Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Ejemplo de Configuración de la Autenticación EAP-FAST con Controladores LAN Inalámbricos y Servidor Externo RADIUS

28 Enero 2009 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (10 Octubre 2012) | Comentarios

Contenidos

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Convenciones
Antecedentes
      PAC
      Modos de Aprovisionamiento de PAC
Diagrama de Red y Configuración
Configure el WLC para Autenticación EAP-FAST
      Configure el WLC para Autenticación RADIUS a través de un Servidor Externo RADIUS
      Configure el WLAN para Autenticación EAP-FAST
Configure el Servidor RADIUS para la Autenticación EAP-FAST
      Cree una Base de Datos de Usuarios para Autenticar Clientes EAP-FAST
      Agregue el WLC como Cliente AAA al Servidor RADIUS
      Configure Autenticación EAP-FAST en el Servidor RADIUS con Aprovisionamiento PAC In-band Anónimo
      Configure Autenticación EAP-FAST en el Servidor RADIUS con Aprovisionamiento PAC In-band Autenticado
Configuración del Certificado del Servidor en el ACS para el Aprovisionamiento In-band Autenticado
      Generación del Certificado con Firma Automática en el ACS
      Importación del Certificado con Firma Automática al Cliente
Configuración del Cliente para la Autenticación EAP-FAST
      Configuración del Cliente para el Aprovisionamiento In-band Anónimo
      Configure el Cliente para Aprovisionamiento In-band Autenticado
      Verifique el Aprovisionamiento In-band
Verifique
Troubleshooting
      Consejos para Troubleshooting
      Cómo Extraer el Archivo de Paquete del Servidor RADIUS ACS para Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se explica cómo configurar el controlador LAN inalámbrico (WLC) para la autenticación Extensible Authentication Protocol (EAP) - Flexible Authentication via Secure Tunneling (FAST) con el uso de un servidor externo RADIUS. Este ejemplo de configuración utiliza el Cisco Secure Access Control Server (ACS) como el servidor externo RADIUS para autenticar el cliente inalámbrico.

Este documento se centra en cómo configurar el ACS para el aprovisionamiento In-band (Automático) Anónimo y Autenticado de Credenciales de Acceso Protegido (PAC) a los clientes inalámbricos. Para configurar el aprovisionamiento de PAC Manual/Out-of-Band, consulte Aprovisionamiento de PAC Manual y Generación del Archivo PAC para el Aprovisionamiento Manual si desea obtener más información.

Prerrequisitos

Requisitos

Asegúrese de cumplir los siguientes requisitos antes de utilizar esta configuración:

  • Tener conocimientos básicos acerca de la configuración de Lightweight Access Points (LAP) y WLC de Cisco

  • Tener conocimientos básicos de Lightweight Access Point Protocol (LWAPP)

    Para obtener más información, consulte Información sobre el Lightweight Access Point Protocol (LWAPP).

  • Saber cómo configurar un servidor externo RADIUS, como el Cisco Secure ACS

  • Contar con conocimientos funcionales sobre el marco EAP en general

  • Tener conocimientos básicos sobre protocolos de seguridad, como MS-CHAPv2 y EAP-GTC, y conocimientos sobre certificados digitales

Componentes Utilizados

La información de este documento se basa en las siguientes versiones de software y hardware:

  • Cisco 2000 Series WLC que ejecuta la versión 4.0.217.0 del firmware

  • Cisco Aironet 1000 Series LAP

  • Cisco Secure ACS que ejecuta la versión 4.1

  • Cisco Aironet 802.11 a/b/g Client Adapter

  • Cisco Aironet Desktop Utility (ADU) que ejecuta la versión 3.6 del firmware

La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos utilizados en este documento se iniciaron con una configuración vacía (predeterminada).

Convenciones

Consulte las Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

El protocolo EAP-FAST es un tipo nuevo de IEEE 802.1X EAP de acceso público, que Cisco desarrolló para ayudar a los clientes que no pueden ejercer una política de contraseña segura y desean implementar un tipo 802.1X EAP que no requiera certificados digitales.

El protocolo EAP-FAST es una arquitectura de seguridad cliente-servidor que encripta las transacciones EAP con un túnel Transport Level Security (TLS). El establecimiento del túnel EAP-FAST está basado en contraseñas seguras que son únicas para los los usuarios. Estas contraseñas seguras se denominan PAC, las cuales el ACS genera mediante una llave maestra conocida sólo por el ACS.

EAP-FAST se produce en tres fases:

  • Fase cero (Fase de aprovisionamiento Automático de PAC): La fase cero de EAP-FAST, una fase opcional, es un medio asegurado-por- túnel, para aprovisionarle una PAC a un cliente de usuario final EAP-FAST para el usuario que solicita acceso a la red.El aprovisionamiento de una PAC a un cliente de usuario final es el único objetivo de la fase cero.

    Nota: La fase cero es opcional porque las PAC también se pueden proporcionar manualmente a los clientes en lugar de utilizar la fase cero.

    Consulte la sección Modos de Aprovisionamiento de PAC de este documento para obtener detalles.

  • Fase uno: En la fase uno, ACS y el cliente de usuario final establecen el túnel TLS según la credencial PAC del usuario. Esta fase requiere que al cliente de usuario final se le haya proporcionado una PAC para el usuario que intenta obtener acceso a la red, y que la PAC esté basada en un a llave maestra que no haya caducado. La fase uno de EAP-FAST no habilita ningún servicio de red.

  • Fase dos: En la fase dos, las credenciales de autenticación del usuario se pasan de manera segura mediante un método interno de EAP, soportado por EAP-FAST, dentro del túnel TLS al RADIUS creado mediante una PAC entre el cliente y el servidor RADIUS. EAP-GTC, TLS y MS-CHAP están soportados como métodos internos de EAP. No hay otros tipos de EAP soportados por EAP-FAST.

Para obtener más información, consulte Funcionamiento de EAP-FAST.

PAC

Las PACs son contraseñas fuertes compartidas (strong shared secrets) que habilitan al ACS y a un cliente de usuario final EAP-FAST para autenticarse entre sí y establecer un túnel TLS para la fase dos de EAP-FAST. El ACS genera las PACs mediante la llave maestra activa y un nombre de usuario.

PAC comprende:

  • PAC-Key: Contraseña compartida ligada a la identidad del cliente (y dispositivo del cliente) y del servidor.

  • PAC Opaque: Campo Opaque que el cliente almacena en la memoria caché y pasa al servidor. El servidor recupera la PAC-Key y la identidad del cliente para autenticarse mutuamente con el cliente.

  • PAC-Info: Como mínimo, incluye la identificación del servidor para habilitar al cliente a que almacene diferentes PAC en la memoria caché.

Modos de Aprovisionamiento de PAC

Como ya se mencionó, la fase cero es una fase opcional.

EAP-FAST ofrece dos opciones para proporcionar una PAC a un cliente:

  • Aprovisionamiento Automático de PAC (Fase 0 de EAP-FAST o Aprovisionamiento In-band de PAC)

  • Aprovisionamiento Manual de PAC (Out-of-band)

El Aprovisionamiento Automático/In-band de PAC envía una PAC nueva a un cliente de usuario final por una conexión de red segura. El Aprovisionamiento Automático de PAC no requiere intervención del usuario de red o del administrador del ACS, siempre que configure el ACS y el cliente de usuario final para que soporten el aprovisionamiento automático.

La versión más reciente de EAP-FAST soporta dos opciones diferentes de configuración de aprovisionamiento de PAC In-band:

  • Aprovisionamiento de PAC In-band Anónimo

  • Aprovisionamiento de PAC In-band Autenticado

Nota: Este documento explica estos métodos de aprovisionamiento de PAC In-band y su configuración.

El Aprovisionamiento de PAC Manual/Out-of-band requiere que un administrador del ACS genere archivos PAC, que luego deben distribuirse a los usuarios de la red correspondientes.

Diagrama de Red y Configuración

En esta instalación, un Cisco 2006 WLC y un LAP están conectados por un hub. Un servidor externo RADIUS (Cisco Secure ACS) también está conectado al mismo hub. Todos los dispositivos están en la misma subred. El access point (AP) inicialmente se registra en el controlador. Debe configurar el WLC para la autenticación EAP-FAST. Los clientes que se conectan al AP utilizan la autenticación EAP-FAST para asociarse con el AP. El Cisco Secure ACS se utiliza para realizar la autenticación RADIUS.

eapfast-wlc-rad-config1.gif

Configure el WLC para Autenticación EAP-FAST

Siga estos pasos para configurar el WLC para la autenticación EAP-FAST:

  1. Configure el WLC para Autenticación RADIUS a través de un Servidor Externo RADIUS

  2. Configuración de la WLAN para la Autenticación EAP-FAST

Configure el WLC para Autenticación RADIUS a través de un Servidor Externo RADIUS

El WLC se debe configurar para reenviar las credenciales del usuario a un servidor externo RADIUS. Posteriormente el servidor externo RADIUS valida las credenciales del usuario mediante EAP-FAST y proporciona acceso a los clientes inalámbricos.

Complete los siguientes pasos para configurar el WLC para un servidor externo RADIUS:

  1. Elija Security y RADIUS Authentication en la GUI del controlador para ver la página RADIUS Authentication Servers. Luego haga clic en New para definir un servidor RADIUS.

  2. Defina los parámetros del servidor RADIUS en la página RADIUS Authentication Servers > New. Estos parámetros incluyen:

    • Dirección IP del Servidor RADIUS

    • Shared Secret

    • Número de Puerto

    • Estado del Servidor

    En este documento se emplea el servidor ACS con una dirección IP de 10.77.244.196.

    /image/gif/paws/99791/eapfast-wlc-rad-config2.gif

  3. Haga clic en Apply.

Configure el WLAN para Autenticación EAP-FAST

A continuación, configure la WLAN que los clientes utilizan para conectarse a la red inalámbrica para la autenticación EAP-FAST y asígnela a una interfaz dinámica. El nombre de la WLAN configurado en este ejemplo es eap fast. Este ejemplo asigna esta WLAN a la interfaz de administración.

Complete estos pasos para configurar la WLAN eap fast y sus parámetros relacionados:

  1. Haga clic en WLANs en la GUI del controlador para ver la página WLANs.

    En esta página, se enumeran las WLANs que existen en el controlador.

  2. Haga clic en New para crear una WLAN nueva.

    /image/gif/paws/99791/eapfast-wlc-rad-config3.gif

  3. Configure el nombre SSID de la WLAN eap fast, el nombre del perfil y el ID de WLAN en la página WLANs > New. A continuación, haga clic en Apply.

    eapfast-wlc-rad-config4.gif

  4. Una vez que cree una nueva WLAN, aparecerá la página WLAN > Edit para la WLAN nueva. En esta página, se pueden definir varios parámetros específicos para esta WLAN, que incluyen General Policies (Políticas Generales), RADIUS Servers (Servidores RADIUS), Security Policies (Políticas de Seguridad) y 802.1x Parameters (Parámetros 802.1x).

