Sem fio : Controladores de LAN sem fio Cisco 4400 Series

Autenticação EAP-FAST com exemplo de configuração dos controladores e do servidor de raio externo do Wireless LAN

16 Janeiro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (8 Abril 2009) | Inglês (20 Dezembro 2015) | Feedback


Índice

PAC

Introdução

Este documento explica como configurar o Controller de LAN Wireless (WLC) para uma autenticação Extensible Authentication Protocol (EAP) - Flexible Authentication via Secure Tunneling (FAST) com o uso de um servidor RADIUS externo. Este exemplo de configuração usa o Serviço de controle de acesso Cisco Secure (ACS) como o servidor de raio externo para autenticar o cliente Wireless.

Este documento focaliza em como configurar o ACS para o abastecimento protegido (automático) anónimo e autenticado das credenciais do acesso da Em-faixa (PAC) aos clientes Wireless. A fim configurar abastecimento manual/fora da banda PAC, refira a geração manual do abastecimento PAC e do arquivo PAC para o abastecimento manual para mais informação.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento básico da configuração do Lightweight Access Points (regaços) e do Cisco WLC

  • Conhecimento básico do protocolo de ponto de acesso leve (LWAPP)

  • Conhecimento de como configurar um servidor de raio externo, tal como o Cisco Secure ACS

  • Conhecimento funcional na estrutura geral EAP

  • Conhecimento básico em protocolos de segurança, tais como MS-CHAPv2 e EAP-GTC, e conhecimento em Certificados digitais

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 2000 Series WLC que executa o firmware 4.0.217.0

  • LAP Cisco Aironet 1000 Series

  • Cisco Secure ACS que executa a versão 4.1

  • Adaptador cliente do a/b/g do 802.11 do Cisco Aironet

  • Utilitário de desktop do Cisco Aironet (ADU) essa versão de firmware 3.6 das corridas

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O protocolo EAP-FAST é um tipo novo, publicamente acessível do IEEE 802.1X EAP que Cisco desenvolvido para apoiar os clientes que não podem reforçar uma política de senha elaborada e a querer distribuir um tipo do 802.1X EAP que não exija Certificados digitais.

O protocolo EAP-FAST é uma arquitetura de segurança do servidor cliente que cifre transações EAP com um túnel da Segurança do nível do transporte (TLS). O estabelecimento de túnel EAP-FAST é baseado nos segredos fortes que são originais aos usuários. Estes segredos fortes são chamados os PAC, que o ACS gera usando um chave mestre conhecido somente ao ACS.

EAP-FAST ocorre em três fases:

  • A fase zero (fase automática do abastecimento PAC) — a fase EAP-FAST zero, uma fase opcional é meios túnel-fixados de fornecer um cliente EAP-FAST do utilizador final um PAC para o usuário que pede o acesso de rede. Fornecer um PAC ao cliente do utilizador final é o propósito único da fase zero.

    Nota: A fase zero é opcional porque os PAC podem igualmente ser manualmente fornecida aos clientes em vez de usar a fase zero.

    Veja a seção dos modos do abastecimento PAC deste documento para detalhes.

  • Fase um — Em fase um, o ACS e o cliente do utilizador final estabelecem um túnel TLS baseado nas credenciais PAC do usuário. Esta fase exige que o cliente do utilizador final esteve fornecido um PAC para o usuário que está tentando ganhar o acesso de rede, e que o PAC está baseado em um chave mestre que não expire. Nenhum serviço de rede é permitido por fase um de EAP-FAST.

  • Fase dois — Na fase dois, as credenciais da autenticação de usuário são passadas firmemente usando um método de EAP interno apoiado por EAP-FAST dentro do túnel TLS ao RAIO criado usando o PAC entre o cliente e o servidor Radius. O EAP-GTC, o TLS e o MS-CHAP são apoiados como métodos de EAP internos. Nenhum outro tipo EAP é apoiado para EAP-FAST.

Refira como trabalhos EAP-FAST para mais informação.

PAC

Os PAC são os segredos compartilhados fortes que permitem o ACS e um cliente EAP-FAST do utilizador final de se autenticar e estabelecer um túnel TLS para o uso na fase EAP-FAST dois. O ACS gera PAC usando o chave mestre ativo e um username.

O PAC compreende:

  • PAC-chave — Segredo compartilhado limitado a um cliente (e ao dispositivo do cliente) e à identidade do server.

  • PAC opaco — Campo opaco que os caches de cliente e as passagens ao server. O server recupera a PAC-chave e a identidade do cliente para autenticar mutuamente com o cliente.

  • PAC-informação — Pelo menos, inclui a identidade do server para permitir o cliente de pôr em esconderijo PAC diferentes. Opcionalmente, inclui a outra informação tal como o tempo de expiração do PAC.

Modos PAC Provisoning

Como mencionado mais cedo, a fase zero é uma fase opcional.

Ofertas EAP-FAST duas opções para provision um cliente com um PAC:

  • Abastecimento automático PAC (fase EAP-FAST 0, ou abastecimento da Em-faixa PAC)

  • Abastecimento (fora da banda) manual PAC

a Em-faixa/abastecimento automático PAC envia um PAC novo a um cliente do utilizador final sobre uma conexão de rede assegurada. O abastecimento automático PAC não exige nenhuma intervenção do usuário de rede ou de um administrador ACS, contanto que você configura o ACS e o cliente do utilizador final para apoiar o abastecimento automático.

Os suportes de versão EAP-FAST os mais atrasados duas opções de configuração diferentes do abastecimento da em-faixa PAC:

  • Abastecimento anónimo da Em-faixa PAC

  • Abastecimento autenticado da Em-faixa PAC

Nota: Este documento discute estes métodos do abastecimento da em-faixa PAC e como configurar-los.

Abastecimento fora da banda/manual PAC exige um administrador ACS gerar os arquivos PAC, que devem então ser distribuídos aos usuários de rede aplicáveis. Os usuários devem configurar clientes do utilizador final com seus arquivos PAC.

Diagrama da rede e instalação da configuração

Nesta instalação, Cisco 2006 WLC e um REGAÇO são conectados através de um hub. Um servidor de raio externo (Cisco Secure ACS) é conectado igualmente ao mesmo hub. Todos os dispositivos estão na mesma sub-rede. O Access Point (AP) é registrado inicialmente ao controlador. Você deve configurar o WLC para a autenticação EAP-FAST. Os clientes que conectam à autenticação EAP-FAST do uso AP a fim associar com o AP. O Cisco Secure ACS é usado a fim executar a autenticação RADIUS.

eapfast-wlc-rad-config1.gif

Configurar o WLC para a autenticação EAP-FAST

Execute estas etapas a fim configurar o WLC para a autenticação EAP-FAST:

  1. Configurar o WLC para a autenticação RADIUS através de um servidor de raio externo

  2. Configurar o WLAN para a autenticação EAP-FAST

Configurar o WLC para a autenticação RADIUS através de um servidor de raio externo

O WLC precisa de ser configurado a fim enviar as credenciais do usuário a um servidor de raio externo. O servidor de raio externo então valida a utilização das credenciais do usuário EAP-FAST e fornece o acesso aos clientes Wireless.

Termine estas etapas a fim configurar o WLC para um servidor de raio externo:

  1. Escolha a Segurança e a autenticação RADIUS do controlador GUI indicar a página dos servidores de autenticação RADIUS. Então, clique novo a fim definir um servidor Radius.

  2. Defina os parâmetros do servidor Radius nos servidores de autenticação RADIUS > página nova. Estes parâmetros incluem:

    • Endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor Radius

    • shared secret

    • número da porta

    • Status de servidor

    Este documento usa o servidor ACS com um endereço IP de Um ou Mais Servidores Cisco ICM NT de 10.77.244.196.

    /image/gif/paws/99791/eapfast-wlc-rad-config2.gif

  3. Clique em Apply.

Configurar o WLAN para a autenticação EAP-FAST

Em seguida, configurar o WLAN que os clientes se usam para conectar à rede Wireless para a autenticação EAP-FAST e para atribuir a uma interface dinâmica. O nome WLAN configurado neste exemplo é eap rapidamente. Este exemplo atribui este WLAN à interface de gerenciamento.

Termine estas etapas a fim configurar o eap WLAN rápido e seus parâmetros relacionados:

  1. Clique WLAN do GUI do controlador a fim indicar a página WLAN.

    Esta página alista os WLAN que existem no controlador.

  2. Clique novo a fim criar um WLAN novo.

    /image/gif/paws/99791/eapfast-wlc-rad-config3.gif

  3. Configurar o nome, o nome de perfil e o ID de WLAN rápidos do eap WLAN SSID no WLAN > página nova. Então, o clique aplica-se.

    eapfast-wlc-rad-config4.gif

  4. Uma vez que você cria um WLAN novo, o WLAN > edita a página para o WLAN novo aparece. Nesta página, você pode definir os vários parâmetros específicos a este WLAN. Isto inclui políticas gerais, servidores Radius, políticas de segurança, e parâmetros do 802.1x.

  5. Verifique a caixa de verificação do status administrativo sob políticas gerais a fim permitir o WLAN.

  6. Se você quer o AP transmitir o SSID em seus beacon frame, verifique a caixa de verificação SSID da transmissão. Verifique a caixa de verificação da ultrapassagem reservar AAA se você quer cancelar as configurações WLC pelo servidor Radius.

  7. Escolha o servidor Radius apropriado do menu de destruição sob servidores Radius. Sob políticas de segurança, escolha o 802.1x do menu suspenso da Segurança da camada 2. Você pode igualmente usar todo o outro método de autenticação (WPA/WPA2 com 802.1x) que envolver o servidor Radius para a autenticação.

    Este exemplo usa o 802.1x com criptografia de WEP dinâmica como a Segurança da camada 2 para este WLAN. Os outros parâmetros podem ser alterados basearam na exigência da rede de WLAN.

    /image/gif/paws/99791/eapfast-wlc-rad-config5.gif

  8. Clique em Apply.

    Nota: Este é o único ajuste EAP que precisa de ser configurado no controlador para a autenticação de EAP. Todas configurações restantes específicas à necessidade EAP-FAST de ser feito no servidor Radius e nos clientes que precisam de ser autenticadas.

