无线 : 思科 4400 系列无线局域网控制器

使用 WLC 基于 ACS 对 Active Directory 组映射执行动态 VLAN 分配配置示例

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 12 月 20 日) | 反馈


目录


简介

本文解释如何验证使用Microsoftï ¿  ½ Windows激活目录(AD)数据库的无线客户端,如何配置AD组和思科安全访问控制服务器(ACS)组之间的组映射,并且分配已验证客户端对VLAN如何在被映射的ACS组动态地配置。本文档仅重点介绍 ACS 软件产品(而非 ACS 解决方案引擎)的 AD 组映射。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 基本了解无线局域网控制器 (WLC) 和轻量接入点 (LAP)

  • 了解 Cisco Secure ACS 的功能

  • 全面了解无线网络和无线安全问题

  • 了解有关动态 VLAN 分配的功能和配置知识

    有关详细信息,请参阅动态 VLAN 分配

  • 基本了解 Microsoft Windows AD 服务以及域控制器和 DNS 概念

  • 基本了解轻量接入点协议 (LWAPP)

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行固件 4.0.217.0 版本的 Cisco 2000 系列 WLC

  • Cisco 1000 系列 LAP Cisco 802.11a/b/g

  • 运行固件版本 3.6 的无线客户端适配器

  • 运行 3.6 版的 Cisco Aironet Desktop Utility (ADU)

  • 运行 4.1 版的 Cisco 安全 ACS

  • 配置为域控制器的 Microsoft Windows 2003 Server

  • 运行版本 12.1 的 Cisco 2950 系列交换机

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

用于 Windows 的 Cisco Secure ACS 版本 4.1 根据几个可能数据库(包括其内部数据库)中的一个对无线用户进行身份验证。您可以配置 ACS 以使用多种类型的数据库对用户进行身份验证。您可以配置 ACS 以将用户身份验证转发到一个或多个外部用户数据库。对外部用户数据库的支持意味着 ACS 不需要您在用户数据库中创建重复的用户条目。

无线用户可通过使用如下所示的几个外部数据库进行身份验证:

  • Windows 数据库

  • Novell NetWare 目录服务 (NDS)

  • 通用轻量目录访问协议 (LDAP)

  • 与开放式数据库连接 (ODBC) 兼容的关系数据库

  • LEAP 代理远程访问拨入用户服务 (RADIUS) 服务器

  • Rivest、Shamir 和 Adelman (RSA) SecurID 令牌服务器

  • 与 RADIUS 兼容的令牌服务器

ACS 身份验证和用户数据库兼容性表列出了 ACS 内部和外部数据库支持的各种身份验证协议。

本文档重点介绍对使用 Windows 外部数据库的无线用户进行身份验证的过程。

您可以配置 ACS 以通过下列两种方法之一使用外部用户数据库对用户进行身份验证:

  • 通过特定用户分配 - 您可以配置 ACS 以使用一个外部用户数据库对特定用户进行身份验证。要执行此操作,用户必须存在于 ACS 内部数据库中,并且您必须在 User Setup 中将 Password Authentication 列表设置为 ACS 应该用来对用户进行身份验证的外部用户数据库。

  • 通过未知用户策略 - 您可以配置 ACS 以通过使用外部用户数据库尝试对不在 ACS 内部数据库中的用户进行身份验证。对于此方法,您不需要在 ACS 内部数据库中定义新用户。

本文档重点介绍使用“未知用户策略”方法对无线用户进行身份验证的过程。

当 ACS 尝试根据 Windows 数据库对用户进行身份验证时,ACS 会将用户凭据转发到 Windows 数据库。Windows 数据库验证用户凭据,如果身份验证成功,则通知 ACS。

身份验证成功后,ACS 会从 Windows 数据库收集此用户的组信息。收到此组信息后,ACS 会将收集的 Windows 数据库组信息的用户与相应的映射 ACS 组关联,以实现向无线客户端分配动态 VLAN。简而言之,ACS 可以配置为将 Windows 数据库映射到 ACS 组并将通过身份验证的用户动态分配到在映射的 ACS 组中配置的 VLAN。

此外,在第一次成功的身份验证后,会在 ACS 上动态地创建用户。用户第一次成功通过身份验证后,会被缓存在 ACS 中,并带有一个指向其数据库的指针。这可避免 ACS 在进行后续身份验证尝试期间搜索整个数据库。

使用 Windows 用户数据库的组映射的 ACS 限制

ACS 对通过 Windows 用户数据库进行身份验证的用户的组映射具有以下限制:

  • ACS 只能支持属于 500 个或更少 Windows 组的用户的组映射。

  • ACS 只能通过使用对用户进行身份验证的域中用户所属的本地和全局组执行组映射。

配置

在本示例中,您被配置在 Winodws AD 中并被映射到特定 AD 组。Cisco Secure ACS 配置为使用 Windows AD 上的外部数据库对无线客户端进行身份验证。这样,AD 便被映射到通过身份验证的用户的 ACS 组,从而将该特定 AD 组的用户分配到在相应映射的 ACS 组中指定的 VLAN。

下一部分说明如何配置设备以实现此目的。

网络图

本文档使用以下网络设置:

/image/gif/paws/99121/vlan-acs-ad-config23.gif

配置设置

本文档使用以下配置:

  • Microsoft Windows 域名:lab.wireless

  • AD 用户:wireless123

  • AD 用户:wireless123 已分配给 AD 组:vlan 20

  • AD 组:vlan 20 已映射到 ACS 组:Group 20,其中 Group 20 配置为将此组中通过身份验证的用户分配到 WLC 上的接口 vlan20 中。

  • 此处,域控制器 和 ACS 服务器配置在同一台计算机中。

在执行此配置之前已做出以下假设:

  • LAP 已注册到 WLC 中。

  • 您知道如何在控制器上配置内部 DHCP 服务器或外部 DHCP 服务器以向无线客户端分配 IP 地址。请参阅配置 DHCP 以在控制器上配置内部 DHCP 服务器。

  • 本文档讨论无线端上所需的配置并假设有线网络已准备就绪。

要使用 WLC 基于 ACS 到 AD 组映射完成动态 VLAN 分配,必须执行以下步骤:

  1. 配置 Active Directory 和 Windows 用户数据库

  2. 配置 Cisco Secure ACS

  3. 配置无线局域网控制器

配置 Active Directory 和 Windows 用户数据库

要配置用于对无线客户端进行身份验证的 AD 和 Windows 用户数据库,必须执行以下步骤:

  1. 将您的网络中的服务器配置为域控制器

  2. 在域中创建 Active Directory 用户和组

  3. 添加 ACS 服务器作为域成员

将您的网络中的服务器配置为域控制器

配置域控制器包括创建新的 AD 结构以及在服务器上安装和配置 DNS 服务。

本文档将在配置为域控制器的 Windows 2003 服务器上创建域 lab.wireless

作为此 AD 创建过程的一部分,将在 Windows 2003 服务器上安装 DNS 服务器,以将 lab.wireless 解析为它自己的 IP 地址以及执行域中的其他名称解析过程。您也可以配置外部 DNS 服务器来连接 Internet。

注意: 请确保您有 Windows 2003 CD 以在服务器计算机上安装 DNS 服务器。

有关详细的配置过程,请参阅安装 Windows 2003 并将其配置为域控制器

在域中创建 Active Directory 用户和组

下一步是在 lab.wireless 域中创建用户和组。参考的步骤1和2 AddingUsers和计算机对MicrosoftSupport的活动目录域部分描述为了创建AD用户和组。

如已在本文档的配置设置部分中所述,将创建用户 wireless123 并将其映射到 AD 组 vlan20。

添加 ACS 服务器作为域成员

请参阅此 Microsoft 支持文档中向 Active Directory 域中添加用户和计算机部分的步骤 1 和步骤 2 以将 ACS 服务器添加到 lab.wireless 域。

注意: 此部分只说明如何将运行 ACS 软件的 Windows 计算机添加到域。此过程不适用于添加 ACS 解决方案引擎作为域成员。

配置 Cisco Secure ACS

要为此设置配置 ACS,必须执行以下步骤:

  1. 配置 ACS 以进行 Windows 用户数据库身份验证和组映射

  2. 配置 ACS 以执行动态 VLAN 分配

配置 ACS 以进行 Windows 用户数据库身份验证和组映射

既然 ACS 服务器已加入 lab.wireless 域,下一步便是配置 ACS 以进行 Windows 用户数据库身份验证并将外部 Windows AD 数据库映射到 ACS 组。通过使用指定的数据库进行身份验证的未知用户自动属于并继承该组的授权。

如前文所述,本示例使用 ACS 组 Group 20 映射 AD 组 vlan 20。

注意: 在配置 ACS 服务器之前,请执行 Windows 身份验证配置一章中所说明的任务以进行可靠的用户身份验证和组映射。

在 ACS 服务器中配置 Windows 外部用户数据库

从 ACS GUI 中完成以下步骤:

  1. 在导航栏中,单击 External User Databases

    /image/gif/paws/99121/vlan-acs-ad-config24.gif

  2. 在 External User Databases 页上,单击 Database Configuration

    /image/gif/paws/99121/vlan-acs-ad-config25.gif

    ACS 显示所有可能的外部用户数据库类型的列表。

  3. 单击 Windows Database

    /image/gif/paws/99121/vlan-acs-ad-config26.gif

    如果不存在 Windows 数据库配置,将显示 Database Configuration Creation 表。否则,将显示 External User Database Configuration 页。

  4. 单击 Configure

    /image/gif/paws/99121/vlan-acs-ad-config27.gif

    Windows User Database Configuration 页上显示了几个选项。

  5. 请配置必需的选项。Windows User Database Configuration 页上的所有设置都是可选的且不需要启用,除非您希望允许和配置它们支持的特定功能。

    注意: 本文档不手动配置其中的任何一个选项,因为此配置示例不需要它们。

    有关详细信息,请参阅 Windows 用户数据库配置选项

  6. 单击 Submit 以完成此配置。

    ACS 将保存您创建的 Windows 用户数据库配置。现在,您可以将其添加到您的未知用户策略或分配特定用户帐户以使用此数据库进行身份验证。本文档将此配置添加到未知用户策略中。

使用 Windows 数据库配置未知用户策略

未知用户策略是一种身份验证转发的形式。实质上,此功能是身份验证过程中的一个额外步骤。如果用户名不存在于 ACS 内部数据库中,则 ACS 会将传入用户名和口令的身份验证请求转发到它配置为与之通信的外部数据库。外部数据库必须支持身份验证请求中使用的身份验证协议。

有关详细信息,请参阅未知用户策略

在本示例中,ACS 应将从无线客户端通过 WLC 传入的身份验证请求转发到在上一部分中配置的 Windows 数据库。为了实现这一点,应使用以下步骤将未知用户组映射到外部 Windows 数据库 (lab.wireless):

  1. 在导航栏中,单击 External User Databases。然后单击 Unknown User Policy

    /image/gif/paws/99121/vlan-acs-ad-config28.gif

  2. 要允许未知用户身份验证,请启用未知用户策略:

    1. 选择 Check the following external user databases 选项。

    2. 选择 Windows Database in the External Databases 列表并单击-->(右箭头按钮)将它从 External Databases 移到 Selected Databases 列表。要将数据库从 Selected Databases 列表中删除,请选择该数据库,然后单击 <--(左箭头按钮)将它移回 External Databases 列表。

  3. 单击 submit

    /image/gif/paws/99121/vlan-acs-ad-config29.gif

    ACS 保存并实施您创建的未知用户策略配置。

为 Windows 组创建 ACS 组映射

从 ACS GUI 中完成以下这些步骤:

  1. 在导航栏中,单击 External User Databases。然后单击 Database Group Mappings

    /image/gif/paws/99121/vlan-acs-ad-config30.gif

  2. 单击要为其配置组映射的外部用户数据库名。

    在本示例中,即 Windows 数据库。

  3. 在所生成的 Domain Configurations 页中,单击 New configuration

    /image/gif/paws/99121/vlan-acs-ad-config31.gif

    注意: 默认情况下,此页上只显示域 \DEFAULT。

    此时将显示 Define New Domain Configuration 页。

  4. 在此页的 Detected Domains 框中,应能够看到 Windows 用户数据库 LAB。单击 submit

    /image/gif/paws/99121/vlan-acs-ad-config32.gif

    新 Windows 域 LAB 显示在 Domain Configurations 页的域列表中。

  5. 单击 LAB 域。

    /image/gif/paws/99121/vlan-acs-ad-config33.gif

    此时将显示 Group Mappings for the Domain: LAB 表。

  6. 单击 Add mapping

    /image/gif/paws/99121/vlan-acs-ad-config34.gif

    此时将打开 Create new group mapping for Domain: LAB 页。组列表显示从 LAB 数据库中获得的组名。在此组集中,您应能够看到在此 lab 域的 AD 中创建的组 vlan20。

    /image/gif/paws/99121/vlan-acs-ad-config35.gif

  7. 从组列表中选择 vlan20,然后单击 Add to selected。

  8. 在 ACS group 下拉框中,选择要将属于 AD 组的用户映射到的 Group20:vlan 20。

  9. 单击 submit

    /image/gif/paws/99121/vlan-acs-ad-config36.gif

    映射到 ACS 列表的组显示在数据库组列的底部,如本示例中所示。每个组集末尾的星号 (*) 表示使用外部用户数据库进行身份验证的用户可以属于除本集中的组以外的其他组。

    /image/gif/paws/99121/vlan-acs-ad-config37.gif

配置 ACS 以执行动态 VLAN 分配

动态 VLAN 分配是一种功能,它根据无线用户提供的凭据将该用户置于特定 VLAN 中。这项将用户分配到特定 VLAN 的任务由 RADIUS 身份验证服务器(如 Cisco Secure ACS)处理。例如,利用此任务可使无线主机能够在园区网络中移动时保持位于同一 VLAN 中。

注意: 本文档使用 Cisco Airespace [VSA(供应商特定)]属性以按照 ACS 上的组配置来为成功通过身份验证的用户分配 VLAN 接口名称(而不是 VLAN ID)。

要配置 ACS 以执行动态 VLAN 分配,必须执行以下步骤:

  1. 将 WLC 作为 AAA 客户端添加到 ACS

  2. 用 Cisco Airespace VSA 属性选项配置 ACS 组

将 WLC 作为 AAA 客户端添加到 ACS

要配置 ACS 以执行动态 VLAN 分配,需要在 RADIUS 服务器上为 WLC 配置 AAA 客户端。本文档假设 WLC 已作为 AAA 客户端添加到 ACS。有关如何向 ACS 添加 AAA 客户端的信息,请参阅向 ACS 添加 AAA 客户端

注意: 在本文档的示例中,应配置 Add AAA Client 页的 Authenticate Using 下拉菜单下的 RADIUS (Airespace) 选项,而将 WLC 配置为 ACS 的 AAA 客户端。

用 Cisco Airespace VSA 属性选项配置 ACS 组

完成这些步骤:

  1. 在 ACS GUI 的导航栏中,单击左侧的 Group Setup 以配置新组。

  2. 在 Group 下拉框中,选择 Group 20(按照本示例的要求)并单击 Edit Settings。

    /image/gif/paws/99121/vlan-acs-ad-config38.gif

  3. 在 Group 20 编辑设置页上,单击 Jump To 下拉框并选择 RADIUS (Cisco Airespace) 以配置 Airespace VSA 属性设置。

    /image/gif/paws/99121/vlan-acs-ad-config39.gif

    注意: 如果此属性未显示在 Group setting 下,请编辑 RADIUS (Airespace) 设置以在 ACS 的接口配置屏幕下包括接口名称。

  4. 在 Cisco Airespace RADIUS Attributes 部分中,启用 Air-Interface-Name 并输入 vlan20 作为在成功进行身份验证后将由此 ACS 返回的接口名称。

    /image/gif/paws/99121/vlan-acs-ad-config40.gif

  5. 单击 Submit+ Restart

配置无线局域网控制器

要为此设置配置 WLC,必须执行以下步骤:

  1. 使用身份验证服务器的详细信息配置 WLC

  2. 在 WLC 上配置动态接口 (VLAN)

  3. 配置 WLAN (SSID)

使用身份验证服务器的详细信息配置 WLC

要配置 WLC 使用该设置,请完成以下步骤:

  1. 从控制器 GUI 中,单击 Security

  2. 单击 New

  3. 在 RADIUS (ACS) 身份验证服务器配置页上,输入 RADIUS 服务器的 IP 地址和在 RADIUS 服务器和 WLC 之间使用的共享密钥。

    此共享密钥应该与在 ACS 中的 Network Configuration > AAA Clients > Add Entry 下配置的密钥相同。本文档使用 IP 地址为 10.77.244.196/27 的 ACS 服务器。

  4. 请确保已启用 Server Status。选中 Network User 框。这可确保根据此服务器对网络用户进行身份验证。

在 WLC 上配置动态接口 (VLAN)

此过程说明如何在 WLC 上配置动态接口。要成功执行动态 VLAN 分配,还应在 WLC 中配置在 ACS 服务器的 VSA 属性配置下指定的 VLAN 接口名称。

本文档在 WLC 中配置名为“vlan20”且 VLAN ID = 20 的 VLAN 接口。

完成这些步骤:

  1. 在控制器 GUI 的 Controller > Interfaces 窗口下,将配置动态接口。

    /image/gif/paws/99121/vlan-acs-ad-config41.gif

  2. 单击 New

  3. Interfaces > New 窗口中,键入 vlan20(该名称与在 ACS 上配置的 Airespace-Interface 参数相同)作为 Interface Name,并键入 20 作为 VLAN ID,以将其分配给 VLAN 20。

  4. 单击 Apply

    /image/gif/paws/99121/vlan-acs-ad-config42.gif

  5. Interfaces > Edit 页中,配置 VLAN 20 子网的 VLAN ID、IP 地址、网络掩码和网关地址信息,如此窗口中所示。

    注意: 始终建议使用 DHCP 服务器向客户端分配 IP 地址。在这种情况下,应在主 DHCP 服务器地址字段中填写 DHCP 服务器的 IP 地址。

    /image/gif/paws/99121/vlan-acs-ad-config43.gif

  6. 单击 Apply

配置 WLAN (SSID)

在 WLC 上,应配置 SSID wirelesslab 并选择一种身份验证方法,该方法将提示您从客户端输入用户名和口令。在本示例中,您使用 LEAP 作为身份验证方法来对用户进行身份验证。完成这些步骤:

  1. 在 WLC GUI 上,单击 WLANs。单击 New

  2. 选择一个配置文件名称并输入 WLAN SSID wirelesslab

  3. 单击 Apply

  4. 选择 WLANs > Edit,并在 General 选项卡下启用 WLAN 并选择 management 作为 Interface 以从管理子网中分配 IP 地址。

    /image/gif/paws/99121/vlan-acs-ad-config44.gif

  5. 单击 Security。在 Layer 2 选项卡中,选择 WPA+WPA2 作为 Layer 2 Security。您可以选择 WPA 或 WPA2 策略。在本示例中,您将选择 WPA2 以及 TKIP 加密和 802.1x 作为身份验证方法。

    /image/gif/paws/99121/vlan-acs-ad-config45.gif

  6. 单击 AAA Servers 并选择 10.77.244.196 作为 Authentication Server 以根据此服务器对该 WLAN 的用户进行身份验证。

  7. 无线用户被分配到管理接口。要将用户分配到由 Radius 服务器提供的接口,请选择 Advanced > Allow AAA Override

    /image/gif/paws/99121/vlan-acs-ad-config46.gif

配置无线客户端

本部分说明如何配置无线客户端。完成这些步骤:

  1. 单击 Cisco Aironet Desktop Utility

  2. 选择 Profile Management

  3. 突出显示现有配置文件并选择 Modify,如图 1 中所示。

    图 1

    /image/gif/paws/99121/vlan-acs-ad-config47.gif

  4. General 选项卡中,选择一个配置文件名称。本示例使用名称 LAB。输入在 WLC 中使用的 SSID wirelesslab图 2 显示如何执行此操作。

    图 2

    /image/gif/paws/99121/vlan-acs-ad-config48.gif

  5. 单击 Security。在客户端上配置的身份验证方法应与 WLC 的身份验证方法相同。选择 WPA/WPA2/CCKM,然后选择 LEAP 作为 EAP 类型,如图 3 中所示。

    图 3

    /image/gif/paws/99121/vlan-acs-ad-config49.gif

  6. 单击 Configure 并选择 Manually Prompt for User Name and Password。图 4 显示了此步骤。

    图 4

    /image/gif/paws/99121/vlan-acs-ad-config50.gif

  7. 单击 Ok。此时将显示一个提示您输入用户名和口令的窗口,如下所示。输入您在 Windows 数据库中配置的用户名和口令。在本示例中,用户名为 wireless123,口令为 Cisco123。在 Log on to 字段中,键入您在 Active Directory 中配置的域并单击 OK。在本示例中,它是 LAB

    /image/gif/paws/99121/vlan-acs-ad-config51.gif

验证

激活您在 ADU 中配置的 LAB 用户配置文件。根据您的配置,会提示客户端提供用户名和口令。

此示例从客户端使用以下用户名和口令接收身份验证,并且此用户名和口令将由 RADIUS 服务器分配到 VLAN:

  • 用户名 = wireless123

  • 口令 = cisco123

此外,请在 Enter Wireless Network Password 对话框的 logon to 字段中指定 lab.wireless

成功对无线客户端进行身份验证后,请找到域控制器,加入域并通过 wirelesslab SSID 关联到 WLAN 网络,您需要根据由 RADIUS 服务器组设置发送的 VSA 属性验证您的客户端是否已分配到正确的 VLAN。

要实现此目的,请完成下列步骤:

  1. 从控制器 GUI 中,选择 Monitor。单击显示在接入点 (AP) 窗口左侧的 Clients

    将显示状态为 associated 的客户端统计信息。

    /image/gif/paws/99121/vlan-acs-ad-config52.gif

  2. 您将看到一个与此 WLC 关联的无线客户端的列表。单击使用 ACS 进行身份验证的客户端。

    在详细信息页上,您会观察到,用户:wireless123 已通过身份验证并通过 wirelesslab SSID 关联。请注意,IP 地址为 20.0.0.4 并且接口为 vlan20。

    /image/gif/paws/99121/vlan-acs-ad-config53.gif

故障排除

本部分提供的信息可用于对配置进行故障排除。有关如何记录和获得 ACS 中的 AAA 调试信息的详细信息,请参阅 Cisco Secure ACS for Windows 的 AAA 调试信息

故障排除命令

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

  • debug aaa events enable — 此命令可用于确保通过控制器成功将 RADIUS 属性传输到客户端。debug 输出的此部分可确保已成功传输 RADIUS 属性。

    以下是基于本文档示例配置的此命令的输出:

    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 131) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 132) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 133) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: vlan20, acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into 
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 15:47:39 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93

    从此 debug 输出中可以看出,WLC 在无线客户端和 RADIUS 服务器 10.77.244.196 之间传送身份验证请求和响应。服务器已成功对无线客户端进行身份验证(这可以使用 Access-Accept 消息进行验证)。在成功认证,您能也看到RADIUS服务器传送VLAN接口name:vlan20,因此动态地分配无线客户端到VLAN20。

  • debug dot1x aaa enable - 此命令用于调试在无线客户端和身份验证服务器 (ACS) 之间进行的整个 dot1x 身份验证。

  • 调试所有启用-的aaa Configures调试所有AAA消息。

    以下是基于本文档示例配置的此命令的输出:

    (Cisco Controller) >Fri Oct  5 16:17:18 2007: AuthenticationRequest: 0xac4be5c
    Fri Oct  5 16:17:18 2007:       Callback.....................................0x8
    29a960
    Fri Oct  5 16:17:18 2007:       protocolType.................................0x0
    0040001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 12 AVPs (not shown)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of 
    Authentication Packet (id 137) to 10.77.244.196:1812, 
    proxy state 00:40:96:af:3e:93-96:af
    .................................................................................
    ..................................................................................
    ..................................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................130
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................255
    
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 3 AVPs (not shown)
    ..............................................................................
    ..............................................................................
    ..............................................................................
    ..............................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobi)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of
    Authentication Packet (id 139) to 10.77.244.196:1812, 
    proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 16:17:18 2007: 00000000: 01 8b 00 bb 54 4c 75 3a  e5 b9 d2 c0 28 f2 9
    3 b3  ....TLu:....(...
    Fri Oct  5 16:17:18 2007: 00000010: f2 81 50 65 01 10 77 69  72 65 6c 65 73 73 5
    c 75  ..Pe..lab\wireless123
    Fri Oct  5 16:17:18 2007: 00000020: 73 65 72 31 1f 13 30 30  2d 34 30 2d 39 36 2
    d 41  ser1..00-40-96-A
    Fri Oct  5 16:17:18 2007: 00000030: 46 2d 33 45 2d 39 33 1e  18 30 30 2d 30 42 2
    d 38  F-3E-93..00-0B-8
    Fri Oct  5 16:17:18 2007: 00000040: 35 2d 35 42 2d 46 42 2d  44 30 3a 41 44 53 3
    1 05  5-5B-FB-D0:wirelessl23.
    Fri Oct  5 16:17:18 2007: 00000050: 06 00 00 00 01 04 06 0a  4d f4 d4 20 06 57 4
    c 43  ........M....WLC
    Fri Oct  5 16:17:18 2007: 00000060: 31 1a 0c 00 00 37 63 01  06 00 00 00 02 06 0
    6 00  1....7c.........
    Fri Oct  5 16:17:18 2007: 00000070: 00 00 02 0c 06 00 00 05  14 3d 06 00 00 00 1
    3 4f  .........=.....O
    Fri Oct  5 16:17:18 2007: 00000080: 20 01 05 00 1e 11 01 00  08 85 8e 81 b0 7d b
    f ee  .............}..
    Fri Oct  5 16:17:18 2007: 00000090: b1 77 69 72 65 6c 65 73  73 5c 75 73 65 72 3
    1 18  .lab\wireless123
    ................................................................................
    .................................................................................
    ..................................................................................
    Fri Oct  5 16:17:18 2007: 00000050: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 7
    3 65  1.;.....5leap:se
    Fri Oct  5 16:17:18 2007: 00000060: 73 73 69 6f 6e 2d 6b 65  79 3d 84 e7 c5 3c 3
    3 bd  ssion-key=...<3.
    Fri Oct  5 16:17:18 2007: 00000070: a8 bf 7a 43 9d 6e bb c8  a8 2c 5d c6 91 d6 f
    3 21  ..zC.n...,]....!
    Fri Oct  5 16:17:18 2007: 00000080: df 1e 0e 28 c1 ef a5 31  a7 cd 62 da 1a 1f 0
    0 00  ...(...1..b.....
    Fri Oct  5 16:17:18 2007: 00000090: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 7
    4 79  ....auth-algo-ty
    Fri Oct  5 16:17:18 2007: 000000a0: 70 65 3d 65 61 70 2d 6c  65 61 70 19 17 43 4
    1 43  pe=eap-leap..CAC
    
          ....
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................228
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................0
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:02
    Fri Oct  5 16:17:18 2007:       Packet contains 5 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] Airespace / Interface-Name..........
    .....vlan20 (5 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] EAP-Message.........................
    .....DATA (46 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Cisco / LEAP-Session-Key............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] Message-Authenticator...............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into 
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: AccountingMessage Accounting Interim: 0xac4b1f0
    Fri Oct  5 16:17:18 2007:       Packet contains 20 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] User-Name...........................
    .....lab\wireless123 (14 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] Nas-Port............................
    .....0x00000001 (1) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Nas-Ip-Address......................
    .....0x0a4df4d4 (172881108) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] NAS-Identifier......................
    .....0x574c4331 (1464615729) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[06] Airespace / WLAN-Identifier.........
    .....0x00000002 (2) (4 bytes)
    ......................................................................................
    .......................................................................................
    .......................................................................................

相关信息


Document ID: 99121