profile default-wids
    description "default-wids"
  exit
  ip-pool default-ip-pool
    description "default-ip-pool"
    ap-location default-location
  exit
  enable
exit

wlc-journal all
  limit days 365
exit

ip ssh server

ip tftp client timeout 45
ntp enable
ntp server 100.110.0.65
exit

ip https server


Scroll Pagebreak

Задача. Реализация авторизации с помощью нескольких radius-серверов

Настроить перенаправление всех RADIUS-запросов от ТД c разными ssid из сети 192.168.1.0/24 на необходимый radius сервер: 

  • IP-адрес radius-сервера для ssid1: 10.10.10.12
  • IP-адрес radius-сервера для ssid2: 10.10.10.44
  • Порт для авторизации: 1812
  • Порт  для аккаунтинга: 1813
  • Ключ сервера: password

...

  1. Настройка локального RADIUS-сервера.
    Перейдите в конфигурационный режим:

    Блок кода
    languagevb
    themeEclipse
    wlc# configure
wlc(config)#

    Перейдите в раздел radius-server local:

    Блок кода
    languagevb
    themeEclipse
    wlc(config)# radius-server local
wlc(config-radius)#


    1. Пропишите NAS.
      Добавьте подсети ТД (адресное пространство ТД, т. е. их IP-адреса), которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi в nas ap:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# nas ap
wlc(config-radius-nas)# network 192.168.1.0/24
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# exit

      Scroll Pagebreak

      Подсказка

      При схеме подключения ТД через L3-сеть (с SoftGRE-туннелями) в конфигурации должна быть настроена запись для nas local, если она отсутствует, то её необходимо добавить:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# nas local
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 127.0.0.1/32
wlc(config-radius-nas)# exit



    2. Настройте upstream-server для каждого из используемых radius серверов.

      Настройте upstream-server доступна из раздела radius-serverСоздайте upstream-server для настройки параметров вышестоящего сервера:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# upstream-server eltex1

      Задайте адрес вышестоящего сервера. На этот сервер будут перенаправляться запросы от ТД:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-server)# host 10.10.10.12

      Включите режим проксирования для запросов аутентификации и аккаунтинга.
      Scroll Pagebreak

      Подсказка
      titleТипы upstream серверов

      Server-type auth – проксирование только запросов аутентификации. Запросы будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812).

      Server-type acct – проксирование только аккаунтинга. Проксирование осуществляется на порт, указанный в параметре port (по умолчанию – 1812). При необходимости порт может быть изменен (стандартный порт для аккаунтинга – 1813).

      Server-type all – проксирование запросов аутентификации и аккаунтинга. Запросы аутентификации будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812), а аккаунтинг будет проксироваться на порт = 'port'+1 (то есть по умолчанию – 1813).

      Выберите режим all, так как нужно перенаправлять все запросы.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-server)# server-type all

      Якорь
      upstream-server.key
      upstream-server.key

      Задайте ключ для вышестоящего сервера.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-server)# key ascii-text password
wlc(config-radius-upstream-server)# exit

      Настройте upstream-server для следующего radius сервера:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# upstream-server eltex2

      Задайте адрес вышестоящего сервера. На этот сервер будут перенаправляться запросы от ТД:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-server)# host 10.10.10.44

      Включите режим проксирования для запросов аутентификации и аккаунтинга.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-server)# server-type all

      Якорь
      upstream-server.key
      upstream-server.key

      Задайте ключ для вышестоящего сервера.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-server)# key ascii-text password
wlc(config-radius-upstream-server)# exit
      Настройте upstream-pool доступна из раздела radius-server. Создайте upstream-pool для настройки всех необходимых upstream-server:
      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# upstream-pool pool1

      Укажите необходимые upstream-pool для проксирования radius запросов.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-pool)# upstream-server eltex1

      Включите режим проксирования для запросов аутентификации и аккаунтинга.scroll-pagebreak

      Подсказка
      titleТипы upstream серверов

      Server-type auth – проксирование только запросов аутентификации. Запросы будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812).

      Server-type acct – проксирование только аккаунтинга. Проксирование осуществляется на порт, указанный в параметре port (по умолчанию – 1812). При необходимости порт может быть изменен (стандартный порт для аккаунтинга – 1813).

      Server-type all – проксирование запросов аутентификации и аккаунтинга. Запросы аутентификации будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812), а аккаунтинг будет проксироваться на порт = 'port'+1 (то есть по умолчанию – 1813).

      Выберите режим all, так как нужно перенаправлять все запросы.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-pool)# server-type all
wlc(config-radius-upstream-pool)# exit
      Настройте upstream-pool для второго ssid
      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# upstream-pool pool2

      Укажите необходимые upstream-pool для проксирования radius запросов.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-pool)# upstream-server eltex2

      Включите режим проксирования для запросов аутентификации и аккаунтинга.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-upstream-pool)# server-type all


    3. Настройте virtual-server.
      Настройте virtual-server для проксирования RADIUS-запросов на внешний сервер.       Задайте имя virtual-server:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius)# virtual-server default

      Настройте ssid-profile для которого будут применяться настройки проксирования radis запросов. Задайте имя ssid-profile:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver)# ssid-profile ssid1

      Задайте nas-ip.

      Подсказка
      titleПодмена NAS-IP

      В локальном RADIUS-сервере есть возможность изменять NAS-IP во всех входящих RADIUS-запросах от ТД к WLC.
      Если параметр не задан, при пересылке RADIUS-запросов на внешний сервер в атрибуте NAS-IP будет записан адрес ТД. Это может повлечь за собой ошибки в процессе аутентификации, которые подробно рассмотрены в разделе Возможные проблемы при авторизации.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver-ssid-profile)# nas-ip-address 10.10.20.1

      Включите режим проксирования.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver-ssid-profile# mode proxy

      Включите привязку к ранее созданному pstream-pool pool1

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver-ssid-profile)# upstream-pool pool1
wlc(config-radius-vserver-ssid-profile)# exit

      Настройте следующий ssid-profile для которого будут применяться настройки проксирования radis запросов. Задайте имя ssid-profile:

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver)# ssid-profile ssid2
      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver-ssid-profile)# nas-ip-address 10.10.20.1

      Включите режим проксирования.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver-ssid-profile# mode proxy

      Включите привязку к ранее созданному pstream-pool pool2

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver-ssid-profile)# upstream-pool pool2
wlc(config-radius-vserver-ssid-profile)# exit

      Включите virtual-server.

      Блок кода
      languagevb
      themeEclipse
      wlc(config-radius-vserver)# enable
wlc(config-radius-vserver)# exit
  2. Настройка в разделе WLC.
    Перейдите в раздел wlc:
    Блок кода
    languagevb
    themeEclipse
    wlc(config)# wlc

...

Раскрыть


Блок кода
languagetext
themeEclipse
#!/usr/bin/clish
#270
#1.30.0
#2024-12-18
#09:24:58
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit
object-group service dns
  port-range 53
exit
object-group service netconf
  port-range 830
exit
object-group service radius_auth
  port-range 1812
exit
object-group service sa
  port-range 8043-8044
exit
object-group service airtune
  port-range 8099
exit
object-group service web
  port-range 443
exit
object-group service radius_acct
  port-range 1813
exit

syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
  severity info
exit

radius-server local
  nas local
    key ascii-text encrypted 8CB5107EA7005AFF
    network 127.0.0.1/32
  exit
  nas ap
    key ascii-text encrypted 8CB5107EA7005AFF
    network 192.168.1.0/24
  exit
  virtual-server default
    ssid-profile test_enterprise1
      mode proxy
      upstream-pool nedefault
      nas-ip-address 10.10.10.12
    exit
    ssid-profile test_enterprise2
      mode proxy
      upstream-pool default
      nas-ip-address 10.10.10.44
    exit
    enable
  exit
  upstream-server eltex
    host 10.10.10.12
    server-type all
    key ascii-text encrypted 88B11079B9014FAAF7B9
  exit
  upstream-server eltex2
    host 10.10.10.44
    server-type all
    key ascii-text encrypted 88B11079B9014FAAF7B9
  exit
  upstream-pool pool1
    server-type all
    upstream-server eltex
  exit
  upstream-pool nedefault
    server-type all
    upstream-server eltex2
  exit
  enable
exit


radius-server host 127.0.0.1
  key ascii-text encrypted 8CB5107EA7005AFF
exit
aaa radius-profile default_radius
  radius-server host 127.0.0.1
exit

boot host auto-config
boot host auto-update

vlan 3
  force-up
exit
vlan 2
exit

no spanning-tree

domain lookup enable

security zone trusted
exit
security zone untrusted
exit
security zone users
exit

bridge 1
  vlan 1
  security-zone trusted
  ip address 192.168.1.1/24
  no spanning-tree
  enable
exit
bridge 2
  vlan 2
  security-zone untrusted
  ip address dhcp
  no spanning-tree
  enable
exit
bridge 3
  vlan 3
  mtu 1458
  security-zone users
  ip address 192.168.2.1/24
  no spanning-tree
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  switchport access vlan 2
exit
interface gigabitethernet 1/0/2
  mode switchport
exit
interface gigabitethernet 1/0/3
  mode switchport
exit
interface gigabitethernet 1/0/4
  mode switchport
exit
interface tengigabitethernet 1/0/1
  mode switchport
  switchport access vlan 2
exit
interface tengigabitethernet 1/0/2
  mode switchport
exit

tunnel softgre 1
  mode data
  local address 192.168.1.1
  default-profile
  enable
exit

security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port object-group ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group ntp
    enable
  exit
  rule 50
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 60
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
  rule 70
    action permit
    match protocol tcp
    match destination-port object-group netconf
    enable
  exit
  rule 80
    action permit
    match protocol tcp
    match destination-port object-group sa
    enable
  exit
  rule 90
    action permit
    match protocol udp
    match destination-port object-group radius_auth
    enable
  exit
  rule 100
    action permit
    match protocol gre
    enable
  exit
  rule 110
    action permit
    match protocol tcp
    match destination-port object-group airtune
    enable
  exit
  rule 120
    action permit
    match protocol tcp
    match destination-port object-group web
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-port object-group dhcp_server
    match destination-port object-group dhcp_client
    enable
  exit
exit
security zone-pair users self
  rule 10
    action permit
    match protocol icmp
    enable
  exit
  rule 20
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 30
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
exit
security zone-pair users untrusted
  rule 1
    action permit
    enable
  exit
exit

security passwords default-expired

nat source
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
exit

ip dhcp-server
ip dhcp-server pool ap-pool
  network 192.168.1.0/24
  address-range 192.168.1.2-192.168.1.254
  default-router 192.168.1.1
  dns-server 192.168.1.1
  option 42 ip-address 192.168.1.1
  vendor-specific
    suboption 12 ascii-text "192.168.1.1"
    suboption 15 ascii-text "https://192.168.1.1:8043"
  exit
exit
ip dhcp-server pool users-pool
  network 192.168.2.0/24
  address-range 192.168.2.2-192.168.2.254
  default-router 192.168.2.1
  dns-server 192.168.2.1
exit

softgre-controller
  nas-ip-address 127.0.0.1
  data-tunnel configuration wlc
  aaa radius-profile default_radius
  keepalive-disable
  service-vlan add 3
  enable
exit

wlc
  outside-address 192.168.1.1
  service-activator
    aps join auto
  exit
  airtune
    enable
  exit
  ap-location default-location
    description "default-location"
    mode tunnel
    ap-profile default-ap
    airtune-profile default_airtune
   	ssid-profile test_enterprise1
	ssid-profile test_enterprise2
  exit
  airtune-profile default_airtune
    description "default_airtune"
  exit
  ssid-profile default-ssid
    description "default-ssid"
    ssid "default-ssid"
    radius-profile default-radius
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  ssid-profile test_enterprise1
    description "SSID1 for enterprise users"
    ssid "test_enterprise1"
    radius-profile radius1
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  ssid-profile test_enterprise2
    description "SSID2 for enterprise users"
    ssid "test_enterprise2"
    radius-profile radius2
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit 
  radio-2g-profile default_2g
    description "default_2g"
  exit
  radio-5g-profile default_5g
    description "default_5g"
  exit
  ap-profile default-ap
    description "default-ap"
    password ascii-text encrypted 8CB5107EA7005AFF
  exit
  radius-profile radius1
    description "default-radius"
    auth-address 192.168.1.1
    auth-password ascii-text encrypted 8CB5107EA7005AFF
    auth-acct-id-send
    acct-enable
    acct-address 192.168.1.1
    acct-password ascii-text encrypted 8CB5107EA7005AFF
    acct-periodic
    domain eltex1.root
  exit
  radius-profile radius2
    description "default-radius"
    auth-address 192.168.1.1
    auth-password ascii-text encrypted 8CB5107EA7005AFF
    auth-acct-id-send
    acct-enable
    acct-address 192.168.1.1
    acct-password ascii-text encrypted 8CB5107EA7005AFF
    acct-periodic
    domain eltex2.root
  exit
  wids-profile default-wids
    description "default-wids"
  exit
  ip-pool default-ip-pool
    description "default-ip-pool"
    ap-location default-location
  exit
  enable
exit

wlc-journal all
  limit days 365
exit

ip ssh server

ip tftp client timeout 45
ntp enable
ntp server 100.110.0.65
exit

ip https server


Якорь
possible_problems
possible_problems

Scroll Pagebreak

Возможные проблемы

Рассмотрим возможные проблемы при авторизации.

...