Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

exclusión del cliente del 802.1x en un WLC de AireOS

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe al cliente Exlusion del 802.1x en un regulador del Wireless LAN de AireOS (WLC). la exclusión del cliente del 802.1x es una opción importante a tener en un authenticator 1X como un WLC. Éste es para prevenir una sobrecarga de la infraestructura del servidor de autenticación por los clientes del Protocolo de Autenticación Extensible (EAP) que son hiperactivos o función incorrectamente.

Contribuido por Aaron Leonard y Shankar Ramanathan, ingenieros de Cisco TAC.

Utilice los casos

Los casos del uso del ejemplo incluyen: 

  • Un supplicant EAP se puede configurar con las credenciales incorrectas. La mayoría de los suplicantes, tales como suplicantes EAP, cesan los intentos de autenticación después de algunos errores sucesivos. Sin embargo, algunos suplicantes EAP continúan las tentativas de reauthenticate sobre el error, posiblemente muchas veces por segundo. Algunos clientes sobrecargan a los servidores de RADIUS y causan una negación de servicio (DOS) para la red completa.
  • Después de una Conmutación por falla de la red principal, los centenares o los millares de clientes EAP pudieron intentar simultáneamente autenticar.  Como consecuencia, los servidores de autenticación pudieron ser sobrecargados y proporcionar una respuesta lenta. Si el tiempo de los clientes o del authenticator hacia fuera antes de que se procese la respuesta lenta, después un ciclo vicioso pueden ocurrir donde los intentos de autenticación continúan hacia fuera, y después midiendo el tiempo intentan procesar la respuesta otra vez.

Nota: Un mecanismo de control de admisión se requiere para permitir los intentos de autenticación de tener éxito.

la exclusión del 802.1x previene a los clientes que accionan la sobrecarga por 30 segundos a varios minutos después del error, que permite que las autenticaciones normales tengan éxito. Un WLC de AireOS tiene nominal exclusión del cliente del 802.1x globablly habilitada bajo Seguridad > las directivas inalámbricas de la protección por abandono. Vea las directivas mostradas aquí.

La exclusión del cliente se pudo habilitar o inhabilitar sobre una base de la por-red inalámbrica (WLAN). Por abandono se habilita con un descanso de 60 segundos.

Sin embargo, debido omitir las configuraciones del descanso y de la retransmisión EAP, la exclusión del 802.1x nunca toma el efecto.

Clientes del WLC no excluidos cuando se habilita la exclusión del 802.1x

No excluyen a los clientes del WLC cuando la exclusión del 802.1x se habilita en la red inalámbrica (WLAN). Esto es debido a los descansos largos del valor por defecto EAP de 30 segundos que causen a un cliente que se comporte mal nunca para golpear bastantes errores sucesivos accionar una exclusión. Configure descansos más cortos EAP con las cantidades mayores de retransmisiones para permitir que la exclusión del 802.1x tome el efecto. Vea el ejemplo del descanso aquí.

config advanced eap identity-request-timeout 3
config advanced eap identity-request-retries 10
config advanced eap request-timeout 3
config advanced eap request-retries 10

Aseegurese que protegen contra la sobrecarga debido a los clientes de red inalámbrica que funcionan incorrectamente y verifica al servidor de RADIUS que estas configuraciones están en efecto:

  • Seleccionan a las “fallas de autenticación excesivas del 802.1x” en las directivas globales de la exclusión del cliente WLC.
  • La exclusión del cliente se habilita en las configuraciones avanzadas de la red inalámbrica (WLAN).
  • El descanso de la exclusión del cliente se fija a 60 a 300 segundos.

Nota: Los valores más arriba de 300 segundos proporcionan una mejor protección pero pudieron accionar las quejas del usuario.

Advertencia: Algunos suplicantes requieren descansos más largos que otros. Por ejemplo, si se utilizan las contraseñas de USO único, el período de agotamiento del tiempo de espera de la petición de la identidad EAP pudo requerir 45 segundos para permitir que el usuario ingrese un nuevo PIN. Una cierta autenticación extensible lenta de Authetication Protocol Flexible vía los suplicantes seguros del protocolo (EAP-FAST) pudo requerir un descanso más corto de 20 segundos para acomodar el aprovisionamiento protegido del control de acceso (PAC).

Información Relacionada



Document ID: 117714