wlc(config)# radius-server local
Настраиваем NAS ap, который содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi:
wlc(config-radius)# nas ap wlc(config-radius-nas)# key ascii-text password wlc(config-radius-nas)# network 192.168.1.0/24 wlc(config-radius-nas)# exit
Настраиваем NAS local. Используется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей:
wlc(config-radius)# nas local wlc(config-radius-nas)# key ascii-text password wlc(config-radius-nas)# network 127.0.0.1/32 wlc(config-radius-nas)# exit
Создаем домен для пользователей:
wlc(config-radius)# domain default
В этом домене создаем учетную запись пользователя Wi-Fi для подключения к Enterprise SSID:
wlc(config-radius-domain)# user name1 wlc(config-radius-user)# password ascii-text password1 wlc(config-radius-user)# exit wlc(config-radius-domain)# exit
В заводской конфигурации учетная запись пользователя не настроена в целях безопасности, поэтому для подключения к Enterprise SSID в заводской конфигурации необходимо создать учетную запись.
Настройки виртуального сервера содержат номера портов для аутентификации и аккаунтинга, настройки проксирования на внешний RADIUS-сервер. Использование стандартных портов (1812 для аутентификации и 1813 для аккаунтинга) не требует настройки. В случае настройки локального RADIUS-сервера достаточно просто включения виртуального сервера (enable).
wlc(config-radius)# virtual-server default wlc(config-radius-vserver)# enable wlc(config-radius-vserver)# exit wlc(config-radius)# enable wlc(config)# exit
Определим параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ.
Так как RADIUS-сервер находится локально на контроллере, в качестве адреса хоста задаем 127.0.0.1. Ключ должен совпадать с ключом, указанным для nas local, который мы задали в radius-server local.
wlc(config)# radius-server host 127.0.0.1 wlc(config-radius-server)# key ascii-text password wlc(config-radius-server)# exit
Добавляем профиль AAA, указываем адрес сервера, который будет использоваться:
wlc(config)# aaa radius-profile default_radius wlc(config-aaa-radius-profile)# radius-server host 127.0.0.1 wlc(config-aaa-radius-profile)# exit
Настраиваем и включаем функционал автоматического поднятия SoftGRE-туннелей:
wlc(config)# softgre-controller
RADIUS-сервер находится локально на контроллере, поэтому указываем nas-ip-address 127.0.0.1:
wlc(config-softgre)# nas-ip-address 127.0.0.1
Выбираем режим создания data SoftGRE туннелей – WLC:
wlc(config-softgre)# data-tunnel configuration wlc
Указываем пользовательский vlan:
wlc(config-softgre)# service-vlan add 3
Указываем созданный ранее ААА-профиль:
wlc(config-softgre)# aaa radius-profile default_radius wlc(config-softgre)# keepalive-disable wlc(config-softgre)# enable wlc(config-softgre)# exit
Переходим к настройкам модуля управления конфигурацией точек доступа:
wlc(config)# wlc
Настраиваем профиль RADIUS-сервера, который будет использоваться для аутентификации беспроводных клиентов Enterprise SSID точек доступа Wi-Fi:
wlc(config-wlc)# radius-profile default-radius
RADIUS-сервер находится локально на контроллере, указываем адрес контроллера в подсети точек доступа:
wlc(config-wlc-radius-profile)# auth-address 192.168.1.1
Ключ RADIUS-сервера должен совпадать с ключом, указанным для NAS ap, который мы указали в radius-server local:
wlc(config-wlc-radius-profile)# auth-password ascii-text password
Указываем домен RADIUS. Этот домен должен совпадать с доменом, в котором созданы учетные записи пользователей Enterprise, который располагается в radius-server local:
wlc(config-wlc-radius-profile)# domain default wlc(config-wlc-radius-profile)# exit
Профиль SSID содержит настройки SSID точки доступа:
wlc(config-wlc)# ssid-profile default-ssid
Указываем в ssid-profile ранее настроенный профиль настроек RADIUS-сервера, который будет использоваться для авторизации пользователей Wi-Fi и пользовательский vlan:
wlc(config-wlc-ssid-profile)# radius-profile default-radius wlc(config-wlc-ssid-profile)# vlan-id 3