Использование RADIUS для ограничения SSID на Cisco Aironet


10

Я хотел бы использовать свой RADIUS-сервер для ограничения доступа к настроенному SSID для каждого пользователя .

Согласно документации, указанной выше, я добавляю следующий атрибут для тестового пользователя:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Итак, включив аутентификацию по радиусу отладки , я вижу:

Июн 12 08: 30: 08.266: RADIUS (00001A96): Отправить запрос доступа на 212.183.164.38:1812, id 1645/128, len 177.
Июн 12 08: 30: 08.266: RADIUS: аутентификатор CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
12 июня 08: 30: 08.267: RADIUS: имя пользователя [1] 12 "ospite-5vh"
12 июня 08: 30: 08.267: RADIUS: Framed-MTU [12] 6 1400                      
12 июня, 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002"
12 июня 08: 30: 08.267: RADIUS: Идентификатор вызывающей станции [31] 16 "2064.3267.44ca"
12 июня 08: 30: 08.267: RADIUS: поставщик, Cisco [26] 29  
12 июня 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test"
Июн 12 08: 30: 08.267: RADIUS: Тип сервиса [6] 6 Логин [1]
12 июня 08: 30: 08.267: RADIUS: Message-Authenticato [80] 18  
12 июня 08: 30: 08.267: РАДИУС: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
12 июня 08: 30: 08.267: RADIUS: EAP-сообщение [79] 17  
Июн 12 08: 30: 08.267: РАДИУС: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
12 июня 08: 30: 08.267: RADIUS: Тип порта NAS [61] 6 Беспроводная связь 802.11 [19]
12 июня 08: 30: 08.267: RADIUS: NAS-порт [5] 6 7037                      
12 июня 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037"
12 июня 08: 30: 08.268: RADIUS: IP-адрес NAS [4] 6 10.132.0.253              
12 июня 08: 30: 08.268: RADIUS: Nas-Identifier [32] 13 "UFFICIO-AP1"
Июн 12 08: 30: 08.325: RADIUS: Получено с id 1645/128 212.183.164.38:1812, Access-Challenge, len 95
Июн 12 08: 30: 08.325: RADIUS: аутентификатор 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12 июня 08: 30: 08.325: RADIUS: поставщик, Cisco [26] 31  
12 июня 08: 30: 08.325: RADIUS: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
12 июня 08: 30: 08.325: RADIUS: EAP-сообщение [79] 8   
12 июня 08: 30: 08.325: РАДИУС: 01 02 00 06 19 20 [????? ]
12 июня 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18  
Июн 12 08: 30: 08.325: РАДИУС: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??]
12 июня 08: 30: 08.326: РАДИУС: Штат [24] 18  
Июн 12 08: 30: 08.326: RADIUS: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12 июня 08: 30: 08.326: RADIUS (00001A96): получено с id 1645/128

Таким образом, я ожидаю, что запрос будет отклонен, так как «SSID ассоциации» не соответствует RADIUS, вместо этого он подтверждается, и пользователь подключается.

Соответствующие конфигурации следующие:

ааа аутентификация логин по умолчанию радиус группы
ааа аутентификация логин eap_methods радиус группы
ааа авторизация сети по умолчанию если аутентифицирован 
ааа учет вложенный
ааа обновление бухгалтерского учета периодическое 5
ааа учетная сеть eap_methods старт-стоп радиус группы

dot11 ssid Интерактивный
   Влан 1
   аутентификация открыта 
   управление ключами аутентификации wpa
   гостевой режим mbssid
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51

dot11 ssid Interactive_Ospiti
   Влан 4
   аутентификация открыта 
   управление ключами аутентификации wpa
   гостевой режим mbssid
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204

dot11 ssid Interactive_Test
   VLAN 5
   проверка подлинности открыть eap eap_methods 
   аутентификация network-eap eap_methods 
   управление ключами аутентификации wpa версия 2
   учет eap_methods
   гостевой режим mbssid

