Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4100

Атрибуты RADIUS-сервера, поддерживаемые на контроллере беспроводных LAN

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В этом документе указан список атрибутов RADIUS-сервера, поддерживаемых на контроллере беспроводных локальных сетей (WLC), которые передаются серверу RADIUS в запросах access-request, обслуживаются в запросе access-accept и обрабатываются в запросах учета. Сюда также входят атрибуты, определяемые поставщиком.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Методы безопасности беспроводной связи

  • Основанная на RADIUS аутентификация

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Поддерживаемый RADIUS Attriubutes на контроллере беспроводной локальной сети

Атрибуты RADIUS используются для определения определенных элементов аутентификации, авторизации и учета (AAA) в профиле пользователя, который сохранен на демоне RADIUS. Этот раздел перечисляет атрибуты RADIUS, в настоящее время поддерживаемые на Контроллере беспроводной локальной сети.

  • Качество обслуживания — Когда подарок в ДОСТУПЕ К СЕРВЕРУ RADIUS Принимают, значение Уровня QoS, отвергает значение QoS, заданное в профиле WLAN.

  • ACL — Когда атрибут Списка контроля доступа (ACL) присутствует в ДОСТУПЕ К СЕРВЕРУ RADIUS, Принимает, система применяет Название ACL к станции клиента после того, как это подтверждает подлинность. Это отвергает любые ACL, которые назначены на интерфейс.

  • VLAN — Когда Interface-Name VLAN или ТЕГ VLAN присутствуют в ДОСТУПЕ К СЕРВЕРУ RADIUS, Принимает, система размещает клиент в определенный интерфейс.

  • ИДЕНТИФИКАТОР WLAN — Когда атрибут ИДЕНТИФИКАТОРА WLAN присутствует в ДОСТУПЕ К СЕРВЕРУ RADIUS, Принимает, система применяет ИДЕНТИФИКАТОР WLAN (SSID) к станции клиента после того, как это подтверждает подлинность. ИДЕНТИФИКАТОР WLAN передается WLC во всех экземплярах аутентификации кроме IPSec. В случае web-аутентификации, если WLC получает атрибут ИДЕНТИФИКАТОРА WLAN в ответе на аутентификацию от AAA-сервера, и это не совпадает с ID WLAN, аутентификация отклонена. Другие типы методов безопасности не делают этого.

  • DSCP-значение — Когда подарок в ДОСТУПЕ К СЕРВЕРУ RADIUS Принимают, DSCP-значение, отвергает DSCP-значение, заданное в профиле WLAN.

  • 802.1p-метка — Когда подарок в ДОСТУПЕ К СЕРВЕРУ RADIUS Принимают, 802.1p значение, отвергает по умолчанию, заданный в профиле WLAN.

Примечание: Функция VLAN только поддерживает фильтрацию по MAC-адресам, 802.1X и Защищенный доступ по протоколу Wi-Fi (WAP). Функция VLAN не поддерживает web-аутентификацию или IPSec. База данных фильтра локального MAC - адреса операционной системы была расширена для включения имени интерфейса. Это позволяет фильтрам локального MAC - адреса задавать, какой интерфейс клиенту нужно назначить. Отдельный сервер RADIUS может также использоваться, но сервер RADIUS должен быть определен с помощью Меню системы безопасности.

Уровень QoS

Атрибут Уровня QoS указывает на уровень Качества обслуживания, который будет применен к трафику мобильного клиента в коммутационной матрице, а также по воздуху. Данный пример показывает сводку формата атрибута Уровня QoS. Поля переданы слева направо.

0                   1                   2                   3 

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|     Type      |  Length       |            Vendor-Id 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

     Vendor-Id (cont.)          | Vendor type   | Vendor length | 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|                           QoS Level                           | 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+


•Type - 26 for Vendor-Specific

•Length - 10

•Vendor-Id - 14179

•Vendor type - 2

•Vendor length - 4

•Value - Three octets:

–3 - Bronze (Background)

–0 - Silver (Best Effort)

–1 - Gold (Video)

–2 - Platinum (Voice)

Название ACL

Атрибут имени ACL указывает на название ACL, которое будет применено к клиенту. Сводку формата Атрибута имени ACL показывают здесь. Поля переданы слева направо.

