Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Airespace VSA de Cisco en el ejemplo de configuración del servidor del Cisco Secure ACS

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (3 Marzo 2009) | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

La versión 4.0 del Cisco Secure Access Control Server (ACS) y posterior soporta los atributos específicos del vendedor del Airespace de Cisco (VSA) por abandono. Para los ACS versión antes de la versión 4.0, el archivo de diccionario del Airespace de Cisco se debe importar al Cisco Secure ACS. Este documento explica cómo importar el archivo de diccionario del Airespace de Cisco al Cisco Secure ACS para las versiones antes de 4.0. Vendor Code (Código de proveedor) para el Airespace VSA de Cisco es 14179.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Conocimientos básicos de cómo configurar un Servidor seguro Cisco para autenticar a los clientes de red inalámbrica

  • Conocimiento de las soluciones acerca de la seguridad del Cisco Unified Wireless

Componentes Utilizados

La información en este documento se basa en la versión del servidor 3.2 del Cisco Secure ACS

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

Con la versión 4.0 del Cisco Secure ACS y posterior, el ACS soporta este Airespace VSA de Cisco por abandono:

  • Aire-RED INALÁMBRICA (WLAN)-identificación

  • Aire-QoS-nivel

  • AIRE-DSCP

  • Aire-802.1P-Tag

  • Aire - interface name

  • Aire-ACL-nombre

Para más información sobre estos atributos, refiera a los atributos de RADIUS usados en la sección del establecimiento de una red de la identidad de la guía de configuración del Controlador de LAN de la Red Inalámbrica Cisco, la versión 4.1.

Para los ACS versión antes de la versión 4.0, el archivo de diccionario del Airespace de Cisco se debe importar al Cisco Secure ACS. La siguiente sección explica cómo importar el archivo de diccionario del Airespace de Cisco al Cisco Secure ACS.

Antes de usar los atributos de RADIUS en el Cisco Secure ACS

Para configurar un atributo específico que se enviará para un usuario, usted debe asegurar eso:

  • En la sección de configuración de red, usted debe configurar la entrada del cliente AAA que corresponde al dispositivo de acceso. Este dispositivo de acceso concede el acceso a la red al usuario para utilizar una variedad de RADIUS que soporte el atributo que usted quiere enviado al cliente AAA.

  • En la sección de configuración de la interfaz, usted debe habilitar el atributo así que aparece en las páginas del perfil del usuario o del grupo de usuarios. Usted puede habilitar los atributos en la página que corresponde a la variedad RADIUS que soporta el atributo. Por ejemplo, el atributo del Sesión-descanso del IETF RADIUS (27) aparece en la página RADIUS (IETF).

    Nota: Por abandono, por usuario los atributos de RADIUS no se habilitan porque no aparecen en la página de la configuración de la interfaz. Antes de que usted pueda habilitar los atributos sobre por usuario una base, usted debe habilitar por usuario la opción de los atributos TACACS+/RADIUS en la página opciones avanzada en la sección de configuración de la interfaz. Después de que usted habilite los atributos de usuario, una columna usuario aparecerá pues inhabilitado en la página de la configuración de la interfaz para ese atributo.

  • En el perfil usted utiliza para controlar las autorizaciones para el usuario, que está en el usuario o el grupo edita las páginas o la página componente compartida de la autorización de RADIUS, que usted debe habilitar el atributo. Cuando se habilita este atributo, el ACS envía el atributo al cliente AAA en el mensaje del access-accept. En las opciones que se asocian al atributo, usted puede determinar el valor del atributo que se envía al cliente AAA.

    Nota: Las configuraciones en configuraciones de anulación de un perfil del usuario en un perfil del grupo. Por ejemplo, si usted configura el Sesión-descanso en el perfil del usuario y también en el grupo a quien asignan el usuario, el ACS envía el cliente AAA el valor de tiempo de espera de sesión que se especifica en el perfil del usuario.

Importe el Airespace VSA de Cisco al Cisco Secure ACS

Para importar el Airespace VSA de Cisco al Cisco Secure ACS, usted debe completar estos pasos:

  1. Defina el Airespace VSA de Cisco en un archivo de la importación RADIUS vendor/VSA.

  2. Determine el slot del proveedor de RADIUS al cual usted quiere agregar el nuevos proveedor de RADIUS y VSA.

  3. Agregue el Airespace VSA de Cisco al Cisco Secure ACS.

Nota: Aseegurese que el regedit de la aplicación no se está ejecutando. Si el regedit se está ejecutando en el Servidor Windows del Cisco Secure ACS, puede prevenir las actualizaciones del registro requeridas agregar un proveedor de RADIUS de encargo y el conjunto VSA.

Defina el Airespace VSA de Cisco en un archivo de la importación RADIUS Vendor/VSA

Para importar el Airespace VSA de Cisco fijado en el Cisco Secure ACS, usted debe definir el proveedor de RADIUS y el conjunto VSA en un archivo de la importación. Esta sección detalla el formato y el contenido de los archivos de la importación RADIUS VSA.

