Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Пример настройки списков контроля доступа пользователей с помощью контроллеров беспроводной локальной сети и Cisco Secure ACS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ объясняет на примере способ создания списков управления доступом (ACL) на WLC и их назначения пользователям в зависимости от проверки подлинности RADIUS.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Базовые знания о том, как настроить сервер Cisco Secure ACS для аутентификации Беспроводных клиентов

  • Знание конфигурации Облегченных точек доступа Cisco Aironet (LAP) и контроллеры беспроводной локальной сети Cisco (WLC)

  • Знание решений по обеспечению безопасности унифицированной беспроводной связи Cisco

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Контроллер беспроводной локальной сети Cisco серии 4400, который выполняет Версию 5.0.148.0

  • Cisco Aironet Облегченные точки доступа серии 1231 (LAP)

  • Клиентский адаптер беспроводной сети LAN Cisco a/b/g 802.11 Cisco Aironet, который выполняет Версию 3.6

  • Версия 3.6 утилиты Cisco Aironet Desktop Utility

  • Версия сервера 4.1 Cisco Secure ACS

  • Маршрутизатор Cisco ISR серии 2800, который выполняет Версию 12.4 (11) T IOS�

  • Коммутатор Cisco Catalyst серии 2900XL, который выполняет Версию 12.0 (5) WC3b

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

На Список контроля доступа пользователей (ACL) часть Идентификационных сетей Cisco. Идентификационные сети Поддержки решений беспроводной сети LAN Cisco, которые, в то время как это позволяет сети объявлять одиночный SSID, это также позволяет определенным пользователям наследовать другую политику на основе своих профилей пользователя.

На пользовательскую характеристику ACL предоставляет возможность применить ACL, настроенный на Контроллер беспроводной локальной сети пользователю на основе Проверки подлинности RADIUS. Это выполнено с Определяемым поставщиком атрибутом (VSA) НАЗВАНИЯ ACL AIRESPACE.

Этот атрибут указывает на название ACL, которое будет применено к клиенту. Когда атрибут ACL присутствует в ДОСТУПЕ К СЕРВЕРУ RADIUS, Принимают, система применяет Название ACL к станции клиента после того, как это подтверждает подлинность. Это отвергает любые ACL, которые назначены на интерфейс. Это игнорирует назначенный интерфейсный ACL и применяет новый.

Сводку формата Атрибута имени ACL показывают ниже. Поля переданы слева направо

 0                   1                   2                   3 
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|     Type      |  Length       |            Vendor-Id 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
     Vendor-Id (cont.)          | Vendor type   | Vendor length | 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|        ACL Name... 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 
• Type - 26 for Vendor-Specific 
• Length - >7 
• Vendor-Id - 14179 
• Vendor type - 6 
• Vendor length - >0 
• Value - A string that includes the name of the ACL to use for the client. 
   The string is case sensitive. 

Для получения дополнительной информации об Идентификационных Сетях единой беспроводной сети Cisco (UWN) обратитесь к Идентичности Настройки Сетевой раздел Решений по обеспечению безопасности Настройки документа.

Схема сети

В этом документе использованы параметры данной сети:

В этой настройке WLC Контроллера беспроводной локальной сети и LAP используются для обеспечения беспроводных сервисов пользователям в Отделе A и Отделе B. Все пользователи беспроводной связи используют общий WLAN (SSID) офис для доступа к сети и находятся в VLAN офиса VLAN.

Per-User-ACL-WLC-1.gif

Сервер Cisco Secure ACS используется для аутентификации пользователей беспроводной связи. Аутентификация eap используется для аутентификации пользователей. WLC, LAP и сервер Cisco Secure ACS связаны с Коммутатором уровня 2 как показано.

Маршрутизатор R1 подключает серверы на проводной стороне через Коммутатор уровня 2 как показано. Маршрутизатор R1 также действует как DHCP server, который предоставляет IP-адреса беспроводным клиентам от подсети 172.16.0.0/16.

