Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Autenticación del EAP-FAST con el ejemplo de configuración de los reguladores y del servidor RADIUS externo del Wireless LAN

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (28 Enero 2009) | Inglés (20 Diciembre 2015) | Comentarios


Contenido

PAC

Introducción

Este documento explica cómo configurar el controlador de LAN inalámbrico (WLC) para EAP (Extensible Authentication Protocol) - autenticación FAST (Flexible Authentication via Secure Tunneling) mediante un servidor RADIUS externo. Este ejemplo de configuración utiliza el Cisco Secure Access Control Server (ACS) como el servidor RADIUS externo para autenticar al cliente de red inalámbrica.

Este documento se centra en cómo configurar el ACS para las credenciales protegidas (automáticas) anónimas y autenticadas del acceso de la En-banda (PAC) provisioning a los clientes de red inalámbrica. Para configurar el aprovisionamiento manual/fuera de banda PAC, refiera a la generación manual del aprovisionamiento PAC y del archivo PAC para el aprovisionamiento manual para más información.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Conocimiento básico de la configuración de los Puntos de acceso ligeros (revestimientos) y del WLCs de Cisco

  • Conocimientos básicos de Lightweight Access Point Protocol (LWAPP)

  • Conocimiento de cómo configurar a un servidor RADIUS externo, tal como el Cisco Secure ACS

  • Conocimiento funcional en el marco general EAP

  • Conocimiento básico en los protocolos de Seguridad, tales como MS-CHAPv2 y EAP-GTC, y conocimiento en los Certificados digitales

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • WLC de las Cisco 2000 Series que funciona con el firmware 4.0.217.0

  • LAP del Cisco Aironet 1000 Series

  • Cisco Secure ACS que funciona con la versión 4.1

  • Adaptador del cliente del a/b/g del 802.11 del Cisco Aironet

  • Utilidad de escritorio del Cisco Aironet (ADU) esa versión de firmware 3.6 de los funcionamientos

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

El protocolo del EAP-FAST es un nuevo, público accesible tipo del IEEE 802.1X EAP que Cisco desarrollado para apoyar a los clientes que no pueden hacer cumplir una política de contraseña fuerte y querer desplegar un tipo del 802.1x EAP que no requiera los Certificados digitales.

El protocolo del EAP-FAST es una arquitectura de seguridad del servidor del cliente que cifra las transacciones EAP con un túnel de la Seguridad del nivel del transporte (TLS). Basan al establecimiento del túnel del EAP-FAST en los secretos fuertes que son únicos a los usuarios. Estos secretos fuertes se llaman los PAC, que el ACS genera usando una clave principal sabida solamente al ACS.

El EAP-FAST ocurre en tres fases:

  • La fase cero (fase automática del aprovisionamiento PAC) — la fase cero del EAP-FAST, una fase opcional es los medios túnel-asegurados de proveer de un cliente del usuario final del EAP-FAST un PAC para el usuario que pide el acceso a la red. Proporcionar a un PAC al cliente del usuario final es el único propósito de la fase cero.

    Nota: La fase cero es opcional porque los PAC pueden también ser manualmente aprovisionado a los clientes en vez de usar la fase cero.

    Vea la sección de los modos del aprovisionamiento PAC de este documento para los detalles.

  • Fase uno — En el fase uno, el ACS y el cliente del usuario final establecen un túnel de TLS basado en los credenciales PAC del usuario. Esta fase requiere que hayan proporcionado el cliente del usuario final un PAC para el usuario que está intentando tener el acceso a la red, y que el PAC está basado en una clave principal que no ha expirado. No se habilita a ningún servicio de red por el fase uno del EAP-FAST.

  • Fase dos — En la fase dos, las credenciales de la autenticación de usuario son pasadas con seguridad usando un método EAP interno soportado por el EAP-FAST dentro del túnel de TLS al RADIUS creado usando el PAC entre el cliente y el servidor de RADIUS. El EAP-GTC, TLS y el MS-CHAP se soportan como métodos EAP internos. No se soporta a ningunos otros tipos EAP para el EAP-FAST.

Refiérase a cómo los trabajos del EAP-FAST para más información.

PAC

Los PAC son los secretos compartidos fuertes que permiten al ACS y a un cliente del usuario final del EAP-FAST para autenticarse y para establecer un túnel de TLS para el uso en la fase dos del EAP-FAST. El ACS genera los PAC usando la clave principal activa y un nombre de usuario.

El PAC comprende:

  • PAC-clave — Secreto compartido limitado a un cliente (y al dispositivo del cliente) y a la identidad del servidor.

  • PAC opaco — Campo opaco que los cachés del cliente y los pasos al servidor. El servidor recupera la PAC-clave y la identidad del cliente para autenticar mutuamente con el cliente.

  • PAC-Info — Al mínimo, incluye la identidad del servidor para permitir al cliente para ocultar diversos PAC. Opcionalmente, incluye la otra información tal como el vencimiento PAC.

Modos PAC Provisoning

Según lo mencionado anterior, la fase cero es una fase opcional.

El EAP-FAST ofrece dos opciones para provision a un cliente con un PAC:

  • Aprovisionamiento automático PAC (fase 0 del EAP-FAST, o aprovisionamiento de la En-banda PAC)

  • Aprovisionamiento (fuera de banda) manual PAC

la En-banda/el aprovisionamiento automático PAC envía un nuevo PAC a un cliente del usuario final sobre una conexión de red segura. El aprovisionamiento automático PAC no requiere ninguna intervención del usuario de la red o de un administrador ACS, a condición de que usted configura el ACS y al cliente del usuario final para soportar el aprovisionamiento automático.

