Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Ejemplo de Configuración de ACL por usuario con Wireless LAN Controllers y Cisco Secure ACS

25 Agosto 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (10 Marzo 2009) | Comentarios

Contenido

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Convenciones
Antecedentes
      Diagrama de Red
Configuración
Configuración del Wireless LAN Controller
      Creación de una VLAN Nueva para los Usuarios Inalámbricos
      Configuración del WLC para Autenticación con Cisco Secure ACS
      Creación de una WLAN Nueva para los Usuarios Inalámbricos
      Definición de las ACL para los Usuarios
Configuración del Servidor Cisco Secure ACS
      Configuración del Wireless LAN Controller como Cliente AAA en el Cisco Secure ACS
      Configuración de los Usuarios y de los Perfiles de Usuario en el Cisco Secure ACS
Verificación
Troubleshooting
      Consejos para Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento, se explica mediante un ejemplo cómo configurar las listas de control de acceso (ACL) en los WLC y aplicarlas a los usuarios sobre la base de la autorización RADIUS.

Prerrequisitos

Requisitos

Asegúrese de cumplir los siguientes requisitos antes de utilizar esta configuración:

  • Tener conocimientos básicos sobre cómo configurar un servidor Cisco Secure ACS para autenticar clientes inalámbricos.

  • Tener conocimientos sobre la configuración de Cisco Aironet Lightweight Access Points (LAPs) y de Cisco Wireless LAN Controllers (WLCs)

  • Tener conocimientos sobre Cisco Unified Wireless Security Solutions

Componentes Utilizados

La información de este documento se basa en las siguientes versiones de software y hardware:

  • Cisco 4400 Series Wireless LAN Controller que ejecuta la versión 4.1.181.0

  • Puntos de acceso Cisco Aironet 1000 series Lightweight (LAPs)

  • Cisco Aironet 802.11 a/b/g Cisco Wireless LAN client adapter que ejecuta la versión 3.6

  • Cisco Aironet Desktop Utility versión 3.6

  • Servidor Cisco Secure ACS versión 4.1

  • Cisco 2800 Series Integrated Services Router que ejecuta IOS® versión 12.4(11)T

  • Cisco Catalyst 2900XL Series Switch que ejecuta la versión 12.0(5)WC3b

La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de los comandos.

Convenciones

Consulte las Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Antecedentes

La función de listas de control de acceso (ACL) por usuario forma parte de Cisco Identity Networking. Cisco Wireless LAN Solution soporta Identity Networking, que permite que la red anuncie apenas un SSID y también permite que usuarios específicos hereden diferentes políticas basándose en sus perfiles de usuario.

La característica de ACL por usuario proporciona la capacidad de aplicar una ACL configurada en el Wireless LAN Controller a un usuario sobre la base de la autorización RADIUS. Esto se logra con el atributo específico del proveedor (VSA) Airespace-ACL-Name.

Este atributo indica el nombre de la ACL que se aplicará al cliente. Cuando el atributo ACL está presente en Access Accept de RADIUS, el sistema aplica el ACL-Name a la estación del cliente después de su autenticación. Esto anula cualquier ACL asignada a la interfaz. Se ignora la ACL asignada a la interfaz y se aplica la nueva

Nota: Se requiere autenticación de usuario 802.1X para utilizar la función Per-User ACL.

A continuación se muestra un resumen del formato del atributo ACL-Name. Los campos se transmiten de izquierda a derecha.

 0                   1                   2                   3 
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|     Type      |  Length       |            Vendor-Id 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
     Vendor-Id (cont.)          | Vendor type   | Vendor length | 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|        ACL Name... 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 
• Type - 26 for Vendor-Specific 
• Length - >7 
• Vendor-Id - 14179 
• Vendor type - 6 
• Vendor length - >0 
• Value - A string that includes the name of the ACL to use for the client. 
   The string is case sensitive. 

Para obtener más información sobre Identity Networking de Cisco Unified Wireless Network, consulte la sección Configuración de Identity Networking del documento Configuración de Soluciones de Seguridad.

