Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Пример конфигурации аутентификации EAP в контроллерах WLAN (WLC)

11 августа 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (3 сентября 2010) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Настройка
     Схема сети
     Конфигурация WLC для основного режима и регистрация "облегченных" AP на контроллере
     Конфигурация WLC для аутентификации RADIUS через внешний сервер RADIUS
     Конфигурация параметров WLAN
     Конфигурация Cisco Secure ACS в качестве сервера RADIUS и создание базы данных пользователей для аутентификации клиентов
Проверка
Поиск и устранение неполадок
     Советы по поиску и устранению неполадок
     Извлечение файла пакета с сервера ACS RADIUS для устранения неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Настоящий документ содержит пример конфигурации беспроводного контроллера LAN (WLC) для аутентификации EAP (протокол расширенной аутентификации) с помощью внешнего сервера RADIUS. Данным сервером может быть сервер ACS (сервер управления доступом) Cisco Secure в качестве внешнего сервера RADIUS для проверки учетных данных пользователя.

Предварительные условия

Требования

Убедитесь в выполнении следующих требований, прежде чем попробовать эту конфигурацию.

  • Владение основными знаниями о конфигурации "облегченных" точек доступа (AP) и контроллеров Cisco WLC.

  • Владение основными знаниями о протоколе "облегченных" точек доступа (LWAPP)

    Дополнительные сведения см. в разделе Общие сведения о протоколе "облегченных" точек доступа (LWAPP).

  • Знакомство со способами настройки внешнего сервера RADIUS аналогично Cisco Secure ACS

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения.

  • "Облегченная" точка доступа Cisco Aironet серии 1000

  • WLC серии Cisco 2000 с микропрограммным обеспечением 3.2.78.0

  • Cisco Secure ACS с версией 3.2

  • Адаптер клиента Cisco Aironet 802.11 a/b/g

  • Набор программ Cisco Aironet Desktop Utility (ADU) с микропрограммным обеспечением 2.5

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены с чистой (заданной по умолчанию) конфигурацией. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Условные обозначения

Подробные сведения о применяемых в документе обозначениях см. в разделе Условные обозначения, используемые в технической документации Cisco.

Настройка

В этом разделе приводится информация по настройке функций, описанных в данном документе.

Примечание. Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд

(только для зарегистрированных клиентов).

Для настройки устройства для аутентификации EAP выполните следующие действия:

  1. Конфигурация WLC для основной операции и регистрация "облегченных" AP на контроллере;

  2. Конфигурация WLC для аутентификации RADIUS через внешний сервер RADIUS;

  3. Конфигурация параметров WLAN;

  4. Конфигурация Cisco Secure ACS в качестве сервера RADIUS и создание базы данных пользователей для аутентификации клиентов.

Схема сети

В данной настройке Cisco 2006 WLC и "облегченные" AP соединяются через концентратор. Внешний сервер RADIUS (Cisco Secure ACS) также подключается к данному концентратору. Все устройства находятся в одной подсети. AP изначально зарегистрирована на контроллере. Необходимо настроить WLC и AP для аутентификации с использованием LEAP (упрощенный расширяемый протокол аутентификации). Клиенты, которые подключаются к AP, используют аутентификацию LEAP для связи с AP. Необходимо использовать Cisco Secure ACS, чтобы выполнить аутентификацию RADIUS.

eap-auth-wlc-1.gif

Конфигурация WLC для основной операции и регистрация "облегченных" AP на контроллере

Используйте мастер запуска конфигурации в интерфейсе командной строки (CLI) для настройки WLC в основном режиме. Также можно использовать GUI для настройки WLC. В данном документе описана конфигурация на WLC, выполняемая с помощью мастера запуска конфигурации в CLI.

После первоначальной загрузки WLC, он напрямую подключается к мастеру запуска конфигурации. Используйте мастер запуска конфигурации для настройки основных параметров. Можно запустить мастер в CLI или GUI. Эти выходные данные отображают пример мастера запуска конфигурации в CLI.

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_33:84:a0]: WLC-1
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): *****
Management Interface IP Address: 172.16.1.30
Management Interface Netmask: 255.255.0.0
Management Interface Default Router: 172.16.1.75
Management Interface VLAN Identifier (0 = untagged):
Management Interface Port Num [1 to 4]: 1
Management Interface DHCP Server IP Address: 172.16.1.1
AP Manager Interface IP Address: 172.16.1.31
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (172.16.1.1):
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: Test
Network Name (SSID): Cisco123
Allow Static IP Addresses [YES][no]: yes
Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
Enter Country Code (enter 'help' for a list of countries) [US]:
Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes

Configuration saved!
Resetting system with new configuration..