Los archivos de la importación RADIUS vendor/VSA utilizan un formato de archivo del .ini de Windows. Cada archivo de la importación RADIUS vendor/VSA comprende tres tipos de las secciones. Estas secciones se detallan en esta tabla. Cada sección comprende un encabezado de sección y un conjunto de las claves y de los valores. La pedido de las secciones en el archivo de la importación RADIUS vendor/VSA es inútil.

airespace-vsa-acs-config1.gif

Vendedor y definición determinada VSA

Cada archivo de la importación RADIUS vendor/VSA debe tener un vendedor y sección de configuración VSA. El encabezado de sección debe ser [User-defined Vendor].

/image/gif/paws/97849/airespace-vsa-acs-config2.gif

Por ejemplo, este vendedor y la sección de configuración VSA define el Airespace de Cisco del vendedor, cuyo IETF-asignaron el número de vendedor son 14179.

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

Definición de atributo

Cada archivo de la importación RADIUS vendor/VSA debe tener una sección de definición de atributo para cada atributo definido en el vendedor y la sección de configuración VSA. El encabezado de sección de cada sección de definición de atributo debe hacer juego el nombre del atributo definido para ese atributo en el vendedor y la sección de configuración VSA. Esta tabla enumera las claves válidas para una sección de definición de atributo:

/image/gif/paws/97849/airespace-vsa-acs-config3.gif

Por ejemplo, esta sección de definición de atributo define el Airespace-Interfaz-nombre VSA, que es una cadena usada para especificar el nombre de la interfaz.

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

Definición de la enumeración

Permiso de las definiciones de la enumeración usted para asociar un texto basó el nombre para cada valor numérico válido de un atributo del número-tipo. En la configuración de grupo y las secciones de configuración de usuario de la interfaz de HTML del Cisco Secure ACS, los valores de texto que usted define aparecen en las listas asociadas a los atributos que utilizan las enumeraciones. Se requieren las secciones de definición de la enumeración solamente si una sección de definición de atributo se refiere a ellas. Solamente los atributos que son atributos del número-tipo pueden referirse a una sección de definición de la enumeración.

El encabezado de sección de cada sección de definición de la enumeración debe hacer juego el valor de una clave de Enums que se refiera a él. Una sección de definición de la enumeración se puede referir por más de un Enums dominante, así teniendo en cuenta la reutilización de las definiciones comunes de la enumeración. Una sección de definición de la enumeración puede tener hasta 1000 claves. Esta tabla enumera las claves válidas para una sección de definición de la enumeración:

/image/gif/paws/97849/airespace-vsa-acs-config4.gif

Por ejemplo, esta sección de definición de las enumeraciones define la enumeración de los VALORES DE QOS, que asocia la plata del valor de la cadena al número entero 0, el oro del valor de la cadena con el número entero 1 y así sucesivamente.

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze

Archivo de diccionario del Airespace

Usted necesita considerar todos estos parámetros necesitados para crear el archivo AirespaceVSA.ini. Aquí tiene un ejemplo:

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

RadiusExtensionPoints=EAP

[Airespace-WLAN-Id]
Type=INTEGER
Profile=OUT

[Airespace-QoS-Level]
Type=INTEGER
Profile=OUT
Enums=QOS-VALUES

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze

[Airespace-DSCP]
Type=INTEGER
Profile=OUT

[Airespace-802.1p-Tag]
Type=INTEGER
Profile=OUT

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

[Airespace-ACL-Name]
Type=STRING
Profile=OUT

Salve este archivo como Airespace.ini y sálvelo en la unidad de disco duro, preferiblemente en el directorio de C:\Cisco Secure ACS 3.2\Utils. El siguiente paso es agregar los VSA al Cisco Secure ACS.

Agregue el Airespace VSA de Cisco al Cisco Secure ACS

Usted puede utilizar el CSUtil.exe - comando del addUDV disponible bajo directorio del utils (directorio de C:\Cisco Secure ACS 3.2\Utils) para agregar a hasta diez proveedores de RADIUS de encargo y el VSA fija al Cisco Secure ACS. Agregan a cada proveedor de RADIUS y el conjunto VSA a uno de diez slots posibles del proveedor de RADIUS definido por el usuario.

El CSUtil.exe - listas de comandos del listUDV cada slot del proveedor de RADIUS definido por el usuario en la orden del número de slot. El CSUtil.execommand enumera los slots que no contienen a un proveedor de RADIUS de encargo como no asignado. Un slot no asignado está vacío. Usted puede agregar a un proveedor de RADIUS de encargo a cualquier slot enumerado como no asignado. Aquí tiene un ejemplo:

C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -listUDV
CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
UDV 0 - RADIUS (Airespace)
UDV 1 - Unassigned
UDV 2 - Unassigned
UDV 3 - Unassigned
UDV 4 - Unassigned
UDV 5 - Unassigned
UDV 6 - Unassigned
UDV 7 - Unassigned
UDV 8 - Unassigned
UDV 9 - Unassigned

Mientras que el comando CSUtil.exe agrega un proveedor de RADIUS y un VSA de encargo fijados al Cisco Secure ACS, paran y se recomienzan a todos los servicios del Cisco Secure ACS automáticamente. No se autentica a ningunos usuarios durante este proceso.

