Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Пример конфигурации динамического назначения VLAN с WLC на основе сопоставления групп ACS и Active Directory

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (20 декабря 2015) | Отзыв


Содержание


Введение

Этот документ объясняет, как аутентифицировать беспроводного клиента, использующего базу данных Windows Active Directory (AD) Microsoft�, как настроить сопоставление группы между AD группой и сервером Cisco Secure Access Control Server (ACS) группа, и как назначить аутентифицированный клиент динамично на VLAN, настроенную на сопоставленной группе ACS. Этот документ фокусируется на AD группе, сопоставляющей только с продуктом программного обеспечения ACS а не с Прикладным устройством управления услугами Solution Engine ACS.

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию:

  • Имейте базовые знания о Контроллерах беспроводной локальной сети (WLC) и Облегченные точки доступа (LAP)

  • Имейте функциональное знание Cisco Secure ACS

  • Основательные знания беспроводных сетей и вопросов их безопасности

  • Имейте функциональное и конфигурируемое знание о динамическом назначении сетей VLAN

    См. динамическое назначение сетей VLAN для получения дополнительной информации.

  • Имейте основное понимание сервисов AD Microsoft Windows, а также понятия DNS и контроллер домена

  • Наличие общего представления о протоколе упрощенных точек доступа (LWAPP)

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco WLC серии 2000, который выполняет релиз микропрограммы 4.0.217.0

  • Облегченная точка доступа Cisco 1000 серии Cisco 802.11a/b/g

  • Адаптер беспроводного клиента, который выполняет релиз микропрограммы 3.6

  • Утилита Cisco Aironet Desktop Utility (ADU), которая выполняет версию 3.6

  • Cisco Secure ACS, который выполняет версию 4.1

  • Microsoft Windows 2003 Server, настроенный как контроллер домена

  • Коммутатор серии "2950" Cisco, который выполняет версию 12.1

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Выпуск 4.1 Cisco Secure ACS для Windows аутентифицирует пользователей беспроводной связи против одной из нескольких возможных баз данных, которая включает его внутреннюю базу данных. Можно настроить ACS для аутентификации пользователей с несколькими типами базы данных. Можно настроить ACS для передачи аутентификации пользователей к одной или более внешним базам данных пользователей. Поддержка внешних баз данных пользователей означает, что ACS не требует, чтобы вы создали двойные вводы пользователя в базе данных пользователей.

Пользователи беспроводной связи могут аутентифицироваться при помощи нескольких внешних баз данных, таких как:

  • База данных Windows

  • Сервисы каталогов операционной системы Novell NetWare (NDS)

  • Протокол LDAP общего назначения

  • Подключение открытых баз данных (ODBC) - совместимые реляционные базы данных

  • Серверы Сервиса пользователей наборного (телефонного) доступа удаленного доступа (RADIUS) Прокси LEAP

  • Rivest, Shamir и Adelman (RSA) символические серверы SecurID

  • Совместимые RADIUS символические серверы

Таблицы совместимости Аутентификации ACS и Базы данных пользователей перечисляют различные протоколы аутентификации, поддерживаемые внутренним ACS и внешние базы данных.

Этот документ фокусирует на аутентифицирующихся пользователях беспроводной связи ту внешнюю базу данных Windows использования.

Можно настроить ACS для аутентификации пользователей с внешней базой данных пользователей одним из двух способов:

  • Определенным Пользовательским Присвоением — можно настроить ACS для аутентификации определенных пользователей с внешней базой данных пользователей. Чтобы сделать это, пользователь должен существовать во Внутренней базе данных ACS, и необходимо установить список Проверки подлинности с помощью пароля в Настройке пользователя к внешней базе данных пользователей, которую ACS должен использовать для аутентификации пользователя.

  • Неизвестной политикой пользователя — можно настроить ACS для попытки аутентификации пользователей, которые не находятся во Внутренней базе данных ACS при помощи внешней базы данных пользователей. Вы не должны определять новых пользователей во Внутренней базе данных ACS для этого метода.

