Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4100

Atributos de RADIUS soportados en el regulador del Wireless LAN

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento explica la lista de atributos de RADIUS soportados en el regulador del Wireless LAN (WLC) que se envíen al servidor de RADIUS en el pedido de acceso, se honren en el access-accept, y se envíen en las peticiones de las estadísticas. Esto también incluye los atributos específicos del proveedor.

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Métodos de la seguridad de red inalámbrica

  • Autenticación basado en RADIUS

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Atributos de RADIUS soportados en el regulador del Wireless LAN

Los atributos de RADIUS se utilizan para definir los elementos específicos del Authentication, Authorization, and Accounting (AAA) en un perfil del usuario, que se salva en la daemon RADIUS. Esta sección enumera los atributos de RADIUS soportados actualmente en el regulador del Wireless LAN.

  • Calidad de servicio — Cuando es presente en un acceso a RADIUS valide, el valor del QoS-nivel reemplaza el valor de QoS especificado en el perfil de la red inalámbrica (WLAN).

  • ACL — Cuando el atributo de la lista de control de acceso (ACL) está presente en el acceso a RADIUS valide, el sistema aplica el ACL-nombre a la estación del cliente después de que autentique. Esto reemplaza cualquier ACL que se asigne a la interfaz.

  • VLA N — Cuando un interface name o una VLA N-etiqueta del VLA N está presente en un acceso a RADIUS valide, el sistema coloca al cliente en una interfaz específica.

  • ID DE WLAN — Cuando el atributo del ID DE WLAN está presente en el acceso a RADIUS valide, el sistema aplica el ID DE WLAN (SSID) a la estación del cliente después de que autentique. El ID DE WLAN es enviado por el WLC en todos los casos de la autenticación excepto el IPSec. En caso de la autenticación Web, si el WLC recibe un atributo del ID DE WLAN en la respuesta de autenticación del servidor de AAA, y de él no hace juego el ID de la red inalámbrica (WLAN), autenticación se rechaza. Otros tipos de métodos de seguridad no hacen esto.

  • Valor DSCP — Cuando es presente en un acceso a RADIUS valide, el valor DSCP reemplaza el valor DSCP especificado en el perfil de la red inalámbrica (WLAN).

  • 802.1p-Tag — Cuando es presente en un acceso a RADIUS valide, el valor 802.1p reemplaza el valor por defecto especificado en el perfil de la red inalámbrica (WLAN).

Nota: La característica del VLA N soporta solamente la filtración, el 802.1x, y el Acceso protegido de Wi-Fi (WPA) MAC. La característica del VLA N no soporta la autenticación Web o el IPSec. La base de datos del filtro del MAC local del sistema operativo se ha extendido para incluir el nombre de la interfaz. Esto permite que los filtros del MAC local especifiquen cuál debe ser asignada la interfaz el cliente. Un servidor de RADIUS separado puede también ser utilizado, pero el servidor de RADIUS debe ser definido usando los menús de seguridad.

QoS-nivel

El atributo del QoS-nivel indica la calidad de servicio llana para ser aplicado al tráfico del cliente móvil dentro del Switching Fabric, así como sobre el aire. Este ejemplo muestra un resumen del formato de atributo del QoS-nivel. Los campos se transmiten de izquierda a derecha.

0                   1                   2                   3 

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|     Type      |  Length       |            Vendor-Id 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

     Vendor-Id (cont.)          | Vendor type   | Vendor length | 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|                           QoS Level                           | 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+


•Type - 26 for Vendor-Specific

•Length - 10

•Vendor-Id - 14179

•Vendor type - 2

•Vendor length - 4

•Value - Three octets:

–3 - Bronze (Background)

–0 - Silver (Best Effort)

–1 - Gold (Video)

–2 - Platinum (Voice)

ACL-nombre

El atributo del ACL-nombre indica el nombre ACL que se aplicará al cliente. Un resumen del formato de atributo del ACL-nombre se muestra aquí. Los campos se transmiten de izquierda a derecha.

 0                   1                   2                   3 

 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|     Type      |  Length       |            Vendor-Id 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

     Vendor-Id (cont.)          | Vendor type   | Vendor length | 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|        ACL Name... 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 

•Type - 26 for Vendor-Specific

•Length - >7

•Vendor-Id - 14179

•Vendor type - 6

•Vendor length - >0

•Value - A string that includes the name of the ACL to use for the client

Interface name

El atributo de interface name indica que la interfaz VLAN un cliente debe ser asociada a. Un resumen del formato de atributo del interface name se muestra aquí. Los campos se transmiten de izquierda a derecha.

 0                   1                   2                   3 

 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|     Type      |  Length       |            Vendor-Id 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

     Vendor-Id (cont.)          |  Vendor type  | Vendor length | 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|    Interface Name... 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 

•Type - 26 for Vendor-Specific

•Length - >7

•Vendor-Id - 14179

•Vendor type - 5

•Vendor length - >0

•Value - A string that includes the name of the interface 
the client is to be assigned to.

Nota: Este atributo trabaja solamente cuando se habilita la filtración MAC o si el 802.1x o el WPA se utiliza como la política de seguridad.

VLA N-etiqueta

El atributo de la VLA N-etiqueta indica el ID de grupo para una sesión tunneled determinada, y también se conoce como el atributo Túnel-Soldado-Grupo-ID.

Este atributo se pudo incluir en el paquete access-request si el iniciador del túnel puede predeterminar al grupo que resulta de una conexión determinada y si se incluye en el paquete access-accept si se va esta sesión de túnel a ser tratada como si pertenezca a un grupo privado determinado. Los grupos privados pueden ser utilizados para asociar una sesión tunneled a un grupo determinado de usuarios. Por ejemplo, puede ser utilizada para facilitar rutear de los IP Address no registrados a través de una interfaz particular. Debe ser incluida en los paquetes de la Estadística-petición que contienen los atributos del Acct-Estatus-tipo con los valores del comienzo o de la parada y que pertenecen a una sesión tunneled.

Un resumen del formato de atributo Túnel-Soldado-Grupo-ID se muestra aquí. Los campos se transmiten de izquierda a derecha.

 0                   1                   2                   3 

 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|      Type     |    Length     |     Tag       |   String... 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

•Type - 81 for Tunnel-Private-Group-ID.

•Length - > = 3

•Tag - The Tag field is one octet in length and is intended to 
provide a means of grouping attributes in the same packet 
which refer to the same tunnel. If the value of the Tag field is 
greater than 0x00 and less than or equal to 0x1F, it should 
be interpreted as indicating which tunnel (of several alternatives) 
this attribute pertains. If the Tag field is greater than 
0x1F, it should be interpreted as the first byte of the following 
String field.
•String - This field must be present. The group is represented by the 
String field. There is no restriction on the format of 
group IDs.

Atributos del túnel

Cuando son uces de los se vuelven otros atributos de RADIUS (QoS-nivel, ACL-nombre, interface name, o VLA N-etiqueta), los atributos del túnelleavingcisco.com del RFC 2868 deben también ser vueltos.

El RFC 2868leavingcisco.com define los atributos del túnel RADIUS usados para la autenticación y autorización, y el RFC 2867leavingcisco.com define los atributos del túnel usados para considerar. Donde el authenticator del IEEE 802.1X soporta el Tunelización, un túnel obligatorio se puede configurar para el supplicant como resultado de la autenticación.

Particularmente, puede ser que sea deseable permitir que un puerto sea colocado en un VLAN determinado, definido en el IEEE 802.1Q, sobre la base del resultado de la autenticación. Esto se puede utilizar, por ejemplo, para permitir que un host inalámbrico permanezca en el mismo VLA N que mueve dentro de una red de oficinas centrales.

El servidor de RADIUS indica típicamente el VLA N deseado incluyendo los atributos del túnel dentro del access-accept. Sin embargo, el authenticator del IEEE 802.1X pudo también proporcionar una indirecta en cuanto al VLA N que se asignará al supplicant incluyendo los atributos del túnel dentro del pedido de acceso.

Estos atributos del túnel se utilizan para la asignación VLAN:

  • Tunnel-Type=VLAN (13)

  • Tunnel-Medium-Type=802

  • Tunnel-Private-Group-ID=VLANID

El VLANID es 12-bits, es un valor entre 1 y 4094, y es inclusivo. Puesto que el Túnel-Soldado-Grupo-ID está del tipo string como definido en el RFC 2868leavingcisco.com , para el uso con el IEEE 802.1X, el valor del número entero VLANID se codifica como cadena.

Cuando se envían los atributos del túnel, es necesario completar el campo de la etiqueta. Esto se observa en el RFC 2868leavingcisco.com , la sección 3.1:

  • El campo de la etiqueta es un octeto de largo y se piensa proporcionar los medios de agrupar los atributos en el mismo paquete que refieren al mismo túnel. Los valores válidos para este campo son 0x01 con 0x1F (inclusivo). Si el campo de la etiqueta es inusitado, debe ser cero (0x00).

  • Para el uso con el Túnel-Cliente-punto final, el Túnel-Servidor-punto final, los atributos Túnel-Soldado-Grupo-ID, Túnel-Asignación-ID, Túnel-Cliente-Auth-ID o Túnel-Servidor-Auth-ID (pero no el Tipo de Túnel, el Túnel-Media-tipo, la Túnel-contraseña, o la Túnel-preferencia), un campo de la etiqueta de mayor que 0x1F se interpreta como el primer octeto del campo siguiente de la cadena. Para información detallada sobre el formato refiera a la secciónleavingcisco.com 3.1 del RFC 2868.

  • A menos que proporcionen los tipos de túnel alternativos, (por ejemplo, para los Authenticators del IEEE 802.1X que pudieron soportar el Tunelización pero no los VLA N), es solamente necesario que los atributos del túnel especifiquen un solo túnel. Como consecuencia, donde se desea solamente para especificar el VLANID, el campo de la etiqueta se debe fijar a cero (0x00) en todos los atributos del túnel. Donde proporcionan los tipos de túnel alternativos, usted debe elegir los valores de la etiqueta entre 0x01 y 0x1F.

Sintaxis para la configuración de los atributos del WLC en los servidores de RADIUS

Airespace VSA de Cisco en el Cisco Access Registrar

El Registro de acceso de CNS de Cisco es un servidor RADIUS-obediente, de la política de acceso diseñado para soportar la salida del dial, un ISDN, y nuevos servicios incluyendo el DSL, un cable con el Telco-Return, una Tecnología inalámbrica y una voz sobre IP. Para información detallada sobre el Cisco Access Registrar refiera a las páginas de soporte del Cisco Access Registrar.

Éste es el sintaxis que necesita ser utilizado en el Cisco Access Registrar para definir los atributos del WLC.

  • Define los atributos de RADIUS del Airespace:

    Description = str:[0]
    Name = str:[0]Airespace
    Type = str:[0]SUB_ATTRIBUTES
    VendorID = int32:[0]14179
    VendorTypeSize = str:[0]8-bit
  • Define el ID DE WLAN para el usuario:

    Description = str:[0]
    Max = int32:[0]4294967295
    Min = int32:[0]0
    Name = str:[0]Airespace-WLAN-Id
    SubAttribute = int32:[0]1
    Type = str:[0]UINT32
  • Define el nivel de QoS para un usuario:
    Description = str:[0]
    Max = int32:[0]3
    Min = int32:[0]0
    Name = str:[0]Airespace-QoS-Level
    SubAttribute = int32:[0]2
    Type = str:[0]ENUM
    0 = str:[0]Silver
    1 = str:[0]Gold
    2 = str:[0]Platinum
    3 = str:[0]Bronze
  • Define el valor DSCP de los paquetes de un usuario:

    Description = str:[0]
    Max = int32:[0]4294967295
    Min = int32:[0]0
    Name = str:[0]Airespace-DSCP
    SubAttribute = int32:[0]3
    Type = str:[0]UINT32
  • Define la etiqueta 802.1p:

    Description = str:[0]
    Max = int32:[0]4294967295
    Min = int32:[0]0
    Name = str:[0]Airespace-802.1P-Tag
    SubAttribute = int32:[0]4
    Type = str:[0]UINT32
  • Define la interfaz a la cual asocian al usuario:

    Description = str:[0]
    Max = int32:[0]253
    Min = int32:[0]0
    Name = str:[0]Airespace-Interface-Name
    SubAttribute = int32:[0]5
    Type = str:[0]STRING
  • Define el ACL que es aplicado:

    Description = str:[0]
    Max = int32:[0]253
    Min = int32:[0]0
    Name = str:[0]Airespace-ACL-Name
    SubAttribute = int32:[0]6
    Type = str:[0]STRING

El Airespace VSA de Cisco en el radio libre separa

El archivo de diccionario del Airespace para el servidor de RADIUS libre está disponible en el directorio de instalación bajo Directory Name (Nombre de directorio) parte. El nombre de fichero es dictionary.airespace.

