Cisco Aironet'teki SSID'yi kısıtlamak için RADIUS kullanma


10

Ben istiyorum bir kullanıcı için ayrı ayrı yapılandırılan SSID erişimi kısıtlamak için benim RADIUS sunucusu kullanmak .

Yukarıda bağlantılı belgelere göre bir test kullanıcısına aşağıdaki özelliği ekliyorum:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Bu nedenle, hata ayıklama yarıçapı kimlik doğrulamasını etkinleştirerek şunu görüyorum:

12 Haziran 08: 30: 08.266: RADIUS (00001A96): 212.183.164.38:1812 id 1645/128, len 177'ye Erişim-İsteği Gönder
Haziran 12 08: 30: 08.266: RADIUS: kimlik doğrulayıcı CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
Jun 12 08: 30: 08.267: RADIUS: Kullanıcı Adı [1] 12 "ospite-5vh"
Haziran 12 08: 30: 08.267: RADIUS: Çerçeveli-MTU [12] 6 1400                      
12 Haziran 08: 30: 08.267: RADIUS: İstasyon Kimliği Denen [30] 16 "8478.acf0.9002"
12 Haziran 08: 30: 08.267: RADIUS: Arayan İstasyon Kimliği [31] 16 "2064.3267.44ca"
12 Haziran 08: 30: 08.267: RADIUS: Satıcı, Cisco [26] 29  
12 Haziran 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test"
Jun 12 08: 30: 08.267: RADIUS: Hizmet Tipi [6] 6 Giriş [1]
12 Haziran 08: 30: 08.267: RADIUS: Message-Authenticato [80] 18  
Haziran 12 08: 30: 08.267: RADYUS: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
Haziran 12 08: 30: 08.267: RADIUS: EAP-Mesajı [79] 17  
12 Haziran 08: 30: 08.267: RADYUS: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [ospit-5vh]
12 Haziran 08: 30: 08.267: RADIUS: NAS-Port Tipi [61] 6 802.11 kablosuz [19]
12 Haziran 08: 30: 08.267: RADIUS: NAS-Port [5] 6 7037                      
12 Haziran 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037"
12 Haziran 08: 30: 08.268: RADIUS: NAS-IP Adresi [4] 6 10.132.0.253              
Haziran 12 08: 30: 08.268: RADIUS: Nas-Tanımlayıcı [32] 13 "UFFICIO-AP1"
12 Haziran 08: 30: 08.325: RADIUS: 1645/128 kimliğinden alındı ​​212.183.164.38:1812, Erişim-Meydan Okuma, len 95
Haziran 12 08: 30: 08.325: RADIUS: kimlik doğrulayıcı 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12 Haziran 08: 30: 08.325: RADIUS: Satıcı, Cisco [26] 31  
12 Haziran 08: 30: 08.325: RADIUS: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
Haziran 12 08: 30: 08.325: RADIUS: EAP-Mesajı [79] 8   
12 Haziran 08: 30: 08.325: RADIUS: 01 02 00 06 19 20 [????? ]
12 Haziran 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18  
Haziran 12 08: 30: 08.325: RADYUS: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??]
Haziran 12 08: 30: 08.326: RADIUS: Eyalet [24] 18  
Haziran 12 08: 30: 08.326: RADYUS: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12 Haziran 08: 30: 08.326: RADIUS (00001A96): 1645/128 numaralı kimlikten alındı

Bu yüzden "ilişkilendirme SSID" RADIUS bir eşleşmiyor, çünkü bu kabul ve kullanıcının bağlanır istek reddedilecek beklenir.

İlgili yapılandırmalar aşağıdaki gibidir:

