配置在F5LTM的iRulesISERadius和HTTP负载平衡的-Cisco.pdf

配置在F5 LTM的iRules ISE Radius和HTTP负载 平衡的 目录 简介 先决条件 要求 使用的组件 配置 网络图 ISE F5 LTM 验证 Radius Cisco AV对审计会话ID LTM版本更改 HTTP负载平衡 SSL卸载 故障排除 相关信息 简介 本文描述如何配置在F5本地流量管理器(LTM)的iRules思科身份服务引擎的(ISE) Radius和HTTP负 载平衡。 先决条件 要求 Cisco 建议您了解以下主题： Cisco ISE配置、认证和授权 F5 LTM Radius和HTTP协议 使用的组件 本文档中的信息基于以下软件和硬件版本： Cisco Catalyst 交换机 F5 BIG-IP版本11.6 Cisco ISE软件版本1.3及以后 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您的网络实际，请保证您了解所有命令潜在影响。 配置 网络图 F5 LTM被配置作为Radius的一loadbalancer。请注意同一次会话的所有认证和记帐信息包重定向对 同一个ISE节点。IETF属性呼叫站点Id使用持续时间配置文件。 没有使用网络地址转换(NAT)。LTM路由虚拟服务器的信息包对包括两名成员的正确的池。 请注意从ISE节点回来的数据流通过LTM去。否则，网络接入设备(纳季)看到在回应的实际IP地址而 不是虚拟。在这样方案中，全状态NAT (SNAT)在LTM将必须使用-，但是该，因此不支持大多中断 ISE流。 ISE 为了简化条款， ISE配置被跳过。 参考其他资源。在ISE的特别配置不是需要的除了网络设备 ()的添加。 F5 LTM LTM已经预先配置与正确的VLAN/接口。 如镜像所显示，两个ISE节点被添加作为节点和。 池为两个节点被创建(监控是基于的icmp，可能是udp/radius)如镜像所显示。 iRule被创建。它寻找每属性值对查找IETF呼叫站点Id的(31)每访问请求如镜像所显示，并且创建根 据它的持续时间规则是值。 iRule的内容： when CLIENT_ACCEPTED { binary scan [UDP::payload] ccSH32cc code ident len auth attr_code1 attr_len1 set index 22 while { $index $len } { set hsize [expr ( $attr_len1 - 2 ) * 2] binary scan [UDP::payload] @${index}H${hsize}cc attr_value next_attr_code2 next_attr_len2 # If it is Calling-Station-Id (31) attribute... if { $attr_code1 == 31 } { persist uie $attr_value 30 return } set index [ expr $index + $attr_len1 ] set attr_len1 $next_attr_len2 set attr_code1 $next_attr_code2 } } 持续时间无用数据基于配置文件被创建。如镜像所显示，该配置文件使用此iRule。 标准的虚拟服务器被创建。如镜像所显示， UDP配置文件选择。 如镜像所显示，该虚拟服务器使用配置池和持续时间配置文件。 验证 使用本部分可确认配置能否正常运行。 为了检查数据流是否正确地被平衡，可能使用radius模拟程序。 为了发送4个访问请求到与特定呼叫站点Id属性的虚拟服务器(03)地址： root@arrakis:# ./radiustest.py -d 03 -u cisco -p Krakow123 -s Krakow123 -ai 21:11:11:11:11:21 -n 4 Starting sniffing daemon Choosen vmnet3 interface for sniffing Sniffing traffic from udp and src 03 and port 1812 Sending Rad