การใช้ RADIUS เพื่อ จำกัด SSID บน Cisco Aironet


10

ผมอยากจะใช้ RADIUS เซิร์ฟเวอร์ของฉันเพื่อ จำกัด การเข้าถึง SSID กำหนดค่าบนพื้นฐานต่อผู้ใช้

ตามเอกสารที่ลิงก์ข้างต้นฉันเพิ่มคุณสมบัติต่อไปนี้ให้กับผู้ใช้ทดสอบ:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

ดังนั้นการเปิดใช้งานการตรวจสอบรัศมีการตรวจแก้จุดบกพร่องฉันเห็น:

12 มิถุนายน 08: 30: 08.266: รัศมี (00001A96): ส่งคำขอเข้าถึง 212.183.164.38:1812 id 1645/128, len 177
12 มิถุนายน 08: 30: 08.266: รัศมี: authenticator CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
12 มิถุนายน 08: 30: 08.267: รัศมี: ชื่อผู้ใช้ [1] 12 "ospite-5vh"
12 มิถุนายน 08: 30: 08.267: รัศมี: Frame-MTU [12] 6 1400                      
12 มิถุนายน 08: 30: 08.267: รัศมี: เรียกว่า -Stad-Id [30] 16 "8478.acf0.9002"
12 มิถุนายน 08: 30: 08.267: รัศมี: Calling-Station-Id [31] 16 "2064.3267.44ca"
12 มิถุนายน 08: 30: 08.267: รัศมี: ผู้ขาย, ซิสโก้ [26] 29  
12 มิถุนายน 08: 30: 08.267: รัศมี: Cisco AVpair [1] 23 "ssid = Interactive_Test"
12 มิถุนายน 08: 30: 08.267: รัศมี: ประเภทบริการ [6] 6 เข้าสู่ระบบ [1]
12 มิถุนายน 08: 30: 08.267: รัศมี: ข่าวสาร - ของแท้ [80] 18  
12 มิถุนายน 08: 30: 08.267: รัศมี: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
12 มิถุนายน 08: 30: 08.267: รัศมี: EAP- ข้อความ [79] 17  
12 มิถุนายน 08: 30: 08.267: รัศมี: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
12 มิถุนายน 08: 30: 08.267: รัศมี: NAS-Port-Type [61] 6 802.11 แบบไร้สาย [19]
12 มิถุนายน 08: 30: 08.267: รัศมี: NAS-Port [5] 6 7037                      
12 มิถุนายน 08: 30: 08.268: รัศมี: NAS-Port-Id [87] 6 "7037"
12 มิถุนายน 08: 30: 08.268: รัศมี: NAS-IP-Address [4] 6 10.132.0.253              
12 มิถุนายน 08: 30: 08.268: รัศมี: Nas-Identifier [32] 13 "UFFICIO-AP1"
12 มิถุนายน 08: 30: 08.325: รัศมี: ได้รับจาก id 1645/128 212.183.164.38:1812, Access-Challenge, len 95
12 มิถุนายน 08: 30: 08.325: รัศมี: authenticator 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12 มิถุนายน 08: 30: 08.325: รัศมี: ผู้ขาย, ซิสโก้ [26] 31  
12 มิถุนายน 08: 30: 08.325: รัศมี: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
12 มิถุนายน 08: 30: 08.325: รัศมี: EAP- ข้อความ [79] 8   
12 มิถุนายน 08: 30: 08.325: รัศมี: 01 02 00 06 19 20 [????? ]
12 มิถุนายน 08: 30: 08.325: รัศมี: ข่าวสาร - ของแท้ [80] 18  
12 มิถุนายน 08: 30: 08.325: รัศมี: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? g ~ qZ? S? v. ??]
12 มิถุนายน 08: 30: 08.326: รัศมี: รัฐ [24] 18  
12 มิถุนายน 08: 30: 08.326: รัศมี: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12 มิถุนายน 08: 30: 08.326: รัศมี (00001A96): ได้รับจาก id 1645/128

ดังนั้นฉันคาดหวังว่าคำขอจะถูกปฏิเสธเนื่องจาก "การเชื่อมโยง SSID" ไม่ตรงกับ RADIUS หนึ่ง แต่เป็นที่รับรู้และผู้ใช้เชื่อมต่อ

การกำหนดค่าที่เกี่ยวข้องมีดังนี้:

