Sans fil : Contrôleurs de réseau local sans fil de la gamme Cisco 4400

Exemple de configuration d'une liste de contrôle d'accès par utilisateur avec des contrôleurs de réseau local sans fil et Cisco Secure ACS

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (20 décembre 2015) | Commentaires


Contenu


Introduction

Ce document explique, au moyen d'un exemple, comment créer des listes de contrôle d'accès (ACL) dans le WLC et les appliquer aux utilisateurs qui dépendent de l'autorisation RADIUS.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Connaissance de base de la façon configurer un serveur de Cisco Secure ACS pour authentifier des clients sans fil

  • La connaissance de la configuration du Point d'accès léger de Cisco Aironet (recouvrements) et des contrôleurs LAN Sans fil de Cisco (WLCs)

  • La connaissance des solutions de sécurité de Cisco Unified Wireless

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Contrôleur LAN sans fil de la gamme Cisco 2100 qui exécute la version 5.0.148.0

  • Point d'accès léger de gamme 1231 de Cisco Aironet (recouvrements)

  • Adaptateur client LAN sans fil du 802.11 a/b/g Cisco de Cisco Aironet qui exécute la version 3.6

  • Version 3.6 de Cisco Aironet Desktop Utility

  • Version 4.1 de serveur de Cisco Secure ACS

  • Integrated Services Router de gamme Cisco 2800 qui exécute la version 12.4(11)T de Ý IOS

  • Commutateur de gamme de Cisco Catalyst 2900XL qui exécute la version 12.0(5)WC3b

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Par liste de contrôle d'accès d'utilisateur (ACL) fait partie de réseau d'identité de Cisco. La solution LAN Sans fil de Cisco prend en charge le réseau d'identité, que, alors qu'il permet au réseau d'annoncer un SSID simple, il permet également aux utilisateurs spécifiques d'hériter de différentes stratégies basées sur leurs profils utilisateurs.

Par fonctionnalité d'ACL d'utilisateur fournit la capacité de s'appliquer un ACL configuré sur le contrôleur LAN Sans fil à un utilisateur basé sur l'autorisation RADIUS. Ceci est accompli avec l'attribut spécifique de constructeur d'Airespace-ACL-nom (le VSA).

Cet attribut indique le nom d'ACL à appliquer au client. Quand l'attribut d'ACL est présent dans le RAYON Access recevez, le système s'applique l'Acl-nom à la station client après qu'elle authentifie. Ceci ignore n'importe quel ACLs qui sont assignés à l'interface. Il ignore l'interface-ACL assigné et applique le neuf.

Un résumé du format d'attribut d'Acl-nom est affiché ci-dessous. Les champs sont transmis de gauche à droite

 0                   1                   2                   3 
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|     Type      |  Length       |            Vendor-Id 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
     Vendor-Id (cont.)          | Vendor type   | Vendor length | 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|        ACL Name... 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 
• Type - 26 for Vendor-Specific 
• Length - >7 
• Vendor-Id - 14179 
• Vendor type - 6 
• Vendor length - >0 
• Value - A string that includes the name of the ACL to use for the client. 
   The string is case sensitive. 

Pour plus d'informations sur le réseau d'identité de réseau sans fil unifié Cisco, référez-vous à la section configurante de réseau d'identité du document configurant des solutions de sécurité.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Dans cette installation, le contrôleur LAN Sans fil WLC et le RECOUVREMENT sont utilisés pour fournir des Services sans fil aux utilisateurs dans le service A et le service B. Tous les utilisateurs de sans fil emploient un bureau commun WLAN (SSID) pour accéder au réseau et sont dans le VLAN BUREAU-VLAN.

Per-User-ACL-WLC-1.gif

Le serveur de Cisco Secure ACS est utilisé pour authentifier des utilisateurs de sans fil. L'authentification EAP est utilisée pour authentifier des utilisateurs. Les WLC, le RECOUVREMENT, et le serveur de Cisco Secure ACS sont connectés à un commutateur de la couche 2 comme affichés.

Le routeur R1 connecte les serveurs du côté de câble par le commutateur de la couche 2 comme affiché. Le routeur R1 agit également en tant que serveur DHCP, qui fournit des adresses IP aux clients sans fil du sous-réseau 172.16.0.0/16.