 0                   1                   2                   3 

 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|     Type      |  Length       |            Vendor-Id 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

     Vendor-Id (cont.)          | Vendor type   | Vendor length | 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|        ACL Name... 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 

•Type - 26 for Vendor-Specific

•Length - >7

•Vendor-Id - 14179

•Vendor type - 6

•Vendor length - >0

•Value - A string that includes the name of the ACL to use for the client

Interface-Name

Атрибут Interface-Name указывает на интерфейс виртуальной локальной сети (VLAN), к которому должен быть привязан клиент. Сводку формата атрибута Interface-Name показывают здесь. Поля переданы слева направо.

 0                   1                   2                   3 

 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|     Type      |  Length       |            Vendor-Id 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

     Vendor-Id (cont.)          |  Vendor type  | Vendor length | 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|    Interface Name... 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 

•Type - 26 for Vendor-Specific

•Length - >7

•Vendor-Id - 14179

•Vendor type - 5

•Vendor length - >0

•Value - A string that includes the name of the interface 
the client is to be assigned to.

Примечание: Этот атрибут только работает, когда фильтрация по MAC-адресам включена или если 802.1X или WPA используются в качестве политики безопасности.

ТЕГ VLAN

Атрибут ТЕГА VLAN указывает на идентификатор группы для определенного туннелируемого сеанса и также известен как атрибут Tunnel-Private-Group-ID.

Этот атрибут мог бы быть включен в Пакет запроса доступа, если инициатор туннеля может предопределить группу, которая следует из определенного соединения и должна быть включена в Пакеты подтверждения доступа, если этот туннельный сеанс должен быть обработан, как будто это принадлежит определенной частной группе. Частные группы могут использоваться для соединения туннелируемого сеанса к конкретной группе пользователей. Например, это может использоваться для упрощения маршрутизации незарегистрированных IP - адресов через определенный интерфейс. Это должно быть включено в Бухгалтерские Пакеты запроса, которые содержат Acct-Status-Type со значениями или запускаются или Останавливаются и которые принадлежат туннелируемому сеансу.

Сводку Tunnel-Private-Group-ID Формата атрибута показывают здесь. Поля переданы слева направо.

 0                   1                   2                   3 

 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

|      Type     |    Length     |     Tag       |   String... 

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

•Type - 81 for Tunnel-Private-Group-ID.

•Length - > = 3

•Tag - The Tag field is one octet in length and is intended to 
provide a means of grouping attributes in the same packet 
which refer to the same tunnel. If the value of the Tag field is 
greater than 0x00 and less than or equal to 0x1F, it should 
be interpreted as indicating which tunnel (of several alternatives) 
this attribute pertains. If the Tag field is greater than 
0x1F, it should be interpreted as the first byte of the following 
String field.
•String - This field must be present. The group is represented by the 
String field. There is no restriction on the format of 
group IDs.

Атрибуты туннеля

Когда любой из других атрибутов RADIUS (Уровень QoS, Название ACL, Interface-Name или ТЕГ VLAN) возвращен, RFC, 2868 leavingcisco.com атрибутов туннеля должны также быть возвращены.

RFC 2868 leavingcisco.com определяет атрибуты туннеля RADIUS, используемые для проверки подлинности и авторизация, и RFC 2867 leavingcisco.com определяет атрибуты туннеля, используемые для учета. Где Средство проверки подлинности IEEE 802.1X поддерживает туннелирование, обязательный туннель может быть установлен для соискателя в результате аутентификации.

В частности могло бы быть выбираемо позволить порту быть размещенным в конкретную VLAN, определенную в IEEE 802.1Q, на основе результата аутентификации. Это может использоваться, например, чтобы позволить хосту беспроводному сети оставаться на той же VLAN, как она перемещается в сети уровня кампуса.

Сервер RADIUS, как правило, указывает на требуемую VLAN включением атрибутов туннеля в Access-Accept. Однако Средство проверки подлинности IEEE 802.1X могло бы также предоставить подсказку относительно VLAN, которая будет назначена на соискателя включением атрибутов туннеля в Access-Request.

Эти атрибуты туннеля используются для назначения VLAN:

  • Tunnel-Type=VLAN (13)

  • Tunnel-Medium-Type=802

  • Tunnel-Private-Group-ID=VLANID

VLANID составляет 12 битов, является значением между 1 и 4094 и является содержащим. Так как Tunnel-Private-Group-ID имеет строку типа, столь же определенную в RFC 2868 leavingcisco.comдля использования с IEEE 802.1X, целое значение VLANID закодировано как строка.

Когда атрибуты туннеля передаются, необходимо заполнить Поле метки. На это обращают внимание в RFC 2868 leavingcisco.com, разделите 3.1:

  • Поле метки является одним октетом в длине и предназначено для обеспечения средства группировки атрибутов в том же пакете, которые обращаются к тому же туннелю. Допустимые значения для этого поля – от 0x01 до 0x1F включительно. Неиспользуемые поля меток заполняются нулями (0x00).

  • Для использования с Туннельной Клиентской Оконечной точкой, Оконечной точкой туннельного сервера, Tunnel-Private-Group-ID, Туннельный ID присвоения, Tunnel-Client-Auth-ID или атрибуты Tunnel-Server-Auth-ID (но не Tunnel-Type, Туннельный Средний Тип, Туннельный пароль или Туннельное предпочтение), поле метки больших, чем 0x1F интерпретируется как первый октет следующего поля строки. Для получения дальнейшей информации на формате обращаются к leavingcisco.comразделу RFC 2868 3.1.

  • Пока альтернативные типы туннеля не предоставлены, (например, для Средств проверки подлинности IEEE 802.1X, которые могли бы поддержать туннелирование, но не VLAN), только необходимо для атрибутов туннеля задать одиночный туннель. В результате, где это только требуется для определения VLANID, Поле метки должно быть установлено в ноль (0x00) во всех атрибутах туннеля. Где альтернативные типы туннеля предоставлены, необходимо выбрать значения метки между 0x01 и 0x1F.

Синтаксис для конфигурации атрибутов WLC на серверах RADIUS

VSA Airespace Cisco на Cisco Access Registrar

Cisco CNS Access Registrar является совместимым RADIUS, сервером политики доступа, разработанным для поддержки доставки набора, ISDN и новых сервисов включая DSL, кабель с telco-return, радио и Передачей голоса по IP. Для получения дальнейшей информации на Cisco Access Registrar обращаются к Странице технической поддержки Cisco Access Registrar.

Это - синтаксис, который должен использоваться на Cisco Access Registrar для определения атрибутов WLC.

  • Определяет атрибуты RADIUS Airespace:

    Description = str:[0]
    Name = str:[0]Airespace
    Type = str:[0]SUB_ATTRIBUTES
    VendorID = int32:[0]14179
    VendorTypeSize = str:[0]8-bit
  • Определяет ИДЕНТИФИКАТОР WLAN для пользователя:

    Description = str:[0]
    Max = int32:[0]4294967295
    Min = int32:[0]0
    Name = str:[0]Airespace-WLAN-Id
    SubAttribute = int32:[0]1
    Type = str:[0]UINT32
  • Определяет уровень QoS для пользователя:
    Description = str:[0]
    Max = int32:[0]3
    Min = int32:[0]0
    Name = str:[0]Airespace-QoS-Level
    SubAttribute = int32:[0]2
    Type = str:[0]ENUM
    0 = str:[0]Silver
    1 = str:[0]Gold
    2 = str:[0]Platinum
    3 = str:[0]Bronze
  • Определяет DSCP-значение пакетов от пользователя:

    Description = str:[0]
    Max = int32:[0]4294967295
    Min = int32:[0]0
    Name = str:[0]Airespace-DSCP
    SubAttribute = int32:[0]3
    Type = str:[0]UINT32
  • Определяет 802.1p метка:

    Description = str:[0]
    Max = int32:[0]4294967295
    Min = int32:[0]0
    Name = str:[0]Airespace-802.1P-Tag
    SubAttribute = int32:[0]4
    Type = str:[0]UINT32
  • Определяет Интерфейс, с Которым Сопоставлен Пользователь:

    Description = str:[0]
    Max = int32:[0]253
    Min = int32:[0]0
    Name = str:[0]Airespace-Interface-Name
    SubAttribute = int32:[0]5
    Type = str:[0]STRING
  • Определяет ACL, который Применен:

    Description = str:[0]
    Max = int32:[0]253
    Min = int32:[0]0
    Name = str:[0]Airespace-ACL-Name
    SubAttribute = int32:[0]6
    Type = str:[0]STRING

VSA Airespace Cisco на свободном радиусе разъединяют

Файл словаря Airespace для Свободного сервера RADIUS доступен в каталоге установки под Ресурсом общего доступа имени каталога. Имя файла является dictionary.airespace.

Примечание: Файл словаря мог бы быть другим для более ранних версий. Примеры, данные в этом документе, от Свободной Версии RADIUS 1.1.6.

# -*- text -*-
#
#	As found on the net.
#
#	$Id: dictionary.airespace,v 1.3.2.1 2005/11/30 22:17:19 aland Exp $
#
VENDOR		Airespace			14179

BEGIN-VENDOR	Airespace
ATTRIBUTE	Airespace-Wlan-Id			1	integer
ATTRIBUTE	Airespace-QOS-Level			2	integer
ATTRIBUTE	Airespace-DSCP				3	integer
ATTRIBUTE	Airespace-8021p-Tag			4	integer
ATTRIBUTE	Airespace-Interface-Name		5	string
ATTRIBUTE	Airespace-ACL-Name			6	string

VALUE	Airespace-QOS-Level		Bronze			3
VALUE	Airespace-QOS-Level		Silver			0
VALUE	Airespace-QOS-Level		Gold			1
VALUE	Airespace-QOS-Level		Platinum		2


END-VENDOR Airespace

Определяемый поставщиком словарь для продуктов Airespace включен в файл словаря, доступный в том же каталоге. Имя файла является словарем.

# -*- text -*-
#
# Version $Id: dictionary,v 1.93.2.5.2.10 2007/04/08 14:42:06 aland Exp $
#
#	DO NOT EDIT THE FILES IN THIS DIRECTORY
#
#
#	Use the main dictionary file (usually /etc/raddb/dictionary)
#	for local system attributes and $INCLUDEs.
#
#
#
#	This file contains dictionary translations for parsing
#	requests and generating responses.  All transactions are
#	composed of Attribute/Value Pairs.  The value of each attribute
#	is specified as one of 4 data types.  Valid data types are:
#
#	text       - printable, generally UTF-8 encoded (subset of 'string')
#	string     - 0-253 octets
#	ipaddr     - 4 octets in network byte order
#	integer    - 32 bit value in big endian order (high byte first)
#	date       - 32 bit value in big endian order - seconds since
#		     00:00:00 GMT,  Jan.  1,  1970
#	ifid       - 8 octets in network byte order
#	ipv6addr   - 16 octets in network byte order
#	ipv6prefix - 18 octets in network byte order
#
#	FreeRADIUS includes extended data types which are not defined
#	in the RFC's.  These data types are:
#
#	abinary - Ascend's binary filter format.
#	octets  - raw octets, printed and input as hex strings.
#		  e.g.: 0x123456789abcdef
#
#
#	Enumerated values are stored in the user file with dictionary
#	VALUE translations for easy administration.
#
#	Example:
#
#	ATTRIBUTE	  VALUE
#	---------------   -----
#	Framed-Protocol = PPP
#	7		= 1	(integer encoding)
#

#
#	Include compatibility dictionary for older users file. Move
#	this directive to the end of this file if you want to see the
#	old names in the logfiles, INSTEAD OF the new names.
#
$INCLUDE dictionary.compat

#
#	Include the RFC dictionaries next.
#
#	For a complete list of the standard attributes and values,
#	see:
#		http://www.iana.org/assignments/radius-types
#
$INCLUDE dictionary.rfc2865
$INCLUDE dictionary.rfc2866
$INCLUDE dictionary.rfc2867
$INCLUDE dictionary.rfc2868
$INCLUDE dictionary.rfc2869
$INCLUDE dictionary.rfc3162
$INCLUDE dictionary.rfc3576
$INCLUDE dictionary.rfc3580
$INCLUDE dictionary.rfc4372
$INCLUDE dictionary.rfc4675
$INCLUDE dictionary.rfc4679

#
#	Include vendor dictionaries after the standard ones.
#
$INCLUDE dictionary.3com
$INCLUDE dictionary.3gpp
$INCLUDE dictionary.3gpp2
$INCLUDE dictionary.acc
$INCLUDE dictionary.airespace
$INCLUDE dictionary.alcatel
$INCLUDE dictionary.alteon
$INCLUDE dictionary.alvarion
$INCLUDE dictionary.aruba
$INCLUDE dictionary.ascend
$INCLUDE dictionary.asn
$INCLUDE dictionary.bay
$INCLUDE dictionary.bintec
$INCLUDE dictionary.cablelabs
$INCLUDE dictionary.cabletron
$INCLUDE dictionary.cisco
#
#	 The Cisco VPN300 dictionary is the same as the altiga one.
#	 You shouldn't use both at the same time.
#
#$INCLUDE dictionary.cisco.vpn3000
$INCLUDE dictionary.cisco.vpn5000
$INCLUDE dictionary.cisco.bbsm