รัศมีเริ่มต้นกลุ่มเข้าสู่ระบบการรับรองความถูกต้อง aaa
aaa การรับรองความถูกต้องเข้าสู่ระบบ eap_methods รัศมีกลุ่ม
aaa เครือข่ายการอนุญาตเริ่มต้นถ้ารับรองความถูกต้อง 
บัญชี aaa ซ้อนกัน
การอัปเดตบัญชี aaa เป็นระยะ 5
เครือข่ายบัญชี aaa eap_methods รัศมีกลุ่มเริ่มต้น
!
dot11 ssid Interactive
   vlan 1
   การตรวจสอบเปิด 
   การจัดการคีย์การรับรองความถูกต้อง wpa
   mbssid โหมดผู้เยี่ยมชม
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   การตรวจสอบเปิด 
   การจัดการคีย์การรับรองความถูกต้อง wpa
   mbssid โหมดผู้เยี่ยมชม
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   vlan 5
   การพิสูจน์ตัวตนเปิด eap eap_methods 
   การตรวจสอบความถูกต้องเครือข่าย -eap eap_methods 
   การพิสูจน์ตัวตนการจัดการคีย์ wpa เวอร์ชัน 2
   การบัญชี eap_methods
   mbssid โหมดผู้เยี่ยมชม
!
อินเตอร์เฟส Dot11Radio0
 ไม่มีที่อยู่ IP
 ไม่มี ip route-cache
 การเข้ารหัส vlan 4 โหมด ciphers aes-ccm tkip 
 การเข้ารหัส vlan 1 โหมด ciphers aes-ccm tkip 
 การเข้ารหัส vlan 5 โหมด ciphers aes-ccm tkip 
 อินเตอร์แอคที ssid
 ssid Interactive_Ospiti
 ssid Interactive_Test
 เสาอากาศรับ 0
 mbssid
 ไม่มีช่วงเวลาสั้น ๆ
 speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
 ช่อง 2457
 รูทบทบาทสถานี
!
อินเตอร์เฟส Dot11Radio0.1
 คำอธิบาย LAN Interactive
 encapsulation dot1Q 1 เนทิฟ
 ไม่มี ip route-cache
 กลุ่มสะพาน 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 ไม่มีบริดจ์กลุ่ม 1 แหล่งการเรียนรู้
 ไม่มีกลุ่มสะพาน 1 unicast น้ำท่วม
 bridge-group 1 Spanning-disabled
!
อินเตอร์เฟส Dot11Radio0.4
 คำอธิบาย LAN Ospiti
 การห่อหุ้ม dot1Q 4
 ไม่มี ip route-cache
 กลุ่มสะพาน 4
 bridge-group 4 subscriber-loop-control
 bridge-group 4 block-unknown-source
 ไม่มีบริดจ์กลุ่ม 4 แหล่งการเรียนรู้
 ไม่มีกลุ่มสะพาน 4 unicast น้ำท่วม
 bridge-group 4 Spanning-disabled
!
อินเตอร์เฟส Dot11Radio0.5
 คำอธิบายการทดสอบ LAN
 encapsulation dot1Q 5
 ไม่มี ip route-cache
 กลุ่มสะพาน 5
 bridge-group 5 subscriber-loop-control
 bridge-group 5 block-unknown-source
 ไม่มีบริดจ์กลุ่ม 5 แหล่งการเรียนรู้
 ไม่มีกลุ่มสะพาน 5 unicast- น้ำท่วม
 bridge-group 5 spanning-disabled
!
แอ็ตทริบิวต์ radius-server 32 รวมถึง in-access-req format% h
แอ็ตทริบิวต์ radius-server 4 10.132.0.253
โฮสต์เซิร์ฟเวอร์รัศมี 10.132.0.99 auth-port 1812 acct-port 1813 คีย์ที่ไม่ได้มาตรฐาน 7 131312061E3811242A142A7C79
radius-server vsa ส่งการบัญชี
radius-server vsa ส่งการตรวจสอบสิทธิ์

และนี่คือผลลัพธ์ของ # show versione

ซอฟต์แวร์ Cisco IOS, ซอฟต์แวร์ C1040 (C1140-K9W7-M), เวอร์ชั่น 12.4 (25d) JA1, ซอฟต์แวร์เปิดตัว (fc1)
การสนับสนุนด้านเทคนิค: http://www.cisco.com/techsupport
ลิขสิทธิ์ (c) 1986-2011 โดย Cisco Systems, Inc.
รวบรวม Thu 11-Aug-11 02:58 โดย prod_rel_team

ROM: โปรแกรม Bootstrap คือบูตโหลดเดอร์ C1040
BOOTLDR: C1040 Boot Loader (C1140-BOOT-M) เวอร์ชั่น 12.4 (23c) JA3, การเปิดตัวซอฟต์แวร์ (fc1)

เวลาว่าง UFFICIO-AP1 คือ 8 สัปดาห์ 2 วัน 8 ชั่วโมง 27 นาที
ระบบกลับสู่ ROM โดยเปิดเครื่อง
ระบบเริ่มต้นใหม่เมื่อ 22:39:10 UTC อ. 16 เม.ย. 2013
ไฟล์อิมเมจระบบคือ "แฟลช: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"

ใครช่วยได้บ้าง


2
คุณใช้ ACS หรือเซิร์ฟเวอร์ RADIUS อื่นหรือไม่
เดฟนูนนัน

ฉันใช้ FreeRADIUS กับแบ็กเอนด์ MySQL
Marco Marzetti

@MarcoMarzetti คุณสามารถเพิ่มnon-standardในradius-server hostบรรทัดและแจ้งให้เราทราบว่าสิ่งนี้เปลี่ยนแปลงผลลัพธ์ที่คุณได้รับหรือไม่ คุณอาจต้องวางkey 7คำสั่งด้วยตัวเองในบรรทัดที่แตกต่างกันเพื่อให้การทำงาน
Mike Pennington

@ MikePennington เสร็จสิ้น แต่ไม่มีอะไรเปลี่ยนแปลง BTW ผมได้รับข้อผิดพลาดนี้เมื่อฉันเปลี่ยนค่าเป็น "SSID = parse unknown cisco vsa "SSID" - IGNOREInteractive_Ospiti": ดังนั้น IOS จึงเข้าใจแอตทริบิวต์และพยายามแยกวิเคราะห์
Marco Marzetti

คุณตั้งค่าไว้ทำinterface Dot11Radioอะไร
generalnetworkerror

คำตอบ:


1

ลองเปลี่ยนโอเปอเรเตอร์ในการตั้งค่า freeradius เป็น "= ~":

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"


อย่าคิดว่านี่จะช่วยได้เนื่องจาก "= ~" สำหรับการเปรียบเทียบและฉันต้องการการมอบหมาย โปรดทราบว่าการตรวจสอบ SSID ควรทำโดย IOS ไม่ใช่โดย FreeRADIUS
Marco Marzetti
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.