Complete estos pasos para agregar el Airespace VSA de Cisco al Cisco Secure ACS:

  1. En el ordenador que ejecuta el Cisco Secure ACS, abra un prompt de comandos DOS MS y cambie los directorios al directorio que contiene CSUtil.exe. Por ejemplo, si el Cisco Secure ACS está instalado en el directorio del Secure ACS 3.2 de C:\Cisco, el directorio del utils estará disponible bajo este directorio. Del prompt DOS, ingrese esto:

    C:\Cisco Secure ACS 3.2\cd Utils
    
    C:\Cisco Secure ACS 3.2\Utils
  2. Ahora, ingrese este comando:

    CSUtil.exe -addUDV slot-number filename

    donde está el número de slot un slot y un nombre de fichero inusitados del proveedor de RADIUS del Cisco Secure ACS es el nombre de un archivo de la importación RADIUS vendor/VSA. El nombre de fichero puede incluir un camino relativo o absoluto al archivo de la importación RADIUS vendor/VSA. Presione Intro.

    Por ejemplo, agregar el Airespace VSA de Cisco definido en C:\Cisco Secure ACS 3.2\Utils\Airespace.ini para ranurar 5, el comando es:

    CSUtil.exe -addUDV 5 Airespace.ini

    CSUtil.exe visualiza un prompt de la confirmación.

  3. Para confirmar que usted quiere agregar los VSA y parar todos los servicios del Cisco Secure ACS durante el proceso, el tipo Y y el Presione ENTER.

    CSUtil.exe para los servicios del Cisco Secure ACS, analiza el archivo de entrada vendor/VSA, y agrega el nuevos proveedor de RADIUS y VSA al Cisco Secure ACS. Este proceso puede tardar algunos minutos. Después de que sea completo, CSUtil.exe recomienza los servicios del Cisco Secure ACS.

    Aquí tiene un ejemplo:

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.ini
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Stopping any running services
    Creating backup of current config
    Adding Vendor [Airespace] added as [RADIUS (Airespace)]
    Adding VSA [Airespace-WLAN-Id]
    Adding VSA [Airespace-QoS-Level]
    Adding VSA [Airespace-DSCP]
    Adding VSA [Airespace-802.1p-Tag]
    Adding VSA [Airespace-Interface-Name]
    Adding VSA [Airespace-ACL-Name]
    Done
    Checking new configuration...
    New configuration OK
    Re-starting stopped services

Verificación

Una vez que el Airespace VSA de Cisco se agrega al Cisco Secure ACS, usted puede verificar lo mismo del Cisco Secure ACS GUI. Complete estos pasos para verificar:

  1. Inicie sesión al Cisco Secure ACS GUI.

  2. Haga clic la configuración de red del menú del lado izquierdo y navegue al agregar una página del cliente AAA.

    En la ventana del cliente AAA, usted encontrará que la opción RADIUS (Airespace) bajo autenticidad usando tira hacia abajo el menú.

    Aquí tiene un ejemplo:

    airespace-vsa-acs-config5.gif

    En la página de la configuración de la interfaz, usted encontrará los atributos RADIUS (Airespace) enumerados.

    Nota: En la sección de configuración de red, usted debe configurar la entrada del cliente AAA que corresponde al dispositivo de acceso que concede el acceso a la red al usuario para utilizar los atributos RADIUS (Airespace) que usted quiere enviado al cliente AAA. Entonces los atributos de RADIUS correspondientes serán enumerados en la página de la configuración de la interfaz.

    /image/gif/paws/97849/airespace-vsa-acs-config6.gif

  3. Cuando usted hace clic el link RADIUS (Airespace) en esta página, usted puede ver y seleccionar los atributos.

    airespace-vsa-acs-config7.gif

Troubleshooting

Si el archivo de diccionario del Airespace no se importa al Cisco Secure ACS, marque éstos:

  • Asegúrese de que usted esté importando un archivo correctamente formatado del .ini (archivo de la importación VSA). Si el formato del archivo no está correcto, usted verá este mensaje de error:

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.dct
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Cant find [Name] value
    
  • Asegúrese de que el slot del vendedor donde usted está intentando importar el diccionario esté libre y no esté asignado a un diverso diccionario del vendedor. Si usted intenta instalar el VSA a un slot que se asigne ya, usted recibirá este error:

    Vendor Slot already configured, specify alternate value
    

    Usted puede utilizar el CSUtil.exe - comando del listUDV para ver la lista de slots que estén vacíos.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 97849