RADIUSを使用してCisco AironetのSSIDを制限する

RADIUSサーバーを使用して、ユーザーごとに構成済みのSSIDへのアクセスを制限したいと思います。

上記のリンクされたドキュメントによると、テストユーザーに次の属性を追加します。

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

したがって、デバッグRADIUS認証を有効にすると、次のようになります。

6月12日08：30：08.266：RADIUS（00001A96）：212.183.164.38:1812 id 1645/128にアクセス要求を送信、len 177
6月12日08：30：08.266：RADIUS：オーセンティケーターCC C9 63 16 B0 62 74 52-A7 95 DF 1D 93 F3 08 37
6月12日08：30：08.267：RADIUS：ユーザー名[1] 12 "ospite-5vh"
6月12日08：30：08.267：RADIUS：Framed-MTU [12] 6 1400                      
6月12日08：30：08.267：RADIUS：Called-Station-Id [30] 16 "8478.acf0.9002"
6月12日08：30：08.267：RADIUS：Calling-Station-Id [31] 16 "2064.3267.44ca"
6月12日08：30：08.267：RADIUS：ベンダー、シスコ[26] 29  
6月12日08：30：08.267：RADIUS：Cisco AVpair [1] 23 "ssid = Interactive_Test"
6月12日08：30：08.267：RADIUS：サービスタイプ[6] 6ログイン[1]
6月12日08：30：08.267：RADIUS：Message-Authenticato [80] 18  
6月12日08：30：08.267：RADIUS：7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C？]
6月12日08：30：08.267：RADIUS：EAPメッセージ[79] 17  
6月12日08：30：08.267：RADIUS：02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
6月12日08：30：08.267：RADIUS：NAS-Port-Type [61] 6 802.11ワイヤレス[19]
6月12日08：30：08.267：RADIUS：NASポート[5] 6 7037                      
6月12日08：30：08.268：RADIUS：NAS-Port-Id [87] 6 "7037"
6月12日08：30：08.268：RADIUS：NAS-IP-Address [4] 6 10.132.0.253              
6月12日08：30：08.268：RADIUS：Nas-Identifier [32] 13 "UFFICIO-AP1"
6月12日08：30：08.325：RADIUS：ID 1645/128から受信212.183.164.38:1812、Access-Challenge、len 95
6月12日08：30：08.325：RADIUS：オーセンティケーター8A C9 30 9B 1B 13 20 91-4C D6 FE B3 2A 1E F7 85
6月12日08：30：08.325：RADIUS：ベンダー、シスコ[26] 31  
6月12日08：30：08.325：RADIUS：Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
6月12日08：30：08.325：RADIUS：EAPメッセージ[79] 8   
6月12日08：30：08.325：RADIUS：01 02 00 06 19 20 [????? ]
6月12日08：30：08.325：RADIUS：Message-Authenticato [80] 18  
6月12日08：30：08.325：RADIUS：31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {？g〜qZ？S？v。??]
6月12日08：30：08.326：RADIUS：状態[24] 18  
6月12日08：30：08.326：RADIUS：9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
6月12日08：30：08.326：RADIUS（00001A96）：ID 1645/128から受信