Vous devez configurer les périphériques de sorte que ceci se produise :

User1 du service A a accès seulement au serveur 172.16.1.100

User2 du service B a accès seulement au serveur 172.16.1.50

Afin d'accomplir ceci, vous devez créer 2 ACLs sur le WLC : un pour User1, et l'autre pour User2. Une fois que l'ACLs sont créés, vous devez configurer le serveur de Cisco Secure ACS pour renvoyer l'attribut de nom d'ACL au WLC sur l'authentification réussie de l'utilisateur de sans fil. Le WLC s'applique alors l'ACL à l'utilisateur, et au réseau est ainsi la personne à charge limitée sur le profil utilisateur.

Remarque: Ce document utilise l'authentification de LEAP pour authentifier des utilisateurs. Cisco SAUTENT est vulnérable aux attaques par dictionnaire. Dans les réseaux en temps réel, plus des méthodes d'authentification sécurisées telles que l'EAP FAST devraient être utilisés. Puisque le centre du document est d'expliquer comment configurer par fonctionnalité d'ACL d'utilisateur, SAUTENT est utilisé pour la simplicité.

La section suivante fournit l'instruction pas à pas de configurer les périphériques pour cette installation.

Configurez

Avant que vous configuriez par caractéristique d'ACLs d'utilisateur, vous devez configurer le WLC pour le fonctionnement de base et enregistrer les recouvrements au WLC. Ce document suppose que WLC est configuré pour les opérations de base et que les LAP sont enregistrés au WLC. Si vous êtes un nouvel utilisateur, qui essaye d'installer le WLC pour le fonctionnement de base avec des recouvrements, référez-vous à l'enregistrement léger AP (RECOUVREMENT) à un contrôleur LAN Sans fil (WLC).

Une fois les recouvrements sont enregistrés, se terminent ces étapes pour configurer les périphériques pour cette installation :

  1. Configurez le contrôleur LAN Sans fil.

  2. Configurez le serveur de Cisco Secure ACS.

  3. Vérifier la configuration

Remarque: Ce document discute la configuration exigée du côté Sans fil. Le document suppose que la configuration de câble est en place.

Configurez le contrôleur LAN Sans fil

Sur le contrôleur LAN Sans fil, vous devez faire ceci :

Créez un VLAN pour les utilisateurs de sans fil

Afin de créer un VLAN pour les utilisateurs de sans fil, terminez-vous ces étapes.

  1. Allez à l'interface graphique WLC et choisissez Controller > Interfaces. La fenêtre Interfaces apparaît. Cette fenêtre liste les interfaces qui sont configurées sur le contrôleur.

  2. Afin de créer une nouvelle interface dynamique, cliquez sur New.

  3. Dans la nouvelle fenêtre > Interfaces, entrez le nom de l'interface et l'ID VLAN. Cliquez ensuite sur Apply. Dans cet exemple, l'interface dynamique est nommée Bureau-VLAN, et l'ID DE VLAN est assigné 20.

    /image/gif/paws/98590/Per-User-ACL-WLC-2.gif

  4. Dans la fenêtre Interfaces > Edit , entrez l'adresse IP, le masque de sous-réseau et la passerelle par défaut pour l'interface dynamique. Attribuez-la à un port physique sur le WLC et entrez l'adresse IP sur le serveur DHCP. Cliquez ensuite sur Apply.

    Per-User-ACL-WLC-3.gif

    Pour cet exemple, ces paramètres sont utilisés pour l'interface Bureau-VLAN :

    Office-VLAN
    	IP address: 172.16.1.25
    	Netmask: 255.255.0.0
    	Default gateway: 172.16.1.75 (sub-interface on Router R1)
    	Port on WLC: 1
    	DHCP server: 172.16.1.75 
    

Configurez le WLC pour authentifier avec le Cisco Secure ACS

Le WLC doit être configuré afin d'expédier les identifiants utilisateurs à un serveur RADIUS externe (dans ce cas, le Cisco Secure ACS). Le serveur de RAYON alors valide les identifiants utilisateurs et renvoie l'attribut de nom d'ACL au WLC sur l'authentification réussie de l'utilisateur de sans fil.

