原创力文档- 1、本文档共23页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
思科与F5对接Radius概要1
简介本文描述如何配置在F5本地流量管理器(LTM)的iRules思科身份服务引擎的(ISE) Radius和HTTP负载均衡。先决条件要求Cisco 建议您了解以下主题:思科ISE部署、验证和授权在F5 LTM的基础知识在Radius和HTTP协议的知识使用的组件本文档中的信息基于以下软件和硬件版本:Cisco Catalyst 交换机F5 BIG-IP版本11.6Cisco ISE软件版本1.3及以后配置网络图F5 LTM配置作为Radius的一loadbalancer。确保是重要的,所有验证和核算数据包同一会话的重定向对同一个ISE节点。IETF属性呼叫站点Id使用持续时间配置文件。没有使用NAT。LTM路由虚拟服务器的数据包给包括两个成员的正确池。确保回来从ISE节点的流量通过LTM去是重要的。如果不是纳季将看到在答复的实际IP地址而不是虚拟。在这样方案中SNAT在LTM将必须使用-,但是那将中断大多ISE流-,因此不支持。配置ISE为了简化条款ISE配置被跳过。请参考的其他资源。在ISE的特别配置没有需要除了网络设备()的新增内容。F5 LTMLTM已经预先配置与正确VLAN/接口。两ISE节点被添加作为节点:池为两节点创建(监听是基于的icmp,可能是udp/radius) :iRule创建。它寻找每属性值对查找IETF呼叫站点Id的(31)每Access-Request并且创建根据它的持续时间规则是值:iRule的内容:when CLIENT_ACCEPTED {??? binary scan [UDP::payload] ccSH32cc code ident len auth attr_code1 attr_len1??? set index 22??? while { $index $len } {??????? set hsize [expr ( $attr_len1 - 2 ) * 2]??????? binary scan [UDP::payload] @${index}H${hsize}cc attr_value next_attr_code2 next_attr_len2??????? # If it is Calling-Station-Id (31) attribute...??????? if { $attr_code1 == 31 } {??????????? persist uie $attr_value 30??????????? return??????? }??????? set index [ expr $index + $attr_len1 ] ???????? set attr_len1 $next_attr_len2???? ???????? set attr_code1 $next_attr_code2? ???? }}持续时间哈希基于配置文件创建。该配置文件在iRule上使用:标准的虚拟服务器创建。UDP配置文件选择:该虚拟服务器使用配置池和持续时间配置文件:验证可能使用要检查流量是否正确地被平衡radius模拟程序。发送4访问请求到与特定呼叫站点Id属性的虚拟服务器(03)地址:root@arrakis:# ./radiustest.py -d 03 -u cisco -p Krakow123 -s Krakow123 -ai 21:11:11:11:11:21 -n 4Starting sniffing daemonChoosen vmnet3 interface for sniffingSniffing traffic from udp and src 03 and port 1812Sending Radius Access-RequestsSending Radius Packet.......Radius packet details: :27483 - 03:1812Radius Code: 1 (Access-Request)Radius Id: 179AVP[0] Type: 1 (User-Name) Value: ciscoAVP[1] Type: 2 (User-Password) Value: *AVP[2] Type: 4 (NAS-IP-Address) Value: AVP[3] Type: 31 (Calling-Station-Id) Value: 21:11:11:11:11:21Sending Radius Packet.......Radius packet details: :27483 - 03:1812Received Radius Packet......Radius packet details: 03:1812 -
文档评论(0)