Данные параметры используются для настройки WLC для основного режима. В данном примере конфигурации WLC использует 172.16.1.30 в качестве IP-адреса интерфейса управления и 172.16.1.31 в качестве IP-адреса интерфейса AP-менеджера.

Перед настройкой других функций на контроллерах WLC необходимо зарегистрировать "облегченные" AP в WLC. В данном документе предполагается, что "облегченная" AP зарегистрирована на контроллере WLC. Дополнительные сведения о регистрации "облегченной" AP с помощью WLC см. в разделе Регистрация "облегченных" AP на контроллерах WLC документа Пример конфигурации при отказе контроллера WLAN для "облегченных" точек доступа.

Конфигурация WLC для аутентификации RADIUS через внешний сервер RADIUS

Необходимо настроить WLC для переадресации на внешний сервер RADIUS учетные данные пользователя. Внешний сервер RADIUS проверяет учетные данные пользователя и предоставляет доступ беспроводным клиентам.

Чтобы настроить WLC для внешнего сервера, выполните следующие действия:

  1. Выберите Security и RADIUS Authentication в контроллере GUI, чтобы открыть страницу RADIUS Authentication Servers. Чтобы определить сервер RADIUS, нажмите New;

    eap-auth-wlc-2.gif

  2. Определите параметры сервера RADIUS в RADIUS Authentication Servers > New page. В их числе: RADIUS Server IP Address, Shared Secret, Port Number и Server Status.

    С помощью флажков Network User и Management можно определить, применяется ли аутентификация на основе сервера RADIUS для управления и сетевых пользователей. В следующем примере Cisco Secure ACS используется в качестве сервера RADIUS с IP-адресом 172.16.1.1.

    eap-auth-wlc-3.gif

    Чтобы аутентифицировать пользователей, можно также использовать функцию локального сервера RADIUS. Локальный сервер RADIUS был введен в коде версии 4.1.171.0. У контроллеров WLC, использующих предыдущие версии, нет функции локального сервера RADIUS. Локальный EAP – это способ аутентификации, который позволяет пользователям и беспроводным клиентам выполнять аутентификацию локально. Он разработан для работы в удаленных офисах, которым необходимо получить связь с беспроводными клиентами, если нарушена связь с внутренней системой, или внешний сервер аутентификации перестал работать. Чтобы выполнить аутентификацию пользователя, локальный EAP извлекает учетные данные пользователя из локальной базы данных пользователя или внутренней базы данных LDAP. Локальный EAP поддерживает LEAP, EAP-FAST с концентратором доступа PPTP (PAC), EAP-FAST с сертификатами и аутентификацию EAP-TLS между контроллером и беспроводным клиентом.

    Примечание. Локальный EAP разработан в качестве резервной системы аутентификации. Если серверы RADIUS настроены на контроллере, данный контроллер сначала выполняет попытки аутентификации беспроводных пользователей с помощью серверов RADIUS. Локальный EAP выполняет попытку аутентифицировать пользователей, только если серверы RADIUS не обнаружены, устарели или не настроены.

    Примечание. RFC 3576 поддерживается на сервере RADIUS регистратора доступа Cisco CNS (CAR), исключая сервер Cisco Secure ACS версии 4.0 и более ранних версий.

Настройка параметров WLAN

Далее настройте WLAN, которую клиенты используют для подключения к беспроводной сети. Настроив основные параметры для WLC, можно настроить SSID для WLAN. Можно использовать данный SSID для WLAN или создать новый SSID.

Примечание. На контроллере можно настраивать до 16 сетей WLAN. С помощью решения Cisco WLAN можно контролировать до 16 сетей WLAN для "облегченных" AP. У каждой WLAN есть отдельный идентификатор WLAN (1 – 16), отдельный WLAN SSID (имя WLAN). Для каждой WLAN также можно назначить уникальные политики безопасности. С помощью "облегченных" AP транслируются все активные идентификаторы SSID WLAN решения Cisco WLAN и включаются политики, определенные для каждой WLAN.

Чтобы настроить новую WLAN и связанные параметры, выполните следующие действия:

  1. Выберите WLANs в GUI контроллера, чтобы открыть страницу WLANs;

    На данной странице отобразится список сетей WLAN на данном контроллере;

    eap-auth-wlc-4.gif

  2. Чтобы создать новую WLAN, выберите New. Введите идентификатор и SSID для WLAN и нажмите Apply;

    eap-auth-wlc-5.gif

  3. После создания новой WLAN появляется страница WLAN > Edit для новой WLAN. На данной странице можно определить различные параметры, которые относятся к WLAN. В их числе: General Policies, RADIUS Servers, Security Policies и 802.1x Parameters.

