Menggunakan RADIUS untuk membatasi SSID di Cisco Aironet


10

Saya ingin menggunakan server RADIUS saya untuk membatasi akses ke SSID yang dikonfigurasi pada basis per pengguna .

Menurut dokumentasi yang ditautkan di atas saya menambahkan atribut berikut ke pengguna uji:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Jadi, mengaktifkan otentikasi radius debug , saya melihat:

12 Juni 08: 30: 08.266: RADIUS (00001A96): Kirim Akses-Permintaan ke 212.183.164.38:1812 id 1645/128, len 177
12 Juni 08: 30: 08.266: RADIUS: authenticator CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
12 Juni 08: 30: 08.267: RADIUS: Nama Pengguna [1] 12 "ospite-5vh"
12 Juni 08: 30: 08.267: RADIUS: Framed-MTU [12] 6 1400                      
12 Juni 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002"
12 Juni 08: 30: 08.267: RADIUS: Calling-Station-Id [31] 16 "2064.3267.44ca"
12 Juni 08: 30: 08.267: RADIUS: Vendor, Cisco [26] 29  
12 Juni 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test"
12 Juni 08: 30: 08.267: RADIUS: Tipe-Layanan [6] 6 Login [1]
12 Juni 08: 30: 08.267: RADIUS: Message-Authenticato [80] 18  
12 Juni 08: 30: 08.267: RADIUS: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
12 Juni 08: 30: 08.267: RADIUS: EAP-Message [79] 17  
12 Juni 08: 30: 08.267: RADIUS: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
12 Juni 08: 30: 08.267: RADIUS: NAS-Port-Type [61] 6 802.11 nirkabel [19]
12 Juni 08: 30: 08.267: RADIUS: NAS-Port [5] 6 7037                      
12 Juni 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037"
12 Juni 08: 30: 08.268: RADIUS: NAS-IP-Address [4] 6 10.132.0.253              
12 Juni 08: 30: 08.268: RADIUS: Nas-Identifier [32] 13 "UFFICIO-AP1"
12 Juni 08: 30: 08.325: RADIUS: Diterima dari id 1645/128 212.183.164.38:1812, Access-Challenge, len 95
12 Juni 08: 30: 08.325: RADIUS: authenticator 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12 Juni 08: 30: 08.325: RADIUS: Vendor, Cisco [26] 31  
12 Juni 08: 30: 08.325: RADIUS: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
12 Juni 08: 30: 08.325: RADIUS: EAP-Message [79] 8   
12 Juni 08: 30: 08.325: RADIUS: 01 02 00 06 19 20 [????? ]
12 Juni 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18  
12 Juni 08: 30: 08.325: RADIUS: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??]
12 Juni 08: 30: 08.326: RADIUS: Negara [24] 18  
12 Juni 08: 30: 08.326: RADIUS: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12 Juni 08: 30: 08.326: RADIUS (00001A96): Diterima dari id 1645/128

Jadi saya berharap permintaan ditolak karena "SSID asosiasi" tidak cocok dengan RADIUS, melainkan diakui dan pengguna terhubung.

Konfigurasi yang relevan mengikuti:

aaa autentikasi masuk grup jari-jari default
aaa autentikasi masuk radius grup eap_methods
default jaringan otorisasi aaa jika dikonfirmasi 
akuntansi yang bersarang
aaa pembaruan akuntansi berkala 5
aaa jaringan akuntansi eap_methods radius grup start-stop
!
dot11 ssid Interactive
   vlan 1
   otentikasi terbuka 
   otentikasi kunci-manajemen wpa
   mode tamu mbssid
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   otentikasi terbuka 
   otentikasi kunci-manajemen wpa
   mode tamu mbssid
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   vlan 5
   otentikasi buka eap eap_methods 
   otentikasi jaringan-eap eap_methods 
   manajemen kunci otentikasi versi wpa 2
   akuntansi eap_methods
   mode tamu mbssid
!
antarmuka Dot11Radio0
 tidak ada alamat ip
 tidak ada ip route-cache
 enkripsi vlan 4 mode ciphers aes-ccm tkip 
 mode enkripsi vlan 1 ciphers aes-ccm tkip 
 enkripsi vlan 5 mode ciphers aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 penguatan antena 0
 mbssid
 tidak ada slot pendek
 speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
 saluran 2457
 akar peran stasiun
!
antarmuka Dot11Radio0.1
 deskripsi LAN Interaktif
 enkapsulasi dot1Q 1 asli
 tidak ada ip route-cache
 kelompok jembatan 1
 jembatan-grup 1 kontrol-pelanggan-loop
 jembatan-grup 1 blok-sumber tidak diketahui
 tidak ada pembelajaran kelompok jembatan 1
 tidak ada jembatan-grup 1 unicast-flooding
 bridge-group 1 spanning-disable
!
antarmuka Dot11Radio0.4
 deskripsi LAN Ospiti
 enkapsulasi dot1Q 4
 tidak ada ip route-cache
 kelompok jembatan 4
 jembatan-grup 4 kontrol-pelanggan-loop
 jembatan-grup 4 blok-sumber tidak diketahui
 tidak ada jembatan-grup 4 belajar sumber
 tidak ada jembatan-grup 4 unicast-flooding
 bridge-group 4 spanning-disable
!
antarmuka Dot11Radio0.5
 deskripsi Tes LAN
 enkapsulasi dot1Q 5
 tidak ada ip route-cache
 kelompok jembatan 5
 jembatan-grup 5 kontrol-pelanggan-loop
 jembatan-grup 5 blok-sumber tidak diketahui
 tidak ada jembatan-kelompok 5 sumber belajar
 tidak ada jembatan-grup 5 unicast-flooding
 bridge-group 5 spanning-disable
!
atribut radius-server 32 termasuk format in-access-req% h
atribut radius-server 4 10.132.0.253
host radius-server 10.132.0.99 auth-port 1812 acct-port 1813 kunci non-standar 7 131312061E3811242A142A7C79
radius-server vsa mengirim akuntansi
radius-server vsa mengirim otentikasi

Dan inilah output dari # show versione

Perangkat Lunak Cisco IOS, Perangkat Lunak C1040 (C1140-K9W7-M), Versi 12.4 (25d) JA1, RELEASE SOFTWARE (fc1)
Dukungan Teknis: http://www.cisco.com/techsupport
Hak Cipta (c) 1986-2011 oleh Cisco Systems, Inc.
Dikompilasi Kamis 11-Aug-11 02:58 oleh prod_rel_team

ROM: Program Bootstrap adalah boot loader C1040
BOOTLDR: C1040 Boot Loader (C1140-BOOT-M) Versi 12.4 (23c) JA3, RELEASE SOFTWARE (fc1)

Waktu aktif UFFICIO-AP1 adalah 8 minggu, 2 hari, 8 jam, 27 menit
Sistem kembali ke ROM dengan power-on
Sistem dimulai kembali pada 22:39:10 UTC Sel 16 Apr 2013
File gambar sistem adalah "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"

Adakah yang bisa membantu?


2
Apakah Anda menggunakan ACS atau server RADIUS lainnya?
Dave Noonan

Saya menggunakan FreeRADIUS dengan MySQL backend
Marco Marzetti

@MarcoMarzetti, dapatkah Anda menambahkan non-standardke radius-server hostbaris dan beri tahu saya jika ini mengubah hasil yang Anda dapatkan? Anda mungkin harus meletakkan key 7pernyataan itu sendiri di jalur yang berbeda agar ini berfungsi.
Mike Pennington

@ MikePennington selesai, tetapi tidak ada yang berubah. BTW saya punya kesalahan ini ketika saya mengubah nilai ke "SSID = Interactive_Ospiti": parse unknown cisco vsa "SSID" - IGNORE. Jadi IOS mengerti atributnya dan mencoba menguraikannya.
Marco Marzetti

Untuk apa konfigurasi Anda interface Dot11Radio ?
generalnetworkerror

Jawaban:


1

Coba ubah operator dalam konfigurasi freeradius menjadi "= ~":

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"


jangan pikir ini bisa membantu karena "= ~" adalah untuk perbandingan dan saya ingin tugas. Perhatikan bahwa pemeriksaan SSID harus dilakukan oleh iOS bukan oleh FreeRADIUS.
Marco Marzetti
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.