Configurar o servidor Radius para a autenticação EAP-FAST

Execute estas etapas a fim configurar o servidor Radius para a autenticação EAP-FAST:

  1. Crie uma base de dados de usuário para autenticar clientes EAP-FAST

  2. Adicionar o WLC como o cliente de AAA ao servidor Radius

  3. Configurar a autenticação EAP-FAST no servidor Radius com abastecimento anónimo da Em-faixa PAC

  4. Configurar a autenticação EAP-FAST no servidor Radius com abastecimento autenticado da Em-faixa PAC

Crie uma base de dados de usuário para autenticar clientes EAP-FAST

Termine estas etapas a fim criar uma base de dados de usuário para clientes EAP-FAST no ACS. Este exemplo configura o nome de usuário e senha do cliente EAP-FAST como o Sem fio e o Sem fio, respectivamente.

  1. Do ACS GUI na barra de navegação, selecione a instalação de usuário. Crie um Sem fio do novo usuário, a seguir clique-o adicionam/editam a fim ir à página da edição deste usuário.

    /image/gif/paws/99791/eapfast-wlc-rad-config6.gif

  2. Da instalação de usuário edite a página, configurar o nome real e a descrição assim como as configurações de senha segundo as indicações deste exemplo.

    Este documento usa o banco de dados interno ACS para a autenticação de senha.

  3. Escolha o banco de dados interno ACS da caixa suspensa da autenticação de senha.

    /image/gif/paws/99791/eapfast-wlc-rad-config7.gif

  4. Configurar todos os parâmetros requerido restantes e o clique submete-se.

Adicionar o WLC como o cliente de AAA ao servidor Radius

Termine estas etapas a fim definir o controlador como um cliente de AAA no servidor ACS:

  1. Clique a configuração de rede do ACS GUI. Sob a seção do cliente de AAA adicionar da página da configuração de rede, o clique adiciona a entrada a fim adicionar o WLC como o cliente de AAA ao servidor Radius.

    eapfast-wlc-rad-config8.gif

  2. Da página do cliente de AAA, defina o nome do WLC, do endereço IP de Um ou Mais Servidores Cisco ICM NT, do segredo compartilhado e do método de autenticação (RADIUS/Cisco Airespace). Refira a documentação do fabricante para outros Authentication Server NON-ACS.

    Nota: A chave secreta compartilhada que você configura no WLC e no servidor ACS deve combinar. O segredo compartilhado é diferenciando maiúsculas e minúsculas.

  3. Clique Submit+Apply.

    eapfast-wlc-rad-config9.gif

Configurar a autenticação EAP-FAST no servidor Radius com abastecimento anónimo da Em-faixa PAC

Abastecimento anónimo da Em-faixa

Este é um dos dois métodos do abastecimento da em-faixa em que o ACS estabelece uma conexão fixada com o cliente do utilizador final com a finalidade de fornecer o cliente um PAC novo. Esta opção permite um handshake de TLS anónimo entre o cliente do utilizador final e o ACS.

Este método opera o interior um túnel autenticado do protocolo do acordo de Diffie-HellmanKey (ADHP) antes que o par autentique o servidor ACS.

Então, o ACS exige a autenticação EAP-MS-CHAPv2 do usuário. Na autenticação de usuário bem sucedida, o ACS estabelece um túnel de Diffie-Hellman com o cliente do utilizador final. O ACS gera um PAC para o usuário e envia-o ao cliente do utilizador final neste túnel, junto com a informação sobre este ACS. Este método do abastecimento usa o EAP-MSCHAPv2 como o método de autenticação na fase zero e EAP-GTC na fase dois.

Porque um server não-autenticado é fornecida, não é possível usar uma senha do texto simples. Consequentemente, somente as credenciais MS-CHAP podem ser usadas dentro do túnel. MS-CHAPv2 é usado para provar a identidade do par e para receber um PAC para umas sessões mais adicionais da autenticação (EAP-MS-CHAP será usado como o método interno somente).

Termine estas etapas a fim configurar a autenticação EAP-FAST no servidor Radius para o abastecimento anónimo da em-faixa:

  1. Clique a configuração de sistema do servidor Radius GUI. Da página da configuração de sistema, escolha a instalação da autenticação global.

    /image/gif/paws/99791/eapfast-wlc-rad-config10.gif

  2. Da página de instalação da autenticação global, clique a configuração EAP-FAST a fim ir à página EAP-FAST dos ajustes.

    /image/gif/paws/99791/eapfast-wlc-rad-config11.gif

  3. Dos ajustes EAP-FAST pagine, verifique a caixa de verificação EAP-FAST reservar para permitir EAP-FAST no servidor Radius.

  4. Configurar o Active/valores aposentados do chave mestre TTL (tempo ao vivo) como desejado, ou ajuste-os ao valor padrão segundo as indicações deste exemplo.

    Refira chaves mestres para obter informações sobre do Active e dos chaves mestres aposentados. Também, refira os chaves mestres e o PAC TTL para mais informação.

    O campo de informação de ID da autoridade representa a identidade textual deste servidor ACS, que um utilizador final pode usar para determinar que servidor ACS a ser autenticado contra. Encher-se neste campo é imperativo.

