Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

如何配置 RADIUS 代理服务器

本章提供有关为瞻博网络 Mist™ Edge 设备配置远程身份验证拨入用户服务 (RADIUS) 代理服务器的信息。

RADIUS 代理概述

在瞻博网络 Mist™ 网络中,您可以使用接入点 (AP) 作为远程身份验证拨入用户服务 (RADIUS) 访问请求消息的来源。借助 RADIUS 代理功能,您可以将瞻博网络 Mist Edge 设备用作 RADIUS 访问请求消息的来源。

在大型部署方案中,不可能将所有 AP 添加为 RADIUS 服务器中的单个客户端,例如以下任一:

  • 安装大量瞻博网络 Mist 接入点

  • 具有 802.1x 身份验证的服务集标识符 (SSID)

设置 RADIUS 代理时,只能使用一个 IP(RADIUS 代理),而不是将 AP 添加为单个客户端。

RADIUS 代理充当面向无线 AP RADIUS 客户端的服务器和面向 RADIUS 服务器的客户端。

配置 RADIUS 代理服务器

在配置要在瞻博网络 Mist 网络中使用的 RADIUS 代理服务器之前,您必须:

  • 声明 Mist Edge 并配置 OOBM IP 和隧道 IP。

  • 使用 Mist Edge 群集配置 Mist 隧道并进行映射。

  • 使用 RADIUS 身份验证和转发到 Mist 隧道配置 WLAN。

借助 RADIUS 代理功能,您可以将瞻博网络 Mist Edge 设备用作 RADIUS 访问请求消息的来源,而不是使用 AP 作为源。这意味着您必须将 RADIUS 服务器配置为允许瞻博网络 Mist Edge OOBM IP,而不是将单个接入点添加为客户端。或者,如果启用隧道 IP 作为源,则必须将 RADIUS 服务器配置为允许隧道 IP。这些配置选项意味着您可以绕过向 RADIUS 服务器添加多个单独的接入点以进行更大规模的部署。

在组织级别配置 RADIUS 服务器

默认情况下,瞻博网络 Mist Edge 设备是组织级对象。来自所有站点的瞻博网络 Mist 接入点 (AP) 都可以使用此对象形成隧道。

要在网络层次结构的组织级别配置 RADIUS 服务器,请执行以下操作:

  1. 在瞻博网络 Mist 门户中,导航到 Mist Edge > Mist Edge 群集,然后选择一个群集。
  2. Radius 代理窗口中,单击Enabled选项按钮。
  3. 单击Add server“Radius 身份验证服务器”旁边的“图标。
  4. 输入和 Hostname Shared Secret
  5. 单击蓝色复选标记以保存设置。

    Radius 身份验证和记帐服务器位于有序列表中。这意味着,如果无法访问第一个服务器,则 RADIUS 代理会将请求转发到列表中的下一个可用服务器。

  6. (可选)选中该Enable Key Wrap复选框以启用自动换行。从列表中选择 Radius 身份验证服务器,然后输入Key Encryption KeyMessage Authenticator Code Key.此操作将启用密钥类型(选择 ASCII 或十六进制)和密钥值的其他字段。
  7. RADIUS 记帐服务器重复步骤 2 到步骤 6。
  8. (可选)如果希望 RADIUS 数据包(和记帐)以隧道 IP 的形式源自源,请选中该Tunnel IP as Source 复选框。
    注意:

    在这种情况下 ,身份验证、授权和计费 (AAA) 服务器上的网络访问服务器 (NAS) 客户端就是瞻博网络 Mist Edge 的隧道 IP。否则,它将是带外管理 (OOBM) IP。
  9. 单击按钮将 Save RADIUS 代理设置保存到瞻博网络 Mist Edge 群集。
    如果您愿意,可以使用 API 配置 RADIUS 服务器。以下是 API 有效负载。

在组织级别配置 RADIUS 服务器的 WLAN 关联性

在无线 LAN (WLAN) 上,根据服务集标识符 (SSID) 名称在部署中使用不同的 RADIUS 服务器。例如,您的部署可能对名为 eduroam 的 SSID 使用公共 RADIUS 服务器,但对所有企业 SSID 使用不同的 RADIUS 服务器。瞻博网络 Mist Edge 在其 RADIUS 代理服务中实现了这种灵活性。您可以将此服务配置为将 RADIUS 访问(或记帐)请求转发到具有唯一 SSID 的特定网络访问控制 (NAC)(基于服务器的客户端)。

要为 RADIUS 服务器配置 WLAN 关联性,请执行以下操作:

  1. 在瞻博网络 Mist 门户中,导航到 Mist Edges
  2. 在 Mist Edge 群集窗格中,选择现有群集或创建群集。
  3. 按照标题为在组织级别配置 RADIUS 服务器的过程中的步骤配置 RADIUS 代理服务器。
  4. 在“Radius 代理”窗口中,选中“匹配 SSID”复选框。每个 RADIUS 身份验证服务器和 RADIUS 记帐服务器都会出现一个新的 SSID 下拉菜单。
  5. 为此 RADIUS 服务器选择一个或多个 SSID,方法是单击 SSID 下方的添加 (+)。
    注意:

    下拉菜单仅显示具有 802.1x 或 MAB 身份验证的 SSID。如果管理打算使用不同的 RADIUS 服务器,我们建议跨站点配置唯一的 SSID 名称。
  6. 单击蓝色复选标记以保存服务器设置。
  7. (可选)您可以对列表中的任何其他 RADIUS 身份验证服务器重复步骤 5 和步骤 6。
  8. 您可以重复步骤 5 到步骤 7,为 RADIUS 记帐服务器配置 WLAN 关联。
  9. 单击保存以保存群集的 RADIUS 代理设置。
    如果您愿意,可以使用 API 配置 RADIUS 服务器的 WLAN 关联。

    下面是包含配置的 API 和示例 Blob。此配置可确保瞻博网络 Mist Edge 接收与 RADIUS 相关的配置信息并启动 RADIUS 代理服务。

在站点级别配置 RADIUS 代理服务器

必须先配置 Mist 隧道,然后才能在站点级别配置 RADIUS 代理服务器。如果尚未配置隧道,请立即配置,然后再继续执行配置任务。请参阅 在站点级别部署 Mist Edge

要从传统架构过渡,或者站点足够大以托管瞻博网络 Mist Edge,您需要分布式部署。在这种情况下,您可以将瞻博网络 Mist Edge 设备分配到站点,并为站点上的接入点 (AP) 配置隧道和 RADIUS 代理服务。

要在站点级别配置 RADIUS 代理服务器,请执行以下操作:
  1. 在瞻博网络 Mist 门户中,导航到“组织>站点配置”,然后选择一个站点。
    此时将显示站点的站点配置窗口。
  2. “RADIUS 代理”窗口中,单击按钮以Enable启用 RADIUS 代理服务器。
  3. 单击添加服务器
  4. 通过输入 、 PortShared Secret的值Hostname来配置服务器详细信息。
  5. (可选)选中该Enable Key Wrap复选框以启用自动换行。从列表中选择 Radius 身份验证服务器,然后输入和 Key Encryption Key Message Authenticator Code Key.这将启用密钥类型(选择 ASCII 或十六进制)和密钥值的其他字段。
  6. [可选] 如果希望 RADIUS 数据包(和记帐)以隧道 IP 作为源,请选中该Tunnel IP as Source 复选框。
  7. 单击蓝色复选标记以保存您的设置。
  8. RADIUS 记帐服务器重复步骤 2 到步骤 7。
    如果您愿意,可以使用 API 在站点级别配置 RADIUS 服务器。以下是 API 有效负载。

为站点上的 RADIUS 服务器配置 WLAN 关联性

在无线 LAN (WLAN) 上,根据服务集标识符 (SSID) 名称在部署中使用不同的 RADIUS 服务器。例如,您的部署可能对名为 eduroam SSID 的 SSID 使用公共 RADIUS 服务器,但对所有企业 SSID 使用不同的 RADIUS 服务器。瞻博网络 Mist Edge 在其 RADIUS 代理服务中实现了这种灵活性。您可以将此服务配置为将 RADIUS 访问(或记帐)请求转发到具有唯一 SSID 的特定网络访问控制 (NAC)(基于服务器的客户端)。

此外,如果您在站点级别使用瞻博网络 Mist Edge 设备,则可以专门为该设备配置 RADIUS 服务器。

要为站点边缘上的 RADIUS 服务器配置 WLAN 关联,请执行以下操作:

  1. 在瞻博网络 Mist 门户中,导航到“组织>站点配置”。
  2. 在“站点”页中,从列表中选择一个站点。
  3. 为 WLAN 上的瞻博网络 Mist Edge 代理启用 Radius 代理
    要完成此过程,请参阅 在网络层次结构的组织级别配置 RADIUS 服务器中的步骤 3。
  4. 要完成配置,请在隧道 WLAN 上启用 802.1x/MAB 身份验证,并在 WLAN 配置中选择 Mist Edge 代理作为 RadSec 服务器。