Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

Настройка локального RADIUS-server

Настройте NAS ap. Содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi.

NAS AP
wlc(config)# radius-server local						#переходим в локальный Radius на WLC
wlc(config-radius)# nas ap								#указываем, что конфигурируем NAS, в нашем случае это сами точки доступа
wlc(config-radius-nas)# key ascii-text password			#устанавливаем пароль, который будет использоваться для проверки подлинности между AP (в роли NAS) и WLC (в роли RADIUS-сервера).
wlc(config-radius-nas)# network 192.168.1.0/24			#Все AP с IP-адресами из этой подсети будут использовать указанные настройки для аутентификации на локальном RADIUS-сервере.
wlc(config-radius-nas)# exit

Настройте NAS local. Используется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей.

Настройка NAS local
wlc(config-radius)# nas local							#указываем, что конфигурируем NAS, local указывает, что NAS — это сам WLC. 
wlc(config-radius-nas)# key ascii-text password			#устанавливаем пароль, который будет использоваться для проверки подлинности между WLC (в роли NAS) и WLC (в роли RADIUS-сервера).
wlc(config-radius-nas)# network 127.0.0.1/32			#RADIUS-сервер находится локально на контроллере, поэтому указываем nas-ip-address 127.0.0.1
wlc(config-radius-nas)# exit

Создайте домен для пользователей для управления учётными записями. Все пользователи, аутентифицирующиеся через этот RADIUS-сервер, будут принадлежать к домену `default` и к ним будут применяться одни и те же политики.

Настройка domain
wlc(config-radius)# domain default						# создаем домен с именем default

В этом домене создайие учетную запись пользователя Wi-Fi для подключения к Enterprise SSID.

Создание УЗ
wlc(config-radius-domain)# user name1					#задаём имя пользователя
wlc(config-radius-user)# password ascii-text password1	#задаём пароль к нему
wlc(config-radius-user)# exit 
wlc(config-radius-domain)# exit 
wlc(config-radius)# exit

Определите параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ. Так как RADIUS-сервер находится локально на контроллере, в качестве адреса хоста задайте 127.0.0.1. Ключ должен совпадать с ключом, указанным для nas local.

Key
wlc(config)# radius-server host 127.0.0.1				#задаём адрес хоста
wlc(config-radius-server)# key ascii-text password		#задаём пароль
wlc(config-radius-server)# exit

Добавьте профиль AAA, укажите адрес сервера, который будет использоваться в настройках SSID.

AAA
wlc(config)# aaa radius-profile default_radius					#создаём ААА-профиль
wlc(config-aaa-radius-profile)# radius-server host 127.0.0.1	#указываем адрес используемого сервера
wlc(config-aaa-radius-profile)# exit

Включите RADIUS-server.

Virtual-server
wlc(config-radius)# virtual-server default				#переходим в настройки виртуального сервера
wlc(config-radius-vserver)# enable						#активируем
wlc(config-radius-vserver)#end

Настройка проксирования на внешний RADIUS-server

Настройка локального RADIUS-server:

Local Radius
wlc(config)# radius-server local								#переходим в настройки локального RADIUS
wlc(config-radius)# nas ap										#указываем, что конфигурируем NAS, в нашем случае это сами точки доступа
wlc(config-radius-nas)# key ascii-text password					#устанавливаем пароль, который будет использоваться для проверки подлинности между AP (в роли NAS) и WLC (в роли RADIUS-сервера)
wlc(config-radius-nas)# network 192.168.1.0/24					#Все AP с IP-адресами из этой подсети будут использовать указанные настройки для аутентификации на локальном RADIUS-сервере
wlc(config-radius-nas)# exit

Настройка внешнего сервера (virtual-server):

Virtual-server
wlc(config-radius)# virtual-server default						#переходим в настройки виртуального сервера
wlc(config-radius-vserver)# enable								#активируем его
wlc(config-radius-vserver)# proxy-mode							#включаем proxy-mode для проксирования RADIUS-запросов на внешний сервер
wlc(config-radius-vserver)# upstream-server eltex				#задаём название внешнего сервера
wlc(config-radius-upstream-server)# host 10.10.10.12			#указываем адрес внешнего RADIUS-сервера
wlc(config-radius-upstream-server)# server-type all				#указываем тип запросов для проксирования, в данном случае выбран all, поэтому будут проксироваться и запросы аутентификации и аккаунтинга
wlc(config-radius-upstream-server)# key ascii-text password		#устанавливаем пароль для аутентификации между WLC (как прокси) и внешним RADIUS-сервером
wlc-30(config-radius-upstream-server)# exit 
wlc-30(config-radius-vserver)# exit 
wlc-30(config-radius)# exit

Переход к настройкам модуля управления конфигурацией точек доступа:

Radius-profile
# Настройка подключения к Radius-серверу 
wlc(config)# wlc													
wlc(config-wlc)# radius-profile SSID-radius 		  		     	#создаем Radius-профиль и переходим в его настройки		
wlc(config-wlc-radius-profile)# auth-address 192.168.1.1			#указываем адрес RADIUS-сервера (WLC-radius_server), находящийся в подсети точек доступа
wlc(config-wlc-radius-profile)# auth-password ascii-text password 	#ключ RADIUS-сервера (auth-password) должен совпадать с ключом, указанным для NAS ap, который мы указали в radius-server local (WLC-radius_server)
wlc(config-wlc-radius-profile)# acct-address 192.168.1.1            #указываем адрес RADIUS-сервера (WLC-radius_server), находящийся в подсети точек доступа
wlc(config-wlc-radius-profile)# acct-password ascii-text password	#ключ RADIUS-сервера (acct-password) должен совпадать с ключом, указанным для NAS ap, который мы указали в radius-server local (WLC-radius_server)

# Настройка и включение отправки аккаунтинга на RADIUS-сервер:
wlc(config-wlc-radius-profile)# acct-enable 						#активируем отправку аккаунтинга на RADIUS-сервер
wlc(config-wlc-radius-profile)# auth-acct-id-send 					#включаем отправку идентификатора аутентификации и учета на RADIUS-сервер (это позволит ему различать сессии и правильно отследить их активность)
wlc(config-wlc-radius-profile)# acct-interval 600					#устанавливаем интервал отправки идентификатора (в секундах)
wlc(config-wlc-radius-profile)# end

Точки доступа: прямое взаимодействие с внешним RADIUS

В настройках WLC:

WLC
wlc(config-wlc)# radius-profile external-radius 
wlc(config-wlc-radius-profile)# auth-address 10.10.10.10                                    #указываем адрес внешнего RADIUS-сервера, используемого для аутентификации
wlc(config-wlc-radius-profile)# auth-password ascii-text encrypted 8CB5107EA7005AFF			#указываем пароль для RADIUS-сервера, используемого для аутентификации
wlc(config-wlc-radius-profile)# acct-enable 												#включение аккаунтинга
wlc(config-wlc-radius-profile)# acct-address 10.10.10.10                                    #указываем адрес внешнего RADIUS-сервера, используемого для аккаунтинга
wlc(config-wlc-radius-profile)# acct-password ascii-text encrypted 8CB5107EA7005AFF			#указываем пароль для RADIUS-сервера, используемого для аккаунтинга
wlc(config-wlc-radius-profile)# end


Все внесённые изменения в конфигурации необходимо записать в постоянную память устройства. 

wlc-30# commit

Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds. #изменения сохранены и запущен таймер

wlc-30# confirm 

Configuration has been confirmed. Commit timer canceled. #изменения подтверждены и применены
  • Нет меток