Nota: El archivo de diccionario pudo ser diferente para las versiones anteriores. Los ejemplos dados en este documento son del RADIUS versión libre 1.1.6.

# -*- text -*-
#
#	As found on the net.
#
#	$Id: dictionary.airespace,v 1.3.2.1 2005/11/30 22:17:19 aland Exp $
#
VENDOR		Airespace			14179

BEGIN-VENDOR	Airespace
ATTRIBUTE	Airespace-Wlan-Id			1	integer
ATTRIBUTE	Airespace-QOS-Level			2	integer
ATTRIBUTE	Airespace-DSCP				3	integer
ATTRIBUTE	Airespace-8021p-Tag			4	integer
ATTRIBUTE	Airespace-Interface-Name		5	string
ATTRIBUTE	Airespace-ACL-Name			6	string

VALUE	Airespace-QOS-Level		Bronze			3
VALUE	Airespace-QOS-Level		Silver			0
VALUE	Airespace-QOS-Level		Gold			1
VALUE	Airespace-QOS-Level		Platinum		2


END-VENDOR Airespace

El diccionario específico del vendedor para los Productos del Airespace se incluye en el archivo de diccionario disponible bajo mismo directorio. El nombre del archivo es diccionario.

# -*- text -*-
#
# Version $Id: dictionary,v 1.93.2.5.2.10 2007/04/08 14:42:06 aland Exp $
#
#	DO NOT EDIT THE FILES IN THIS DIRECTORY
#
#
#	Use the main dictionary file (usually /etc/raddb/dictionary)
#	for local system attributes and $INCLUDEs.
#
#
#
#	This file contains dictionary translations for parsing
#	requests and generating responses.  All transactions are
#	composed of Attribute/Value Pairs.  The value of each attribute
#	is specified as one of 4 data types.  Valid data types are:
#
#	text       - printable, generally UTF-8 encoded (subset of 'string')
#	string     - 0-253 octets
#	ipaddr     - 4 octets in network byte order
#	integer    - 32 bit value in big endian order (high byte first)
#	date       - 32 bit value in big endian order - seconds since
#		     00:00:00 GMT,  Jan.  1,  1970
#	ifid       - 8 octets in network byte order
#	ipv6addr   - 16 octets in network byte order
#	ipv6prefix - 18 octets in network byte order
#
#	FreeRADIUS includes extended data types which are not defined
#	in the RFC's.  These data types are:
#
#	abinary - Ascend's binary filter format.
#	octets  - raw octets, printed and input as hex strings.
#		  e.g.: 0x123456789abcdef
#
#
#	Enumerated values are stored in the user file with dictionary
#	VALUE translations for easy administration.
#
#	Example:
#
#	ATTRIBUTE	  VALUE
#	---------------   -----
#	Framed-Protocol = PPP
#	7		= 1	(integer encoding)
#

#
#	Include compatibility dictionary for older users file. Move
#	this directive to the end of this file if you want to see the
#	old names in the logfiles, INSTEAD OF the new names.
#
$INCLUDE dictionary.compat

#
#	Include the RFC dictionaries next.
#
#	For a complete list of the standard attributes and values,
#	see:
#		http://www.iana.org/assignments/radius-types
#
$INCLUDE dictionary.rfc2865
$INCLUDE dictionary.rfc2866
$INCLUDE dictionary.rfc2867
$INCLUDE dictionary.rfc2868
$INCLUDE dictionary.rfc2869
$INCLUDE dictionary.rfc3162
$INCLUDE dictionary.rfc3576
$INCLUDE dictionary.rfc3580
$INCLUDE dictionary.rfc4372
$INCLUDE dictionary.rfc4675
$INCLUDE dictionary.rfc4679

#
#	Include vendor dictionaries after the standard ones.
#
$INCLUDE dictionary.3com
$INCLUDE dictionary.3gpp
$INCLUDE dictionary.3gpp2
$INCLUDE dictionary.acc
$INCLUDE dictionary.airespace
$INCLUDE dictionary.alcatel
$INCLUDE dictionary.alteon
$INCLUDE dictionary.alvarion
$INCLUDE dictionary.aruba
$INCLUDE dictionary.ascend
$INCLUDE dictionary.asn
$INCLUDE dictionary.bay
$INCLUDE dictionary.bintec
$INCLUDE dictionary.cablelabs
$INCLUDE dictionary.cabletron
$INCLUDE dictionary.cisco
#
#	 The Cisco VPN300 dictionary is the same as the altiga one.
#	 You shouldn't use both at the same time.
#
#$INCLUDE dictionary.cisco.vpn3000
$INCLUDE dictionary.cisco.vpn5000
$INCLUDE dictionary.cisco.bbsm