Terminez-vous ces étapes afin de configurer le WLC pour le serveur de RAYON :

  1. Sélectionnez Security et RADIUS Authentication depuis la GUI du contrôleur pour afficher la page des serveurs d'authentification RADIUS. Cliquez alors sur New afin de définir un serveur RADIUS.

  2. Définissez les paramètres du serveur RADIUS sur la page RADIUS Authentication Servers > New . Ces paramètres incluent l'adresse IP du serveur RADIUS, secret partagé, numéro de port et état du serveur.

    /image/gif/paws/98590/Per-User-ACL-WLC-4.gif

  3. Les cases à cocher d'utilisateur du réseau et de gestion déterminent si l'authentification basée sur RADIUS s'applique pour la gestion et les utilisateurs du réseau. Cet exemple utilise Cisco Secure ACS comme serveur RADIUS avec l'adresse IP 10.77.244.196. Cliquez sur Apply.

Créez un nouveau WLAN pour les utilisateurs de sans fil

Ensuite, vous devez créer un WLAN auquel les utilisateurs de sans fil peuvent se connecter. Afin de créer un nouveau WLAN, terminez-vous ces étapes :

  1. Du GUI Sans fil de contrôleur LAN, clic WLAN. Cette page énumère les WLAN qui existent sur le contrôleur.

  2. Sélectionnez New afin de créer un nouveau WLAN. Écrivez l'ID de WLAN, le nom de profil, et le WLAN SSID pour le WLAN, et cliquez sur Apply. Pour cette installation, créez un bureau WLAN.

    /image/gif/paws/98590/Per-User-ACL-WLC-5.gif

  3. Une fois que vous avez créé un nouveau WLAN, la page WLAN > Edit du nouveau WLAN apparaît. En cette page, vous pouvez définir de divers paramètres spécifiques à ce WLAN qui inclut des stratégies générales, la Sécurité, le QoS, et des paramètres avancés.

    /image/gif/paws/98590/Per-User-ACL-WLC-6.gif

    Vérifiez l'état WLAN dans le cadre des stratégies générales afin d'activer le WLAN. Choisissez l'interface appropriée du menu déroulant. Dans cet exemple, utilisez le Bureau-VLAN d'interface. Les autres paramètres à cette page peuvent être modifiés ont basé sur la condition requise du réseau WLAN.

  4. Choisissez la Sécurité tableau choisissent le 802.1x du menu déroulant de degré de sécurité de la couche 2 (puisque c'est une authentification de LEAP). Choisissez la taille appropriée de clé WEP sous des paramètres de 802.1x.

    /image/gif/paws/98590/Per-User-ACL-WLC-7.gif

  5. Sous l'onglet Sécurité, choisissez le sous-titre-onglet de serveur d'AAA. Choisissez le serveur d'AAA qui est utilisé pour authentifier des clients sans fil. Dans cet exemple, serveur ACS 10.77.244.196 d'utilisation pour authentifier des clients sans fil.

    /image/gif/paws/98590/Per-User-ACL-WLC-8.gif

  6. Choisissez l'onglet Avancé. Allow AAA Override de contrôle pour configurer le dépassement de stratégie d'utilisateur par l'AAA sur un RÉSEAU LOCAL Sans fil.

    /image/gif/paws/98590/Per-User-ACL-WLC-9.gif

    Quand le dépassement d'AAA est activé, et un client a l'AAA contradictoire et les paramètres Sans fil d'authentification de RÉSEAU LOCAL de contrôleur LAN Sans fil de Cisco, alors l'authentification client est exécutée par le serveur d'AAA. En tant qu'élément de cette authentification, le système d'exploitation déplace les clients du RÉSEAU LOCAL Sans fil VLAN de solution par défaut de LAN sans fil Cisco à un VLAN retourné par le serveur d'AAA et prédéfini en configuration d'interface Sans fil de contrôleur LAN de Cisco, qui happenswhen seulement configuré pour le filtrage MAC, le 802.1X, et/ou l'exécution WPA. Dans des tous les cas, le système d'exploitation utilise également QoS, des valeurs de balise de DSCP, prioritaire 802.1p et ACL fourni par le serveur d'AAA, tant que ils sont prédéfinis en configuration d'interface Sans fil de contrôleur LAN de Cisco.

  7. Choisissez les autres paramètres basés sur les conditions requises du réseau. Cliquez sur Apply.

Définissez l'ACLs pour les utilisateurs

Vous devez créer deux ACLs pour cette installation :

  • ACL1 : Afin de permettre d'accéder à User1 au serveur 172.16.1.100 seulement

  • ACL2 : Afin de permettre d'accéder à User2 au serveur 172.16.1.50 seulement

Terminez-vous ces étapes pour configurer l'ACLs sur le WLC :

  1. Du GUI WLC, choisissez la Sécurité > les listes de contrôle d'accès. La page de listes de contrôle d'accès paraît. Cette page répertorie l'ACLs qui sont configurés sur le WLC. Il te permet également d'éditer ou retirer ACLs l'un des. Afin de créer un nouvel ACL, cliquez sur New.

  2. Cette page te permet pour créer nouvel ACLs. Écrivez le nom de l'ACL et cliquez sur Apply. Une fois que l'ACL est créé, cliquez sur Edit afin de créer des règles pour l'ACL.

  3. User1 doit pouvoir au serveur d'accès 172.16.1.100 seulement et doit être refusé l'accès à tous autres périphériques. Pour ceci, vous devez définir ces règles.

    Référez-vous à l'ACLs sur l'exemple Sans fil de configuration de contrôleur LAN pour plus d'informations sur la façon configurer ACLs sur les contrôleurs LAN Sans fil.

    Per-User-ACL-WLC-10.gif

  4. De même, vous devez créer un ACL pour User2, qui permet l'accès User2 au serveur 172.16.1.50 seulement. C'est l'ACL exigé pour User2.

    /image/gif/paws/98590/Per-User-ACL-WLC-11.gif

    Vous avez maintenant configuré le contrôleur LAN Sans fil pour cette installation. L'étape suivante est de configurer le Cisco Secure Access Control Server pour authentifier les clients sans fil et pour renvoyer l'attribut de nom d'ACL au WLC sur l'authentification réussie.

Configurez le serveur de Cisco Secure ACS

Pour que le Cisco Secure ACS puisse authentifier des clients sans fil, vous devez se terminer ces étapes :

Configurez le contrôleur LAN Sans fil en tant que client d'AAA sur le Cisco Secure ACS

Afin de configurer le contrôleur LAN Sans fil en tant que client d'AAA sur le Cisco Secure ACS, terminez-vous ces étapes :

  1. Cliquez sur Network Configuration > ajoutez le client d'AAA. La page de client d'AAA d'ajouter paraît. En cette page, définissez le nom de système WLC, adresse IP d'interface de gestion, secret partagé, et l'authentifiez utilisant le rayon Airespace. Voici un exemple :

    /image/gif/paws/98590/Per-User-ACL-WLC-12.gif

    Remarque: Le secret partagé configuré sur le Cisco Secure ACS doit apparier le secret partagé configuré sur le WLC sous le RADIUS Authentication Servers > New.

  2. Clic Submit+Apply.

Configurez les utilisateurs et le profil utilisateur sur le Cisco Secure ACS

Afin de configurer des utilisateurs sur le Cisco Secure ACS, terminez-vous ces étapes :

  1. Choisissez User Setup depuis l'interface graphique ACS, entrez le nom d'utilisateur et cliquez sur Add/Edit. Dans cet exemple, l'utilisateur est User1.

    Per-User-ACL-WLC-13.gif

  2. Quand la page d'installation utilisateur paraît, définissez tous les paramètres spécifiques à l'utilisateur. Dans cet exemple, le nom d'utilisateur, le mot de passe, les informations utilisateur supplémentaires, et les attributs RADIUS sont configurés parce que vous avez besoin seulement de ces paramètres pour l'authentification EAP.

    /image/gif/paws/98590/Per-User-ACL-WLC-14.gif

    Faites descendre l'écran jusqu'à ce que vous voyiez le Cisco Airespace RADIUS Attributes spécifique à l'utilisateur. Vérifiez l'Aire-ACL-nom pour permettre à l'ACS de renvoyer le nom d'ACL au WLC avec la réponse réussie d'authentification. Pour User1, créez un ACL User1 sur le WLC. Entrez le nom d'ACL comme User1.

