Sem fio/Mobilidade : LAN Wireless (WLAN)

exclusão do cliente do 802.1X em um AireOS WLC

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve o cliente Exlusion do 802.1X em um controlador do Wireless LAN de AireOS (WLC). a exclusão do cliente do 802.1X é uma opção importante a ter em um autenticador 1X como um WLC. Este é a fim impedir uma sobrecarga da infraestrutura do Authentication Server pelos clientes do Extensible Authentication Protocol (EAP) que são agitados ou função impropriamente.

Contribuído por Aaron Leonard e por Shankar Ramanathan, engenheiros de TAC da Cisco.

Use casos

Os casos do uso do exemplo incluem: 

  • Um suplicante EAP pode ser configurado com credenciais incorretas. A maioria de suplicantes, tais como suplicantes EAP, cessam tentativas de autenticação após algumas falhas sucessivas. Contudo, alguns suplicantes EAP continuam tentativas de reauthenticate em cima da falha, possivelmente muitas vezes por segundo. Alguns clientes sobrecarregam servidores Radius e causam uma recusa de serviço (DoS) para a rede inteira.
  • Após um Failover da rede principal, as centenas ou os milhares de clientes EAP puderam simultaneamente tentar autenticar.  Em consequência, os Authentication Server puderam ser sobrecarregados e fornecido uma resposta lenta. Se o tempo dos clientes ou do autenticador para fora antes que a resposta lenta esteja processada, a seguir um ciclo vicioso podem ocorrer onde as tentativas de autenticação continuam a cronometrar para fora, e então tentam processar outra vez a resposta.

Nota: Um mecanismo de controle de admissão é exigido a fim permitir tentativas de autenticação de suceder.

a exclusão do 802.1X impede os clientes que provocam a sobrecarga por 30 segundos a diversos minutos após a falha, que permite que as autenticações normais sucedam. Um AireOS WLC tem nominalmente a exclusão do cliente do 802.1X permitida globablly sob a Segurança > políticas wireless da proteção à revelia. Veja as políticas mostradas aqui.

A exclusão do cliente pôde ser permitida ou desabilitado em uma base por-WLAN. É permitida à revelia com um intervalo de 60 segundos.

Contudo, devido optar por ajustes do intervalo e da retransmissão EAP, a exclusão do 802.1X nunca toma o efeito.

Clientes WLC não excluídos quando a exclusão do 802.1X for permitida

Os clientes WLC não são excluídos quando a exclusão do 802.1X é permitida no WLAN. Isto é devido aos intervalos longos do padrão EAP de 30 segundos que causam um cliente que se porte mal para bater nunca bastante falhas sucessivas provocar uma exclusão. Configurar uns intervalos mais curtos EAP com os números aumentados de retransmissões para permitir que a exclusão do 802.1X tome o efeito. Veja o exemplo do intervalo aqui.

config advanced eap identity-request-timeout 3
config advanced eap identity-request-retries 10
config advanced eap request-timeout 3
config advanced eap request-retries 10

Certifique-se de que o servidor Radius está protegido da sobrecarga devido aos clientes Wireless que funcionam incorretamente e verifica que estes ajustes são de fato:

  • “As falhas de autenticação excessivas do 802.1X” são selecionadas nas políticas globais da exclusão do cliente do WLC.
  • A exclusão do cliente é permitida nos ajustes avançados do WLAN.
  • O intervalo da exclusão do cliente é ajustado a 60 a 300 segundos.

Nota: Os valores mais altamente de 300 segundos fornecem a melhor proteção mas puderam provocar reclamações de usuário.

aviso: Alguns suplicantes exigem uns intervalos mais longos do que outro. Por exemplo, se as senhas de uma vez são usadas, o período de timeout do pedido da identidade EAP pôde exigir 45 segundos a fim permitir que o usuário incorpore um PIN novo. Alguma autenticação Protocolo flexível elástico lenta de Authetication através dos suplicantes (EAP-FAST) seguros do protocolo pôde exigir um intervalo mais curto de 20 segundos a fim acomodar o abastecimento protegido do controle de acesso (PAC).

Informações Relacionadas



Document ID: 117714