Sem fio : Controladores de LAN sem fio Cisco 4400 Series

Característica da reserva do servidor Radius no exemplo de configuração dos controladores do Wireless LAN (WLC)

12 Agosto 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (26 Setembro 2014) | Feedback


Índice


Introdução

Este documento demonstra como configurar um recurso de fallback do servidor RADIUS com Controladores de LAN Wireless (WLC).

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento básico da configuração do Lightweight Access Points (regaços) e do Cisco WLC

  • Conhecimento básico do protocolo de ponto de acesso leve (LWAPP)

  • Conhecimento básico de soluções da segurança Wireless

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 4400 WLC que executa a versão de firmware 5.0

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Característica da reserva do servidor Radius

Versões de software WLC antes que 5.0 não apoiarem o mecanismo de recuo do servidor Radius. Quando o servidor Radius preliminar se torna não disponível, o WLC Failover ao servidor Radius alternativo ativo seguinte. O WLC continuará a usar para sempre o servidor radius secundário mesmo se o servidor primário está disponível. Geralmente o servidor primário é alto desempenho e o servidor preferido.

Em WLC 5.0, o WLC apoia a característica da reserva do servidor Radius. Com esta característica, o WLC pode ser configurado para verificar se o servidor primário está disponível e comuta de volta ao servidor Radius preliminar uma vez que está disponível. A fim fazer isto, os apoios WLC dois modos novos, passivo e ativo, para verificar o estado do servidor Radius. O WLC vem para trás ao server o mais preferível após o valor de timeout especificado.

Modos de fallback

Modo ativo

No modo ativo, quando um server não responde ao pedido de autenticação WLC, o WLC marca o server como inoperante, a seguir move o server para o pool NON-ativo do server e começa-o enviar mensagens da ponta de prova periodicamente até que esse server responda. Se o server responde, a seguir o WLC move o servidor inoperante para o pool ativo e para-o de enviar mensagens da ponta de prova. Neste modo, quando um pedido de autenticação vem, o WLC escolhe sempre o mais baixo server do deslocamento predeterminado (prioridade mais alta) do pool ativo dos servidores Radius.

O WLC envia um pacote de ponta de prova depois que intervalo (segundo do padrão 300) para determinar o status de servidor caso que o server estava mais adiantado sem resposta.

Modo passivo

No modo passivo, se um server não responde ao pedido de autenticação WLC, o WLC move o server para a fila inativa e ajusta um temporizador. Quando o temporizador expira, o WLC move o server para a fila ativa independentemente do status real do server. Quando um pedido de autenticação vem, o WLC escolhe o mais baixo server do deslocamento predeterminado (prioridade mais alta) da fila ativa (que pôde incluir o server NON-ativo). Se o server não responde, a seguir o WLC marca-o como inativo, ajusta-o o temporizador e move-se para o server o mais prioritário seguinte. Este processo continua até que o WLC encontre um servidor Radius ativo, ou o pool do servidor ativo está esgotado.

O WLC supõe que o server é ativo após o intervalo (segundo do padrão 300) caso que o server estava mais adiantado sem resposta. Se é ainda sem resposta, o WLC espera um outro intervalo e tenta-o outra vez quando um pedido de autenticação entra.

Modo desligado

No modo desligado, o WLC apoia o Failover somente. Ou seja a reserva é desabilitada. Quando o servidor Radius preliminar vai para baixo, o WLC Failover ao servidor Radius alternativo ativo seguinte. O WLC continuará a usar o servidor radius secundário para sempre mesmo se o servidor primário está disponível.

Configurar a característica da reserva do servidor Radius usando o comando line interface(cli)

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Use os comandos seguintes do WLC CLI permitir a característica da reserva do servidor Radius no WLC.

A primeira etapa é selecionar o modo de reserva do servidor Radius. Como mencionado mais cedo, o WLC apoia o active e os modos passivos de reserva.

A fim selecionar o modo de reserva, use este comando:

WLC1 > config radius fallback-test mode {active/passive/off}

  • ativo — Envia pontas de prova aos servidores inoperantes ao status de teste.

  • passivo — Ajusta o status de servidor baseado na última transação.

  • fora de — Teste da reserva do server das inutilizações (padrão).

A próxima etapa é selecionar o intervalo que especifica o intervalo da ponta de prova pelo modo ativo ou o momento inativo para o modo passivo de operação.

A fim ajustar o intervalo, use este comando:

WLC1 > config radius fallback-test mode interval {180 - 3600}

<180 a 3600> — Incorpore o intervalo da ponta de prova ou o tempo inativo aos segundos (padrão 300).

O intervalo especifica o intervalo da ponta de prova no caso da reserva do modo ativo ou do tempo inativo no caso da reserva do modo passivo.

Para o modo ativo de operação, você precisa de configurar um username que seja usado no pedido da ponta de prova enviado ao servidor Radius.

A fim configurar o username, use este comando:

WLC1 >config radius fallback-test username {username}

<username> — Dê entrada com o nome até 16 caráteres alfanuméricos (padrão “Cisco-ponta de prova”).

Nota: Você pode incorporar seu próprio username ou deixá-lo com o padrão. O nome de usuário padrão é “Cisco-ponta de prova”. Porque este username é usado para enviar mensagens da ponta de prova, você não precisa de configurar nenhuma senha.

Configurar a característica da reserva do servidor Radius usando a interface gráfica de usuário (GUI)

Termine estas etapas a fim configurar o WLC usando o GUI:

  1. A primeira etapa é configurar o modo de reserva do servidor Radius. A fim fazer isto, selecione a Segurança > o RAIO > a reserva do WLC GUI.

    A página dos parâmetros do RAIO > da reserva publica-se.

  2. Do modo de fallback puxe para baixo o menu, escolhem o modo de reserva. As opções disponíveis incluem ativo, a voz passiva e fora.

    Está aqui um tiro de tela do exemplo para configurar o modo de fallback ativo:

    /image/gif/paws/106258/radius-fbkftr-wlc-config1.gif

  3. Para o modo ativo de operação, incorpore o username ao campo de nome de usuário.

  4. Incorpore o valor do intervalo da ponta de prova ao intervalo no segundo. campo.

  5. Clique em Apply.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Você pode usar este comando show verificar sua configuração da reserva:

  • mostre o sumário do raio

    Aqui está um exemplo:

    WLC1 >show radius summary 
    
    Vendor Id Backward Compatibility................. Disabled
    Call Station Id Type............................. IP Address
    Aggressive Failover.............................. Enabled
    Keywrap.......................................... Disabled
    
    Fallback Test:
    Test Mode.................................... Active
     Probe User Name.............................. testaccount
     Interval (in seconds)........................ 180
    
    Authentication Servers
    
    Idx  Type  Server Address    Port    State     Tout  RFC3576  IPSec - AuthMode/Phase1/Group/Lifetime/Auth/Encr
    ---  ----  ----------------  ------  --------  ----  -------  ------------------------------------------------
    1    NM    10.1.1.12         1812    Enabled   2     Disabled  Disabled - none/unknown/group-0/0 none/none
    
    Accounting Servers
    
    Idx  Type  Server Address    Port    State     Tout  RFC3576  IPSec - AuthMode/Phase1/Group/Lifetime/Auth/E
    ---  ----  ----------------  ------  --------  ----  -------  ------------------------------------------------
    1      N     10.1.1.12         1813    Enabled   2     N/A       Disabled - none/unknown/group-0/0 none/nonen

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

  • debugar eventos do dot1x permitem — Configura debuga de eventos do 802.1X.

  • debugar eventos aaa permitem — Configura debuga de todos os eventos AAA.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 106258