#
#	And finally the server internal attributes.
#
$INCLUDE dictionary.freeradius.internal

#
#	Miscellaneous attributes defined in weird places that
#	don't really belong anywhere else...
#
ATTRIBUTE	Originating-Line-Info			94	string

#  As defined in draft-sterman-aaa-sip-00.txt
ATTRIBUTE	Digest-Response				206	string
ATTRIBUTE	Digest-Attributes			207	octets	# 

#
#	Integer Translations
#
VALUE	Service-Type			Voice			12
VALUE	Service-Type			Fax			13
VALUE	Service-Type			Modem-Relay		14
VALUE	Service-Type			IAPP-Register		15
VALUE	Service-Type			IAPP-AP-Check		16

VALUE	Framed-Protocol			GPRS-PDP-Context	7

VALUE	NAS-Port-Type			Wireless-CDMA2000	22
VALUE	NAS-Port-Type			Wireless-UMTS		23
VALUE	NAS-Port-Type			Wireless-1X-EV		24
VALUE	NAS-Port-Type			IAPP			25

VALUE	Framed-Protocol			PPTP			9

VSA Airespace Cisco на сервере RADIUS Microsoft IAS

Для получения информации о том, как настроить интернет-Сервис проверки подлинности Microsoft (IAS MS) сервер для поддержки Airespace Cisco, Определяемые поставщиком Атрибуты (VSA) читают VSA Airespace Cisco на Примере Конфигурации сервера RADIUS IAS MS

VSA Airespace Cisco на сервере Cisco Secure ACS

Прикладное устройство управления услугами Solution Engine Выпуска 4.0 сервера Cisco Secure Access Control Server, поддерживает много атрибутов Сервиса пользователей наборного (телефонного) доступа удаленного доступа (RADIUS), которые включают Атрибуты Airespace Cisco.

ACS не может предложить частичную поддержку IETF. Следовательно, когда вы добавляете устройство Airespace Cisco (в Конфигурацию сети), она автоматически включает все атрибуты IETF. Эта таблица дает атрибуты Airespace Cisco, поддерживаемые ACS Cisco.

wlc-attributes-2.gif

Устройства Airespace Cisco поддерживают некоторые атрибуты IETF для идентификационных сетей 802.1x:

  • Tunnel-Type (64)

  • Туннельный средний тип (65)

  • Tunnel-Private-Group-Id (81)

Для настройки определенного атрибута, который будет передаваться за пользователем, необходимо гарантировать что:

  • В Разделе конфигурации сети необходимо настроить запись клиента AAA, которые соответствуют устройству доступа, которое предоставляет доступ к сети пользователю для использования множества RADIUS, который поддерживает атрибут, который вы хотите передаваемый клиенту AAA.

  • В разделе Конфигурации интерфейса необходимо включить атрибут так, чтобы это появилось на пользователе или страницах профиля группы пользователей. Можно включить атрибуты на странице, которые соответствуют разнообразию RADIUS, которое поддерживает атрибут. Например, атрибут Session-Timeout РАДИУСА IETF (27) появляется на странице RADIUS (IETF).

    Примечание: По умолчанию атрибуты RADIUS для каждого пользователя не включены (они не появляются на странице Interface Configuration). Прежде чем можно будет включить атрибуты на основе для каждого пользователя, необходимо включить TACACS Для каждого пользователя +/RADIUS опция Attributes на странице Advanced Options в разделе Конфигурации интерфейса. После включения атрибутов по каждому пользователю столбец пользователь появляется, как отключено на странице Interface Configuration для того атрибута.

  • В профиле, который вы используете для управления авторизациями для пользователя — в пользователе или страницах edit группы или странице Shared RADIUS Authorization Component — необходимо включить атрибут. При включении этого атрибута он заставляет ACS передавать атрибут клиенту AAA в сообщении access-accept. В опциях, которые привязаны к атрибуту, можно определить значение атрибута, который передается клиенту AAA.

Обратитесь к разделу Атрибутов RADIUS Руководства пользователя для Прикладного устройства управления услугами Solution Engine Cisco Secure ACS 4.0 для получения дополнительной информации.

