无线 : 思科 5500 系列无线控制器

PEAP和EAP-FAST与ACS 5.2和无线局域网控制器配置示例

2016 年 10 月 25 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文解释如何配置无线局域网控制器(WLC)与使用的可扩展的认证协议(EAP)验证的一个外部RADIUS服务器例如访问控制服务器(ACS) 5.2。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 有WLC和轻量级接入点(拉普)的基础知识

  • 有AAA服务器的一功能知识

  • 有无线网络和无线安全安全性问题一详尽的知识

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行固件版本7.0.220.0的思科5508 WLC

  • Cisco 3502系列LAP

  • 与Intel 6300-N驱动版本14.3的Microsoft Windows 7本地请求方

  • 运行版本5.2的Cisco Secure ACS

  • Cisco 3560系列交换机

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-01.gif

下面是此图中使用的组件的配置详细信息:

  • ACS (RADIUS)服务器的IP地址是192.168.150.24。

  • WLC的管理和Ap-manager接口地址是192.168.75.44。

  • DHCP服务器寻址192.168.150.25。

  • VLAN 253使用在此配置中。两个用户连接对同样SSID “goa”。然而,使用EAP-FAST, user1配置验证使用PEAP-MSCHAPv2和user2。

  • 用户在VLAN 253将分配:

    • VLAN 253 :192.168.153.x/24.网关:192.168.153.1

    • VLAN 75 :192.168.75.x/24.网关:192.168.75.1

假定

  • 交换机为所有第3层VLAN配置。

  • DHCP服务器分配DHCP范围。

  • 第3层连通性存在网络的所有设备之间。

  • LAP已经加入对WLC。

  • 每个VLAN有/24掩码。

  • ACS 5.2有安装的一自签名证书。

配置步骤

此配置被分离到三个高层次步骤:

  1. 配置 RADIUS 服务器

  2. 配置WLC。

  3. 配置无线客户端工具。

配置 RADIUS 服务器

RADIUS服务器配置分开成四个步骤:

  1. Configure network资源。

  2. 配置用户。

  3. 定义策略元素。

  4. 运用访问策略。

ACS 5.x是一个基于策略的访问控制系统。即ACS 5.x使用一个基于规则的策略型号而不是用于4.x版本的基于组的型号。

更加强大ACS 5.x基于规则的策略型号的提供和灵活访问控制与更旧的基于组的方法比较。

在更旧的基于组的型号中,因为包含并且配合信息的三种类型组定义了策略:

  • 身份信息-此信息在AD或LDAP组中可以根据会员或内部ACS用户的一个静态分配。

  • 其他限制或情况-时间限制,设备限制,等等。

  • 权限- VLAN或Cisco IOS�权限级别。

ACS 5.x策略型号根据表的规则:

  • 如果情况然后发生

例如,我们使用描述的信息基于组的型号:

  • 如果标识条件,限制条件然后授权配置文件。

结果,这提供我们灵活性在什么情况下限制用户允许访问网络以及什么授权级别允许,当特定情况符合时。

Configure network资源

在此部分,我们配置WLC的AAA客户端在RADIUS服务器。

此过程说明如何在 RADIUS 服务器上将 WLC 添加为 AAA 客户端,以便 WLC 可以将用户凭证传递到 RADIUS 服务器。

完成这些步骤:

  1. 从ACS GUI,请去网络资源>网络设备组>位置,并且单击创建(在底部)。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-02.gif

  2. 添加必填字段,并且单击提交

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-03.gif

    您当前将看到此屏幕:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-04.gif

  3. 点击设备类型>创建

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-05.gif

  4. 单击 submit。您当前将看到此屏幕:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-06.gif

  5. 网络资源>网络设备和AAA客户端

  6. 单击创建,并且填写详细信息如显示此处:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-07.gif

  7. 单击 submit。您当前将看到此屏幕:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-08.gif

配置用户

在此部分,我们将创建ACS的本地用户。两个用户(user1和user2)在组呼叫的“无线用户”分配。

  1. 用户,并且标识存储>标识Groups>创建

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-09.gif

  2. 一旦单击请提交,页如下所示: :

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-10.gif

  3. 创建用户user1user2,并且分配他们到“无线用户”组。

    1. 点击用户,并且标识存储>标识Groups>用户>创建

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-11.gif

    2. 同样地,请创建user2。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-12.gif

    屏幕如下所示: :

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-13.gif

定义策略元素

验证Permit访问设置。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-14.gif

运用访问策略

在此部分,我们将选择将使用哪些认证方法,并且规则如何将配置。我们将创建基于规则上一个步骤。

完成这些步骤:

  1. 访问策略>Access Services>默认网络网络访问> Edit :“默认网络网络访问”

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-15.gif

  2. 选择EAP方法您类似将验证的无线客户端。在本例中,我们使用PEAP-MSCHAPv2EAP-FAST

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-16.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-17.gif

  3. 单击 submit

  4. 验证您选择的标识组。在本例中,我们使用内部用户,我们在ACS创建。保存更改。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-18.gif

  5. 为了验证授权配置文件,请去访问策略>Access Services>默认网络网络访问>授权

    您能在什么情况下定制您将提供对网络的用户访问,并且什么授权配置文件(属性)您将通过一次已验证。此粒度只是可用的在ACS 5.x。在本例中,我们选择位置设备类型协议标识组EAP验证方法

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-19.gif

  6. 点击OK键,并且保存更改

  7. 下一步是创建规则。如果规则没有定义,客户端允许访问,不用任何情况。

    单击创建> Rule-1。此规则是为用户在组“无线用户”中。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-20.gif

  8. 保存更改。屏幕如下所示: :

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-21.gif

    如果想要不匹配的用户然后将拒绝的条件编辑默认规则说“请拒绝访问”。

  9. 我们当前将定义服务选择规则。请使用此页为了配置一项简单或基于规则的策略确定适用的哪服务于流入请求。在本例中,使用一项基于规则的策略。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-22.gif

配置 WLC

此配置要求执行下列步骤:

  1. 配置与认证服务器的详细信息的WLC。

  2. 配置动态接口(VLAN)。

  3. 配置WLAN (SSID)。

用身份验证服务器的详细信息配置 WLC

配置WLC是必要的,因此它能通信以RADIUS服务器为了验证客户端,并且为所有其他处理。

完成这些步骤:

  1. 从控制器 GUI 中,单击 Security

  2. 输入 RADIUS 服务器的 IP 地址以及在 RADIUS 服务器和 WLC 之间使用的共享密钥。

    此共享密钥应该是相同的象在RADIUS服务器配置的那个。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-23.gif

配置动态接口 (VLAN)

此步骤描述如何配置在WLC的动态接口。

完成这些步骤:

  1. 动态接口从控制器GUI配置,在Controller>接口窗口。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-24.gif

  2. 单击 Apply

    这把您带到Edit窗口此动态接口(VLAN 253此处)。

  3. 输入此动态接口的 IP 地址和默认网关。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-25.gif

  4. 单击 Apply

  5. 配置的接口如下所示: :

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-26.gif

配置 WLAN (SSID)

此过程说明如何在 WLC 中配置 WLAN。

完成这些步骤:

  1. 从控制器GUI,请去WLAN >创建新为了创建一新的WLAN。此时会显示 New WLANs 窗口。

  2. 输入 WLAN ID 和 WLAN SSID 信息。

    您能输入所有名称作为WLAN SSID。此示例使用goa作为WLAN SSID。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-27.gif

  3. 单击应用为了去到Edit窗口WLAN goa。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-28.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-29.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-30.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-31.gif

配置无线客户端工具

PEAP-MSCHAPv2 (user1)

在我们的测试客户端,我们以运行14.3驱动版本的英特尔6300-N卡使用Windows 7本地请求方。推荐使用从供应商的最新的驱动程序测试。

完成这些步骤为了创建在Windows的一配置文件零设置(WZC) :

  1. Control Panel > Network,并且互联网>管理无线网络

  2. 点击Add选项

  3. 单击手工创建网络配置文件

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-32.gif

  4. 添加详细信息如配置在WLC。

    注意: SSID区分大小写。

  5. 单击 Next

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-33.gif

  6. 点击崔凡吉莱连接设置为了复核设置。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-34.gif

  7. 确保您安排PEAP启用。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-35.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-36.gif

  8. 在本例中,我们不验证服务器证书。如果检查此方框并且不能连接,尝试再禁用功能和测验。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-37.gif

  9. 或者,您能使用您的Windows凭证为了登陆。然而,在本例中我们不使用那。单击 Ok

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-38.gif

  10. 点击先进的设置为了配置用户名和密码。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-39.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-40.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-41.gif

您的客户端工具当前准备连接。

EAP-FAST (user2)

在我们的测试客户端,我们以运行14.3驱动版本的英特尔6300-N卡使用Windows 7本地请求方。推荐使用从供应商的最新的驱动程序测试。

完成这些步骤为了创建在WZC的一配置文件:

  1. Control Panel > Network,并且互联网>管理无线网络

  2. 点击Add选项

  3. 单击手工创建网络配置文件

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-42.gif

  4. 添加详细信息如配置在WLC。

    注意: SSID区分大小写。

  5. 单击 Next

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-43.gif

  6. 点击崔凡吉莱连接设置为了复核设置。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-44.gif

  7. 确保您安排EAP-FAST启用。

    注意: 默认情况下, WZC没有EAP-FAST作为认证方法。您必须下载从第三方供应商的工具。在本例中,因为它是英特尔卡,我们有在系统PROSet安装的英特尔。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-45.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-46.gif

  8. 启用允许设置自动的PAC并且确保验证服务器证书被不选定。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-47.gif

  9. 点击用户凭证选项卡,并且进入user2凭证。或者,您能使用您的Windows凭证为了登陆。然而,在本例中我们不使用那。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-48.gif

  10. 单击 Ok

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-49.gif

您的客户端工具当前准备为user2连接。

注意: 当user2尝试验证时, RADIUS服务器发送PAC。接受PAC为了完成验证。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-50.gif

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

验证user1 (PEAP-MSCHAPv2)

从WLC GUI,请去监视器>客户端,并且选择MAC地址。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-51.gif

WLC RADIUS统计:

(Cisco Controller) >show radius auth statistics
Authentication Servers:
Server Index..................................... 1
Server Address................................... 192.168.150.24
Msg Round Trip Time.............................. 1 (msec)
First Requests................................... 8
Retry Requests................................... 0
Accept Responses................................. 1
Reject Responses................................. 0
Challenge Responses.............................. 7
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

ACS日志:

  1. 完成这些步骤为了查看命中数计数:

    1. 如果在15分钟检查日志验证内,请确保您刷新命中数计数。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-52.gif

    2. 您有命中数计数的一选项卡在同一个页底端。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-53.gif

  2. 点击监听,并且报告和一新的弹出窗口发表。去认证– Radius –今天。您能也单击服务选择规则应用的详情为了验证。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-54.gif

验证user2 (EAP-FAST)

从WLC GUI,请去监视器>客户端,并且选择MAC地址。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-55.gif

ACS日志:

  1. 完成这些步骤为了查看命中数计数:

    1. 如果在15分钟检查日志验证内,请确保您刷新HIT计数。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-56.gif

    2. 您有命中数计数的一选项卡在同一个页底端。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-57.gif

  2. 点击监听,并且报告和一新的弹出窗口发表。去认证– Radius –今天。您能也单击服务选择规则应用的详情为了验证。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-58.gif

故障排除

本部分提供的信息可用于对配置进行故障排除。

故障排除命令

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

  1. 如果遇到任何问题,请发出这些on命令WLC :

    • 调试客户端<mac添加client>

    • debug aaa all enable

    • 显示客户端详细信息<mac addr> -验证Policy Manager状态。

    • show radius auth statistics -验证失败原因。

    • 调试禁用所有-关闭调试。

    • 清除在WLC的stats radius验证全清楚radius统计信息。

  2. 验证登录ACS并且注释失败原因。


相关信息


Document ID: 113670