无线 : 思科 4400 系列无线局域网控制器

Cisco Airespace VSA在Cisco Secure ACS服务器上的配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

思科安全访问控制服务器(ACS)版本4.0及以上版本支持思科Airespace卖方细节属性(VSA)默认情况下。对于在版本4.0前的ACS版本,必须导入思科Airespace字典文件到Cisco Secure ACS。本文解释如何导入思科Airespace字典文件到版本的Cisco Secure ACS在4.0前。思科的Airespace VSAs厂商代码是14179。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 基础知识如何配置Cisco安全服务器验证无线客户端

  • Cisco Unified无线安全解决方法知识

使用的组件

本文档中的信息根据Cisco Secure ACS服务器版本3.2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

默认情况下使用Cisco Secure ACS版本4.0及以上版本, ACS支持这些思科Airespace VSAs :

  • Aire-WLAN-Id

  • Aire-QoS-Level

  • Aire-DSCP

  • Aire-802.1P-Tag

  • 空的Interface-Name

  • Aire-ACL名称

关于这些属性的更多信息,参考用于标识Cisco无线LAN控制器配置指南的网络部分的RADIUS属性,版本4.1

对于在版本4.0前的ACS版本,必须导入思科Airespace字典文件到Cisco Secure ACS。下一部分解释如何导入思科Airespace字典文件到Cisco Secure ACS。

在使用在Cisco Secure ACS的RADIUS属性前

为了配置为用户将发送的一个特定属性,您必须以保证那:

  • Network Configuration部分,您必须配置对应于接入设备的AAA客户端条目。此接入设备准许对支持属性您希望发送对AAA客户端的用户的网络访问使用各种各样的RADIUS。

  • 接口配置部分,您必须启用属性,因此出现在用户或用户组配置文件页。您能启用在对应于RADIUS种类支持属性的页的属性。例如, IETF RADIUS Session-timeout属性(27)出现在RADIUS (IETF)页。

    注意: 默认情况下,因为他们在Interface Configuration页,没出现每用户RADIUS属性没有启用。在您能逐个用户前启用属性,您必须启用在高级选项页的每用户TACACS+/RADIUS属性选项在接口配置部分。在您启用每个用户的属性后,用户列在Interface Configuration页将出现如禁用该属性的。

  • 在您使用控制用户的授权的配置文件,是在用户或组编辑页或共享RADIUS授权组分页,您必须启用属性。当此属性启用时, ACS发送属性给access-accept消息的AAA客户端。在关联与属性的选项,您能确定发送给AAA客户端属性的值。

    注意: 在用户配置文件改写设置的设置在组配置文件。例如,如果配置Session-timeout在用户配置文件并且在用户分配的组中, ACS发送AAA客户端在用户配置文件指定的超时值。

导入思科Airespace VSAs对Cisco Secure ACS

为了导入思科Airespace VSAs到Cisco Secure ACS,您必须完成这些步骤:

  1. 定义思科在RADIUS vendor/VSA导入文件的Airespace VSAs。

  2. 确定您想要添加新的RADIUS供应商和VSAs的RADIUS供应商slot。

  3. 添加思科Airespace VSAs到Cisco Secure ACS。

注意: 确保应用程序regedit不运行。如果regedit在Cisco Secure ACS Windows服务器运行,可以防止注册更新要求的添加一个自定义RADIUS供应商和VSA集。

定义思科在RADIUS Vendor/VSA导入文件的Airespace VSAs

为了导入思科Airespace VSAs设置到Cisco Secure ACS,您必须定义在导入文件和VSA设置的RADIUS供应商。此部分选派RADIUS VSA导入文件的格式和内容。

RADIUS vendor/VSA导入文件使用一种Windows .ini文件格式。每个RADIUS vendor/VSA导入文件包括三个类型部分。这些部分在此表里被选派。每个部分组成一个段报头和一套密钥和值。部分的定货在RADIUS vendor/VSA导入文件的是毫不相关的。

airespace-vsa-acs-config1.gif

供应商和VSA集合定义

每个RADIUS vendor/VSA导入文件必须有一个供应商和VSA系节。段报头必须是[User-defined Vendor]。

/image/gif/paws/97849/airespace-vsa-acs-config2.gif

例如,此供应商和VSA系节定义了供应商思科Airespace, IETF分配的供应商编号是14179。

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

属性定义

每个RADIUS vendor/VSA导入文件必须有在供应商和VSA系节定义的每个属性的一个属性定义部分。每个属性定义部分段报头必须匹配为在供应商和VSA系节的该属性定义的属性名称。此表列出属性定义部分的有效密钥:

/image/gif/paws/97849/airespace-vsa-acs-config3.gif

例如,此属性定义部分定义了Airespace接口名称VSA,是用于的字符串指定接口名称。

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

列举定义

列举定义enable (event)关联文本的您根据名称对于类型属性的每个有效数值。在Cisco Secure ACS HTML界面的组建立和用户设置部分,文本在列表重视您定义了出现关联与使用列举的属性。只有当属性定义部分参考他们,列举定义部分要求。是类型属性仅的属性能参考列举定义部分。

每个列举定义部分段报头必须匹配参考它Enums密钥的值。列举定义部分可以由超过关键一的Enums参考,因而允许普通的列举定义重新使用。列举定义部分能有1000密钥。此表列出列举定义部分的有效密钥:

/image/gif/paws/97849/airespace-vsa-acs-config4.gif

例如,此列举定义部分定义了QOS-VALUES列举,连结字符串值银与整数0,与整数1的字符串值金牌服务等等。

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze

Airespace字典文件

您需要考虑所有这些参数必要创建AirespaceVSA.ini文件。示例如下:

