Sem fio : Controladores de LAN sem fio Cisco 4400 Series

Exemplo de Configuração de ACL por Usuário com Controladores de LAN Wireless e Cisco Secure ACS

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (10 Março 2009) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Informações de Apoio
      Diagrama de Rede
Configuração
Configuração do Controlador de LAN Wireless
      Criação de uma VLAN para os Usuários Wireless
      Configuração do WLC para Fazer a Autenticação no Cisco Secure ACS
      Criação de uma Nova WLAN para os Usuários Wireless
      Definição das ACLs para os Usuários
Configuração do Servidor Cisco Secure ACS
      Configuração do Controlador de LAN Wireless como um Cliente AAA no Cisco Secure ACS
      Configuração dos Usuários e dos Perfis de Usuário no Cisco Secure ACS
Verificação
Troubleshooting
      Dicas para Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento explica, através de um exemplo, como criar ACLs (listas de controle de acesso) nos WLCs e aplicá-las aos usuários de acordo com a autorização RADIUS.

Pré-requisitos

Requisitos

Verifique se você atende a estes requisitos antes de tentar esta configuração:

  • Conhecimento básico sobre como configurar um servidor Cisco Secure ACS para autenticar Clientes Wireless

  • Conhecimento sobre a configuração dos Cisco Aironet Lightweight Access Points (LAPs) e dos Cisco Wireless LAN Controllers (WLCs)

  • Conhecimento sobre as Cisco Unified Wireless Security Solutions

Componentes Utilizados

As informações deste documento baseiam-se nestas versões de software e hardware:

  • Cisco 4400 Series Wireless LAN Controller que executa a Versão 4.1.181.0

  • Cisco Aironet 1000 series Lightweight Access Points (LAPs)

  • Cisco Aironet 802.11 a/b/g Cisco Wireless LAN Client Adapter que executa a Versão 3.6

  • Cisco Aironet Desktop Utility Versão 3.6

  • Servidor Cisco Secure ACS Versão 4.1

  • Cisco 2800 Series Integrated Services Router que executa o IOS® Versão 12.4(11)T

  • Cisco Catalyst 2900XL Series Switch que executa a Versão 12.0(5)WC3b

As informações deste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Informações de Apoio

A ACL (Lista de Controle de Acesso) por usuário faz parte da rede de Identidade Cisco. A Cisco Wireless LAN Solution oferece suporte a redes de identidade, as quais permitem que a rede anuncie um único SSID e, ao mesmo tempo, que usuários específicos herdem políticas diferentes com base em seus respectivos perfis.

Com o recurso de ACL por usuário, é possível aplicar uma ACL configurada no Controlador de LAN Wireless a um usuário, com base na autorização RADIUS. Esse procedimento é executado com o VSA (Vendor Specific Attribute - Atributo Específico de Fornecedor) Airespace-ACL-Name.

Esse atributo indica o nome da ACL que deverá ser aplicada ao cliente. Quando o atributo de ACL está presente na Aceitação de Acesso do RADIUS, o sistema aplica o nome da ACL à estação cliente após fazer a autenticação. Isso substitui todas as ACLs atribuídas à interface. Ele ignora a ACL da interface atribuída e aplica a nova.

Nota:  A autenticação de usuário 802.1X é necessária para utilizar o recurso de ACL por Usuário.

Um resumo do formato do atributo de nome da ACL é mostrado abaixo. Os campos são transmitidos da esquerda para a direita.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |  Length       |            Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
     Vendor-Id (cont.)          | Vendor type   | Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|        ACL Name...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
• Type - 26 for Vendor-Specific
• Length - >7
• Vendor-Id - 14179
• Vendor type - 6
• Vendor length - >0
• Value - A string that includes the name of the ACL to use for the client.
   The string is case sensitive.

Para obter mais informações sobre a Rede de Identidade Cisco Unified Wireless Network, consulte a seção Configurando a Rede de Identidade do documento Configurando Soluções de Segurança.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Nesta configuração, o Controlador de LAN Wireless WLC e o LAP são utilizados para fornecer serviços wireless aos usuários dos Departamentos A e B. Todos os usuários wireless utilizam uma WLAN (SSID) Office comum para acessar a rede e estão na VLAN Office-VLAN.

Per-User-ACL-WLC-1.gif

O servidor Cisco Secure ACS é utilizado para autenticar os usuários wireless. A autenticação LEAP é utilizada para autenticar os usuários. O WLC, o LAP e o servidor Cisco Secure ACS estão conectados a um Switch de Camada 2, conforme mostrado.

O roteador R1 conecta os servidores no lado com fio através do Switch de Camada 2, conforme mostrado. O roteador R1 também funciona como um servidor DHCP, o qual fornece endereços IP aos clientes wireless da sub-rede 172.16.0.0/16.

Você precisa configurar os dispositivos para que ocorra o seguinte:

O User1 do Departamento A tenha acesso somente ao servidor 172.16.1.100

O User2 do Departamento B tenha acesso somente ao servidor 172.16.1.50

Para isso, é necessário criar duas ACLs no WLC: uma para o User1 e a outra para o User2. Uma vez criadas as ACLs, você precisará configurar o servidor Cisco Secure ACS para retornar o atributo de nome da ACL para o WLC quando o usuário wireless for autenticado com êxito. Em seguida, o WLC aplicará a ACL ao usuário, e o acesso à rede será limitado com base no perfil do usuário.

Nota: Este documento utiliza a autenticação LEAP para autenticar usuários. Métodos de autenticação mais seguros, como EAP FAST, podem ser utilizados. Como o objetivo do documento é explicar como configurar o recurso de ACL por Usuário, o LEAP é utilizado por questão de simplicidade.

A próxima seção fornece instruções passo a passo para configurar os dispositivos para esta configuração.

Configuração

Antes de configurar o recurso de ACLs por usuário, você deve configurar o WLC para operação básica e registrar os LAPs no WLC. Este documento pressupõe que o WLC esteja configurado para operação básica e que os LAPs estejam registrados no WLC. Se você for um novo usuário que esteja tentando configurar o WLC para operação básica com LAPs, consulte Registro do LAP (Lightweight AP) em um WLC (Controlador de LAN Wireless).

Depois que os LAPs forem registrados, siga estes passos a fim de configurar os dispositivos para esta configuração:

  1. Configure o Controlador de LAN Wireless.

  2. Configure o servidor Cisco Secure ACS.

  3. Verifique a configuração.

Nota: Este documento aborda a configuração necessária no lado Wireless e pressupõe que a configuração com fio já exista.

Configuração do Controlador de LAN Wireless

No Controlador de LAN Wireless, você precisa:

Criação de uma VLAN para os Usuários Wireless

Para criar uma VLAN para os usuários wireless, siga estes passos.

  1. Vá para a GUI do WLC e escolha Controller > Interfaces. A janela Interfaces será exibida. Essa janela lista as interfaces configuradas no controlador.

  2. Clique em New para criar uma nova interface dinâmica.

  3. Na janela Interfaces > New, insira o Nome da Interface e o ID da VLAN. Em seguida, clique em Apply. Neste exemplo, a interface dinâmica se chama Office-VLAN e o ID da VLAN é 20.

    Per-User-ACL-WLC-2.gif

  4. Na janela Interfaces > Edit, insira o endereço IP, a máscara de sub-rede e o gateway padrão da interface dinâmica. Atribua-os a uma porta física no WLC e insira o endereço IP do servidor DHCP. Em seguida, clique em Apply.