Проверка и устранение неполадок

Когда пользователь соединяется с WLAN с идентификатором пользователя и паролем, WLC передает учетные данные к серверу RADIUS, который подтверждает подлинность пользователя против условий и настроенного профиля пользователя. Если проверка подлинности пользователя успешна, сервер RADIUS возвращается, RADIUS принимают запрос, который также содержит атрибуты RADIUS, настроенные для того пользователя. В данном примере возвращена политика QoS пользователя.

Можно выполнить команду debug aaa all enable для наблюдения последовательности событий, которые происходят во время аутентификации. Пример выходных данных:

(Cisco Controller) >debug aaa all enable
Wed Apr 18 18:14:24 2007: User admin authenticated
Wed Apr 18 18:14:24 2007: 28:1f:00:00:00:00 Returning AAA Error 'Success' (0) for 
                              mobile 28:1f:00:00:00:00
Wed Apr 18 18:14:24 2007: AuthorizationResponse: 0xbadff97c
Wed Apr 18 18:14:24 2007:       structureSize...........................70
Wed Apr 18 18:14:24 2007:       resultCode...............................0
Wed Apr 18 18:14:24 2007:       protocolUsed....................0x00000008
Wed Apr 18 18:14:24 2007:       proxyState...........................
                                    28:1F:00:00:00:00-00:00
Wed Apr 18 18:14:24 2007:       Packet contains 2 AVPs:
Wed Apr 18 18:14:24 2007:           AVP[01] Service-Type...................
                                        0x00000006 (6) (4 bytes)
Wed Apr 18 18:14:24 2007:           AVP[02] Airespace / WLAN-Identifier.....
                                        0x00000000 (0) (4 bytes)
Wed Apr 18 18:14:24 2007: User admin authenticated
Wed Apr 18 18:14:24 2007: 29:1f:00:00:00:00 Returning AAA Error 'Success'  
                              (0) for mobile 29:1f:00:00:00:00
Wed Apr 18 18:14:24 2007: AuthorizationResponse: 0xbadff97c
Wed Apr 18 18:14:24 2007:       structureSize.........................70
Wed Apr 18 18:14:24 2007:       resultCode.............................0
Wed Apr 18 18:14:24 2007:       protocolUsed..................0x00000008
Wed Apr 18 18:14:24 2007:       proxyState...............................
                                    29:1F:00:00:00:00-00:00
Wed Apr 18 18:14:24 2007:       Packet contains 2 AVPs:
Wed Apr 18 18:14:24 2007:           AVP[01] Service-Type.................

