CCIE.pl

Witam,

mam kontroler WLC 2504 oraz serwer Win2k8 na którym mam usługę NPS.
I teraz działa wszystko fajnie. AP mam w trybie Flex Connect.
Zapytania do radiusa przychodzą z interfejsu WLC(VLAN dla użytkowników), a nie z interfejsu który służy do zrządzania nim.
Soft mam w wersji: 8.1.102.0

Jak zmienić usługę radiusa na WLC aby zapytania wychodziły z innego interfejsu. Bo problem pojawi się jak dołożę AP w kolokacjach.

Cześć,

Jeśli dobrze rozumiem, to zapytanie RADIUS przychodzi z IP dynamicznego interfejsu przypisanego dla danego WLAN, a chcesz, aby przychodziło z IP interfejsu "management".

Pytanie czy nie masz przypadkiem włączonej opcji "Radius Server Overwrite interface"?
WebUI - odklikać zaznaczenie:
WLAN -> Twój_WLAN -> Security -> AAA Servers -> Radius Server Overwrite interface

CLI: 1 to Id danego WLAN

Tak, i jeśli chodzi o tą opcję

"WLAN -> Twój_WLAN -> Security -> AAA Servers -> Radius Server Overwrite interface "

to nie mam jej zaznaczonej. Bo to była pierwsza moja myśl, ale niestety. Po kilku próbach i re konfiguracji nie dało to żadnego efektu.

a nie znalazłem buga jeśli chodzi o ten kontroler.

Z racji, że to FlexConnect, to do potwierdzenia, zapytania do Radius idą z IP dynamicznego dla danego WLAN, czy z IP samego AP?
Może w zakładce WLAN -> Advanced w sekcji FlexConnect masz zaznaczone "FlexConnect Local Auth" + dodatkowo w konfiguracji Flex grupy

logi radiusa z Win 2k8


Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name: -
OS-Version: -
Called Station Identifier: xx.xx.100.41
Calling Station Identifier: yy:yy:yy:yy:yy:yy

NAS:
NAS IPv4 Address: xx.xx.100.41
NAS IPv6 Address: -
NAS Identifier: WLC-1-XXX
NAS Port-Type: Wireless - IEEE 802.11
NAS Port: 13

RADIUS Client:
Client Friendly Name: WLC-1-XXX
Client IP Address: xx.xx.200.41





"FlexConnect Local Auth" tej opcji nie mam zaznaczonej w profilu sieci WLAN w Advanced

Nie znalazłem konkretnego bug'a, ale zgodnie z rekomendacją TAC przejdź może na 8.2, bo zachowanie jest nieprawidłowe. Albo chociaż na nowszą wersję 8.1

AireOS 8.1

8.1.131.0 is the final maintenance release of AireOS 8.1. The recommended upgrade path for AireOS 8.1 customers is to 8.2.

Źródło - https://www.cisco.com/c/en/us/support/d ... .html#anc7

aktualnie zmieniłem wersję na: AIR-CT2500-K9-8-1-131-0 i nie pomogło. zmienię na 8.2.110.0

po zmianie softu nic się nie zmieniło dalej log w radius wygląda jak wyżej, czyli zapytania z interfejsu dynamicznego a nie z "management".

czeka mnie chyba Case w Tac;)

To by sugerowało ustawienie, o którym pisałem w pierwszej odpowiedzi. Załóż case i daj znać co doradzili.

Serwer Radius mam w tej samej podsieci co dany VLAN, i zapytanie do serwera radius będą wychodzi z dynamicznego interfejsu jeśli jest on(radius) osiągalny w tym VLAN.

Trzeba by usunąć dynamiczny interfejs. :p i nie ma opcji żeby to wymusić;)

Ok, ale dlaczego serwer Radius jest w sieci użytkowników, a nie jakiejś innej, ze szczególnym przypadkiem sieci management. Skoro umieszczamy użytkowników, serwery, etc w jednej sieci, to po co w ogóle robić segmentację z użyciem vlan (pomijam na sekundę klasyczne elementy dlaczego używamy vlan, np. o domenach bcast, etc)

Dynamiczny interfejs jest potrzebny jeśli Nasza konfiguracja w którymś WLAN się do niego odwołuje. W skrajnym przypadku możesz mieć wszystko w ramach sieci interfejsu management, kwestia użycia go w odpowiednich WLAN.

No ja rozumiem wszytko, ale czasem sieci różnie wyglądają i nie wszytko od razu można zrobić;)

Ale jest to już ogarnięte;)

W jaki sposób nastąpiło ogarnięcie? Tak dla potomnych

Hej;)
Dzięki za przypominajkę.

Przeniosłem radius do innego VLAN i po sprawie;)