  5. Active la casilla de verificación Admin Status en General Policies para habilitar la WLAN.

  6. Si desea que el AP transmita el SSID en sus tramas beacon, active la casilla de verificación Broadcast SSID. Active la casilla de verificación Allow AAA Override desea sobreponer la configuración del servidor RADIUS a la del WLC.

  7. Elija el servidor RADIUS adecuado en el menú desplegable de RADIUS Servers. En Security Policies, elija 802.1x en el menú desplegable Layer 2 Security. También puede utilizar cualquier otro método de autenticación (WPA/WPA2 con 802.1x) que incluya al servidor RADIUS para la autenticación.

    En este ejemplo, se utiliza 802.1x con encriptado WEP dinámico como seguridad de capa 2 para esta WLAN. Los demás parámetros se pueden modificar según el requisito de la red WLAN.

    /image/gif/paws/99791/eapfast-wlc-rad-config5.gif

  8. Haga clic en Apply.

    Nota: Ésta es la única configuración de EAP que se debe establecer en el controlador para la autenticación EAP. El resto de las configuraciones específicas de EAP-FAST se deben realizar en el servidor RADIUS y en los clientes que se deben autenticar.

Configure el Servidor RADIUS para la Autenticación EAP-FAST

Siga estos pasos para configurar el servidor RADIUS para la autenticación EAP-FAST:

  1. Cree una Base de Datos de Usuarios para Autenticar Clientes EAP-FAST

  2. Agregue el WLC como Cliente AAA al Servidor RADIUS

  3. Configure Autenticación EAP-FAST en el Servidor RADIUS con Aprovisionamiento PAC In-band Anónimo

  4. Configure Autenticación EAP-FAST en el Servidor RADIUS con Aprovisionamiento PAC In-band Autenticado

Cree una Base de Datos de Usuarios para Autenticar Clientes EAP-FAST

Complete estos pasos para crear una base de datos de usuarios para los clientes EAP-FAST en el ACS. En este ejemplo, se configura el nombre de usuario y la contraseña del cliente EAP-FAST como wireless y wireless, respectivamente.

  1. En la GUI del ACS en la barra de navegación, seleccione User Setup. Cree un nuevo usuario wireless y haga clic en Add/Edit para ir a la página Edit de este usuario.

    /image/gif/paws/99791/eapfast-wlc-rad-config6.gif

  2. En la página User Setup Edit, configure las opciones Real Name, Description y Password como se muestra en este ejemplo.

    En este documento, se usa la opción ACS Internal Database para la Autenticación de la Contraseña.

  3. Elija ACS Internal Database en el cuadro desplegable Password Authentication.

    /image/gif/paws/99791/eapfast-wlc-rad-config7.gif

  4. Configure el resto de los parámetros requeridos y haga clic en Submit.

Agregue el WLC como Cliente AAA al Servidor RADIUS

Complete estos pasos para definir el controlador como cliente AAA en el servidor ACS:

  1. Haga clic en Network Configuration en la GUI del ACS. En la sección Add AAA client de la página Network Configuration, haga clic en Add Entry para agregar el WLC como cliente AAA al servidor RADIUS.

    eapfast-wlc-rad-config8.gif

  2. En la página AAA Client, defina el nombre del WLC, la dirección IP, shared secret y el método de autenticación (RADIUS/Cisco Airespace). Consulte la documentación del fabricante para otros servidores que no sean de autenticación de ACS.

    Nota: La clave shared secret que configure en el WLC y el servidor ACS deben coincidir. El shared secret distingue mayúsculas de minúsculas.

  3. Haga clic en Submit+Apply.

    eapfast-wlc-rad-config9.gif

Configure Autenticación EAP-FAST en el Servidor RADIUS con Aprovisionamiento PAC In-band Anónimo

Aprovisionamiento In-band Anónimo

Éste es uno de los dos métodos de aprovisionamiento In-band en el que el ACS establece una conexión segura con el cliente de usuario final a fin de proporcionarle al cliente una nueva PAC. Esta opción permite un handshake de TLS anónimo entre el cliente de usuario final y el ACS.

Este método funciona dentro de un túnel ADHP (Authenticated Diffie-HellmanKey Agreement Protocol) antes de que el peer autentique el servidor ACS.

A continuación, el ACS requiere la autenticación EAP-MS-CHAPv2 del usuario. Con la autenticación correcta del usuario, el ACS establece el túnel Diffie-Hellman con el cliente de usuario final. El ACS genera una PAC para el usuario y la envía al cliente de usuario final en este túnel, junto con la información sobre este ACS. Este método de aprovisionamiento utiliza EAP-MSCHAPv2 como el método de autenticación en la fase cero y EAP-GTC en la fase dos.

Como se aprovisiona a un servidor no autenticado, no es posible utilizar una contraseña en texto plano. Por lo tanto, sólo credenciales MS-CHAP se pueden usar dentro del túnel. MS-CHAPv2 se utiliza para probar la identidad del peer y recibir una PAC para sesiones de autenticación posteriores (EAP-MS-CHAP se utiliza como método interno solamente).

