无线 : 思科 4400 系列无线局域网控制器

每个用户ACL与无线局域网控制器和Cisco Secure ACS配置示例

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 12 月 20 日) | 反馈


目录


简介

本文通过示例解释如何创建在WLCs的访问控制列表(ACL)和应用他们对用户从属在RADIUS授权。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 基础知识如何配置Cisco Secure ACS服务器验证无线客户端

  • Cisco Aironet轻量级接入点(拉普)和Cisco无线LAN控制器(WLCs)的配置的知识

  • Cisco Unified无线安全解决方法知识

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行版本5.0.148.0的Cisco 4400系列无线局域网控制器

  • Cisco Aironet 1231系列轻量级接入点(膝部)

  • Cisco Aironet 802.11 a/b/g运行版本3.6的Cisco无线LAN客户端适配器

  • Cisco Aironet Desktop Utility 版本 3.6

  • Cisco Secure ACS 服务器版本 4.1

  • 运行IOS�版本12.4(11)T的Cisco 2800系列集成业务路由器

  • Cisco运行版本12.0(5)WC3b的Catalyst 2900XL系列交换机

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

每用户访问控制表(ACL)是思科标识网络的一部分。Cisco无线LAN解决方案支持标识网络,而允许网络通告单个SSID,也允许特定用户继承根据他们的用户配置文件的不同的策略。

每用户ACL功能提供能力应用在无线局域网控制器配置的ACL对根据RADIUS授权的用户。这用Airespace ACL名称Vendor Specific Attribute (VSA)完成。

此属性指示将应用的ACL名称对客户端。当ACL属性是存在RADIUS访问时请接受,系统运用ACL名称到客户端工作站,在验证后。这撤销的所有ACL都被分配到接口上。它忽略已分配接口ACL并且应用新的。

ACL名称属性格式的摘要下面显示。字段从左到右传送

 0                   1                   2                   3 
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|     Type      |  Length       |            Vendor-Id 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
     Vendor-Id (cont.)          | Vendor type   | Vendor length | 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|        ACL Name... 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 
• Type - 26 for Vendor-Specific 
• Length - >7 
• Vendor-Id - 14179 
• Vendor type - 6 
• Vendor length - >0 
• Value - A string that includes the name of the ACL to use for the client. 
   The string is case sensitive. 

关于Cisco Unified无线网络标识网络的更多信息,参考配置安全问题解决方案的本文的配置的标识网络部分。

网络图

本文档使用以下网络设置:

在此设置,无线局域网控制器WLC和LAP在部门A和部门B.中用于为用户提供无线服务。所有无线用户使用一个普通的WLAN (SSID)办公室访问网络并且是在VLAN Office-vlan。

Per-User-ACL-WLC-1.gif

Cisco Secure ACS服务器用于验证无线用户。EAP验证用于验证用户。WLC、LAP和Cisco Secure ACS服务器用第二层交换机连接如显示。

路由器R1通过第二层交换机连接在有线的侧的服务器如显示。路由器R1也作为DHCP服务器,提供IP地址给从子网172.16.0.0/16的无线客户端。

您需要配置设备,以便这发生:

从部门A的User1访问仅服务器172.16.1.100

从部门B的User2访问仅服务器172.16.1.50

为了完成此,您需要创建在WLC的2个ACL :一User1的和其他User2的。一旦ACL创建,您需要配置Cisco Secure ACS服务器返回ACL名称属性到WLC在无线用户的成功认证。WLC然后应用ACL给用户,并且因而对网络是限制的从属在用户配置文件。

注意: 本文使用LEAP认证验证用户。Cisco LEAP易受到词典攻击。在实时网络中,应该使用更多安全认证方法例如EAP法塞特。因为本文的焦点是解释如何每用户ACL功能配置, LEAP使用的为了简化。

下一部分提供逐步指导配置此设置的设备。

配置

在您配置每用户ACL功能前,您必须配置基本操作的WLC和注册拉普到WLC。本文档假设已配置 WLC 进行基本操作,并且已在 WLC 中注册 LAP。如果是新用户,设法设置基本操作的WLC与拉普,参考轻量AP (LAP)注册到无线局域网控制器(WLC)

一旦拉普注册,请完成这些步骤配置此设置的设备:

  1. 配置无线局域网控制器。

  2. 配置Cisco Secure ACS服务器。

  3. 验证配置。

注意: 本文讨论在无线侧要求的配置。本文假设,有线的配置到位。

配置无线局域网控制器

在无线局域网控制器上,您需要执行此:

创建无线用户的VLAN

为了创建无线用户的VLAN,请完成这些步骤。

  1. 转到 WLC GUI,然后选择 Controller > Interfaces。此时会显示“Interfaces”窗口。此窗口中会列出在控制器上配置的接口。

  2. 单击 New 创建新的动态接口。

  3. 在“Interfaces”>“New”窗口中的“Interface Name”和“VLAN ID”中输入相应信息。然后单击 Apply。在本例中,动态接口被命名Office-VLAN,并且VLAN ID分配20。

    /image/gif/paws/98590/Per-User-ACL-WLC-2.gif

  4. Interfaces > Edit 窗口中,输入动态接口的 IP 地址、子网掩码和默认网关。将它分配到 WLC 上的某个物理端口,再输入 DHCP 服务器的 IP 地址。然后单击 Apply

    Per-User-ACL-WLC-3.gif

    对于此示例,这些参数使用VLAN接口:

    Office-VLAN
    	IP address: 172.16.1.25
    	Netmask: 255.255.0.0
    	Default gateway: 172.16.1.75 (sub-interface on Router R1)
    	Port on WLC: 1
    	DHCP server: 172.16.1.75 
    

配置WLC验证与Cisco Secure ACS

WLC需要配置为了转发用户凭证到外部RADIUS服务器(在这种情况下, Cisco Secure ACS)。RADIUS服务器然后验证用户凭证并且返回ACL名称属性对WLC在无线用户的成功认证。

完成这些步骤为了配置RADIUS服务器的WLC :

  1. 从控制器的 GUI 中选择安全性和“RADIUS 身份验证”,以便显示“RADIUS 身份验证服务器”页。然后,单击新建定义 RADIUS 服务器。

  2. RADIUS 身份验证服务器 > 新建页中定义 RADIUS 服务器参数。这些参数包括 RADIUS 服务器的 IP 地址、共享密钥、端口号和服务器状态。

    /image/gif/paws/98590/Per-User-ACL-WLC-4.gif

  3. “网络用户”和“管理”复选框决定基于 RADIUS 的身份验证是否适用于管理和网络用户。此示例使用Cisco Secure ACS作为IP地址为10.77.244.196的 RADIUS服务器。单击 Apply

创建无线用户的新的WLAN

其次,您需要创建无线用户能连接的WLAN。为了创建一新的WLAN,请完成这些步骤:

  1. 从无线局域网控制器GUI,请点击WLAN。此页列出了控制器上现有的 WLAN。

  2. 选择新建创建新的 WLAN。进入WLAN ID、配置文件名称和WLAN SSID WLAN的,并且单击应用。对于此设置,请创建WLAN办公室

    /image/gif/paws/98590/Per-User-ACL-WLC-5.gif

  3. 创建新 WLAN 后,就会显示新 WLAN 的 WLAN > Edit 页。在此页,包括一般策略、安全、QoS和先进的参数的您能定义多种参数特定对此WLAN。

    /image/gif/paws/98590/Per-User-ACL-WLC-6.gif

    根据一般策略检查WLAN状态为了启用WLAN。从下拉菜单选择适当的接口。在本例中,请使用接口Office-vlan。可以修改在此页的其他参数根据WLAN网络的需求。

  4. 选择 Security 选项卡。(因为这是LEAP认证),请从第2层安全下拉菜单选择802.1x。选择适当的WEP密钥大小在802.1x参数下。

    /image/gif/paws/98590/Per-User-ACL-WLC-7.gif

  5. 在安全选项卡下,请选择AAA服务器子选项卡。选择用于验证无线客户端的AAA服务器。在本例中,请使用ACS服务器10.77.244.196验证无线客户端。

    /image/gif/paws/98590/Per-User-ACL-WLC-8.gif

  6. 选择高级选项卡。检查允许AAA覆盖通过在无线局域网的AAA配置用户策略覆盖。

    /image/gif/paws/98590/Per-User-ACL-WLC-9.gif

    当AAA覆盖启用时,并且客户端有相冲突的AAA和Cisco无线LAN控制器无线局域网验证参数,然后客户端验证由AAA服务器进行。作为此验证一部分,操作系统切换从默认Cisco无线LAN解决方案无线局域网VLAN的客户端向在Cisco无线LAN控制器接口配置里返回由AAA服务器和预定义的VLAN,只happenswhen已配置的过滤的MAC的, 802.1X,并且/或者WPA操作。在任何情况下,只要他们在Cisco无线LAN控制器接口配置里,预定义操作系统也使用QoS、DSCP, 802.1p AAA服务器提供的优先级标签值和ACL。

  7. 选择根据网络的需求的其他参数。单击 Apply

定义用户的ACL

您需要创建此设置的两个ACL :

  • ACL1 :为了提供存取对于User1给服务器仅172.16.1.100

  • ACL2 :为了提供存取对于User2给服务器仅172.16.1.50

完成这些步骤配置在WLC的ACL :

  1. 从 WLC GUI 中,选择 Security > Access Control Lists。出现 Access Control Lists 页。此页列出了在 WLC 上配置的 ACL。您也可以利用它编辑或删除其中任一 ACL。要创建新的 ACL,请单击 New

  2. 此页允许您创建新建的ACL。输入 ACL 的名称并单击 Apply。创建 ACL 后,单击 Edit 创建 ACL 的规则。

  3. User1需要能对接入服务器仅172.16.1.100并且必须是拒绝访问到所有其它设备。对于此,您需要定义这些规则。

    参考在无线局域网控制器配置示例的ACL关于如何配置在无线局域网控制器的ACL的更多信息。

    Per-User-ACL-WLC-10.gif

  4. 同样地,您需要创建User2的ACL,允许对服务器仅172.16.1.50的User2访问。这是为User2要求的ACL。

    /image/gif/paws/98590/Per-User-ACL-WLC-11.gif

    您当前配置此设置的无线局域网控制器。下一步是配置思科安全访问控制服务器验证无线客户端和返回ACL名称属性到WLC在成功认证。

配置Cisco Secure ACS服务器

对于的Cisco Secure ACS能验证无线客户端,您需要完成这些步骤:

配置无线局域网控制器作为Cisco Secure ACS的AAA客户端

为了配置无线局域网控制器作为Cisco Secure ACS的一个AAA客户端,请完成这些步骤:

  1. 点击Network Configuration >添加AAA客户端添加AAA客户端页出版。使用Radius Airespace,在此页,请定义WLC系统名称,管理接口IP地址,共享塞克雷,并且验证。示例如下:

    /image/gif/paws/98590/Per-User-ACL-WLC-12.gif

    注意: 在Cisco Secure ACS配置的共享机密必须匹配在WLC配置的共享机密在RADIUS验证服务器>New下

  2. 单击 Submit+Apply

配置用户和用户配置文件在Cisco Secure ACS

为了配置Cisco Secure ACS的用户,请完成这些步骤:

  1. 从 ACS GUI 中选择 User Setup,输入用户名,然后单击 Add/Edit。在本例中,用户为 user1

    Per-User-ACL-WLC-13.gif

  2. User Setup页出现时,请定义所有参数特定对用户。在本例中,因为您只需要EAP验证的,这些参数用户名、密码、附加用户信息和RADIUS属性配置。

    /image/gif/paws/98590/Per-User-ACL-WLC-14.gif

    请移下来,直到您看到思科Airespace RADIUS属性特定对用户。检查Aire-ACL名称使ACS返回ACL名称到WLC与成功认证答复一起。对于User1,请创建在WLC的一ACL User1。输入ACL名称作为User1。

    /image/gif/paws/98590/Per-User-ACL-WLC-15.gif

  3. 重复同一个步骤创建User2象显示此处。

    /image/gif/paws/98590/Per-User-ACL-WLC-16.gif

    Per-User-ACL-WLC-17.gif

    Per-User-ACL-WLC-18.gif

  4. 单击 System Configuration 和 Global Authentication Setup 以确保将身份验证服务器配置为执行期望的 EAP 身份验证方法。在 EAP 配置设置下,选择相应的 EAP 方法。本例使用 LEAP 身份验证。完成后,单击 Submit

    /image/gif/paws/98590/Per-User-ACL-WLC-19.gif

验证

使用本部分可确认配置能否正常运行。

设法连结无线客户端与与LEAP认证的轻量AP为了验证配置是否工作正如所料。

注意: 本文档假定为 LEAP 身份验证配置了客户端配置文件。有关如何为 LEAP 身份验证配置 802.11 a/b/g 无线客户端适配器的详细信息,请参阅使用 EAP 身份验证

激活无线客户端的配置文件后,即要求用户提供 LEAP 身份验证的用户名/密码。这是发生了什么,当User1设法验证到LAP。

/image/gif/paws/98590/Per-User-ACL-WLC-20.gif

轻量 AP 和 WLC 先后将用户凭据传递给外部 RADIUS 服务器(Cisco 安全 ACS)以验证凭据。RADIUS服务器数据与用户数据库比较,并且,在成功认证,返回为用户配置的ACL名称对WLC。在这种情况下, ACL User1返回对WLC。

Per-User-ACL-WLC-21.gif

无线局域网控制器应用此ACL对User1。此ping输出显示User1能访问仅服务器172.16.1.100,但是没有任何其它设备。

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Reply from 172.16.1.100: bytes=32 time=3ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 3ms, Average = 1ms

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

同样地,当User2设法访问WLAN时, RADIUS服务器,在成功认证,返回ACL User2对WLC。

/image/gif/paws/98590/Per-User-ACL-WLC-22.gif

Per-User-ACL-WLC-23.gif

无线局域网控制器应用此ACL对User2。此ping输出显示User2能访问仅服务器172.16.1.50,但是没有任何其它设备。

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Reply from 172.16.1.50: bytes=32 time=3ms TTL=255
Reply from 172.16.1.50: bytes=32 time=18ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 18ms, Average = 5ms

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

故障排除

本部分提供的信息可用于对配置进行故障排除。

在无线局域网控制器上,您能也使用这些调试指令为了排除故障AAA认证

  • debug aaa全部启用—配置所有AAA消息调试

  • debug dot1x数据包enable (event) —启用所有dot1x数据包调试

  • 调试客户端< MAC地址> —启用无线客户端调试

这是示例debug aaa all enable命令

注意: 某些线路在输出中移动向第二行由于空间限制条件。

Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState..............00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet 
   (id 1) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 01 00 d0 2d 34 f5 99  b4 19 27 28 eb 5f 35 9c  
   ....-4....'(._5.
Thu Aug 16 14:42:54 2007: 00000010: 8f a9 00 dd 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ......user1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office-TSWEB..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 27 02  
   ...A.....Q.20O'.
Thu Aug 16 14:42:54 2007: 00000090: 01 00 25 11 01 00 18 1d  87 9d 0b f9 dd e5 39 0d  
   ..%...........9.
Thu Aug 16 14:42:54 2007: 000000a0: 2e 82 eb 17 c6 23 b7 96  dc c3 55 ff 7c 51 4e 75  
   .....#....U.|QNu
Thu Aug 16 14:42:54 2007: 000000b0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000c0: 1a d5 3b 35 5e 93 11 c0  c6 2f 5e f5 65 e9 3e 2d  
   ..;5^..../^.e.>-
Thu Aug 16 14:42:54 2007: 00000000: 0b 01 00 36 8c 31 6a b4  27 e6 d4 0e 1b 8e 5d 19  
   ...6.1j.'.....].
Thu Aug 16 14:42:54 2007: 00000010: 60 1c c2 16 4f 06 03 01  00 04 18 0a 53 56 43 3d
   ...O.......SVC=
Thu Aug 16 14:42:54 2007: 00000020: 30 2e 31 3b 50 12 6c fb  90 ec 48 9b fb d7 ce ca  
   0.1;P.l...H.....
Thu Aug 16 14:42:54 2007: 00000030: 3b 64 93 10 fe 09      ;d....
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=11
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=11
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Challenge received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............104
Thu Aug 16 14:42:54 2007:       resultCode...............255
Thu Aug 16 14:42:54 2007:       protocolUsed............0x00000001
Thu Aug 16 14:42:54 2007:       proxyState...............
   00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 3 AVPs (not shown)
Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState.........................
   00:40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet (id 2) to 10.77.244.196:1812, 
proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 02 00 c0 38 b6 b2 20  ff 5b f2 16 64 df 02 61  
   ....8....[..d..a
Thu Aug 16 14:42:54 2007: 00000010: cf f5 93 4b 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ...K..User1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 17 01  
   ...A.....Q.20O..
Thu Aug 16 14:42:54 2007: 00000090: 01 00 15 11 01 00 08 0f  14 05 65 1b 28 61 c9 75  
   ..........e.(a.u
Thu Aug 16 14:42:54 2007: 000000a0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000b0: 05 ba 6b af fe a4 b0 d1  a2 94 f8 39 80 ca 3c 96  
   ..k........9..<.
Thu Aug 16 14:42:54 2007: 00000000: 02 02 00 ce c9 3d 5d c8  6c 07 8e fb 58 84 8d f6  
   .....=].l...X...
Thu Aug 16 14:42:54 2007: 00000010: 33 6d 93 21 08 06 ff ff  ff ff 4f 27 02 01 00 25  
   3m.!......O'...%
Thu Aug 16 14:42:54 2007: 00000020: 11 01 00 18 e5 e5 31 1e  33 b5 4e 69 90 e7 84 25  
   ......1.3.Ni...%
Thu Aug 16 14:42:54 2007: 00000030: 42 a9 20 ac 84 33 9f 87  ca dc c9 b3 75 73 65 72  
   B....3......user
Thu Aug 16 14:42:54 2007: 00000040: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 73 65  
   1.;.....5leap:se
Thu Aug 16 14:42:54 2007: 00000050: 73 73 69 6f 6e 2d 6b 65  79 3d 29 80 1d 2c 1c 85  
   ssion-key=)..,..
Thu Aug 16 14:42:54 2007: 00000060: db 1c 29 7e 40 8a b8 93  69 2a 55 d2 e5 46 89 8b  
   ..)~@...i*U..F..
Thu Aug 16 14:42:54 2007: 00000070: 2c 3b 65 49 3e 44 cf 7e  95 29 47 54 1a 1f 00 00  
   ,;eI>D.~.)GT....
Thu Aug 16 14:42:54 2007: 00000080: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 74 79  
   ....auth-algo-ty
Thu Aug 16 14:42:54 2007: 00000090: 70 65 3d 65 61 70 2d 6c  65 61 70 1a 0d 00 00 37  
   pe=eap-leap....7
Thu Aug 16 14:42:54 2007: 000000a0: 63 06 07 55 73 65 72 31  19 14 43 41 43 53 3a 30  
   c..User1..CACS:0
Thu Aug 16 14:42:54 2007: 000000b0: 2f 39 2f 61 34 64 66 34  64 32 2f 31 50 12 9a 71  
   /9/a4df4d2/1P..q
Thu Aug 16 14:42:54 2007: 000000c0: 09 99 7d 74 89 ad af e5  c8 b1 71 94 97 d1      
   ..}t......q...
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=2
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=2
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Accept received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............236
Thu Aug 16 14:42:54 2007:       resultCode...............0
Thu Aug 16 14:42:54 2007:       protocolUsed.............0x0
0000001
Thu Aug 16 14:42:54 2007:       proxyState...............00:
40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:  Packet contains 6 AVPs:
Thu Aug 16 14:42:54 2007:  AVP[01] Framed-IP-Address..........0xffffffff (-1) 
   (4 bytes)
Thu Aug 16 14:42:54 2007:  AVP[02] EAP-Message................DATA (37 bytes)
Thu Aug 16 14:42:54 2007:  AVP[03] Cisco / LEAP-Session-Key...DATA (16 bytes)
Thu Aug 16 14:42:54 2007:  AVP[04] Airespace / ACL-Name.......User1 (5 bytes)
Thu Aug 16 14:42:54 2007:  AVP[05] Class......................CACS:0/9/a4df4d2/1 
   (18 bytes)
Thu Aug 16 14:42:54 2007:  AVP[06] Message-Authenticator......DATA (16 bytes)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Applying new AAA override 
   for station 00:40:96:af:3e:93
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Override values 
   for station 00:40:96:af:3e:93
                source: 4, valid bits: 0x400
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1

dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                       vlanIfName: '',
aclName:User1
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
   Inserting new RADIUS override into chain for station 00:40:96:af:3e:93

您能使用组合的show wlan summary命令为了认可哪些您的WLAN使用RADIUS服务器验证。然后您能查看summary命令显示的客户端为了发现哪些MAC地址(客户端)在RADIUS WLAN顺利地验证。也可以将此与 Cisco 安全 ACS 的 passed attempts 或 failed attempts 日志关联。

Cisco 建议您使用无线客户端测试您的 ACL 配置以确保正确配置。如果他们不能正确地经营,请验证在ACL网页的ACL并且验证您的ACL更改应用对控制器的接口。

您也可使用这些 show 命令验证您的配置:

  • show acl summary — 为了显示在控制器上配置的 ACL,请使用 show acl summary 命令

示例如下:

(Cisco Controller) >show acl summary

ACL Name                         Applied
-------------------------------- -------
User1                                  Yes
User2                                  Yes

  • 显示ACL被选派的<ACL_Name> —显示关于已配置的ACL的详细信息。

    示例如下:

    注意: 某些线路在输出中移动向第二行由于空间限制条件。

    Cisco Controller) >show acl detailed User1
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP   Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ----    ------
     1  In      172.16.0.0/255.255.0.0        172.16.1.100/255.255.255.255  
       Any  0-65535       0-65535   Any    Permit
     2 Out    172.16.1.100/255.255.255.255      172.16.0.0/255.255.0.0      
       Any  0-65535       0-65535   Any    Permit
    
    
    (Cisco Controller) >show acl detailed User2
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ---- ------
    1  In      172.16.0.0/255.255.0.0         172.16.1.50/255.255.255.255  
       Any   0-65535       0-65535    Any  Permit
    2 Out     172.16.1.50/255.255.255.255      172.16.0.0/255.255.0.0      
       Any   0-65535       0-65535    Any  Permit
  • 显示客户端client>的详细信息< MAC地址-显示关于无线客户端的详细信息。

故障排除提示

请使用这些提示排除故障:

  • 验证在控制器RADIUS服务器在活动状态和不在待机或禁用。

  • 在控制器上,检查RADIUS服务器是否从WLAN选择(SSID)的下拉菜单。

  • 检查 RADIUS 服务器是否从无线客户端接收并验证身份验证请求。

  • 检查 ACS 服务器上的 Passed Authentications 和 Failed Attempts 报告以完成此操作。在ACS服务器上的报表和活动下可获得这些报表。


相关信息


Document ID: 98590