如何配置 RADIUS 代理服务器
本章提供有关为瞻博网络 Mist™ Edge 设备配置远程身份验证拨入用户服务 (RADIUS) 代理服务器的信息。
RADIUS 代理概述
在瞻博网络 Mist™ 网络中,您可以使用接入点 (AP) 作为远程身份验证拨入用户服务 (RADIUS) 访问请求消息的来源。借助 RADIUS 代理功能,您可以将瞻博网络 Mist Edge 设备用作 RADIUS 访问请求消息的来源。
在大型部署方案中,不可能将所有 AP 添加为 RADIUS 服务器中的单个客户端,例如以下任一:
-
安装大量瞻博网络 Mist 接入点
-
具有 802.1x 身份验证的服务集标识符 (SSID)
设置 RADIUS 代理时,只能使用一个 IP(RADIUS 代理),而不是将 AP 添加为单个客户端。
RADIUS 代理充当面向无线 AP RADIUS 客户端的服务器和面向 RADIUS 服务器的客户端。
配置 RADIUS 代理服务器
在配置要在瞻博网络 Mist 网络中使用的 RADIUS 代理服务器之前,您必须:
-
声明 Mist Edge 并配置 OOBM IP 和隧道 IP。
-
使用 Mist Edge 群集配置 Mist 隧道并进行映射。
-
使用 RADIUS 身份验证和转发到 Mist 隧道配置 WLAN。
借助 RADIUS 代理功能,您可以将瞻博网络 Mist Edge 设备用作 RADIUS 访问请求消息的来源,而不是使用 AP 作为源。这意味着您必须将 RADIUS 服务器配置为允许瞻博网络 Mist Edge OOBM IP,而不是将单个接入点添加为客户端。或者,如果启用隧道 IP 作为源,则必须将 RADIUS 服务器配置为允许隧道 IP。这些配置选项意味着您可以绕过向 RADIUS 服务器添加多个单独的接入点以进行更大规模的部署。
在组织级别配置 RADIUS 服务器
默认情况下,瞻博网络 Mist Edge 设备是组织级对象。来自所有站点的瞻博网络 Mist 接入点 (AP) 都可以使用此对象形成隧道。
要在网络层次结构的组织级别配置 RADIUS 服务器,请执行以下操作:
在组织级别配置 RADIUS 服务器的 WLAN 关联性
在无线 LAN (WLAN) 上,根据服务集标识符 (SSID) 名称在部署中使用不同的 RADIUS 服务器。例如,您的部署可能对名为 eduroam 的 SSID 使用公共 RADIUS 服务器,但对所有企业 SSID 使用不同的 RADIUS 服务器。瞻博网络 Mist Edge 在其 RADIUS 代理服务中实现了这种灵活性。您可以将此服务配置为将 RADIUS 访问(或记帐)请求转发到具有唯一 SSID 的特定网络访问控制 (NAC)(基于服务器的客户端)。
要为 RADIUS 服务器配置 WLAN 关联性,请执行以下操作:
在站点级别配置 RADIUS 代理服务器
必须先配置 Mist 隧道,然后才能在站点级别配置 RADIUS 代理服务器。如果尚未配置隧道,请立即配置,然后再继续执行配置任务。请参阅 在站点级别部署 Mist Edge 。
要从传统架构过渡,或者站点足够大以托管瞻博网络 Mist Edge,您需要分布式部署。在这种情况下,您可以将瞻博网络 Mist Edge 设备分配到站点,并为站点上的接入点 (AP) 配置隧道和 RADIUS 代理服务。
要在站点级别配置 RADIUS 代理服务器,请执行以下操作:为站点上的 RADIUS 服务器配置 WLAN 关联性
在无线 LAN (WLAN) 上,根据服务集标识符 (SSID) 名称在部署中使用不同的 RADIUS 服务器。例如,您的部署可能对名为 eduroam SSID 的 SSID 使用公共 RADIUS 服务器,但对所有企业 SSID 使用不同的 RADIUS 服务器。瞻博网络 Mist Edge 在其 RADIUS 代理服务中实现了这种灵活性。您可以将此服务配置为将 RADIUS 访问(或记帐)请求转发到具有唯一 SSID 的特定网络访问控制 (NAC)(基于服务器的客户端)。
此外,如果您在站点级别使用瞻博网络 Mist Edge 设备,则可以专门为该设备配置 RADIUS 服务器。
要为站点边缘上的 RADIUS 服务器配置 WLAN 关联,请执行以下操作: