Cisco WiFi + RADIUS: Dynamic VLAN Assignment (динамическое назначение VLAN в SSID)

Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.

В начало
Назад
1
Вперед
В конец

TOLLIFi
Автор темы
Не в сети
COM_KUNENA_SAMPLEDATA_RANK_MODERATOR
TOLLIFi Inc.

Больше

7 года 5 мес. назад - 7 года 4 мес. назад #190 от TOLLIFi

TOLLIFi создал тему: Cisco WiFi + RADIUS: Dynamic VLAN Assignment (динамическое назначение VLAN в SSID)

Здесь речь пойдет о том как создать WiFi SSID, принадлежащий одновременно нескольким VLAN, на примере точек доступа Cisco AIR и RADIUS-сервера Microsoft NPS. Другое название такой технологии - Dynamic VLAN Assignment (динамическое назначение VLAN). Еще статьи по теме оптимизации WiFi: Оптимизация производительности Wi-Fi Cisco: Antenna Gain, Basic Rates, Bridge-Group, Packet Retries

Итак, перед нами стоит задача создать один универсальный WiFi SSID, поддерживающий подключение к разным доменам + гостевой доступ, и поддерживающий методы проверки подлинности по сертификату пользователя (и/или компьютера) и Protected EAP (PEAP + EAP-MSCHAPv2) (проверка логина и пароля пользователя в домене).

В нашем распоряжении имеются:

- 3 независимых домена (без доверительных отношений): GL.RUS, GC.RUS и CL.RUS;
- автономные точки доступа Cisco (связанные в WDS-инфраструктуру протоколом WLCCP): AIR-SAP1602I-R-K9 (IOS: (AP1G2-K9W7-M), Version 15.2(4)JB5);
- в каждом домене свой RADIUS-сервер Microsoft NPS на Windows 2008 R2;
- VLAN 100, 200 и 300 - подсети для клиентов GC.RUS, GL.RUS и CL.RUS соответственно;
- VLAN 777 - гостевая подсеть.

О том как объединить точки доступа в WDS-инфраструктуру подробно с примерами написано здесь .

Замечание: Технология Dynamic VLAN Assignment не поддерживается в режиме MBSSID!
Т.е. можно создать несколько SSID, даже активировать 'mbssid' на интерфейсах, но 'ssid <name>' на интерфейсах должен быть прописан только один, иначе будут работать только те SSID, для которых вручную прописан номер VLAN. Подробнее можно прочитать тут .

Неважно в каком домене находятся сами точки доступа. Важно то, как связаны по сети между собой все 3 домена, т.к. необходимо выбрать такой RADIUS-сервер, у которого имеется связь с другими двумя RADIUS-серверами (других двух доменов) по стандартным UDP-портам (1812 и 1813, либо 1645 и 1646). Этот сервер будет являться отправной точкой аутентификации и авторизации всех клиентов и при необходимости перенаправлять запросы на соответствующие RADIUS-сервера других доменов, назовем его Основной RADIUS-сервер.

В примере, в качестве Основного RADIUS-сервера выбран сервер в домене GL.RUS. Его функции:
- проверка подлинности всех пользователей и компьютеров домена GL.RUS и назначение политик авторизации;
- перенаправление запросов на проверку подлинности на RADIUS-сервера доменов GC.RUS и CL.RUS для подключений от пользователей и компьютеров соответствующих доменов.

Схематично все это можно представить так, как показано на рисунке:

Как происходит процесс аутентификации и авторизации при подключении к SSID WiFi-Universal:

0. Клиент должен поддерживать проверку подлинности по сертификату или PEAP (стандартные методы в Windows).
1. Клиент пытается подключиться к WiFi-Universal, отсылая идентификационные данные (сертификат или логин и пароль) точке доступа.
2. Точка доступа в WDS-инфраструктуре отправляет все данные на WDS-AP по протоколу WLCCP.
3. WDS-AP от своего имени (NAS является точка доступа WDS-AP) отправляет запрос аутентификации и авторизации клиента на Основной RADIUS-сервер.
4. Основной RADIUS-сервер сначала проверяет Политики запроса (Connection Request Policies): по параметру User Name определяет, что запрос от клиента другого домена, и перенаправляет его на соответствующий RADIUS-сервер (Forward request). Либо, если клиент из этого же домена, авторизует его самостоятельно.
5. Конечный RADIUS-сервер аутентифицирует клиента и отправляет политики авторизации, включающие номер VLAN.

