我想使用我的 RADIUS 服务器来限制对每个用户配置的 SSID 的访问。
根据上面链接的文档,我将以下属性添加到测试用户:
ospite-5vh Cisco-AVPair += "ssid=Interactive_Ospiti"
因此,启用调试半径身份验证,我看到:
6 月 12 日 08:30:08.266:RADIUS(00001A96):发送访问请求到 212.183.164.38:1812 id 1645/128,len 177
6 月 12 日 08:30:08.266:RADIUS:认证方 CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
6 月 12 日 08:30:08.267:RADIUS:用户名 [1] 12“ospite-5vh”
6 月 12 日 08:30:08.267:RADIUS:帧 MTU [12] 6 1400
6 月 12 日 08:30:08.267:RADIUS:Called-Station-Id [30] 16 "8478.acf0.9002"
6 月 12 日 08:30:08.267:RADIUS:呼叫站 ID [31] 16 "2064.3267.44ca"
6 月 12 日 08:30:08.267:RADIUS:供应商,思科 [26] 29
6 月 12 日 08:30:08.267:RADIUS:Cisco AVpair [1] 23“ssid=Interactive_Test”
6 月 12 日 08:30:08.267:RADIUS:服务类型 [6] 6 登录 [1]
6 月 12 日 08:30:08.267:RADIUS:消息验证 [80] 18
六月 12 08:30:08.267:半径:7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [}??9=???0?????C?]
6 月 12 日 08:30:08.267:RADIUS:EAP 消息 [79] 17
6 月 12 日 08:30:08.267:半径:02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [?????ospite-5vh]
6 月 12 日 08:30:08.267:RADIUS:NAS 端口类型 [61] 6 802.11 无线 [19]
6 月 12 日 08:30:08.267:RADIUS:NAS 端口 [5] 6 7037
6 月 12 日 08:30:08.268:RADIUS:NAS-Port-Id [87] 6“7037”
6 月 12 日 08:30:08.268:RADIUS:NAS-IP-地址 [4] 6 10.132.0.253
6 月 12 日 08:30:08.268:RADIUS:Nas-标识符 [32] 13“UFFICIO-AP1”
6 月 12 日 08:30:08.325:RADIUS:从 id 1645/128 212.183.164.38:1812 接收,访问挑战,len 95
6 月 12 日 08:30:08.325:RADIUS:身份验证器 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
6 月 12 日 08:30:08.325:RADIUS:供应商,思科 [26] 31
6 月 12 日 08:30:08.325:RADIUS:Cisco AVpair [1] 25“ssid=Interactive_Ospiti”
6 月 12 日 08:30:08.325:RADIUS:EAP 消息 [79] 8
6 月 12 日 08:30:08.325:半径:01 02 00 06 19 20 [????? ]
6 月 12 日 08:30:08.325:RADIUS:消息验证 [80] 18
6 月 12 日 08:30:08.325:半径:31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1}y{?g~qZ?S?v.??]
6 月 12 日 08:30:08.326:RADIUS:状态 [24] 18
6 月 12 日 08:30:08.326:半径:9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [??q???hz???T???U]
6 月 12 日 08:30:08.326:RADIUS(00001A96):从 id 1645/128 接收
所以我希望请求会被拒绝,因为“关联 SSID”与 RADIUS 不匹配,而是被确认并且用户连接。
相关配置如下:
aaa认证登录默认组radius aaa认证登录eap_methods组radius aaa 授权网络默认 if-authenticated aaa 会计嵌套 aaa 会计更新周期 5 aaa 记账网络 eap_methods 起止组半径 ! dot11 ssid 互动 VLAN 1 身份验证打开 身份验证密钥管理 wpa mbssid 访客模式 wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51 ! dot11 ssid Interactive_Ospiti VLAN 4 身份验证打开 身份验证密钥管理 wpa mbssid 访客模式 wpa-psk ascii 7 15475E1D0725242D262D265D12730301204 ! dot11 ssid Interactive_Test VLAN 5 身份验证 open eap eap_methods 身份验证网络-eap eap_methods 身份验证密钥管理 wpa 版本 2 会计eap_methods mbssid 访客模式 ! 接口 Dot11Radio0 没有IP地址 没有 ip 路由缓存 加密 vlan 4 模式密码 aes-ccm tkip 加密 vlan 1 模式密码 aes-ccm tkip 加密 vlan 5 模式密码 aes-ccm tkip ssid互动 ssid Interactive_Ospiti ssid Interactive_Test 天线增益 0 mbssid 没有短时间 速度 basic-1.0 basic-2.0 basic-5.5 basic-11.0 频道 2457 站角色根 ! 接口 Dot11Radio0.1 描述局域网互动 封装 dot1Q 1 原生 没有 ip 路由缓存 桥组 1 桥接组 1 用户环路控制 桥组 1 块未知源 无桥接组 1 源学习 无网桥组 1 单播泛洪 桥接组 1 跨越禁用 ! 接口 Dot11Radio0.4 描述 LAN Ospiti 封装 dot1Q 4 没有 ip 路由缓存 桥组 4 桥接组 4 用户环路控制 桥组 4 块未知源 没有桥组 4 源学习 无网桥组 4 单播泛洪 桥接组 4 跨越禁用 ! 接口 Dot11Radio0.5 描述 LAN 测试 封装dot1Q 5 没有 ip 路由缓存 桥组 5 桥接组 5 用户环路控制 桥组 5 块未知源 没有桥组 5 源学习 无网桥组 5 单播泛洪 桥接组 5 跨越禁用 ! 半径服务器属性 32 包含在访问请求格式 %h 半径服务器属性 4 10.132.0.253 半径服务器主机 10.132.0.99 auth-port 1812 acct-port 1813 非标准密钥 7 131312061E3811242A142A7C79 半径服务器 vsa 发送记帐 半径服务器 vsa 发送身份验证
这是 # show versione 的输出
Cisco IOS 软件,C1040 软件 (C1140-K9W7-M),版本 12.4(25d)JA1,发布软件 (fc1) 技术支持:http://www.cisco.com/techsupport 版权所有 (c) 1986-2011 思科系统公司。 由 prod_rel_team 于 11 年 8 月 11 日星期四 02:58 编译 ROM:Bootstrap 程序是 C1040 引导加载程序 BOOTLDR:C1040 引导加载程序 (C1140-BOOT-M) 版本 12.4(23c)JA3,发布软件 (fc1) UFFICIO-AP1 正常运行时间为 8 周 2 天 8 小时 27 分钟 系统通过上电返回到 ROM 系统于 2013 年 4 月 16 日星期二 22:39:10 UTC 重新启动 系统镜像文件为“flash:/c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1”
任何人都可以帮忙吗?