配置云辅助授权变更 (CoA)
配置云辅助授权更改 (CoA) 以对客户端进行身份验证。
CoA 的好处
CoA 是一种从 RADIUS 服务器 (RFC) 对给定客户端进行按需重新授权和网络策略重新分配的方法。无线领域的典型 CoA 用例包括:
-
MacAuth:在强制门户身份验证后重新授权访客用户的客户端会话,以允许 Internet 访问,或在当前访客会话超时后将客户端重定向回强制门户。
-
802.1X:在客户端设备上完成安全状况评估后,为企业用户重新授权客户端会话,以允许无限制的网络访问。
-
802.1X/MAB:当检测到客户端设备存在威胁时,重新授权客户端将客户端移动到隔离策略/VLAN。
Mist Edge 借助 Mist 云的帮助,将 CoA/DM 重定向至正确的接入点/客户端。
高级身份验证流
客户端连接到隧道 WLAN 并输入其 RADIUS 用户名和密码。或者,您可以对其进行配置,以便客户端通过 MAC 地址身份验证进行连接。
访问请求通过 Mist Edge Radius 代理传递。
验证 Access-Challenge 后,RADIUS 服务器将发送第一个带有重定向 URL 的 Access-Accept。
客户将被重定向到门户以接受您的条款和条件。
RADIUS 服务器发送 CoA 请求以更改授权级别。
Mist Edge 发送 CoA 确认响应。
RADIUS 服务器和 Mist Edge 交换额外一轮的 Access-Request、Access-Challenge 和 Access-Accept 消息。Access-Accept 不会有重定向 URL。
以下示例显示了 RADIUS 服务器 (192.168.1.101) 和 Mist Edge (192.168.1.100) 之间的 RADIUS 消息流。
固件要求
您的接入点需要固件版本 0.14.29091 或更高版本。
配置
要配置云辅助 CoA,请执行以下作:
- 添加 RADIUS 和 CoA 服务器。
- 在 Radius Proxy 下,输入以下设置:
-
选择 “已启用”。
-
类型 (Type) - 选择 代理到外部 RADIUS 服务器。
-
RADIUS 身份验证服务器 - 单击 “添加服务器”,输入 主机名 和 “共享密钥”,然后单击“新建服务器”区域顶部的复选标记。如果需要,请对其他服务器重复上述步骤。
-
RADIUS 记帐服务器 - 单击 “添加服务器”,输入 主机名 和 “共享密钥”,然后单击“新建服务器”区域顶部的复选标记。如果需要,请对其他服务器重复上述步骤。
-
多服务器模式 - 选择 故障转移。
-
隧道 IP 作为源 - 如果希望请求来自 Tunterm IP ,请选中该复选框。否则,它将来自出站接口。
-
- 在“CoA/DM 服务器”下,输入以下设置:
-
选择 “已启用”。
-
服务器 - 单击 添加服务器,输入 IP 地址 和 共享密钥,然后单击“新建服务器”区域顶部的复选标记。如果需要,请对其他服务器重复上述步骤。
-
事件时间戳 - 单击 必填项。
-
- 在 Radius Proxy 下,输入以下设置:
- 设置使用此 CoA 服务器进行身份验证的 WLAN。
- 在“安全性”下,选择支持的配置:
-
通过 RADIUS 查找进行 MAC 地址身份验证的开放访问安全类型
-
OWE 安全类型, 通过 RADIUS 查找进行 MAC 地址身份验证
-
OWE 安全类型,通过 RADIUS 查找进行 MAC 地址身份验证并启用 OWE 转换
-
WPA2 与企业 (802.1x) 和 任何可用的 快速漫游 选项(默认、OKC 或 .11r)
-
WPA3 与企业 (802.1x) 和 任何可用的 快速漫游 选项(默认、OKC 或 .11r)
-
WPA3 与企业 (802.1x)、启用 WPA3+WPA2 转换以及任何可用的快速漫游选项(默认、OKC 或 .11r)
注意:如果使用 MAC 地址身份验证,请输入允许的子网。对于主机名,请输入 coa.local。
-
- 在身份验证服务器下,选择 Mist Edge 代理并启用 CoA。
- 在“自定义转发”下,选中复选框,然后为您的 Mist Edge 选择相应的选项:
如果您有组织级别的Mist Edge,请选择“ 自定义转发到Mist ”,然后选择其下方的“ CoA-Tunnel ”。
如果您有站点级 Mist Edge,请选择自定义 转发到站点边缘。
- 在“安全性”下,选择支持的配置: