Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Por el usuario ACL con los reguladores del Wireless LAN y el ejemplo de configuración del Cisco Secure ACS

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (25 Agosto 2008) | Inglés (20 Diciembre 2015) | Comentarios


Contenido


Introducción

Este documento explica con un ejemplo cómo crear listas de control de acceso (ACL) en los WLC y aplicarlas a los usuarios dependientes con la autorización de RADIUS.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Conocimiento básico de cómo configurar un servidor del Cisco Secure ACS para autenticar a los clientes de red inalámbrica

  • Conocimiento de la configuración de los Puntos de acceso ligeros del Cisco Aironet (revestimientos) y de los controladores LAN de la tecnología inalámbrica de Cisco (WLCs)

  • Conocimiento de las soluciones acerca de la seguridad del Cisco Unified Wireless

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Regulador del Wireless LAN de las Cisco 4400 Series que funciona con la versión 5.0.148.0

  • Puntos de acceso ligeros de las 1231 Series del Cisco Aironet (revestimientos)

  • Adaptador del cliente LAN de la tecnología inalámbrica de Cisco del a/b/g del 802.11 del Cisco Aironet que funciona con la versión 3.6

  • Versión utilidad de escritorio 3.6 del Cisco Aironet

  • Versión del servidor 4.1 del Cisco Secure ACS

  • Router de los Servicios integrados de las Cisco 2800 Series que funciona con la versión 12.4(11)T del IOS

  • Cisco Catalyst 2900XL Series Switch que funciona con la versión 12.0(5)WC3b

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Por la lista de control de acceso (ACL) del usuario es el establecimiento de una red de la identidad de Cisco de la parte de. La solución de LAN de la tecnología inalámbrica de Cisco soporta el establecimiento de una red de la identidad, que, mientras que permite la red haga publicidad de un solo SSID, también permite que los usuarios específicos hereden diversas directivas basadas en sus perfiles del usuario.

Por la característica ACL del usuario proporciona la capacidad de aplicar un ACL configurado en el regulador del Wireless LAN a un usuario basado en la autorización de RADIUS. Esto se logra con el atributo específico del vendedor del Airespace-ACL-nombre (VSA).

Este atributo indica el nombre ACL que se aplicará al cliente. Cuando el atributo ACL está presente en el acceso a RADIUS valide, el sistema aplica el ACL-nombre a la estación del cliente después de que autentique. Esto reemplaza cualquier ACL que se asigne a la interfaz. Ignora el interfaz-ACL asignado y aplica el nuevo.

Un resumen del formato de atributo del ACL-nombre se muestra abajo. Los campos se transmiten de izquierda a derecha

 0                   1                   2                   3 
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|     Type      |  Length       |            Vendor-Id 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
     Vendor-Id (cont.)          | Vendor type   | Vendor length | 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|        ACL Name... 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 
• Type - 26 for Vendor-Specific 
• Length - >7 
• Vendor-Id - 14179 
• Vendor type - 6 
• Vendor length - >0 
• Value - A string that includes the name of the ACL to use for the client. 
   The string is case sensitive. 

Para más información sobre el establecimiento de una red de la identidad de red del Cisco Unified Wireless, refiera a la sección del establecimiento de una red de la identidad que configura de las soluciones de Configurar directivo de seguridad del documento.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

En esta configuración, el WLC y el REVESTIMIENTO del regulador del Wireless LAN se utilizan para proporcionar los Servicios inalámbricos a los usuarios en el departamento A y el departamento B. Todos los usuarios de red inalámbrica utilizan una oficina común de la red inalámbrica (WLAN) (SSID) para acceder la red y están en el Oficina-VLA N del VLA N.

Per-User-ACL-WLC-1.gif

El servidor del Cisco Secure ACS se utiliza para autenticar a los usuarios de red inalámbrica. La autenticación EAP se utiliza para autenticar a los usuarios. El WLC, el REVESTIMIENTO, y el servidor del Cisco Secure ACS están conectados con un Layer 2 Switch como se muestra.

El r1 del router conecta los servidores en la cara tela con el Layer 2 Switch como se muestra. El r1 del router también actúa como servidor DHCP, que proporciona los IP Addresses a los clientes de red inalámbrica de la subred 172.16.0.0/16.

Usted necesita configurar los dispositivos de modo que ocurra esto:

El user1 del departamento A tiene acceso solamente al servidor 172.16.1.100

User2 del departamento B tiene acceso solamente al servidor 172.16.1.50

Para lograr esto, usted necesita crear 2 ACL en el WLC: uno para el user1, y el otro para User2. Una vez que se crean los ACL, usted necesita configurar el servidor del Cisco Secure ACS para volver el atributo de nombre ACL al WLC sobre la autenticación satisfactoria del usuario de red inalámbrica. El WLC entonces aplica el ACL al usuario, y a la red está así el dependiente restricto sobre el perfil del usuario.

Nota: Este documento utiliza la autenticación LEAP para los usuarios de autenticidad. El Cisco LEAP es vulnerable a los establecimientos de diccionario. En las redes en tiempo real, métodos de autentificación más seguros tales como EAP RÁPIDO deben ser utilizados. Puesto que el foco del documento es explicar cómo configurar por la característica ACL del usuario, SALTA se utiliza para la simplicidad.

La siguiente sección proporciona las instrucciones paso a paso de configurar los dispositivos para esta configuración.

Configurar

Antes de que usted configure por la característica del usuario ACL, usted debe configurar el WLC para la operación básica y registrar los revestimientos al WLC. Este documento asume que el WLC está configurado para la operación básica y que los revestimientos están registrados al WLC. Si usted es un usuario nuevo, que intenta configurar el WLC para la operación básica con los revestimientos, refiera al registro ligero AP (REVESTIMIENTO) a un regulador del Wireless LAN (WLC).

Los revestimientos se registran, completan una vez estos pasos para configurar los dispositivos para esta configuración:

  1. Configure el regulador del Wireless LAN.

  2. Configure el servidor del Cisco Secure ACS.

  3. Verifique la configuración.

Nota: Este documento discute la configuración requerida en el lado inalámbrico. El documento asume que la configuración atada con alambre existe.

Configure el regulador del Wireless LAN

En el regulador del Wireless LAN, usted necesita hacer esto:

Cree un VLA N para los usuarios de red inalámbrica

Para crear un VLA N para los usuarios de red inalámbrica, complete estos pasos.

  1. Vaya al WLC GUI y elija el regulador > las interfaces. La ventana de las interfaces aparece. Esta ventana enumera las interfaces que se configuran en el regulador.

  2. Tecleo nuevo para crear una nueva interfaz dinámica.

  3. En las interfaces > la nueva ventana, ingrese el nombre de la interfaz y el VLAN ID. Entonces haga clic se aplican. En este ejemplo, la interfaz dinámica se nombra Oficina-VLA N, y el VLAN ID se asigna 20.

    /image/gif/paws/98590/Per-User-ACL-WLC-2.gif

  4. En las interfaces > edite la ventana, ingrese el IP Address, la máscara de subred, y el default gateway para la interfaz dinámica. Asígnela a un puerto físico en el WLC, y ingrese el IP Address del servidor DHCP. Entonces haga clic se aplican.

    Per-User-ACL-WLC-3.gif

    Por este ejemplo, estos parámetros se utilizan para la interfaz del Oficina-VLA N:

    Office-VLAN
    	IP address: 172.16.1.25
    	Netmask: 255.255.0.0
    	Default gateway: 172.16.1.75 (sub-interface on Router R1)
    	Port on WLC: 1
    	DHCP server: 172.16.1.75 
    

Configure el WLC para autenticar con el Cisco Secure ACS

El WLC necesita ser configurado para remitir los credenciales de usuario a un servidor RADIUS externo (en este caso, el Cisco Secure ACS). El servidor de RADIUS después valida los credenciales de usuario y vuelve el atributo de nombre ACL al WLC sobre la autenticación satisfactoria del usuario de red inalámbrica.

Complete estos pasos para configurar el WLC para el servidor de RADIUS:

  1. Elija la Seguridad y la autenticación de RADIUS del regulador GUI para visualizar la página de los servidores de autenticación de RADIUS. Entonces haga clic nuevo para definir a un servidor de RADIUS.

  2. Defina los parámetros del servidor de RADIUS en los servidores de autenticación de RADIUS > nueva página. Estos parámetros incluyen la dirección IP, el secreto compartido, el número del puerto, y el estado del servidor del servidor de RADIUS.

    /image/gif/paws/98590/Per-User-ACL-WLC-4.gif

  3. Las casillas de verificación del usuario de la red y de la Administración determinan si la autenticación basada en RADIUS solicita la Administración y los usuarios de la red. Este ejemplo utiliza el Cisco Secure ACS como el servidor de RADIUS con la dirección IP 10.77.244.196. Haga clic en Apply (Aplicar).

Cree una nueva red inalámbrica (WLAN) para los usuarios de red inalámbrica

Después, usted necesita crear una red inalámbrica (WLAN) con la cual los usuarios de red inalámbrica puedan conectar. Para crear una nueva red inalámbrica (WLAN), complete estos pasos:

  1. Del regulador GUI del Wireless LAN, haga clic los WLAN. Esta página enumera los WLAN que existen en el regulador.

  2. Elija nuevo para crear una nueva red inalámbrica (WLAN). Ingrese el ID DE WLAN, el nombre del perfil, y el WLAN SSID para el WLAN, y el tecleo se aplica. Para esta configuración, cree una oficina de la red inalámbrica (WLAN).

    /image/gif/paws/98590/Per-User-ACL-WLC-5.gif

  3. Una vez que usted crea una nueva red inalámbrica (WLAN), la red inalámbrica (WLAN) > edita la página para la nueva red inalámbrica (WLAN) aparece. En esta página, usted puede definir los diversos parámetros específicos a esta red inalámbrica (WLAN) que incluya las políticas generales, la Seguridad, QoS, y los parámetros avanzados.

    /image/gif/paws/98590/Per-User-ACL-WLC-6.gif

    Marque el estatus de la red inalámbrica (WLAN) bajo políticas generales para habilitar la red inalámbrica (WLAN). Elija la interfaz apropiada del menú desplegable. En este ejemplo, utilice la interfaz Oficina-VLAN. Los otros parámetros en esta página se pueden modificar basaron en el requisito de la red WLAN.

  4. Elija la Seguridad cuadro eligen el 802.1x del menú desplegable de la Seguridad de la capa 2 (puesto que esto es una autenticación LEAP). Elija el tamaño apropiado de la clave WEP bajo parámetros del 802.1x.

    /image/gif/paws/98590/Per-User-ACL-WLC-7.gif

  5. Conforme a la ficha de seguridad, elija la sub-lengueta del servidor de AAA. Elija al servidor de AAA que se utiliza para autenticar a los clientes de red inalámbrica. En este ejemplo, utilice al servidor ACS 10.77.244.196 para autenticar a los clientes de red inalámbrica.

    /image/gif/paws/98590/Per-User-ACL-WLC-8.gif

  6. Elija la ficha Avanzadas. El control permite que la invalidación AAA configure la invalidación de la política de usuario con el AAA en un Wireless LAN.

    /image/gif/paws/98590/Per-User-ACL-WLC-9.gif

    Cuando se habilita la invalidación AAA, y un cliente tiene parámetros de autenticación del Wireless LAN del controlador LAN AAA que están en conflicto y de la tecnología inalámbrica de Cisco, después la autenticación de cliente es realizada por el servidor de AAA. Como parte de esta autenticación, el sistema operativo mueve a los clientes desde el VLA N predeterminado del Wireless LAN de la solución de LAN de la tecnología inalámbrica de Cisco a un VLA N vuelto por el servidor de AAA y predefinido en la configuración de la interfaz del controlador LAN de la tecnología inalámbrica de Cisco, que happenswhen solamente configurado para el MAC que filtra, 802.1x, y/o operación WPA. En todos los casos, el sistema operativo también utiliza los valores de QoS, del Tag de prioridad DSCP, 802.1p y ACL proporcionado por el servidor de AAA, mientras se predefinan en la configuración de la interfaz del controlador LAN de la tecnología inalámbrica de Cisco.

  7. Elija los otros parámetros basados en los requisitos de la red. Haga clic en Apply (Aplicar).

Defina los ACL para los usuarios

Usted necesita crear dos ACL para esta configuración:

  • ACL1: Para proporcionar el acceso al user1 al servidor 172.16.1.100 solamente

  • ACL2: Para proporcionar el acceso a User2 al servidor 172.16.1.50 solamente

Complete estos pasos para configurar los ACL en el WLC:

  1. Del WLC GUI, elija la Seguridad > las listas de control de acceso. La página de las listas de control de acceso aparece. Esta página enumera los ACL que se configuran en el WLC. También le permite para editar o para quitar los ACL uces de los. Para crear un nuevo ACL, haga clic nuevo.

  2. Esta página permite que usted cree los nuevos ACL. Ingrese el nombre del ACL y del tecleo se aplican. Una vez que se crea el ACL, el tecleo edita para crear las reglas para el ACL.

  3. El user1 necesita poder al servidor de acceso 172.16.1.100 solamente y se debe negar el acceso a todos los otros dispositivos. Para esto, usted necesita definir estas reglas.

    Refiera a los ACL en el ejemplo de la configuración de controlador del Wireless LAN para más información sobre cómo configurar los ACL en los reguladores del Wireless LAN.

    Per-User-ACL-WLC-10.gif

  4. Semejantemente, usted necesita crear un ACL para User2, que permite el acceso User2 al servidor 172.16.1.50 solamente. Éste es el ACL requerido para User2.

    /image/gif/paws/98590/Per-User-ACL-WLC-11.gif

    Usted ahora ha configurado el regulador del Wireless LAN para esta configuración. El siguiente paso es configurar el Cisco Secure Access Control Server para autenticar a los clientes de red inalámbrica y para volver el atributo de nombre ACL al WLC sobre la autenticación satisfactoria.

Configure el servidor del Cisco Secure ACS

Para que el Cisco Secure ACS pueda autenticar a los clientes de red inalámbrica, usted necesita completar estos pasos:

Configure el regulador del Wireless LAN como cliente AAA en el Cisco Secure ACS

Para configurar el regulador del Wireless LAN como cliente AAA en el Cisco Secure ACS, complete estos pasos:

  1. La Configuración de la red del tecleo agrega al cliente AAA. La página del cliente AAA del agregar aparece. En esta página, defina el nombre del sistema del WLC, dirección IP de la interfaz de administración, secreto compartido, y autentiqúelo usando el Airespace del radio. Aquí tiene un ejemplo:

    /image/gif/paws/98590/Per-User-ACL-WLC-12.gif

    Nota: El secreto compartido configurado en el Cisco Secure ACS debe hacer juego el secreto compartido configurado en el WLC bajo los servidores de autenticación de RADIUS > nuevo.

  2. Tecleo Submit+Apply.

Usuarios y perfil del usuario de la configuración en el Cisco Secure ACS

Para configurar a los usuarios en el Cisco Secure ACS, complete estos pasos:

  1. Elija la configuración de usuario del ACS GUI, ingrese el nombre de usuario, y el tecleo agrega/edita. En este ejemplo, el usuario es user1.

    Per-User-ACL-WLC-13.gif

  2. Cuando aparece la página de la configuración de usuario, defina todos los parámetros específicos al usuario. En este ejemplo, se configuran el nombre de usuario, la contraseña, la información del usuario suplementaria, y los atributos de RADIUS porque usted necesita solamente estos parámetros para la autenticación EAP.

    /image/gif/paws/98590/Per-User-ACL-WLC-14.gif

    Navegue hacia abajo hasta que usted vea los atributos de RADIUS del Airespace de Cisco específicos al usuario. Marque el Aire-ACL-nombre para permitir al ACS para volver el nombre ACL al WLC junto con la respuesta de la autenticación satisfactoria. Para el user1, cree un user1 ACL en el WLC. Entre el nombre ACL como user1.

    /image/gif/paws/98590/Per-User-ACL-WLC-15.gif

  3. Relance el mismo procedimiento para crear User2 como se muestra aquí.

    /image/gif/paws/98590/Per-User-ACL-WLC-16.gif

    Per-User-ACL-WLC-17.gif

    Per-User-ACL-WLC-18.gif

  4. Configuración del sistema y autenticación global del tecleo puestas para asegurarse de que configuran al servidor de autenticación para realizar el método de autenticación EAP deseado. Bajo ajustes de la configuración EAP, elija el método EAP apropiado. Este ejemplo utiliza la autenticación LEAP. El tecleo somete cuando le hacen.

    /image/gif/paws/98590/Per-User-ACL-WLC-19.gif

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Intente asociar a un cliente de red inalámbrica al AP ligero con la autenticación LEAP para verificar si la configuración trabaja como se esperaba.

Nota: Este documento asume que el perfil del cliente está configurado para la autenticación LEAP. Refiérase con la autenticación EAP para más información sobre cómo configurar el adaptador de red inalámbrica de cliente del a/b/g del 802.11 para la autenticación LEAP.

El perfil para el cliente de red inalámbrica se activa una vez, el usuario se pide proporcionar el nombre de usuario/la contraseña para la autenticación LEAP. Esto es qué sucede cuando el user1 intenta autenticar al REVESTIMIENTO.

/image/gif/paws/98590/Per-User-ACL-WLC-20.gif

El AP ligero y entonces el WLC pasa encendido los credenciales de usuario al servidor RADIUS externo (Cisco Secure ACS) para validar las credenciales. El servidor de RADIUS compara los datos con la base de datos de usuarios y, sobre la autenticación satisfactoria, vuelve el nombre ACL configurado para el usuario al WLC. En este caso, el user1 ACL se vuelve al WLC.

Per-User-ACL-WLC-21.gif

El regulador del Wireless LAN aplica este ACL al user1. Esta salida del ping muestra que el user1 puede acceder solamente el servidor 172.16.1.100, solamente no ningún otro dispositivo.

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Reply from 172.16.1.100: bytes=32 time=3ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 3ms, Average = 1ms

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Semejantemente, cuando User2 intenta acceder la red inalámbrica (WLAN), el servidor de RADIUS, sobre la autenticación satisfactoria, vuelve el ACL User2 al WLC.

/image/gif/paws/98590/Per-User-ACL-WLC-22.gif

Per-User-ACL-WLC-23.gif

El regulador del Wireless LAN aplica este ACL a User2. Esta salida del ping muestra que User2 puede acceder solamente el servidor 172.16.1.50, solamente no ningún otro dispositivo.

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Reply from 172.16.1.50: bytes=32 time=3ms TTL=255
Reply from 172.16.1.50: bytes=32 time=18ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 18ms, Average = 5ms

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

En el regulador del Wireless LAN, usted puede también utilizar estos comandos debug para resolver problemas la autenticación AAA

  • el debug aaa todo habilita — Configura el debug de todos los mensajes AAA

  • permiso del paquete del dot1x del debug — Habilita el debug de todos los paquetes del dot1x

  • cliente < dirección MAC > del debug — Habilita el debugging del cliente de red inalámbrica

Aquí está un ejemplo del comando debug aaa all enable

Nota: Algunas de las líneas en la salida se han movido a la segunda línea debido a los apremios del espacio.

Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState..............00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet 
   (id 1) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 01 00 d0 2d 34 f5 99  b4 19 27 28 eb 5f 35 9c  
   ....-4....'(._5.
Thu Aug 16 14:42:54 2007: 00000010: 8f a9 00 dd 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ......user1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office-TSWEB..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 27 02  
   ...A.....Q.20O'.
Thu Aug 16 14:42:54 2007: 00000090: 01 00 25 11 01 00 18 1d  87 9d 0b f9 dd e5 39 0d  
   ..%...........9.
Thu Aug 16 14:42:54 2007: 000000a0: 2e 82 eb 17 c6 23 b7 96  dc c3 55 ff 7c 51 4e 75  
   .....#....U.|QNu
Thu Aug 16 14:42:54 2007: 000000b0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000c0: 1a d5 3b 35 5e 93 11 c0  c6 2f 5e f5 65 e9 3e 2d  
   ..;5^..../^.e.>-
Thu Aug 16 14:42:54 2007: 00000000: 0b 01 00 36 8c 31 6a b4  27 e6 d4 0e 1b 8e 5d 19  
   ...6.1j.'.....].
Thu Aug 16 14:42:54 2007: 00000010: 60 1c c2 16 4f 06 03 01  00 04 18 0a 53 56 43 3d
   ...O.......SVC=
Thu Aug 16 14:42:54 2007: 00000020: 30 2e 31 3b 50 12 6c fb  90 ec 48 9b fb d7 ce ca  
   0.1;P.l...H.....
Thu Aug 16 14:42:54 2007: 00000030: 3b 64 93 10 fe 09      ;d....
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=11
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=11
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Challenge received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............104
Thu Aug 16 14:42:54 2007:       resultCode...............255
Thu Aug 16 14:42:54 2007:       protocolUsed............0x00000001
Thu Aug 16 14:42:54 2007:       proxyState...............
   00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 3 AVPs (not shown)
Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState.........................
   00:40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet (id 2) to 10.77.244.196:1812, 
proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 02 00 c0 38 b6 b2 20  ff 5b f2 16 64 df 02 61  
   ....8....[..d..a
Thu Aug 16 14:42:54 2007: 00000010: cf f5 93 4b 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ...K..User1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 17 01  
   ...A.....Q.20O..
Thu Aug 16 14:42:54 2007: 00000090: 01 00 15 11 01 00 08 0f  14 05 65 1b 28 61 c9 75  
   ..........e.(a.u
Thu Aug 16 14:42:54 2007: 000000a0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000b0: 05 ba 6b af fe a4 b0 d1  a2 94 f8 39 80 ca 3c 96  
   ..k........9..<.
Thu Aug 16 14:42:54 2007: 00000000: 02 02 00 ce c9 3d 5d c8  6c 07 8e fb 58 84 8d f6  
   .....=].l...X...
Thu Aug 16 14:42:54 2007: 00000010: 33 6d 93 21 08 06 ff ff  ff ff 4f 27 02 01 00 25  
   3m.!......O'...%
Thu Aug 16 14:42:54 2007: 00000020: 11 01 00 18 e5 e5 31 1e  33 b5 4e 69 90 e7 84 25  
   ......1.3.Ni...%
Thu Aug 16 14:42:54 2007: 00000030: 42 a9 20 ac 84 33 9f 87  ca dc c9 b3 75 73 65 72  
   B....3......user
Thu Aug 16 14:42:54 2007: 00000040: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 73 65  
   1.;.....5leap:se
Thu Aug 16 14:42:54 2007: 00000050: 73 73 69 6f 6e 2d 6b 65  79 3d 29 80 1d 2c 1c 85  
   ssion-key=)..,..
Thu Aug 16 14:42:54 2007: 00000060: db 1c 29 7e 40 8a b8 93  69 2a 55 d2 e5 46 89 8b  
   ..)~@...i*U..F..
Thu Aug 16 14:42:54 2007: 00000070: 2c 3b 65 49 3e 44 cf 7e  95 29 47 54 1a 1f 00 00  
   ,;eI>D.~.)GT....
Thu Aug 16 14:42:54 2007: 00000080: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 74 79  
   ....auth-algo-ty
Thu Aug 16 14:42:54 2007: 00000090: 70 65 3d 65 61 70 2d 6c  65 61 70 1a 0d 00 00 37  
   pe=eap-leap....7
Thu Aug 16 14:42:54 2007: 000000a0: 63 06 07 55 73 65 72 31  19 14 43 41 43 53 3a 30  
   c..User1..CACS:0
Thu Aug 16 14:42:54 2007: 000000b0: 2f 39 2f 61 34 64 66 34  64 32 2f 31 50 12 9a 71  
   /9/a4df4d2/1P..q
Thu Aug 16 14:42:54 2007: 000000c0: 09 99 7d 74 89 ad af e5  c8 b1 71 94 97 d1      
   ..}t......q...
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=2
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=2
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Accept received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............236
Thu Aug 16 14:42:54 2007:       resultCode...............0
Thu Aug 16 14:42:54 2007:       protocolUsed.............0x0
0000001
Thu Aug 16 14:42:54 2007:       proxyState...............00:
40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:  Packet contains 6 AVPs:
Thu Aug 16 14:42:54 2007:  AVP[01] Framed-IP-Address..........0xffffffff (-1) 
   (4 bytes)
Thu Aug 16 14:42:54 2007:  AVP[02] EAP-Message................DATA (37 bytes)
Thu Aug 16 14:42:54 2007:  AVP[03] Cisco / LEAP-Session-Key...DATA (16 bytes)
Thu Aug 16 14:42:54 2007:  AVP[04] Airespace / ACL-Name.......User1 (5 bytes)
Thu Aug 16 14:42:54 2007:  AVP[05] Class......................CACS:0/9/a4df4d2/1 
   (18 bytes)
Thu Aug 16 14:42:54 2007:  AVP[06] Message-Authenticator......DATA (16 bytes)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Applying new AAA override 
   for station 00:40:96:af:3e:93
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Override values 
   for station 00:40:96:af:3e:93
                source: 4, valid bits: 0x400
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1

dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                       vlanIfName: '',
aclName:User1
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
   Inserting new RADIUS override into chain for station 00:40:96:af:3e:93

Usted puede utilizar una combinación del comando show wlan summary para reconocer cuáles de sus WLAN emplean la autenticación de servidor de RADIUS. Entonces usted puede ver el comando show client summary para ver qué direcciones MAC (clientes) se autentican con éxito en el RADIUS WLAN. Usted puede también correlacionar esto con su Cisco Secure ACS pasajero las tentativas o los registros de los intentos fallidos.

Cisco recomienda que usted prueba sus configuraciones ACL con un cliente de red inalámbrica para asegurarse de que usted las ha configurado correctamente. Si no pueden actuar correctamente, verifique los ACL en la página web ACL y verifiquelos que sus cambios ACL fueran aplicados a la interfaz del regulador.

Usted puede también utilizar estos comandos show para verificar su configuración:

  • muestre el resumen acl — Para visualizar los ACL que se configuran en el regulador, utilice el comando summary acl de la demostración.

Aquí tiene un ejemplo:

(Cisco Controller) >show acl summary

ACL Name                         Applied
-------------------------------- -------
User1                                  Yes
User2                                  Yes

  • muestre el <ACL_Name> detallado acl — Visualiza la información detallada en los ACL configurados.

    Aquí tiene un ejemplo:

    Nota: Algunas de las líneas en la salida se han movido a la segunda línea debido a los apremios del espacio.

    Cisco Controller) >show acl detailed User1
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP   Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ----    ------
     1  In      172.16.0.0/255.255.0.0        172.16.1.100/255.255.255.255  
       Any  0-65535       0-65535   Any    Permit
     2 Out    172.16.1.100/255.255.255.255      172.16.0.0/255.255.0.0      
       Any  0-65535       0-65535   Any    Permit
    
    
    (Cisco Controller) >show acl detailed User2
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ---- ------
    1  In      172.16.0.0/255.255.0.0         172.16.1.50/255.255.255.255  
       Any   0-65535       0-65535    Any  Permit
    2 Out     172.16.1.50/255.255.255.255      172.16.0.0/255.255.0.0      
       Any   0-65535       0-65535    Any  Permit
  • muestre el detalle del cliente < la dirección MAC del client> - información detallada de las visualizaciones sobre el cliente de red inalámbrica.

Consejos de Troubleshooting

Utilice estas extremidades para resolver problemas:

  • Verifique en el regulador que el servidor de RADIUS esté en el estado activo, y no en el recurso seguro o inhabilitado.

  • En el regulador, control si eligen al servidor de RADIUS del menú desplegable de la red inalámbrica (WLAN) (SSID).

  • Marque si el servidor de RADIUS recibe y valida el pedido de autenticación del cliente de red inalámbrica.

  • Marque los informes pasajeros de las autenticaciones y de los intentos fallidos sobre el servidor ACS para lograr esto. Estos informes están disponibles bajo los informes y actividades en el servidor ACS.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 98590