ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

アクセス ポイントとの ACS 5.3 の EAP 認証

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は RADIUSサーバによってアクセスされるデータベースに対して無線ユーザの Extensible Authentication Protocol (EAP) 認証のための Cisco IOS ® ソフトウェアベースの Access Point (AP)の設定 例を説明したものです。

AP は認証サーバにまたその逆にも向かう配線されたパケットにクライアントからのワイヤレス パケットを繋ぎます。 AP が EAP のこの受動ロールを担うので、この設定は事実上すべての EAP メソッドと使用されます。 これらのメソッドはセキュアなトンネリング(ファースト)によって含んでいますが、に、軽い EAP (LEAP)、Protected EAP (PEAP) - Microsoft Challenge Handshake Authentication Protocol (MSCHAP) バージョン 2、PEAP ジェネリック トークンカード(GTC)、EAP 適用範囲が広い認証、EAP 転送する 層 セキュリティ(TLS)、および EAP トンネル伝送された TLS (TTL)制限されません。 このような EAP 方式ごとに認証サーバを適切に設定する必要があります。

この資料に AP および Cisco Secure Access Control Server (この設定 例の ACS) 5.3 である RADIUSサーバを設定する方法を記述されています。

Ishant Varshney によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco IOSソフトウェア GUI または Command Line Interface (CLI)の習熟度
  • EAP 認証の概念の習熟度

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Aironet Cisco IOS ソフトウェア リリース 15.2(2)JB を実行する 3602 のアクセス ポイント
  • Cisco Secure Access Control Server 5.3

この設定例はネットワークにたった 1 VLAN があることを前提しています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

この資料は GUI および CLI 両方のためにこの設定を使用します:

  • AP の IP アドレスは 10.105.136.11 です。
  • RADIUSサーバ(ACS)の IP アドレスは 10.106.55.91 です。

GUI の設定

認証サーバの定義

このプロシージャは認証サーバを定義しそれの関係を確立する方法を記述します。

  1. AP GUI では、セキュリティ > サーバマネージャへのナビゲート。

  2. コーポレイトサーバでは認証サーバの IP アドレスを区分して下さい、入力して下さい(10.106.55.91) Server フィールドで。

  3. 共有秘密、認証 ポートおよびアカウンティングポートを規定 して下さい。 1646 ポート 1813、1814 か 1645 を使用できます。

  4. 定義を作成し、ドロップダウン リストを読み込むために『Apply』 をクリック して下さい。

  5. デフォルト サーバ優先セクションでは、サーバのIPアドレスに EAP 認証 優先順位 1 フィールドを設定 して下さい(10.106.55.91)

  6. [Apply] をクリックします。

116598-config-eap-radius-01.jpg

ACS の設定

外部 の RADIUSサーバにユーザを差し向ける場合、AP はこの外部 の RADIUSサーバのための認証、許可、アカウンティング(AAA) クライアントである必要があります。 このプロシージャは ACS を設定する方法を記述します。

  1. Cisco Secure ACS GUI では、ネットワークリソースをクリックして下さい。 ACS 5.3 では、デバイスは場所によってグループ化することができます。

    116598-config-eap-radius-02.jpg

  2. 位置を作成して下さい。 ネットワーク デバイス グループの下で、Location をクリックして下さい。 新しい場所を『Create』 をクリック して下さい。 Name フィールドでは、位置名前(IOS_lab)を入力して下さい。 この位置のための説明(IOS LAB)を入力して下さい。 親位置として一般をすべての場所選択して下さい。 検証するために『SUBMIT』 をクリック して下さい。

    116598-config-eap-radius-03.png

  3. IOS AP のためのグループを作成して下さい。 型を『Device』 をクリック して下さい。 新しいグループを作成するために『Create』 をクリック して下さい。 Name フィールドでは、グループ名(IOS_APs)を入力して下さい。 このグループのための説明(LAB の IOS AP)を入力して下さい。 親としてデバイスの種類を『All』 を選択 して下さい。 検証するために『SUBMIT』 をクリック して下さい。

    116598-config-eap-radius-04.jpg

  4. AP を追加して下さい。 ネットワークデバイスおよび AAA クライアントをクリックして下さい。 Name フィールドでは、IOS AP (AP)の名前を入力して下さい。 その AP (IOS AP)のための説明を入力して下さい。

    ネットワーク デバイス グループの下で、Location フィールドの隣で、『SELECT』 をクリック し、ボックスを IOS_lab の隣でチェックし、検証するために『OK』 をクリック して下さい。 IP アドレスの下で、本当に単一 IP アドレスで有効に され、入力します AP の IP アドレスをであって下さい(10.105.136.11)

    認証オプションの下で、RADIUS をチェックして下さい。 共有秘密 フィールドでは、シークレット(Cisco)を入力して下さい。 デフォルトに他の値を維持して下さい。 検証するために『SUBMIT』 をクリック して下さい。

    116598-config-eap-radius-05.jpg

  5. 無線ユーザ 資格情報を追加して下さい。 ユーザおよび識別へのナビゲートは > 識別グループ保存します。 新しいグループを作成するために『Create』 をクリック して下さい。 Name フィールドでは、グループ名(EAP_Users)を入力して下さい。 説明(EAP ワイヤレスのためのユーザ)を入力して下さい。 検証するために『SUBMIT』 をクリック して下さい。

    116598-config-eap-radius-06.jpg

  6. このグループのユーザを作成して下さい。 『Users』 をクリック して下さい。 新規 ユーザを作成するために『Create』 をクリック して下さい。 Name フィールドでは、ユーザ名(半径)を入力して下さい。 ユーザ ステータスが有効に なるようにして下さい。 ユーザ(テスト半径)向けの説明を入力して下さい。 識別 Group フィールドの隣で、『SELECT』 をクリック し、ボックスを EAP_Users の隣でチェックし、検証するために『OK』 をクリック して下さい。

    パスワード情報の下で、<password> をパスワードで入力し、Password フィールドを確認して下さい。 ネットワークへのこのユーザーのニーズ アクセスが管理のためのあらゆる Ciscoデバイスにしかしアクセスを必要としないので、イネーブルパスワードのための必要がありません。

    116598-config-eap-radius-07.jpg

  7. 検証するために『SUBMIT』 をクリック して下さい。 新規 ユーザはリストに現われ、ACS は現在準備ができています。

  8. ポリシー要素 > 許可へのナビゲートおよび権限 > ネットワーク アクセス > 許可プロファイル ユーザがアクセス 権を与えられることを確認するため。 PermitAccess プロファイルがあるはずです。 このプロファイルを受け取るユーザはネットワークへのアクセスを認められます。

    116598-config-eap-radius-08.jpg

  9. アクセスポリシー > アクセスへのナビゲートは > 許可を検査するデフォルト デバイ Admin 保守しますマッピング する識別グループおよび許可がチェックされることを確かめて下さい。

    116598-config-eap-radius-09.jpg

  10. 許可された Protocols タブをクリックし、必須 EAP メソッドにボックスを選択し、検証するために『SUBMIT』 をクリック して下さい。

    116598-config-eap-radius-10.jpg

SSID を設定して下さい

このプロシージャは AP の Service Set Identifier (SSID)を設定する方法を記述します。

  1. Cisco Secure ACS GUI では、セキュリティ > SSID マネージャへのナビゲート。 『New』 をクリック し、SSID 名前(半径)を入力し、両方の無線インターフェイスをイネーブルに設定し、『Apply』 をクリック して下さい。

    116598-config-eap-radius-11.jpg

  2. セキュリティ > 暗号化マネージャにナビゲート し、暗号として『AES CCMP』 を選択 し、両方の無線のこの暗号化を適用するために適用すべてクリックして下さい。

    116598-config-eap-radius-12.jpg

  3. セキュリティ > SSID マネージャにナビゲート し、半径 SSID を選択して下さい。 クライアント認証では設定は区分し、オープン認証をチェックし、ドロップダウン リストから『With EAP』 を選択 し、ネットワーク EAP をチェックします。

    クライアントでは認証されたキー管理 セクションはキー管理 ドロップダウン リストから、『Mandatory』 を選択 し、イネーブル WPA をチェックし、ドロップダウン リストから WPAv2 を選択します。 [Apply] をクリックします。

    116598-config-eap-radius-13.jpg

  4. 両方の無線のこの SSID をブロードキャストするために、同じページのゲスト モード/インフラストラクチャ SSID 設定セクションを探して下さい。 両方の無線に関しては、ビーコン モードを単一 BSSID に設定 し、一定単一ゲスト モード SSID ドロップダウン リストから SSID 名前(半径)を選択して下さい。 [Apply] をクリックします。

    116598-config-eap-radius-14.jpg

  5. 2G.Hz > 設定 > イネーブルはネットワーク > ネットワーク インターフェイス > Radio0-802.11n に両方の無線インターフェイスをイネーブルに設定するためにナビゲート します。

  6. クライアント 接続をテストして下さい。

CLI による設定



このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

これは CLI 内で行う設定と同じです。

show run
Building configuration...

Current configuration : 2511 bytes
!
! Last configuration change at 01:17:48 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$1u04$jr7DG0DC5KZ6bVaSYUhck0
!
aaa new-model
!
!
aaa group server radius rad_eap
 server 10.106.55.91
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
ip cef
!
ip dhcp pool test
!
!
!
dot11 syslog
!
dot11 ssid radius
   authentication open eap eap_methods
   authentication network-eap eap_methods
   authentication key-management wpa version 2
   guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 !
 encryption mode ciphers aes-ccm
 !
 ssid radius
 !
 antenna gain 0
 stbc
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
 no ip address
 !
 encryption mode ciphers aes-ccm
 !
 ssid radius
 !
 antenna gain 0
 dfs band 3 block
 stbc
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 ip address 10.105.136.11 255.255.255.128
!
ip default-gateway 10.105.136.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.105.136.1
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.106.55.91 key 7 00271A1507545A545C606C
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input all
!
end

確認

ここでは、設定が正常に動作していることを確認します。

クライアントを接続して下さい; 認証の成功の後で、これは AP GUI に現われる設定 の 要約です:

116598-config-eap-radius-15.jpg

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

CLI では、設定を確認するために show dot11 associations コマンドを入力して下さい:

ap#show dot11 associations 

802.11 Client Stations on Dot11Radio0:

SSID [radius] :

MAC Address    IP address      Device        Name         Parent      State
f8db.7f75.7804 10.105.136.116  unknown       -            self        EAP-Assoc

また AP のすべての設定された RADIUS サーバグループのリストを表示するために show radius server-group all コマンドを入力できます。

トラブルシューティング

このプロシージャは設定をトラブルシューティングする方法を記述します。

  1. クライアント側のユーティリティかソフトウェアでは、何もクライアントコンフィギュレーションで破損するようにならなかったことを確認するために同じまたは同じようなパラメータの新しいプロファイルか接続を作成して下さい。

  2. Radio Frequency (RF)問題は認証の成功を防ぐことができます。 一時的にディセーブル 認証この可能性を軽減するため:

    • CLI から、次のコマンドを入力します。

      • 認証開いた eap eap_methods 無し
      • 認証 ネットワーク EAP eap_methods 無し
      • 開いた認証

    • GUI から、SSID マネージャ ページで、ネットワーク EAP のチェックを外し、開いたチェックし、付加にドロップダウン リストを設定 して下さい。

      クライアントが関連付けに成功する場合には、RF はアソシエーションの問題に関係しません。

  3. 共有秘密 パスワードが AP と認証サーバの間で同期されることを確認して下さい。 さもなければ、このエラーメッセージを受け取るかもしれません:

    Invalid message authenticator in EAP request
    • CLI から、行をチェックして下さい:

      radius-server host x.x.x.x auth-port x acct-port x key <shared_secret>
    • GUI から、Server Manager ページで、共有秘密 フィールドで適切なサーバのための共有秘密を再入力して下さい。

      RADIUSサーバの AP のための共有秘密 エントリは同じ共有秘密 パスワードが含まれている必要があります。

  4. RADIUS サーバからすべてのユーザ グループを削除します。 競合は RADIUSサーバによって定義されるユーザグループと根本的なドメインのユーザグループの間に発生する場合があります。 試行失敗と失敗の原因があるように RADIUSサーバのログを確認して下さい。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

デバイス間のネゴシエーションを調査し、表示するためにこれらの debug コマンドを使用して下さい:

  • debug dot11 aaa authenticator state-machine
  • debug radius authentication
  • debug aaa authentication

debug dot11 aaa authenticator state-machine

このコマンドはクライアントと認証サーバ間のネゴシエーションの主要な除算(か状態を)表示するものです。 これは認証の成功からの出力例です:

ap#debug dot11 aaa authenticator state-machine
state machine debugging is on
ap#
*Mar  1 01:38:34.919: dot11_auth_dot1x_send_id_req_to_client: Sending identity
request to f8db.7f75.7804

*Mar  1 01:38:34.919: dot11_auth_dot1x_send_id_req_to_client: Client
f8db.7f75.7804 timer started for 30 seconds
*Mar  1 01:38:35.431: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,
CLIENT_REPLY) for f8db.7f75.7804
*Mar  1 01:38:35.431: dot11_auth_dot1x_send_response_to_server: Sending client
f8db.7f75.7804 data to server

*Mar  1 01:38:35.431: dot11_auth_dot1x_send_response_to_server: Started timer
server_timeout 60 seconds
*Mar  1 01:38:35.435: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_REPLY) for f8db.7f75.7804
*Mar  1 01:38:35.435: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804

*Mar  1 01:38:35.435: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
*Mar  1 01:38:35.443: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,
CLIENT_REPLY) for f8db.7f75.7804
*Mar  1 01:38:35.443: dot11_auth_dot1x_send_response_to_server: Sending client
f8db.7f75.7804 data to server

*Mar  1 01:38:35.443: dot11_auth_dot1x_send_response_to_server: Started timer
server_timeout 60 seconds
*Mar  1 01:38:35.447: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_REPLY) for f8db.7f75.7804
*Mar  1 01:38:35.447: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804
*Mar  1 01:38:35.447: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
-------------------Lines Omitted for simplicity-------------------
*Mar  1 01:38:36.663: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_REPLY) for f8db.7f75.7804
*Mar  1 01:38:36.663: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804
*Mar  1 01:38:36.663: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
*Mar  1 01:38:36.667: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,
CLIENT_REPLY) for f8db.7f75.7804
*Mar  1 01:38:36.667: dot11_auth_dot1x_send_response_to_server: Sending client
f8db.7f75.7804 data to server
*Mar  1 01:38:36.667: dot11_auth_dot1x_send_response_to_server: Started timer
server_timeout 60 seconds
*Mar  1 01:38:36.671: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_PASS) for f8db.7f75.7804

*Mar  1 01:38:36.671: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804

*Mar  1 01:38:36.671: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
*Mar  1 01:38:36.719: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
f8db.7f75.7804 Associated KEY_MGMT[WPAv2]

debug radius authentication

このコマンドは AP によって繋がれるサーバとクライアント間の RADIUS ネゴシエーションを表示するものです。 これは認証の成功からの出力例です:

ap#debug radius authentication

*Mar  1 01:50:50.635: RADIUS/ENCODE(000001F6):Orig. component type = DOT11
*Mar  1 01:50:50.635: RADIUS:  AAA Unsupported Attr: ssid [347] 6
*Mar  1 01:50:50.635: RADIUS:   72 61 64 69 [ radi]
*Mar  1 01:50:50.635: RADIUS:  AAA Unsupported Attr: service-type [345] 4 1
*Mar  1 01:50:50.635: RADIUS:  AAA Unsupported Attr: interface [222] 3
*Mar  1 01:50:50.635: RADIUS:   32 [ 2]
*Mar  1 01:50:50.635: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar  1 01:50:50.635: RADIUS(000001F6): Config NAS IPv6:
*Mar  1 01:50:50.635: RADIUS/ENCODE(000001F6): acct_session_id: 491
*Mar  1 01:50:50.635: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar  1 01:50:50.635: RADIUS(000001F6): sending
*Mar  1 01:50:50.635: RADIUS(000001F6): Send Access-Request to 10.106.55.91:1645
id 1645/73, len 140

*Mar  1 01:50:50.635: RADIUS:  authenticator 0F 74 18 0E F3 08 ED 51 -
8B EA F7 31 AC C9 CA 6B
*Mar  1 01:50:50.635: RADIUS:  User-Name  [1]   8   "radius"
*Mar  1 01:50:50.635: RADIUS:  Framed-MTU  [12]  6   1400
*Mar  1 01:50:50.635: RADIUS:  Called-Station-Id   [30]  26  "1C-E6-C7-E1-D8-90:
radius"
*Mar  1 01:50:50.635: RADIUS:  Calling-Station-Id  [31]  16  "f8db.7f75.7804"
*Mar  1 01:50:50.635: RADIUS:  Service-Type [6]   6   Login  [1]
*Mar  1 01:50:50.635: RADIUS:  Message-Authenticato[80]  18
*Mar  1 01:50:50.635: RADIUS:   E3 E1 50 F8 2B 22 26 84 C1 F1 76 28 79 70 5F 78
[ P+"&v(yp_x]
*Mar  1 01:50:50.635: RADIUS:  EAP-Message [79]  13
*Mar  1 01:50:50.635: RADIUS:   02 01 00 0B 01 72 61 64 69 75 73
[ radius]
*Mar  1 01:50:50.635: RADIUS:  NAS-Port-Type       [61]  6   802.11 wireless
[19]
*Mar  1 01:50:50.635: RADIUS:  NAS-Port   [5]   6   282
*Mar  1 01:50:50.635: RADIUS:  NAS-Port-Id  [87]  5   "282"
*Mar  1 01:50:50.635: RADIUS:  NAS-IP-Address [4]   6   10.105.136.11
*Mar  1 01:50:50.635: RADIUS:  Nas-Identifier  [32]  4   "ap"
*Mar  1 01:50:50.635: RADIUS(000001F6): Sending a IPv4 Radius Packet
*Mar  1 01:50:50.635: RADIUS(000001F6): Started 5 sec timeout
*Mar  1 01:50:50.639: RADIUS: Received from id 1645/73 10.106.55.91:1645, Access
-Challenge, len 94

*Mar  1 01:50:50.639: RADIUS:  authenticator 5E A4 A7 B9 01 CC F4 20 -
2E D0 2A 1A A4 58 05 9E
*Mar  1 01:50:50.639: RADIUS:  State               [24]  32
*Mar  1 01:50:50.639: RADIUS:   32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar  1 01:50:50.639: RADIUS:   31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B    [ 1
/165489511/9;]
*Mar  1 01:50:50.639: RADIUS:  EAP-Message         [79]  24
*Mar  1 01:50:50.639: RADIUS:   01 DC 00 16 11 01 00 08 00 CB 2A 0A 74 B3 77 AF
72 61 64 69 75 73         [ *twradius]
*Mar  1 01:50:50.639: RADIUS:  Message-Authenticato[80]  18
*Mar  1 01:50:50.643: RADIUS:   CC 44 D5 FE FC 86 BC 2D B0 89 61 69 4F 34 D1 FF
[ D-aiO4]
*Mar  1 01:50:50.643: RADIUS(000001F6): Received from id 1645/73
*Mar  1 01:50:50.643: RADIUS/DECODE: EAP-Message fragments, 22, total 22 bytes
*Mar  1 01:50:50.647: RADIUS/ENCODE(000001F6):Orig. component type = DOT11
*Mar  1 01:50:50.647: RADIUS:  AAA Unsupported Attr: ssid              [347] 6
*Mar  1 01:50:50.647: RADIUS:   72 61 64 69              [ radi]
*Mar  1 01:50:50.647: RADIUS:  AAA Unsupported Attr: service-type      [345] 4
1
*Mar  1 01:50:50.647: RADIUS:  AAA Unsupported Attr: interface         [222] 3
*Mar  1 01:50:50.647: RADIUS:   32                 [ 2]
*Mar  1 01:50:50.647: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar  1 01:50:50.647: RADIUS(000001F6): Config NAS IPv6:
*Mar  1 01:50:50.647: RADIUS/ENCODE(000001F6): acct_session_id: 491
*Mar  1 01:50:50.647: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar  1 01:50:50.647: RADIUS(000001F6): sending
*Mar  1 01:50:50.647: RADIUS(000001F6): Send Access-Request to 10.106.55.91:1645
id 1645/74, len 167
*Mar  1 01:50:50.647: RADIUS:  authenticator C6 54 54 B8 58 7E ED 60 - F8 E0 2E
05 B0 87 3B 76
*Mar  1 01:50:50.647: RADIUS:  User-Name           [1]   8   "radius"
*Mar  1 01:50:50.647: RADIUS:  Framed-MTU          [12]  6   1400
*Mar  1 01:50:50.647: RADIUS:  Called-Station-Id   [30]  26  "1C-E6-C7-E1-D8-90:
radius"
*Mar  1 01:50:50.647: RADIUS:  Calling-Station-Id  [31]  16  "f8db.7f75.7804"
*Mar  1 01:50:50.647: RADIUS:  Service-Type        [6]   6   Login
[1]
*Mar  1 01:50:50.647: RADIUS:  Message-Authenticato[80]  18
*Mar  1 01:50:50.647: RADIUS:   FE 15 7B DB 49 FE 27 C5 BC E2 FE 83 B9 25 8C 1F
[ {I'?]
*Mar  1 01:50:50.647: RADIUS:  EAP-Message         [79]  8
*Mar  1 01:50:50.647: RADIUS:   02 DC 00 06 03 19
*Mar  1 01:50:50.647: RADIUS:  NAS-Port-Type       [61]  6   802.11 wireless
[19]
*Mar  1 01:50:50.647: RADIUS:  NAS-Port            [5]   6   282
*Mar  1 01:50:50.647: RADIUS:  NAS-Port-Id         [87]  5   "282"
*Mar  1 01:50:50.647: RADIUS:  State               [24]  32
*Mar  1 01:50:50.647: RADIUS:   32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar  1 01:50:50.647: RADIUS:   31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B    [ 1
/165489511/9;]
*Mar  1 01:50:50.647: RADIUS:  NAS-IP-Address      [4]   6   10.105.136.11
*Mar  1 01:50:50.647: RADIUS:  Nas-Identifier      [32]  4   "ap"
*Mar  1 01:50:50.647: RADIUS(000001F6): Sending a IPv4 Radius Packet
*Mar  1 01:50:50.647: RADIUS(000001F6): Started 5 sec timeout
*Mar  1 01:50:50.647: RADIUS: Received from id 1645/74 10.106.55.91:1645, Access
-Challenge, len 78

*Mar  1 01:50:50.647: RADIUS:  authenticator 0E 81 99 9E EE 39 50 FB - 6E 6D 93
8C 8E 29 94 EC
*Mar  1 01:50:50.647: RADIUS:  State               [24]  32
*Mar  1 01:50:50.651: RADIUS:   32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar  1 01:50:50.651: RADIUS:   31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B    [ 1
/165489511/9;]
*Mar  1 01:50:50.651: RADIUS:  EAP-Message         [79]  8
*Mar  1 01:50:50.651: RADIUS:   01 DD 00 06 19 21                 [ !]
*Mar  1 01:50:50.651: RADIUS:  Message-Authenticato[80]  18
*Mar  1 01:50:50.651: RADIUS:   A8 54 00 89 1F 2A 01 52 FE FA D2 58 2F E5 F2 86
[ T*RX/]
*Mar  1 01:50:50.651: RADIUS(000001F6): Received from id 1645/74
*Mar  1 01:50:50.651: RADIUS/DECODE: EAP-Message fragments, 6, total 6 bytes
*Mar  1 01:50:50.655: RADIUS/ENCODE(000001F6):Orig. component type = DOT11
*Mar  1 01:50:50.655: RADIUS:  AAA Unsupported Attr: ssid              [347] 6
*Mar  1 01:50:50.655: RADIUS:   72 61 64 69              [ radi]
*Mar  1 01:50:50.655: RADIUS:  AAA Unsupported Attr: service-type      [345] 4
1
*Mar  1 01:50:50.655: RADIUS:  AAA Unsupported Attr: interface         [222] 3
 
-------------------Lines Omitted for simplicity-------------------

11        [ l2^w$qM{60]
*Mar  1 01:50:51.115: RADIUS:  NAS-Port-Type       [61]  6   802.11 wireless
[19]
*Mar  1 01:50:51.115: RADIUS:  NAS-Port            [5]   6   282
*Mar  1 01:50:51.115: RADIUS:  NAS-Port-Id         [87]  5   "282"
*Mar  1 01:50:51.115: RADIUS:  State               [24]  32
*Mar  1 01:50:51.115: RADIUS:   32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar  1 01:50:51.115: RADIUS:   31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B    [ 1
/165489511/9;]
*Mar  1 01:50:51.115: RADIUS:  NAS-IP-Address      [4]   6   10.105.136.11        
*Mar  1 01:50:51.115: RADIUS:  Nas-Identifier      [32]  4   "ap"
*Mar  1 01:50:51.115: RADIUS(000001F6): Sending a IPv4 Radius Packet
*Mar  1 01:50:51.115: RADIUS(000001F6): Started 5 sec timeout
*Mar  1 01:50:51.115: RADIUS: Received from id 1645/80 10.106.55.91:1645, Access
-Challenge, len 115
*Mar  1 01:50:51.115: RADIUS:  authenticator 74 CF 0F 34 1F 1B C1 CF -
E9 27 79 D5 F8 9C 5C 50
*Mar  1 01:50:51.467: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
f8db.7f75.7804 Associated KEY_MGMT[WPAv2]

debug aaa authentication

このコマンドはクライアントデバイスと認証サーバ間の認証のための AAA ネゴシエーションを表示するものです。

ap#debug aaa authentication
AAA Authentication debugging is on
ap#term mon
ap#
*Mar  1 01:55:52.335: AAA/BIND(000001F9): Bind i/f
*Mar  1 01:55:52.859: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar  1 01:55:52.867: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar  1 01:55:52.875: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar  1 01:55:52.895: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar  1 01:55:53.219: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar  1 01:55:53.379: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar  1 01:55:53.395: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar  1 01:55:53.807: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar  1 01:55:53.879: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar  1 01:55:53.939: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
f8db.7f75.7804 Associated KEY_MGMT[WPAv2]

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116598