Sem fio : Controladores de LAN sem fio Cisco 4400 Series

Pelo usuário ACL com controladores do Wireless LAN e exemplo de configuração do Cisco Secure ACS

16 Janeiro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (17 Julho 2008) | Inglês (20 Dezembro 2015) | Feedback


Índice


Introdução

Este documento explica com um exemplo como criar listas de controle de acesso (ACL) nos WLC e aplicá-las aos usuários dependentes da autorização do RADIUS.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento básico de como configurar um server do Cisco Secure ACS para autenticar clientes Wireless

  • Conhecimento da configuração do Lightweight Access Points do Cisco Aironet (regaços) e dos controladores de LAN do Cisco Wireless (WLC)

  • Conhecimento de soluções da Segurança do Cisco Unified Wireless

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Controlador do Wireless LAN do Cisco 4400 Series que executa a versão 5.0.148.0

  • Lightweight Access Points do 1231 Series do Cisco Aironet (regaços)

  • Adaptador do cliente de LAN do Cisco Wireless do a/b/g do 802.11 do Cisco Aironet que executa a versão 3.6

  • Versão de utilitário de desktop 3.6 do Cisco Aironet

  • Versão de servidor 4.1 do Cisco Secure ACS

  • Roteador dos Serviços integrados do Cisco 2800 Series que executa a versão 12.4(11)T do IO

  • Cisco Catalyst 2900XL Series Switch que executa a versão 12.0(5)WC3b

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Pelo Access Control List do usuário (ACL) são parte dos trabalhos em rede da identidade de Cisco. A solução de LAN do Cisco Wireless apoia os trabalhos em rede da identidade, que, quando permitir a rede anuncie um único SSID, igualmente permite que os usuários específicos herdem as políticas diferentes baseadas em seus perfis de usuário.

Por recursos ACL do usuário fornece a capacidade para aplicar um ACL configurado no controlador do Wireless LAN a um usuário baseado na autorização RADIUS. Isto é realizado com o atributo específico do vendedor do Airespace-ACL-nome (VSA).

Este atributo indica o nome ACL a ser aplicado ao cliente. Quando o atributo ACL esta presente no acesso radius aceite, o sistema aplica o ACL-nome à estação do cliente depois que autentica. Isto cancela todos os ACL que forem atribuídos à relação. Ignora o relação-ACL atribuído e aplica o novo.

Um sumário do formato de atributo do ACL-nome é mostrado abaixo. Os campos são transmitidos da esquerda para a direita

 0                   1                   2                   3 
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|     Type      |  Length       |            Vendor-Id 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
     Vendor-Id (cont.)          | Vendor type   | Vendor length | 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|        ACL Name... 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 
• Type - 26 for Vendor-Specific 
• Length - >7 
• Vendor-Id - 14179 
• Vendor type - 6 
• Vendor length - >0 
• Value - A string that includes the name of the ACL to use for the client. 
   The string is case sensitive. 

Para obter mais informações sobre dos trabalhos em rede da identidade de rede do Cisco Unified Wireless, refira a seção configurando dos trabalhos em rede da identidade do documento que configura soluções da Segurança.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Nesta instalação, o controlador WLC do Wireless LAN e o REGAÇO são usados para proporcionar Serviços sem fio aos usuários no departamento A e no departamento B. Todos os usuários Wireless usam um escritório comum WLAN (SSID) para alcançar a rede e estão no VLAN ESCRITÓRIO-VLAN.

Per-User-ACL-WLC-1.gif

O server do Cisco Secure ACS é usado para autenticar usuários Wireless. A autenticação de EAP é usada para autenticar usuários. O WLC, o REGAÇO, e o server do Cisco Secure ACS são conectados com um switch de Camada 2 como mostrado.

O r1 do roteador conecta os server na face da tela através do switch de Camada 2 como mostrado. O r1 do roteador igualmente atua como um servidor DHCP, que forneça endereços IP de Um ou Mais Servidores Cisco ICM NT aos clientes Wireless da sub-rede 172.16.0.0/16.

Você precisa de configurar os dispositivos de modo que este ocorra:

O usuário1 do departamento A tem o acesso somente ao server 172.16.1.100

User2 do departamento B tem o acesso somente ao server 172.16.1.50

A fim realizar isto, você precisa de criar 2 ACL no WLC: um para o usuário1, e o outro para User2. Uma vez que os ACL são criados, você precisa de configurar o server do Cisco Secure ACS para retornar o atributo de nome ACL ao WLC em cima da autenticação bem sucedida do usuário Wireless. O WLC aplica então o ACL ao usuário, e assim à rede é o dependente restrito em cima do perfil de usuário.

Nota: Este documento usa a autenticação de leap para usuários de autenticação. Cisco PULA é vulnerável aos ataques do dicionário. Em redes do tempo real, uns métodos de autenticação mais seguros tais como o EAP RÁPIDO devem ser usados. Desde que o foco do documento é explicar como configurar por recursos ACL do usuário, PULA é usado para a simplicidade.

A próxima seção fornece as instruções passo a passo para configurar os dispositivos para esta instalação.

Configurar

Antes que você configure pela característica do usuário ACL, você deve configurar o WLC para a operação básica e registrar os regaços ao WLC. Este documento supõe que o WLC está configurado para a operação básica e que os regaços estão registrados ao WLC. Se você é um novo usuário, que tente estabelecer o WLC para a operação básica com regaços, refira o registo de pouco peso AP (REGAÇO) a um controlador do Wireless LAN (WLC).

Uma vez os regaços são registrados, terminam estas etapas para configurar os dispositivos para esta instalação:

  1. Configurar o controlador do Wireless LAN.

  2. Configurar o server do Cisco Secure ACS.

  3. Verifique a configuração.

Nota: Este documento discute a configuração exigida no lado wireless. O documento supõe que a configuração prendida é no lugar.

Configurar o controlador do Wireless LAN

No controlador do Wireless LAN, você precisa de fazer este:

Crie um VLAN para os usuários Wireless

A fim criar um VLAN para os usuários Wireless, termine estas etapas.

  1. Vá ao WLC GUI e escolha o controlador > as relações. O indicador das relações aparece. Este indicador alista as relações que são configuradas no controlador.

  2. Clique novo a fim criar uma interface dinâmica nova.

  3. Nas relações > na nova janela, incorpore o nome da relação e o ID de VLAN. Clique então aplicam-se. Neste exemplo, a interface dinâmica é nomeada Escritório-VLAN, e o ID de VLAN é atribuído 20.

    /image/gif/paws/98590/Per-User-ACL-WLC-2.gif

  4. Nas relações > edite o indicador, entre no endereço IP de Um ou Mais Servidores Cisco ICM NT, na máscara de sub-rede, e no gateway padrão para a interface dinâmica. Atribua-à uma porta física no WLC, e incorpore-o o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor DHCP. Clique então aplicam-se.

    Per-User-ACL-WLC-3.gif

    Para este exemplo, estes parâmetros são usados para a relação Escritório-VLAN:

    Office-VLAN
    	IP address: 172.16.1.25
    	Netmask: 255.255.0.0
    	Default gateway: 172.16.1.75 (sub-interface on Router R1)
    	Port on WLC: 1
    	DHCP server: 172.16.1.75 
    

Configurar o WLC para autenticar com Cisco Secure ACS

O WLC precisa de ser configurado a fim enviar as credenciais do usuário a um servidor de raio externo (neste caso, o Cisco Secure ACS). O servidor Radius então valida as credenciais do usuário e retorna o atributo de nome ACL ao WLC em cima da autenticação bem sucedida do usuário Wireless.

Termine estas etapas a fim configurar o WLC para o servidor Radius:

  1. Escolha a Segurança e a autenticação RADIUS do controlador GUI indicar a página dos servidores de autenticação RADIUS. Clique então novo a fim definir um servidor Radius.