    Per-User-ACL-WLC-3.gif

    Neste exemplo, os seguintes parâmetros são utilizados para a interface Office-VLAN:

    Office-VLAN
        IP address: 172.16.1.25
        Netmask: 255.255.0.0
        Default gateway: 172.16.1.75 (sub-interface on Router R1)
        Port on WLC: 1
        DHCP server: 172.16.1.75
    

Configuração do WLC para Fazer a Autenticação no Cisco Secure ACS

O WLC precisa ser configurado para encaminhar as credenciais do usuário a um servidor RADIUS externo (nesse caso, o Cisco Secure ACS). Em seguida, o servidor RADIUS valida essas credenciais e retorna o atributo de nome da ACL para o WLC após a autenticação bem-sucedida do usuário wireless.

Siga estes passos a fim de configurar o WLC para o servidor RADIUS:

  1. Escolha Security e RADIUS Authentication na GUI do controlador para exibir a página RADIUS Authentication Servers. Em seguida, clique em New para definir um servidor RADIUS.

  2. Defina os parâmetros do servidor RADIUS na página RADIUS Authentication Servers > New. Esses parâmetros incluem o Endereço IP do Servidor RADIUS, o Segredo Compartilhado, o Número da Porta e o Status do Servidor.

    Per-User-ACL-WLC-4.gif

  3. As caixas de seleção Network User e Management determinam se a autenticação baseada no RADIUS aplica-se aos usuários da rede e ao gerenciamento. Este exemplo utiliza o Cisco Secure ACS como o servidor RADIUS com o endereço IP 10.77.244.196. Clique em Apply.

Criação de uma Nova WLAN para os Usuários Wireless

Agora, você precisa criar uma WLAN à qual os usuários wireless possam se conectar. Para criar uma nova WLAN, siga estes passos:

  1. Na GUI do Controlador de LAN Wireless, clique em WLANs. Essa página lista as WLANs existentes no controlador.

  2. Escolha New para criar uma nova WLAN. Insira o ID da WLAN, o Nome do Perfil e o SSID da WLAN e clique em Apply. Para esta configuração, crie uma WLAN chamada Office.

    Per-User-ACL-WLC-5.gif

  3. Uma vez criada uma nova WLAN, a página WLAN > Edit referente a essa WLAN será exibida. Nessa página, você poderá definir diversos parâmetros específicos dessa WLAN, incluindo políticas gerais, Segurança, QoS e parâmetros avançados.

    Per-User-ACL-WLC-6.gif

    Marque WLAN Status em General policies para ativar a WLAN. Escolha a interface adequada no menu suspenso. Neste exemplo, utilize a interface Office-vlan. Os outros parâmetros dessa página podem ser modificados com base nas necessidades da rede WLAN.

  4. Escolha a guia Security. Escolha 802.1x no menu suspenso Layer 2 security (uma vez que esta é uma autenticação LEAP). Escolha o tamanho de chave WEP apropriado em 802.1x parameters.

    Per-User-ACL-WLC-7.gif

  5. Na guia Security, escolha a subguia AAA server. Escolha o servidor AAA utilizado para autenticar os clientes wireless. Neste exemplo, utilize o servidor ACS 10.77.244.196 para autenticar os clientes wireless.

    Per-User-ACL-WLC-8.gif

  6. Escolha a guia Advanced. Marque Allow AAA Override para configurar a substituição da política do usuário através do AAA em uma LAN wireless.

    Per-User-ACL-WLC-9.gif

  7. Escolha os outros parâmetros com base nas necessidades da rede. Clique em Apply.

Definição das ACLs para os Usuários

Você precisa criar duas ACLs para esta configuração:

  • ACL1: Para permitir o acesso do User1 somente ao servidor 172.16.1.100

  • ACL2: Para permitir o acesso do User2 somente ao servidor 172.16.1.50

Siga estes passos para configurar as ACLs no WLC:

  1. Na GUI do WLC, escolha Security > Access Control Lists. A página Access Control Lists será exibida. Essa página lista as ACLs configuradas no WLC. Ela também permite que você edite ou remova quaisquer ACLs. Para criar uma nova ACL, clique em New.