Complete estos pasos para configurar la autenticación EAP-FAST en el servidor RADIUS para el aprovisionamiento In-band anónimo:

  1. Haga clic en System Configuration en la GUI del servidor RADIUS. En la página System Configuration, elija Global Authentication Setup.

    /image/gif/paws/99791/eapfast-wlc-rad-config10.gif

  2. En la página Global Authentication Setup, haga clic enEAP-FAST Configuration para ir a la página EAP-FAST Settings.

    /image/gif/paws/99791/eapfast-wlc-rad-config11.gif

  3. En la página EAP-FAST Settings, active la casilla de verificación Allow EAP-FAST para habilitar EAP-FAST en el servidor RADIUS.

  4. Configure los valores Active/Retired master key TTL (Time-to-Live) como desee o establézcalos en el valor predeterminado como se muestra en este ejemplo.

    Consulte Llaves Maestras para obtener información sobre llaves maestras Activas y Retiradas. Para obtener más información, también puede consultarLlaves Maestras y PAC TTL.

    El campo Authority ID Info representa la identidad textual de este servidor ACS, que un usuario final puede usar para determinar con qué servidor ACS se autenticará. Es obligatorio completar este campo.

    El campo Client initial display message especifica un mensaje que se enviará a los usuarios que se autentiquen con un cliente EAP-FAST. La longitud máxima es de 40 caracteres. Un usuario verá el mensaje inicial sólo si el cliente de usuario final soporta la visualización.

  5. Si desea que el ACS realice aprovisionamiento de PAC In-band anónimo, active la casilla de verificación Allow anonymous in-band PAC provisioning.

    Allowed inner methods: Esta opción determina qué métodos internos de EAP se pueden ejecutar dentro del túnel TLS de EAP-FAST. Para el aprovisionamiento in-band anónimo, debe habilitar EAP-GTC y EAP-MS-CHAP para una compatibilidad con versiones anteriores. Si selecciona Allow anonymous in-band PAC provisioning, debe seleccionar EAP-MS-CHAP (fase cero) y EAP-GTC (fase dos).

  6. Haga clic en Submit+Restart.

    Esta captura de pantalla muestra los pasos en esta sección:

    /image/gif/paws/99791/eapfast-wlc-rad-config12.gif

Configure Autenticación EAP-FAST en el Servidor RADIUS con Aprovisionamiento PAC In-band Autenticado

Aprovisionamiento In-band Autenticado

EAP-FAST se ha mejorado para soportar un túnel autenticado (mediante el certificado de servidor), que es donde se produce el aprovisionamiento de PAC. Este modo aprovisiona al cliente de usuario final una PAC mediante la fase cero de EAP-FAST con la autenticación TLS del lado del servidor. Esta opción requiere que instale un certificado de servidor y una CA de raíz confiable en el ACS.

Se utilizan los nuevos conjuntos de encripción, que son mejoras de EAP-FAST y específicamente del certificado del servidor. Como el servidor es autenticado como parte del establecimiento del túnel, se pueden usar métodos más débiles de EAP como EAP-GTC dentro del túnel para proporcionar autenticación al solicitante.

De forma predeterminada, el ACS soporta la autenticación TLS del lado del servidor. Sin embargo, si el cliente envía el certificado de usuario al ACS, se realiza la autenticación mutua de TLS y se omiten los métodos internos.

  1. Repita los pasos del 1 al 4 de la configuración de Aprovisionamiento In-band Anónimo para configurar las demás opciones de EAP-FAST en el servidor RADIUS.

  2. Si desea que el ACS realice aprovisionamiento de PAC In-band anónimo, active la casilla de verificación Allow authenticated in-band PAC provisioning.

    1. Accept client on authenticated provisioning: Esta opción está sólo disponible cuando la opción Allow authenticated in-band PAC provisioning está seleccionada. El servidor siempre envía un mensaje Access-Reject al final de la fase de aprovisionamiento, que obliga al cliente a autenticarse nuevamente mediante la PAC de túnel. Esta opción habilita al ACS para enviar un mensaje Access-Accept al cliente al final de la fase de aprovisionamiento.

    2. Desactive la casilla de verificación Allow Stateless session resume option si no desea que el ACS aprovisione las PAC de autorización a los clientes EAP-FAST y que se realice siempre la fase dos de EAP-FAST.

    3. Allowed inner methods: Si selecciona Allow authenticated in-band PAC provisioning, el método interno en la fase de autenticación es negociable (EAP-GTC se usa de forma predeterminada en la fase cero). Seleccione uno o más de estos métodos:

      • EAP-GTC: Para habilitar EAP-GTC en la autenticación EAP FAST, active esta casilla de verificación.

      • EAP-MS-CHAPv2: Para habilitar EAP-MS-CHAPv2 en la autenticación EAP FAST, active esta casilla de verificación.

      • EAP-TLS: Para habilitar EAP-TLS en la autenticación EAP FAST, active esta casilla de verificación.

      Nota: El ACS siempre ejecuta el primer método de EAP habilitado. Por ejemplo, si selecciona EAP-GTC y EAP-MS-CHAPv2, el primer método habilitado de EAP es EAP-GTC.

    Todas estas configuraciones específicas del aprovisionamiento de PAC In-band autenticadose mencionan en este ejemplo:

    eapfast-wlc-rad-config13.gif

  3. Haga clic en Submit+Restart.

Configure el Certificado del Servidor en el ACS para Aprovisionamiento In-band Autenticado

EAP-FAST se ha mejorado para soportar un túnel autenticado (mediante el certificado de servidor), que es donde se produce el aprovisionamiento de PAC.

