Saya ingin menggunakan server RADIUS saya untuk membatasi akses ke SSID yang dikonfigurasi pada basis per pengguna .
Menurut dokumentasi yang ditautkan di atas saya menambahkan atribut berikut ke pengguna uji:
ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"
Jadi, mengaktifkan otentikasi radius debug , saya melihat:
12 Juni 08: 30: 08.266: RADIUS (00001A96): Kirim Akses-Permintaan ke 212.183.164.38:1812 id 1645/128, len 177 12 Juni 08: 30: 08.266: RADIUS: authenticator CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37 12 Juni 08: 30: 08.267: RADIUS: Nama Pengguna [1] 12 "ospite-5vh" 12 Juni 08: 30: 08.267: RADIUS: Framed-MTU [12] 6 1400 12 Juni 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002" 12 Juni 08: 30: 08.267: RADIUS: Calling-Station-Id [31] 16 "2064.3267.44ca" 12 Juni 08: 30: 08.267: RADIUS: Vendor, Cisco [26] 29 12 Juni 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test" 12 Juni 08: 30: 08.267: RADIUS: Tipe-Layanan [6] 6 Login [1] 12 Juni 08: 30: 08.267: RADIUS: Message-Authenticato [80] 18 12 Juni 08: 30: 08.267: RADIUS: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?] 12 Juni 08: 30: 08.267: RADIUS: EAP-Message [79] 17 12 Juni 08: 30: 08.267: RADIUS: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh] 12 Juni 08: 30: 08.267: RADIUS: NAS-Port-Type [61] 6 802.11 nirkabel [19] 12 Juni 08: 30: 08.267: RADIUS: NAS-Port [5] 6 7037 12 Juni 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037" 12 Juni 08: 30: 08.268: RADIUS: NAS-IP-Address [4] 6 10.132.0.253 12 Juni 08: 30: 08.268: RADIUS: Nas-Identifier [32] 13 "UFFICIO-AP1" 12 Juni 08: 30: 08.325: RADIUS: Diterima dari id 1645/128 212.183.164.38:1812, Access-Challenge, len 95 12 Juni 08: 30: 08.325: RADIUS: authenticator 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85 12 Juni 08: 30: 08.325: RADIUS: Vendor, Cisco [26] 31 12 Juni 08: 30: 08.325: RADIUS: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti" 12 Juni 08: 30: 08.325: RADIUS: EAP-Message [79] 8 12 Juni 08: 30: 08.325: RADIUS: 01 02 00 06 19 20 [????? ] 12 Juni 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18 12 Juni 08: 30: 08.325: RADIUS: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??] 12 Juni 08: 30: 08.326: RADIUS: Negara [24] 18 12 Juni 08: 30: 08.326: RADIUS: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U] 12 Juni 08: 30: 08.326: RADIUS (00001A96): Diterima dari id 1645/128
Jadi saya berharap permintaan ditolak karena "SSID asosiasi" tidak cocok dengan RADIUS, melainkan diakui dan pengguna terhubung.
Konfigurasi yang relevan mengikuti:
aaa autentikasi masuk grup jari-jari default aaa autentikasi masuk radius grup eap_methods default jaringan otorisasi aaa jika dikonfirmasi akuntansi yang bersarang aaa pembaruan akuntansi berkala 5 aaa jaringan akuntansi eap_methods radius grup start-stop ! dot11 ssid Interactive vlan 1 otentikasi terbuka otentikasi kunci-manajemen wpa mode tamu mbssid wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51 ! dot11 ssid Interactive_Ospiti vlan 4 otentikasi terbuka otentikasi kunci-manajemen wpa mode tamu mbssid wpa-psk ascii 7 15475E1D0725242D262D265D12730301204 ! dot11 ssid Interactive_Test vlan 5 otentikasi buka eap eap_methods otentikasi jaringan-eap eap_methods manajemen kunci otentikasi versi wpa 2 akuntansi eap_methods mode tamu mbssid ! antarmuka Dot11Radio0 tidak ada alamat ip tidak ada ip route-cache enkripsi vlan 4 mode ciphers aes-ccm tkip mode enkripsi vlan 1 ciphers aes-ccm tkip enkripsi vlan 5 mode ciphers aes-ccm tkip ssid Interactive ssid Interactive_Ospiti ssid Interactive_Test penguatan antena 0 mbssid tidak ada slot pendek speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 saluran 2457 akar peran stasiun ! antarmuka Dot11Radio0.1 deskripsi LAN Interaktif enkapsulasi dot1Q 1 asli tidak ada ip route-cache kelompok jembatan 1 jembatan-grup 1 kontrol-pelanggan-loop jembatan-grup 1 blok-sumber tidak diketahui tidak ada pembelajaran kelompok jembatan 1 tidak ada jembatan-grup 1 unicast-flooding bridge-group 1 spanning-disable ! antarmuka Dot11Radio0.4 deskripsi LAN Ospiti enkapsulasi dot1Q 4 tidak ada ip route-cache kelompok jembatan 4 jembatan-grup 4 kontrol-pelanggan-loop jembatan-grup 4 blok-sumber tidak diketahui tidak ada jembatan-grup 4 belajar sumber tidak ada jembatan-grup 4 unicast-flooding bridge-group 4 spanning-disable ! antarmuka Dot11Radio0.5 deskripsi Tes LAN enkapsulasi dot1Q 5 tidak ada ip route-cache kelompok jembatan 5 jembatan-grup 5 kontrol-pelanggan-loop jembatan-grup 5 blok-sumber tidak diketahui tidak ada jembatan-kelompok 5 sumber belajar tidak ada jembatan-grup 5 unicast-flooding bridge-group 5 spanning-disable ! atribut radius-server 32 termasuk format in-access-req% h atribut radius-server 4 10.132.0.253 host radius-server 10.132.0.99 auth-port 1812 acct-port 1813 kunci non-standar 7 131312061E3811242A142A7C79 radius-server vsa mengirim akuntansi radius-server vsa mengirim otentikasi
Dan inilah output dari # show versione
Perangkat Lunak Cisco IOS, Perangkat Lunak C1040 (C1140-K9W7-M), Versi 12.4 (25d) JA1, RELEASE SOFTWARE (fc1) Dukungan Teknis: http://www.cisco.com/techsupport Hak Cipta (c) 1986-2011 oleh Cisco Systems, Inc. Dikompilasi Kamis 11-Aug-11 02:58 oleh prod_rel_team ROM: Program Bootstrap adalah boot loader C1040 BOOTLDR: C1040 Boot Loader (C1140-BOOT-M) Versi 12.4 (23c) JA3, RELEASE SOFTWARE (fc1) Waktu aktif UFFICIO-AP1 adalah 8 minggu, 2 hari, 8 jam, 27 menit Sistem kembali ke ROM dengan power-on Sistem dimulai kembali pada 22:39:10 UTC Sel 16 Apr 2013 File gambar sistem adalah "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"
Adakah yang bisa membantu?
2
Apakah Anda menggunakan ACS atau server RADIUS lainnya?
—
Dave Noonan
Saya menggunakan FreeRADIUS dengan MySQL backend
—
Marco Marzetti
@MarcoMarzetti, dapatkah Anda menambahkan
—
Mike Pennington
non-standard
ke radius-server host
baris dan beri tahu saya jika ini mengubah hasil yang Anda dapatkan? Anda mungkin harus meletakkan key 7
pernyataan itu sendiri di jalur yang berbeda agar ini berfungsi.
@ MikePennington selesai, tetapi tidak ada yang berubah. BTW saya punya kesalahan ini ketika saya mengubah nilai ke "SSID = Interactive_Ospiti":
—
Marco Marzetti
parse unknown cisco vsa "SSID" - IGNORE
. Jadi IOS mengerti atributnya dan mencoba menguraikannya.
Untuk apa konfigurasi Anda
—
generalnetworkerror
interface Dot11Radio
?