Contrôleurs de réseau local sans fil gamme Cisco 4400

Exemple de configuration de la fonction de secours du serveur RADIUS sur des contrôleurs de réseau local sans fil (WLC)

Introduction

Ce document montre comment configurer la fonctionnalité de reprise du serveur avec des contrôleurs de réseau local sans fil.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Connaissance de base de la configuration du Point d'accès léger (recouvrements) et des Cisco WLC

  • Connaissance de base du protocole LWAPP (Lightweight Access Point Protocol)

  • Connaissance de base des solutions de sécurité sans fil

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco 4400 WLC qui exécute la version de microprogramme 5.0

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Caractéristique de retour de serveur de RAYON

Versions de logiciel WLC avant que 5.0 ne prennent en charge pas le mécanisme de repli de serveur de RAYON. Quand le serveur primaire de RAYON devient indisponible, le WLC Basculement au prochain serveur de sauvegarde actif de RAYON. Le WLC continuera à utiliser le serveur secondaire de RAYON pour toujours même si le serveur primaire est disponible. Habituellement le serveur primaire est les hautes performances et le serveur préféré.

Dans WLC 5.0, le WLC prend en charge la caractéristique de retour de serveur de RAYON. Avec cette configuration, le WLC peut être configuré pour vérifier si le serveur primaire est disponible et commute de nouveau au serveur primaire de RAYON une fois qu'il est disponible. Afin de faire ceci, les supports WLC deux nouveaux modes, passif et actif, pour vérifier l'état du serveur de RAYON. Le WLC revient au serveur le plus préférable après la valeur du dépassement de durée spécifiée.

Modes de retour

Mode actif

En mode actif, quand un serveur ne répond pas à la demande d'authentification WLC, le WLC marque le serveur comme mort, puis déplace le serveur au groupe inactif de serveur et commence envoyer des messages de sonde périodiquement jusqu'à ce que ce serveur réponde. Si le serveur répond, alors le WLC déplace le serveur mort au groupe actif et cesse d'envoyer des messages de sonde. En ce mode, quand une demande d'authentification est livré, le WLC sélectionne toujours le plus bas serveur (le plus prioritaire) d'index du groupe actif de serveurs de RAYON.

Le WLC envoie un paquet de sonde après que délai d'attente (sec de par défaut 300) pour déterminer l'état de serveur au cas où le serveur était plus en avance insensible.

Mode passif

En mode passif, si un serveur ne répond pas à la demande d'authentification WLC, le WLC déplace le serveur à la file d'attente inactive et place un temporisateur. Quand le temporisateur expire, le WLC déplace le serveur à la file d'attente active indépendamment de l'état d'effectif du ™ s du €  de serverâÂ. Quand une demande d'authentification est livré, le WLC sélectionne le plus bas serveur (le plus prioritaire) d'index de la file d'attente active (qui pourrait inclure le serveur inactif). Si le serveur ne répond pas, alors le WLC le marque comme inactif, place le temporisateur et se déplace au prochain serveur le plus prioritaire. Ce processus continue jusqu'à ce que le WLC trouve un serveur actif de RAYON, ou le groupe actif de serveur est épuisé.

Le WLC suppose que le serveur est en activité après que délai d'attente (sec de par défaut 300) au cas où le serveur était plus en avance insensible. S'il est encore insensible, le WLC attend un autre délai d'attente et l'essaye de nouveau quand une demande d'authentification entre.

Outre du mode

En outre de mode, le WLC prend en charge le Basculement seulement. En d'autres termes, le retour est désactivé. Quand le serveur primaire de RAYON descend, le WLC Basculement au prochain serveur de sauvegarde actif de RAYON. Le WLC continuera d'à l'aide du serveur secondaire de RAYON pour toujours même si le serveur primaire est disponible.

Configurez la caractéristique de retour de serveur de RAYON utilisant l'interface de ligne de commande (le CLI)

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Utilisez les commandes suivantes du WLC CLI d'activer la caractéristique de retour de serveur de RAYON sur le WLC.

La première étape est de sélectionner le mode du retour de serveur de RAYON. Comme cité précédemment, le WLC prend en charge des modes actifs et passifs de retour.