    Чтобы активировать WLAN, под General Policies проверьте Admin Status. Если необходимо, чтобы AP транслировала SSID в кадрах "неисправность", проверьте Broadcast SSID.

    В раскрывающемся меню под RADIUS Servers выберите соответствующие серверы RADIUS. Другие параметры могут быть изменены на основе требования сети WLAN. Нажмите кнопку Apply.

    Примечание. При создании новой WLAN 802.1x применяется 802.1x для описания механизма безопасности уровня 2 по умолчанию. Данный параметр устанавливает необходимость успешной аутентификации беспроводного клиента с помощью EAP перед получением им доступа к сети. Это единственный параметр, который необходимо настроить на контроллере для аутентификации EAP. Все остальные настройки необходимо выполнить на сервере RADIUS и на клиентах, которым требуется аутентификация.

    eap-auth-wlc-6.gif

Конфигурация Cisco Secure ACS в качестве сервера RADIUS и создание базы данных пользователей для аутентификации клиентов

Чтобы создать базу данных пользователей и включить аутентификацию EAP в Cisco Secure ACS, выполните следующие действия.

  1. В ACS GUI выберите User Setup, введите имя пользователя и нажмите Add/Edit. В данном примере пользователь – ABC.

    eap-auth-wlc-7.gif

  2. Когда откроется страница User Setup, определите все параметры, которые относятся к данному пользователю. В данном примере параметры Username, Password и Supplementary User Information настроены, так как они необходимы только для аутентификации EAP.

    Щелкните Submit и повторите то же действие, чтобы добавить пользователей в базу данных. По умолчанию все пользователи объединяются в группу по умолчанию. Дополнительные сведения о назначении определенных пользователей различным группам см. в разделе Управление группой пользователей документа Руководство пользователя по Cisco Secure ACS сервера Windows версии 3.2.

    eap-auth-wlc-8.gif

  3. На сервере ACS определите контроллер в качестве клиента AAA. В ACS GUI нажмите Network Configuration.

    Когда откроется страница Network Configuration, определите имя WLC, IP-адрес, общий секретный ключ и способ аутентификации (RADIUS Cisco Aironet или RADIUS Cisco IOS/PIX). Сведения о серверах аутентификации, отличной от ACS, см. в документации от производителя.

    Примечание. Общий секретный ключ на WLC и сервере ACS должны совпадать. При вводе общего секретного ключа необходимо учитывать регистр.

    eap-auth-wlc-9.gif

  4. Выберите System Configuration и Global Authentication Setup, чтобы убедиться, что сервер аутентификации настроен для выполнения необходимого способа аутентификации EAP. В параметрах конфигурации EAP выберите соответствующий способ аутентификации EAP. В данном примере используется аутентификация LEAP. По завершении нажмите Submit.

    eap-auth-wlc-10.gif

Проверка

Используйте этот раздел для того, чтобы подтвердить, что ваша конфигурация работает правильно.

Попытайтесь связать беспроводного клиента с "облегченной" AP с помощью аутентификации LEAP, чтобы убедиться в исправной работе конфигурации.

Примечание. В данном документе предполагается, что профиль клиента настроен для аутентификации LEAP. Дополнительные сведения о конфигурации беспроводной сетевой карты 802.11 a/b/g для аутентификации LEAP см. в разделе Использование аутентификации EAP.

Если профиль беспроводного клиента активирован, пользователь получит запрос предоставить имя пользователя/пароль для аутентификации LEAP. Ниже приведен пример.

eap-auth-wlc-11.gif

"Облегченная" AP, а потом и WLC, поступают в учетные данные пользователя на сервере RADIUS (Cisco Secure ACS) для проверки учетных данных. Сервер RADIUS сравнивает данные с базой данных пользователя и предоставляет доступ к беспроводному клиенту (если учетные данные пользователя являются допустимыми) для проверки учетных данных пользователя. В отчете Passed Authentication на сервере ACS отображаются сведения о том, что клиент прошел аутентификацию RADIUS. Ниже приведен пример.

eap-auth-wlc-12.gif

При успешном завершении аутентификации клиент подключится к беспроводной LAN.

eap-auth-wlc-13.gif

eap-auth-wlc-14.gif

Поиск и устранение неполадок

Чтобы устранить неполадки данной конфигурации, выполните следующие действия.

  1. Чтобы проверить регистрацию AP в WLC используйте команду debug lwapp events enable.

    В следующем примере выходные данные отображают успешную регистрацию события:

    Thu Mar 30 17:54:37 2006: Received LWAPP DISCOVERY REQUEST 
    from AP 00:0b:85:5b:fb:d0 to ff:ff:ff:ff:ff:ff on port '1'
    Thu Mar 30 17:54:37 2006: Successful transmission of LWAPP Discovery-Response 
    to AP 00:0b:85:5b:fb:d0 on Port 1
    Thu Mar 30 17:54:49 2006: Received LWAPP JOIN REQUEST from AP 00:0b:85:5b:fb:d0 
    to 00:0b:85:33:52:80 on port '1'
    Thu Mar 30 17:54:49 2006: LWAPP Join-Request MTU path from AP 00:0b:85:5b:fb:d0 
    is 1500, remote debug mode is 0
    Thu Mar 30 17:54:49 2006: Successfully added NPU Entry for AP 00:0b:85:5b:fb:d0 
    (index 49)
    Switch IP: 172.16.1.51, Switch Port: 12223, intIfNum 1, vlanId 0 AP IP: 
    172.16.1.42, AP Port: 49085, next hop MAC: 00:0b:85:5b:fb:d0
    Thu Mar 30 17:54:49 2006: Successfully transmission of LWAPP Join-Reply 
    to AP 00:0b:85:5b:fb:d0
    Thu Mar 30 17:54:49 2006: Register LWAPP event for AP 00:0b:85:5b:fb:d0 slot 0
    Thu Mar 30 17:54:49 2006: Register LWAPP event for AP 00:0b:85:5b:fb:d0 slot 1
    Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE REQUEST from 
    AP 00:0b:85:5b:fb:d0 to  00:0b:85:33:52:80
    Thu Mar 30 17:54:50 2006: Updating IP info for AP 00:0b:85:5b:fb:d0
    -- static 1, 172.16.1.42/255.255.0.0, gtw 0.0.0.0
    Thu Mar 30 17:54:50 2006: spamVerifyRegDomain RegDomain set for slot 0 
    code 0 regstring -A regDfromCb -A
    Thu Mar 30 17:54:50 2006: spamVerifyRegDomain RegDomain set for slot 1 
    code 0 regstring -A regDfromCb -A
    Thu Mar 30 17:54:50 2006: spamEncodeDomainSecretPayload:Send domain 
    secret TestCRET<da,c8,15,ab,44,ce,34,04,8d,91,45,e3,1b,a5,9f,1e,21,45,41,2c> 
    to AP 00:0b:85:5b:fb:d0
    Thu Mar 30 17:54:50 2006: Successfully transmission of LWAPP Config-Message 
    to AP 00:0b:85:5b:fb:d0
    Thu Mar 30 17:54:50 2006: Running spamEncodeCreateVapPayload for SSID 'cisco123'
    Thu Mar 30 17:54:50 2006: Running spamEncodeCreateVapPayload for SSID 'cisco123'
    Thu Mar 30 17:54:50 2006: AP 00:0b:85:5b:fb:d0 associated. Last AP failure 
    was due to Link Failure
    Thu Mar 30 17:54:50 2006: Received LWAPP CHANGE_STATE_EVENT from AP 
    00:0b:85:5b:fb:d0
    Thu Mar 30 17:54:50 2006: Successfully transmission of LWAPP 
    Change-State-Event Response to AP 00:0b:85:5b:fb:d0
    Thu Mar 30 17:54:50 2006: Received LWAPP Up event for AP 00:0b:85:5b:fb:d0 slot0!
    Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES 
    from AP 00:0b:85:5b:fb:d0
    Thu Mar 30 17:54:50 2006: Received LWAPP CHANGE_STATE_EVENT from 
    AP 00:0b:85:5b:fb:d0
    Thu Mar 30 17:54:50 2006: Successfully transmission of LWAPP 
    Change-State-Event Response to AP 00:0b:85:5b:fb:d0
    Thu Mar 30 17:54:50 2006: Received LWAPP Up event for AP 00:0b:85:5b:fb:d0 slot1!
    Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES 
    from AP 00:0b:85:5b:fb:d0
    Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES 
    from AP 00:0b:85:5b:fb:d0
    Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES 
    from AP 00:0b:85:5b:fb:d0
  2. Проверьте получение и подтверждение сервером RADIUS запроса на аутентификацию от беспроводного клиента.

    Чтобы выполнить данное действие, проверьте отчеты Passed Authentications и Failed Attempts на сервере ACS. Данные отчеты доступны в Reports и Activities на сервере. Ниже приведен пример ошибки аутентификации сервера RADIUS.

    eap-auth-wlc-15.gif

    Примечание. Сведения об устранении неполадок и получении данных об отладке в Cisco Secure ACS см. в разделе Получение номера версии Cisco Secure ACS для Windows и сведений об отладке AAA.

  3. Просмотрите журнал регистрации на WLC, чтобы проверить получение учетных данных сервером RADIUS.

    Это важно, так как в некоторых случаях сервер RADIUS не получает учетные данные пользователя, если конфигурация сервера RADIUS на WLC является неверной.

    Если параметры RADIUS настроены неверно, то журнал регистрации на WLC выглядит следующим образом:

    eap-auth-wlc-16.gif

    Чтобы устранить неполадки аутентификации AAA, можно также использовать команды debug.

    • debug aaa all enable – настраивает отладку сообщений AAA.

    • debug dot1x packet enable – активирует отладку всех пакетов dot1x.

    Можно использовать совокупность команд show wlan summary, чтобы определить, какие из сетей WLAN используют аутентификацию сервера RADIUS. Затем можно просмотреть выходные данные команды show client summary, чтобы увидеть, какие MAC-адреса (клиенты) успешно аутентифицированы в сетях RADIUS WLAN. Также можно сопоставить эту информацию с журналами регистрации успешных и неудачных попыток аутентификации Cisco Secure ACS.

Советы по поиску и устранению неполадок

  • На контроллере проверьте, чтобы сервер RADIUS находится в состоянии active, а не в состоянии standby или disabled.

  • Необходимо, чтобы сервер RADIUS был выбран в раскрывающемся меню WLAN (SSID).

  • Во время использования WPA необходимо установить последнее исправление Microsft WPA для Windows XP SP2. Также необходимо обновить драйвер для запрашивающего устройства клиента в соответствии с последней версией.

  • Сообщение об ошибке [SECURITY] 1x_ptsm.c 391: MAX EAPOL-Key M3 retransmissions reached означает, что карта не отвечает на запрос об установлении подлинности. Можно увеличить таймеры EAP на контроллерах для ожидания информации 802.1x о клиенте с помощью следующих команд на WLC CLI:

    config advanced eap identity-request-timeout 120
    config advanced eap identity-request-retries 20
    config advanced eap request-timeout 120
    config advanced eap request-retries 20
    save config 
    

    Если необходимо использовать нулевую конфигурацию Windows/запрашивающее устройство клиента, отключите параметр Enable Fast Reconnect. Для этого выберите Wireless Network Connection Properties > Wireless Networks > Preferred networks. Потом выберите SSID > Properties > Open > WEP > Authentication > EAP type > PEAP > Properties > Enable Fast Reconnect. Далее можно найти нужный параметр для включения или отключения в конце окна.

  • Если используется PEAP, например сертификаты с XP, SP2, в котором карты управляются с помощью утилиты Microsoft wireless-0, необходимо получить исправление KB885453 от Microsoft.

  • При наличии карт Intel 2200 или 2915 сведения об известных связанных с ними проблемах см. на веб-сайте Intel.

    Загрузите текущие драйверы Intel, чтобы избежать проблем. Можно загрузить драйверы Intel с сайта http://downloadcenter.intel.com/ leavingcisco.com

  • Если функция aggressive failover (агрессивное переключение при отказе) включена на контроллере WLC, контроллер будет помечать сервер AAA как not responding слишком часто. Но это действие не является необходимым, так как сервер AAA, возможно, не отвечает только данному конкретному клиенту, если установлен режим silent discard. Он может отвечать другим действительным клиентам (с действительными сертификатами). Однако WLC может все же пометить сервер AAA как not responding и not functional.

    Чтобы избежать этого, отключите функцию aggressive failover. Для этого введите команду config radius aggressive-failover disable в GUI контроллера. Если эта функция отключена, то контроллер будет переключаться на следующий сервер AAA, если три клиента подряд не смогут получить ответ от сервера RADIUS.

Извлечение файла пакета с сервера ACS RADIUS для устранения неполадок

Если используется ACS в качестве внешнего сервера radius, сведения в данном разделе можно использовать для устранения неполадок. Package.cab – это файл Zip, в котором содержатся все необходимые файлы для устранения неполадок в ACS. Можно использовать утилиту CSSupport.exe, чтобы создать package.cab, или можно объединить данные файлы вручную.

Дополнительные сведения о создании и извлечении файла пакета из WCS см. в разделе Создание файла package.cab документа Получение номера версии Cisco Secure ACS для Windows и сведений об отладке ААА.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 69730