Важно! Ответ от конечного RADIUS идет в обратном направлении по маршруту 4-3-2-1, таким образом, на всех точках доступа сервером авторизации будет является WDS-AP, сервером аутентификции будет является Основной RADIUS-сервер (причем, его достаточно указать только на WDS-AP, т.к. все запросы в WDS-инфраструктуре "проксируются" через WDS-AP по протоколу WLCCP, либо на контроллере точек доступа, если используются LightWeight AP).

--- КОНФИГУРАЦИЯ ОСНОВНОГО RADIUS-СЕРВЕРА (RADIUS.GL.RUS) >>>

ВНИМАНИЕ: Спойлер!

RADIUS Clients

Здесь достаточно указать только WDS-AP (AP1-WDS).

Connection Request Policies

Здесь заданы два правила, касающиеся перенаправления запросов: GC Connection Requests и CL Connection Requests. В них прописаны условия User Name, содержащие регулярные выражения (RegEx), например в GC Connection Requests:

(^(GC|gc|Gc|gC)\\.*$)|(^.*@GC\.RUS$)|(^.*\.GC\.RUS$)

(^(GC|gc|Gc|gC)\\.*$) - используется, если клиент авторизуется по логину и паролю (проверка подлинности PEAP);
(^.*@GC\.RUS$) - используется, если клиент авторизуется по сертификату пользователя;
(^.*\.GC\.RUS$) - используется, если клиент авторизуется по сертификату компьютера.

Для проверки регулярных выражений есть отличный онлайн-ресурс: regex101.com

В настройках указаны сервера переадресации запросов:

Network Policies

Здесь прописаны 3 правила: Secure Wireless Universal Connections (Guest), Secure Wireless Universal Connections (Users) и Secure Wireless Universal Connections (Computers) - для аутентфикации и авторизации гостей, корпоративных пользователей и компьютеров, соответственно. Авторизация компьютеров нужна, когда, например, ОС только загружается и компьютер должен получить доступ к сети до входа пользователя в систему, либо когда пользователь выходит из системы (Logoff).

Единственное отличие правила Secure Wireless Universal Connections (Users) от Secure Wireless Universal Connections (Computers), это то, что в Secure Wireless Universal Connections (Computers) в условии используется Machine Groups вместо User Groups.

Вместо создания двух правил (Users и Computers) можно создать одно универсальное правило Secure Wireless Universal Connections на основе Windows Groups, например так:

Правило Secure Wireless Universal Connections (Guest) отличается от остальных тем, что в нем User Group ссылается на гостевые учётки, а во вкладке Настройки (Settings) нет RADIUS-атрибутов, связанных с VLAN.

Во вкладке "Ограничения" перечислены поддерживаемые методы аутентификации

В во вкладке "Настройки" заданы стандартные RADIUS-атрибуты, необходимые для присвоения VLAN (политика авторизации). Для политики Secure Wireless Universal Connections (Guest) эти атрибуты не нужны.

К стандартному набору добавляются еще 4 атрибута:

- Tunnel-Medium-Type = 802,
- Tunnel-Pvt-Group-ID = <номер VLAN>,
- Tunnel-Type = VLAN,
- Tunnel-Tag = 1.

Хотя атрибут Tunnel-Tag и подписан как Radius-standard, он добавляется так: Vendor-Specific -> Add -> Tunnel-Tag.

--- КОНФИГУРАЦИЯ RADIUS-СЕРВЕРОВ ДРУГИХ ДОМЕНОВ (RADIUS.GC.RUS и RADIUS.CL.RUS) >>>

ВНИМАНИЕ: Спойлер!

--- КОНФИГУРАЦИЯ ТОЧЕК ДОСТУПА CISCO >>>

ВНИМАНИЕ: Спойлер!

AP1-WDS

!
hostname AP1-WDS
!
!
aaa new-model
!
!
aaa group server radius SRV-LOCAL-AUTH
 server name AP1-WDS.GL.RUS
!
aaa group server radius SRV-AUTHEN
 server name RADIUS.GL.RUS
!
aaa group server radius SRV-AUTHOR
 server name AP1-WDS.GL.RUS
!
aaa authentication login AAA-AP group SRV-LOCAL-AUTH
aaa authentication login AAA-CLIENT group SRV-AUTHEN
aaa authorization network default group SRV-AUTHOR
!
!
dot11 ssid WiFi-Universal
   vlan 777
   authentication open eap AAA-CLIENT 
   authentication key-management wpa
   mbssid guest-mode
!
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 !
 encryption vlan 100 mode ciphers aes-ccm tkip
 !  
 encryption vlan 200 mode ciphers aes-ccm tkip 
 !
 encryption vlan 300 mode ciphers aes-ccm tkip 
 !
 encryption vlan 777 mode ciphers aes-ccm tkip 
 !
 ssid WiFi-Universal
 !
 bridge-group 1
!
interface Dot11Radio0.100
 encapsulation dot1Q 100
 bridge-group 10
!
interface Dot11Radio0.200
 encapsulation dot1Q 200
 bridge-group 20
!
interface Dot11Radio0.300
 encapsulation dot1Q 300
 bridge-group 30
!
interface Dot11Radio0.777
 encapsulation dot1Q 777
 bridge-group 77
!
interface Dot11Radio1
 no ip address
 !
 encryption vlan 100 mode ciphers aes-ccm tkip
 !  
 encryption vlan 200 mode ciphers aes-ccm tkip 
 !
 encryption vlan 300 mode ciphers aes-ccm tkip 
 !
 encryption vlan 777 mode ciphers aes-ccm tkip 
 !
 ssid WiFi-Universal
 !
 bridge-group 1
!
interface Dot11Radio1.100
 encapsulation dot1Q 100
 bridge-group 10
!
interface Dot11Radio1.200
 encapsulation dot1Q 200
 bridge-group 20
!
interface Dot11Radio1.300
 encapsulation dot1Q 300
 bridge-group 30
!
interface Dot11Radio1.777
 encapsulation dot1Q 777
 bridge-group 77
!
interface GigabitEthernet0
 no ip address
 bridge-group 1
!
interface GigabitEthernet0.100
 encapsulation dot1Q 100
 no ip route-cache
 bridge-group 10
!
interface GigabitEthernet0.200
 encapsulation dot1Q 200
 no ip route-cache
 bridge-group 20
!
interface GigabitEthernet0.300
 encapsulation dot1Q 300
 no ip route-cache
 bridge-group 30
!
interface GigabitEthernet0.777
 encapsulation dot1Q 777
 no ip route-cache
 bridge-group 77
!
interface BVI1
 ip address 172.20.1.1 255.255.255.240
 no ip route-cache
!
ip default-gateway 172.20.1.14
ip radius source-interface BVI1 
!
radius-server local
  nas 172.20.1.1 key WdSPaSsWoRd
  nas 172.20.1.2 key WdSPaSsWoRd
  nas 172.20.1.3 key WdSPaSsWoRd
  nas 172.20.1.4 key WdSPaSsWoRd
  user ap password Ap
!
radius server AP1-WDS.GL.RUS
 address ipv4 172.20.1.1 auth-port 1812 acct-port 1813
 key WdSPaSsWoRd
!
radius server RADIUS.GL.RUS
 address ipv4 10.0.0.50 auth-port 1645 acct-port 1646
 key RaDiUsPaSsWoRd
!
bridge 1 route ip
!
wlccp ap username ap password Ap
wlccp authentication-server infrastructure AAA-AP
wlccp authentication-server client any AAA-CLIENT
  ssid WiFi-Universal
wlccp wds priority 254 interface BVI1
!

AP2

!
hostname AP2
!
!
aaa new-model
!
!
aaa group server radius SRV-AUTHEN
 server name RADIUS.GL.RUS
!
aaa group server radius SRV-AUTHOR
 server name AP1-WDS.GL.RUS
!
aaa authentication login default local
aaa authentication login AAA-CLIENT group SRV-AUTHEN
aaa authorization network default group SRV-AUTHOR 
!
!
dot11 ssid WiFi-Universal
   vlan 777
   authentication open eap AAA-CLIENT 
   authentication key-management wpa
   mbssid guest-mode
!
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 !
 encryption vlan 100 mode ciphers aes-ccm tkip
 !  
 encryption vlan 200 mode ciphers aes-ccm tkip 
 !
 encryption vlan 300 mode ciphers aes-ccm tkip 
 !
 encryption vlan 777 mode ciphers aes-ccm tkip 
 !
 ssid WiFi-Universal
 !
 bridge-group 1
!
interface Dot11Radio0.100
 encapsulation dot1Q 100
 bridge-group 10
!
interface Dot11Radio0.200
 encapsulation dot1Q 200
 bridge-group 20
!
interface Dot11Radio0.300
 encapsulation dot1Q 300
 bridge-group 30
!
interface Dot11Radio0.777
 encapsulation dot1Q 777
 bridge-group 77
!
interface Dot11Radio1
 no ip address
 !
 encryption vlan 100 mode ciphers aes-ccm tkip
 !  
 encryption vlan 200 mode ciphers aes-ccm tkip 
 !
 encryption vlan 300 mode ciphers aes-ccm tkip 
 !
 encryption vlan 777 mode ciphers aes-ccm tkip 
 !
 ssid WiFi-Universal
 !
 bridge-group 1
!
interface Dot11Radio1.100
 encapsulation dot1Q 100
 bridge-group 10
!
interface Dot11Radio1.200
 encapsulation dot1Q 200
 bridge-group 20
!
interface Dot11Radio1.300
 encapsulation dot1Q 300
 bridge-group 30
!
interface Dot11Radio1.777
 encapsulation dot1Q 777
 bridge-group 77
!
interface GigabitEthernet0
 no ip address
 bridge-group 1
!
interface GigabitEthernet0.100
 encapsulation dot1Q 100
 no ip route-cache
 bridge-group 10
!
interface GigabitEthernet0.200
 encapsulation dot1Q 200
 no ip route-cache
 bridge-group 20
!
interface GigabitEthernet0.300
 encapsulation dot1Q 300
 no ip route-cache
 bridge-group 30
!
interface GigabitEthernet0.777
 encapsulation dot1Q 777
 no ip route-cache
 bridge-group 77
!
interface BVI1
 ip address 172.20.1.2 255.255.255.240
 no ip route-cache
!
ip default-gateway 172.20.1.14
ip radius source-interface BVI1 
!
radius server AP1-WDS.GL.RUS
 address ipv4 172.20.1.1 auth-port 1812 acct-port 1813
 key WdSPaSsWoRd
!
radius server RADIUS.GL.RUS
 address ipv4 10.0.0.50 auth-port 1645 acct-port 1646
 key RaDiUsPaSsWoRd
!
bridge 1 route ip
!
wlccp ap username ap password Ap
!

На точках доступа AP3 и AP4 конфигурация аналогична как для AP2.

aaa authorization network default group SRV-AUTHOR - отвечает за применение политик авторизации. Без этой команды параметры VLAN, заданные на сервере авторизации не применяться. Группа SRV-AUTHOR содержит WDS-AP (AP1-WDS), т.к. было сказано ранее, WDS-AP "проксирует" политики авторизации от RADIUS.

vlan 777 - это гостевой VLAN, который назначается по-умолчанию для всех авторизованных пользователей, если не заданы иные политики авторизации на RADIUS-сервере (например, другой VLAN).

wlccp authentication-server client any AAA-CLIENT - команда задается только на WDS-точках доступа и указывает на политики аутентификации для конкретных SSID с методом аутентификации EAP. Более подробно про настройки WDS-инфраструктуры см. здесь .

Замечание: важно, чтобы номер подинтерфейсов Dot11Radio, GigabitEthernet и номер dot1Q-тега в них совпадали в рамках одного VLAN, например для VLAN 100:

!
interface Dot11Radio0.100
 encapsulation dot1Q 100
!
nterface GigabitEthernet0.100
 encapsulation dot1Q 100
!

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.

Последнее редактирование: 7 года 4 мес. назад пользователем TOLLIFi.

Спасибо сказали: leshco

Пожалуйста Войти , чтобы присоединиться к беседе.

В начало
Назад
1
Вперед
В конец

Joomla Templates Best Joomla Templates Premium Joomla Templates Free Joomla Templates

Forum Login

Работает на Kunena форум

Cisco WiFi + RADIUS: Dynamic VLAN Assignment (динамическое назначение VLAN в SSID)

Вложения: