Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Característica del retraso del servidor de RADIUS en el ejemplo de configuración de los reguladores del Wireless LAN (WLC)

18 Junio 2016 - Traducción Automática
Otras Versiones: PDFpdf | Comentarios

Introducción

Este documento describe cómo configurar la característica del retraso del servidor de RADIUS con los reguladores del Wireless LAN (WLCs).

Contribuido por Nicolás Darchis, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Conocimiento básico de la configuración de los Puntos de acceso ligeros (revestimientos) y del WLCs de Cisco.

  • Conocimiento básico del control y aprovisionamiento del protocolo del unto de acceso de red inalámbrica (CAPWAP).

  • Conocimiento básico de las soluciones de la seguridad de red inalámbrica.

Componentes Utilizados

La información en este documento se basa en un WLC de Cisco 4400 que funciona con la versión de firmware 5.0.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Característica del retraso del servidor de RADIUS

Las versiones del software WLC de 5.0 no soportan anterior el mecanismo de repliegue del servidor de RADIUS. Cuando el servidor de RADIUS primario hace inasequible, el WLC quiere la Conmutación por falla al servidor de RADIUS de reserva activo siguiente. El WLC continuará utilizando al servidor RADIUS secundario para siempre incluso si el servidor primario está disponible. El servidor primario es generalmente rendimiento alto y el servidor preferido.

En el WLC 5.0 y posterior versiones, el WLC soportan la característica del retraso del servidor de RADIUS. Con esta característica, el WLC se puede configurar para marcar si el servidor primario está disponible y el Switches de nuevo al servidor de RADIUS primario él está una vez disponible. Para hacer esto los soportes del WLC dos nuevos modos, pasivo y activo, para marcar el estatus del servidor de RADIUS. El WLC vuelve al servidor más preferible después del valor de agotamiento del tiempo especificado.

Modos de soporte

Modo activo

En el modo activo, cuando un servidor no responde al pedido de autenticación del WLC, el WLC marca el servidor mientras que los muertos y entonces mueve el servidor al pool inactivo del servidor y comienza a enviar los mensajes de la sonda periódicamente hasta que responda ese servidor. Si responde el servidor, después el WLC mueve al servidor muerto al pool activo y para el enviar de los mensajes de la sonda. En este modo, cuando viene un pedido de autenticación, el WLC escoge siempre el servidor más bajo del índice (prioridad más alta) del pool activo de los servidores de RADIUS.

El WLC envía un paquete de sondeo después de que descanso (el valor por defecto es 300 segundos) para determinar el estado del servidor en caso de que el servidor fuera anterior insensible.

Modo pasivo

En el modo pasivo, si un servidor no responde al pedido de autenticación del WLC, el WLC mueve el servidor a la cola inactiva y fija un temporizador. Cuando expira el temporizador, el WLC mueve el servidor a la cola activa con independencia del estado real del servidor. Cuando viene un pedido de autenticación, el WLC escoge el servidor más bajo del índice (prioridad más alta) de la cola activa (que pudo incluir el servidor inactivo). Si entonces no responde el servidor el WLC lo marca como inactivo, fija el temporizador, y se mueve al servidor más prioritario siguiente. Este proceso continúa hasta que el WLC encuentre a un servidor de RADIUS activo, o se agota el pool del servidor activo.

El WLC asume que el servidor es activo después de que descanso (el valor por defecto es 300 segundos) en caso de que el servidor fuera anterior insensible. Si es todavía insensible, el WLC espera otro descanso e intenta otra vez cuando viene un pedido de autenticación adentro.

Modo desconectado

En el modo desconectado, el WLC soporta la Conmutación por falla solamente. Es decir el retraso se inhabilita. Cuando va el servidor de RADIUS primario abajo, el WLC quiere la Conmutación por falla al servidor de RADIUS de reserva activo siguiente. El WLC continúa utilizando al servidor RADIUS secundario para siempre, incluso si el servidor primario está disponible.

Configurar

Configure la característica del retraso del servidor de RADIUS con el CLI

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Utilice estos comandos del WLC CLI para habilitar la característica del retraso del servidor de RADIUS en el WLC.

El primer paso es seleccionar el modo de retraso del servidor de RADIUS. Según lo mencionado anterior, el WLC apoya el active y a los modos pasivos de retraso.

Para seleccionar el modo de retraso, ingrese este comando:

WLC1 > config radius fallback-test mode {active/passive/off}
  • activo - Envía las sondas a los servidores muertos para probar el estatus.

  • pasivo - Fija el estado del servidor basado en la transacción más reciente.

  • de - Inhabilita la prueba del retraso del servidor (valor por defecto).

El siguiente paso es seleccionar el intervalo que especifica el intervalo de la sonda por el modo activo o la época inactiva para los modos de operación pasivos.

Para fijar el intervalo, ingrese este comando:

WLC1 > config radius fallback-test mode interval {180 - 3600}

<180 a 3600> - Ingrese el intervalo de la sonda o el tiempo inactivo en los segundos (el valor por defecto es 300 segundos).

El intervalo especifica el intervalo de la sonda en el caso del retraso del modo activo o del tiempo inactivo en el caso del retraso del modo pasivo.

Para el modo de operación activo, usted necesita configurar un nombre de usuario que sea utilizado en la petición de la sonda enviada al servidor de RADIUS.

Para configurar el nombre de usuario, ingrese este comando:

WLC1 >config radius fallback-test username {username}

<username> - Ingrese un nombre hasta 16 caracteres alfanuméricos (el valor por defecto es Cisco-sonda).

Nota: Usted puede ingresar su propio nombre de usuario o dejarlo con el valor por defecto. El nombre de usuario predeterminado es “Cisco-sonda”. Porque este nombre de usuario se utiliza para enviar los mensajes de la sonda, usted no necesita configurar una contraseña.

Configure la característica del retraso del servidor de RADIUS con el GUI

Complete estos pasos para configurar el WLC con el GUI:

  1. Configure el modo de retraso del servidor de RADIUS. Para hacer esto, elija la Seguridad > el RADIUS > el retraso del WLC GUI. El RADIUS > la página de los parámetros del retraso aparece.

  2. De la lista desplegable del modo de soporte, elija el modo de retraso. Las opciones disponibles incluyen activo, pasivo, y apagado.

    Aquí está un tiro de pantalla del ejemplo para la configuración del modo de soporte activo:

  3. Para el modo de operación activo, ingrese el nombre de usuario en el campo de nombre de usuario.

  4. Ingrese el valor del intervalo de la sonda en el intervalo en el sec. campo.

  5. Haga clic en Apply (Aplicar).

Si la característica agresiva de la Conmutación por falla se habilita en el WLC, el WLC es demasiado agresivo marcar al servidor de AAA como “respuesta”. No obstante esto no debe ser hecha porque el servidor de AAA no es posiblemente responsivo solamente a ese cliente particular, si usted hace el descarte silencioso. Puede ser una respuesta a otros clientes válidos con los certificados válidos. El WLC puede todavía marcar al servidor de AAA como “respuesta” y “no funcional”.

Para superar esto, inhabilite la función aggressive failover. Ingrese el comando disable de la agresivo-Conmutación por falla del radio de los config del regulador GUI para realizar esto. Si se inhabilita esto, después el regulador falla solamente encima al servidor de AAA siguiente si hay tres clientes consecutivos que no pueden recibir una respuesta del servidor de RADIUS.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Ingrese el comando summary del radio de la demostración para verificar su configuración del retraso. Aquí tiene un ejemplo:

WLC1 >show radius summary 

Vendor Id Backward Compatibility................. Disabled
Call Station Id Type............................. IP Address
Aggressive Failover.............................. Enabled
Keywrap.......................................... Disabled

Fallback Test:
Test Mode.................................... Active
Probe User Name.............................. testaccount
Interval (in seconds)........................ 180

Authentication Servers

Idx Type Server Address Port State Tout RFC3576 IPSec-AuthMode/Phase1/Group/Lifetime/Auth/Encr
--- ---- -------------- ---- ------- ---- ------- ----------------------------------------------
1 NM 10.1.1.12 1812 Enabled 2 Disabled Disabled-none/unknown/group-0/0 none/none

Accounting Servers

Idx Type Server Address Port State Tout RFC3576 IPSec-AuthMode/Phase1/Group/Lifetime/Auth/E
--- ---- -------------- ---- ------- ---- ------- -------------------------------------------
1 N 10.1.1.12 1813 Enabled 2 N/A Disabled-none/unknown/group-0/0 none/nonen

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

  • haga el debug del permiso de los eventos del dot1x - Debugs de las configuraciones de los eventos del 802.1x.

  • permiso de los eventos aaa del debug - Debugs de las configuraciones de todos los eventos AAA.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.