中文讨论区

Reply
Moderator
Posts: 13
Registered: ‎05-01-2013

[Instant] IAP 4.0上实现动态Radius代理功能

 

在许多应用场景中,组织或公司有时需要不同的Radius服务器对不同的用户进行认证。例如,某公司需要使用位于数据中心的Radius服务器对访客进行认证,而使用分支公司本地的Radius服务器对员工进行认证。这种情况下,当不同的Radius服务器在不同的VLAN下可达时,IAP上单一的上联IP和VLAN不能满足要求。

 

 

目前的解决方案:

 

动态Radius代理功能扩展了虚拟控制器的VLAN功能,允许为不同的认证服务器配置不同的VLAN和源IP地址。

 

 

应用场景:

 

j1.jpg

 

 

 

 

配置方法:

1.Web UI

 

系统>常规>配置虚拟控制器IP>启用动态Radius代理

 

安全>认证服务器>新建>配置认证服务器名称和IP>配置DRP IP地址、掩码、VLAN和网关。

j2.jpg

 

注意:
a) 如果开启虚拟Radius代理,虚拟控制器网络将使用虚拟控制器的 IP 地址与外部 RADIUS 服务器通信。如果动态 RADIUS 代理开启,必须在 RADIUS 服务器上将虚拟控制器的 IP 地址设置成 NAS 客户端。
b) DRP IP是将用于 radius 包的源 IP 的 IP 地址;DRP VLAN是将在内部发送 Radius 包的 VLAN;DRP网关是DRP VLAN 的网关地址。

 

在WLAN或有线接口配置中调用该Radius服务器

 

j3.jpg

 

j4.jpg

 

2.通过CLI配置:
-------------------------------

• Pre-requisite Configurations :
(Instant Access Point)(config)# virtual-controller-ip <IP-address>
(Instant Access Point)(config)# dynamic-radius-proxy

 

• DRP-IP Configurations for auth-server:
(Instant Access Point)(config)# wlan auth-server <server-name>
(Instant Access Point)(Auth Server "server-name")# ip <radius-server>
(Instant Access Point)(Auth Server "server-name")# key <server-password>
(Instant Access Point)(Auth Server "server-name")# drp-ip <IP> <mask> vlan <VLAN> gateway <gateway>

 

• Auth-server configuration in Wired and Wireless profiles:
(Instant Access Point)(config)# wlan ssid-profile <ssid-name>
(Instant Access Point)((SSID Profile "ssid-name")# auth-server <server-name>
(Instant Access Point)(config)# wired-port-profile <wired-profile-name>
(Instant Access Point)(wired ap profile wired-profile-name)# auth-server <server-name>

 

 

排错
更多>支持>命令>VC Show SBR Table>目标>选择VC
输出为所有基于源的路由表

j5.jpg

 

 

Search Airheads
Showing results for 
Search instead for 
Did you mean: