我想使用RADIUS服务器来限制每个用户对已配置SSID的访问。
根据上面链接的文档,我向测试用户添加以下属性:
ospite-5vh Cisco-AVPair + =“ ssid = Interactive_Ospiti”
因此,启用调试半径身份验证,我看到:
6月12日08:30:08.266:RADIUS(00001A96):将访问请求发送至212.183.164.38:1812 id 1645/128,len 177
6月12日08:30:08.266:RADIUS:身份验证器CC C9 63 16 B0 62 74 52-A7 95 DF 1D 93 F3 08 37
6月12日08:30:08.267:RADIUS:用户名[1] 12“ ospite-5vh”
6月12日08:30:08.267:RADIUS:成帧的MTU [12] 6 1400
6月12日08:30:08.267:RADIUS:被叫站ID [30] 16“ 8478.acf0.9002”
6月12日08:30:08.267:RADIUS:呼叫站ID [31] 16“ 2064.3267.44ca”
6月12日08:30:08.267:RADIUS:供应商,思科[26] 29
6月12日08:30:08.267:RADIUS:Cisco AVpair [1] 23“ ssid = Interactive_Test”
6月12日08:30:08.267:RADIUS:服务类型[6] 6登录[1]
6月12日08:30:08.267:RADIUS:Message-Authenticato [80] 18
6月12日08:30:08.267:RADIUS:7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ?????? C?]
6月12日08:30:08.267:RADIUS:EAP消息[79] 17
6月12日08:30:08.267:RADIUS:02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [?? ospite-5vh]
6月12日08:30:08.267:RADIUS:NAS端口类型[61] 6 802.11无线[19]
6月12日08:30:08.267:RADIUS:NAS端口[5] 6 7037
6月12日08:30:08.268:RADIUS:NAS端口ID [87] 6“ 7037”
6月12日08:30:08.268:RADIUS:NAS-IP地址[4] 6 10.132.0.253
6月12日08:30:08.268:RADIUS:Nas标识符[32] 13“ UFFICIO-AP1”
6月12日08:30:08.325:RADIUS:从ID 1645/128接收到212.183.164.38:1812,访问挑战,len 95
6月12日08:30:08.325:RADIUS:身份验证器8A C9 30 9B 1B 13 20 91-4C D6 FE B3 2A 1E F7 85
6月12日08:30:08.325:RADIUS:供应商,思科[26] 31
6月12日08:30:08.325:RADIUS:Cisco AVpair [1] 25“ ssid = Interactive_Ospiti”
6月12日08:30:08.325:RADIUS:EAP消息[79] 8
Jun 12 08:30:08.325:RADIUS:01 02 00 06 19 20 [????? ]
6月12日08:30:08.325:RADIUS:Message-Authenticato [80] 18
6月12日08:30:08.325:RADIUS:31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {?g〜qZ?S?v。??]
6月12日08:30:08.326:RADIUS:状态[24] 18
6月12日08:30:08.326:RADIUS:9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
6月12日08:30:08.326:RADIUS(00001A96):从ID 1645/128接收
因此,我希望该请求被拒绝,因为“关联SSID”与RADIUS不匹配,而是被确认并且用户已连接。
相关配置如下:
aaa身份验证登录默认组半径 aaa身份验证登录eap_methods组半径 aaa授权网络默认(如果已验证) AAA会计嵌套 aaa会计更新定期5 aaa计费网络eap_methods起止组半径 ! dot11 ssid互动 VLAN 1 认证开放 认证密钥管理wpa mbssid访客模式 wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51 ! dot11 ssid Interactive_Ospiti VLAN 4 认证开放 认证密钥管理wpa mbssid访客模式 wpa-psk ascii 7 15475E1D0725242D262D265D12730301204 ! dot11 ssid Interactive_Test VLAN 5 身份验证打开eap eap_methods 身份验证网络-eap_methods 身份验证密钥管理wpa版本2 会计eap_methods mbssid访客模式 ! 接口Dot11Radio0 没有IP地址 没有IP路由缓存 加密VLAN 4模式密码aes-ccm tkip 加密VLAN 1模式密码aes-ccm tkip 加密VLAN 5模式密码aes-ccm tkip ssid互动 ssid Interactive_Ospiti ssid Interactive_Test 天线增益0 mbssid 无短时 速度basic-1.0 basic-2.0 basic-5.5 basic-11.0 频道2457 站角色根 ! 接口Dot11Radio0.1 描述LAN互动 封装dot1Q 1本机 没有IP路由缓存 桥组1 桥接组1用户环路控制 桥组1未知数据块 没有网桥组1的源学习 没有网桥组1单播洪泛 桥接组1禁用 ! Dot11Radio0.4接口 描述LAN Ospiti 封装dot1Q 4 没有IP路由缓存 桥组4 桥接组4用户环路控制 桥组4块-未知源 没有网桥组4的源学习 没有网桥组4单播洪泛 桥接组4跨越禁用 ! 接口Dot11Radio0.5 描述局域网测试 封装dot1Q 5 没有IP路由缓存 桥组5 桥接组5用户环路控制 桥组5块-未知源 没有网桥组5的源学习 没有网桥组5单播洪水 桥组5跨越禁用 ! 半径服务器属性32包含请求格式%h radius-server属性4 10.132.0.253 半径服务器主机10.132.0.99身份验证端口1812 acct端口1813非标准密钥7 131312061E3811242A142A7C79 半径服务器vsa发送计费 radius-server vsa发送认证
这是#show versione的输出
Cisco IOS软件,C1040软件(C1140-K9W7-M),版本12.4(25d)JA1,发行软件(fc1) 技术支持:http://www.cisco.com/techsupport 思科系统公司(c)1986-2011版权所有(c)。 由prod_rel_team编译的2011年8月11日星期四02:58 ROM:引导程序是C1040引导程序 BOOTLDR:C1040引导加载程序(C1140-BOOT-M)版本12.4(23c)JA3,发布软件(fc1) UFFICIO-AP1的正常运行时间为8周,2天,8小时,27分钟 系统上电返回ROM 系统于世界标准时间22:39:10 UTC Tue Apr 16 2013重新启动 系统映像文件为“ flash:/c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1”
有人可以帮忙吗?
2
您在使用ACS还是其他RADIUS服务器?
—
Dave Noonan 2013年
我正在将FreeRADIUS与MySQL后端一起使用
—
Marco Marzetti 2013年
@MarcoMarzetti,您能否添加
—
Mike Pennington
non-standard到这一radius-server host行,并让我知道这是否会改变您得到的结果?您可能必须将key 7语句本身放在不同的行中才能起作用。
@MikePennington完成了,但是什么都没有改变。顺便说一句,当我将值更改为“ SSID = Interactive_Ospiti”时,出现此错误:
—
Marco Marzetti
parse unknown cisco vsa "SSID" - IGNORE。因此,IOS可以理解该属性并尝试对其进行解析。
您的配置是
—
generalnetworkerror 2013年
interface Dot11Radio什么?