这篇文章解释了在PMP子系统中RADIUS服务器可以做什么。RADIUS可用于SM认证、用户管理和对Canopy radio的配置。
RADIUS服务器的支持
Canopy软件支持以下RADIUS服务器。
- freeradius
- ARADIAL
- 微软NPS(软件版本13.4以后),安装指南在这里.
- Cisco ACS(软件版本13.4.1以后),安装指南在这里.
配置认证短信
如果authentication设置为半径AAA,只有RADIUS认证成功后,才能向AP注册SM。
在AP上要做的配置
- 从“安全”开启RADIUS AAA
- 认证服务器IP和共享的秘密。最多可配置3个RADIUS服务器。这可以在其他服务器不可达的情况下提供负载平衡或后备机制。检查会话状态列表,配置选项卡查找通过哪个RADIUS服务器进行认证的SM。
在SM上需要进行的配置
- 选择EAP方法来使用,我们支持PEAP-MSCHAPv2, TTLS-MSCHAPv2, TTLS-PAP, EAP-MSCHPAv2
- 输入用户名,密码,这必须与在RADIUS用户数据库中配置的相同(例如,如果您使用freeradius,则使用users.conf文件)
- 配置安全证书请注意,冠层无线电验证从RADIUS服务器发送的证书,因此请确保它与SM和AP上的配置相同。
提示:认证模式由ap管理。任何SM(除了通过启用强制认证而本身被配置为要求RADIUS认证的SM之外)都被允许向ap注册。建议保持SM设置为禁用。
提示:
他们可能会争论为什么要接触每一个SM以获得认证,这可能是一项累人的工作。
可以使用下面的方法。
- 如果美联社配置了AAA半径认证,没有任何配置的开箱即出的SM将尝试做RADIUS认证,可能因为各种原因,如默认证书或默认用户名/密码不匹配而不成功。在这种情况下,可以选择启用此配置以绕过ICC SM的身份验证。下配置—>安全—>认证服务器设置—>关闭通过ICC连接的SM的认证,设置为启用.
- 现在,开箱即用的SM(启用了ICC)可以与AP一起装载。在此之后,SM将尝试使用零触摸配置,并从DHCP选项66获得配置文件下载URL。注意:这需要启用option 66的DHCP服务器,并设置为tftp或ftp下载url的值。要使选项66 URL通用,并为所有SM的工作保持它像这样的东西tftp: / / mycompany.com/,SM将自动添加mac地址并实际获取tftp: / / mycompany.com/0a0b0c0d0e0f.cfg
- SM将使用下载URL获取配置文件。现在,在FTP/TFTP服务器中,可以创建每个SM配置文件。配置文件名的格式为0 a0b0c0d0e0f.cfg。在这个配置文件中,您可以设置所需的颜色代码、无线电参数、RADIUS认证凭据。
因此,一旦配置被应用并重新启动SM,它将转向RADIUA Auth并成功获得身份验证。
Web用户身份验证
RADIUS服务器可以对用户进行认证管理。
如果需要使用该特性,请启用“认证模式”为“远程”或“远程”,然后是“本地”在AP或SM上。
目前EAP-MD5是我们唯一支持的EAP方法,所以请确保您的RADIUS服务器上也有同样的方法。在未来的软件发布中,我们将支持更强的认证方法。
您可以选择配置“拒绝AAA后允许本地登录”为启用,这将确保您在RADIUS服务器宕机的情况下有访问权限。
注意:如果RADIUS服务器不可达,无论配置如何,认证都将回退到Local。
注意:形成层问题Cambium-Canopy-UserLevel必须在RADIUS服务器用户配置中出现,否则认证不通过。VSA可设置为以下有效值:TECH(1)、INSTALL(2)、ADMIN(3)。
另外,管理员可以添加另一个控制的VSACambium-Canopy-UserMode,控制无线用户是只读(1)还是读写(0)。默认情况下,已登录的用户将处于读写模式。
会计
RADIUS认证的SM和用户都可以开启计费消息功能。我们支持两种类型的会计
dataUsage:这是基于每个SM的,可以启用美联社只有。计费消息将根据配置定期发送会计区间(分30 0 =禁用max - 10080)。
一个示例会计消息将会看起来像
User-Name = "anonymous" [外部身份请参见如何获取SM内部身份用户名的提示部分]
NAS-Port = 2
NAS-Port-Type = Wireless-Other
NAS-IP-Address = 10.110.61.2
Calling-Station-Id = " 0 0B-0 c-0 d-0 e-0 f"
Acct-Authentic =半径
Connect-Info = " 65000/65000/8X / 2 x”
Acct-Session-Id = " 0一个0b0 c0d0e0f10000020 0B-0 c-0 d-0 e-0 f"
Acct-Input-Octets = 44571
Acct-Output-Octets = 18925
Acct-Input-Packets = 378
Acct-Output-Packets = 122
Acct-Input-Gigawords = 0
Acct-Output-Gigawords = 0
Acct-Session-Time = 5760
account - status - type =临时更新[其他状态类型是启动/停止/ NAS-Reboot / Device-Reboot]
提示:
正如你在上面看到的用户名包含外部标识,如果您将您的RADIUS服务器配置为复制隧道内属性,在这种情况下,用户名将是SM内部身份用户名。
deviceAccess:当用户登录web管理界面,并使能RADIUS功能时,会产生此计费消息。这些消息只会在登录或注销时发送。
AP和SM都可以开启此配置。它有助于跟踪谁是记录到管理界面的Canopy无线电。
制定知识产权
对于SM认证,一旦通过RADIUS服务器认证,就可以将VSA设置为已配置的管理接口局域网1网络configuiration参数。
注意:IP地址、子网掩码和网关必须同时出现,网络设置才能在SM上生效。
Framed-IP-Address = 10.110.61.69,
Framed-IP-Netmask = 255.255.255.0,
Cambium-Canopy-Gateway = 10.110.61.254,这是Cambium供应商VSA,详细信息请参考字典文件。
SM QoS参数
下面的VSA可以配置SM Link
形成层-冠层- lpulcir #低优先上行CIR
Cambium-Canopy-LPDLCIR #低优先级下行CIR
形成层-冠层- hpulcir #高优先上行CIR
Cambium-Canopy-HPDLCIR #高优先级下行CIR
形成层-冠层- hpenable #高优先级启用
上行比特率/持续上行速率
上行位限制/上行突发分配
形成层-冠层- dlbr #下行比特率/持续下行速率
Cambium-Canopy-DLBL #下行链路位限制/下行链路突发分配
广播流量最大信息速率
形成层-冠层- ulmb #最大突发上行速率
形成层-冠层- dlmb #最大突发下行速率
广播流量在PPS单位的最大信息速率(最大65535)
VLAN
SM Vlan设置也可以从RADIUS服务器推送,下面这些VSA可以帮助实现这一点。
Cambium-Canopy-VLLEARNEN #VLAN学习使能
Cambium-Canopy-VLFRAMES #允许的VLAN帧类型- all/Tag/Untagged
Cambium-Canopy-VLIDSET #VLAN成员资格(1-4094)
Cambium-Canopy-VLAGETO #VLAN年龄超时
Cambium-Canopy-VLIGVID #VLAN入接口VLAN ID
Cambium-Canopy-VLMGVID #VLAN管理VLAN ID
配置文件导入导出
为了便于安装和使用,可以将所有SM配置打包到一个配置文件中,并将其放置在ftp或tftp服务器下。文件的URL可以在这些VSA中指定。在SM进入SM之后,如果存在这个VSA, SM将尝试获取配置文件并应用到SM。
Cambium-Canopy-ConfigFileImportUrl #配置文件导入URL
Cambium-Canopy-ConfigFileExportUrl #配置文件导出URL
更改授权和断开连接消息
冠层软件支持RFC 3576,这基本上允许管理员控制配置参数的SM,而它是在会话。必须启用此功能配置- >安全的美联社在使用之前先把它压下。
变化的授权
这允许管理员在SM处于会话期间控制这些配置参数。一个典型的用例是在SM使用一定的带宽后更改QOS参数。
断开连接的信息:
要从AP断开已注册SM的连接,管理员现在可以在RADIUS服务器的CoA端口上向AP发送包含以下参数的断开连接消息。
Event-Timestamp = 1445935920
User-Name=0a-00-3e-ab-cd-ef[已注册SM的Mac地址]
请参考这个页面为更多的细节。
