思科与F5对接Radius.docx

简介 本文描述如何配置在F5本地流量管理器(LTM)的iRules思科身份服务引擎的(ISE) Radius和HTTP负载均衡。 先决条件 要求 Cisco 建议您了解以下主题： 思科ISE部署、验证和授权 在F5 LTM的基础知识 在Radius和HTTP协议的知识 使用的组件 本文档中的信息基于以下软件和硬件版本： Cisco Catalyst 交换机 F5 BIG-IP版本11.6 Cisco ISE软件版本1.3及以后 配置 网络图 F5 LTM配置作为Radius的一loadbalancer。确保是重要的，所有验证和核算数据包同一会话的重定向对同一个ISE节点。IETF属性呼叫站点Id使用持续时间配置文件。 没有使用NAT。LTM路由虚拟服务器的数据包给包括两个成员的正确池。 确保回来从ISE节点的流量通过LTM去是重要的。如果不是纳季将看到在答复的实际IP地址而不是虚拟。在这样方案中SNAT在LTM将必须使用-，但是那将中断大多ISE流-，因此不支持。 配置 ISE 为了简化条款ISE配置被跳过。请参考的其他资源。在ISE的特别配置没有需要除了网络设备()的新增内容。 F5 LTM LTM已经预先配置与正确VLAN/接口。 两ISE节点被添加作为节点： 池为两节点创建(监听是基于的icmp，可能是udp/radius) ： iRule创建。它寻找每属性值对查找IETF呼叫站点Id的(31)每Access-Request并且创建根据它的持续时间规则是值： iRule的内容： when CLIENT_ACCEPTED {??? binary scan [UDP::payload] ccSH32cc code ident len auth attr_code1 attr_len1??? set index 22??? while { $index $len } {??????? set hsize [expr ( $attr_len1 - 2 ) * 2]??????? binary scan [UDP::payload] @${index}H${hsize}cc attr_value next_attr_code2 next_attr_len2??????? # If it is Calling-Station-Id (31) attribute...??????? if { $attr_code1 == 31 } {??????????? persist uie $attr_value 30??????????? return??????? }??????? set index [ expr $index + $attr_len1 ] ???????? set attr_len1 $next_attr_len2???? ???????? set attr_code1 $next_attr_code2? ???? }} 持续时间哈希基于配置文件创建。该配置文件在iRule上使用： 标准的虚拟服务器创建。UDP配置文件选择： 该虚拟服务器使用配置池和持续时间配置文件： 验证 可能使用要检查流量是否正确地被平衡 HYPERLINK /projects/radiustest/ \t _self radius模拟程序。 发送4访问请求到与特定呼叫站点Id属性的虚拟服务器(03)地址： root@arrakis:# ./radiustest.py -d 03 -u cisco -p Krakow123 -s Krakow123 -ai 21:11:11:11:11:21 -n 4 Starting sniffing daemonChoosen vmnet3 interface for sniffingSniffing traffic from udp and src 03 and port 1812Sending Radius Access-RequestsSending Radius Packet.......Radius packet details: :27483 - 03:1812Radius Code: 1 (Access-Request)Radius Id: 179AVP[0] Type: 1 (User-Name) Value: ciscoAVP[1] Type: 2 (User-Password) Value: *AVP[2] Type: 4 (NAS-IP-Address) Value: AVP[3] Type: 31 (Calling-Station-Id) Value: 21:11:11:11:11:21Sending Radius Pac