Los últimos soportes de versión del EAP-FAST dos diversas opciones de configuración del aprovisionamiento de la en-banda PAC:

  • Aprovisionamiento anónimo de la En-banda PAC

  • Aprovisionamiento autenticado de la En-banda PAC

Nota: Este documento discute éstos los métodos del aprovisionamiento de la en-banda PAC y cómo configurarlos.

El aprovisionamiento fuera de banda/manual PAC requiere a un administrador ACS generar los archivos PAC, que se deben entonces distribuir a los usuarios de la red aplicables. Los usuarios deben configurar a los clientes del usuario final con sus archivos PAC.

Configuración del diagrama de la red y de la configuración

En esta configuración, un WLC de Cisco 2006 y un REVESTIMIENTO están conectados a través de un concentrador. Un servidor RADIUS externo (Cisco Secure ACS) también está conectado con el mismo concentrador. Todos los dispositivos están en la misma subred. El punto de acceso se registra inicialmente al regulador. Usted debe configurar el WLC para la autenticación del EAP-FAST. Los clientes que conectan con la autenticación del EAP-FAST del uso AP para asociarse al AP. El Cisco Secure ACS se utiliza para realizar la autenticación de RADIUS.

eapfast-wlc-rad-config1.gif

Configure el WLC para la autenticación del EAP-FAST

Realice estos pasos para configurar el WLC para la autenticación del EAP-FAST:

  1. Configure el WLC para la autenticación de RADIUS a través de un servidor RADIUS externo

  2. Configure la red inalámbrica (WLAN) para la autenticación del EAP-FAST

Configure el WLC para la autenticación de RADIUS a través de un servidor RADIUS externo

El WLC necesita ser configurado para remitir los credenciales de usuario a un servidor RADIUS externo. El servidor RADIUS externo después valida los credenciales de usuario usando el EAP-FAST y proporciona el acceso a los clientes de red inalámbrica.

Complete estos pasos para configurar el WLC para un servidor RADIUS externo:

  1. Elija la Seguridad y la autenticación de RADIUS del regulador GUI para visualizar la página de los servidores de autenticación de RADIUS. Entonces, haga clic nuevo para definir a un servidor de RADIUS.

  2. Defina los parámetros del servidor de RADIUS en los servidores de autenticación de RADIUS > nueva página. Estos parámetros incluyen:

    • Dirección IP del servidor de RADIUS

    • secreto compartido

    • número de puerto

    • Estado del servidor

    Este documento utiliza al servidor ACS con una dirección IP de 10.77.244.196.

    /image/gif/paws/99791/eapfast-wlc-rad-config2.gif

  3. Haga clic en Apply (Aplicar).

Configure la red inalámbrica (WLAN) para la autenticación del EAP-FAST

Después, configure la red inalámbrica (WLAN) que los clientes utilizan para conectar con la red inalámbrica para la autenticación del EAP-FAST y para asignar a una interfaz dinámica. El nombre de la red inalámbrica (WLAN) configurado en este ejemplo es eap rápidamente. Este ejemplo asigna esta red inalámbrica (WLAN) a la interfaz de administración.

Complete estos pasos para configurar la red inalámbrica (WLAN) rápida del eap y sus parámetros relacionados:

  1. Haga clic los WLAN del GUI del regulador para visualizar la página WLAN.

    Esta página enumera los WLAN que existen en el regulador.

  2. Tecleo nuevo para crear una nueva red inalámbrica (WLAN).

    /image/gif/paws/99791/eapfast-wlc-rad-config3.gif

  3. Configure el nombre, el nombre del perfil y el ID DE WLAN rápidos de la red inalámbrica (WLAN) SSID del eap en los WLAN > nueva página. Entonces, el tecleo se aplica.

    eapfast-wlc-rad-config4.gif

  4. Una vez que usted crea una nueva red inalámbrica (WLAN), la red inalámbrica (WLAN) > edita la página para la nueva red inalámbrica (WLAN) aparece. En esta página, usted puede definir los diversos parámetros específicos a esta red inalámbrica (WLAN). Esto incluye las políticas generales, los servidores de RADIUS, las políticas de seguridad, y los parámetros del 802.1x.

  5. Marque la casilla de verificación del estado del administrador bajo políticas generales para habilitar la red inalámbrica (WLAN).

  6. Si usted quisiera que el AP transmitiera el SSID en sus tramas de recuperación de problemas, marque la casilla de verificación SSID del broadcast. Marque la casilla de verificación de la invalidación de la permit AAA si usted quiere reemplazar las configuraciones del WLC del servidor de RADIUS.

  7. Elija al servidor de RADIUS apropiado del menú desplegable bajo los servidores de RADIUS. Bajo políticas de seguridad, elija el 802.1x del menú desplegable de la Seguridad de la capa 2. Usted puede también utilizar cualquier otro método de autentificación (WPA/WPA2 con el 802.1x) que implique al servidor de RADIUS para la autenticación.

    Este ejemplo utiliza el 802.1x con la encripción WEP dinámica como Seguridad de la capa 2 para esta red inalámbrica (WLAN). Los otros parámetros se pueden modificar basaron en el requisito de la red WLAN.

    /image/gif/paws/99791/eapfast-wlc-rad-config5.gif

  8. Haga clic en Apply (Aplicar).

    Nota: Ésta es la única configuración EAP que necesita ser configurada en el regulador para la autenticación EAP. El resto de las configuraciones específicas al EAP-FAST necesitan ser hechas en el servidor de RADIUS y los clientes que necesitan ser autenticadas.

Configure al servidor de RADIUS para la autenticación del EAP-FAST

Realice estos pasos para configurar al servidor de RADIUS para la autenticación del EAP-FAST:

  1. Cree una base de datos de usuarios para autenticar a los clientes del EAP-FAST

  2. Agregue el WLC como cliente AAA al servidor de RADIUS

  3. Configure la autenticación del EAP-FAST en el servidor de RADIUS con el aprovisionamiento anónimo de la En-banda PAC

  4. Configure la autenticación del EAP-FAST en el servidor de RADIUS con el aprovisionamiento autenticado de la En-banda PAC

Cree una base de datos de usuarios para autenticar a los clientes del EAP-FAST

Complete estos pasos para crear una base de datos de usuarios para los clientes del EAP-FAST en el ACS. Este ejemplo configura el nombre de usuario y contraseña del cliente del EAP-FAST como la Tecnología inalámbrica y Tecnología inalámbrica, respectivamente.

  1. Del ACS GUI en la barra de navegación, seleccione la configuración de usuario. Cree una Tecnología inalámbrica del usuario nuevo, después haga clic agregan/editan para ir a la página del editar de este usuario.

    /image/gif/paws/99791/eapfast-wlc-rad-config6.gif

  2. De la configuración de usuario edite la página, Nombre real de la configuración y descripción así como las configuraciones de la contraseña tal y como se muestra en de este ejemplo.

    Este documento utiliza la base de datos interna ACS para la autenticación de contraseña.

  3. Elija la base de datos interna ACS de la casilla desplegable de la autenticación de contraseña.

    /image/gif/paws/99791/eapfast-wlc-rad-config7.gif

  4. Configure el resto de parámetros obligatorios y el tecleo somete.

Agregue el WLC como cliente AAA al servidor de RADIUS

Complete estos pasos para definir el regulador como cliente AAA en el servidor ACS:

  1. Haga clic la configuración de red del ACS GUI. Bajo sección del cliente AAA del agregar de la página de la configuración de red, el tecleo agrega la entrada para agregar el WLC como el cliente AAA al servidor de RADIUS.

    eapfast-wlc-rad-config8.gif

  2. De la página del cliente AAA, defina el nombre del WLC, de la dirección IP, del secreto compartido y del método de autentificación (Airespace RADIUS/Cisco). Refiera a la documentación del fabricante para otros servidores de autenticación NON-ACS.

    Nota: La clave secreta compartida que usted configura en el WLC y el servidor ACS debe hacer juego. El secreto compartido es con diferenciación entre mayúsculas y minúsculas.

  3. Tecleo Submit+Apply.

    eapfast-wlc-rad-config9.gif

Autenticación del EAP-FAST de la configuración en el servidor de RADIUS con el aprovisionamiento anónimo de la En-banda PAC

Aprovisionamiento anónimo de la En-banda

Éste es uno de los dos métodos del aprovisionamiento de la en-banda en los cuales el ACS establece una conexión asegurada con el cliente del usuario final con el fin de proveer del cliente un nuevo PAC. Esta opción permite una entrada en contacto TLS anónima entre el cliente del usuario final y el ACS.

Este método actúa el interior un túnel autenticado del protocolo del acuerdo de Diffie-HellmanKey (ADHP) antes de que el par autentique al servidor ACS.

Entonces, el ACS requiere la autenticación EAP-MS-CHAPv2 del usuario. En la autenticación de usuario acertada, el ACS establece un túnel de Diffie Hellman con el cliente del usuario final. El ACS genera un PAC para el usuario y lo envía al cliente del usuario final en este túnel, junto con la información sobre este ACS. Este método de aprovisionamiento utiliza el EAP MSCHAPv2 como el método de autentificación en la fase cero y EAP-GTC en la fase dos.

Porque un servidor del unauthenticated es aprovisionado, no es posible utilizar una contraseña del sólo texto. Por lo tanto, solamente las credenciales MS-CHAP se pueden utilizar dentro del túnel. MS-CHAPv2 se utiliza para probar la identidad del par y para recibir un PAC para sesiones más futuras de la autenticación (EAP-MS-CHAP será utilizado como método interno solamente).

Complete estos pasos para configurar la autenticación del EAP-FAST en el servidor de RADIUS para el aprovisionamiento anónimo de la en-banda:

  1. Haga clic la configuración del sistema del servidor de RADIUS GUI. De la página de la configuración del sistema, elija la configuración de la autenticación global.

    /image/gif/paws/99791/eapfast-wlc-rad-config10.gif

  2. De la página de configuración de la autenticación global, configuración del EAP-FAST del tecleo para ir a la página de las configuraciones del EAP-FAST.

    /image/gif/paws/99791/eapfast-wlc-rad-config11.gif

  3. De la página Configuración del EAP-FAST, marque la casilla de verificación del EAP-FAST de la permit para habilitar el EAP-FAST en el servidor de RADIUS.

  4. Configure el Active/los valores jubilados de TTL de la clave principal (Tiempo para vivir) según lo deseado, o fíjelos al valor predeterminado tal y como se muestra en de este ejemplo.

    Refiera a las claves principales para la información sobre el Active y las claves principales jubiladas. También, refiera a las claves principales y a PAC TTL para más información.

    El campo de información ID de la autoridad representa la identidad textual de este servidor ACS, que un usuario final puede utilizar para determinar contra quien servidor ACS que se autenticará. El completar este campo es obligatorio.

    El campo del mensaje de la visualización de la inicial del cliente especifica un mensaje que se enviará a los usuarios que autentican con un cliente del EAP-FAST. El Largo máximo es 40 caracteres. Un usuario verá el mensaje inicial solamente si los soportes de cliente del usuario final la visualización.

  5. Si usted quisiera que el ACS realizara el aprovisionamiento anónimo de la en-banda PAC, marque la casilla de verificación anónima del aprovisionamiento de la en-banda PAC de la permit.

    Métodos internos permitidos — Esta opción determina que los métodos EAP internos pueden ejecutar dentro del túnel del EAP-FAST TLS. Para el aprovisionamiento anónimo de la en-banda, usted debe habilitar el EAP-GTC y EAP-MS-CHAP para la compatibilidad descendente. Si usted selecciona permita el aprovisionamiento anónimo de la en-banda PAC, usted debe seleccionar EAP-MS-CHAP (fase cero) y EAP-GTC (fase dos).

  6. Tecleo Submit+Restart.

    Este tiro de pantalla muestra los pasos en esta sección:

    /image/gif/paws/99791/eapfast-wlc-rad-config12.gif

Autenticación del EAP-FAST de la configuración en el servidor de RADIUS con el aprovisionamiento autenticado de la En-banda PAC

Aprovisionamiento autenticado de la En-banda

El EAP-FAST se ha aumentado para soportar un túnel autenticado (usando el certificado de servidor), que es donde ocurre el aprovisionamiento PAC. Este modo provisions a un cliente del usuario final con un PAC usando la fase cero del EAP-FAST con la autenticación del lado del servidor de TLS. Esta opción requiere que usted instale un certificado de servidor y una Raíz confiable CA en el ACS.

Las nuevas habitaciones de la cifra, eso son mejoras al EAP-FAST y específicamente se utiliza el certificado de servidor. Porque el servidor se autentica como parte de configurar el túnel, métodos EAP más débiles tales como EAP-GTC se pueden utilizar dentro del túnel para proporcionar la autenticación del supplicant.

Por abandono, el ACS soporta la autenticación del lado del servidor de TLS. Sin embargo, si el cliente envía el Certificado de usuario al ACS, se realiza la autenticación mutua de TLS y se desvían los métodos internos.

  1. Relance steps1 a 4 de la configuración anónima del aprovisionamiento de la En-banda para configurar las otras configuraciones del EAP-FAST en el servidor de RADIUS.

  2. Si usted quisiera que el ACS realizara el aprovisionamiento anónimo de la en-banda PAC, marque la casilla de verificación autenticada Allow del aprovisionamiento de la en-banda PAC.

    1. Valide al cliente en el aprovisionamiento autenticado — Esta opción está solamente disponible cuando se selecciona la opción autenticada permit del aprovisionamiento de la en-banda PAC. El servidor envía siempre un Access-Reject en el final de la fase del aprovisionamiento, que fuerza al cliente a reauthenticate usando el túnel PAC. Esta opción permite al ACS para enviar un access-accept al cliente en el final de la fase del aprovisionamiento.

    2. Desmarque la casilla de verificación apátrida de la opción del curriculum vitae de la sesión de la permit si usted no quisiera que el ACS provision la autorización PAC para los clientes del EAP-FAST y realizara siempre la fase dos de EAP-FAST.

    3. Métodos internos permitidos — Si usted selecciona el aprovisionamiento autenticado Allow de la en-banda PAC, el método interno en la fase de autenticación es negociable (el EAP-GTC se utiliza por abandono en la fase cero). Seleccione uno o más de estos métodos internos:

      • EAP-GTC — Para habilitar el EAP-GTC en la autenticación RÁPIDA EAP, marque este cuadro.

      • EAP-MS-CHAPv2 — Para habilitar EAP-MS-CHAPv2 en el EAP AYUNE autenticación, marcan este cuadro.

      • EAP-TLS — Para habilitar el EAP-TLS en la autenticación RÁPIDA EAP, marque este cuadro.

      Nota: El ACS funciona con siempre el primer método EAP habilitado. Por ejemplo, si usted selecciona el EAP-GTC y EAP-MS-CHAPv2, después el primer método EAP habilitado es EAP-GTC.

    Todas estas configuraciones específicas al aprovisionamiento autenticado de la en-banda PAC se mencionan en este ejemplo:

    eapfast-wlc-rad-config13.gif

  3. Tecleo Submit+Restart.

Configure el certificado de servidor en el ACS para el aprovisionamiento autenticado de la En-banda

El EAP-FAST se ha aumentado para soportar un interior autenticado del túnel (usando el certificado de servidor) que ocurre el aprovisionamiento PAC.

Nota: Esta opción requiere configurar un certificado de servidor y una Raíz confiable CA en el ACS.

Hay varios métodos disponibles configurar el certificado de servidor en el ACS. Este documento explica cómo generar un certificado autofirmado en el ACS e importarlo a la lista confiada en del Certificate Authority del cliente.

Genere el certificado autofirmado en el ACS

El ACS soporta los protocolos TLS/SSL-related, que incluye el PEAP, el EAP-FAST, y el HTTPS, que requiere el uso de los Certificados digitales. El empleo de los certificados autofirmados es una manera para que los administradores cumplan este requisito sin tener que obrar recíprocamente con CA para obtener y para instalar el certificado para el ACS.

Complete estos pasos para generar el certificado autofirmado en el ACS:

  1. Haga clic la configuración del sistema del servidor de RADIUS GUI. De la página de la configuración del sistema, elija la configuración del certificado ACS.

    /image/gif/paws/99791/eapfast-wlc-rad-config14.gif

  2. El certificado ACS puso las diversas opciones de las listas para configurar el certificado en el ACS. Por este ejemplo, elija generan el certificado autofirmado.

    eapfast-wlc-rad-config15.gif

    El certificado autofirmado de la generación edita la página aparece.

  3. De esta página, complete estos pasos:

    1. En el rectángulo del tema del certificado, ingrese el tema del certificado en el de la forma.

    2. En el rectángulo del archivo de certificado, ingrese la ruta completa y el nombre del archivo para el archivo de certificado. En el cuadro de la longitud de clave, seleccione la longitud de clave.

    3. En el rectángulo del archivo de clave privado, ingrese la ruta completa y el nombre del archivo para el archivo de clave privado.

    4. En la casilla de verificación de contraseña de la clave privada, ingrese la contraseña de la clave privada. En la casilla de verificación de contraseña de la clave privada del escribir de nuevo a máquina, escriba de nuevo la contraseña de la clave privada a máquina.

    5. En la publicación a firmar con el cuadro, seleccione la publicación del hash (SHA1 en este ejemplo) para ser utilizado para cifrar la clave.

    6. Para instalar el certificado autofirmado cuando usted presenta la página, seleccione la opción generada Install del certificado.

      Nota: Si usted selecciona la opción generada Install del certificado, usted debe recomenzar los servicios ACS después de que usted presente este impreso para que las nuevas configuraciones tomen el efecto. Si usted no selecciona la opción generada Install del certificado, se generan y se guardan el archivo de certificado y el archivo de clave privado cuando usted tecleo somete en el siguiente paso. Sin embargo, éstos no están instalados en el almacenamiento de la máquina local.

    Aquí está un ejemplo de editar una página del certificado autofirmado:

    /image/gif/paws/99791/eapfast-wlc-rad-config16.gif

    Nota: Los valores de campo ingresados (TS-red) aquí son los valores de ejemplo. Usted puede utilizar cualesquiera valores de campo o nombre para generar un certificado autofirmado en el ACS. Todos los campos se deben completar.

Importe el certificado autofirmado al cliente

Usted necesita importar el certificado autofirmado generado en el ACS a la lista de Authoritiy de la certificación de la raíz del cliente para que el cliente autentique el servidor como usando un certificado válido.

Complete estos pasos en el cliente:

  1. Copie el certificado de su ubicación en el ACS al cliente.

  2. Haga clic con el botón derecho del ratón el archivo de .cer y el tecleo instala el certificado.

    eapfast-wlc-rad-config17.gif

  3. Haga clic en Next (Siguiente).

  4. Elija el lugar todos los Certificados en el almacén siguiente y el tecleo hojea.

    La ventana de almacén de certificados selecta móvil.

  5. De la ventana de almacén de certificados selecta, marque la casilla de verificación de los almacenes del show physical.

  6. Amplíe los Trusted Root Certification Authority del árbol del certificado, de la computadora local selecta, y de la AUTORIZACIÓN del tecleo.

    eapfast-wlc-rad-config18.gif

  7. Haga clic después, clic en Finalizar, y AUTORIZACIÓN del tecleo.

    Un Asisitente de la importación del certificado aparece que muestra que la importación era acertada.

    /image/gif/paws/99791/eapfast-wlc-rad-config19.gif

Configure al cliente para la autenticación del EAP-FAST

Complete estos pasos para configurar al cliente para la autenticación del EAP-FAST:

  1. Configure al cliente para el aprovisionamiento anónimo de la En-banda

  2. Configure al cliente para el aprovisionamiento autenticado de la En-banda

Configure al cliente para el aprovisionamiento anónimo de la En-banda

Complete estos pasos para configurar al cliente de red inalámbrica para el aprovisionamiento anónimo de la en-banda:

  1. Utilidad Aironet Desktop de la ventana, haga clic la Administración del perfil > nuevo para crear un perfil para el usuario del EAP-FAST.

    Según lo mencionado anterior, este documento utiliza el nombre del WLAN/SSID como eap rápidamente para el cliente de red inalámbrica.

    eapfast-wlc-rad-config20.gif

  2. De la ventana de administración del perfil, haga clic la ficha general y configure el nombre del perfil, el Nombre del cliente y el nombre SSID tal y como se muestra en de este ejemplo. Entonces, AUTORIZACIÓN del tecleo.

    eapfast-wlc-rad-config21.gif

  3. Haga clic la ficha de seguridad y elija el 802.1x como la opción de seguridad del conjunto con el tipo del 802.1x EAP como EAP-FAST. Haga clic la configuración para configurar la configuración del EAP-FAST.

    eapfast-wlc-rad-config22.gif

  4. De la ventana del EAP-FAST de la configuración, marque la casilla de verificación automática del aprovisionamiento de la permit PAC. Si usted quiere configurar el aprovisionamiento anónimo PAC, EAP-MS-CHAP será utilizado como el único método interno en la fase cero.

  5. Elija el Nombre de usuario y la contraseña del MSCHAPv2 como el método de autentificación de la casilla desplegable del método de autentificación del EAP-FAST. Haga clic en Configure (Configurar).

    eapfast-wlc-rad-config23.gif

  6. Del Nombre de usuario y de la ventana de contraseña del MSCHAPv2 de la configuración, elija las configuraciones apropiadas del nombre de usuario y contraseña.

    Este ejemplo elige manualmente el prompt para el Nombre de usuario y la contraseña.

    El mismo nombre de usuario y la contraseña se deben registrar en el ACS. Según lo mencionado anterior, este ejemplo utiliza la Tecnología inalámbrica y la Tecnología inalámbrica respectivamente como el nombre de usuario y contraseña.

    También, observe que esto es un aprovisionamiento anónimo de la en-banda. Por lo tanto, el cliente no puede validar el certificado de servidor. Usted necesita aseegurarse que la casilla de verificación de la identidad del servidor del validar esté desmarcada.

  7. Haga clic en OK.

    eapfast-wlc-rad-config24.gif

Cliente de la configuración para el aprovisionamiento autenticado de la En-banda

Complete estos pasos para configurar al cliente de red inalámbrica para el aprovisionamiento autenticado de la en-banda:

  1. Relance los pasos 1 a 3 del cliente de la configuración para la sección anónima del aprovisionamiento de la En-banda de este documento.

  2. De la ventana del EAP-FAST de la configuración, marque la casilla de verificación automática del aprovisionamiento de la permit PAC.

    Con el aprovisionamiento autenticado de la en-banda PAC, los métodos internos uces de los (EAP-GTC, EAP MSCHAPv2, certificado del cliente de TLS) permitidos en el lado ACS se pueden seleccionar en el cliente como el método de autentificación de la casilla desplegable del método de autentificación del EAP-FAST.

    Este ejemplo elige el token/la contraseña GTC como el método de autentificación del EAP-FAST.

  3. Haga clic en Configure (Configurar).

    eapfast-wlc-rad-config25.gif

  4. De la ventana de configuración GTC, usted puede utilizar una contraseña estática o un token que se indicarán a la hora de la autenticación.

    Este ejemplo utiliza un nombre de usuario y contraseña estático. El mismo nombre de usuario y la contraseña se deben registrar en el ACS. Según lo mencionado anterior, este ejemplo utiliza la Tecnología inalámbrica y la Tecnología inalámbrica respectivamente como el nombre de usuario y contraseña.

  5. También, observe que esto es una configuración autenticada del aprovisionamiento de la en-banda. Por lo tanto, marque la casilla de verificación de la identidad del servidor del validar. También, de la casilla desplegable de los Trusted Root Certification Authority, navegue hacia abajo para buscar el certificado autofirmado importado del ACS (TS-red en este ejemplo). Elija el certificado como el Trusted Root Certification Authority. Haga clic en OK.

    eapfast-wlc-rad-config26.gif

Verifique el aprovisionamiento de la En-banda

Complete estos pasos para verificar si su configuración del EAP-FAST trabaja correctamente:

  1. Seleccione el eap del perfil rápidamente y el tecleo activa para activar el perfil del cliente de red inalámbrica.

    /image/gif/paws/99791/eapfast-wlc-rad-config27.gif

  2. Si usted ha habilitado MS-CHAP ver2 como su método de autentificación (con anónimo, éste es el único método acertado según lo explicado anterior), después el cliente indicará para el nombre de usuario y contraseña.

    /image/gif/paws/99791/eapfast-wlc-rad-config28.gif

  3. Durante el proceso del EAP-FAST del usuario, al cliente a le indicará que pida el PAC del servidor de RADIUS. Cuando usted hace clic los YE, el aprovisionamiento PAC comienza.

    eapfast-wlc-rad-config29.gif

    Después del aprovisionamiento acertado PAC en la fase cero, el fase uno y dos siguen y un procedimiento de la autenticación satisfactoria ocurre.

    /image/gif/paws/99791/eapfast-wlc-rad-config30.gif

  4. Con el aprovisionamiento autenticado de la en-banda, si usted ha habilitado GTC/Token como su método de autentificación del EAP-FAST, a le indicarán que ingrese el token. Según lo mencionado anterior, este ejemplo utiliza la Tecnología inalámbrica como el credencial de usuario. Haga clic en OK.

    /image/gif/paws/99791/eapfast-wlc-rad-config31.gif

    Usted puede ver el archivo PAC recibido por el cliente en la página de configuración del EAP-FAST.

    eapfast-wlc-rad-config32.gif

    Este PAC se puede utilizar para sesiones más futuras de la autenticación de este usuario según las configuraciones de los valores de TTL de la clave PAC/Master.

  5. El tecleo maneja considerar el contenido del PAC clasifiar hojeando a través del árbol de la Administración PAC como se muestra aquí. El clic doble en el archivo de la Tecnología inalámbrica PAC para visualizar el contenido del PAC clasifía.

    /image/gif/paws/99791/eapfast-wlc-rad-config33.gif

    Éste es el contenido de un archivo PAC:

    eapfast-wlc-rad-config34.gif

Verificación

Usted puede verificar si el servidor de RADIUS reciba y valide el pedido de autenticación del cliente de red inalámbrica. Marque los informes pasajeros de las autenticaciones y de los intentos fallidos sobre el servidor ACS para lograr esto. Estos informes están disponibles bajo los informes y actividades en el servidor ACS.

Aquí está un ejemplo cuando la autenticación de servidor de RADIUS es realmente acertada. Sin embargo, porque la fase cero de EAP-FAST no habilita un servicio de red, incluso una transacción acertada de la fase cero del EAP-FAST se registra en el registro de los intentos fallidos ACS. Si usted ve el “usuario del EAP-FAST era aprovisionado con el mensaje nuevo PAC”, esto indica que el PAC es aprovisionado con éxito al cliente.

/image/gif/paws/99791/eapfast-wlc-rad-config35.gif

Estos comandos debug pudieron ser útiles para algunos propósitos de Troubleshooting:

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

  • haga el debug del permiso de los eventos del dot1x — Habilita el debug de todos los eventos del dot1x. Aquí está una salida de los debugs del ejemplo basada en la autenticación satisfactoria:

    (Cisco Controller)>debug dot1x events enable
    
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP
    -Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with mi
    smatching id (currentid=2, eapid=1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    ..............................................................................
    ..............................................................................
    ...............................................................................
    ................................................................................
    
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 43)
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:01 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    0
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3689 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    1
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3696 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 19 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 3)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 23)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 23, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 26)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 26, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 27, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 20 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 3)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 24 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Accept for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Creating a new PMK Cache Entry for s
    tation 00:40:96:af:3e:93 (RSN 0)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP-Success to mobile 00:40:
    96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending default RC4 key to mobile 00
    :40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending Key-Mapping RC4 key to mobil
    e 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Auth Success while in Authe
    nticating state for mobile 00:40:96:af:3e:93
    

    Aquí está un ejemplo de la autenticación fallida de la salida del comando enable de los eventos del dot1x del debug:

    (Cisco Controller) >debug dot1x events enable
    
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Requ
    est/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 11 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 11)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 11, EAP Type 3)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 12)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 12, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 13, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 802.1x 'quiteWhile' Timer expired fo
    r station 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 quiet timer completed for mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 15)
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 16)
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 17)
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 18)
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
  • permiso del paquete del dot1x del debug — Habilita el debug de los mensajes de paquete del 802.1x. Aquí está una salida de los debugs del ejemplo basada en la autenticación satisfactoria:

    (Cisco Controller) debug dot1x packet enable
    
     00:40:96:af:3e:93 Sending 802
    .11 EAPOL message  to mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 02 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1b 02 02 00 1b  01 50 45 41 50 2d 3
    0 30  .........PEAP-00
                          00000010: 2d 34 30 2d 39 36 2d 41  46 2d 33 45 2d 39 33
      -40-96-AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 26 01 19 00 26  11 01 00 08 52 97 b
    2 df  ...&...&....R...
                          00000010: 38 d2 ce 74 50 45 41 50  2d 30 30 2d 34 30 2d 39
      8..tPEAP-00-40-9
                      00000020: 36 2d 41 46 2d 33 45 2d  39 33                    6-
    AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 06 02 19 00 06  03 2b
          .........+
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:14 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:14 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:15 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:15 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 02 72 01 1b 02 72  2b 81 00 00 02 68 1
    6 03  ...r...r+....h..
                          00000010: 01 00 4a 02 00 00 46 03  01 47 1c bd b1 3a a8 8e
      ..J...F..G...:..
                      00000020: de fc 62 51 e0 fe 93 c2  1d 21 08 51 59 ba c6 90  ..
    bQ.....!.QY...
                  00000030: ad 14 1b bc
    Mon Oct 22 20:41:17 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    36) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:17 2007: 00000000: 01 00 01 4c 02 1b 01 4c  2b 01 16 03 01 01 0
    6 10  ...L...L+.......
                          00000010: 00 01 02 01 00 f4 92 8c  54 b1 34 ae 1e 13 a3 63
      ........T.4....c
                      00000020: 03 35 e9 33 e6 45 01 6a  87 18 ba 3d 03 0f 5f a5  .5
    .3.E.j...=.._.
                  00000030: 1d 3a ae fa
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:46 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 45 01 1d 00 45  2b 81 00 00 00 3b 1
    4 03  ...E...E+....;..
                          00000010: 01 00 01 01 16 03 01 00  30 cc 1f c4 54 ac a2 88
      ........0...T...
                      00000020: 14 11 92 c4 5a 78 2c 57  06 57 77 d7 6b 4e b1 db  ..
    ..Zx,W.Ww.kN..
    eived 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 1f 00 6b  2b 01 17 03 01 00 6
    0 8b  ...k...k+.....`.
                          00000010: 25 2f c6 1a 61 de af 51  a4 1d ae 9e 8c e8 45 80
      %/..a..Q......E.
                      00000020: e0 14 69 01 d8 ab eb 08  af 21 44 44 70 9c 25 d2  ..
    i......!DDp.%.
                  00000030: 39 6f 75 ce
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 5b 01 20 00 5b  2b 01 17 03 01 00 5
    0 0a  ...[...[+.....P.
                          00000010: 7e da 91 4e d7 ae 6b 87  7c 31 7f 7a 3c af 67 71
      ~..N..k.|1.z<.gq
                      00000020: 8a a1 0b aa 0a ac 6f b5  e8 65 83 3b d1 39 bd 1b  ..
    ....o..e.;.9..
                  00000030: f4 dd f9 68
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    7) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2b 02 20 00 2b  2b 01 17 03 01 00 2
    0 73  ...+...++......s
                          00000010: 02 d6 0e d3 55 57 7c 0c  58 f0 7c 1f 5e 61 09 40
      ....UW|.X.|.^a.@
                      00000020: 00 85 0b 8e 11 b5 23 1b  fc 27 77 71 ad b8 ed     ..
    ....#..'wq...
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 01 21 00 6b  2b 01 17 03 01 00 6
    0 c8  ...k.!.k+.....`.
                          00000010: c4 69 43 5d ad 34 88 05  24 d7 7e 90 e3 65 87 37
      .iC].4..$.~..e.7
                      00000020: 9c 94 2f 99 5d be ca 82  1a 11 89 68 44 08 4c ef  ..
    /.]......hD.L.
                  00000030: 56 89 18 7a
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 21 00 6b  2b 01 17 03 01 00 6
    0 16  ...k.!.k+.....`.
                          00000010: 04 f2 92 41 da 4c 9c 4a  64 d8 88 9e 4b ac b9 76
      ...A.L.Jd...K..v
                      00000020: a0 94 2a 7c 5f 7b 9b be  8b 07 e1 42 79 f1 4f 06  ..
    *|_{.....By.O.
                  00000030: 8e 50 c8 25
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 01 1b 01 22 01 1b  2b 01 17 03 01 01 1
    0 0f  ....."..+.......
                          00000010: 9b 84 da 57 60 8b a7 f6  e2 09 33 38 0c d8 fc 1f
      ...W`.....38....
                      00000020: 5f 2f 6a 59 72 4a a7 db  3a 5d 32 5c ac ed 1d d0  _/
    jYrJ..:]2\....
                  00000030: 46 6a 1c 93
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 7
    9) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 4b 02 22 00 4b  2b 01 17 03 01 00 4
    0 3f  ...K.".K+.....@?
                          00000010: 93 1f aa c6 2f 61 f8 45  84 f5 60 bd 35 87 8e 3a
      ..../a.E..`.5..:
                      00000020: 6b 96 7c 9a f6 79 91 73  c1 e9 68 78 82 88 29 07  k.
    |..y.s..hx..).
                  00000030: 8f 71 ef 09
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 04 04 22 00 04
          ....."..
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:48 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 
                  00000030: 2c 14 ca 45
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 00 00 04 03 20 00 04
          ........
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 39 01 00 0d ca  b3 f9 35 00 0a 60 b
    a 20  ...9......5..`..
                          00000010: 82 55 76 30 27 6f 92 2e  ee ce 49 c8 c2 5c 24 01
      .Uv0'o....I..\$.
                      00000020: 33 8e 39 fb a6 f4 fa 72  09 8b ae 1a d5 ab 84 73  3.
    9....r.......s
                  00000030: e9 b9 28 85
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 2c 01 00 0d ca  b3 f9 35 00 0a 60 b
    b 2b  ...,......5..`.+
                          00000010: fa 79 fc 30 50 de dd a0  95 95 cb 50 25 19 0a 80
      .y.0P......P%...
                      00000020: 1e e8 3e bf 8b 7a e3 a1  37 2a 07 8d ef 24 72 47  ..
    >..z..7*...$rG
  • permiso de los eventos aaa del debug — Habilita la salida de los debugs de todos los eventos aaa. Aquí está un ejemplo de salida del debug de un proceso de autenticación fallida:

    (Cisco Controller) >debug aaa events enable
    
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 145) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code=11
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=11
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIU
    S server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 146) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    ..................................................................................
    ..................................................................................
    ..................................................................................
    ..................................................................................
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=3
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Reject received from RADIUS s
    erver 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:42 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 149) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    

Troubleshooting

Consejos de Troubleshooting

  • Asegúrese de que la casilla de verificación de la identidad del servidor del validar esté inhabilitada para el perfil del cliente para el aprovisionamiento anónimo de la en-banda.

  • Asegúrese de que EAP-MSCHAPver2 esté seleccionado como el método autenticado en el perfil del cliente para el aprovisionamiento anónimo de la en-banda. Éste es el único método interno aplicable EAP en la fase cero para el aprovisionamiento anónimo de la en-banda.

  • Aseegurese los credenciales de usuario ingresados en el cliente que el lado a la hora de la autenticación se configura ya en el ACS.

  • Marque si seleccionan al servidor de RADIUS del menú desplegable de la red inalámbrica (WLAN) (SSID).

  • Si usted utiliza el Acceso protegido de Wi-Fi (WPA), después usted tiene que instalar la última revisión de WPA de Microsft para Windows XP SP2. También, usted debe actualizar el driver para su supplicant del cliente a la última versión.

  • El [SECURITY] 1x_ptsm.c 391: Las retransmisiones de la EAPOL-clave M3 MAX alcanzaron el mensaje de error significan que el indicador luminoso LED amarillo de la placa muestra gravedad menor no respondió a un pedido su identidad. Usted puede extender los temporizadores EAP en los reguladores para esperar la información del 802.1x del cliente si usted utiliza estos comandos en el WLC CLI:

    • identidad-petición-descanso avanzado 120 c del eap de los config

    • identidad-petición-Retries avanzado 20 del eap de los config

    • petición-descanso avanzado 120 del eap de los config

    • petición-Retries avanzado config del eap 20 config de la salvaguardia

Extracción del archivo de paquete del servidor de RADIUS ACS para resolver problemas

Si usted utiliza el ACS como el servidor RADIUS externo, esta sección se puede utilizar para resolver problemas. El package.cab es archivo zip que contiene todos los archivos necesarios necesarios para resolver problemas el ACS eficientemente. Puede usar la utilidad CSSupport.exe para crear el package.cab o puede recolectar los archivos en forma manual.

Refiera a crear una sección del archivo del package.cab de obtener la información de la versión y del debug AAA para el Cisco Secure ACS for Windows para más información sobre cómo crear y extraer el archivo de paquete del sistema de control inalámbrico (WCS).

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 99791