aaa kimlik doğrulama giriş varsayılan grup yarıçapı
aaa kimlik doğrulama girişi eap_methods grup yarıçapı
aaa kimlik doğrulaması yapılırsa yetkilendirme ağı varsayılanı 
aaa muhasebe iç içe
aaa muhasebe güncelleme periyodik 5
aaa muhasebe ağı eap_methods start-stop grup yarıçapı
!
dot11 ssid Etkileşimli
   vlan 1
   kimlik doğrulama açık 
   kimlik doğrulama anahtar yönetimi wpa
   mbssid konuk modu
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   kimlik doğrulama açık 
   kimlik doğrulama anahtar yönetimi wpa
   mbssid konuk modu
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Etkileşimli_Test
   vlan 5
   kimlik doğrulama açık eap_methods 
   kimlik doğrulama network-eap eap_methods 
   kimlik doğrulama anahtar yönetimi wpa sürüm 2
   muhasebe eap_methods
   mbssid konuk modu
!
arayüz Dot11Radio0
 ip adresi yok
 ip rota önbelleği yok
 şifreleme vlan 4 mod şifreleri aes-ccm tkip 
 şifreleme vlan 1 modu aes-ccm tkip ciphers 
 şifreleme vlan 5 mod şifreler aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 anten kazancı 0
 mbssid
 kısa yuva süresi yok
 temel hız-1.0 temel-2.0 temel-5.5 temel-11.0
 kanal 2457
 istasyon rolü kökü
!
arayüz Dot11Radio0.1
 tanım LAN Interactive
 kapsülleme dot1Q 1 yerli
 ip rota önbelleği yok
 köprü grubu 1
 köprü-grup 1 abone-döngü-kontrolü
 köprü-grup 1 blok-bilinmeyen-kaynak
 köprü grubu 1 kaynak öğrenme yok
 köprü grubu 1 tek noktaya yayılma yok
 köprü grubu 1 yayılma devre dışı
!
arayüz Dot11Radio0.4
 açıklama LAN Ospiti
 kapsülleme noktası1Q 4
 ip rota önbelleği yok
 köprü grubu 4
 köprü-grup 4 abone-döngü-kontrolü
 köprü grubu 4 blok bilinmeyen kaynak
 köprü grubu 4 kaynak öğrenme yok
 köprü grubu 4 tek noktaya yayılma yok
 köprü grubu 4 yayılma devre dışı
!
arayüz Dot11Radio0.5
 açıklama LAN Testi
 kapsülleme noktası 1Q 5
 ip rota önbelleği yok
 köprü grubu 5
 köprü-grup 5 abone-döngü-kontrolü
 köprü grubu 5 blok bilinmeyen kaynak
 köprü grubu 5 kaynak öğrenme yok
 köprü grubu 5 tek noktaya yayılma yok
 köprü grubu 5 yayılma devre dışı
!
radius-sunucu özelliği 32 erişim-dahil-req formatı% h
özel alan sunucusu özelliği 4 10.132.0.253
radius-sunucu ana bilgisayarı 10.132.0.99 auth-port 1812 acct-port 1813 standart dışı anahtar 7 131312061E3811242A142A7C79
radius-server vsa muhasebe gönderme
radius-server vsa kimlik doğrulaması gönderme

Ve işte # show versione çıktısı

Cisco IOS Yazılımı, C1040 Yazılımı (C1140-K9W7-M), Sürüm 12.4 (25d) JA1, YAZILIM YAZILIMI (fc1)
Teknik Destek: http://www.cisco.com/techsupport
Telif Hakkı (c) 1986-2011, Cisco Systems, Inc.
Derlenmiş Per 11-Ağu-11 02:58 yazan prod_rel_team

ROM: Bootstrap programı C1040 önyükleme yükleyicisidir
BOOTLDR: C1040 Önyükleme Yükleyici (C1140-BOOT-M) Sürüm 12.4 (23c) JA3, YAZILIM YAZILIMI (fc1)

UFFICIO-AP1 çalışma süresi 8 hafta, 2 gün, 8 saat, 27 dakika
Sistem açıldığında ROM'a geri döndü
Sistem 22:39:10 UTC de yeniden başladı Nisan 16 2013
Sistem görüntü dosyası "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"

Biri yardım edebilir mi?


2
ACS veya başka bir RADIUS sunucusu kullanıyor musunuz?
Dave Noonan

FreeRADIUS'u MySQL arka
ucuyla

@MarcoMarzetti, eklemek olabilir non-standardiçin radius-server hosthat ve beni bu alıyoruz sonuçları değiştirirse haber verecek? Bunun çalışması için key 7ifadeyi kendi başına farklı bir satıra koymanız gerekebilir .
Mike Pennington

@MikePennington bitti, ama hiçbir şey değişmedi. İ "SSID = Interactive_Ospiti" değer değişince BTW ben bu hata var: parse unknown cisco vsa "SSID" - IGNORE. Böylece IOS özelliği anlar ve ayrıştırmaya çalışır.
Marco Marzetti

Konfigürasyonunuz ne için interface Dot11Radio?
generalnetworkerror

Yanıtlar:


1

Freeradius yapılandırmasındaki operatörü "= ~" olarak değiştirmeyi deneyin:

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"


"= ~" karşılaştırmalar için olduğundan ve bir ödev istiyorum bu yardımcı olabilir sanmıyorum. SSID kontrolünün FreeRADIUS tarafından değil IOS tarafından yapılması gerektiğini unutmayın.
Marco Marzetti
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.