    O campo da mensagem do indicador da inicial do cliente especifica uma mensagem a ser enviada aos usuários que autenticam com um cliente EAP-FAST. O comprimento máximo é 40 caráteres. Um usuário verá a mensagem inicial somente se os suportes ao cliente do utilizador final o indicador.

  5. Se você quer o ACS executar o abastecimento anónimo da em-faixa PAC, verifique a caixa de verificação anónima do abastecimento da em-faixa PAC reservar.

    Métodos internos permitidos — Esta opção determina que métodos de EAP internos podem ser executado dentro do túnel EAP-FAST TLS. Para o abastecimento anónimo da em-faixa, você deve permitir o EAP-GTC e o EAP-MS-CHAP para a compatibilidade retrógrada. Se você seleciona permita o abastecimento anónimo da em-faixa PAC, você deve selecionar EAP-MS-CHAP (fase zero) e EAP-GTC (fase dois).

  6. Clique Submit+Restart.

    Este tiro de tela mostra as etapas nesta seção:

    /image/gif/paws/99791/eapfast-wlc-rad-config12.gif

Configurar a autenticação EAP-FAST no servidor Radius com abastecimento autenticado da Em-faixa PAC

Abastecimento autenticado da Em-faixa

EAP-FAST foi aumentado para apoiar um túnel autenticado (que usa o certificado de servidor), que fosse onde o abastecimento PAC ocorre. Este modo provisions um cliente do utilizador final com um PAC usando a fase EAP-FAST zero com autenticação do lado de servidor TLS. Esta opção exige que você instala um certificado de servidor e um root confiável CA no ACS.

As séries novas da cifra, isso são realces a EAP-FAST e especificamente o certificado de servidor, é usado. Porque o server é autenticado como parte de estabelecer o túnel, uns métodos de EAP mais fracos tais como o EAP-GTC podem ser usados dentro do túnel para fornecer a autenticação do suplicante.

À revelia, o ACS apoia a autenticação do lado de servidor TLS. Contudo, se o cliente envia o certificado de usuário ao ACS, a autenticação mútua TLS é executada e os métodos internos são contorneados.

  1. Repita steps1 a 4 da configuração anónima do abastecimento da Em-faixa a fim configurar os outros ajustes EAP-FAST no servidor Radius.

  2. Se você quer o ACS executar o abastecimento anónimo da em-faixa PAC, verifique a caixa de verificação autenticada Allow do abastecimento da em-faixa PAC.

    1. Aceite o cliente no abastecimento autenticado — Esta opção está somente disponível quando a opção autenticada reservar do abastecimento da em-faixa PAC é selecionada. O server envia sempre uma Rejeição de acesso no fim da fase do abastecimento, que força o cliente a reauthenticate usando o túnel PAC. Esta opção permite o ACS de enviar uma aceitação de acesso ao cliente no fim da fase do abastecimento.

    2. Desmarcar a caixa de verificação apátrida da opção do resumo da sessão reservar se você não quer o ACS provision a autorização PAC para clientes EAP-FAST e executar sempre a fase dois de EAP-FAST.

    3. Métodos internos permitidos — Se você seleciona o abastecimento autenticado Allow da em-faixa PAC, o método interno na fase de autenticação é negociável (o EAP-GTC é usado à revelia na fase zero). Selecione uns ou vários destes métodos internos:

      • EAP-GTC — A fim permitir o EAP-GTC na autenticação RÁPIDA EAP, verifique esta caixa.

      • EAP-MS-CHAPv2 — A fim permitir EAP-MS-CHAPv2 no EAP JEJUE autenticação, verificam esta caixa.

      • EAP-TLS — A fim permitir o EAP-TLS na autenticação RÁPIDA EAP, verifique esta caixa.

      Nota: O ACS executa sempre o primeiro método de EAP permitido. Por exemplo, se você seleciona o EAP-GTC e o EAP-MS-CHAPv2, a seguir o primeiro método de EAP permitido é EAP-GTC.

    Todas estas configurações específicas ao abastecimento autenticado da em-faixa PAC são mencionadas neste exemplo:

    eapfast-wlc-rad-config13.gif

  3. Clique Submit+Restart.

Estabelecer o certificado de servidor no ACS para o abastecimento autenticado da Em-faixa

EAP-FAST foi aumentado para apoiar um interior autenticado do túnel (que usa o certificado de servidor) que o abastecimento PAC ocorresse.

Nota: Esta opção exige estabelecer um certificado de servidor e um root confiável CA no ACS.

Há diversos métodos disponíveis para estabelecer o certificado de servidor no ACS. Este documento explica como gerar um certificado auto-assinado no ACS e importá-lo à lista confiada do Certificate Authority do cliente.

Gere o certificado auto-assinado no ACS

O ACS apoia protocolos TLS/SSL-related, que inclui o PEAP, EAP-FAST, e o HTTPS, que exige o uso dos Certificados digitais. O emprego dos certificados auto-assinados é uma maneira para que os administradores cumpram esta exigência sem ter que interagir com CA para obter e instalar o certificado para o ACS.

Termine estas etapas a fim gerar o certificado auto-assinado no ACS:

  1. Clique a configuração de sistema do servidor Radius GUI. Da página da configuração de sistema, escolha a instalação do certificado ACS.