  2. Defina os parâmetros do servidor Radius nos servidores de autenticação RADIUS > página nova. Estes parâmetros incluem o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor Radius, o segredo compartilhado, o número de porta, e o status de servidor.

    /image/gif/paws/98590/Per-User-ACL-WLC-4.gif

  3. O usuário de rede e as caixas de verificação de gerenciamento determinam se a autenticação Raio-baseada se aplica para o Gerenciamento e os usuários de rede. Este exemplo usa o Cisco Secure ACS como o servidor Radius com endereço IP 10.77.244.196. Clique em Apply.

Crie um WLAN novo para os usuários Wireless

Em seguida, você precisa de criar um WLAN a que os usuários Wireless podem conectar. A fim criar um WLAN novo, termine estas etapas:

  1. Do controlador GUI do Wireless LAN, clique WLAN. Esta página alista os WLAN que existem no controlador.

  2. Escolha novo a fim criar um WLAN novo. Incorpore o ID de WLAN, o nome de perfil, e o WLAN SSID para o WLAN, e o clique aplica-se. Para esta instalação, crie um escritório WLAN.

    /image/gif/paws/98590/Per-User-ACL-WLC-5.gif

  3. Uma vez que você cria um WLAN novo, o WLAN > edita a página para o WLAN novo aparece. Nesta página, você pode definir os vários parâmetros específicos a este WLAN que inclui políticas gerais, Segurança, QoS, e parâmetros avançados.

    /image/gif/paws/98590/Per-User-ACL-WLC-6.gif

    Verifique o estado WLAN sob políticas gerais a fim permitir o WLAN. Escolha a relação apropriada do menu de destruição. Neste exemplo, use a relação Escritório-VLAN. Os outros parâmetros nesta página podem ser alterados basearam na exigência da rede de WLAN.

  4. Escolha a ABA de segurança. Escolha o 802.1x do menu de destruição da Segurança da camada 2 (desde que esta é uma autenticação de leap). Escolha o tamanho apropriado da chave de WEP sob parâmetros do 802.1x.

    /image/gif/paws/98590/Per-User-ACL-WLC-7.gif

  5. Sob a ABA de segurança, escolha a secundário-aba do servidor AAA. Escolha o servidor AAA que é usado para autenticar clientes Wireless. Neste exemplo, use o servidor ACS 10.77.244.196 para autenticar clientes Wireless.

    /image/gif/paws/98590/Per-User-ACL-WLC-8.gif

  6. Escolha o guia avançada. A verificação permite que a ultrapassagem AAA configure a ultrapassagem da política de usuário com o AAA em um Wireless LAN.

    /image/gif/paws/98590/Per-User-ACL-WLC-9.gif

    Quando a ultrapassagem AAA está permitida, e um cliente tem parâmetros de autenticação de oposição do Wireless LAN do controlador de LAN AAA e de Cisco Wireless, a seguir a authenticação do cliente está executada pelo servidor AAA. Como parte desta autenticação, o sistema operacional move os clientes do Wireless LAN VLAN da solução de LAN do Cisco Wireless do padrão para um VLAN retornado pelo servidor AAA e predefinido na configuração da interface do controlador de LAN do Cisco Wireless, que happenswhen somente configurado para o MAC que filtra, 802.1X, e/ou operação WPA. Em todos os casos, o sistema operacional igualmente usa valores de QoS, de caractere de prioridade DSCP, 802.1p e ACL fornecido pelo servidor AAA, enquanto são predefinidos na configuração da interface do controlador de LAN do Cisco Wireless.

  7. Escolha os outros parâmetros baseados nas exigências da rede. Clique em Apply.

Defina os ACL para os usuários

Você precisa de criar dois ACL para esta instalação:

  • ACL1: A fim fornecer o acesso ao usuário1 ao server 172.16.1.100 somente

  • ACL2: A fim fornecer o acesso a User2 ao server 172.16.1.50 somente

Termine estas etapas para configurar os ACL no WLC:

  1. Do WLC GUI, escolha a Segurança > as listas de controle de acesso. A página das listas de controle de acesso publica-se. Esta página alista os ACL que são configurados no WLC. Igualmente permite-o de editar ou remover alguns dos ACL. A fim criar um ACL novo, clique novo.