Nota: Esta opción requiere la configuración de un certificado de servidor y una CA raíz confiable en el ACS.

Existen varios métodos disponibles para configurar el certificado de servidor en el ACS. Este documento, explica cómo generar un certificado auto-firmado en el ACS e importarlo a la lista de confianza Certificate Authority del cliente.

Genere el Certificado auto-firmado en el ACS

El ACS soporta protocolos relacionados con TLS/SSL, que incluyen PEAP, EAP-FAST y HTTPS y que requieren el uso de certificados digitales. El empleo de certificados auto-firmados es una manera de que los administradores cumplan con este requisito sin tener que interactuar con una CA para obtener e instalar el certificado en el ACS.

Complete estos pasos para generar el certificado autofirmado en el ACS:

  1. Haga clic en System Configuration de la GUI del servidor RADIUS. En la página System Configuration, elija ACS Certificate Setup.

    /image/gif/paws/99791/eapfast-wlc-rad-config14.gif

  2. En ACS Certificate Setup se enumeran varias opciones para configurar el certificado en el ACS. Para este ejemplo, elija Generate Self-Signed Certificate.

    eapfast-wlc-rad-config15.gif

    Aparece la página Generate Self-Signed Certificate Edit.

  3. Complete los pasos de esta página:

    1. En el cuadro Certificate subject , ingrese el asunto del certificado como cn=XXXX.

    2. En el cuadro Certificate file, ingrese la ruta completa y el nombre de archivo para el archivo de certificado. En el cuadro Key length, seleccione la longitud de la llave.

    3. En el cuadro Private key file, ingrese la ruta completa y el nombre de archivo para el archivo de llave privada.

    4. En el cuadro Private key password, ingrese la contraseña de la llave privada. En el cuadro Retype private key password, vuelva a escribir la contraseña de la llave privada.

    5. En el cuadro Digest to sign with, seleccione la síntesis hash (SHA1 en este ejemplo) que se usará para encriptar la llave.

    6. Para instalar el certificado autofirmado al enviar la página, (submit) seleccione la opción Install generated certificate.

      Nota: Si selecciona la opción Install generated certificate, deberá reiniciar los servicios del ACS después de enviar este formulario para que la nueva configuración surta efecto. Si no selecciona esta opción, el archivo de certificado y el archivo de la llave privada se generan y se guardan al hacer clic en Submit en el paso siguiente. Sin embargo, éstos no se instalan en el almacenamiento de la máquina local.

    Aquí se muestra un ejemplo de la página Editing a Self-Signed Certificate:

    /image/gif/paws/99791/eapfast-wlc-rad-config16.gif

    Nota: Los valores de campo ingresados (ts-web) aquí son valores de ejemplo. Puede usar cualquier valor de campo o nombre para generar un certificado autofirmado en el ACS. Se deben llenar todos los campos.

Importe el Certificado auto-firmado al Cliente

Debe importar el certificado auto-firmado generado en el ACS a la lista raíz Certification Authoritiy del cliente para que el cliente autentique el servidor como si usara un certificado válido.

Complete estos pasos en el cliente:

  1. Copie el certificado desde su ubicación en el ACS al cliente.

  2. Haga clic con el botón derecho en el archivo .cer y haga clic en install certificate.

    eapfast-wlc-rad-config17.gif

  3. Haga clic en Next (Siguiente).

  4. Elija Place all certificates in the following store y haga clic en Browse.

    Aparecerá la ventana emergente Select Certificate Store.

  5. En la ventana Select Certificate Store, active la casilla de verificación Show physical stores.

  6. Expanda Trusted Root Certification Authorities en el árbol de certificados, seleccione Local Computer y haga clic en OK.

    eapfast-wlc-rad-config18.gif

  7. Haga clic en Next, luego en Finish y en OK.

    Aparece un Certificate Import Wizard que muestra que la importación fue exitosa.

    /image/gif/paws/99791/eapfast-wlc-rad-config19.gif

Configure el Cliente para Autenticación EAP-FAST

Complete estos pasos para configurar el cliente para la autenticación EAP-FAST:

  1. Configure el Cliente para Aprovisionamiento In-band Anónimo

  2. Configure el Cliente para Aprovisionamiento In-band Autenticado

Configure el Cliente para Aprovisionamiento In-band Anónimo

Complete estos pasos para configurar el cliente inalámbrico para el aprovisionamiento In-band anónimo:

  1. En la ventana Aironet Desktop Utility, haga clic en Profile Management > New para crear un perfil para el usuario de EAP-FAST.

    Como se mencionó, en este documento se utiliza el nombre de WLAN/SSID como eap fast para el cliente inalámbrico.

    eapfast-wlc-rad-config20.gif

  2. En la ventana Profile Management, haga clic en la pestaña General y configure las opciones Profile Name, Client Name y SSID Name como se muestra en este ejemplo. Luego haga clic en OK.

    eapfast-wlc-rad-config21.gif

  3. Haga clic en la pestaña Security y elija 802.1x como Set Security Option con 802.1x EAP Type como EAP-FAST. Haga clic en Configure para configurar las opciones de EAP-FAST.

    eapfast-wlc-rad-config22.gif

  4. En la ventana Configure EAP-FAST, active la casilla de verificación Allow Automatic PAC Provisioning. Si desea configurar el aprovisionamiento de PAC anónimo, se usará EAP-MS-CHAP como el único método interno en la fase cero.

  5. Elija MSCHAPv2 User Name and Password como el método de autenticación en el cuadro desplegable EAP-FAST Authentication Method. Haga clic en Configure.

    eapfast-wlc-rad-config23.gif

  6. En la ventana Configure MSCHAPv2 User Name and Password, elija la configuración adecuada del nombre de usuario y la contraseña.

    En este ejemplo, se elige Manually Prompt for User Name and Password.

    Se debe registrar el mismo nombre de usuario y contraseña en el ACS. Como ya se mencionó, en este ejemplo, se usa wireless y wireless respectivamente como nombre de usuario y contraseña.

    Además, tenga en cuenta que éste es un aprovisionamiento In-band anónimo. Por lo tanto, el cliente no puede validar el certificado del servidor. Debe asegurarse de que la casilla de verificación Validate Server Identity esté desactivada.

  7. Haga clic en OK.

    eapfast-wlc-rad-config24.gif

Configure el Cliente para Aprovisionamiento In-band Autenticado

Complete estos pasos para configurar el cliente inalámbrico para el aprovisionamiento In-band autenticado:

  1. Repita los pasos del 1 al 3 de la sección Configuración del Cliente para el Aprovisionamiento In-band Anónimo de este documento.

  2. En la ventana Configure EAP-FAST, active la casilla de verificación Allow Automatic PAC Provisioning.

    Con el aprovisionamiento de PAC In-band autenticado, se puede seleccionar cualquiera de los métodos internos (EAP-GTC, EAP-MSCHAPv2, TLS Client Certificate) permitidos por el ACS en el cliente como método de autenticación en el cuadro desplegable EAP-FAST Authentication Method.

    En este ejemplo, se elige GTC Token/Password como Método de Autenticación EAP-FAST.

  3. Haga clic en Configure.

    eapfast-wlc-rad-config25.gif

  4. En la ventana GTC Configuration, se puede utilizar una contraseña estática o una token para que se solicite en el momento de la autenticación.

    En este ejemplo, se utiliza un nombre de usuario y contraseña estáticos. Se debe registrar el mismo nombre de usuario y contraseña en el ACS. Como ya se mencionó, en este ejemplo, se usa wireless y wireless respectivamente como nombre de usuario y contraseña.

  5. Además, tenga en cuenta que ésta es una configuración de aprovisionamiento In-band autenticado. Por lo tanto, active la casilla de verificación Validate Server Identity. En el menú desplegable Trusted Root Certification Authorities, desplácese hacia abajo para buscar el Certificado auto-firmado del ACS (ts-web, en este ejemplo). Elija el certificado como Trusted Root Certification Authority. Haga clic en OK.

    eapfast-wlc-rad-config26.gif

Verifique el Aprovisionamiento In-band

Complete estos pasos para verificar si la configuración de EAP-FAST funciona adecuadamente:

  1. Seleccione el perfil eap fast y haga clic en Activate para activar el perfil del cliente inalámbrico.

    /image/gif/paws/99791/eapfast-wlc-rad-config27.gif

  2. Si ha habilitado MS-CHAP ver2 como su método de autenticación (con Anonymous, éste es el único método exitoso, como ya se explicó), posteriormente el cliente solicitará el nombre de usuario y la contraseña.

    /image/gif/paws/99791/eapfast-wlc-rad-config28.gif

  3. Durante el procesamiento de EAP-FAST del usuario, el cliente le solicitará una PAC desde el servidor RADIUS. Al hacer clic en YES, se inicia el aprovisionamiento de PAC.

    eapfast-wlc-rad-config29.gif

    Después del aprovisionamiento de PAC exitoso en fase cero, continúan la fase uno y dos y se realiza un procedimiento de autenticación exitoso.

    /image/gif/paws/99791/eapfast-wlc-rad-config30.gif

  4. Con el aprovisionamiento In-band autenticado, si habilitó GTC/Token como su método de autenticación EAP-FAST, se le solicitará que ingrese el token. Como ya se mencionó, en este ejemplo, se usa wireless como la credencial del usuario. Haga clic en OK.

    /image/gif/paws/99791/eapfast-wlc-rad-config31.gif

    Puede ver el archivo PAC que recibió el cliente en la página EAP-FAST Configuration.

    eapfast-wlc-rad-config32.gif

    Esta PAC se puede usar para futuras sesiones de autenticación de este usuario según la configuración de los valores de PAC/Master Key TTL.

  5. Haga clic en Manage para ver los contenidos del archivo PAC mediante la exploración del árbol de administración de PAC, como se muestra aquí. Haga doble clic en el archivo PAC wireless para ver los contenidos del archivo PAC.

    /image/gif/paws/99791/eapfast-wlc-rad-config33.gif

    Éste es el contenido de un archivo PAC:

    eapfast-wlc-rad-config34.gif

Verifique

Puede verificar si el servidor RADIUS recibe y valida la solicitud de autenticación del cliente inalámbrico. Para ello, verifique los informes Passed Authentications and Failed Attempts en el servidor ACS. Estos informes están disponibles en Reports and Activities en el servidor ACS.

Aquí se muestra un ejemplo de cuando la autenticación del servidor RADIUS es realmente exitosa. Sin embargo, dado que la fase cero de EAP-FAST no habilita un servicio de red, incluso una transacción exitosa de fase cero de EAP-FAST se registra en el log ACS Failed Attempts. Si aparece el mensaje "EAP-FAST user was provisioned with new PAC", esto indica que la PAC se aprovisionó satisfactoriamente al cliente.

/image/gif/paws/99791/eapfast-wlc-rad-config35.gif

Estos comandos debug pueden ser útiles para algunos fines de troubleshooting:

Nota:Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

  • debug dot1x events enable: Habilita el debug de todos los eventos dot1x. Aquí se muestra un ejemplo de salida de debug en función de una autenticación exitosa:

    (Cisco Controller)>debug dot1x events enable
    
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP
    -Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with mi
    smatching id (currentid=2, eapid=1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    ..............................................................................
    ..............................................................................
    ...............................................................................
    ................................................................................
    
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 43)
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:01 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    0
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3689 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    1
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3696 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 19 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 3)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 23)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 23, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 26)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 26, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 27, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 20 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 3)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 24 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Accept for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Creating a new PMK Cache Entry for s
    tation 00:40:96:af:3e:93 (RSN 0)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP-Success to mobile 00:40:
    96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending default RC4 key to mobile 00
    :40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending Key-Mapping RC4 key to mobil
    e 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Auth Success while in Authe
    nticating state for mobile 00:40:96:af:3e:93
    

    Aquí se muestra un ejemplo de error en la autenticación de la salida del comando debug dot1x events enable:

    (Cisco Controller) >debug dot1x events enable
    
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Requ
    est/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 11 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 11)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 11, EAP Type 3)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 12)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 12, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 13, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 802.1x 'quiteWhile' Timer expired fo
    r station 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 quiet timer completed for mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 15)
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 16)
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 17)
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 18)
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
  • debug dot1x packet enable: Habilita el debug de todos los mensajes de paquete dot1x. Aquí se muestra un ejemplo de salida de debug en función de una autenticación exitosa:

    (Cisco Controller) debug dot1x packet enable
    
     00:40:96:af:3e:93 Sending 802
    .11 EAPOL message  to mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 02 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1b 02 02 00 1b  01 50 45 41 50 2d 3
    0 30  .........PEAP-00
                          00000010: 2d 34 30 2d 39 36 2d 41  46 2d 33 45 2d 39 33
      -40-96-AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 26 01 19 00 26  11 01 00 08 52 97 b
    2 df  ...&...&....R...
    
                          00000010: 38 d2 ce 74 50 45 41 50  2d 30 30 2d 34 30 2d 39
      8..tPEAP-00-40-9
                      00000020: 36 2d 41 46 2d 33 45 2d  39 33                    6-
    AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 06 02 19 00 06  03 2b
          .........+
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:14 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:14 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:15 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:15 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 02 72 01 1b 02 72  2b 81 00 00 02 68 1
    6 03  ...r...r+....h..
                          00000010: 01 00 4a 02 00 00 46 03  01 47 1c bd b1 3a a8 8e
      ..J...F..G...:..
                      00000020: de fc 62 51 e0 fe 93 c2  1d 21 08 51 59 ba c6 90  ..
    bQ.....!.QY...
                  00000030: ad 14 1b bc
    Mon Oct 22 20:41:17 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    36) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:17 2007: 00000000: 01 00 01 4c 02 1b 01 4c  2b 01 16 03 01 01 0
    6 10  ...L...L+.......
                          00000010: 00 01 02 01 00 f4 92 8c  54 b1 34 ae 1e 13 a3 63
      ........T.4....c
                      00000020: 03 35 e9 33 e6 45 01 6a  87 18 ba 3d 03 0f 5f a5  .5
    .3.E.j...=.._.
                  00000030: 1d 3a ae fa
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:46 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 45 01 1d 00 45  2b 81 00 00 00 3b 1
    4 03  ...E...E+....;..
                          00000010: 01 00 01 01 16 03 01 00  30 cc 1f c4 54 ac a2 88
      ........0...T...
                      00000020: 14 11 92 c4 5a 78 2c 57  06 57 77 d7 6b 4e b1 db  ..
    ..Zx,W.Ww.kN..
    eived 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 1f 00 6b  2b 01 17 03 01 00 6
    0 8b  ...k...k+.....`.
                          00000010: 25 2f c6 1a 61 de af 51  a4 1d ae 9e 8c e8 45 80
      %/..a..Q......E.
                      00000020: e0 14 69 01 d8 ab eb 08  af 21 44 44 70 9c 25 d2  ..
    i......!DDp.%.
                  00000030: 39 6f 75 ce
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 5b 01 20 00 5b  2b 01 17 03 01 00 5
    0 0a  ...[...[+.....P.
                          00000010: 7e da 91 4e d7 ae 6b 87  7c 31 7f 7a 3c af 67 71
      ~..N..k.|1.z<.gq
                      00000020: 8a a1 0b aa 0a ac 6f b5  e8 65 83 3b d1 39 bd 1b  ..
    ....o..e.;.9..
                  00000030: f4 dd f9 68
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    7) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2b 02 20 00 2b  2b 01 17 03 01 00 2
    0 73  ...+...++......s
                          00000010: 02 d6 0e d3 55 57 7c 0c  58 f0 7c 1f 5e 61 09 40
      ....UW|.X.|.^a.@
                      00000020: 00 85 0b 8e 11 b5 23 1b  fc 27 77 71 ad b8 ed     ..
    ....#..'wq...
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 01 21 00 6b  2b 01 17 03 01 00 6
    0 c8  ...k.!.k+.....`.
                          00000010: c4 69 43 5d ad 34 88 05  24 d7 7e 90 e3 65 87 37
      .iC].4..$.~..e.7
                      00000020: 9c 94 2f 99 5d be ca 82  1a 11 89 68 44 08 4c ef  ..
    /.]......hD.L.
                  00000030: 56 89 18 7a
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 21 00 6b  2b 01 17 03 01 00 6
    0 16  ...k.!.k+.....`.
                          00000010: 04 f2 92 41 da 4c 9c 4a  64 d8 88 9e 4b ac b9 76
      ...A.L.Jd...K..v
                      00000020: a0 94 2a 7c 5f 7b 9b be  8b 07 e1 42 79 f1 4f 06  ..
    *|_{.....By.O.
                  00000030: 8e 50 c8 25
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 01 1b 01 22 01 1b  2b 01 17 03 01 01 1
    0 0f  ....."..+.......
                          00000010: 9b 84 da 57 60 8b a7 f6  e2 09 33 38 0c d8 fc 1f
      ...W`.....38....
                      00000020: 5f 2f 6a 59 72 4a a7 db  3a 5d 32 5c ac ed 1d d0  _/
    jYrJ..:]2\....
                  00000030: 46 6a 1c 93
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 7
    9) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 4b 02 22 00 4b  2b 01 17 03 01 00 4
    0 3f  ...K.".K+.....@?
                          00000010: 93 1f aa c6 2f 61 f8 45  84 f5 60 bd 35 87 8e 3a
      ..../a.E..`.5..:
                      00000020: 6b 96 7c 9a f6 79 91 73  c1 e9 68 78 82 88 29 07  k.
    |..y.s..hx..).
                  00000030: 8f 71 ef 09
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 04 04 22 00 04
          ....."..
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:48 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct
                  00000030: 2c 14 ca 45
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 00 00 04 03 20 00 04
          ........
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 39 01 00 0d ca  b3 f9 35 00 0a 60 b
    a 20  ...9......5..`..
                          00000010: 82 55 76 30 27 6f 92 2e  ee ce 49 c8 c2 5c 24 01
      .Uv0'o....I..\$.
                      00000020: 33 8e 39 fb a6 f4 fa 72  09 8b ae 1a d5 ab 84 73  3.
    9....r.......s
                  00000030: e9 b9 28 85
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 2c 01 00 0d ca  b3 f9 35 00 0a 60 b
    b 2b  ...,......5..`.+
                          00000010: fa 79 fc 30 50 de dd a0  95 95 cb 50 25 19 0a 80
      .y.0P......P%...
                      00000020: 1e e8 3e bf 8b 7a e3 a1  37 2a 07 8d ef 24 72 47  ..
    >..z..7*...$rG
  • debug aaa events enable: Habilita la salida del debug de todos los eventos aaa. Aquí se muestra un ejemplo de salida de debug de un proceso autenticación erróneo:

    (Cisco Controller) >debug aaa events enable
    
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 145) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code=11
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=11
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIU
    S server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 146) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    ..................................................................................
    ..................................................................................
    ..................................................................................
    ..................................................................................
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=3
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Reject received from RADIUS s
    erver 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:42 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 149) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    

Troubleshooting

Consejos para Troubleshooting

  • Asegúrese de que la casilla de verificación Validate Server Identity esté desactivada para el perfil del cliente para el aprovisionamiento In-band anónimo.

  • Asegúrese de que EAP-MSCHAPver2 esté seleccionado como el método autenticado en el perfil del cliente para el aprovisionamiento In-band anónimo. Éste es el único método interno de EAP que se puede aplicar en la fase cero para el aprovisionamiento in-band anónimo.

  • Asegúrese de que las credenciales del usuario ingresadas en el lado del cliente en el momento de la autenticación ya estén configuradas en el ACS.

  • Verifique si el servidor RADIUS está seleccionado en el menú desplegable de la WLAN (SSID).

  • Si utiliza Wi-Fi Protected Access (WPA), deberá instalar la revisión más reciente de Microsft WPA para Windows XP SP2. También deberá actualizar el driver para su cliente solicitante a la versión más reciente.

  • El mensaje de error [SECURITY] 1x_ptsm.c 391: MAX EAPOL-Key M3 retransmissions reached significa que la tarjeta no respondió a la solicitud de su identidad. Puede extender los temporizadores de EAP en los controladores para esperar la información 802.1x del cliente si utiliza estos comandos en WLC CLI:

    • config advanced eap identity-request-timeout 120 c

    • config advanced eap identity-request-retries 20

    • config advanced eap request-timeout 120

    • config advanced eap request-retries 20 save config

Cómo Extraer el Archivo de Paquete del Servidor RADIUS ACS para Troubleshooting

Si utiliza el ACS como el servidor externo RADIUS, esta sección se puede usar para resolver problemas. El archivo package.cab es un archivo zip que contiene todos los archivos necesarios para resolver los problemas del ACS con eficacia. Puede usar la utilidad CSSupport.exe para crear el archivo package.cab o recopilar los archivos manualmente.

Consulte la sección Creación de un Archivo package.cab de Cómo Obtener Información de la Versión y de Debug AAA para Cisco Secure ACS para Windows si desea conocer más sobre cómo crear y extraer un archivo de paquete de Wireless Control System (WCS).


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 99791