Я хотел бы использовать свой RADIUS-сервер для ограничения доступа к настроенному SSID для каждого пользователя .
Согласно документации, указанной выше, я добавляю следующий атрибут для тестового пользователя:
ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"
Итак, включив аутентификацию по радиусу отладки , я вижу:
Июн 12 08: 30: 08.266: RADIUS (00001A96): Отправить запрос доступа на 212.183.164.38:1812, id 1645/128, len 177. Июн 12 08: 30: 08.266: RADIUS: аутентификатор CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37 12 июня 08: 30: 08.267: RADIUS: имя пользователя [1] 12 "ospite-5vh" 12 июня 08: 30: 08.267: RADIUS: Framed-MTU [12] 6 1400 12 июня, 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002" 12 июня 08: 30: 08.267: RADIUS: Идентификатор вызывающей станции [31] 16 "2064.3267.44ca" 12 июня 08: 30: 08.267: RADIUS: поставщик, Cisco [26] 29 12 июня 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test" Июн 12 08: 30: 08.267: RADIUS: Тип сервиса [6] 6 Логин [1] 12 июня 08: 30: 08.267: RADIUS: Message-Authenticato [80] 18 12 июня 08: 30: 08.267: РАДИУС: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?] 12 июня 08: 30: 08.267: RADIUS: EAP-сообщение [79] 17 Июн 12 08: 30: 08.267: РАДИУС: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh] 12 июня 08: 30: 08.267: RADIUS: Тип порта NAS [61] 6 Беспроводная связь 802.11 [19] 12 июня 08: 30: 08.267: RADIUS: NAS-порт [5] 6 7037 12 июня 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037" 12 июня 08: 30: 08.268: RADIUS: IP-адрес NAS [4] 6 10.132.0.253 12 июня 08: 30: 08.268: RADIUS: Nas-Identifier [32] 13 "UFFICIO-AP1" Июн 12 08: 30: 08.325: RADIUS: Получено с id 1645/128 212.183.164.38:1812, Access-Challenge, len 95 Июн 12 08: 30: 08.325: RADIUS: аутентификатор 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85 12 июня 08: 30: 08.325: RADIUS: поставщик, Cisco [26] 31 12 июня 08: 30: 08.325: RADIUS: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti" 12 июня 08: 30: 08.325: RADIUS: EAP-сообщение [79] 8 12 июня 08: 30: 08.325: РАДИУС: 01 02 00 06 19 20 [????? ] 12 июня 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18 Июн 12 08: 30: 08.325: РАДИУС: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??] 12 июня 08: 30: 08.326: РАДИУС: Штат [24] 18 Июн 12 08: 30: 08.326: RADIUS: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U] 12 июня 08: 30: 08.326: RADIUS (00001A96): получено с id 1645/128
Таким образом, я ожидаю, что запрос будет отклонен, так как «SSID ассоциации» не соответствует RADIUS, вместо этого он подтверждается, и пользователь подключается.
Соответствующие конфигурации следующие:
ааа аутентификация логин по умолчанию радиус группы ааа аутентификация логин eap_methods радиус группы ааа авторизация сети по умолчанию если аутентифицирован ааа учет вложенный ааа обновление бухгалтерского учета периодическое 5 ааа учетная сеть eap_methods старт-стоп радиус группы dot11 ssid Интерактивный Влан 1 аутентификация открыта управление ключами аутентификации wpa гостевой режим mbssid wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51 dot11 ssid Interactive_Ospiti Влан 4 аутентификация открыта управление ключами аутентификации wpa гостевой режим mbssid wpa-psk ascii 7 15475E1D0725242D262D265D12730301204 dot11 ssid Interactive_Test VLAN 5 проверка подлинности открыть eap eap_methods аутентификация network-eap eap_methods управление ключами аутентификации wpa версия 2 учет eap_methods гостевой режим mbssid интерфейс Dot11Radio0 без IP-адреса нет ip route-cache шифрование vlan 4 режима шифров aes-ccm tkip шифрование vlan 1 режим шифров aes-ccm tkip шифрование vlan 5 режим шифров aes-ccm tkip ssid Interactive ssid Interactive_Ospiti ssid Interactive_Test усиление антенны 0 MBSSID нет короткого времени скорость базовая-1.0 базовая-2.0 базовая-5.5 базовая-11.0 канал 2457 корень роли станции интерфейс Dot11Radio0.1 описание LAN Interactive инкапсуляция dot1Q 1 нативная нет ip route-cache бридж-группа 1 Бридж-группа 1 абонент-петля-контроль мост-группа 1 блок-неизвестный-источник нет бридж-группа 1 источник обучения нет мостовой группы 1 одноадресное наводнение мостовая группа 1 с отключенной связью интерфейс Dot11Radio0.4 описание ЛВС Оспити инкапсуляция dot1Q 4 нет ip route-cache бридж-группа 4 Бридж-группа 4 абонентская петля-контроль мост-группа 4 блок-неизвестный-источник нет бридж-группы 4 источник обучения без перемычки, группа 4, одноадресное наводнение мостовая группа 4 с отключенной связью интерфейс Dot11Radio0.5 Описание LAN Test инкапсуляция dot1Q 5 нет ip route-cache бридж-группа 5 бридж-группа 5 абонентская петля-контроль мост-группа 5 блок-неизвестный-источник нет бридж-группа 5 источников обучения нет бриджа, группа 5, одноадресное наводнение мостовая группа 5 с отключенной связью Атрибут Радиус-сервера 32 формат включения-доступа-req% h атрибут радиуса-сервера 4 10.132.0.253 радиус-сервер хост 10.132.0.99 порт авторизации 1812 порт acct 1813 нестандартный ключ 7 131312061E3811242A142A7C79 Радиус-сервер все отправить учет Радиосервер vsa send аутентификация
И вот вывод # show versione
Программное обеспечение Cisco IOS, программное обеспечение C1040 (C1140-K9W7-M), версия 12.4 (25d) JA1, RELEASE SOFTWARE (fc1) Техническая поддержка: http://www.cisco.com/techsupport Авторские права (c) 1986-2011 Cisco Systems, Inc. Скомпилировано в четверг, 11 августа 2011 года, 02:58, prod_rel_team ROM: Программа начальной загрузки C1040 с загрузчиком BOOTLDR: загрузчик C1040 (C1140-BOOT-M) версия 12.4 (23c) JA3, ВЫПУСК ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (fc1) Время работы UFFICIO-AP1 составляет 8 недель, 2 дня, 8 часов, 27 минут. Система вернулась в ПЗУ при включении Система перезапущена в 22:39:10 UTC вт 16 апр 2013 Файл образа системы: «flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1»
Кто-нибудь может помочь?
2
Вы используете ACS или другой сервер RADIUS?
—
Дейв Нунан
Я использую FreeRADIUS с бэкэндом MySQL
—
Marco Marzetti
@MarcoMarzetti, не могли бы вы добавить
—
Майк Пеннингтон
non-standard
в radius-server host
строку и сообщить мне, если это изменит результаты, которые вы получаете? Возможно, вам придется поместить это key 7
заявление в другую строку, чтобы это работало.
@MikePennington сделано, но ничего не изменилось. Кстати я получил эту ошибку , когда я изменил значение «SSID = Interactive_Ospiti»:
—
Марко Марзетти
parse unknown cisco vsa "SSID" - IGNORE
. Поэтому IOS понимает атрибут и пытается его проанализировать.
Для чего нужен ваш конфиг
—
generalnetworkerror
interface Dot11Radio
?