    /image/gif/paws/99791/eapfast-wlc-rad-config14.gif

  2. O certificado ACS Setup várias opções das lista para estabelecer o certificado no ACS. Para este exemplo, escolha geram o certificado auto-assinado.

    eapfast-wlc-rad-config15.gif

    O certificado auto-assinado da geração edita a página aparece.

  3. Desta página, termine estas etapas:

    1. Na caixa do assunto do certificado, incorpore o assunto do certificado ao do formulário.

    2. Na caixa do arquivo certificado, dê entrada com o caminho cheio e o nome de arquivo para o arquivo certificado. Na caixa do comprimento chave, selecione o comprimento chave.

    3. Na caixa do arquivo-chave privado, dê entrada com o caminho cheio e o nome de arquivo para o arquivo-chave privado.

    4. Na caixa de senha da chave privada, incorpore a senha da chave privada. Na caixa de senha da chave privada dactilografar, datilografe a senha da chave privada.

    5. No resumo a assinar com caixa, selecione o resumo da mistura (SHA1 neste exemplo) para ser usado para cifrar a chave.

    6. A fim instalar o certificado auto-assinado quando você submete a página, selecione a opção gerada Install do certificado.

      Nota: Se você seleciona a opção gerada Install do certificado, você deve reiniciar serviços ACS depois que você submete este formulário para que os ajustes novos tomem o efeito. Se você não seleciona a opção gerada Install do certificado, o arquivo certificado e o arquivo-chave privado estão gerados e salvar quando você clique se submete na próxima etapa. Contudo, estes não são instalados no armazenamento da máquina local.

    É aqui um exemplo de uma edição um a página do certificado auto-assinado:

    /image/gif/paws/99791/eapfast-wlc-rad-config16.gif

    Nota: Os valores de campo incorporados (TS-Web) são aqui os exemplos de valor. Você pode usar todos os valores de campo ou nomes para gerar um certificado auto-assinado no ACS. Todos os campos devem ser preenchidos.

Importe o certificado auto-assinado ao cliente

Você precisa de importar o certificado auto-assinado gerado no ACS à lista de Authoritiy da certificação da raiz do cliente para que o cliente autentique o server como a utilização de um certificado válido.

Termine estas etapas no cliente:

  1. Copie o certificado de seu lugar no ACS ao cliente.

  2. Clicar com o botão direito o arquivo de .cer e o clique instala o certificado.

    eapfast-wlc-rad-config17.gif

  3. Clique em Next.

  4. Escolha o lugar todos os Certificados na seguinte loja e o clique consulta.

    O indicador de loja seleto do certificado PNF-acima.

  5. Do indicador de loja seleto do certificado, verifique a caixa de verificação das lojas do show physical.

  6. Expanda Autoridades de certificação de raiz confiável da árvore do certificado, do computador local seleto, e da APROVAÇÃO do clique.

    eapfast-wlc-rad-config18.gif

  7. Clique em seguida, clique o revestimento, e clique a APROVAÇÃO.

    Um assistente da importação do certificado aparece que mostre que a importação era bem sucedida.

    /image/gif/paws/99791/eapfast-wlc-rad-config19.gif

Configurar o cliente para a autenticação EAP-FAST

Termine estas etapas a fim configurar o cliente para a autenticação EAP-FAST:

  1. Configurar o cliente para o abastecimento anónimo da Em-faixa

  2. Configurar o cliente para o abastecimento autenticado da Em-faixa

Configurar o cliente para o abastecimento anónimo da Em-faixa

Termine estas etapas a fim configurar o cliente Wireless para o abastecimento anónimo da em-faixa:

  1. Do indicador do utilitário de Desktop de Aironet, clique o Gerenciamento do perfil > novo a fim criar um perfil para o usuário EAP-FAST.

    Como mencionado mais cedo, este documento usa o nome WLAN/SSID como o eap rapidamente para o cliente Wireless.

    eapfast-wlc-rad-config20.gif

  2. Da janela de gerenciamento do perfil, clique o tab geral e configurar o nome de perfil, o nome do cliente e o nome SSID segundo as indicações deste exemplo. Então, APROVAÇÃO do clique.

    eapfast-wlc-rad-config21.gif

  3. Clique a ABA de segurança e escolha o 802.1x como a opção de segurança do grupo com o tipo do 802.1x EAP como EAP-FAST. O clique configura a fim configurar o ajuste EAP-FAST.

    eapfast-wlc-rad-config22.gif

  4. Do indicador EAP-FAST configurar, verifique a caixa de verificação automática do abastecimento reservar PAC. Se você quer configurar o abastecimento anónimo PAC, EAP-MS-CHAP estará usado como o único método interno na fase zero.

  5. Escolha o nome de usuário MSCHAPv2 e a senha como o método de autenticação da caixa suspensa EAP-FAST do método de autenticação. Clique em Configurar.

    eapfast-wlc-rad-config23.gif

  6. Do nome de usuário e da janela de senha configurar MSCHAPv2, escolha os ajustes apropriados do nome de usuário e senha.

    Este exemplo escolhe manualmente a alerta para o nome de usuário e a senha.

    O mesmo nome de usuário e a senha devem ser registrados no ACS. Como mencionado mais cedo, este exemplo usa o Sem fio e o Sem fio respectivamente como o nome de usuário e senha.