Diagrama de Red

En este documento, se utiliza la siguiente configuración de red:

En esta configuración, el Wireless LAN Controller (WLC) y el LAP se utilizan para proporcionar servicios inalámbricos a los usuarios de Department A y de Department B. Todos los usuarios inalámbricos utilizan una WLAN (SSID) común Office para acceder a la red y están en la VLAN Office-VLAN.

Per-User-ACL-WLC-1.gif

El servidor Cisco Secure ACS se utiliza para autenticar usuarios inalámbricos. La autenticación LEAP se utiliza para autenticar usuarios. Como se muestra, el WLC, el LAP y el servidor Cisco Secure ACS están conectados con un switch de capa 2.

Como se puede ver aquí, el router R1 conecta los servidores de la red alámbrica mediante el switch de capa 2. El router R1 también funciona como servidor DHCP, que proporciona direcciones IP a clientes inalámbricos desde la subred 172.16.0.0/16.

Se deben configurar los dispositivos para que ocurra lo siguiente:

El usuario User1 de Department A sólo puede acceder al servidor 172.16.1.100.

El usuario User2 de Department B sólo puede acceder al servidor 172.16.1.50.

Para lograr esto, es necesario crear 2 ACL en el WLC: una para User1 y la otra para User2. Una vez que se crearon las ACL, es necesario configurar el servidor Cisco Secure ACS para regresar el atributo de nombre de la ACL al WLC luego de autenticar correctamente el usuario inalámbrico. Luego, el WLC aplica la ACL al usuario y, por lo tanto, a la red, la cual se restringe sobre la base del perfil del usuario.

Nota: En este documento, se utiliza la autenticación LEAP para autenticar usuarios. Se pueden utilizar métodos de autenticación más seguros, tales como EAP FAST. Debido a que este documento se concentra en explicar cómo configurar la función ACL por usuario, se utiliza LEAP para simplificar.

La siguiente sección proporciona instrucciones paso a paso de modo tal de configurar los dispositivos para esta configuración.

Configuración

Antes de configurar la función de ACL por usuario, se debe configurar el WLC para su funcionamiento básico y registrar los LAP en el WLC. En este documento se asume que el WLC está configurado para el funcionamiento básico y que los LAP están registrados en el WLC. Si es un usuario nuevo que intenta configurar el WLC para su funcionamiento básico con los LAP, consulte Registro de AP Lightweight (LAP) en un Wireless LAN Controller (WLC).

Una vez que los LAPs estén registrados, complete los siguientes pasos para configurar los dispositivos para este ejercicio:

  1. Configuración del Wireless LAN Controller

  2. Configuración del servidor Cisco Secure ACS

  3. Verificación de la configuración

Nota: En este documento, se analiza la configuración requerida en el lado de la red inalámbrica. En el documento, se asume que la configuración alámbrica está establecida.

Configuración del Wireless LAN Controller

En el Wireless LAN Controller, es necesario hacer lo siguiente:

Creación de una VLAN para los Usuarios Inalámbricos

Complete los siguientes pasos para crear una VLAN para los usuarios inalámbricos:

  1. Vaya a la GUI del WLC y elija Controller > Interfaces. Aparece la ventana Interfaces. Esta ventana muestra las interfaces que están configuradas en el controlador.

  2. Haga clic en New para crear una interfaz dinámica nueva.

  3. En la ventana Interfaces > New ingrese el nombre de la interfaz y el Id. de la VLAN. Luego haga clic en Apply. En este ejemplo, la interfaz dinámica se denomina Office-VLAN y el Id. de VLAN asignado es 20.

    Per-User-ACL-WLC-2.gif

  4. En la ventana Interfaces > Edit ingrese la dirección IP, la máscara de subred y la gateway predeterminada para la interfaz dinámica. Asígnela a un puerto físico del WLC e introduzca la dirección IP del servidor DHCP. A continuación, haga clic en Apply .

    Per-User-ACL-WLC-3.gif

    En este ejemplo, se utilizan los siguientes parámetros para la interfaz Office-VLAN:

    Office-VLAN
        IP address: 172.16.1.25
        Netmask: 255.255.0.0
        Default gateway: 172.16.1.75 (sub-interface on Router R1)
        Port on WLC: 1
        DHCP server: 172.16.1.75 
    

Configuración del WLC para Autenticación con Cisco Secure ACS

Es necesario configurar el WLC para reenviar las credenciales del usuario a un servidor RADIUS externo (en este caso, el Cisco Secure ACS). El servidor RADIUS valida las credenciales de usuario y regresa el atributo de nombre de ACL al WLC luego de autenticar correctamente el usuario inalámbrico.

Complete los siguientes pasos para configurar el WLC para el servidor RADIUS:

  1. Elija Security y RADIUS Authentication en la GUI del controlador para mostrar la página RADIUS Authentication Servers. Luego haga clic en New para definir un servidor RADIUS.

  2. Defina los parámetros del servidor RADIUS en la página RADIUS Authentication Servers > New. Entre estos parámetros, se incluyen la dirección IP del servidor RADIUS, el secreto compartido, el número de puerto y el estado del servidor.

    Per-User-ACL-WLC-4.gif

  3. Las casillas de verificación Network User y Management determinan si la autenticación basada en RADIUS se aplica a los usuarios de administración y de red. En este ejemplo, se utiliza el Cisco Secure ACS como servidor RADIUS con la dirección IP 10.77.244.196. Haga clic en Apply.

Creación de una WLAN Nueva para los Usuarios Inalámbricos

A continuación, debe crear una WLAN a la cual puedan conectarse los usuarios inalámbricos. Para crear una WLAN nueva, complete los siguientes pasos:

  1. En la GUI del Wireless LAN Controller, haga clic en WLANs. En esta página, se enumeran las WLANs que existen en el controlador.

  2. Elija New para crear una WLAN nueva. Ingrese el Id. de WLAN, el nombre del perfil y el SSID de WLAN. Luego haga clic en Apply. Para esta configuración, cree una WLAN Office.

    Per-User-ACL-WLC-5.gif

  3. Una vez que creó la WLAN nueva, aparece la página WLAN > Edit para ella. En esta página, se pueden definir varios parámetros específicos para esta WLAN que incluyen políticas generales, seguridad, calidad de servicio (QoS) y parámetros avanzados.

    Per-User-ACL-WLC-6.gif

    En General policies, marque WLAN Status para activar la WLAN. Elija la interfaz adecuada en el menú desplegable. En este ejemplo, utilice la interfaz Office-vlan. El resto de los parámetros que aparecen en esta página se pueden modificar en función de los requerimientos de la red WLAN.

  4. Elija la ficha Security. Elija 802.1x en el menú desplegable Layer 2 security (debido a que es una autenticación LEAP). En 802.1x parameters, elija el tamaño adecuado de la clave WEP.

    Per-User-ACL-WLC-7.gif

  5. En la ficha Security, seleccione la subficha AAA server. Seleccione el servidor AAA que se utiliza para autenticar clientes inalámbricos. En este ejemplo, utilice el servidor ACS 10.77.244.196 para autenticar clientes inalámbricos.

    Per-User-ACL-WLC-8.gif

  6. Haga clic en la ficha Advanced. Marque Allow AAA Override para configurar la anulación de la política de usuario por medio de AAA en una LAN inalámbrica.

    Per-User-ACL-WLC-9.gif

  7. Elija el resto de los parámetros según los requisitos de la red. Haga clic en Apply.

Definición de las ACL para los Usuarios

Para esta configuración, es necesario crear dos ACL:

  • ACL1: Para que User1 pueda acceder solamente al servidor 172.16.1.100

  • ACL2: Para que User2 pueda acceder solamente al servidor 172.16.1.50

Complete los siguientes pasos para configurar las ACL en el WLC:

  1. En la GUI del WLC, elija Security > Access Control Lists. Aparece la página Access Control Lists. En esta página, se enumeran las ACL configuradas en el WLC. También se permite editar o eliminar cualquiera de las ACL. Para crear una nueva ACL, haga clic en New.

  2. En esta página, se permiten crear ACL nuevas. Ingrese el nombre de la ACL y haga clic en Apply. Una vez que creó la ACL, haga clic en Edit con el fin de crear reglas para ella.

  3. Es necesario que User1 pueda acceder solamente al servidor 172.16.1.100 y no debe tener acceso a ningún otro dispositivo. Para esto, es necesario definir las siguientes reglas.

    Per-User-ACL-WLC-10.gif

  4. De la misma manera, es necesario crear una ACL para User2 que permita que User2 pueda acceder solamente al servidor 172.16.1.50. Ésta es la ACL que se requiere para User2.

    Per-User-ACL-WLC-11.gif

    Ya configuró el Wireless LAN Controller para esta configuración. El paso siguiente es configurar el Cisco Secure Access Control Server para autenticar los clientes inalámbricos y devolver el atributo ACL Name al WLC luego de haber realizado una autenticación correcta.

    Para obtener más información sobre cómo configurar las ACL en Wireless LAN Controllers, consulte el Ejemplo de Configuración de ACL en Wireless LAN Controllers.

Configuración del Servidor Cisco Secure ACS

Para que el Cisco Secure ACS pueda autenticar clientes inalámbricos, es necesario completar los siguiente pasos:

Configuración del Wireless LAN Controller como Cliente AAA en el Cisco Secure ACS

Complete los siguientes pasos para configurar el Wireless LAN Controller como cliente AAA en el Cisco Secure ACS:

  1. Haga clic en Network Configuration > Add AAA client. Aparece la página Add AAA client. En esta página, defina el nombre del WLC para el sistema, la dirección IP de la interfaz de administración, el secreto compartido y realice la autenticación con Radius Airespace. A continuación se presenta un ejemplo:

    Per-User-ACL-WLC-12.gif

    Nota: El shared secret configurado en el Cisco Secure ACS debe coincidir con el shared secret configurado en el WLC, en RADIUS Authentication Servers > New.

  2. Haga clic en Submit+Apply.

Configuración de los Usuarios y de los Perfiles de Usuario en el Cisco Secure ACS

Complete los siguientes pasos para configurar los usuarios en el Cisco Secure ACS:

  1. Elija User Setup en la GUI del ACS, ingrese el nombre de usuario y haga clic en Add/Edit. En este ejemplo, el usuario es User1.

    Per-User-ACL-WLC-13.gif

  2. Cuando aparezca la página User Setup, defina todos los parámetros específicos para el usuario. En este ejemplo, se configuran el nombre de usuario, la contraseña, la información complementaria del usuario y los atributos RADIUS porque sólo son necesarios estos parámetros para la autenticación EAP.

    Per-User-ACL-WLC-14.gif

    Desplácese hacia abajo hasta ver los atributos RADIUS de Cisco Airespace específicos para el usuario. Seleccione Aire-ACL-Name para permitir que el ACS devuelva el nombre de la ACL al WLC junto con la respuesta de autenticación correcta. Para User1, cree una ACL User1 en el WLC. Ingrese el nombre de la ACL como User1.

    Per-User-ACL-WLC-15.gif

  3. Repita el mismo procedimiento para crear User2 como se muestra aquí.

    Per-User-ACL-WLC-16.gif

    Per-User-ACL-WLC-17.gif

    Per-User-ACL-WLC-18.gif

  4. Para asegurarse de que el servidor de autenticación está configurado para realizar el método de autenticación EAP deseado, haga clic en System Configuration y en Global Authentication Setup. En los parámetros de configuración EAP, elija el método EAP apropiado. En este ejemplo, se utiliza la autenticación LEAP. Cuando finalice, haga clic en Submit.

