无线 : Cisco Wireless LAN Controller Software

增加在无线局域网控制器的Web验证超时

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 5 月 26 日) | 反馈

简介

本文提供步骤要求为了Web-auth服务集标识(SSID)能每隔几分钟允许VPN用户访问,不用全双工验证和,不用断开。为了达到此,用户必须增加在无线局域网控制器(WLC)的Web验证(Web-auth)超时。

贡献用Dhiresh亚达夫, Cisco TAC工程师。

先决条件

要求

思科建议您会配置基本操作和Web-auth的WLC。

使用的组件

运行固件版本8.0.100.0的本文档中的信息根据一Cisco 5500系列WLC。

注释配置,并且在本文的Web-auth说明是可适用的对所有WLC型号和所有Cisco Unified无线网络镜像版本8.0.100.0和以后。

背景信息

在许多客户网络设置,有允许一批公司对某些IP地址的用户或访客VPN访问,不用需求通过Web-auth安全的设置。这些用户接收IP adddress并且连接直接地对VPN,不用对所有凭证的需要为了通过Web-auth安全得到验证。此SSID也许是在使用中的由也通过正常和全双工Web-auth为了获得互联网访问的另一套用户。 此方案通过在允许对VPN IP地址的用户连接的SSID配置的预验证ACL是可能的,在他们通过验证前。这些VPN用户的问题是他们选择IP地址,但是从未完成完整Web-auth。所以, Web-auth超时计时器激活,并且客户端deauthenticated :

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Web-Auth Policy timeout

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Pem timed out, Try to delete client in 10 secs.

值此超时是5分钟并且有固定值在WLC版本早于7.6。此短超时持续时间造成无线网络是接近不可用的为这类用户。功能更改此值在允许用户通过ACL允许的PRE验证访问VPN流量的WLC版本8.0被添加。

配置

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

完成这些步骤为了增加在WLC的Web-auth超时:

  1. 创建允许流量对VPN IP地址的ACL。

  2. 应用ACL作为在无线局域网(WLAN)配置的Preauthenctiation ACL在第3层安全下。

  3. 通过CLI登陆并且输入timeout命令设置WLAN安全的web-auth为了增加Web-auth超时值。
    (WLC)>config wlan security web-auth timeout ?
    <value> Configures Web authentication Timeout (300-14400 seconds).

    (WLC)>config wlan security web-auth timeout 3600 <Wlan_id> 

验证

使用本部分可确认配置能否正常运行。

当此示例输出显示,您的WLAN的Web-auth会话超时超时值出现:

(WLC)>show wlan 10
Web Based Authentication...................... Enabled
Web Authentication Timeout.................... 3600

故障排除

本部分提供的信息可用于对配置进行故障排除。

输入调试客户端<mac-address>命令为了为连接对VPN,不用验证的用户发现Web-auth计时器开始。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118963