Необходимо настроить устройства так, чтобы это произошло:

User1 от Отдела A имеет доступ только к серверу 172.16.1.100

User2 от Отдела B имеет доступ только к серверу 172.16.1.50

Для выполнения этого необходимо создать 2 ACL на WLC: один для User1 и другого для User2. Как только ACL созданы, необходимо настроить сервер Cisco Secure ACS для возврата атрибута имени ACL к WLC после успешной аутентификации Пользователя беспроводной связи. WLC тогда применяет ACL к пользователю, и таким образом к сети ограничен зависящий от профиля пользователя.

Примечание: Этот документ использует Аутентификацию LEAP для аутентификации пользователей. LEAP Cisco уязвим для подборов пароля по словарю. В режиме реального времени сети, методы более безопасной аутентификации, такие как FAST EAP должны использоваться. Так как фокус документа должен объяснить, как настроить На Пользовательскую характеристику ACL, LEAP используется для простоты.

Следующий раздел предоставляет пошаговые инструкции для настройки устройств для этой настройки.

Настройка

Перед настройкой на пользовательскую функцию ACL необходимо настроить WLC для главной операции и зарегистрировать облегченные точки доступа на контроллере. Этот документ предполагает, что WLC настроен для главной операции и что LAP зарегистрированы к WLC. Если вы - новый пользователь, который пытается установить WLC для главной операции с LAP, обратиться к регистрации облегченных точек доступа к Контроллеру беспроводной локальной сети (WLC).

Как только LAP зарегистрированы, выполняют эти шаги для настройки устройств для этой настройки:

  1. Настройте контроллер беспроводной локальной сети.

  2. Настройте сервер Cisco Secure ACS.

  3. Проверка конфигурации.

Примечание: Этот документ обсуждает конфигурацию, требуемую на беспроводной стороне. Документ предполагает, что существует проводная конфигурация.

Настройте контроллер беспроводной локальной сети

На Контроллере беспроводной локальной сети необходимо сделать это:

Создайте VLAN для пользователей беспроводной связи

Для создания VLAN для пользователей беспроводной связи выполните эти шаги.

  1. Перейдите в графический интерфейс контроллера и выберите Controller > Interfaces. Отобразится окно интерфейсов. В окне отобразится список интерфейсов, настроенных для этого контроллера.

  2. Нажмите New, чтобы создать новый динамический интерфейс.

  3. В окне Interfaces > New window, укажите название интерфейса и идентификатор виртуальной сети. Затем нажмите Apply. В данном примере динамический интерфейс называют VLAN офиса, и ИДЕНТИФИКАТОР VLAN назначен 20.

    /image/gif/paws/98590/Per-User-ACL-WLC-2.gif

  4. В окне Interfaces > Edit укажите IP-адрес, маску подсети и шлюз по умолчанию для динамического интерфейса. Назначьте его для физического порта контроллера беспроводной сети и укажите IP-адрес сервера DHCP. Нажмите Apply.

    Per-User-ACL-WLC-3.gif

    Для данного примера эти параметры используются для ИНТЕРФЕЙСА ВИРТУАЛЬНОЙ ЛОКАЛЬНОЙ СЕТИ (VLAN) ОФИСА:

    Office-VLAN
    	IP address: 172.16.1.25
    	Netmask: 255.255.0.0
    	Default gateway: 172.16.1.75 (sub-interface on Router R1)
    	Port on WLC: 1
    	DHCP server: 172.16.1.75 
    

Настройте WLC для аутентификации с Cisco Secure ACS

WLC должен быть настроен для передачи учетных данных пользователя внешнему серверу RADIUS (в этом случае, Cisco Secure ACS). Сервер RADIUS тогда проверяет учетные данные пользователя и возвращает атрибут имени ACL к WLC после успешной аутентификации пользователя беспроводной связи.

Выполните эти шаги для настройки WLC для сервера RADIUS:

  1. Выберите Security и RADIUS Authentication в контроллере GUI, чтобы открыть страницу RADIUS Authentication Servers. Чтобы определить сервер RADIUS, нажмите New.

  2. Определите параметры сервера RADIUS в RADIUS Authentication Servers > New page. В их числе: RADIUS Server IP Address, Shared Secret, Port Number и Server Status.

    /image/gif/paws/98590/Per-User-ACL-WLC-4.gif

  3. С помощью флажков Network User и Management можно определить, применяется ли аутентификация на основе сервера RADIUS для управления и сетевых пользователей. Данный пример использует Cisco Secure ACS в качестве сервера RADIUS с IP-адресом 10.77.244.196. Нажмите кнопку Apply.

Создайте новый WLAN для пользователей беспроводной связи

Затем, необходимо создать WLAN, с которым могут соединиться пользователи беспроводной связи. Для создания нового WLAN выполните эти шаги:

  1. От GUI Контроллера беспроводной локальной сети нажмите WLAN. Эта страница перечисляет WLAN, которые существуют на контроллере.

  2. Чтобы создать новую WLAN, выберите New. Введите ИДЕНТИФИКАТОР WLAN, Имя профиля и SSID WLAN для WLAN, и нажмите Apply. Для этой настройки создайте офис WLAN.

    /image/gif/paws/98590/Per-User-ACL-WLC-5.gif

  3. После создания новой WLAN появляется страница WLAN > Edit для новой WLAN. На этой странице можно определить различные параметры, определенные для этого WLAN, который включает Общую политику, Безопасность, QoS и Усовершенствованные параметры.

    /image/gif/paws/98590/Per-User-ACL-WLC-6.gif

    Проверьте Статус WLAN в соответствии с Общей политикой для включения WLAN. Выберите соответствующий интерфейс из ниспадающего меню. В данном примере используйте интерфейсный vlan офиса. Другие параметры на этой странице могут модифицироваться на основе требования сети WLAN.

  4. Выберите Вкладку Безопасность. Выберите 802.1x из ниспадающего меню безопасности уровня 2 (так как это - Аутентификация LEAP). Выберите соответствующий размер Ключа WEP под параметрами 802.1x.

    /image/gif/paws/98590/Per-User-ACL-WLC-7.gif

  5. Под Вкладкой Безопасность выберите дополнительную вкладку AAA-сервера. Выберите AAA-сервер, который используется для аутентификации беспроводных клиентов. В данном примере используйте сервер ACS 10.77.244.196 для аутентификации беспроводных клиентов.

    /image/gif/paws/98590/Per-User-ACL-WLC-8.gif

  6. Выберите Вкладку Дополнительно. Проверка Позволяет Замене AAA настраивать замену пользовательской политики через AAA на беспроводной локальной сети.

    /image/gif/paws/98590/Per-User-ACL-WLC-9.gif

    Когда замена AAA включена, и у клиента есть конфликтный AAA и параметры аутентификации беспроводной локальной сети контроллера WLAN Cisco, тогда аутентификация клиента выполнена AAA-сервером. Как часть этой аутентификации, операционная система перемещает клиенты от VLAN беспроводной локальной сети решения для беспроводной сети LAN Cisco по умолчанию до VLAN, возвращенной AAA-сервером и предопределенной в конфигурации интерфейса контроллера WLAN Cisco, которую только happenswhen настроил для фильтрации по MAC-адресам, 802.1X и/или операции WPA. Во всех случаях операционная система также использует QoS, DSCP, 802.1p значения тега приоритета и ACL, предоставленный AAA-сервером, пока они предопределены в конфигурации интерфейса контроллера WLAN Cisco.

  7. Выберите другие параметры на основе требований сети. Нажмите кнопку Apply.

Определите ACL для пользователей

Необходимо создать два ACL для этой настройки:

  • ACL1: для обеспечения доступа к User1 к серверу 172.16.1.100 только

  • ACL2: для обеспечения доступа к User2 к серверу 172.16.1.50 только

Выполните эти шаги для настройки ACL на WLC:

  1. От GUI WLC выберите Security> Access Control Lists. Страница Access Control Lists появляется. Эта страница перечисляет ACL, которые настроены на WLC. Это также позволяет вам отредактировать или удалить любой из ACL. Для создания нового ACL нажмите New.

  2. Эта страница позволяет вам создавать новые ACL. Введите имя ACL и нажмите Apply. Как только ACL создан, нажмите Edit для создания правил для ACL.

  3. User1 должен быть в состоянии к серверу доступа 172.16.1.100 только и должен быть запрещен доступа ко всем другим устройствам. Для этого необходимо определить эти правила.

    Обратитесь к ACL на Примере конфигурации Контроллера беспроводной локальной сети для получения дополнительной информации о том, как настроить ACL на Контроллерах беспроводной локальной сети.

    Per-User-ACL-WLC-10.gif

  4. Точно так же необходимо создать ACL для User2, который предоставляет доступ User2 к серверу 172.16.1.50 только. Это - ACL, требуемый для User2.

    /image/gif/paws/98590/Per-User-ACL-WLC-11.gif

    Вы теперь настроили Контроллер беспроводной локальной сети для этой настройки. Следующий шаг должен настроить сервер Cisco Secure Access Control Server, чтобы подтвердить подлинность беспроводных клиентов и возвратить Атрибут имени ACL к WLC после успешной аутентификации.

Настройте сервер Cisco Secure ACS

Для Cisco Secure ACS, чтобы быть в состоянии подтвердить подлинность Беспроводных клиентов, необходимо выполнить эти шаги:

Настройте контроллер беспроводной локальной сети как клиента AAA на Cisco Secure ACS

Для настройки Контроллера беспроводной локальной сети как клиент AAA на Cisco Secure ACS выполните эти шаги:

  1. Нажмите Network Configuration> Add AAA client. Добавить страница клиента AAA появляется. На этой странице определите имя системы WLC, IP-адрес Интерфейса управления, Общий секретный ключ и Airespace Радиуса Используемой аутентификации. Например:

    /image/gif/paws/98590/Per-User-ACL-WLC-12.gif

    Примечание: Общий секретный ключ, настроенный на Cisco Secure ACS, должен совпасть с общим секретным ключом, настроенным на WLC под Серверами проверки подлинности RADIUS> Новый.

  2. Нажмите кнопку Submit+Apply (Отправить и применить).

Настройте пользователей и профиль пользователя на Cisco Secure ACS

Для настройки пользователей на Cisco Secure ACS выполните эти шаги:

  1. В ACS GUI выберите User Setup, введите имя пользователя и нажмите Add/Edit. В данном примере пользователем является User1.

    Per-User-ACL-WLC-13.gif

  2. Когда страница User Setup появится, определите все параметры, определенные для пользователя. В данном примере настроены имя пользователя, пароль, Дополнительные Сведения о пользователе и атрибуты RADIUS, потому что вы только требуете этих параметров для Аутентификации eap.

    /image/gif/paws/98590/Per-User-ACL-WLC-14.gif

    Прокрутите вниз, пока вы не будете видеть Атрибуты RADIUS Airespace Cisco, определенные для пользователя. Проверьте Aire-ACL-Name, чтобы позволить ACS возвратить название ACL к WLC вместе с ответом успешной аутентификации. Для User1 создайте User1 ACL на WLC. Введите название ACL как User1.

    /image/gif/paws/98590/Per-User-ACL-WLC-15.gif

  3. Повторите ту же процедуру для создания User2 как показано здесь.

    /image/gif/paws/98590/Per-User-ACL-WLC-16.gif

    Per-User-ACL-WLC-17.gif

    Per-User-ACL-WLC-18.gif

  4. Выберите System Configuration и Global Authentication Setup, чтобы убедиться, что сервер аутентификации настроен для выполнения необходимого способа аутентификации EAP. В параметрах конфигурации EAP выберите соответствующий способ аутентификации EAP. В данном примере используется аутентификация LEAP. По завершении нажмите Submit.

    /image/gif/paws/98590/Per-User-ACL-WLC-19.gif

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Попытайтесь привязать беспроводного клиента к Легковесному AP с Аутентификацией LEAP, чтобы проверить, работает ли конфигурация как ожидалось.

Примечание: В данном документе предполагается, что профиль клиента настроен для аутентификации LEAP. Дополнительные сведения о конфигурации беспроводной сетевой карты 802.11 a/b/g для аутентификации LEAP см. в разделе Использование аутентификации EAP.

Если профиль беспроводного клиента активирован, пользователь получит запрос предоставить имя пользователя/пароль для аутентификации LEAP. Это - то, что происходит, когда User1 пытается подтвердить подлинность к LAP.

/image/gif/paws/98590/Per-User-ACL-WLC-20.gif

"Облегченная" AP, а потом и WLC, поступают в учетные данные пользователя на сервере RADIUS (Cisco Secure ACS) для проверки учетных данных. Сервер RADIUS сравнивает данные с базой данных пользователей и, после успешной аутентификации, возвращает название ACL, настроенное для пользователя к WLC. В этом случае User1 ACL возвращен к WLC.

Per-User-ACL-WLC-21.gif

Контроллер беспроводной локальной сети применяет этот ACL к User1. Эти выходные данные ping показывают, что User1 в состоянии обратиться только к серверу 172.16.1.100, но не любому другому устройству.

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Reply from 172.16.1.100: bytes=32 time=3ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 3ms, Average = 1ms

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Точно так же, когда User2 пытается обратиться к WLAN, сервер RADIUS, после успешной аутентификации, возвращает ACL User2 к WLC.

/image/gif/paws/98590/Per-User-ACL-WLC-22.gif

Per-User-ACL-WLC-23.gif

Контроллер беспроводной локальной сети применяет этот ACL к User2. Эти выходные данные ping показывают, что User2 в состоянии обратиться только к серверу 172.16.1.50, но не любому другому устройству.

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Reply from 172.16.1.50: bytes=32 time=3ms TTL=255
Reply from 172.16.1.50: bytes=32 time=18ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 18ms, Average = 5ms

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

На Контроллере беспроводной локальной сети можно также использовать эти команды отладки для устранения проблем AAA authentication

  • debug aaa all enable – настраивает отладку сообщений AAA

  • debug dot1x packet enable – активирует отладку всех пакетов dot1x

  • debug client <MAC Address> — Включает беспроводному клиенту, отлаживающему

Вот пример команды debug aaa all enable

Примечание: Некоторые линии в выходных данных были перемещены во вторую линию из-за пространственных ограничений.

Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState..............00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet 
   (id 1) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 01 00 d0 2d 34 f5 99  b4 19 27 28 eb 5f 35 9c  
   ....-4....'(._5.
Thu Aug 16 14:42:54 2007: 00000010: 8f a9 00 dd 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ......user1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office-TSWEB..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 27 02  
   ...A.....Q.20O'.
Thu Aug 16 14:42:54 2007: 00000090: 01 00 25 11 01 00 18 1d  87 9d 0b f9 dd e5 39 0d  
   ..%...........9.
Thu Aug 16 14:42:54 2007: 000000a0: 2e 82 eb 17 c6 23 b7 96  dc c3 55 ff 7c 51 4e 75  
   .....#....U.|QNu
Thu Aug 16 14:42:54 2007: 000000b0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000c0: 1a d5 3b 35 5e 93 11 c0  c6 2f 5e f5 65 e9 3e 2d  
   ..;5^..../^.e.>-
Thu Aug 16 14:42:54 2007: 00000000: 0b 01 00 36 8c 31 6a b4  27 e6 d4 0e 1b 8e 5d 19  
   ...6.1j.'.....].
Thu Aug 16 14:42:54 2007: 00000010: 60 1c c2 16 4f 06 03 01  00 04 18 0a 53 56 43 3d
   ...O.......SVC=
Thu Aug 16 14:42:54 2007: 00000020: 30 2e 31 3b 50 12 6c fb  90 ec 48 9b fb d7 ce ca  
   0.1;P.l...H.....
Thu Aug 16 14:42:54 2007: 00000030: 3b 64 93 10 fe 09      ;d....
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=11
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=11
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Challenge received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............104
Thu Aug 16 14:42:54 2007:       resultCode...............255
Thu Aug 16 14:42:54 2007:       protocolUsed............0x00000001
Thu Aug 16 14:42:54 2007:       proxyState...............
   00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 3 AVPs (not shown)
Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState.........................
   00:40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet (id 2) to 10.77.244.196:1812, 
proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 02 00 c0 38 b6 b2 20  ff 5b f2 16 64 df 02 61  
   ....8....[..d..a
Thu Aug 16 14:42:54 2007: 00000010: cf f5 93 4b 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ...K..User1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 17 01  
   ...A.....Q.20O..
Thu Aug 16 14:42:54 2007: 00000090: 01 00 15 11 01 00 08 0f  14 05 65 1b 28 61 c9 75  
   ..........e.(a.u
Thu Aug 16 14:42:54 2007: 000000a0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000b0: 05 ba 6b af fe a4 b0 d1  a2 94 f8 39 80 ca 3c 96  
   ..k........9..<.
Thu Aug 16 14:42:54 2007: 00000000: 02 02 00 ce c9 3d 5d c8  6c 07 8e fb 58 84 8d f6  
   .....=].l...X...
Thu Aug 16 14:42:54 2007: 00000010: 33 6d 93 21 08 06 ff ff  ff ff 4f 27 02 01 00 25  
   3m.!......O'...%
Thu Aug 16 14:42:54 2007: 00000020: 11 01 00 18 e5 e5 31 1e  33 b5 4e 69 90 e7 84 25  
   ......1.3.Ni...%
Thu Aug 16 14:42:54 2007: 00000030: 42 a9 20 ac 84 33 9f 87  ca dc c9 b3 75 73 65 72  
   B....3......user
Thu Aug 16 14:42:54 2007: 00000040: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 73 65  
   1.;.....5leap:se
Thu Aug 16 14:42:54 2007: 00000050: 73 73 69 6f 6e 2d 6b 65  79 3d 29 80 1d 2c 1c 85  
   ssion-key=)..,..
Thu Aug 16 14:42:54 2007: 00000060: db 1c 29 7e 40 8a b8 93  69 2a 55 d2 e5 46 89 8b  
   ..)~@...i*U..F..
Thu Aug 16 14:42:54 2007: 00000070: 2c 3b 65 49 3e 44 cf 7e  95 29 47 54 1a 1f 00 00  
   ,;eI>D.~.)GT....
Thu Aug 16 14:42:54 2007: 00000080: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 74 79  
   ....auth-algo-ty
Thu Aug 16 14:42:54 2007: 00000090: 70 65 3d 65 61 70 2d 6c  65 61 70 1a 0d 00 00 37  
   pe=eap-leap....7
Thu Aug 16 14:42:54 2007: 000000a0: 63 06 07 55 73 65 72 31  19 14 43 41 43 53 3a 30  
   c..User1..CACS:0
Thu Aug 16 14:42:54 2007: 000000b0: 2f 39 2f 61 34 64 66 34  64 32 2f 31 50 12 9a 71  
   /9/a4df4d2/1P..q
Thu Aug 16 14:42:54 2007: 000000c0: 09 99 7d 74 89 ad af e5  c8 b1 71 94 97 d1      
   ..}t......q...
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=2
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=2
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Accept received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............236
Thu Aug 16 14:42:54 2007:       resultCode...............0
Thu Aug 16 14:42:54 2007:       protocolUsed.............0x0
0000001
Thu Aug 16 14:42:54 2007:       proxyState...............00:
40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:  Packet contains 6 AVPs:
Thu Aug 16 14:42:54 2007:  AVP[01] Framed-IP-Address..........0xffffffff (-1) 
   (4 bytes)
Thu Aug 16 14:42:54 2007:  AVP[02] EAP-Message................DATA (37 bytes)
Thu Aug 16 14:42:54 2007:  AVP[03] Cisco / LEAP-Session-Key...DATA (16 bytes)
Thu Aug 16 14:42:54 2007:  AVP[04] Airespace / ACL-Name.......User1 (5 bytes)
Thu Aug 16 14:42:54 2007:  AVP[05] Class......................CACS:0/9/a4df4d2/1 
   (18 bytes)
Thu Aug 16 14:42:54 2007:  AVP[06] Message-Authenticator......DATA (16 bytes)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Applying new AAA override 
   for station 00:40:96:af:3e:93
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Override values 
   for station 00:40:96:af:3e:93
                source: 4, valid bits: 0x400
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1

dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                       vlanIfName: '',
aclName:User1
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
   Inserting new RADIUS override into chain for station 00:40:96:af:3e:93

Можно использовать комбинацию команды show wlan summary для распознавания, какой из WLAN использует аутентификацию сервера RADIUS. Затем можно просмотреть команду show client summary для наблюдения, какие MAC-адреса (клиенты) успешно заверены на WLAN RADIUS. Также можно сопоставить эту информацию с журналами регистрации успешных и неудачных попыток аутентификации Cisco Secure ACS.

Cisco рекомендует протестировать конфигурации списков управления доступом (ACL) с беспроводным клиентом, чтобы гарантировать настройку их правильно. Если они не в состоянии работать правильно, проверять ACL на веб-странице ACL и проверять, что изменения ACL были применены к интерфейсу контроллера.

Можно также использовать эти команды показа для подтверждения конфигурации:

  • show acl summary — Для показа ACL, которые настроены на контроллере, используют команду show acl summary.

Например:

(Cisco Controller) >show acl summary

ACL Name                         Applied
-------------------------------- -------
User1                                  Yes
User2                                  Yes

  • show acl, подробный <ACL_Name> — Отображает подробные сведения на настроенных ACL.

    Например:

    Примечание: Некоторые линии в выходных данных были перемещены во вторую линию из-за пространственных ограничений.

    Cisco Controller) >show acl detailed User1
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP   Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ----    ------
     1  In      172.16.0.0/255.255.0.0        172.16.1.100/255.255.255.255  
       Any  0-65535       0-65535   Any    Permit
     2 Out    172.16.1.100/255.255.255.255      172.16.0.0/255.255.0.0      
       Any  0-65535       0-65535   Any    Permit
    
    
    (Cisco Controller) >show acl detailed User2
    
                       Source                       Destination                 
       Source Port   Dest Port
    I  Dir       IP Address/Netmask              IP Address/Netmask        
       Prot    Range       Range    DSCP Action
    -- --- ------------------------------- ------------------------------- 
       ---- ----------- ----------- ---- ------
    1  In      172.16.0.0/255.255.0.0         172.16.1.50/255.255.255.255  
       Any   0-65535       0-65535    Any  Permit
    2 Out     172.16.1.50/255.255.255.255      172.16.0.0/255.255.0.0      
       Any   0-65535       0-65535    Any  Permit
  • show client detail <MAC-адрес клиента> - Отображает подробные сведения о Беспроводном клиенте.

Советы по поиску и устранению неполадок

Используйте эти советы для устранения проблем:

  • Проверьте на контроллере, что сервер RADIUS находится в активном состоянии, а не на резерве или отключен.

  • На контроллере проверьте, выбран ли сервер RADIUS из раскрывающегося меню WLAN (SSID).

  • Проверьте получение и подтверждение сервером RADIUS запроса на аутентификацию от беспроводного клиента.

  • Чтобы выполнить данное действие, проверьте отчеты Passed Authentications и Failed Attempts на сервере ACS. Данные отчеты доступны в Reports и Activities на сервере. .

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения