Сравнение версий

Старая версия 80

changes.mady.by.user Брагов Леонид Александрович

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Семидетко Даниил Дмитриевич

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Блок кода
wlc(config-radius)# crypto ca default_ca.pem

crypto cert

Данная команда указывает, какой сертификат использовать.

...

Командный режим

CONFIG-RADIUS-DOMAIN

Пример

...

Блок кода
wlc(config-radius-domain)# tls mode domain

...

Командный режим

CONFIG-RADIUS-DOMAIN

Пример
Блок кода
wlc(config-radius-domain)# user test

crypto cert

Данная команда указывает, какой сертификат пользователя использовать.

...

CONFIG-RADIUS

CONFIG-RADIUS-USER

Пример
Блок кода
wlc(config-radius-user)# crypto cert default_cert.pem

...

<DESCRIPTION> – произвольное описание, задается строкой до 31 символа.

...

Командный режим

CONFIG-RADIUS-USER

Пример
Блок кода
wlc-30(config-radius-user)# description test123

...

Командный режим

CONFIG-RADIUS-USER

Пример
Блок кода
wlc(config-radius-user)# password ascii-text password

...

Командный режим

CONFIG-RADIUS-USER

Пример
Блок кода
wlc(config-radius-user)# vlan 123

...

CONFIG-RADIUS

CONFIG-RADIUS-VSERVER

Пример
Блок кода
wlc(config-radius)# enable

...

Использование отрицательной формы команды (no) отменяет назначение LDAP-профиля.

Синтаксис
ldap-profile <NAME>
[no] ldap-profile
Параметры

Команда не содержит параметров.

...

Командный режим

CONFIG-RADIUS

Пример
Блок кода
wlc(config-radius)# ldap-profile tester

...

Командный режим

CONFIG-RADIUS

Пример

...

Блок кода
wlc(config-radius)# nas test

...

Командный режим

CONFIG-RADIUS

Пример

...

Блок кода
wlc(config-radius)# update-interval 5

...

CONFIG-RADIUS-VSERVER-SSID-PROFILE

Пример

...

Блок кода
wlc(config-radius)# upstream-pool test

...

Необходимый уровень привилегий

10

Командный режим

...

CONFIG-

...

RADIUS-

...

UPSTREAM-

...

POOL

...

CONFIG-

...

RADIUS-

...

UPSTREAM-

...

SERVER

Пример

...

Блок кода
wlc(config-radius-upstream-pool)# server-type all

...

Необходимый уровень привилегий

10

Командный режим

configCONFIG-radiusRADIUSconfig

CONFIG-radiusRADIUS-upstreamUPSTREAM-poolPOOL

Пример

...

Блок кода
wlc(config-radius-upstream-pool)# upstream-server test

...

Необходимый уровень привилегий

10

Командный режим

configCONFIG-radiusRADIUS

Пример

...

Блок кода
wlc(config-radius)# upstream-server test

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc-30(config-radius-upstream-server)# check-interval 10

...

Данная команда задаёт кол-во проверок статуса, на которые upstream RADIUS-сервер должен ответить подрядответить подряд, прежде чем контроллер будет считать его активным (статус Up).

Параметр работает , только если параметр check-type имеет значение "request" или "status-server".

...

<RESPONSES-COUNT> – количество успешных ответов подряд от upstream RADIUS-сервер сервера, принимает значения [3..10] ответов подряд.

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc-30(config-radius-upstream-server)# check-responses-count 5

...

Данная команда задаёт максимальное время ожидания ответа на запрос проверки статуса от контроллера к upstream RADIUS-серверу, прежде чем считать запрос неуспешным.

Параметр работает , только если параметр check-type имеет значение "request" или "status-server".

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc-30(config-radius-upstream-server)# check-timeout 5

...

check-type { none | request | status-server }
no check-timeouttype
Параметры

none - Отсутствует – отсутствует фоновая проверка статуса upstream RADIUS-сервера. Статус upstream RADIUS-сервера определяется при наличии фактических RADIUS-запросов.
request - Фоновая – фоновая проверка начинает выполнятсявыполняться, когда upstream RADIUS-сервер находится в статусе "Detection" или "Down".
Проверка выполняется через RADIUS-запрос с типом AcessAccess-Request или Accounting-Request (тип зависит от параметра server-type).
В запрос подставляются значения RADIUS аттрибутов атрибутов User-Name и User-Password, сконфигурированные через параметры check-type request username и check-type request password.
В целях безопасности рекомендуется, чтобы заранее сконфигурованная учетная запись пользователя отсутствовала на upstream RADIUS-сервере, т.к в рамках запроса статуса необходим фактический ответ, даже Access-Reject.
status-server - Фоновая – фоновая проверка начинает выполнятсявыполняться, когда upstream RADIUS-сервер находится в статусе "Detection" или "Down". Проверка выполняется через RADIUS-запрос с типом Status-Server.

Значение по умолчанию

none

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc-30(config-radius-upstream-server)# check-type status-server

...

Данной командой задаётся значение RADIUS аттрибута атрибута User-Name в запросе проверки статуса upstream RADIUS-сервера.

Параметр работает , только если параметр check-type имеет значение "request".

Использование отрицательной формы команды (no) удаляет значение RADIUS аттрибута атрибута User-Name.

Синтаксис
check-type request username <USERNAME>
no check-type request username

...

Значение по умолчанию

Отсутствует.

Необходимый уровень привилегий

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc-30(config-radius-upstream-server)# check-type request username wlc-30-check-request

...

Данная команда задает значение RADIUS аттрибута -атрибута User-Password в запросе проверки статуса upstream RADIUS-сервера.

Параметр работает , только если параметр check-type имеет значение "request".

Использование отрицательной формы команды (no) удаляет значение RADIUS аттрибута атрибута User-Password.

Синтаксис
check-type request password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no check-type request password

...

Значение по умолчанию

Отсутствует.

Необходимый уровень привилегий

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc-30(config-radius-upstream-server)# check-type request password ascii-text wlc30_password_for_check

...

Данная команда задает интервал, в течении которого upstream RADIUS-сервер будет находится находиться в статусе "Down" и не будет использоваться контроллером для проксирования RADIUS-запросов.

...

Upstream RADIUS-сервер будет находится находиться в статусе "Down" до тех пор, пока кол-во количество успешных проверок статуса не будет равно значению параметра параметра check-responses-count.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

...

<DEAD-INTERVAL> – интервал, в течении которого upstream RADIUS-сервер будет находится находиться в статусе "Down" в секундах, принимает значения [10..3600].

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc-30(config-radius-upstream-server)# dead-interval 120

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc-30(config-radius-upstream-server)# detection-interval 120

...

Формула: Если (Количество проксированных запросов) - (Количество полученных ответов) = значению параметра max-unanswered-requests, то upstream RADIUS-server сервер в рамках upstream-pool перестает использоваться контроллером для RADIUS обмена.

...

<MAX-UNANSWERED-REQUESTS> – максимальное значение кол-ва количества RADIUS-запросов, которые контроллер одновременно отправил конкретному upstream RADIUS-серверу и еще не получил ответа, принимает значения [8..1048576].

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc-30(config-radius-upstream-server)# max-unanswered-requests 500

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc-30(config-radius-upstream-server)# response-timeout 5

...

При достижении значения параметра response-timeouts-count RADIUS-сервер переводится в статус "Detection".

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc-30(config-radius-upstream-server)# response-timeouts-count 10

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc(config-radius-upstream-server)# host 192.168.1.1

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc(config-radius-upstream-server)# key ascii-text password

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc(config-radius-upstream-server)# port 1812

...

CONFIG-RADIUS-UPSTREAM-SERVER

Пример

...

Блок кода
wlc(config-radius-upstream-server)# priority 1

...

Необходимый уровень привилегий

10

Командный режим

...

CONFIG-

...

RADIUS-

...

UPSTREAM-

...

POOL

...

CONFIG-

...

RADIUS-

...

UPSTREAM-

...

SERVER

Пример

...

Блок кода
wlc(config-radius-upstream-server)# server-type all

...

Командный режим

CONFIG-RADIUS

Пример
Блок кода
wlc(config-radius)# virtual-server default

...

Командный режим

CONFIG-RADIUS-VSERVER

Пример
Блок кода
wlc(config-radius-vserver)# acct-port 1813

...

Командный режим

CONFIG-RADIUS-VSERVER

Пример

...

Блок кода
wlc(config-radius-vserver)# auth-port 1812

...

Данная команда включает DAS-сервер (Dynamic Authorization Server), который используется для управления клиентами через CoA-запросы.

...

Необходимый уровень привилегий

10

Командный режим

...

CONFIG-

...

RADIUS-

...

VSERVER

Пример
Блок кода
wlc(config-radius-vserver)# das-server enable

...

Необходимый уровень привилегий

10

Командный режим

...

CONFIG-

...

RADIUS-

...

VSERVER

Пример
Блок кода
wlc(config-radius-vserver)# das-server port 1234

...

CONFIG-RADIUS

CONFIG-RADIUS-VSERVER

Пример
Блок кода
wlc(config-radius-vserver)# enable

...

mode { local | proxy | ldap }
[no] mode
Параметры

local Авторизация авторизация на локальном RADIUS-сервере;

proxy Проксирование проксирование на внешний RADIUS-сервер;

ldap Авторизация авторизация с помощью внешнего LDAP-сервера.

...

CONFIG-RADIUS-VSERVER-SSID-PROFILE

Пример
Блок кода
wlc(config-radius-vserver)# mode proxy

...

Данная команда задает IP-адрес или группа группу адресов всем профилям SSID, которыми будет заменен NAS IP при проксировании пакетов RADIUS.

...

CONFIG-RADIUS-VSERVER-SSID-PROFILE

Пример
Блок кода
wlc(config-radius-vserver)# nas-ip-address 192.168.1.100
wlc(config-radius-vserver)# nas-ip-address object-group test

...

Командный режим

CONFIG-RADIUS

Пример
Блок кода
wlc(config-radius-vserver)# ssid-profile test

...

Данной командой устанавливается режим RADIUS-сервера конкретному профиль сервера конкретному профилю SSID.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

...

mode { local | proxy | ldap }
[no] mode
Параметры

local Авторизация авторизация на локальном RADIUS-сервере;

proxy Проксирование проксирование на внешний RADIUS-сервер;

ldap Авторизация авторизация с помощью внешнего LDAP сервера.

...

CONFIG-RADIUS-VSERVER-SSID-PROFILE

Пример
Блок кода
wlc(config-radius-vserver-ssid-profile)# mode ldap

...

CONFIG-RADIUS-VSERVER-SSID-PROFILE

Пример
Блок кода
wlc(config-radius-vserver-ssid-profile)# nas-ip-address 192.168.1.100
wlc(config-radius-vserver-ssid-profile)# nas-ip-address object-group test

...

Данная команда добавляет upstream RADIUS pool конкретному профиль профилю SSID.

Использование отрицательной формы команды (no) удаляет upstream RADIUS-сервер.

...

CONFIG-RADIUS-VSERVER-SSID-PROFILE

Пример
Блок кода
wlc(config-radius-vserver-ssid-profile)# upstream-pool test

...

  • IP address – IP-адрес RADIUS-сервера;
  • Port – порт, используемый RADIUS-сервером;
  • Server ID – название RADIUS-сервера;
  • Usage – метод, для которого используется данный сервер. Может принимать значения:
    • auth – для обмена данными c удаленным RADIUS-сервером при выполнении аутентификации и авторизации;
    • acct – для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтинга;
  • Status – статус RADIUS-сервера;
  • Last response – время последнего ответа RADIUS-сервера;
  • Check type – метод проверки RADIUS-сервера.

Описание статусов:

  • Up (Доступен) – RADIUS-сервер доступен и используется контроллером для проксирования RADIUS запросов.
  • Down (Недоступен) – RADIUS-сервер недоступен и не используется контроллером для проксирования RADIUS запросов.
    Если для RADIUS-сервера включены фоновые проверки параметрами check-type "request" или "status-server", то сервер будет

...

  • находиться в статусе "Down" до тех пор, пока не ответит на заданное

...

...

  • количество проверок с интервалом check-interval.
  • Detection (Проверка на доступность) – дополнительный интервал определения статуса RADIUS-сервера, который задается

...

  • параметром detection-interval.
    RADIUS-cервер переходит в статус "Detection" из статуса "Up", если он не ответил на количество запросов, равное значению response-timeouts-count с таймаутом для каждого запроса равное response-timeout
    Контроллер

...

  • начинает выполнять фоновые проверки статуса к RADIUS-серверам, которые находятся в

...

  • статусе Detection, если они включены параметрами check-type

...

  • "request" или "status-server". 
    Если RADIUS-сервер успевает ответить на заданное параметром check-responses-count

...

  • количество проверок с интервалом check-interval

...

  • пока  находится в статусе "Detection", то он считается доступным (статус "Up"), иначе считается недоступным (статус "Down").
    RADIUS-сервер в статусе "Detection" продолжит использоваться контроллером для проксирования, только если он единственный в upstream-pool

...

  • ; если RADIUS-серверов несколько, то серверу будет понижен приоритет и он не будет использоваться для проксирования, а последующие запросы будут отправлены контроллером на следующий RADIUS-сервер в рамках upstream-pool, согласно приоритету priority.
    Если RADIUS-сервер в статусе "Detection" отвечает

...

  • хотя бы на 1 реальный запрос (запрос клиента), то он считается снова доступным (статус "Up").
  • Force-up (Сервер считается доступным независимо от проверки) – статус, в который сервер переходит автоматически из статуса "Down" по

...

  • истечении интервала dead-interval
    В данном статусе сервер используется контроллером для

...

  • проксирования. Сервер будет

...

  • находиться в данному статусе, только если задан параметр check-type "none".
  • Unknown (Доступность неизвестна) – статус,  в котором сервер находится если:
    • Была изменена конфигурация в блоке radius-server local.
    • Статус сервера не проверялся или он не отвечал на спроксированные запросы больше чем 600 секунд, находясь в статусе "Up".
    • Произошла непредвиденная ошибка.

Описание методов проверки:

  • none – без фоновой проверки. Статус определяется только в момент запроса на сервере;

  • status-server – отправка специальных пакетов формата "Status-Server" для подтверждения статуса RADIUS-сервера;

  • request – отправка запроса с заранее сконфигурированными логином и паролем для подтверждения статуса RADIUS-сервера;.

Синтаксис
show radius-servers

...

Необходимый уровень привилегий

1

Пример
Блок кода
wlc# show radius-servers 
IP address        Port    Server ID        Usage        Status        Last response          Check type       
---------------   -----   --------------   ----------   -----------   --------------------   --------------   
172.16.0.134      1812    eltex            auth         Up            2026-02-17 12:54:10    none             
172.16.0.134      1813    eltex            acct         Up            2026-02-17 12:54:10    none