    Per-User-ACL-WLC-19.gif

Verificación

Utilice esta sección para confirmar que la configuración funciona correctamente.

Intente asociar un cliente inalámbrico al AP Lightweight con la autenticación LEAP para verificar si la configuración funciona según lo esperado.

Nota: En este documento, se considera que el perfil del cliente está configurado para la autenticación LEAP. Consulte Uso de la Autenticación EAP para obtener más información sobre cómo configurar el Wireless Client Adapter 802.11 a/b/g para la autenticación LEAP.

Cuando se activa el perfil para el cliente inalámbrico, se pide al usuario que proporcione el nombre de usuario y la contraseña para la autenticación LEAP. Esto es lo que sucede cuando el User1 intenta autenticarse en el LAP.

Per-User-ACL-WLC-20.gif

El AP Lightweight y, a continuación, el WLC transmiten las credenciales del usuario al servidor RADIUS externo (Cisco Secure ACS) para validar las credenciales. El servidor RADIUS compara los datos con la base de datos de usuarios y, luego de realizar la autenticación correctamente, devuelve el nombre de la ACL configurada para el usuario del WLC. En este caso, la ACL User1 se devuelve al WLC.

Per-User-ACL-WLC-21.gif

El Wireless LAN Controller aplica esta ACL a User1. Esta salida de ping muestra que User1 solamente puede acceder al servidor 172.16.1.100, pero no a ningún otro dispositivo.

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Reply from 172.16.1.100: bytes=32 time=3ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 3ms, Average = 1ms

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

De manera similar, cuando User2 intenta acceder a la WLAN, y luego de realizar la autenticación correctamente, el servidor RADIUS devuelve la ACL User2 al WLC.

Per-User-ACL-WLC-22.gif

Per-User-ACL-WLC-23.gif

El Wireless LAN Controller aplica esta ACL a User2. Esta salida de ping muestra que User2 solamente puede acceder al servidor 172.16.1.50, pero no a ningún otro dispositivo.

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Reply from 172.16.1.50: bytes=32 time=3ms TTL=255
Reply from 172.16.1.50: bytes=32 time=18ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 18ms, Average = 5ms

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Troubleshooting

En esta sección, encontrará información que puede utilizar para resolver problemas de configuración.

En el Wireless LAN Controller, también se pueden utilizar los siguientes comandos debug para resolver los problemas de la autenticación AAA.

  • debug aaa all enable: Configura la debug de todos los mensajes AAA.

  • debug dot1x packet enable: Activa la debug de todos los paquetes dot1x.

  • debug client <MAC Address>: Activa la debugging de clientes inalámbricos.

A continuación, se presenta un ejemplo del comando debug aaa all enable:

Nota: Algunas líneas de resultado se han completado en dos renglones debido a restricciones de espacio.

Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState..............00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet 
   (id 1) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 01 00 d0 2d 34 f5 99  b4 19 27 28 eb 5f 35 9c  
   ....-4....'(._5.
Thu Aug 16 14:42:54 2007: 00000010: 8f a9 00 dd 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ......user1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office-TSWEB..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 27 02  
   ...A.....Q.20O'.
Thu Aug 16 14:42:54 2007: 00000090: 01 00 25 11 01 00 18 1d  87 9d 0b f9 dd e5 39 0d  
   ..%...........9.
Thu Aug 16 14:42:54 2007: 000000a0: 2e 82 eb 17 c6 23 b7 96  dc c3 55 ff 7c 51 4e 75  
   .....#....U.|QNu
Thu Aug 16 14:42:54 2007: 000000b0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000c0: 1a d5 3b 35 5e 93 11 c0  c6 2f 5e f5 65 e9 3e 2d  
   ..;5^..../^.e.>-
Thu Aug 16 14:42:54 2007: 00000000: 0b 01 00 36 8c 31 6a b4  27 e6 d4 0e 1b 8e 5d 19  
   ...6.1j.'.....].
Thu Aug 16 14:42:54 2007: 00000010: 60 1c c2 16 4f 06 03 01  00 04 18 0a 53 56 43 3d
   ...O.......SVC=
Thu Aug 16 14:42:54 2007: 00000020: 30 2e 31 3b 50 12 6c fb  90 ec 48 9b fb d7 ce ca  
   0.1;P.l...H.....
Thu Aug 16 14:42:54 2007: 00000030: 3b 64 93 10 fe 09      ;d....
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=11
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=11
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Challenge received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............104
Thu Aug 16 14:42:54 2007:       resultCode...............255
Thu Aug 16 14:42:54 2007:       protocolUsed............0x00000001
Thu Aug 16 14:42:54 2007:       proxyState...............
   00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 3 AVPs (not shown)
Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState.........................
   00:40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet (id 2) to 10.77.244.196:1812, 
proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 02 00 c0 38 b6 b2 20  ff 5b f2 16 64 df 02 61  
   ....8....[..d..a
Thu Aug 16 14:42:54 2007: 00000010: cf f5 93 4b 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ...K..User1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 17 01  
   ...A.....Q.20O..
Thu Aug 16 14:42:54 2007: 00000090: 01 00 15 11 01 00 08 0f  14 05 65 1b 28 61 c9 75  
   ..........e.(a.u
Thu Aug 16 14:42:54 2007: 000000a0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000b0: 05 ba 6b af fe a4 b0 d1  a2 94 f8 39 80 ca 3c 96  
   ..k........9..<.
Thu Aug 16 14:42:54 2007: 00000000: 02 02 00 ce c9 3d 5d c8  6c 07 8e fb 58 84 8d f6  
   .....=].l...X...
Thu Aug 16 14:42:54 2007: 00000010: 33 6d 93 21 08 06 ff ff  ff ff 4f 27 02 01 00 25  
   3m.!......O'...%
Thu Aug 16 14:42:54 2007: 00000020: 11 01 00 18 e5 e5 31 1e  33 b5 4e 69 90 e7 84 25  
   ......1.3.Ni...%
Thu Aug 16 14:42:54 2007: 00000030: 42 a9 20 ac 84 33 9f 87  ca dc c9 b3 75 73 65 72  
   B....3......user
Thu Aug 16 14:42:54 2007: 00000040: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 73 65  
   1.;.....5leap:se
Thu Aug 16 14:42:54 2007: 00000050: 73 73 69 6f 6e 2d 6b 65  79 3d 29 80 1d 2c 1c 85  
   ssion-key=)..,..
Thu Aug 16 14:42:54 2007: 00000060: db 1c 29 7e 40 8a b8 93  69 2a 55 d2 e5 46 89 8b  
   ..)~@...i*U..F..
Thu Aug 16 14:42:54 2007: 00000070: 2c 3b 65 49 3e 44 cf 7e  95 29 47 54 1a 1f 00 00  
   ,;eI>D.~.)GT....
Thu Aug 16 14:42:54 2007: 00000080: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 74 79  
   ....auth-algo-ty
Thu Aug 16 14:42:54 2007: 00000090: 70 65 3d 65 61 70 2d 6c  65 61 70 1a 0d 00 00 37  
   pe=eap-leap....7
Thu Aug 16 14:42:54 2007: 000000a0: 63 06 07 55 73 65 72 31  19 14 43 41 43 53 3a 30  
   c..User1..CACS:0
Thu Aug 16 14:42:54 2007: 000000b0: 2f 39 2f 61 34 64 66 34  64 32 2f 31 50 12 9a 71  
   /9/a4df4d2/1P..q
Thu Aug 16 14:42:54 2007: 000000c0: 09 99 7d 74 89 ad af e5  c8 b1 71 94 97 d1      
   ..}t......q...
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=2
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=2
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Accept received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............236
Thu Aug 16 14:42:54 2007:       resultCode...............0
Thu Aug 16 14:42:54 2007:       protocolUsed.............0x0
0000001
Thu Aug 16 14:42:54 2007:       proxyState...............00:
40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:  Packet contains 6 AVPs:
Thu Aug 16 14:42:54 2007:  AVP[01] Framed-IP-Address..........0xffffffff (-1) 
   (4 bytes)
Thu Aug 16 14:42:54 2007:  AVP[02] EAP-Message................DATA (37 bytes)
Thu Aug 16 14:42:54 2007:  AVP[03] Cisco / LEAP-Session-Key...DATA (16 bytes)
Thu Aug 16 14:42:54 2007:  AVP[04] Airespace / ACL-Name.......User1 (5 bytes)
Thu Aug 16 14:42:54 2007:  AVP[05] Class......................CACS:0/9/a4df4d2/1 
   (18 bytes)
Thu Aug 16 14:42:54 2007:  AVP[06] Message-Authenticator......DATA (16 bytes)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Applying new AAA override 
   for station 00:40:96:af:3e:93
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Override values 
   for station 00:40:96:af:3e:93
                source: 4, valid bits: 0x400
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1

dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                       vlanIfName: '',
aclName:User1
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
   Inserting new RADIUS override into chain for station 00:40:96:af:3e:93

Se puede utilizar una combinación del comando show wlan summary para reconocer cuáles son las WLANs que utilizan la autenticación por servidor RADIUS. Luego, se puede utilizar el comando show client summary para ver cuáles son las direcciones de MAC (clientes) que están autenticadas correctamente en las WLANs de RADIUS. Esto también se puede correlacionar con los registros de intentos aprobados y fallidos de su Cisco Secure ACS.

Cisco recomienda probar las configuraciones de ACL con un cliente inalámbrico para asegurarse de que estén configurados correctamente. Si no funcionan correctamente, verifique las ACL en la página Web de ACL y controle que los cambios realizados en las ACL se hayan aplicado a la interfaz del controlador.

También se pueden utilizar los siguientes comandos show para verificar la configuración:

  • show acl summary: Para mostrar las ACL que están configuradas en el controlador, utilice el comando show acl summary.

A continuación se presenta un ejemplo:

(Cisco Controller) >show acl summary

ACL Name                         Applied
-------------------------------- -------
User1                                  Yes
User2                                  Yes

  • show acl detailed <Nombre_de_ACL>: Muestra información detallada sobre las ACL configuradas.

    A continuación se presenta un ejemplo:

    Nota: Algunas líneas de resultado se han completado en dos renglones debido a restricciones de espacio.

    Cisco Controller) >show acl detailed User1
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP   Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ----    ------
     1  In      172.16.0.0/255.255.0.0        172.16.1.100/255.255.255.255  
       Any  0-65535       0-65535   Any    Permit
     2 Out    172.16.1.100/255.255.255.255      172.16.0.0/255.255.0.0      
       Any  0-65535       0-65535   Any    Permit
    
    
    (Cisco Controller) >show acl detailed User2
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ---- ------
    1  In      172.16.0.0/255.255.0.0         172.16.1.50/255.255.255.255  
       Any   0-65535       0-65535    Any  Permit
    2 Out     172.16.1.50/255.255.255.255      172.16.0.0/255.255.0.0      
       Any   0-65535       0-65535    Any  Permit
    
  • show client detail <Dirección MAC del cliente>: Muestra información detallada sobre el cliente inalámbrico.

Consejos para Troubleshooting

Utilice los siguientes consejos para resolver problemas:

  • En el controlador, verifique que el servidor RADIUS se encuentre en estado activo, y no en modo de espera ni desactivado.

  • En el controlador, verifique si el servidor RADIUS está seleccionado en el menú desplegable de la WLAN (SSID).

  • Verifique si el servidor RADIUS recibe y valida la petición de autenticación del cliente inalámbrico.

  • Para lograr esto, verifique los registros de autenticaciones aprobadas y de intentos fallidos en el servidor ACL. En el servidor ACS, estos informes están disponibles en Reports and Activities.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 98590