    Também, note que este é um abastecimento anónimo da em-faixa. Consequentemente, o cliente não pode validar o certificado de servidor. Você precisa de certificar-se de que a caixa de verificação da identidade do server da validação está desmarcada.

  7. Clique em OK.

    eapfast-wlc-rad-config24.gif

Configurar o cliente para o abastecimento autenticado da Em-faixa

Termine estas etapas a fim configurar o cliente Wireless para o abastecimento autenticado da em-faixa:

  1. Repita etapas 1 3 do cliente configurar para a seção anónima do abastecimento da Em-faixa deste documento.

  2. Do indicador EAP-FAST configurar, verifique a caixa de verificação automática do abastecimento reservar PAC.

    Com abastecimento autenticado da em-faixa PAC, alguns dos métodos internos (EAP-GTC, EAP-MSCHAPv2, certificado de cliente TLS) permitidos no lado ACS podem ser selecionados no cliente como o método de autenticação da caixa suspensa EAP-FAST do método de autenticação.

    Este exemplo escolhe o token/senha GTC como o método de autenticação EAP-FAST.

  3. Clique em Configurar.

    eapfast-wlc-rad-config25.gif

  4. Da janela de configuração GTC, você pode usar uma senha estática ou um token a ser alertados na altura da autenticação.

    Este exemplo usa um nome de usuário e senha estático. O mesmo nome de usuário e a senha devem ser registrados no ACS. Como mencionado mais cedo, este exemplo usa o Sem fio e o Sem fio respectivamente como o nome de usuário e senha.

  5. Também, note que esta é uma configuração autenticada do abastecimento da em-faixa. , Verifique consequentemente a caixa de verificação da identidade do server da validação. Também, da caixa suspensa das Autoridades de certificação de raiz confiável, enrole para baixo para procurar o certificado auto-assinado importado do ACS (TS-Web neste exemplo). Escolha o certificado como a Autoridade de certificação de raiz confiável. Clique em OK.

    eapfast-wlc-rad-config26.gif

Verifique o abastecimento da Em-faixa

Termine estas etapas a fim verificar se sua configuração EAP-FAST trabalha corretamente:

  1. Selecione o eap do perfil rapidamente e o clique ativa a fim ativar o perfil do cliente Wireless.

    /image/gif/paws/99791/eapfast-wlc-rad-config27.gif

  2. Se você permitiu MS-CHAP ver2 como seu método de autenticação (com anónimo, este é o único método bem sucedido como explicado mais cedo), a seguir o cliente alertará para o nome de usuário e senha.

    /image/gif/paws/99791/eapfast-wlc-rad-config28.gif

  3. Durante o processamento EAP-FAST do usuário, você será alertado pelo cliente pedir o PAC do servidor Radius. Quando você clica YE, o abastecimento PAC começa.

    eapfast-wlc-rad-config29.gif

    Após o abastecimento bem sucedido PAC na fase zero, fase um e dois siga e um procedimento da autenticação bem sucedida ocorre.

    /image/gif/paws/99791/eapfast-wlc-rad-config30.gif

  4. Com abastecimento autenticado da em-faixa, se você permitiu GTC/Token como seu método de autenticação EAP-FAST, você será alertado incorporar o token. Como mencionado mais cedo, este exemplo usa o Sem fio como as credenciais do usuário. Clique em OK.

    /image/gif/paws/99791/eapfast-wlc-rad-config31.gif

    Você pode ver o arquivo PAC recebido pelo cliente na página de configuração EAP-FAST.

    eapfast-wlc-rad-config32.gif

    Este PAC pode ser usado para umas sessões mais adicionais da autenticação deste usuário conforme os ajustes dos valores da chave TTL PAC/Master.

  5. O clique controla considerar os índices do PAC arquivar consultando através da árvore do Gerenciamento PAC como mostrado aqui. O clique duas vezes no arquivo do Sem fio PAC para indicar os índices do PAC arquiva.

    /image/gif/paws/99791/eapfast-wlc-rad-config33.gif

    Este é o índice de um arquivo PAC:

    eapfast-wlc-rad-config34.gif

Verificar

Você pode verificar se o servidor Radius recebe e valida o pedido de autenticação do cliente Wireless. Verifique os relatórios passados das autenticações e das falhas de tentativa no servidor ACS a fim realizar isto. Estes relatórios estão disponíveis sob relatórios e atividades no servidor ACS.

Está aqui um exemplo quando a autenticação de servidor Radius é realmente bem sucedida. Contudo, porque a fase zero de EAP-FAST não permite um serviço de rede, mesmo uma transação EAP-FAST bem sucedida da fase zero é gravada no log das falhas de tentativa ACS. Se você vê “o usuário EAP-FAST era fornecida com a mensagem PAC novo”, isto indica que o PAC é fornecida com sucesso ao cliente.

/image/gif/paws/99791/eapfast-wlc-rad-config35.gif

Estes comandos debug puderam ser úteis para alguns propósitos de Troubleshooting:

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debugar eventos do dot1x permitem — Permite debugar de todos os eventos do dot1x. Está aqui um resultado do debug do exemplo baseado na autenticação bem sucedida:

    (Cisco Controller)>debug dot1x events enable
    
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP
    -Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with mi
    smatching id (currentid=2, eapid=1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    ..............................................................................
    ..............................................................................
    ...............................................................................
    ................................................................................
    