интерфейс Dot11Radio0
 без IP-адреса
 нет ip route-cache
 шифрование vlan 4 режима шифров aes-ccm tkip 
 шифрование vlan 1 режим шифров aes-ccm tkip 
 шифрование vlan 5 режим шифров aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 усиление антенны 0
 MBSSID
 нет короткого времени
 скорость базовая-1.0 базовая-2.0 базовая-5.5 базовая-11.0
 канал 2457
 корень роли станции

интерфейс Dot11Radio0.1
 описание LAN Interactive
 инкапсуляция dot1Q 1 нативная
 нет ip route-cache
 бридж-группа 1
 Бридж-группа 1 абонент-петля-контроль
 мост-группа 1 блок-неизвестный-источник
 нет бридж-группа 1 источник обучения
 нет мостовой группы 1 одноадресное наводнение
 мостовая группа 1 с отключенной связью

интерфейс Dot11Radio0.4
 описание ЛВС Оспити
 инкапсуляция dot1Q 4
 нет ip route-cache
 бридж-группа 4
 Бридж-группа 4 абонентская петля-контроль
 мост-группа 4 блок-неизвестный-источник
 нет бридж-группы 4 источник обучения
 без перемычки, группа 4, одноадресное наводнение
 мостовая группа 4 с отключенной связью

интерфейс Dot11Radio0.5
 Описание LAN Test
 инкапсуляция dot1Q 5
 нет ip route-cache
 бридж-группа 5
 бридж-группа 5 абонентская петля-контроль
 мост-группа 5 блок-неизвестный-источник
 нет бридж-группа 5 источников обучения
 нет бриджа, группа 5, одноадресное наводнение
 мостовая группа 5 с отключенной связью

Атрибут Радиус-сервера 32 формат включения-доступа-req% h
атрибут радиуса-сервера 4 10.132.0.253
радиус-сервер хост 10.132.0.99 порт авторизации 1812 порт acct 1813 нестандартный ключ 7 131312061E3811242A142A7C79
Радиус-сервер все отправить учет
Радиосервер vsa send аутентификация

И вот вывод # show versione

Программное обеспечение Cisco IOS, программное обеспечение C1040 (C1140-K9W7-M), версия 12.4 (25d) JA1, RELEASE SOFTWARE (fc1)
Техническая поддержка: http://www.cisco.com/techsupport
Авторские права (c) 1986-2011 Cisco Systems, Inc.
Скомпилировано в четверг, 11 августа 2011 года, 02:58, prod_rel_team

ROM: Программа начальной загрузки C1040 с загрузчиком
BOOTLDR: загрузчик C1040 (C1140-BOOT-M) версия 12.4 (23c) JA3, ВЫПУСК ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (fc1)

Время работы UFFICIO-AP1 составляет 8 недель, 2 дня, 8 часов, 27 минут.
Система вернулась в ПЗУ при включении
Система перезапущена в 22:39:10 UTC вт 16 апр 2013
Файл образа системы: «flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1»

Кто-нибудь может помочь?


2
Вы используете ACS или другой сервер RADIUS?
Дейв Нунан

Я использую FreeRADIUS с бэкэндом MySQL
Marco Marzetti

@MarcoMarzetti, не могли бы вы добавить non-standardв radius-server hostстроку и сообщить мне, если это изменит результаты, которые вы получаете? Возможно, вам придется поместить это key 7заявление в другую строку, чтобы это работало.
Майк Пеннингтон

@MikePennington сделано, но ничего не изменилось. Кстати я получил эту ошибку , когда я изменил значение «SSID = Interactive_Ospiti»: parse unknown cisco vsa "SSID" - IGNORE. Поэтому IOS понимает атрибут и пытается его проанализировать.
Марко Марзетти

Для чего нужен ваш конфиг interface Dot11Radio?
generalnetworkerror

Ответы:


1

Попробуйте изменить оператор в конфигурации freeradius на "= ~":

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"


не думаю, что это может помочь, так как "= ~" для сравнения, и я хочу назначение. Обратите внимание, что проверка SSID должна выполняться IOS, а не FreeRADIUS.
Марко Марзетти
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.