Этот документ фокусируется на аутентифицирующихся пользователях беспроводной связи, использующих метод Неизвестной политики пользователя.

Когда ACS пытается аутентифицировать пользователя против Базы данных Windows, ACS вперед учетные данные пользователя к Базе данных Windows. База данных Windows проверяет учетные данные пользователя, и после успешной аутентификации, сообщает ACS.

После успешной аутентификации ACS собирает информацию группы этого пользователя от Базы данных Windows. После получения этой информации о группе ACS привязывает пользователей собранной информации группы Базы данных Windows с соответствующей сопоставленной группой ACS в целях присвоения динамических LAN беспроводному клиенту. Короче говоря, ACS может быть настроен, чтобы сопоставить Базу данных Windows с группой ACS и назначить проверенного пользователя динамично на VLAN, настроенную в сопоставленной группе ACS.

Кроме того, после первой успешной аутентификации пользователь динамично создан на ACS. Как только пользователь успешно аутентифицируется впервые, пользователь кэшируется в ACS с указателем на его базу данных. Это избегает ACS от поиска всего списка базы данных во время попыток последующей аутентификации.

Ограничения ACS на сопоставление группы с базой данных пользователя Windows

ACS имеет эти пределы на сопоставлении группы для пользователей, которые аутентифицируются базой данных Пользователя Windows:

  • ACS может только сопоставление группы поддержки для пользователей, которые принадлежат 500 или меньшему количеству групп Windows.

  • ACS может только выполнить сопоставление группы при помощи локальной переменной и глобальных групп, к которым пользователь принадлежит домена, который аутентифицировал пользователя.

Настройка

В данном примере вы настроены на AD Winodws и сопоставлены с определенной AD группой. Cisco Secure ACS настроен для использования внешней базы данных на Windows AD для аутентификации беспроводных клиентов. Затем AD тогда сопоставлен с группой ACS для проверенных пользователей, таким образом, назначающих пользователя той определенной AD группы к VLAN, заданной в соответствующей сопоставленной группе ACS.

Следующий раздел объясняет, как настроить устройства для этого.

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/99121/vlan-acs-ad-config23.gif

Настройка конфигурации

Эти конфигурации используются в данном документе:

  • Доменное имя Microsoft Windows: lab.wireless

  • AD пользователи: wireless123

  • AD пользователь: wireless123, назначенный на AD группу: VLAN 20

  • AD группа: VLAN 20, сопоставленный с группой ACS: Группа 20, где Группа 20 настроена для присвоения проверенных пользователей этой группы в Интерфейс vlan20 на WLC.

  • Здесь Контроллер домена и Сервер ACS настроены в той же машине.

Эти предположения сделаны перед выполнением этой конфигурации:

  • LAP уже зарегистрирован в WLC.

  • Вы знаете, как настроить внутренний сервер DHCP или внешний сервер DHCP на контроллере для присвоения IP-адреса на беспроводного клиента. См. DHCP Настройки для настройки внутреннего сервера DHCP на контроллере.

  • Документ обсуждает конфигурацию, требуемую на беспроводной стороне, и предполагает, что существует проводная сеть.

Для выполнения динамического назначения сетей VLAN с WLC на основе ACS к AD сопоставлению группы эти шаги должны быть выполнены:

  1. Настройте базу данных Active Directory и пользователя Windows

  2. Настройте Cisco Secure ACS

  3. Настройте контроллер беспроводной локальной сети

Настройте базу данных Active Directory и пользователя Windows

Для настройки AD и базы данных Пользователя Windows, которая будет использоваться для аутентификации беспроводных клиентов, эти шаги должны быть выполнены:

  1. Настройте сервер в своей сети как контроллер домена

  2. Создайте пользователей Active Directory и группы в домене

  3. Добавьте сервер ACS в качестве участника домена

Настройте сервер в своей сети как контроллер домена

Конфигурация контроллера домена включает создание новой AD структуры, и установку и конфигурацию сервиса DNS на сервере.

Этот документ создает домен lab.wireless на Windows 2003 Server, настроенном как контроллер домена.

