Ben istiyorum bir kullanıcı için ayrı ayrı yapılandırılan SSID erişimi kısıtlamak için benim RADIUS sunucusu kullanmak .
Yukarıda bağlantılı belgelere göre bir test kullanıcısına aşağıdaki özelliği ekliyorum:
ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"
Bu nedenle, hata ayıklama yarıçapı kimlik doğrulamasını etkinleştirerek şunu görüyorum:
12 Haziran 08: 30: 08.266: RADIUS (00001A96): 212.183.164.38:1812 id 1645/128, len 177'ye Erişim-İsteği Gönder Haziran 12 08: 30: 08.266: RADIUS: kimlik doğrulayıcı CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37 Jun 12 08: 30: 08.267: RADIUS: Kullanıcı Adı [1] 12 "ospite-5vh" Haziran 12 08: 30: 08.267: RADIUS: Çerçeveli-MTU [12] 6 1400 12 Haziran 08: 30: 08.267: RADIUS: İstasyon Kimliği Denen [30] 16 "8478.acf0.9002" 12 Haziran 08: 30: 08.267: RADIUS: Arayan İstasyon Kimliği [31] 16 "2064.3267.44ca" 12 Haziran 08: 30: 08.267: RADIUS: Satıcı, Cisco [26] 29 12 Haziran 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test" Jun 12 08: 30: 08.267: RADIUS: Hizmet Tipi [6] 6 Giriş [1] 12 Haziran 08: 30: 08.267: RADIUS: Message-Authenticato [80] 18 Haziran 12 08: 30: 08.267: RADYUS: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?] Haziran 12 08: 30: 08.267: RADIUS: EAP-Mesajı [79] 17 12 Haziran 08: 30: 08.267: RADYUS: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [ospit-5vh] 12 Haziran 08: 30: 08.267: RADIUS: NAS-Port Tipi [61] 6 802.11 kablosuz [19] 12 Haziran 08: 30: 08.267: RADIUS: NAS-Port [5] 6 7037 12 Haziran 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037" 12 Haziran 08: 30: 08.268: RADIUS: NAS-IP Adresi [4] 6 10.132.0.253 Haziran 12 08: 30: 08.268: RADIUS: Nas-Tanımlayıcı [32] 13 "UFFICIO-AP1" 12 Haziran 08: 30: 08.325: RADIUS: 1645/128 kimliğinden alındı 212.183.164.38:1812, Erişim-Meydan Okuma, len 95 Haziran 12 08: 30: 08.325: RADIUS: kimlik doğrulayıcı 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85 12 Haziran 08: 30: 08.325: RADIUS: Satıcı, Cisco [26] 31 12 Haziran 08: 30: 08.325: RADIUS: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti" Haziran 12 08: 30: 08.325: RADIUS: EAP-Mesajı [79] 8 12 Haziran 08: 30: 08.325: RADIUS: 01 02 00 06 19 20 [????? ] 12 Haziran 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18 Haziran 12 08: 30: 08.325: RADYUS: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??] Haziran 12 08: 30: 08.326: RADIUS: Eyalet [24] 18 Haziran 12 08: 30: 08.326: RADYUS: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U] 12 Haziran 08: 30: 08.326: RADIUS (00001A96): 1645/128 numaralı kimlikten alındı
Bu yüzden "ilişkilendirme SSID" RADIUS bir eşleşmiyor, çünkü bu kabul ve kullanıcının bağlanır istek reddedilecek beklenir.
İlgili yapılandırmalar aşağıdaki gibidir:
aaa kimlik doğrulama giriş varsayılan grup yarıçapı aaa kimlik doğrulama girişi eap_methods grup yarıçapı aaa kimlik doğrulaması yapılırsa yetkilendirme ağı varsayılanı aaa muhasebe iç içe aaa muhasebe güncelleme periyodik 5 aaa muhasebe ağı eap_methods start-stop grup yarıçapı ! dot11 ssid Etkileşimli vlan 1 kimlik doğrulama açık kimlik doğrulama anahtar yönetimi wpa mbssid konuk modu wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51 ! dot11 ssid Interactive_Ospiti vlan 4 kimlik doğrulama açık kimlik doğrulama anahtar yönetimi wpa mbssid konuk modu wpa-psk ascii 7 15475E1D0725242D262D265D12730301204 ! dot11 ssid Etkileşimli_Test vlan 5 kimlik doğrulama açık eap_methods kimlik doğrulama network-eap eap_methods kimlik doğrulama anahtar yönetimi wpa sürüm 2 muhasebe eap_methods mbssid konuk modu ! arayüz Dot11Radio0 ip adresi yok ip rota önbelleği yok şifreleme vlan 4 mod şifreleri aes-ccm tkip şifreleme vlan 1 modu aes-ccm tkip ciphers şifreleme vlan 5 mod şifreler aes-ccm tkip ssid Interactive ssid Interactive_Ospiti ssid Interactive_Test anten kazancı 0 mbssid kısa yuva süresi yok temel hız-1.0 temel-2.0 temel-5.5 temel-11.0 kanal 2457 istasyon rolü kökü ! arayüz Dot11Radio0.1 tanım LAN Interactive kapsülleme dot1Q 1 yerli ip rota önbelleği yok köprü grubu 1 köprü-grup 1 abone-döngü-kontrolü köprü-grup 1 blok-bilinmeyen-kaynak köprü grubu 1 kaynak öğrenme yok köprü grubu 1 tek noktaya yayılma yok köprü grubu 1 yayılma devre dışı ! arayüz Dot11Radio0.4 açıklama LAN Ospiti kapsülleme noktası1Q 4 ip rota önbelleği yok köprü grubu 4 köprü-grup 4 abone-döngü-kontrolü köprü grubu 4 blok bilinmeyen kaynak köprü grubu 4 kaynak öğrenme yok köprü grubu 4 tek noktaya yayılma yok köprü grubu 4 yayılma devre dışı ! arayüz Dot11Radio0.5 açıklama LAN Testi kapsülleme noktası 1Q 5 ip rota önbelleği yok köprü grubu 5 köprü-grup 5 abone-döngü-kontrolü köprü grubu 5 blok bilinmeyen kaynak köprü grubu 5 kaynak öğrenme yok köprü grubu 5 tek noktaya yayılma yok köprü grubu 5 yayılma devre dışı ! radius-sunucu özelliği 32 erişim-dahil-req formatı% h özel alan sunucusu özelliği 4 10.132.0.253 radius-sunucu ana bilgisayarı 10.132.0.99 auth-port 1812 acct-port 1813 standart dışı anahtar 7 131312061E3811242A142A7C79 radius-server vsa muhasebe gönderme radius-server vsa kimlik doğrulaması gönderme
Ve işte # show versione çıktısı
Cisco IOS Yazılımı, C1040 Yazılımı (C1140-K9W7-M), Sürüm 12.4 (25d) JA1, YAZILIM YAZILIMI (fc1) Teknik Destek: http://www.cisco.com/techsupport Telif Hakkı (c) 1986-2011, Cisco Systems, Inc. Derlenmiş Per 11-Ağu-11 02:58 yazan prod_rel_team ROM: Bootstrap programı C1040 önyükleme yükleyicisidir BOOTLDR: C1040 Önyükleme Yükleyici (C1140-BOOT-M) Sürüm 12.4 (23c) JA3, YAZILIM YAZILIMI (fc1) UFFICIO-AP1 çalışma süresi 8 hafta, 2 gün, 8 saat, 27 dakika Sistem açıldığında ROM'a geri döndü Sistem 22:39:10 UTC de yeniden başladı Nisan 16 2013 Sistem görüntü dosyası "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"
Biri yardım edebilir mi?
2
ACS veya başka bir RADIUS sunucusu kullanıyor musunuz?
—
Dave Noonan
FreeRADIUS'u MySQL arka
—
ucuyla
@MarcoMarzetti, eklemek olabilir
—
Mike Pennington
non-standard
için radius-server host
hat ve beni bu alıyoruz sonuçları değiştirirse haber verecek? Bunun çalışması için key 7
ifadeyi kendi başına farklı bir satıra koymanız gerekebilir .
@MikePennington bitti, ama hiçbir şey değişmedi. İ "SSID = Interactive_Ospiti" değer değişince BTW ben bu hata var:
—
Marco Marzetti
parse unknown cisco vsa "SSID" - IGNORE
. Böylece IOS özelliği anlar ve ayrıştırmaya çalışır.
Konfigürasyonunuz ne için
—
generalnetworkerror
interface Dot11Radio
?