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 43)
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:01 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    0
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3689 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    1
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3696 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 19 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 3)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 23)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 23, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 26)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 26, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 27, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 20 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 3)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 24 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Accept for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Creating a new PMK Cache Entry for s
    tation 00:40:96:af:3e:93 (RSN 0)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP-Success to mobile 00:40:
    96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending default RC4 key to mobile 00
    :40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending Key-Mapping RC4 key to mobil
    e 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Auth Success while in Authe
    nticating state for mobile 00:40:96:af:3e:93
    

    Está aqui um exemplo da autenticação falha da saída do comando enable dos eventos do dot1x debugar:

    (Cisco Controller) >debug dot1x events enable
    
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Requ
    est/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 11 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 11)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 11, EAP Type 3)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 12)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 12, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 13, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 802.1x 'quiteWhile' Timer expired fo
    r station 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 quiet timer completed for mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 15)
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 16)
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 17)
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 18)
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
  • debugar o pacote do dot1x permitem — Permite debugar de mensagens de pacote do 802.1x. Está aqui um resultado do debug do exemplo baseado na autenticação bem sucedida:

    (Cisco Controller) debug dot1x packet enable
    
     00:40:96:af:3e:93 Sending 802
    .11 EAPOL message  to mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 02 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1b 02 02 00 1b  01 50 45 41 50 2d 3
    0 30  .........PEAP-00
                          00000010: 2d 34 30 2d 39 36 2d 41  46 2d 33 45 2d 39 33
      -40-96-AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 26 01 19 00 26  11 01 00 08 52 97 b
    2 df  ...&...&....R...
                          00000010: 38 d2 ce 74 50 45 41 50  2d 30 30 2d 34 30 2d 39
      8..tPEAP-00-40-9
                      00000020: 36 2d 41 46 2d 33 45 2d  39 33                    6-
    AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 06 02 19 00 06  03 2b
          .........+
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:14 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:14 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:15 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:15 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 02 72 01 1b 02 72  2b 81 00 00 02 68 1
    6 03  ...r...r+....h..
                          00000010: 01 00 4a 02 00 00 46 03  01 47 1c bd b1 3a a8 8e
      ..J...F..G...:..
                      00000020: de fc 62 51 e0 fe 93 c2  1d 21 08 51 59 ba c6 90  ..
    bQ.....!.QY...
                  00000030: ad 14 1b bc
    Mon Oct 22 20:41:17 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    36) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:17 2007: 00000000: 01 00 01 4c 02 1b 01 4c  2b 01 16 03 01 01 0
    6 10  ...L...L+.......
                          00000010: 00 01 02 01 00 f4 92 8c  54 b1 34 ae 1e 13 a3 63
      ........T.4....c
                      00000020: 03 35 e9 33 e6 45 01 6a  87 18 ba 3d 03 0f 5f a5  .5
    .3.E.j...=.._.
                  00000030: 1d 3a ae fa
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:46 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 45 01 1d 00 45  2b 81 00 00 00 3b 1
    4 03  ...E...E+....;..
                          00000010: 01 00 01 01 16 03 01 00  30 cc 1f c4 54 ac a2 88
      ........0...T...
                      00000020: 14 11 92 c4 5a 78 2c 57  06 57 77 d7 6b 4e b1 db  ..
    ..Zx,W.Ww.kN..
    eived 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 1f 00 6b  2b 01 17 03 01 00 6
    0 8b  ...k...k+.....`.
                          00000010: 25 2f c6 1a 61 de af 51  a4 1d ae 9e 8c e8 45 80
      %/..a..Q......E.
                      00000020: e0 14 69 01 d8 ab eb 08  af 21 44 44 70 9c 25 d2  ..
    i......!DDp.%.
                  00000030: 39 6f 75 ce
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 5b 01 20 00 5b  2b 01 17 03 01 00 5
    0 0a  ...[...[+.....P.
                          00000010: 7e da 91 4e d7 ae 6b 87  7c 31 7f 7a 3c af 67 71
      ~..N..k.|1.z<.gq
                      00000020: 8a a1 0b aa 0a ac 6f b5  e8 65 83 3b d1 39 bd 1b  ..
    ....o..e.;.9..
                  00000030: f4 dd f9 68
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    7) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2b 02 20 00 2b  2b 01 17 03 01 00 2
    0 73  ...+...++......s
                          00000010: 02 d6 0e d3 55 57 7c 0c  58 f0 7c 1f 5e 61 09 40
      ....UW|.X.|.^a.@
                      00000020: 00 85 0b 8e 11 b5 23 1b  fc 27 77 71 ad b8 ed     ..
    ....#..'wq...
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 01 21 00 6b  2b 01 17 03 01 00 6
    0 c8  ...k.!.k+.....`.
                          00000010: c4 69 43 5d ad 34 88 05  24 d7 7e 90 e3 65 87 37
      .iC].4..$.~..e.7
                      00000020: 9c 94 2f 99 5d be ca 82  1a 11 89 68 44 08 4c ef  ..
    /.]......hD.L.
                  00000030: 56 89 18 7a
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 21 00 6b  2b 01 17 03 01 00 6
    0 16  ...k.!.k+.....`.
                          00000010: 04 f2 92 41 da 4c 9c 4a  64 d8 88 9e 4b ac b9 76
      ...A.L.Jd...K..v
                      00000020: a0 94 2a 7c 5f 7b 9b be  8b 07 e1 42 79 f1 4f 06  ..
    *|_{.....By.O.
                  00000030: 8e 50 c8 25
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 01 1b 01 22 01 1b  2b 01 17 03 01 01 1
    0 0f  ....."..+.......
                          00000010: 9b 84 da 57 60 8b a7 f6  e2 09 33 38 0c d8 fc 1f
      ...W`.....38....
                      00000020: 5f 2f 6a 59 72 4a a7 db  3a 5d 32 5c ac ed 1d d0  _/
    jYrJ..:]2\....
                  00000030: 46 6a 1c 93
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 7
    9) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 4b 02 22 00 4b  2b 01 17 03 01 00 4
    0 3f  ...K.".K+.....@?
                          00000010: 93 1f aa c6 2f 61 f8 45  84 f5 60 bd 35 87 8e 3a
      ..../a.E..`.5..:
                      00000020: 6b 96 7c 9a f6 79 91 73  c1 e9 68 78 82 88 29 07  k.
    |..y.s..hx..).
                  00000030: 8f 71 ef 09
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 04 04 22 00 04
          ....."..
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:48 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 
                  00000030: 2c 14 ca 45
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 00 00 04 03 20 00 04
          ........
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 39 01 00 0d ca  b3 f9 35 00 0a 60 b
    a 20  ...9......5..`..
                          00000010: 82 55 76 30 27 6f 92 2e  ee ce 49 c8 c2 5c 24 01
      .Uv0'o....I..\$.
                      00000020: 33 8e 39 fb a6 f4 fa 72  09 8b ae 1a d5 ab 84 73  3.
    9....r.......s
                  00000030: e9 b9 28 85
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 2c 01 00 0d ca  b3 f9 35 00 0a 60 b
    b 2b  ...,......5..`.+
                          00000010: fa 79 fc 30 50 de dd a0  95 95 cb 50 25 19 0a 80
      .y.0P......P%...
                      00000020: 1e e8 3e bf 8b 7a e3 a1  37 2a 07 8d ef 24 72 47  ..
    >..z..7*...$rG
  • debugar eventos aaa permitem — Permite o resultado do debug de todos os eventos aaa. Está aqui um exemplo de debug de um processo de autenticação falha:

