ผมอยากจะใช้ RADIUS เซิร์ฟเวอร์ของฉันเพื่อ จำกัด การเข้าถึง SSID กำหนดค่าบนพื้นฐานต่อผู้ใช้
ตามเอกสารที่ลิงก์ข้างต้นฉันเพิ่มคุณสมบัติต่อไปนี้ให้กับผู้ใช้ทดสอบ:
ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"
ดังนั้นการเปิดใช้งานการตรวจสอบรัศมีการตรวจแก้จุดบกพร่องฉันเห็น:
12 มิถุนายน 08: 30: 08.266: รัศมี (00001A96): ส่งคำขอเข้าถึง 212.183.164.38:1812 id 1645/128, len 177 12 มิถุนายน 08: 30: 08.266: รัศมี: authenticator CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37 12 มิถุนายน 08: 30: 08.267: รัศมี: ชื่อผู้ใช้ [1] 12 "ospite-5vh" 12 มิถุนายน 08: 30: 08.267: รัศมี: Frame-MTU [12] 6 1400 12 มิถุนายน 08: 30: 08.267: รัศมี: เรียกว่า -Stad-Id [30] 16 "8478.acf0.9002" 12 มิถุนายน 08: 30: 08.267: รัศมี: Calling-Station-Id [31] 16 "2064.3267.44ca" 12 มิถุนายน 08: 30: 08.267: รัศมี: ผู้ขาย, ซิสโก้ [26] 29 12 มิถุนายน 08: 30: 08.267: รัศมี: Cisco AVpair [1] 23 "ssid = Interactive_Test" 12 มิถุนายน 08: 30: 08.267: รัศมี: ประเภทบริการ [6] 6 เข้าสู่ระบบ [1] 12 มิถุนายน 08: 30: 08.267: รัศมี: ข่าวสาร - ของแท้ [80] 18 12 มิถุนายน 08: 30: 08.267: รัศมี: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?] 12 มิถุนายน 08: 30: 08.267: รัศมี: EAP- ข้อความ [79] 17 12 มิถุนายน 08: 30: 08.267: รัศมี: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh] 12 มิถุนายน 08: 30: 08.267: รัศมี: NAS-Port-Type [61] 6 802.11 แบบไร้สาย [19] 12 มิถุนายน 08: 30: 08.267: รัศมี: NAS-Port [5] 6 7037 12 มิถุนายน 08: 30: 08.268: รัศมี: NAS-Port-Id [87] 6 "7037" 12 มิถุนายน 08: 30: 08.268: รัศมี: NAS-IP-Address [4] 6 10.132.0.253 12 มิถุนายน 08: 30: 08.268: รัศมี: Nas-Identifier [32] 13 "UFFICIO-AP1" 12 มิถุนายน 08: 30: 08.325: รัศมี: ได้รับจาก id 1645/128 212.183.164.38:1812, Access-Challenge, len 95 12 มิถุนายน 08: 30: 08.325: รัศมี: authenticator 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85 12 มิถุนายน 08: 30: 08.325: รัศมี: ผู้ขาย, ซิสโก้ [26] 31 12 มิถุนายน 08: 30: 08.325: รัศมี: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti" 12 มิถุนายน 08: 30: 08.325: รัศมี: EAP- ข้อความ [79] 8 12 มิถุนายน 08: 30: 08.325: รัศมี: 01 02 00 06 19 20 [????? ] 12 มิถุนายน 08: 30: 08.325: รัศมี: ข่าวสาร - ของแท้ [80] 18 12 มิถุนายน 08: 30: 08.325: รัศมี: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? g ~ qZ? S? v. ??] 12 มิถุนายน 08: 30: 08.326: รัศมี: รัฐ [24] 18 12 มิถุนายน 08: 30: 08.326: รัศมี: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U] 12 มิถุนายน 08: 30: 08.326: รัศมี (00001A96): ได้รับจาก id 1645/128
ดังนั้นฉันคาดหวังว่าคำขอจะถูกปฏิเสธเนื่องจาก "การเชื่อมโยง SSID" ไม่ตรงกับ RADIUS หนึ่ง แต่เป็นที่รับรู้และผู้ใช้เชื่อมต่อ
การกำหนดค่าที่เกี่ยวข้องมีดังนี้:
รัศมีเริ่มต้นกลุ่มเข้าสู่ระบบการรับรองความถูกต้อง aaa aaa การรับรองความถูกต้องเข้าสู่ระบบ eap_methods รัศมีกลุ่ม aaa เครือข่ายการอนุญาตเริ่มต้นถ้ารับรองความถูกต้อง บัญชี aaa ซ้อนกัน การอัปเดตบัญชี aaa เป็นระยะ 5 เครือข่ายบัญชี aaa eap_methods รัศมีกลุ่มเริ่มต้น ! dot11 ssid Interactive vlan 1 การตรวจสอบเปิด การจัดการคีย์การรับรองความถูกต้อง wpa mbssid โหมดผู้เยี่ยมชม wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51 ! dot11 ssid Interactive_Ospiti vlan 4 การตรวจสอบเปิด การจัดการคีย์การรับรองความถูกต้อง