    /image/gif/paws/98590/Per-User-ACL-WLC-15.gif

  3. Répétez la même procédure pour créer User2 qu'affiché ici.

    /image/gif/paws/98590/Per-User-ACL-WLC-16.gif

    Per-User-ACL-WLC-17.gif

    Per-User-ACL-WLC-18.gif

  4. Cliquez sur System Configuration et sur Global Authentication Setup, afin de vous assurer que le serveur d'authentification est configuré pour exécuter la méthode d'authentification EAP souhaitée. Dans les paramètres de configuration EAP, sélectionnez la méthode EAP appropriée. Cet exemple utilise l'authentification LEAP. Cliquez sur Submit lorsque vous avez terminé.

    /image/gif/paws/98590/Per-User-ACL-WLC-19.gif

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Essayez d'associer un client sans fil avec AP léger avec l'authentification de LEAP afin de vérifier si la configuration fonctionne comme prévu.

Remarque: ce document suppose que le profil client est configuré pour l'authentification LEAP. Reportez-vous à la section Utilisation de l'authentification EAP pour plus d'informations sur le mode de configuration de l'adaptateur client sans fil 802.11 a/b/g pour l'authentification LEAP.

Une fois le profil du client sans fil activé, l'utilisateur est invité à fournir le nom d'utilisateur/mot de passe pour l'authentification LEAP. C'est ce qui se produit quand User1 essaye d'authentifier au RECOUVREMENT.

/image/gif/paws/98590/Per-User-ACL-WLC-20.gif

Le point d'accès léger, puis le WLC, transmettent les identifiants de l'utilisateur au serveur RADIUS externe (Cisco Secure ACS) afin de valider les identifiants. Le serveur de RAYON compare les données à la base de données utilisateur et, sur l'authentification réussie, renvoie le nom d'ACL configuré pour l'utilisateur au WLC. Dans ce cas, l'ACL User1 est retourné au WLC.

Per-User-ACL-WLC-21.gif

Le contrôleur LAN Sans fil s'applique cet ACL à User1. Cette sortie de ping prouve qu'User1 peut accéder à seulement le serveur 172.16.1.100, mais non n'importe quel autre périphérique.

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Reply from 172.16.1.100: bytes=32 time=3ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 3ms, Average = 1ms

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

De même, quand les essais User2 pour accéder au WLAN, le serveur de RAYON, sur l'authentification réussie, renvoie l'ACL User2 au WLC.

/image/gif/paws/98590/Per-User-ACL-WLC-22.gif

Per-User-ACL-WLC-23.gif

Le contrôleur LAN Sans fil s'applique cet ACL à User2. Cette sortie de ping prouve qu'User2 peut accéder à seulement le serveur 172.16.1.50, mais non n'importe quel autre périphérique.

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Reply from 172.16.1.50: bytes=32 time=3ms TTL=255
Reply from 172.16.1.50: bytes=32 time=18ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 18ms, Average = 5ms

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Sur le contrôleur LAN Sans fil, vous pouvez également employer ces commandes de débogage afin de dépanner l'authentification d'AAA

  • le debug aaa tout activent — Configure le débogage de tous les messages d'AAA

  • enable de paquet de debug dot1x — Active le débogage de tous les paquets de dot1x

  • mettez au point le client < adresse MAC > — Active l'élimination des imperfections de client sans fil

Voici un exemple du debug aaa toute la commande d'enable

Remarque: Certaines des lignes dans la sortie ont été déplacées à la deuxième ligne due aux contraintes de l'espace.

Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState..............00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet 
   (id 1) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 01 00 d0 2d 34 f5 99  b4 19 27 28 eb 5f 35 9c  
   ....-4....'(._5.
Thu Aug 16 14:42:54 2007: 00000010: 8f a9 00 dd 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ......user1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office-TSWEB..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 27 02  
   ...A.....Q.20O'.
Thu Aug 16 14:42:54 2007: 00000090: 01 00 25 11 01 00 18 1d  87 9d 0b f9 dd e5 39 0d  
   ..%...........9.
Thu Aug 16 14:42:54 2007: 000000a0: 2e 82 eb 17 c6 23 b7 96  dc c3 55 ff 7c 51 4e 75  
   .....#....U.|QNu
Thu Aug 16 14:42:54 2007: 000000b0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000c0: 1a d5 3b 35 5e 93 11 c0  c6 2f 5e f5 65 e9 3e 2d  
   ..;5^..../^.e.>-
Thu Aug 16 14:42:54 2007: 00000000: 0b 01 00 36 8c 31 6a b4  27 e6 d4 0e 1b 8e 5d 19  
   ...6.1j.'.....].
Thu Aug 16 14:42:54 2007: 00000010: 60 1c c2 16 4f 06 03 01  00 04 18 0a 53 56 43 3d
   ...O.......SVC=
Thu Aug 16 14:42:54 2007: 00000020: 30 2e 31 3b 50 12 6c fb  90 ec 48 9b fb d7 ce ca  
   0.1;P.l...H.....
Thu Aug 16 14:42:54 2007: 00000030: 3b 64 93 10 fe 09      ;d....
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=11
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=11
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Challenge received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............104
Thu Aug 16 14:42:54 2007:       resultCode...............255
Thu Aug 16 14:42:54 2007:       protocolUsed............0x00000001
Thu Aug 16 14:42:54 2007:       proxyState...............
   00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 3 AVPs (not shown)
Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState.........................
   00:40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet (id 2) to 10.77.244.196:1812, 
proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 02 00 c0 38 b6 b2 20  ff 5b f2 16 64 df 02 61  
   ....8....[..d..a
Thu Aug 16 14:42:54 2007: 00000010: cf f5 93 4b 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ...K..User1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 17 01  
   ...A.....Q.20O..
Thu Aug 16 14:42:54 2007: 00000090: 01 00 15 11 01 00 08 0f  14 05 65 1b 28 61 c9 75  
   ..........e.(a.u
Thu Aug 16 14:42:54 2007: 000000a0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000b0: 05 ba 6b af fe a4 b0 d1  a2 94 f8 39 80 ca 3c 96  
   ..k........9..<.
Thu Aug 16 14:42:54 2007: 00000000: 02 02 00 ce c9 3d 5d c8  6c 07 8e fb 58 84 8d f6  
   .....=].l...X...
Thu Aug 16 14:42:54 2007: 00000010: 33 6d 93 21 08 06 ff ff  ff ff 4f 27 02 01 00 25  
   3m.!......O'...%
Thu Aug 16 14:42:54 2007: 00000020: 11 01 00 18 e5 e5 31 1e  33 b5 4e 69 90 e7 84 25  
   ......1.3.Ni...%
Thu Aug 16 14:42:54 2007: 00000030: 42 a9 20 ac 84 33 9f 87  ca dc c9 b3 75 73 65 72  
   B....3......user
Thu Aug 16 14:42:54 2007: 00000040: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 73 65  
   1.;.....5leap:se
Thu Aug 16 14:42:54 2007: 00000050: 73 73 69 6f 6e 2d 6b 65  79 3d 29 80 1d 2c 1c 85  
   ssion-key=)..,..
Thu Aug 16 14:42:54 2007: 00000060: db 1c 29 7e 40 8a b8 93  69 2a 55 d2 e5 46 89 8b  
   ..)~@...i*U..F..
Thu Aug 16 14:42:54 2007: 00000070: 2c 3b 65 49 3e 44 cf 7e  95 29 47 54 1a 1f 00 00  
   ,;eI>D.~.)GT....
Thu Aug 16 14:42:54 2007: 00000080: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 74 79  
   ....auth-algo-ty
Thu Aug 16 14:42:54 2007: 00000090: 70 65 3d 65 61 70 2d 6c  65 61 70 1a 0d 00 00 37  
   pe=eap-leap....7
Thu Aug 16 14:42:54 2007: 000000a0: 63 06 07 55 73 65 72 31  19 14 43 41 43 53 3a 30  
   c..User1..CACS:0
Thu Aug 16 14:42:54 2007: 000000b0: 2f 39 2f 61 34 64 66 34  64 32 2f 31 50 12 9a 71  
   /9/a4df4d2/1P..q
Thu Aug 16 14:42:54 2007: 000000c0: 09 99 7d 74 89 ad af e5  c8 b1 71 94 97 d1      
   ..}t......q...
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=2
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=2
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Accept received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............236
Thu Aug 16 14:42:54 2007:       resultCode...............0
Thu Aug 16 14:42:54 2007:       protocolUsed.............0x0
0000001
Thu Aug 16 14:42:54 2007:       proxyState...............00:
40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:  Packet contains 6 AVPs:
Thu Aug 16 14:42:54 2007:  AVP[01] Framed-IP-Address..........0xffffffff (-1) 
   (4 bytes)
Thu Aug 16 14:42:54 2007:  AVP[02] EAP-Message................DATA (37 bytes)
Thu Aug 16 14:42:54 2007:  AVP[03] Cisco / LEAP-Session-Key...DATA (16 bytes)
Thu Aug 16 14:42:54 2007:  AVP[04] Airespace / ACL-Name.......User1 (5 bytes)
Thu Aug 16 14:42:54 2007:  AVP[05] Class......................CACS:0/9/a4df4d2/1 
   (18 bytes)
Thu Aug 16 14:42:54 2007:  AVP[06] Message-Authenticator......DATA (16 bytes)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Applying new AAA override 
   for station 00:40:96:af:3e:93
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Override values 
   for station 00:40:96:af:3e:93
                source: 4, valid bits: 0x400
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1

dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                       vlanIfName: '',
aclName:User1
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
   Inserting new RADIUS override into chain for station 00:40:96:af:3e:93

Vous pouvez employer une combinaison de la commande récapitulative de show wlan afin d'identifier lesquels de vos WLAN utilisent l'authentification de serveur de RAYON. Alors vous pouvez visualiser la commande de show client summary afin de voir quelles adresses MAC (clients) sont avec succès authentifié sur le RAYON WLAN. Vous pouvez également comparer ces résultats avec vos journaux des tentatives réussies et échouées Cisco Secure ACS.

Cisco recommande que vous testiez vos configurations d'ACL avec un client sans fil afin de s'assurer que vous les avez configurées correctement. S'ils n'opèrent pas correctement, vérifiez l'ACLs sur la page Web d'ACL et le vérifiez que vos modifications d'ACL ont été appliquées à l'interface du contrôleur.

Vous pouvez également employer ces commandes show afin de vérifier votre configuration :

  • résumé de show acl — Afin d'afficher l'ACLs qui sont configurés sur le contrôleur, utilisez la commande de résumé de show acl.

Voici un exemple :

(Cisco Controller) >show acl summary

ACL Name                         Applied
-------------------------------- -------
User1                                  Yes
User2                                  Yes

  • <ACL_Name> détaillé de show acl — Affiche les informations détaillées sur l'ACLs configuré.

    Voici un exemple :

    Remarque: Certaines des lignes dans la sortie ont été déplacées à la deuxième ligne due aux contraintes de l'espace.

    Cisco Controller) >show acl detailed User1
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP   Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ----    ------
     1  In      172.16.0.0/255.255.0.0        172.16.1.100/255.255.255.255  
       Any  0-65535       0-65535   Any    Permit
     2 Out    172.16.1.100/255.255.255.255      172.16.0.0/255.255.0.0      
       Any  0-65535       0-65535   Any    Permit
    
    
    (Cisco Controller) >show acl detailed User2
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ---- ------
    1  In      172.16.0.0/255.255.0.0         172.16.1.50/255.255.255.255  
       Any   0-65535       0-65535    Any  Permit
    2 Out     172.16.1.50/255.255.255.255      172.16.0.0/255.255.0.0      
       Any   0-65535       0-65535    Any  Permit
  • show client detail < adresse MAC du client> - Affiche les informations détaillées au sujet du client sans fil.

Conseils de dépannage

Employez ces conseils pour dépanner :

  • Vérifiez sur le contrôleur que le serveur de RAYON est dans l'état active, et pas en état d'alerte ou désactivé.

  • Sur le contrôleur, contrôle si le serveur de RAYON est choisi du menu déroulant du WLAN (SSID).

  • Vérifiez que le serveur RADIUS reçoit et valide la demande d'authentification du client sans fil.

  • Pour ce faire, vérifiez les rapports Passed Authentications et Failed Attempts sur le serveur ACS pour savoir si l'authentification a réussi ou échoué. Ces rapports sont disponibles sous l'option Reports and Activities sur le serveur ACS.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 98590