    (Cisco Controller) >debug aaa events enable
    
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 145) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code=11
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=11
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIU
    S server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 146) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    ..................................................................................
    ..................................................................................
    ..................................................................................
    ..................................................................................
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=3
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Reject received from RADIUS s
    erver 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:42 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 149) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    

Troubleshooting

Dicas para Troubleshooting

  • Assegure-se de que a caixa de verificação da identidade do server da validação esteja desabilitada para o perfil do cliente para o abastecimento anónimo da em-faixa.

  • Assegure-se de que EAP-MSCHAPver2 esteja selecionado como o método autenticado no perfil do cliente para o abastecimento anónimo da em-faixa. Este é o único método interno aplicável EAP na fase zero para o abastecimento anónimo da em-faixa.

  • Certifique-se que as credenciais do usuário incorporadas no lado do cliente na altura da autenticação estão configuradas já no ACS.

  • Verifique se o servidor Radius é selecionado do menu suspenso do WLAN (SSID).

  • Se você usa o Wi-Fi Protected Access (WPA), a seguir você tem que instalar a correção dinâmica de WPA a mais atrasada de Microsft para Windows XP SP2. Também, você deve promover o direcionador para seu suplicante do cliente à versão a mais atrasada.

  • O [SECURITY] 1x_ptsm.c 391: As retransmissões da EAPOL-chave M3 MAX alcançaram o Mensagem de Erro significam que o cartão não respondeu a um pedido para sua identidade. Você pode estender os temporizadores EAP nos controladores para esperar a informação do 802.1x do cliente se você usa estes comandos no WLC CLI:

    • identidade-pedido-intervalo avançado 120 c do eap da configuração

    • identidade-pedido-Retries avançado 20 do eap da configuração

    • pedido-intervalo avançado 120 do eap da configuração

    • configuração avançada configuração da salvaguarda do pedido-Retries 20 do eap

Extraindo o arquivo de pacote do servidor Radius ACS para pesquisar defeitos

Se você usa o ACS como o servidor de raio externo, esta seção pode ser usada para pesquisar defeitos. O package.cab é um arquivo zip que contenha todos os arquivos necessários necessários a fim pesquisar defeitos eficientemente o ACS. Você pode usar o utilitário CSSupport.exe para criar o package.cab ou pode obter os arquivos manualmente.

Refira a criação de uma seção de arquivo do package.cab de obter a versão e o AAA debuga a informação para o Cisco Secure ACS for Windows para obter mais informações sobre de como criar e extrair o arquivo de pacote do sistema de controle wireless (WCS).

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 99791