内网无线控制器对接公网radius服务器
- 0关注
- 0收藏,75浏览
你提到的这种AC在内网、RADIUS服务器在外网的部署方式很典型。配置的关键在于:既要让AC能主动找到公网的RADIUS服务器,又要确保公网服务器回复的报文能正确返回给AC。
1. 端口映射:确保“内访外”的单向通信
好消息是,对于标准的RADIUS认证,你只需要确保AC能够主动访问RADIUS服务器的公网IP和端口即可,不需要在防火墙上做端口映射让外网访问AC。因为RADIUS协议是AC作为客户端主动向服务器发起请求,服务器会根据请求的来源IP和端口自动回复,只要防火墙允许会话通过就行。
默认情况下,你需要在防火墙上允许AC主动访问RADIUS服务器的以下UDP端口:
认证端口 (Authentication Port):默认 UDP 1812。这是RADIUS服务器监听认证请求的端口。
计费端口 (Accounting Port):默认 UDP 1813。这是RADIUS服务器监听计费请求的端口。
如果你的RADIUS服务器使用了非标准端口,需要在AC的RADIUS方案配置中相应修改,并在防火墙上放行对应的端口。
此外,如果你使用的是H3C IMC作为RADIUS服务器并开启了Session Control功能,服务器会主动连接AC的UDP 1812端口。在这种情况下,你需要在防火墙上额外配置一条端口映射,将AC的UDP 1812端口映射出去。
2. nas-ip配置:确保认证报文能“找回家”
nas-ip(Network Access Server IP)是AC在与RADIUS服务器通信时,在报文源IP地址字段填写的地址。这是RADIUS服务器识别接入设备(你的AC)的唯一凭证。
nas-ip必须配置为AC的**内网IP地址**,而不是公网IP。
假设你的AC内网IP是192.168.1.100,配置如下:
192.168.1.100。同时,你需要在RADIUS服务器的配置中,将192.168.1.100添加为允许接入的NAS设备,并确保共享密钥等参数与AC侧一致。
为什么不能用公网IP? 简单来说,AC在发报文时不知道自己的公网IP。
nas-ip设置为公网IP后,防火墙做源地址转换(SNAT)时还会再次转换,RADIUS服务器收到请求后,会将回应发向一个不可达的“双重转换”后的源地址,导致通信失败。暂无评论
华三无线控制器(AC)在内网与外网RADIUS服务器对接时,需注意以下关键点:
端口映射要求
AC需映射以下端口与RADIUS服务器通信:NAS-IP地址配置
必须配置为映射后的公网地址。原因如下:补充说明
总结配置要点:
plaintext
radius scheme example
primary authentication <公网IP> 1812 //映射公网IP和端口
primary accounting <公网IP> 1813
nas-ip <映射公网IP> //必须与映射地址一致
user-name-format without-domain //根据服务器要求选择格式
key authentication simple <共享密钥>
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论