したがって、「関連付けSSID」はRADIUSのSSIDと一致しないため、リクエストが拒否され、承認されてユーザーが接続されます。

関連する構成は次のとおりです。

aaa authentication login default group radius
aaa authentication login eap_methods group radius
aaa承認ネットワークデフォルトif-authenticated 
ネストされたAAAアカウンティング
AAAアカウンティングの定期的な更新5
AAAアカウンティングネットワークeap_methodsスタートストップグループ半径
！
dot11 ssid Interactive
   VLAN 1
   認証オープン 
   認証キー管理wpa
   mbssidゲストモード
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
！
dot11 ssid Interactive_Ospiti
   VLAN 4
   認証オープン 
   認証キー管理wpa
   mbssidゲストモード
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
！
dot11 ssid Interactive_Test
   VLAN 5
   認証オープンeap eap_methods 
   認証network-eap eap_methods 
   認証キー管理WPAバージョン2
   アカウンティングeap_methods
   mbssidゲストモード
！
インターフェースDot11Radio0
 IPアドレスなし
 IPルートキャッシュなし
 暗号化vlan 4モード暗号aes-ccm tkip 
 暗号化vlan 1モード暗号aes-ccm tkip 
 暗号化vlan 5モード暗号aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 アンテナゲイン0
 mbssid
 短いスロット時間なし
 速度基本-1.0基本-2.0基本-5.5基本-11.0
 チャネル2457
 ステーションロールルート
！
インターフェースDot11Radio0.1
 説明LANインタラクティブ
 カプセル化dot1Q 1ネイティブ
 IPルートキャッシュなし
 ブリッジグループ1
 ブリッジグループ1の加入者ループ制御
 ブリッジグループ1ブロックの不明なソース
 ブリッジグループ1のソース学習なし
 ブリッジグループ1のユニキャストフラッディングなし
 ブリッジグループ1スパニング無効
！
インターフェースDot11Radio0.4
 説明LAN Ospiti
 カプセル化dot1Q 4
 IPルートキャッシュなし
 ブリッジグループ4
 ブリッジグループ4加入者ループ制御
 ブリッジグループ4ブロックの不明なソース
 ブリッジグループ4のソース学習なし
 ブリッジグループ4ユニキャストフラッディングなし
 ブリッジグループ4スパニング無効
！
インターフェースDot11Radio0.5
 説明LANテスト
 カプセル化dot1Q 5
 IPルートキャッシュなし
 ブリッジグループ5
 ブリッジグループ5加入者ループ制御
 ブリッジグループ5ブロックの不明なソース
 ブリッジグループ5のソース学習なし
 ブリッジグループ5ユニキャストフラッディングなし
 ブリッジグループ5スパニング無効
！
radius-server属性32 include-in-access-req形式％h
radius-server属性4 10.132.0.253
radius-server host 10.132.0.99 auth-port 1812 acct-port 1813非標準キー7 131312061E3811242A142A7C79
radius-server vsa送信アカウンティング
radius-server vsa送信認証

そして、これが＃show versioneの出力です

Cisco IOSソフトウェア、C1040ソフトウェア（C1140-K9W7-M）、バージョン12.4（25d）JA1、リリースソフトウェア（fc1）
テクニカルサポート：http://www.cisco.com/techsupport
Copyright（c）1986-2011 by Cisco Systems、Inc.
コンパイルされた木11-Aug-11 02:58によってprod_rel_team

ROM：ブートストラッププログラムはC1040ブートローダーです
BOOTLDR：C1040ブートローダー（C1140-BOOT-M）バージョン12.4（23c）JA3、リリースソフトウェア（fc1）

UFFICIO-AP1の稼働時間は8週間、2日、8時間、27分です
システムは電源投入によってROMに戻りました
2013年4月16日火曜日22:39:10 UTCにシステムが再起動されました
システムイメージファイルは「flash：/c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1」です。

誰か助けてもらえますか？

— マルコ・マルゼッティ
ソース

ACSまたは他のRADIUSサーバーを使用していますか？

— Dave Noonan 2013年

MySQLバックエンドでFreeRADIUSを使用しています

— Marco Marzetti、2013年

@MarcoMarzetti、行に追加non-standardして、radius-server hostこれにより得られる結果が変わるかどうか教えてください。key 7これを機能させるには、ステートメントを別の行に単独で配置する必要がある場合があります。

— マイクペニントン2013年

@MikePenningtonは完了しましたが、何も変更されていません。ところで、値を「SSID = Interactive_Ospiti」に変更すると、このエラーが発生しましたparse unknown cisco vsa "SSID" - IGNORE。そのため、IOSは属性を理解し、それを解析しようとします。

— マルコマルゼッティ2013年

あなたの設定はinterface Dot11Radio何ですか？

— generalnetworkerror 2013年

freeradius設定の演算子を "=〜"に変更してみてください：

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"

— サンティーノ
ソース

"=〜"は比較用であり、割り当てが必要なので、これは役に立たないと思います。SSIDチェックは、FreeRADIUSではなく、IOSが行う必要があることに注意してください。

— Marco Marzetti 2013年