Afin de sélectionner le mode du retour, utilisez cette commande :

WLC1 > config radius fallback-test mode {active/passive/off}
  • le ” du €  d'activeâ envoie des sondes aux serveurs morts à l'état du test.

  • le ” du €  de passiveâ place l'état de serveur basé sur la dernière transaction.

  • test de retour de serveur de débronchements de ” du €  d'offâ (par défaut).

L'étape suivante est de sélectionner l'intervalle qui spécifie l'intervalle de sonde pour le mode actif ou le moment inactif pour les modes de fonctionnement passifs.

Afin de placer l'intervalle, utilisez cette commande :

WLC1 > config radius fallback-test mode interval {180 - 3600}

<180 3600>â au ” du €  écrivent l'intervalle de sonde ou le temps inactif en quelques secondes (par défaut 300).

L'intervalle spécifie l'intervalle de sonde dans le cas du retour de mode actif ou du temps inactif dans le cas du retour passif de mode.

Pour le mode de fonctionnement actif, vous devez configurer un nom d'utilisateur qui sera utilisé dans la requête envoyée de sonde au serveur de RAYON.

Afin de configurer le nom d'utilisateur, utilisez cette commande :

WLC1 >config radius fallback-test username {username}

Le ” du €  de <username>â écrivent le nom jusqu'à 16 caractères alphanumériques (par défaut « Cisco-sonde »).

Remarque: Vous pouvez écrire votre propre nom d'utilisateur ou le laisser avec le par défaut. Le nom d'utilisateur par défaut est  du €  de Cisco-probeâ de œ du €  d'âÂ. Puisque ce nom d'utilisateur est utilisé pour envoyer des messages de sonde, vous n'avez pas besoin de ne configurer aucun mot de passe.

Configurez la caractéristique de retour de serveur de RAYON utilisant l'interface utilisateur graphique (le GUI)

Terminez-vous ces étapes afin de configurer le WLC utilisant le GUI :

  1. La première étape est de configurer le mode du retour de serveur de RAYON. Afin de faire ceci, Sécurité choisie > RAYON > retour du GUI WLC.

    La page de paramètres de RAYON > de retour paraît.

  2. Du mode de retour abaissez le menu, choisissent le mode du retour. Les options disponibles incluent actif, le passif et hors fonction.

    Voici un tir d'écran d'exemple pour configurer le mode de retour actif :

    radius-fbkftr-wlc-config1.gif

  3. Pour le mode de fonctionnement actif, écrivez le nom d'utilisateur dans le domaine de nom d'utilisateur.

  4. Écrivez la valeur d'intervalle de sonde dans l'intervalle dans sec. champ.

  5. Cliquez sur Apply.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Vous pouvez utiliser cette commande show de vérifier votre configuration de retour :

  • show radius summary

    Voici un exemple :

    WLC1 >show radius summary Vendor Id Backward Compatibility................. DisabledCall Station Id Type............................. IP AddressAggressive Failover.............................. EnabledKeywrap.......................................... DisabledFallback Test:Test Mode.................................... Active Probe User Name.............................. testaccount Interval (in seconds)........................ 180Authentication ServersIdx  Type  Server Address    Port    State     Tout  RFC3576  IPSec - AuthMode/Phase1/Group/Lifetime/Auth/Encr---  ----  ----------------  ------  --------  ----  -------  ------------------------------------------------1    NM    10.1.1.12         1812    Enabled   2     Disabled  Disabled - none/unknown/group-0/0 none/noneAccounting ServersIdx  Type  Server Address    Port    State     Tout  RFC3576  IPSec - AuthMode/Phase1/Group/Lifetime/Auth/E---  ----  ----------------  ------  --------  ----  -------  ------------------------------------------------1      N     10.1.1.12         1813    Enabled   2     N/A       Disabled - none/unknown/group-0/0 none/nonen

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Dépannage des commandes

  • le ” du €  d'enableâ d'événements de debug dot1x configure met au point des événements de 802.1X.

  • le ” du €  d'enableâ d'événements de debug aaa configure met au point de tous les événements d'AAA.

Informations connexes