Cisco WiFi + RADIUS: Dynamic VLAN Assignment (динамическое назначение VLAN в SSID)

Больше
4 года 4 мес. назад - 4 года 3 мес. назад #190 от TOLLIFi
COM_KUNENA_MESSAGE_CREATED_NEW
Здесь речь пойдет о том как создать WiFi SSID, принадлежащий одновременно нескольким VLAN, на примере точек доступа Cisco AIR и RADIUS-сервера Microsoft NPS. Другое название такой технологии - Dynamic VLAN Assignment (динамическое назначение VLAN). Еще статьи по теме оптимизации WiFi: Оптимизация производительности Wi-Fi Cisco: Antenna Gain, Basic Rates, Bridge-Group, Packet Retries


Итак, перед нами стоит задача создать один универсальный WiFi SSID, поддерживающий подключение к разным доменам + гостевой доступ, и поддерживающий методы проверки подлинности по сертификату пользователя (и/или компьютера) и Protected EAP (PEAP + EAP-MSCHAPv2) (проверка логина и пароля пользователя в домене).

В нашем распоряжении имеются:

- 3 независимых домена (без доверительных отношений): GL.RUS, GC.RUS и CL.RUS;
- автономные точки доступа Cisco (связанные в WDS-инфраструктуру протоколом WLCCP): AIR-SAP1602I-R-K9 (IOS: (AP1G2-K9W7-M), Version 15.2(4)JB5);
- в каждом домене свой RADIUS-сервер Microsoft NPS на Windows 2008 R2;
- VLAN 100, 200 и 300 - подсети для клиентов GC.RUS, GL.RUS и CL.RUS соответственно;
- VLAN 777 - гостевая подсеть.

О том как объединить точки доступа в WDS-инфраструктуру подробно с примерами написано здесь .

Замечание: Технология Dynamic VLAN Assignment не поддерживается в режиме MBSSID!
Т.е. можно создать несколько SSID, даже активировать 'mbssid' на интерфейсах, но 'ssid <name>' на интерфейсах должен быть прописан только один, иначе будут работать только те SSID, для которых вручную прописан номер VLAN. Подробнее можно прочитать тут .

Неважно в каком домене находятся сами точки доступа. Важно то, как связаны по сети между собой все 3 домена, т.к. необходимо выбрать такой RADIUS-сервер, у которого имеется связь с другими двумя RADIUS-серверами (других двух доменов) по стандартным UDP-портам (1812 и 1813, либо 1645 и 1646). Этот сервер будет являться отправной точкой аутентификации и авторизации всех клиентов и при необходимости перенаправлять запросы на соответствующие RADIUS-сервера других доменов, назовем его Основной RADIUS-сервер.

В примере, в качестве Основного RADIUS-сервера выбран сервер в домене GL.RUS. Его функции:
- проверка подлинности всех пользователей и компьютеров домена GL.RUS и назначение политик авторизации;
- перенаправление запросов на проверку подлинности на RADIUS-сервера доменов GC.RUS и CL.RUS для подключений от пользователей и компьютеров соответствующих доменов.


Схематично все это можно представить так, как показано на рисунке:



Как происходит процесс аутентификации и авторизации при подключении к SSID WiFi-Universal:

0. Клиент должен поддерживать проверку подлинности по сертификату или PEAP (стандартные методы в Windows).
1. Клиент пытается подключиться к WiFi-Universal, отсылая идентификационные данные (сертификат или логин и пароль) точке доступа.
2. Точка доступа в WDS-инфраструктуре отправляет все данные на WDS-AP по протоколу WLCCP.
3. WDS-AP от своего имени (NAS является точка доступа WDS-AP) отправляет запрос аутентификации и авторизации клиента на Основной RADIUS-сервер.
4. Основной RADIUS-сервер сначала проверяет Политики запроса (Connection Request Policies): по параметру User Name определяет, что запрос от клиента другого домена, и перенаправляет его на соответствующий RADIUS-сервер (Forward request). Либо, если клиент из этого же домена, авторизует его самостоятельно.
5. Конечный RADIUS-сервер аутентифицирует клиента и отправляет политики авторизации, включающие номер VLAN.

Важно! Ответ от конечного RADIUS идет в обратном направлении по маршруту 4-3-2-1, таким образом, на всех точках доступа сервером авторизации будет является WDS-AP, сервером аутентификции будет является Основной RADIUS-сервер (причем, его достаточно указать только на WDS-AP, т.к. все запросы в WDS-инфраструктуре "проксируются" через WDS-AP по протоколу WLCCP, либо на контроллере точек доступа, если используются LightWeight AP).


--- КОНФИГУРАЦИЯ ОСНОВНОГО RADIUS-СЕРВЕРА (RADIUS.GL.RUS) >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]



--- КОНФИГУРАЦИЯ RADIUS-СЕРВЕРОВ ДРУГИХ ДОМЕНОВ (RADIUS.GC.RUS и RADIUS.CL.RUS) >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]



--- КОНФИГУРАЦИЯ ТОЧЕК ДОСТУПА CISCO >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Last edit: 4 года 3 мес. назад by TOLLIFi.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Работает на Kunena форум