无线 : 思科 4400 系列无线局域网控制器

包含无线局域网控制器和外部 RADIUS 服务器的 EAP-FAST 身份验证配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 12 月 20 日) | 反馈


目录


简介

本文解释如何通过与使用的获取建立隧道(法塞特)验证配置无线局域网控制器(WLC)可扩展的认证协议(EAP)的-灵活验证外部RADIUS服务器。此配置示例使用思科安全访问控制服务器(ACS)作为外部RADIUS服务器验证无线客户端。

本文着重如何配置设置对无线客户端的匿名和已验证在波段之内(自动)受保护的访问凭证的(PAC) ACS。为了配置设置手工/带外的PAC,参考手工的供应的手工的PAC设置PAC文件生成欲知更多信息。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 轻量级接入点(拉普)和思科WLCs的配置的基础知识

  • 有关轻量接入点协议 (LWAPP) 的基本知识

  • 知识如何配置一个外部RADIUS服务器,例如Cisco Secure ACS

  • 在一般EAP框架的功能知识

  • 在安全协议的在数字证书的基础知识,例如MS-CHAPv2和EAP-GTC和知识

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行固件4.0.217.0的Cisco 2000系列WLC

  • Cisco Aironet 1000 系列 LAP

  • 运行 4.1 版的 Cisco 安全 ACS

  • Cisco Aironet 802.11 a/b/g 客户端适配器

  • Cisco Aironet Desktop软件(ADU)该运行固件版本3.6

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

EAP-FAST协议是开发的思科支持客户不能强制执行强口令策略和要部署802.1X EAP类型不要求数字证书的一个新,公共可访问的IEEE 802.1X EAP类型。

EAP-FAST协议是加密EAP处理用传输级安全性的客户端服务器安全架构(TLS)通道。EAP-FAST隧道建立根据对用户是唯一的强秘密。这些强秘密呼叫PACs, ACS生成通过使用主密钥仅已知对ACS。

EAP-FAST在三个相位内发生:

  • 相位零(设置相位)的自动PAC — EAP-FAST相位零,一个可选相位是提供一个EAP-FAST最终用户客户端通道被巩固的手段PAC为请求网络访问的用户。提供PAC给最终用户客户端是唯一目的相位零

    注意: 相位零可选,因为PACs可能手工也设置对客户端而不是使用相位零。

    请参阅PAC设置本文的模式部分关于详细信息。

  • 第一阶段—在第一阶段, ACS和最终用户客户端设立TLS建立隧道基于用户的PAC凭证。此相位要求最终用户客户端为尝试获得网络访问的用户提供了PAC,并且PAC根据未超时的主密钥。网络服务没有由EAP-FAST第一阶段启用。

  • 相位两—在相位两,用户认证凭证安全地通过使用在TLS内的EAP-FAST支持的一个内在EAP方法建立隧道对使用在客户端和RADIUS服务器之间的PAC创建的RADIUS。EAP-GTC、TLS和MS-CHAP支持作为内在EAP方法。其他EAP类型不为EAP-FAST支持。

参考EAP-FAST欲知更多信息,如何工作

PAC

PACs是启用ACS,并且互相验证和设立的一个EAP-FAST最终用户客户端TLS建立隧道用于EAP-FAST相位两的强共享秘密。通过使用活动主密钥和用户名, ACS生成PACs。

PAC包括:

  • PAC KEY —对客户端(和客户端设备)和服务器标识的共享秘密区域。

  • 不透明的PAC —不透明字段客户端缓存和通行证对服务器。服务器恢复PAC KEY和客户端标识相互验证与客户端。

  • PAC INFO —最少,包括服务器的标识使客户端缓存不同的PACs。随意地,它包括其他信息例如PAC的有效期。

PAC Provisoning模式

如前面提到,相位零是一个可选相位。

EAP-FAST提供两个选项设置有PAC的一个客户端:

  • 自动PAC设置(EAP-FAST相位0或者在波段之内PAC设置)

  • 手工(带外) PAC设置

在波段之内/自动PAC设置发送新的PAC给在安全网络连接的一个最终用户客户端。在配置ACS和最终用户客户端支持自动供应条件下,自动PAC设置不要求网络用户或ACS管理员的干预。

设置配置选项的最新EAP-FAST版本支持两不同带内PAC :