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

RadiusExtensionPoints=EAP

[Airespace-WLAN-Id]
Type=INTEGER
Profile=OUT

[Airespace-QoS-Level]
Type=INTEGER
Profile=OUT
Enums=QOS-VALUES

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze

[Airespace-DSCP]
Type=INTEGER
Profile=OUT

[Airespace-802.1p-Tag]
Type=INTEGER
Profile=OUT

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

[Airespace-ACL-Name]
Type=STRING
Profile=OUT

保存此文件作为Airespace.ini并且存储它在硬盘驱动器,最好是在C:\Cisco Secure ACS 3.2\Utils目录。下一步是添加VSAs对Cisco Secure ACS。

添加思科Airespace VSAs到Cisco Secure ACS

您能使用CSUtil.exe -在使用情况目录(C:\Cisco Secure ACS 3.2\Utils目录)添加下的addUDV可以使用的命令对十个自定义RADIUS供应商和VSA设置为Cisco Secure ACS。每个RADIUS供应商和VSA集被添加到十可能的用户定义的RADIUS供应商slot之一。

CSUtil.exe - listUDV命令一览表每用户定义的RADIUS供应商slot按插槽编号顺序。CSUtil.execommand列出不包含一个自定义RADIUS供应商如未分配的slot。一未分配slot是空的。您能添加一个自定义RADIUS供应商到作为未分配列出的所有slot。示例如下:

C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -listUDV
CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
UDV 0 - RADIUS (Airespace)
UDV 1 - Unassigned
UDV 2 - Unassigned
UDV 3 - Unassigned
UDV 4 - Unassigned
UDV 5 - Unassigned
UDV 6 - Unassigned
UDV 7 - Unassigned
UDV 8 - Unassigned
UDV 9 - Unassigned

CSUtil.exe命令添加设置的自定义RADIUS供应商和VSA到Cisco Secure ACS时,所有Cisco Secure ACS服务自动地被终止并且被重新启动。用户没有在此进程中验证。

完成这些步骤为了添加思科Airespace VSAs到Cisco Secure ACS :

  1. 在运行Cisco Secure ACS的计算机上,请打开MS DOS命令提示并且更改目录对包含CSUtil.exe的目录。例如,如果Cisco Secure ACS在C:\Cisco Secure ACS 3.2目录安装,使用情况目录将是可用的在此目录下。从DOS提示符,请输入此:

    C:\Cisco Secure ACS 3.2\cd Utils
    
    C:\Cisco Secure ACS 3.2\Utils
  2. 现在,请输入此命令:

    CSUtil.exe -addUDV slot-number filename

    那里slot-number一个未使用Cisco Secure ACS RADIUS供应商slot和文件名是RADIUS vendor/VSA导入文件的名称。文件名能包括一个相对或绝对路径到RADIUS vendor/VSA导入文件。按 Enter

    例如,添加思科在C:\Cisco Secure ACS 3.2\Utils\Airespace.ini VSAs定义的Airespace对slot 5,命令是:

    CSUtil.exe -addUDV 5 Airespace.ini

    CSUtil.exe显示确认提示符。

  3. 为了确认您想要添加VSAs并且在进程中制止所有Cisco Secure ACS服务,请键入Y并且按回车。

    CSUtil.exe制止Cisco Secure ACS服务,解析vendor/VSA输入文件,并且添加新的RADIUS供应商和VSAs到Cisco Secure ACS。此进程能花费几分钟。在它完成后, CSUtil.exe重新启动Cisco Secure ACS服务。

    示例如下:

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.ini
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Stopping any running services
    Creating backup of current config
    Adding Vendor [Airespace] added as [RADIUS (Airespace)]
    Adding VSA [Airespace-WLAN-Id]
    Adding VSA [Airespace-QoS-Level]
    Adding VSA [Airespace-DSCP]
    Adding VSA [Airespace-802.1p-Tag]
    Adding VSA [Airespace-Interface-Name]
    Adding VSA [Airespace-ACL-Name]
    Done
    Checking new configuration...
    New configuration OK
    Re-starting stopped services

验证

一旦思科Airespace VSAs被添加到Cisco Secure ACS,您能从Cisco Secure ACS GUI验证同样。完成这些步骤为了验证:

  1. 登陆对Cisco Secure ACS GUI。

  2. 点击从左侧菜单的网络配置并且导航对添加AAA客户端页。

    在AAA客户端窗口,您将查找RADIUS (Airespace)使用下拉菜单,选项在验证下。

    示例如下:

    airespace-vsa-acs-config5.gif

    在Interface Configuration页,您将查找RADIUS (Airespace)属性列出。

    注意: Network Configuration部分,您必须配置对应于接入设备准许对用户的网络访问使用RADIUS的AAA客户端条目(Airespace)属性您想要发送对AAA客户端。然后对应的RADIUS属性在Interface Configuration页将列出。

    /image/gif/paws/97849/airespace-vsa-acs-config6.gif

  3. 当您点击在此页的RADIUS (Airespace)时链路,您能查看和选择属性。

    airespace-vsa-acs-config7.gif

故障排除

如果Airespace字典文件没有导入对Cisco Secure ACS,请检查这些:

  • 保证您导入一个适当地被格式化的.ini (VSA导入文件)文件。如果文件的格式不正确,您将看到此错误消息:

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.dct
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Cant find [Name] value
    
  • 保证您尝试导入字典的供应商slot是自由的和没有分配到不同厂商字典。如果设法安装VSA到已经分配的slot,您将收到此错误:

    Vendor Slot already configured, specify alternate value
    

    您能使用CSUtil.exe - listUDV命令为了查看是空的slot的列表。


相关信息


Document ID: 97849