                                        0x00000006 (6) (4 bytes)
Wed Apr 18 18:14:24 2007:           AVP[02] Airespace / WLAN-Identifier.....
                                        0x00000000 (0) (4 bytes)
Wed Apr 18 18:15:08 2007: Unable to find requested user entry for User-VLAN10
Wed Apr 18 18:15:08 2007: AuthenticationRequest: 0xa64c8bc
Wed Apr 18 18:15:08 2007:       Callback..........................0x8250c40
Wed Apr 18 18:15:08 2007:       protocolType.....................0x00000001
Wed Apr 18 18:15:08 2007:       proxyState...................................
                                    00:40:96:AC:E6:57-00:00
Wed Apr 18 18:15:08 2007:       Packet contains 8 AVPs (not shown)
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Successful transmission 
                               of Authentication Packet
                              (id 26) to 172.16.1.1:1812, proxy state 
                              00:40:96:ac:e6:57-96:ac
Wed Apr 18 18:15:08 2007: 00000000: 01 1a 00 68 00 00 00 00  00 00 00 00 00 00 00 00  
                              ...h............
Wed Apr 18 18:15:08 2007: 00000010: 00 00 00 00 01 0d 55 73  65 72 2d 56 4c 41 4e 31  
                              ......User-VLAN1
Wed Apr 18 18:15:08 2007: 00000020: 30 02 12 fa 32 57 ba 2a  ba 57 38 11 bc 9a 5d 59  
                              0...2W.*.W8...]Y
Wed Apr 18 18:15:08 2007: 00000030: ed ca 23 06 06 00 00 00  01 04 06 ac 10 01 1e 20  
                              ..#.............
Wed Apr 18 18:15:08 2007: 00000040: 06 57 4c 43 32 1a 0c 00  00 37 63 01 06 00 00 00  
                              .WLC2....7c.....
Wed Apr 18 18:15:08 2007: 00000050: 01 1f 0a 32 30 2e 30 2e  30 2e 31 1e 0d 31 37 32  
                              ...20.0.0.1..172
Wed Apr 18 18:15:08 2007: 00000060: 2e 31 36 2e 31 2e 33 30 .16.1.30
Wed Apr 18 18:15:08 2007: 00000000: 02 1a 00 46 3f cf 1b cc  e4 ea 41 3e 28 7e cc bc  
                              ...F?.....A>(~..
Wed Apr 18 18:15:08 2007: 00000010: 00 e1 61 ae 1a 0c 00 00  37 63 02 06 00 00 00 03  
                              ..a.....7c......
Wed Apr 18 18:15:08 2007: 00000020: 06 06 00 00 00 01 19 20  37 d0 03 e6 00 00 01 37  
                              ........7......7
Wed Apr 18 18:15:08 2007: 00000030: 00 01 ac 10 01 01 01 c7  7a 8b 35 20 31 80 00 00  
                              ........z.5.1...
Wed Apr 18 18:15:08 2007: 00000040: 00 00 00 00 00 1b      ......
Wed Apr 18 18:15:08 2007: ****Enter processIncomingMessages: response code=2
Wed Apr 18 18:15:08 2007: ****Enter processRadiusResponse: response code=2
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Access-Accept received 
                              from RADIUS server  
                              172.16.1.1 for mobile 00:40:96:ac:e6:57 receiveId = 0
Wed Apr 18 18:15:08 2007: AuthorizationResponse: 0x9802520
Wed Apr 18 18:15:08 2007:       structureSize.......................114
Wed Apr 18 18:15:08 2007:       resultCode...........................0
Wed Apr 18 18:15:08 2007:       protocolUsed................0x00000001
Wed Apr 18 18:15:08 2007:       proxyState...........................
                                    00:40:96:AC:E6:57-00:00
Wed Apr 18 18:15:08 2007:       Packet contains 3 AVPs:
Wed Apr 18 18:15:08 2007:           AVP[01] Airespace / QOS-Level.........
                                        0x00000003 (3) (4 bytes)
Wed Apr 18 18:15:08 2007:           AVP[02] Service-Type...................
                                        0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:08 2007:           AVP[03] Class......................
                                        DATA (30 bytes)
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Applying new AAA override for station 
                              00:40:96:ac:e6:57
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Override values for
                              station 00:40:96:ac:e6:57
            source: 48, valid bits: 0x3
            qosLevel: 3, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
            vlanIfName: '', aclName: '
Wed Apr 18 18:15:12 2007: AccountingMessage Accounting Start: 0xa64c8bc
Wed Apr 18 18:15:12 2007:       Packet contains 13 AVPs:
Wed Apr 18 18:15:12 2007:           AVP[01] User-Name.........................
                                        User-VLAN10 (11 bytes)
Wed Apr 18 18:15:12 2007:           AVP[02] Nas-Port..........................
                                        0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[03] Nas-Ip-Address....................
                                        0xac10011e (-1408237282) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[04] NAS-Identifier....................
                                        0x574c4332 (1464615730) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[05] Airespace / WLAN-Identifier.......
                                        0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[06] Acct-Session-Id...................
                                        4626602c/00:40:96:ac:e6:57/16 (29 bytes)
Wed Apr 18 18:15:12 2007:           AVP[07] Acct-Authentic....................
                                        0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[08] Tunnel-Type.......................
                                        0x0000000d (13) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[09] Tunnel-Medium-Type................
                                        0x00000006 (6) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[10] Tunnel-Group-Id...................
                                        0x3230 (12848) (2 bytes)
Wed Apr 18 18:15:12 2007:           AVP[11] Acct-Status-Type..................
                                        0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[12] Calling-Station-Id................
                                        20.0.0.1 (8 bytes)
Wed Apr 18 18:15:12 2007:           AVP[13] Called-Station-Id.................
                                        172.16.1.30 (11 bytes)

Этот пользователь показывает, что заверен пользователь. Затем значения замены AAA возвращены с RADIUS, принимают сообщение. В этом случае вы видите, что атрибут QoS возвращен вместе с RADIUS, принимают сообщение. Поэтому пользователю дают политику QoS Бронзы, которая отвергает набор значения QoS по умолчанию для того SSID.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 96103