Как часть этого AD процесса создания, вы устанавливаете сервер DNS на Windows 2003 Server для решения lab.wireless к собственному IP-адресу и другим процессам разрешения имен в домене. Можно также настроить внешний сервер DNS для соединения с Интернетом.

Примечание: Удостоверьтесь, что у вас есть Windows 2003 CD для установки сервера DNS на сервере.

Именуйте Windows 2003 Установки и настройки как Контроллер домена для процедуры подробной конфигурации.

Создайте пользователей Active Directory и группы в домене

Следующий шаг должен создать пользователей и группы в lab.wireless домене. См. шаги 1 и 2 Добавляющих Пользователей и Компьютеров к разделу Домена Active Directory этой Microsoft Support document для создания AD пользователей и групп.

Как уже упомянуто в Разделе настройки Конфигурации этого документа, пользователь wireless123 создан и сопоставлен с AD группой vlan20.

Добавьте сервер ACS в качестве участника домена

См. шаги 1 и 2 Добавляющих Пользователей и Компьютеров к разделу Домена Active Directory этой Microsoft Support document для добавления сервера ACS к lab.wireless домену.

Примечание: Этот раздел только упоминает, как добавить машину Windows, которая выполняет программное обеспечение ACS к домену. Эта процедура не применима для добавления Прикладного устройства управления услугами Solution Engine ACS в качестве участника домена.

Настройте Cisco Secure ACS

Для настройки ACS для этой настройки эти шаги должны быть выполнены:

  1. Настройте ACS для сопоставления аутентификации и группы базы данных пользователя Windows

  2. Настройте ACS для динамического назначения сетей VLAN

Настройте ACS для сопоставления аутентификации и группы базы данных пользователя Windows

Теперь, когда сервер ACS соединен с lab.wireless доменом, следующий шаг должен настроить ACS для аутентификации базы данных Пользователя Windows и сопоставить внешнюю базу данных Windows AD с группой ACS. Неизвестные пользователи, которые аутентифицируются при помощи указанной базы данных автоматически, принадлежат и наследовали авторизации группы.

Как отмечалось ранее, данный пример сопоставляет AD VLAN 20 группы с Группой группы ACS 20.

Примечание: Прежде чем вы настроите сервер ACS, выполните задачи, как объяснено в Главе о конфигурации Проверки подлинности Windows для надежной проверки подлинности пользователя и сопоставления группы.

Настройте Windows External User Database в сервере ACS

От GUI ACS выполните эти шаги:

  1. В панели навигации нажмите External User Databases.

    /image/gif/paws/99121/vlan-acs-ad-config24.gif

  2. На странице External User Databases нажмите Database Configuration.

    /image/gif/paws/99121/vlan-acs-ad-config25.gif

    ACS отображает список всех возможных типов внешней базы данных пользователей.

  3. Выберите Windows Database (База данных Windows).

    /image/gif/paws/99121/vlan-acs-ad-config26.gif

    Если никакая конфигурация Базы данных Windows не существует, таблица Создания Конфигурации базы данных появляется. В противном случае страница External User Database Configuration появляется.

  4. Нажмите кнопку Configure (Настроить).

    /image/gif/paws/99121/vlan-acs-ad-config27.gif

    Страница Windows User Database Configuration появляется с несколькими опциями.

  5. Настройте обязательные параметры. Все параметры настройки на странице Windows User Database Configuration являются дополнительными и не должны быть включены, пока вы не хотите разрешить и настроить определенные функции, которые они поддерживают.

    Примечание: Этот документ не настраивает ни одной из этих опций вручную, поскольку они не необходимы для этого примера конфигурации.

    См. Опции Конфигурации базы данных Пользователя Windows для получения дополнительной информации.

  6. Нажмите Submit для завершения этой конфигурации.

    ACS сохраняет конфигурацию базы данных Пользователя Windows, которую вы создали. Можно теперь добавить его к Неизвестной политике пользователя или назначить определенные учетные записи пользователя использовать эту базу данных для аутентификации. Этот документ добавляет эту конфигурацию к Неизвестной политике пользователя.