  • 匿名带内PAC设置

  • 已验证带内PAC设置

注意: 本文讨论设置方法的这些带内PAC和如何配置他们。

带外/手工PAC设置要求ACS管理员生成PAC文件,必须然后分配对可适用的网络用户。用户必须配置最终用户客户端用他们的PAC文件。

网络图和配置设置

在此设置,思科2006 WLC和LAP通过集线器连接。一个外部 RADIUS 服务器(Cisco 安全 ACS)也连接到同一个集线器。所有设备都在同一个子网中。接入点(AP)最初注册到控制器。您必须配置EAP-FAST验证的WLC。连接对AP使用EAP-FAST验证为了与AP产生关联的客户端。使用 Cisco 安全 ACS 执行 RADIUS 身份验证。

eapfast-wlc-rad-config1.gif

配置EAP-FAST验证的WLC

执行这些步骤为了配置EAP-FAST验证的WLC :

  1. 配置 WLC 以便通过外部 RADIUS 服务器进行 RADIUS 身份验证

  2. 配置EAP-FAST验证的WLAN

配置 WLC 以便通过外部 RADIUS 服务器进行 RADIUS 身份验证

需要配置 WLC 以便将用户凭证转发到外部 RADIUS 服务器。随后,外部 RADIUS 服务器使用 EAP-FAST 验证用户凭证,并提供对无线客户端的访问。

完成以下这些步骤,为外部 RADIUS 服务器配置 WLC:

  1. 从控制器的 GUI 中选择安全性和“RADIUS 身份验证”,以便显示“RADIUS 身份验证服务器”页。然后,请点击new来定义RADIUS服务器。

  2. RADIUS Authentication Servers > New 页上定义 RADIUS 服务器参数。这些参数包括:

    • RADIUS 服务器的 IP 地址

    • 共享秘密

    • 端口号

    • 服务器状态

    本文使用IP地址为10.77.244.196的ACS服务器。

    /image/gif/paws/99791/eapfast-wlc-rad-config2.gif

  3. 单击 Apply

配置EAP-FAST验证的WLAN

其次,请配置客户端使用连接到EAP-FAST验证的无线网络和分配到动态接口的WLAN。在本例中配置的WLAN名称是快速的eap。本例将此 WLAN 分配到管理接口。

完成这些步骤为了配置eap快速WLAN和其相关参数:

  1. 从控制器的 GUI 中单击 WLAN 以显示“WLAN”页。

    此页列出了控制器上现有的 WLAN。

  2. 单击 New 以创建新的 WLAN。

    /image/gif/paws/99791/eapfast-wlc-rad-config3.gif

  3. 配置eap快速WLAN SSID名称、配置文件名称和WLAN ID在WLAN >New页。然后,单击 Apply

    eapfast-wlc-rad-config4.gif

  4. 创建新 WLAN 后,就会显示新 WLAN 的 WLAN > Edit 页。在此页上,可以定义特定于此 WLAN 的各种参数。这包括一般策略、RADIUS服务器、安全策略和802.1x参数。

  5. 根据一般策略检查管理状态复选框为了启用WLAN。

  6. 如果希望 AP 在其信标帧中广播 SSID,请选中 Broadcast SSID 复选框。如果要由RADIUS服务器,改写WLC配置请检查允许AAA覆盖复选框。

  7. 从“RADIUS 服务器”下的下拉菜单中选择相应的 RADIUS 服务器。根据安全策略,请从第2层安全下拉菜单选择802.1x。您能也使用介入验证的RADIUS服务器的其他认证方法(与802.1x的WPA/WPA2)。

    此示例以动态WEP加密使用802.1x作为第2层安全此WLAN。可以根据 WLAN 网络的需要修改其他参数。

    /image/gif/paws/99791/eapfast-wlc-rad-config5.gif

  8. 单击 Apply

    注意: 这是针对 EAP 身份验证需要在控制器上配置的唯一的 EAP 设置。所有其他特定于 EAP-FAST 的配置需要在 RADIUS 服务器和需要进行身份验证的客户端上完成。

配置EAP-FAST验证的RADIUS服务器

若要针对 EAP-FAST 身份验证配置 RADIUS 服务器,请执行下列步骤:

  1. 创建一个用于对 EAP-FAST 客户端进行身份验证的用户数据库

  2. 将 WLC 作为 AAA 客户端添加到 RADIUS 服务器

  3. 使用匿名带内 PAC 配置为 RADIUS 服务器配置 EAP-FAST 身份验证

  4. 配置在RADIUS服务器的EAP-FAST验证有已验证带内PAC设置的

创建一个用于对 EAP-FAST 客户端进行身份验证的用户数据库

若要在 ACS 上为 EAP-FAST 客户端创建一个用户数据库,请完成下列步骤。此示例配置EAP-FAST客户端的用户名和密码作为无线无线,分别。

  1. 从导航栏的 ACS GUI 中选择 User Setup。创建新用户无线,然后单击添加/编辑为了去Edit页此用户。

    /image/gif/paws/99791/eapfast-wlc-rad-config6.gif

  2. 在“User Setup Edit”页中,按本例所示配置“Real Name”、“Description”及“Password”设置。

    本文档使用 ACS Internal Database 作为“Password Authentication”。

  3. 从“Password Authentication”下拉框中选择 ACS Internal Database

    /image/gif/paws/99791/eapfast-wlc-rad-config7.gif

  4. 配置所需的所有其他参数,然后单击 Submit

将 WLC 作为 AAA 客户端添加到 RADIUS 服务器

若要将控制器定义为 ACS 服务器上的 AAA 客户端,请完成下列步骤:

  1. 从 ACS GUI 中单击 Network Configuration。在“Network Configuration”页的“Add AAA client”部分下,单击 Add Entry 将 WLC 作为 AAA 客户端添加到 RADIUS 服务器。

    eapfast-wlc-rad-config8.gif

  2. 在“AAA Client”页中,定义 WLC 名称、IP 地址、共享密钥和身份验证方法 (RADIUS/Cisco Airespace)。有关其他非 ACS 身份验证服务器的信息,请参阅制造商提供的文档。

    注意: 在 WLC 和 ACS 服务器上配置的共享密钥必须匹配。共享密钥区分大小写。

  3. 单击 Submit+Apply

    eapfast-wlc-rad-config9.gif

使用匿名带内 PAC 配置为 RADIUS 服务器配置 EAP-FAST 身份验证

匿名带内配置

这是 ACS 与最终用户客户端建立安全连接以便为客户端提供新 PAC 的两种带内配置方法之一。此选项允许在最终用户客户端与 ACS 之间进行匿名 TLS 握手。

在对等体对 ACS 服务器进行身份验证之前,此方法在经身份验证的 Diffie-HellmanKey 协商协议 (ADHP) 隧道内操作。

随后,ACS 需要对用户进行 EAP-MS-CHAPv2 身份验证。当用户身份验证成功时,ACS 将与最终用户客户端建立一条 Diffie-Hellman 隧道。ACS 为用户生成一个 PAC,并将其与此 ACS 的相关信息一起发送到此隧道中的最终用户客户端。此配置方法在第零阶段使用 EAP-MSCHAPv2 作为身份验证方法,在第二阶段使用 EAP-GTC。

由于配置了未经身份验证的服务器,因此不可能使用纯文本口令。所以,在隧道内只能使用 MS-CHAP 凭证。MS-CHAPv2 用于证明对等体的身份和接收用于后续身份验证会话的 PAC(EAP-MS-CHAP 将仅用作内部方法)。

若要采用匿名带内配置为 RADIUS 服务器配置 EAP-FAST 身份验证,请完成下列步骤:

  1. 在 RADIUS 服务器 GUI 中单击 System Configuration。从“System Configuration”页中选择 Global Authentication Setup

    /image/gif/paws/99791/eapfast-wlc-rad-config10.gif

  2. 在“Global Authentication”设置页中,单击 EAP-FAST Configuration 转到 EAP-FAST 设置页。

    /image/gif/paws/99791/eapfast-wlc-rad-config11.gif

  3. 在“EAP-FAST Settings”页中,选中 Allow EAP-FAST 复选框以启用 RADIUS 服务器的 EAP-FAST。

  4. 根据需要配置“Active master key TTL”/“Retired master key TTL”(TTL 即存活时间)的值,或按本例所示将其设置为默认值。

    有关活动和停用的主密钥的信息,请参阅“主密钥”。有关详细信息,另请参阅“主密钥和 PAC TTL”。

    “Authority ID Info”字段表示此 ACS 服务器的文本身份,最终用户可使用该字段确定要根据哪个 ACS 服务器进行身份验证。必须填写此字段。

    “Client initial display message”字段用于指定要发送给使用 EAP-FAST 客户端进行身份验证的用户的一条消息。最大长度为 40 个字符。只有最终用户客户端支持显示时,用户才会看到该初始消息。

  5. 如果希望 ACS 执行匿名带内 PAC 配置,请选中 Allow anonymous in-band PAC provisioning 复选框。

    允许内在方法—此选项确定哪些内在EAP方法能运行在EAP-FAST TLS通道里面。对于匿名带内配置,必须启用 EAP-GTC 和 EAP-MS-CHAP 以实现向后兼容。如果选择“Allow anonymous in-band PAC provisioning”,则必须选择“EAP-MS-CHAP”(第零阶段)和“EAP-GTC”(第二阶段)。

  6. 单击 Submit+Restart

    此屏幕画面显示在此部分的步骤:

    /image/gif/paws/99791/eapfast-wlc-rad-config12.gif

配置在RADIUS服务器的EAP-FAST验证有已验证带内PAC设置的

已验证在波段之内供应

EAP-FAST被提高支持一个已验证通道(使用服务器证书),是PAC设置发生的地方。此模式设置有PAC的一个最终用户客户端通过使用与TLS服务器端的验证的EAP-FAST相位零。此选项要求您安装一服务器证书和可信的根CA在ACS。

新的密码器套件,那是增强对EAP-FAST,并且特别地,使用服务器证书。作为设置通道一部分,由于服务器验证,更加弱的EAP方法例如EAP-GTC可以用于在通道里面提供请求方验证。

默认情况下, ACS支持TLS服务器端的验证。然而,如果客户端发送用户证书对ACS,相互TLS验证执行,并且内在方法绕过。

  1. 重复steps1到4匿名在波段之内供应配置为了配置在RADIUS服务器的其他EAP-FAST设置。

  2. 如果希望ACS执行设置匿名带内的PAC,请检查设置复选框的Allow验证的在波段之内PAC

    1. 接受已验证供应的客户端—,当设置选项的允许验证的在波段之内PAC选择时,此选项只是可用的。服务器总是发送访问拒绝在供应相位结束时,使用通道PAC,迫使客户端重新鉴别。此选项使ACS发送Access-Accept对客户端在供应相位结束时。

    2. 如果不希望ACS设置EAP-FAST客户端的授权PACs和总是执行相位两EAP-FAST,请不选定允许无状态的会话恢复Option复选框

    3. 允许内在方法—如果选择Allow设置验证的在波段之内的PAC,在认证阶段的内在方法是可转让的默认情况下(EAP-GTC在相位零)使用。选择一个或很多这些内在方法:

      • EAP-GTC —为了启用在EAP快速验证的EAP-GTC,请检查此方框。

      • EAP-MS-CHAPv2 —为了启用在EAP快速验证的EAP-MS-CHAPv2,请检查此方框。

      • EAP-TLS —为了启用在EAP快速验证的EAP-TLS,请检查此方框。

      注意: ACS总是运行第一个启用的EAP方法。例如,如果选择EAP-GTC和EAP-MS-CHAPv2,然后第一个已启用EAP方法是EAP-GTC。

    所有这些配置特定对已验证带内PAC设置在本例中被提及:

    eapfast-wlc-rad-config13.gif

  3. 单击 Submit+Restart

设置在ACS的服务器证书已验证在波段之内供应的

EAP-FAST被提高支持PAC设置发生的已验证通道(使用服务器证书)里面。

注意: 此选项要求设置一服务器证书和可信的根CA在ACS。

有设置在ACS的服务器证书的几方法联机。本文解释如何生成在ACS的一自签名证书和导入它到客户端的委托认证机关列表。

生成在ACS的自签名证书

ACS支持TLS/SSL相关协议,包括PEAP、EAP-FAST和HTTPS,要求使用数字证书。自签名证书的雇佣是管理员的一个方式能符合此要求,而不必呼应以CA获取和安装ACS的证书。

完成这些步骤为了生成在ACS的自签名证书:

  1. 在 RADIUS 服务器 GUI 中单击 System Configuration。从System Configuration Page,请选择ACS证书设置

    /image/gif/paws/99791/eapfast-wlc-rad-config14.gif

  2. ACS证书设置列表多种选项设置在ACS的证书。对于此示例,请选择生成自签名证书

    eapfast-wlc-rad-config15.gif

    Edit页生成的自签名证书出现。

  3. 从此页,请完成这些步骤:

    1. 证书主题方框中,请进入在表证书主题。

    2. 证书文件方框中,请输入完整路径和文件名对于证书文件。在密钥长度方框中,请选择密钥长度。

    3. 专用密钥文件方框中,请输入完整路径和文件名对于专用密钥文件。

    4. 专用密钥密码框中,请输入专用密钥密码。在重新代表专用密钥密码框中,请重新输入专用密钥密码。

    5. 签字的摘要用方框,请选择(在本例中的SHA1)将使用的哈希摘要加密密钥。

    6. 为了安装自签名证书,当您提交页时,请选择安装生成的证书选项。

      注意: 如果选择安装生成的证书选项,您必须重新启动ACS服务,在您提交新的设置的此表能生效后。如果不选择安装生成的证书选项,证书文件和专用密钥文件生成,并且保存,当您单击时请提交在下一步。然而,这些在本地设备存储设备没有安装。

    这是编辑自签名证书页的示例:

    /image/gif/paws/99791/eapfast-wlc-rad-config16.gif

    注意: 被输入的字段值(TS Web)这是示例值。您能使用所有字段值或名称生成在ACS的一自签名证书。必须填写所有字段。

导入自签名证书给客户端

使用有效证书,您需要导入在ACS生成的自签名证书对客户端的ROOT认证Authoritiy列表为了客户端能验证服务器和。

完成在客户端的这些步骤:

  1. 复制从其位置的证书ACS的给客户端。

  2. 右键单击 .cer 文件并单击“安装证书”。

    eapfast-wlc-rad-config17.gif

  3. 单击 Next

  4. 选择将所有的证书放入下列存储并单击“浏览”。

    挑选证书存储窗口将推出。

  5. 从挑选证书存储窗口,请检查Show physical存储复选框。

  6. 展开从证书树的可靠的根证书颁发机构,选择本地计算机,并且点击OK键。

    eapfast-wlc-rad-config18.gif

  7. 依次单击下一步、“完成”和“确定”。

    显示导入是成功的证书导入向导出现。

    /image/gif/paws/99791/eapfast-wlc-rad-config19.gif

配置EAP-FAST验证的客户端

完成这些步骤为了配置EAP-FAST验证的客户端:

  1. 配置匿名在波段之内供应的客户端

  2. 配置已验证在波段之内供应的客户端

配置匿名在波段之内供应的客户端

完成这些步骤为了配置匿名在波段之内供应的无线客户端:

  1. 从Aironet Desktop软件窗口,请点击新建的配置文件Management>为了创建EAP-FAST用户的一配置文件。

    如前面提到,本文使用WLAN/SSID名称作为快速的eap无线客户端。

    eapfast-wlc-rad-config20.gif

  2. 在“Profile Management”窗口中,单击 General 选项卡,并按本例所示配置“Profile Name”、“Client Name”和“SSID”名称。然后,单击OK

    eapfast-wlc-rad-config21.gif

  3. 点击安全选项卡并且选择802.1x作为与802.1x EAP类型的集合安全选项作为EAP-FAST。单击 Configure 以配置 EAP-FAST 设置。

    eapfast-wlc-rad-config22.gif

  4. 在“Configure EAP-FAST”窗口中,选中 Allow Automatic PAC Provisioning 复选框。如果要配置匿名 PAC 配置,则会将 EAP-MS-CHAP 用作第零阶段内唯一的内部方法。

  5. 从“EAP-FAST Authentication Method”下拉框中选择“MSCHAPv2 User Name and Password”作为身份验证方法。单击 Configure

    eapfast-wlc-rad-config23.gif

  6. 在“Configure MSCHAPv2 User Name and Password”窗口中,选择适当的用户名和口令设置。

    此示例手工选择提示输入用户名和密码

    在 ACS 应注册相同的用户名和口令。如前面提到,此示例使用无线无线分别作为用户名和密码。

    另外请注意,这是匿名带内配置。所以,客户端无法验证服务器证书。您需要确保未选中“Validate Server Identity”复选框。

  7. 单击 Ok

    eapfast-wlc-rad-config24.gif

配置已验证在波段之内供应的客户端

完成这些步骤为了配置已验证在波段之内供应的无线客户端:

  1. 重复步骤1到3本文的匿名在波段之内供应部分的配置客户端

  2. 在“Configure EAP-FAST”窗口中,选中 Allow Automatic PAC Provisioning 复选框。

    使用设置已验证带内的PAC,其中任一个内在方法(EAP-GTC、EAP-MSCHAPv2, TLS客户端证书)允许在ACS侧在客户端可以选择作为从EAP-FAST认证方法下拉框的认证方法。

