Sem fio : Controladores de LAN sem fio Cisco 4400 Series

Característica da reserva do servidor Radius no exemplo de configuração dos controladores do Wireless LAN (WLC)

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (19 Dezembro 2015) | Feedback

Introdução

Este documento descreve como configurar a característica da reserva do servidor Radius com controladores do Wireless LAN (WLC).

Contribuído por Nicolas Darchis, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento básico da configuração do Lightweight Access Points (regaços) e do Cisco WLC.

  • Conhecimento básico do controle e do abastecimento do protocolo do ponto de acesso Wireless (CAPWAP).

  • Conhecimento básico de soluções da segurança Wireless.

Componentes Utilizados

A informação neste documento é baseada em Cisco 4400 WLC que executa a versão de firmware 5.0.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Característica da reserva do servidor Radius

As versões de software WLC mais cedo de 5.0 não apoiam o mecanismo de recuo do servidor Radius. Quando o servidor Radius preliminar se torna não disponível, o WLC Failover ao servidor Radius alternativo ativo seguinte. O WLC continuará a usar para sempre o servidor radius secundário mesmo se o servidor primário está disponível. Geralmente o servidor primário é alto desempenho e o servidor preferido.

Em WLC 5.0 e em umas versões mais atrasadas, o WLC apoia a característica da reserva do servidor Radius. Com esta característica, o WLC pode ser configurado para verificar se o servidor primário está disponível e comuta de volta ao servidor Radius preliminar uma vez que está disponível. A fim fazer isto os apoios WLC dois modos novos, passivo e ativo, para verificar o estado do servidor Radius. O WLC vem para trás ao server o mais preferível após o valor de timeout especificado.

Modos de fallback

Modo ativo

No modo ativo, quando um server não responde ao pedido de autenticação WLC, o WLC marca o server enquanto mortos e então move o server para o pool NON-ativo do server e o começa enviar periodicamente mensagens da ponta de prova até que esse server responder. Se o server responde, a seguir o WLC move o servidor inoperante para o pool ativo e para-o de enviar mensagens da ponta de prova. Neste modo, quando um pedido de autenticação vem, o WLC escolhe sempre o mais baixo server do deslocamento predeterminado (prioridade mais alta) do pool ativo dos servidores Radius.

O WLC envia um pacote de ponta de prova depois que intervalo (o padrão é 300 segundos) a fim determinar o status de servidor caso que o server estava mais adiantado sem resposta.

Modo passivo

No modo passivo, se um server não responde ao pedido de autenticação WLC, o WLC move o server para a fila inativa e ajusta um temporizador. Quando o temporizador expira, o WLC move o server para a fila ativa independentemente do status real do server. Quando um pedido de autenticação vem, o WLC escolhe o mais baixo server do deslocamento predeterminado (prioridade mais alta) da fila ativa (que pôde incluir o server NON-ativo). Se o server não responde então o WLC marca-o como inativo, ajusta-o o temporizador, e move-se para o server o mais prioritário seguinte. Este processo continua até que o WLC encontre um servidor Radius ativo, ou o pool do servidor ativo está esgotado.

O WLC supõe que o server é ativo depois que intervalo (o padrão é 300 segundos) caso que o server estava mais adiantado sem resposta. Se é ainda sem resposta, o WLC espera um outro intervalo e tenta-o outra vez quando um pedido de autenticação entra.

Modo desligado

No modo desligado, o WLC apoia o Failover somente. Ou seja a reserva é desabilitada. Quando o servidor Radius preliminar vai para baixo, o WLC Failover ao servidor Radius alternativo ativo seguinte. O WLC continua a usar para sempre o servidor radius secundário, mesmo se o servidor primário está disponível.

Configurar

Configurar a característica da reserva do servidor Radius com o CLI

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Use estes comandos do WLC CLI a fim permitir a característica da reserva do servidor Radius no WLC.

A primeira etapa é selecionar o modo de reserva do servidor Radius. Como mencionado mais cedo, o WLC apoia o active e os modos passivos de reserva.

A fim selecionar o modo de reserva, incorpore este comando:

WLC1 > config radius fallback-test mode {active/passive/off}
  • ativo - Envia pontas de prova aos servidores inoperantes para testar o estado.

  • passivo - Ajusta o status de servidor baseado na última transação.

  • fora de - Desabilita o teste da reserva do server (padrão).

A próxima etapa é selecionar o intervalo que especifica o intervalo da ponta de prova pelo modo ativo ou o momento inativo para o modo passivo de operação.

A fim ajustar o intervalo, incorpore este comando:

WLC1 > config radius fallback-test mode interval {180 - 3600}

<180 a 3600> - Incorpore o intervalo da ponta de prova ou o tempo inativo aos segundos (o padrão é 300 segundos).

O intervalo especifica o intervalo da ponta de prova no caso da reserva do modo ativo ou do tempo inativo no caso da reserva do modo passivo.

Para o modo ativo de operação, você precisa de configurar um username que seja usado no pedido da ponta de prova enviado ao servidor Radius.

A fim configurar o username, incorpore este comando:

WLC1 >config radius fallback-test username {username}

<username> - Dê entrada com um nome até 16 caráteres alfanuméricos (o padrão é Cisco-ponta de prova).

Nota: Você pode incorporar seu próprio username ou deixá-lo com o padrão. O nome de usuário padrão é “Cisco-ponta de prova”. Porque este username é usado para enviar mensagens da ponta de prova, você não precisa de configurar uma senha.

Configurar a característica da reserva do servidor Radius com o GUI

Termine estas etapas a fim configurar o WLC com o GUI:

  1. Configurar o modo de reserva do servidor Radius. A fim fazer isto, escolha a Segurança > o RAIO > a reserva do WLC GUI. A página dos parâmetros do RAIO > da reserva publica-se.

  2. Da lista de drop-down do modo de fallback, escolha o modo de reserva. As opções disponíveis incluem ativo, passivo, e fora.

    Está aqui um tiro de tela do exemplo para a configuração do modo de fallback ativo:

  3. Para o modo ativo de operação, incorpore o username ao campo de nome de usuário.

  4. Incorpore o valor do intervalo da ponta de prova ao intervalo no segundo. campo.

  5. Clique em Apply.

Se a característica agressiva do Failover é permitida no WLC, o WLC é demasiado agressivo marcar o servidor AAA como “a resposta”. Porém isto não deve ser feito porque o servidor AAA não é possivelmente responsivo somente a esse cliente específico, se você faz o descarte silencioso. Pode ser uma resposta a outros clientes válidos com certificados válidos. O WLC pode ainda marcar o servidor AAA como “a resposta” e “não funcional”.

Para resolver isso, desabilite o recurso de failover agressivo. Inscreva o comando disable do agressivo-Failover do raio da configuração do controlador GUI a fim executar isto. Se isto é desabilitado, a seguir o controlador falha somente sobre ao servidor AAA seguinte se há três clientes consecutivos que não recebem uma resposta do servidor Radius.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Inscreva o comando summary do raio da mostra a fim verificar sua configuração da reserva. Aqui está um exemplo:

WLC1 >show radius summary 

Vendor Id Backward Compatibility................. Disabled
Call Station Id Type............................. IP Address
Aggressive Failover.............................. Enabled
Keywrap.......................................... Disabled

Fallback Test:
Test Mode.................................... Active
Probe User Name.............................. testaccount
Interval (in seconds)........................ 180

Authentication Servers

Idx Type Server Address Port State Tout RFC3576 IPSec-AuthMode/Phase1/Group/Lifetime/Auth/Encr
--- ---- -------------- ---- ------- ---- ------- ----------------------------------------------
1 NM 10.1.1.12 1812 Enabled 2 Disabled Disabled-none/unknown/group-0/0 none/none

Accounting Servers

Idx Type Server Address Port State Tout RFC3576 IPSec-AuthMode/Phase1/Group/Lifetime/Auth/E
--- ---- -------------- ---- ------- ---- ------- -------------------------------------------
1 N 10.1.1.12 1813 Enabled 2 N/A Disabled-none/unknown/group-0/0 none/nonen

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debugar eventos do dot1x permitem - Configura debuga de eventos do 802.1X.

  • debugar eventos aaa permitem - Configura debuga de todos os eventos AAA.

Informações Relacionadas



Document ID: 106258