Назад | Перейти на главную страницу

Как использовать разные сетевые политики для административных входов и пользователей беспроводной сети?

Я использую сервер RADIUS (NPS в Windows 2008 R2) для централизованного управления аутентификацией для множества устройств Cisco, включая коммутаторы и точки беспроводного доступа; В настоящее время я использую RADIUS для аутентификации входа в консоль IOS / SSH и предоставления административного доступа к этим устройствам пользователям Active Directory.

Я планирую внедрить аутентификацию RADIUS / AD и для пользователей беспроводной сети; в центре внимания этого вопроса не как это сделать, но это другая проблема: как я могу применить разные политики NPS к пользователям, обращающимся к IOS для выполнения административных обязанностей, и к пользователям, обращающимся к точкам беспроводного доступа? Какие атрибуты RADIUS можно отфильтровать, чтобы отличить логин IOS от входа в беспроводной сети?

Атрибут RADIUS для фильтрации - "NAS-Port-Type" (атрибут 61); соответствующие значения:

  • Административный доступ:
    • Async (0) (для доступа к консоли
    • Виртуальный (5) (для доступа по Telnet / SSH
  • Беспроводной доступ:
    • Беспроводная связь - IEEE 802.11 (19)
    • Беспроводная связь - Другое (18)

Источник: http://www.iana.org/assignments/radius-types/radius-types.xml#radius-types-13