  2. Essa página permite que você crie novas ACLs. Insira o nome da ACL e clique em Apply. Uma vez criada a ACL, clique em Edit a fim de criar regras para ela.

  3. O User1 precisa ser capaz de acessar somente o servidor 172.16.1.100 e deve ter seu acesso a todos os outros dispositivos negado. Para isso, estas regras precisam ser definidas.

    Per-User-ACL-WLC-10.gif

  4. Da mesma forma, você precisa criar para o User2 uma ACL que permita o seu acesso somente ao servidor 172.16.1.50. Esta é a ACL necessária para o User2.

    Per-User-ACL-WLC-11.gif

    Agora você configurou o Controlador de LAN Wireless para esta configuração. O próximo passo será configurar o Cisco Secure Access Control Server para autenticar os clientes wireless e retornar o atributo de nome da ACL para o WLC após a autenticação bem-sucedida.

    Para obter informações detalhadas sobre como configurar ACLs em Controladores de LAN Wireless, consulte o Exemplo de Configuração de ACLs em Controladores de LAN Wireless.

Configuração do Servidor Cisco Secure ACS

Para que o Cisco Secure ACS possa autenticar os clientes Wireless, é necessário seguir estes passos:

Configuração do Controlador de LAN Wireless como um Cliente AAA no Cisco Secure ACS

Para configurar o Controlador de LAN Wireless como um cliente AAA no Cisco Secure ACS, siga estes passos:

  1. Clique em Network Configuration > Add AAA client. A página Add AAA client será exibida. Nessa página, defina o nome do sistema do WLC, o endereço IP da Interface de Gerenciamento, o Segredo Compartilhado e faça a autenticação utilizando o Radius Airespace. Aqui está um exemplo:

    Per-User-ACL-WLC-12.gif

    Nota: O segredo compartilhado configurado no Cisco Secure ACS deve corresponder ao configurado no WLC em RADIUS Authentication Servers > New.

  2. Clique em Submit+Apply.

Configuração dos Usuários e dos Perfis de Usuário no Cisco Secure ACS

Para configurar os usuários no Cisco Secure ACS, siga estes passos:

  1. Escolha User Setup na GUI do ACS, insira o nome do usuário e clique em Add/Edit. Neste exemplo, o usuário é User1.

    Per-User-ACL-WLC-13.gif

  2. Quando a página User Setup for exibida, defina todos os parâmetros específicos do usuário. Neste exemplo, os atributos RADIUS, as Informações Complementares do Usuário, a senha e o nome do usuário são configurados, pois você só precisa desses parâmetros para a autenticação EAP.

    Per-User-ACL-WLC-14.gif

    Role até ver os Atributos RADIUS do Cisco Airespace específicos do usuário. Marque Aire-ACL-Name para permitir que o ACS retorne o nome da ACL para o WLC com a resposta de autenticação bem-sucedida. Para User1, crie uma ACL User1 no WLC. Insira o nome da ACL como User1.

    Per-User-ACL-WLC-15.gif

  3. Repita o mesmo procedimento para criar User2, conforme mostrado aqui.

    Per-User-ACL-WLC-16.gif

    Per-User-ACL-WLC-17.gif

    Per-User-ACL-WLC-18.gif

  4. Clique em System Configuration e Global Authentication Setup para garantir que o servidor de autenticação seja configurado para executar o método de autenticação EAP desejado. Nas definições do EAP, escolha o método EAP apropriado. Este exemplo utiliza a autenticação LEAP. Clique em Submit quando terminar.

    Per-User-ACL-WLC-19.gif

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

Tente associar um cliente wireless ao Lightweight AP com autenticação LEAP para verificar se a configuração funciona conforme o esperado.

Nota: Este documento pressupõe que o perfil do cliente esteja configurado para autenticação LEAP. Consulte Utilizando a Autenticação EAP para obter mais informações sobre como configurar o 802.11 a/b/g Wireless Client Adapter para autenticação LEAP.

Uma vez ativado o perfil do cliente wireless, o usuário será solicitado a fornecer o nome de usuário/senha para autenticação LEAP. Veja o que acontece quando o User1 tenta fazer a autenticação no LAP.

Per-User-ACL-WLC-20.gif

O Lightweight AP e, depois, o WLC passam as credenciais do usuário para o servidor RADIUS externo (Cisco Secure ACS) a fim de validá-las. O servidor RADIUS compara os dados com o banco de dados do usuário e, após a autenticação bem-sucedida, retorna para o WLC o nome de ACL configurado para o usuário. Nesse caso, a ACL User1 é retornada para o WLC.

Per-User-ACL-WLC-21.gif

O Controlador de LAN Wireless aplica essa ACL ao User1. Esta saída do ping mostra que o User1 pode acessar somente o servidor 172.16.1.100 e nenhum outro dispositivo.

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Reply from 172.16.1.100: bytes=32 time=3ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 3ms, Average = 1ms

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Da mesma forma, quando o User2 tenta acessar a WLAN, o servidor RADIUS retorna a ACL User2 para o WLC após a autenticação bem-sucedida.

Per-User-ACL-WLC-22.gif

Per-User-ACL-WLC-23.gif

O Controlador de LAN Wireless aplica essa ACL ao User2. Esta saída do ping mostra que o User2 pode acessar somente o servidor 172.16.1.50 e nenhum outro dispositivo.

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Reply from 172.16.1.50: bytes=32 time=3ms TTL=255
Reply from 172.16.1.50: bytes=32 time=18ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 18ms, Average = 5ms

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Troubleshooting

Esta seção fornece informações que você pode utilizar no troubleshooting de sua configuração.

No Controlador de LAN Wireless, você também pode utilizar estes comandos de depuração para fazer o troubleshooting da autenticação AAA.

  • debug aaa all enable — Configura a depuração de todas as mensagens AAA

  • debug dot1x packet enable — Ativa a depuração de todos os pacotes dot1x

  • debug client <MAC Address> — Ativa a depuração do cliente wireless

Veja a seguir um exemplo do comando debug aaa all enable

Nota: Algumas linhas da saída foram movidas para a segunda linha devido a restrições de espaço.

Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState..............00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93
Successful transmission of Authentication Packet
   (id 1) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 01 00 d0 2d 34 f5 99  b4 19 27 28 eb 5f 35 9c
   ....-4....'(._5.
Thu Aug 16 14:42:54 2007: 00000010: 8f a9 00 dd 01 07 75 73  65 72 31 1f 13 30 30 2d
   ......user1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06
   0:Office-TSWEB..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 27 02
   ...A.....Q.20O'.
Thu Aug 16 14:42:54 2007: 00000090: 01 00 25 11 01 00 18 1d  87 9d 0b f9 dd e5 39 0d
   ..%...........9.
Thu Aug 16 14:42:54 2007: 000000a0: 2e 82 eb 17 c6 23 b7 96  dc c3 55 ff 7c 51 4e 75
   .....#....U.|QNu
Thu Aug 16 14:42:54 2007: 000000b0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000c0: 1a d5 3b 35 5e 93 11 c0  c6 2f 5e f5 65 e9 3e 2d
   ..;5^..../^.e.>-
Thu Aug 16 14:42:54 2007: 00000000: 0b 01 00 36 8c 31 6a b4  27 e6 d4 0e 1b 8e 5d 19
   ...6.1j.'.....].
Thu Aug 16 14:42:54 2007: 00000010: 60 1c c2 16 4f 06 03 01  00 04 18 0a 53 56 43 3d
   ...O.......SVC=
Thu Aug 16 14:42:54 2007: 00000020: 30 2e 31 3b 50 12 6c fb  90 ec 48 9b fb d7 ce ca
   0.1;P.l...H.....
Thu Aug 16 14:42:54 2007: 00000030: 3b 64 93 10 fe 09      ;d....
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=11
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=11
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93
Access-Challenge received from RADIUS server
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............104
Thu Aug 16 14:42:54 2007:       resultCode...............255
Thu Aug 16 14:42:54 2007:       protocolUsed............0x00000001
Thu Aug 16 14:42:54 2007:       proxyState...............
   00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 3 AVPs (not shown)
Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState.........................
   00:40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93
Successful transmission of Authentication Packet (id 2) to 10.77.244.196:1812,
proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 02 00 c0 38 b6 b2 20  ff 5b f2 16 64 df 02 61
   ....8....[..d..a
Thu Aug 16 14:42:54 2007: 00000010: cf f5 93 4b 01 07 75 73  65 72 31 1f 13 30 30 2d
   ...K..User1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06
   0:Office..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 17 01
   ...A.....Q.20O..
Thu Aug 16 14:42:54 2007: 00000090: 01 00 15 11 01 00 08 0f  14 05 65 1b 28 61 c9 75
   ..........e.(a.u
Thu Aug 16 14:42:54 2007: 000000a0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000b0: 05 ba 6b af fe a4 b0 d1  a2 94 f8 39 80 ca 3c 96
   ..k........9..<.
Thu Aug 16 14:42:54 2007: 00000000: 02 02 00 ce c9 3d 5d c8  6c 07 8e fb 58 84 8d f6
   .....=].l...X...
Thu Aug 16 14:42:54 2007: 00000010: 33 6d 93 21 08 06 ff ff  ff ff 4f 27 02 01 00 25
   3m.!......O'...%
Thu Aug 16 14:42:54 2007: 00000020: 11 01 00 18 e5 e5 31 1e  33 b5 4e 69 90 e7 84 25
   ......1.3.Ni...%
Thu Aug 16 14:42:54 2007: 00000030: 42 a9 20 ac 84 33 9f 87  ca dc c9 b3 75 73 65 72
   B....3......user
Thu Aug 16 14:42:54 2007: 00000040: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 73 65
   1.;.....5leap:se
Thu Aug 16 14:42:54 2007: 00000050: 73 73 69 6f 6e 2d 6b 65  79 3d 29 80 1d 2c 1c 85
   ssion-key=)..,..
Thu Aug 16 14:42:54 2007: 00000060: db 1c 29 7e 40 8a b8 93  69 2a 55 d2 e5 46 89 8b
   ..)~@...i*U..F..
Thu Aug 16 14:42:54 2007: 00000070: 2c 3b 65 49 3e 44 cf 7e  95 29 47 54 1a 1f 00 00
   ,;eI>D.~.)GT....
Thu Aug 16 14:42:54 2007: 00000080: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 74 79
   ....auth-algo-ty
Thu Aug 16 14:42:54 2007: 00000090: 70 65 3d 65 61 70 2d 6c  65 61 70 1a 0d 00 00 37
   pe=eap-leap....7
Thu Aug 16 14:42:54 2007: 000000a0: 63 06 07 55 73 65 72 31  19 14 43 41 43 53 3a 30
   c..User1..CACS:0
Thu Aug 16 14:42:54 2007: 000000b0: 2f 39 2f 61 34 64 66 34  64 32 2f 31 50 12 9a 71
   /9/a4df4d2/1P..q
Thu Aug 16 14:42:54 2007: 000000c0: 09 99 7d 74 89 ad af e5  c8 b1 71 94 97 d1
   ..}t......q...
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=2
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=2
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93
Access-Accept received from RADIUS server
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............236
Thu Aug 16 14:42:54 2007:       resultCode...............0
Thu Aug 16 14:42:54 2007:       protocolUsed.............0x0
0000001
Thu Aug 16 14:42:54 2007:       proxyState...............00:
40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:  Packet contains 6 AVPs:
Thu Aug 16 14:42:54 2007:  AVP[01] Framed-IP-Address..........0xffffffff (-1)
   (4 bytes)
Thu Aug 16 14:42:54 2007:  AVP[02] EAP-Message................DATA (37 bytes)
Thu Aug 16 14:42:54 2007:  AVP[03] Cisco / LEAP-Session-Key...DATA (16 bytes)
Thu Aug 16 14:42:54 2007:  AVP[04] Airespace / ACL-Name.......User1 (5 bytes)
Thu Aug 16 14:42:54 2007:  AVP[05] Class......................CACS:0/9/a4df4d2/1
   (18 bytes)
Thu Aug 16 14:42:54 2007:  AVP[06] Message-Authenticator......DATA (16 bytes)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Applying new AAA override
   for station 00:40:96:af:3e:93
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Override values
   for station 00:40:96:af:3e:93
                source: 4, valid bits: 0x400
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1

dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                       vlanIfName: '',
aclName:User1
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93
   Inserting new RADIUS override into chain for station 00:40:96:af:3e:93

Você pode utilizar uma combinação do comando show wlan summary para reconhecer qual das suas WLANs utiliza a autenticação do servidor RADIUS. Depois, você poderá exibir o comando show client summary para ver quais endereços MAC (clientes) são autenticados com êxito nas WLANs RADIUS. Também é possível correlacionar essas informações aos logs de tentativas anteriores ou com falha do Cisco Secure ACS.

A Cisco recomenda que você teste suas configurações de ACL com um cliente wireless para ter certeza de que as configurou corretamente. Se elas não funcionarem corretamente, verifique as ACLs na página da Web correspondente para certificar-se de que suas alterações foram aplicadas à interface do controlador.

Você também pode utilizar estes comandos show para verificar sua configuração:

  • show acl summary — Para exibir as ACLs configuradas no controlador, utilize o comando show acl summary.

Aqui está um exemplo:

(Cisco Controller) >show acl summary

ACL Name                         Applied
-------------------------------- -------
User1                                  Yes
User2                                  Yes

  • show acl detailed <ACL_Name> — Exibe informações detalhadas sobre as ACLs configuradas.

    Aqui está um exemplo:

    Nota: Algumas linhas da saída foram movidas para a segunda linha devido a restrições de espaço.

    Cisco Controller) >show acl detailed User1
    
                       Source                       Destination
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask
       Prot    Range       Range    DSCP   Action
    -- --- ------------------------------- -------------------------------
       ---- ----------- ----------- ----    ------
     1  In      172.16.0.0/255.255.0.0        172.16.1.100/255.255.255.255
       Any  0-65535       0-65535   Any    Permit
     2 Out    172.16.1.100/255.255.255.255      172.16.0.0/255.255.0.0
       Any  0-65535       0-65535   Any    Permit
    
    
    (Cisco Controller) >show acl detailed User2
    
                       Source                       Destination
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask
       Prot    Range       Range    DSCP Action
    -- --- ------------------------------- -------------------------------
       ---- ----------- ----------- ---- ------
    1  In      172.16.0.0/255.255.0.0         172.16.1.50/255.255.255.255
       Any   0-65535       0-65535    Any  Permit
    2 Out     172.16.1.50/255.255.255.255      172.16.0.0/255.255.0.0
       Any   0-65535       0-65535    Any  Permit
    
  • show client detail <MAC Address of the client> - Exibe informações detalhadas sobre o cliente Wireless.

Dicas para Troubleshooting

Utilize estas dicas para troubleshooting:

  • Verifique se o servidor RADIUS está no estado ativo, e não no estado standby ou desativado, no controlador.

  • No controlador, verifique se o servidor RADIUS está selecionado no menu suspenso da WLAN (SSID).

  • Verifique se o servidor RADIUS recebe e valida a solicitação de autenticação do cliente wireless.

  • Verifique os relatórios Passed Authentications e Failed Attempts no servidor ACS para fazer isso. Esses relatórios estão disponíveis em Reports and Activities no servidor ACS.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 98590