    此示例选择GTC标记/密码作为EAP-FAST认证方法。

  3. 单击 Configure

    eapfast-wlc-rad-config25.gif

  4. 从GTC配置窗口,在验证时能使用一个静态密码或标记将被提示的您。

    此示例使用一个静态用户名和密码。在 ACS 应注册相同的用户名和口令。如前面提到,此示例使用无线无线分别作为用户名和密码。

  5. 并且,请注意这是一已验证在波段之内供应配置。所以,请检查验证服务器标识复选框。并且,从可靠的根证书颁发机构下拉框,请移下来寻找从ACS (在本例中的TS Web的已导入自签名证书)。选择证书作为可靠的根证书颁发机构。单击 Ok

    eapfast-wlc-rad-config26.gif

验证在波段之内供应

完成这些步骤为了验证您的EAP-FAST配置是否适当地工作:

  1. 选择快速配置文件的eap并且单击激活为了激活无线客户端配置文件。

    /image/gif/paws/99791/eapfast-wlc-rad-config27.gif

  2. 如果启用MS-CHAP ver2作为您的认证方法(与匿名,这是唯一的成功的方法如前所述),则客户端将提示输入用户名和密码。

    /image/gif/paws/99791/eapfast-wlc-rad-config28.gif

  3. 在 EAP-FAST 进行用户处理的过程中,客户端将提示您向 RADIUS 服务器请求 PAC。当您单击 Yes 时,便会开始进行 PAC 配置。

    eapfast-wlc-rad-config29.gif

    在第零阶段的 PAC 配置成功后,接着进行第一阶段和第二阶段,成功完成身份验证过程。

    /image/gif/paws/99791/eapfast-wlc-rad-config30.gif

  4. 使用已验证在波段之内供应,如果启用GTC/Token作为您的EAP-FAST认证方法,将提示您输入标记。如前面提到,此示例使用无线作为用户凭证。单击 Ok

    /image/gif/paws/99791/eapfast-wlc-rad-config31.gif

    您能看到EAP-FAST配置页的客户端接收的PAC文件。

    eapfast-wlc-rad-config32.gif

    此PAC可以用于此用户的更加进一步的验证会话根据PAC/Master密钥TTL值的设置。

  5. 单击设法通过浏览发现PAC文件的内容通过PAC管理树如显示此处。在无线PAC文件双击显示PAC文件的内容。

    /image/gif/paws/99791/eapfast-wlc-rad-config33.gif

    这是PAC文件的内容:

    eapfast-wlc-rad-config34.gif

验证

您能验证RADIUS服务器是否收到并且验证从无线客户端的认证请求。检查 ACS 服务器上的 Passed Authentications 和 Failed Attempts 报告以完成此操作。在ACS服务器上的报表和活动下可获得这些报表。

这是示例,当RADIUS服务器验证实际上是成功的时。然而,因为相位零EAP-FAST不启用网络服务,成功的EAP-FAST相位零处理在ACS失败的尝试日志被记录。如果看到“EAP-FAST用户配置有新的PAC”消息,这指示PAC顺利地设置给客户端。

/image/gif/paws/99791/eapfast-wlc-rad-config35.gif

这些调试指令也许是有用的为一些故障排除目的:

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

  • debug dot1x事件enable (event) —启用所有dot1x事件调试。下面是基于成功身份验证的 debug 输出示例:

    (Cisco Controller)>debug dot1x events enable
    
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP
    -Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with mi
    smatching id (currentid=2, eapid=1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    ..............................................................................
    ..............................................................................
    ...............................................................................
    ................................................................................
    
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 43)
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:01 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    0
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3689 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    1
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3696 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 19 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 3)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 23)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 23, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 26)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 26, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 27, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 20 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 3)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 24 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Accept for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Creating a new PMK Cache Entry for s
    tation 00:40:96:af:3e:93 (RSN 0)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP-Success to mobile 00:40:
    96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending default RC4 key to mobile 00
    :40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending Key-Mapping RC4 key to mobil
    e 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Auth Success while in Authe
    nticating state for mobile 00:40:96:af:3e:93
    

    这是失败的认证示例从enable命令debug dot1x的事件的输出的:

    (Cisco Controller) >debug dot1x events enable
    
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Requ
    est/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 11 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 11)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 11, EAP Type 3)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 12)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 12, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 13, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 802.1x 'quiteWhile' Timer expired fo
    r station 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 quiet timer completed for mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 15)
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 16)
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 17)
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 18)
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
  • debug dot1x数据包enable (event) —启用802.1x数据包消息调试。下面是基于成功身份验证的 debug 输出示例:

    (Cisco Controller) debug dot1x packet enable
    
     00:40:96:af:3e:93 Sending 802
    .11 EAPOL message  to mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 02 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1b 02 02 00 1b  01 50 45 41 50 2d 3
    0 30  .........PEAP-00
                          00000010: 2d 34 30 2d 39 36 2d 41  46 2d 33 45 2d 39 33
      -40-96-AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 26 01 19 00 26  11 01 00 08 52 97 b
    2 df  ...&...&....R...
                          00000010: 38 d2 ce 74 50 45 41 50  2d 30 30 2d 34 30 2d 39
      8..tPEAP-00-40-9
                      00000020: 36 2d 41 46 2d 33 45 2d  39 33                    6-
    AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 06 02 19 00 06  03 2b
          .........+
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:14 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:14 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:15 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:15 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 02 72 01 1b 02 72  2b 81 00 00 02 68 1
    6 03  ...r...r+....h..
                          00000010: 01 00 4a 02 00 00 46 03  01 47 1c bd b1 3a a8 8e
      ..J...F..G...:..
                      00000020: de fc 62 51 e0 fe 93 c2  1d 21 08 51 59 ba c6 90  ..
    bQ.....!.QY...
                  00000030: ad 14 1b bc
    Mon Oct 22 20:41:17 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    36) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:17 2007: 00000000: 01 00 01 4c 02 1b 01 4c  2b 01 16 03 01 01 0
    6 10  ...L...L+.......
                          00000010: 00 01 02 01 00 f4 92 8c  54 b1 34 ae 1e 13 a3 63
      ........T.4....c
                      00000020: 03 35 e9 33 e6 45 01 6a  87 18 ba 3d 03 0f 5f a5  .5
    .3.E.j...=.._.
                  00000030: 1d 3a ae fa
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:46 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 45 01 1d 00 45  2b 81 00 00 00 3b 1
    4 03  ...E...E+....;..
                          00000010: 01 00 01 01 16 03 01 00  30 cc 1f c4 54 ac a2 88
      ........0...T...
                      00000020: 14 11 92 c4 5a 78 2c 57  06 57 77 d7 6b 4e b1 db  ..
    ..Zx,W.Ww.kN..
    eived 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 1f 00 6b  2b 01 17 03 01 00 6
    0 8b  ...k...k+.....`.
                          00000010: 25 2f c6 1a 61 de af 51  a4 1d ae 9e 8c e8 45 80
      %/..a..Q......E.
                      00000020: e0 14 69 01 d8 ab eb 08  af 21 44 44 70 9c 25 d2  ..
    i......!DDp.%.
                  00000030: 39 6f 75 ce
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 5b 01 20 00 5b  2b 01 17 03 01 00 5
    0 0a  ...[...[+.....P.
                          00000010: 7e da 91 4e d7 ae 6b 87  7c 31 7f 7a 3c af 67 71
      ~..N..k.|1.z<.gq
                      00000020: 8a a1 0b aa 0a ac 6f b5  e8 65 83 3b d1 39 bd 1b  ..
    ....o..e.;.9..
                  00000030: f4 dd f9 68
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    7) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2b 02 20 00 2b  2b 01 17 03 01 00 2
    0 73  ...+...++......s
                          00000010: 02 d6 0e d3 55 57 7c 0c  58 f0 7c 1f 5e 61 09 40
      ....UW|.X.|.^a.@
                      00000020: 00 85 0b 8e 11 b5 23 1b  fc 27 77 71 ad b8 ed     ..
    ....#..'wq...
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 01 21 00 6b  2b 01 17 03 01 00 6
    0 c8  ...k.!.k+.....`.
                          00000010: c4 69 43 5d ad 34 88 05  24 d7 7e 90 e3 65 87 37
      .iC].4..$.~..e.7
                      00000020: 9c 94 2f 99 5d be ca 82  1a 11 89 68 44 08 4c ef  ..
    /.]......hD.L.
                  00000030: 56 89 18 7a
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 21 00 6b  2b 01 17 03 01 00 6
    0 16  ...k.!.k+.....`.
                          00000010: 04 f2 92 41 da 4c 9c 4a  64 d8 88 9e 4b ac b9 76
      ...A.L.Jd...K..v
                      00000020: a0 94 2a 7c 5f 7b 9b be  8b 07 e1 42 79 f1 4f 06  ..
    *|_{.....By.O.
                  00000030: 8e 50 c8 25
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 01 1b 01 22 01 1b  2b 01 17 03 01 01 1
    0 0f  ....."..+.......
                          00000010: 9b 84 da 57 60 8b a7 f6  e2 09 33 38 0c d8 fc 1f
      ...W`.....38....
                      00000020: 5f 2f 6a 59 72 4a a7 db  3a 5d 32 5c ac ed 1d d0  _/
    jYrJ..:]2\....
                  00000030: 46 6a 1c 93
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 7
    9) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 4b 02 22 00 4b  2b 01 17 03 01 00 4
    0 3f  ...K.".K+.....@?
                          00000010: 93 1f aa c6 2f 61 f8 45  84 f5 60 bd 35 87 8e 3a
      ..../a.E..`.5..:
                      00000020: 6b 96 7c 9a f6 79 91 73  c1 e9 68 78 82 88 29 07  k.
    |..y.s..hx..).
                  00000030: 8f 71 ef 09
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 04 04 22 00 04
          ....."..
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:48 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 
                  00000030: 2c 14 ca 45
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 00 00 04 03 20 00 04
          ........
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 39 01 00 0d ca  b3 f9 35 00 0a 60 b
    a 20  ...9......5..`..
                          00000010: 82 55 76 30 27 6f 92 2e  ee ce 49 c8 c2 5c 24 01
      .Uv0'o....I..\$.
                      00000020: 33 8e 39 fb a6 f4 fa 72  09 8b ae 1a d5 ab 84 73  3.
    9....r.......s
                  00000030: e9 b9 28 85
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 2c 01 00 0d ca  b3 f9 35 00 0a 60 b
    b 2b  ...,......5..`.+
                          00000010: fa 79 fc 30 50 de dd a0  95 95 cb 50 25 19 0a 80
      .y.0P......P%...
                      00000020: 1e e8 3e bf 8b 7a e3 a1  37 2a 07 8d ef 24 72 47  ..
    >..z..7*...$rG
  • debug aaa事件enable (event) —启用所有aaa事件debug输出。这是失败的认证进程的debug输出示例:

    (Cisco Controller) >debug aaa events enable
    
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 145) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code=11
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=11
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIU
    S server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 146) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    ..................................................................................
    ..................................................................................
    ..................................................................................
    ..................................................................................
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=3
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Reject received from RADIUS s
    erver 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:42 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 149) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    

故障排除

故障排除提示

  • 保证验证服务器标识复选框为匿名在波段之内供应的客户端配置文件禁用。

  • 保证EAP-MSCHAPver2选择作为在客户端配置文件的已验证方法匿名在波段之内供应的。这是在相位零的唯一的可适用的EAP内在方法匿名在波段之内供应的。

  • 确保用户凭证被输入在客户端在验证时已经配置在ACS。

  • 检查RADIUS服务器是否从WLAN选择(SSID)的下拉菜单。

  • 如果使用Wi-Fi保护访问(WPA),则您必须安装Windows XP的SP2最新的Microsft WPA ICM Hotfixes。并且,您应该升级您的客户端请求方的驱动程序到新版本。

  • [SECURITY] 1x_ptsm.c 391 :最大值EAPOL-Key M3重新传输到达了错误消息意味着卡没有回答一个要求其标识。如果在 WLC CLI 上使用这些命令,则可以延长控制器上等待客户端 802.1x 信息的 EAP 计时器:

    • 设置先进的eap标识请求超时120 c

    • 设置先进的eap标识请求重试次数20

    • 设置先进的eap请求超时120

    • 设置提前的eap请求重试次数20保存设置

从 ACS RADIUS 服务器提取包文件用于故障排除

如果使用ACS作为外部RADIUS服务器,此部分可以用于排除故障。package.cab是包含需要的所有必要的文件为了高效地排除故障ACS的压缩文件。可以使用 CSSupport.exe 实用程序创建 package.cab,也可以手动收集文件。

参考创建获取Cisco Secure ACS for Windows的版本和AAA调试信息package.cab文件部分关于如何创建和抽出从无线控制系统(WCS)的包文件的更多信息。


相关信息


Document ID: 99791