wpa mbssid โหมดผู้เยี่ยมชม wpa-psk ascii 7 15475E1D0725242D262D265D12730301204 ! dot11 ssid Interactive_Test vlan 5 การพิสูจน์ตัวตนเปิด eap eap_methods การตรวจสอบความถูกต้องเครือข่าย -eap eap_methods การพิสูจน์ตัวตนการจัดการคีย์ wpa เวอร์ชัน 2 การบัญชี eap_methods mbssid โหมดผู้เยี่ยมชม ! อินเตอร์เฟส Dot11Radio0 ไม่มีที่อยู่ IP ไม่มี ip route-cache การเข้ารหัส vlan 4 โหมด ciphers aes-ccm tkip การเข้ารหัส vlan 1 โหมด ciphers aes-ccm tkip การเข้ารหัส vlan 5 โหมด ciphers aes-ccm tkip อินเตอร์แอคที ssid ssid Interactive_Ospiti ssid Interactive_Test เสาอากาศรับ 0 mbssid ไม่มีช่วงเวลาสั้น ๆ speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 ช่อง 2457 รูทบทบาทสถานี ! อินเตอร์เฟส Dot11Radio0.1 คำอธิบาย LAN Interactive encapsulation dot1Q 1 เนทิฟ ไม่มี ip route-cache กลุ่มสะพาน 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source ไม่มีบริดจ์กลุ่ม 1 แหล่งการเรียนรู้ ไม่มีกลุ่มสะพาน 1 unicast น้ำท่วม bridge-group 1 Spanning-disabled ! อินเตอร์เฟส Dot11Radio0.4 คำอธิบาย LAN Ospiti การห่อหุ้ม dot1Q 4 ไม่มี ip route-cache กลุ่มสะพาน 4 bridge-group 4 subscriber-loop-control bridge-group 4 block-unknown-source ไม่มีบริดจ์กลุ่ม 4 แหล่งการเรียนรู้ ไม่มีกลุ่มสะพาน 4 unicast น้ำท่วม bridge-group 4 Spanning-disabled ! อินเตอร์เฟส Dot11Radio0.5 คำอธิบายการทดสอบ LAN encapsulation dot1Q 5 ไม่มี ip route-cache กลุ่มสะพาน 5 bridge-group 5 subscriber-loop-control bridge-group 5 block-unknown-source ไม่มีบริดจ์กลุ่ม 5 แหล่งการเรียนรู้ ไม่มีกลุ่มสะพาน 5 unicast- น้ำท่วม bridge-group 5 spanning-disabled ! แอ็ตทริบิวต์ radius-server 32 รวมถึง in-access-req format% h แอ็ตทริบิวต์ radius-server 4 10.132.0.253 โฮสต์เซิร์ฟเวอร์รัศมี 10.132.0.99 auth-port 1812 acct-port 1813 คีย์ที่ไม่ได้มาตรฐาน 7 131312061E3811242A142A7C79 radius-server vsa ส่งการบัญชี radius-server vsa ส่งการตรวจสอบสิทธิ์
และนี่คือผลลัพธ์ของ # show versione
ซอฟต์แวร์ Cisco IOS, ซอฟต์แวร์ C1040 (C1140-K9W7-M), เวอร์ชั่น 12.4 (25d) JA1, ซอฟต์แวร์เปิดตัว (fc1) การสนับสนุนด้านเทคนิค: http://www.cisco.com/techsupport ลิขสิทธิ์ (c) 1986-2011 โดย Cisco Systems, Inc. รวบรวม Thu 11-Aug-11 02:58 โดย prod_rel_team ROM: โปรแกรม Bootstrap คือบูตโหลดเดอร์ C1040 BOOTLDR: C1040 Boot Loader (C1140-BOOT-M) เวอร์ชั่น 12.4 (23c) JA3, การเปิดตัวซอฟต์แวร์ (fc1) เวลาว่าง UFFICIO-AP1 คือ 8 สัปดาห์ 2 วัน 8 ชั่วโมง 27 นาที ระบบกลับสู่ ROM โดยเปิดเครื่อง ระบบเริ่มต้นใหม่เมื่อ 22:39:10 UTC อ. 16 เม.ย. 2013 ไฟล์อิมเมจระบบคือ "แฟลช: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"
ใครช่วยได้บ้าง
2
คุณใช้ ACS หรือเซิร์ฟเวอร์ RADIUS อื่นหรือไม่
—
เดฟนูนนัน
ฉันใช้ FreeRADIUS กับแบ็กเอนด์ MySQL
—
Marco Marzetti
@MarcoMarzetti คุณสามารถเพิ่ม
—
Mike Pennington
non-standard
ในradius-server host
บรรทัดและแจ้งให้เราทราบว่าสิ่งนี้เปลี่ยนแปลงผลลัพธ์ที่คุณได้รับหรือไม่ คุณอาจต้องวางkey 7
คำสั่งด้วยตัวเองในบรรทัดที่แตกต่างกันเพื่อให้การทำงาน
@ MikePennington เสร็จสิ้น แต่ไม่มีอะไรเปลี่ยนแปลง BTW ผมได้รับข้อผิดพลาดนี้เมื่อฉันเปลี่ยนค่าเป็น "SSID =
—
Marco Marzetti
parse unknown cisco vsa "SSID" - IGNORE
Interactive_Ospiti": ดังนั้น IOS จึงเข้าใจแอตทริบิวต์และพยายามแยกวิเคราะห์
คุณตั้งค่าไว้ทำ
—
generalnetworkerror
interface Dot11Radio
อะไร