  2. Esta página permite que você crie ACL novos. Dê entrada com o nome do ACL e do clique aplicam-se. Uma vez que o ACL é criado, o clique edita a fim criar regras para o ACL.

  3. O usuário1 precisa de poder ao servidor de acesso 172.16.1.100 somente e deve ser negado o acesso a todos os outros dispositivos. Para isto, você precisa de definir estas regras.

    Refira os ACL no exemplo da configuração de controle do Wireless LAN para obter mais informações sobre de como configurar ACL em controladores do Wireless LAN.

    Per-User-ACL-WLC-10.gif

  4. Similarmente, você precisa de criar um ACL para User2, que permite o acesso User2 ao server 172.16.1.50 somente. Este é o ACL exigido para User2.

    /image/gif/paws/98590/Per-User-ACL-WLC-11.gif

    Você tem configurado agora o controlador do Wireless LAN para esta instalação. A próxima etapa é configurar o Serviço de controle de acesso Cisco Secure para autenticar os clientes Wireless e para retornar o atributo de nome ACL ao WLC em cima da autenticação bem sucedida.

Configurar o server do Cisco Secure ACS

Para que o Cisco Secure ACS possa autenticar clientes Wireless, você precisa de terminar estas etapas:

Configurar o controlador do Wireless LAN como um cliente de AAA no Cisco Secure ACS

A fim configurar o controlador do Wireless LAN como um cliente de AAA no Cisco Secure ACS, termine estas etapas:

  1. Clique o cliente de AAA do > Add da configuração de rede. A página do cliente de AAA adicionar publica-se. Nesta página, defina o nome de sistema WLC, endereço IP de Um ou Mais Servidores Cisco ICM NT da interface de gerenciamento, segredo compartilhado, e autentique-o usando o raio Airespace. Aqui está um exemplo:

    /image/gif/paws/98590/Per-User-ACL-WLC-12.gif

    Nota: O segredo compartilhado configurado no Cisco Secure ACS deve combinar o segredo compartilhado configurado no WLC sob servidores de autenticação RADIUS > novo.

  2. Clique Submit+Apply.

Configurar usuários e perfil de usuário no Cisco Secure ACS

A fim configurar usuários no Cisco Secure ACS, termine estas etapas:

  1. Escolha a instalação de usuário do ACS GUI, incorpore o username, e o clique adiciona/edita. Neste exemplo, o usuário é usuário1.

    Per-User-ACL-WLC-13.gif

  2. Quando a página da instalação de usuário se publica, defina todos os parâmetros específicos ao usuário. Neste exemplo, o username, a senha, a informação sobre o usuário suplementar, e os atributos RADIUS são configurados porque você precisa somente estes parâmetros para a autenticação de EAP.

    /image/gif/paws/98590/Per-User-ACL-WLC-14.gif

    Enrole para baixo até que você ver os atributos RADIUS de Cisco Airespace específicos ao usuário. Verifique o Aire-ACL-nome para permitir o ACS de retornar o nome ACL ao WLC junto com a resposta da autenticação bem sucedida. Para o usuário1, crie um usuário1 ACL no WLC. Entre o nome ACL como o usuário1.

    /image/gif/paws/98590/Per-User-ACL-WLC-15.gif

  3. Repita o mesmo procedimento para criar como mostrado User2 aqui.

    /image/gif/paws/98590/Per-User-ACL-WLC-16.gif

    Per-User-ACL-WLC-17.gif

    Per-User-ACL-WLC-18.gif

  4. Configuração de sistema e autenticação global do clique Setup a fim assegurar-se de que o Authentication Server esteja configurado para executar o método de autenticação de EAP desejado. Sob os ajustes de configuração EAP, escolha o método de EAP apropriado. Este exemplo usa a autenticação de leap. O clique submete-se quando você é feito.