#
#	And finally the server internal attributes.
#
$INCLUDE dictionary.freeradius.internal

#
#	Miscellaneous attributes defined in weird places that
#	don't really belong anywhere else...
#
ATTRIBUTE	Originating-Line-Info			94	string

#  As defined in draft-sterman-aaa-sip-00.txt
ATTRIBUTE	Digest-Response				206	string
ATTRIBUTE	Digest-Attributes			207	octets	# 

#
#	Integer Translations
#
VALUE	Service-Type			Voice			12
VALUE	Service-Type			Fax			13
VALUE	Service-Type			Modem-Relay		14
VALUE	Service-Type			IAPP-Register		15
VALUE	Service-Type			IAPP-AP-Check		16

VALUE	Framed-Protocol			GPRS-PDP-Context	7

VALUE	NAS-Port-Type			Wireless-CDMA2000	22
VALUE	NAS-Port-Type			Wireless-UMTS		23
VALUE	NAS-Port-Type			Wireless-1X-EV		24
VALUE	NAS-Port-Type			IAPP			25

VALUE	Framed-Protocol			PPTP			9

Airespace VSA de Cisco en el servidor de RADIUS del Microsoft IAS

Para la información sobre cómo configurar un servidor del Internet Authentication Service de Microsoft (MS IAS) para soportar los atributos del específico del vendedor del Airespace de Cisco (VSA) lea el Airespace VSA de Cisco en el ejemplo de la configuración de servidor de RADIUS MS IAS

Airespace VSA de Cisco en el servidor del Cisco Secure ACS

El motor de solución de la versión 4.0 del Cisco Secure Access Control Server, soporta muchos atributos del Remote Access Dial-In User Service (RADIUS) que incluyan los atributos del Airespace de Cisco.

El ACS no puede ofrecer el soporte parcial del IETF. Por lo tanto, cuando usted agrega un dispositivo del Airespace de Cisco (en la configuración de red), habilita automáticamente todos los atributos IETF. Esta tabla da los atributos del Airespace de Cisco soportados por Cisco ACS.

wlc-attributes-2.gif

Los dispositivos del Airespace de Cisco soportan algunos atributos IETF para el establecimiento de una red de la identidad del 802.1x:

  • Tipo de Túnel (64)

  • Túnel-Media-tipo (65)

  • Túnel-Soldado-Grupo-identificación (81)

Para configurar un atributo específico que se enviará para un usuario, usted debe asegurar eso:

  • En la sección de configuración de red, usted debe configurar la entrada del cliente AAA que corresponde al dispositivo de acceso que concede el acceso a la red al usuario para utilizar una variedad de RADIUS que soporte el atributo que usted quiere enviado al cliente AAA.

  • En la sección de configuración de la interfaz, usted debe habilitar el atributo de modo que aparezca en las páginas del perfil del usuario o del grupo de usuarios. Usted puede habilitar los atributos en la página que corresponden a la variedad RADIUS que soporta el atributo. Por ejemplo, el atributo del Sesión-descanso del IETF RADIUS (27) aparece en la página RADIUS (IETF).

    Nota: Por abandono, por usuario los atributos de RADIUS no se habilitan (no aparecen en la página de la configuración de la interfaz). Antes de que usted pueda habilitar los atributos sobre por usuario una base, usted debe habilitar por usuario la opción de los atributos TACACS+/RADIUS en la página opciones avanzada en la sección de configuración de la interfaz. Después de habilitar los atributos de usuario, una columna usuario aparece como inhabilitado en la página de la configuración de la interfaz para ese atributo.

  • En el perfil que usted utiliza para controlar las autorizaciones para el usuario — en el usuario o el grupo edite las páginas o la página componente compartida de la autorización de RADIUS — usted debe habilitar el atributo. Cuando usted habilita este atributo, hace el ACS enviar el atributo al cliente AAA en el mensaje del access-accept. En las opciones que se asocian al atributo, usted puede determinar el valor del atributo que se envía al cliente AAA.

Refiera a la sección de los atributos de RADIUS del guía del usuario para el motor de solución 4.0 del Cisco Secure ACS para más información.

Verificación y resolución de problemas

Cuando el usuario conecta con la red inalámbrica (WLAN) con una identificación del usuario y contraseña, el WLC pasa las credenciales al servidor de RADIUS que autentica al usuario contra las condiciones y el perfil del usuario configuradas. Si la autenticación de usuario es acertada, el servidor de RADIUS vuelve un RADIUS valida la petición que también contiene los atributos de RADIUS configurados para ese usuario. En este ejemplo, política de calidad de servicio (QoS) del usuario se vuelve.

Usted puede publicar el comando debug aaa all enable para ver la Secuencia de eventos que ocurre durante la autenticación. Aquí está la salida de muestra:

(Cisco Controller) >debug aaa all enable
Wed Apr 18 18:14:24 2007: User admin authenticated
Wed Apr 18 18:14:24 2007: 28:1f:00:00:00:00 Returning AAA Error 'Success' (0) for 
                              mobile 28:1f:00:00:00:00
Wed Apr 18 18:14:24 2007: AuthorizationResponse: 0xbadff97c
Wed Apr 18 18:14:24 2007:       structureSize...........................70
Wed Apr 18 18:14:24 2007:       resultCode...............................0
Wed Apr 18 18:14:24 2007:       protocolUsed....................0x00000008
Wed Apr 18 18:14:24 2007:       proxyState...........................
                                    28:1F:00:00:00:00-00:00
Wed Apr 18 18:14:24 2007:       Packet contains 2 AVPs:
Wed Apr 18 18:14:24 2007:           AVP[01] Service-Type...................
                                        0x00000006 (6) (4 bytes)
Wed Apr 18 18:14:24 2007:           AVP[02] Airespace / WLAN-Identifier.....
                                        0x00000000 (0) (4 bytes)
Wed Apr 18 18:14:24 2007: User admin authenticated
Wed Apr 18 18:14:24 2007: 29:1f:00:00:00:00 Returning AAA Error 'Success'  
                              (0) for mobile 29:1f:00:00:00:00
Wed Apr 18 18:14:24 2007: AuthorizationResponse: 0xbadff97c
Wed Apr 18 18:14:24 2007:       structureSize.........................70
Wed Apr 18 18:14:24 2007:       resultCode.............................0
Wed Apr 18 18:14:24 2007:       protocolUsed..................0x00000008
Wed Apr 18 18:14:24 2007:       proxyState...............................
                                    29:1F:00:00:00:00-00:00
Wed Apr 18 18:14:24 2007:       Packet contains 2 AVPs:
Wed Apr 18 18:14:24 2007:           AVP[01] Service-Type.................

                                        0x00000006 (6) (4 bytes)
Wed Apr 18 18:14:24 2007:           AVP[02] Airespace / WLAN-Identifier.....
                                        0x00000000 (0) (4 bytes)
Wed Apr 18 18:15:08 2007: Unable to find requested user entry for User-VLAN10
Wed Apr 18 18:15:08 2007: AuthenticationRequest: 0xa64c8bc
Wed Apr 18 18:15:08 2007:       Callback..........................0x8250c40
Wed Apr 18 18:15:08 2007:       protocolType.....................0x00000001
Wed Apr 18 18:15:08 2007:       proxyState...................................
                                    00:40:96:AC:E6:57-00:00
Wed Apr 18 18:15:08 2007:       Packet contains 8 AVPs (not shown)
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Successful transmission 
                               of Authentication Packet
                              (id 26) to 172.16.1.1:1812, proxy state 
                              00:40:96:ac:e6:57-96:ac
Wed Apr 18 18:15:08 2007: 00000000: 01 1a 00 68 00 00 00 00  00 00 00 00 00 00 00 00  
                              ...h............
Wed Apr 18 18:15:08 2007: 00000010: 00 00 00 00 01 0d 55 73  65 72 2d 56 4c 41 4e 31  
                              ......User-VLAN1
Wed Apr 18 18:15:08 2007: 00000020: 30 02 12 fa 32 57 ba 2a  ba 57 38 11 bc 9a 5d 59  
                              0...2W.*.W8...]Y
Wed Apr 18 18:15:08 2007: 00000030: ed ca 23 06 06 00 00 00  01 04 06 ac 10 01 1e 20  
                              ..#.............
Wed Apr 18 18:15:08 2007: 00000040: 06 57 4c 43 32 1a 0c 00  00 37 63 01 06 00 00 00  
                              .WLC2....7c.....
Wed Apr 18 18:15:08 2007: 00000050: 01 1f 0a 32 30 2e 30 2e  30 2e 31 1e 0d 31 37 32  
                              ...20.0.0.1..172
Wed Apr 18 18:15:08 2007: 00000060: 2e 31 36 2e 31 2e 33 30 .16.1.30
Wed Apr 18 18:15:08 2007: 00000000: 02 1a 00 46 3f cf 1b cc  e4 ea 41 3e 28 7e cc bc  
                              ...F?.....A>(~..
Wed Apr 18 18:15:08 2007: 00000010: 00 e1 61 ae 1a 0c 00 00  37 63 02 06 00 00 00 03  
                              ..a.....7c......
Wed Apr 18 18:15:08 2007: 00000020: 06 06 00 00 00 01 19 20  37 d0 03 e6 00 00 01 37  
                              ........7......7
Wed Apr 18 18:15:08 2007: 00000030: 00 01 ac 10 01 01 01 c7  7a 8b 35 20 31 80 00 00  
                              ........z.5.1...
Wed Apr 18 18:15:08 2007: 00000040: 00 00 00 00 00 1b      ......
Wed Apr 18 18:15:08 2007: ****Enter processIncomingMessages: response code=2
Wed Apr 18 18:15:08 2007: ****Enter processRadiusResponse: response code=2
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Access-Accept received 
                              from RADIUS server  
                              172.16.1.1 for mobile 00:40:96:ac:e6:57 receiveId = 0
Wed Apr 18 18:15:08 2007: AuthorizationResponse: 0x9802520
Wed Apr 18 18:15:08 2007:       structureSize.......................114
Wed Apr 18 18:15:08 2007:       resultCode...........................0
Wed Apr 18 18:15:08 2007:       protocolUsed................0x00000001
Wed Apr 18 18:15:08 2007:       proxyState...........................
                                    00:40:96:AC:E6:57-00:00
Wed Apr 18 18:15:08 2007:       Packet contains 3 AVPs:
Wed Apr 18 18:15:08 2007:           AVP[01] Airespace / QOS-Level.........
                                        0x00000003 (3) (4 bytes)
Wed Apr 18 18:15:08 2007:           AVP[02] Service-Type...................
                                        0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:08 2007:           AVP[03] Class......................
                                        DATA (30 bytes)
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Applying new AAA override for station 
                              00:40:96:ac:e6:57
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Override values for
                              station 00:40:96:ac:e6:57
            source: 48, valid bits: 0x3
            qosLevel: 3, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
            vlanIfName: '', aclName: '
Wed Apr 18 18:15:12 2007: AccountingMessage Accounting Start: 0xa64c8bc
Wed Apr 18 18:15:12 2007:       Packet contains 13 AVPs:
Wed Apr 18 18:15:12 2007:           AVP[01] User-Name.........................
                                        User-VLAN10 (11 bytes)
Wed Apr 18 18:15:12 2007:           AVP[02] Nas-Port..........................
                                        0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[03] Nas-Ip-Address....................
                                        0xac10011e (-1408237282) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[04] NAS-Identifier....................
                                        0x574c4332 (1464615730) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[05] Airespace / WLAN-Identifier.......
                                        0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[06] Acct-Session-Id...................
                                        4626602c/00:40:96:ac:e6:57/16 (29 bytes)
Wed Apr 18 18:15:12 2007:           AVP[07] Acct-Authentic....................
                                        0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[08] Tunnel-Type.......................
                                        0x0000000d (13) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[09] Tunnel-Medium-Type................
                                        0x00000006 (6) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[10] Tunnel-Group-Id...................
                                        0x3230 (12848) (2 bytes)
Wed Apr 18 18:15:12 2007:           AVP[11] Acct-Status-Type..................
                                        0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[12] Calling-Station-Id................
                                        20.0.0.1 (8 bytes)
Wed Apr 18 18:15:12 2007:           AVP[13] Called-Station-Id.................
                                        172.16.1.30 (11 bytes)

Este usuario muestra que autentican al usuario. Entonces, los valores de la invalidación AAA se vuelven con el RADIUS validan el mensaje. En este caso, usted ve que el atributo de QoS está vuelto junto con el RADIUS valida el mensaje. Por lo tanto, dan el usuario política de calidad de servicio (QoS) del bronce que reemplaza el valor de QoS predeterminado fijado para ese SSID.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 96103