    /image/gif/paws/98590/Per-User-ACL-WLC-19.gif

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Tente associar um cliente Wireless com o AP de pouco peso com autenticação de leap a fim verificar se a configuração trabalha como esperado.

Nota: Este documento supõe que o perfil do cliente está configurado para a autenticação de leap. Refira a utilização da autenticação de EAP para obter mais informações sobre de como configurar o adaptador de cliente Wireless do a/b/g do 802.11 para a autenticação de leap.

O perfil para o cliente Wireless é ativado uma vez, o usuário é pedido para fornecer o username/senha para a autenticação de leap. Este é o que acontece quando o usuário1 tenta autenticar ao REGAÇO.

/image/gif/paws/98590/Per-User-ACL-WLC-20.gif

O AP de pouco peso e então o WLC passa sobre as credenciais do usuário ao servidor de raio externo (Cisco Secure ACS) a fim validar as credenciais. O servidor Radius compara os dados com a base de dados de usuário e, em cima da autenticação bem sucedida, retorna o nome ACL configurado para o usuário ao WLC. Neste caso, o usuário1 ACL é retornado ao WLC.

Per-User-ACL-WLC-21.gif

O controlador do Wireless LAN aplica este ACL ao usuário1. Esta saída do sibilo mostra que o usuário1 pode alcançar somente o server 172.16.1.100, mas não nenhum outro dispositivo.

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Reply from 172.16.1.100: bytes=32 time=3ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 3ms, Average = 1ms

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Similarmente, quando User2 tenta alcançar o WLAN, o servidor Radius, em cima da autenticação bem sucedida, retorna o ACL User2 ao WLC.

/image/gif/paws/98590/Per-User-ACL-WLC-22.gif

Per-User-ACL-WLC-23.gif

O controlador do Wireless LAN aplica este ACL a User2. Esta saída do sibilo mostra que User2 pode alcançar somente o server 172.16.1.50, mas não nenhum outro dispositivo.

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Reply from 172.16.1.50: bytes=32 time=3ms TTL=255
Reply from 172.16.1.50: bytes=32 time=18ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 18ms, Average = 5ms

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

No controlador do Wireless LAN, você pode igualmente usar estes comandos debug a fim pesquisar defeitos a autenticação de AAA

  • debugar o aaa que todos permitem — Configura debugar de todos os mensagens AAA

  • debugar o pacote do dot1x permitem — Permite debugar de todos os pacotes do dot1x

  • debugar o cliente < MAC address > — Permite a eliminação de erros do cliente Wireless

Está aqui um exemplo do comando debug aaa all enable

Nota: Algumas das linhas na saída foram movidas para a segunda linha devido às limitações do espaço.

Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState..............00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet 
   (id 1) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 01 00 d0 2d 34 f5 99  b4 19 27 28 eb 5f 35 9c  
   ....-4....'(._5.
Thu Aug 16 14:42:54 2007: 00000010: 8f a9 00 dd 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ......user1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office-TSWEB..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 27 02  
   ...A.....Q.20O'.
Thu Aug 16 14:42:54 2007: 00000090: 01 00 25 11 01 00 18 1d  87 9d 0b f9 dd e5 39 0d  
   ..%...........9.
Thu Aug 16 14:42:54 2007: 000000a0: 2e 82 eb 17 c6 23 b7 96  dc c3 55 ff 7c 51 4e 75  
   .....#....U.|QNu
Thu Aug 16 14:42:54 2007: 000000b0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000c0: 1a d5 3b 35 5e 93 11 c0  c6 2f 5e f5 65 e9 3e 2d  
   ..;5^..../^.e.>-
Thu Aug 16 14:42:54 2007: 00000000: 0b 01 00 36 8c 31 6a b4  27 e6 d4 0e 1b 8e 5d 19  
   ...6.1j.'.....].
Thu Aug 16 14:42:54 2007: 00000010: 60 1c c2 16 4f 06 03 01  00 04 18 0a 53 56 43 3d
   ...O.......SVC=
Thu Aug 16 14:42:54 2007: 00000020: 30 2e 31 3b 50 12 6c fb  90 ec 48 9b fb d7 ce ca  
   0.1;P.l...H.....
Thu Aug 16 14:42:54 2007: 00000030: 3b 64 93 10 fe 09      ;d....
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=11
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=11
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Challenge received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............104
Thu Aug 16 14:42:54 2007:       resultCode...............255
Thu Aug 16 14:42:54 2007:       protocolUsed............0x00000001
Thu Aug 16 14:42:54 2007:       proxyState...............
   00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 3 AVPs (not shown)
Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState.........................
   00:40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet (id 2) to 10.77.244.196:1812, 
proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 02 00 c0 38 b6 b2 20  ff 5b f2 16 64 df 02 61  
   ....8....[..d..a
Thu Aug 16 14:42:54 2007: 00000010: cf f5 93 4b 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ...K..User1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 17 01  
   ...A.....Q.20O..
Thu Aug 16 14:42:54 2007: 00000090: 01 00 15 11 01 00 08 0f  14 05 65 1b 28 61 c9 75  
   ..........e.(a.u
Thu Aug 16 14:42:54 2007: 000000a0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000b0: 05 ba 6b af fe a4 b0 d1  a2 94 f8 39 80 ca 3c 96  
   ..k........9..<.
Thu Aug 16 14:42:54 2007: 00000000: 02 02 00 ce c9 3d 5d c8  6c 07 8e fb 58 84 8d f6  
   .....=].l...X...
Thu Aug 16 14:42:54 2007: 00000010: 33 6d 93 21 08 06 ff ff  ff ff 4f 27 02 01 00 25  
   3m.!......O'...%
Thu Aug 16 14:42:54 2007: 00000020: 11 01 00 18 e5 e5 31 1e  33 b5 4e 69 90 e7 84 25  
   ......1.3.Ni...%
Thu Aug 16 14:42:54 2007: 00000030: 42 a9 20 ac 84 33 9f 87  ca dc c9 b3 75 73 65 72  
   B....3......user
Thu Aug 16 14:42:54 2007: 00000040: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 73 65  
   1.;.....5leap:se
Thu Aug 16 14:42:54 2007: 00000050: 73 73 69 6f 6e 2d 6b 65  79 3d 29 80 1d 2c 1c 85  
   ssion-key=)..,..
Thu Aug 16 14:42:54 2007: 00000060: db 1c 29 7e 40 8a b8 93  69 2a 55 d2 e5 46 89 8b  
   ..)~@...i*U..F..
Thu Aug 16 14:42:54 2007: 00000070: 2c 3b 65 49 3e 44 cf 7e  95 29 47 54 1a 1f 00 00  
   ,;eI>D.~.)GT....
Thu Aug 16 14:42:54 2007: 00000080: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 74 79  
   ....auth-algo-ty
Thu Aug 16 14:42:54 2007: 00000090: 70 65 3d 65 61 70 2d 6c  65 61 70 1a 0d 00 00 37  
   pe=eap-leap....7
Thu Aug 16 14:42:54 2007: 000000a0: 63 06 07 55 73 65 72 31  19 14 43 41 43 53 3a 30  
   c..User1..CACS:0
Thu Aug 16 14:42:54 2007: 000000b0: 2f 39 2f 61 34 64 66 34  64 32 2f 31 50 12 9a 71  
   /9/a4df4d2/1P..q
Thu Aug 16 14:42:54 2007: 000000c0: 09 99 7d 74 89 ad af e5  c8 b1 71 94 97 d1      
   ..}t......q...
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=2
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=2
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Accept received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............236
Thu Aug 16 14:42:54 2007:       resultCode...............0
Thu Aug 16 14:42:54 2007:       protocolUsed.............0x0
0000001
Thu Aug 16 14:42:54 2007:       proxyState...............00:
40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:  Packet contains 6 AVPs:
Thu Aug 16 14:42:54 2007:  AVP[01] Framed-IP-Address..........0xffffffff (-1) 
   (4 bytes)
Thu Aug 16 14:42:54 2007:  AVP[02] EAP-Message................DATA (37 bytes)
Thu Aug 16 14:42:54 2007:  AVP[03] Cisco / LEAP-Session-Key...DATA (16 bytes)
Thu Aug 16 14:42:54 2007:  AVP[04] Airespace / ACL-Name.......User1 (5 bytes)
Thu Aug 16 14:42:54 2007:  AVP[05] Class......................CACS:0/9/a4df4d2/1 
   (18 bytes)
Thu Aug 16 14:42:54 2007:  AVP[06] Message-Authenticator......DATA (16 bytes)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Applying new AAA override 
   for station 00:40:96:af:3e:93
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Override values 
   for station 00:40:96:af:3e:93
                source: 4, valid bits: 0x400
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1

dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                       vlanIfName: '',
aclName:User1
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
   Inserting new RADIUS override into chain for station 00:40:96:af:3e:93

Você pode usar uma combinação do comando show wlan summary a fim reconhecer qual de seus WLAN emprega a autenticação de servidor Radius. Então você pode ver o comando show client summary a fim ver que endereços MAC (clientes) são autenticados com sucesso no RAIO WLAN. Você pode igualmente correlacionar este com seu Cisco Secure ACS passado tentativas ou logs das falhas de tentativa.

Cisco recomenda que você testa suas configurações ACL com um cliente Wireless a fim se assegurar de que você as configure corretamente. Se não se operam corretamente, verifique os ACL no página da web ACL e verifique que suas mudanças ACL estiveram aplicadas à relação do controlador.

Você pode igualmente usar estes comandos show a fim verificar sua configuração:

  • mostre o sumário acl — A fim indicar os ACL que são configurados no controlador, use o comando summary acl da mostra.

Aqui está um exemplo:

(Cisco Controller) >show acl summary

ACL Name                         Applied
-------------------------------- -------
User1                                  Yes
User2                                  Yes

  • mostre o <ACL_Name> detalhado acl — Indica a informação detalhada nos ACL configurados.

    Aqui está um exemplo:

    Nota: Algumas das linhas na saída foram movidas para a segunda linha devido às limitações do espaço.

    Cisco Controller) >show acl detailed User1
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP   Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ----    ------
     1  In      172.16.0.0/255.255.0.0        172.16.1.100/255.255.255.255  
       Any  0-65535       0-65535   Any    Permit
     2 Out    172.16.1.100/255.255.255.255      172.16.0.0/255.255.0.0      
       Any  0-65535       0-65535   Any    Permit
    
    
    (Cisco Controller) >show acl detailed User2
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ---- ------
    1  In      172.16.0.0/255.255.0.0         172.16.1.50/255.255.255.255  
       Any   0-65535       0-65535    Any  Permit
    2 Out     172.16.1.50/255.255.255.255      172.16.0.0/255.255.0.0      
       Any   0-65535       0-65535    Any  Permit
  • mostre o detalhe do cliente < o MAC address do client> - informação detalhada dos indicadores sobre o cliente Wireless.

Dicas para Troubleshooting

Use estas pontas para pesquisar defeitos:

  • Verifique no controlador que o servidor Radius está no estado ativo, e não no apoio ou desabilitado.

  • No controlador, verificação se o servidor Radius é escolhido do menu suspenso do WLAN (SSID).

  • Verifique se o servidor Radius recebe e valida o pedido de autenticação do cliente Wireless.

  • Verifique os relatórios passados das autenticações e das falhas de tentativa no servidor ACS a fim realizar isto. Estes relatórios estão disponíveis sob relatórios e atividades no servidor ACS.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 98590