Настройте неизвестную политику пользователя с базой данных Windows

Неизвестная политика пользователя является передачей формы проверки подлинности. В сущности этой функцией является дополнительный шаг в процессе проверки подлинности. Если имя пользователя не существует во Внутренней базе данных ACS, ACS вперед запрос аутентификации входящего имени пользователя и пароля к внешним базам данных, с которыми это настроено для передачи. Внешняя база данных должна поддержать протокол аутентификации, используемый в запросе аутентификации.

См. Неизвестную политику пользователя для получения дополнительной информации.

В данном примере ACS должен передать запрос аутентификации, проникающий через WLC от беспроводного клиента к Базе данных Windows, настроенной в предыдущем разделе. Для достижения этого группа Неизвестного пользователя должна быть сопоставлена с внешней Базой данных Windows (lab.wireless) использующий эти шаги:

  1. В панели навигации нажмите External User Databases. Затем нажмите Unknown User Policy.

    /image/gif/paws/99121/vlan-acs-ad-config28.gif

  2. Для разрешения аутентификации неизвестного пользователя включите Неизвестную политику пользователя:

    1. Выберите Check следующая опция внешних баз данных пользователей.

    2. Выберите Windows Database в списке Внешних баз данных и щелчке-> (кнопка правой стрелки) для перемещения его от Внешних баз данных до списка Выбранных баз данных. Для удаления базы данных из списка Выбранных баз данных выберите базу данных, и затем нажмите <-(кнопка левой стрелки) для положения обратно его к списку Внешних баз данных.

  3. Нажмите кнопку Submit (Отправить).

    /image/gif/paws/99121/vlan-acs-ad-config29.gif

    ACS сохраняет и внедряет конфигурацию Неизвестной политики пользователя, которую вы создали.

Сопоставление Create ACS Group с Windows Group

Выполните эти шаги от GUI ACS:

  1. В панели навигации нажмите External User Databases. Затем нажмите Database Group Mappings.

    /image/gif/paws/99121/vlan-acs-ad-config30.gif

  2. Нажмите название внешней базы данных пользователей, для которого вы хотите настроить сопоставление группы.

    В данном примере это - База данных Windows.

  3. На результирующей странице Domain Configurations нажмите New configuration.

    /image/gif/paws/99121/vlan-acs-ad-config31.gif

    Примечание: По умолчанию вы видите только домен \DEFAULT на этой странице.

    Страница Define New Domain Configuration появляется..

  4. В Обнаруженной коробке Доменов этой страницы, должна существовать возможность для наблюдения LAB базы данных Пользователя Windows. Нажмите кнопку Submit (Отправить).

    /image/gif/paws/99121/vlan-acs-ad-config32.gif

    LAB домена новых окон появляется в списке доменов на странице Domain Configurations.

  5. Нажмите домен LAB.

    /image/gif/paws/99121/vlan-acs-ad-config33.gif

    Сопоставления Группы для Домена: таблица LAB появляется.

  6. Нажмите Add сопоставление.

    /image/gif/paws/99121/vlan-acs-ad-config34.gif

    Создавание нового сопоставления группы для Домена: страница LAB открывается. Список группы отображает имена групп, которые получены из базы данных LAB. В этом Group set, должна существовать возможность для наблюдения группы vlan20 созданный в AD этого домена лабораторной работы.

    /image/gif/paws/99121/vlan-acs-ad-config35.gif

  7. Выберите vlan20 из списка группы, затем нажмите Add к выбранному.

  8. В раскрывающемся окне группы ACS выберите Group20, с которым вы хотите сопоставить пользователей, которые принадлежат AD группе: VLAN 20.

  9. Нажмите кнопку Submit (Отправить).

    /image/gif/paws/99121/vlan-acs-ad-config36.gif

    Группа, сопоставленная со списком ACS, появляется у основания столбца групп базы данных как показано в примере. Звездочка (*) в конце каждого набора групп указывает, что пользователи, которые аутентифицируются с внешней базой данных пользователей, могут принадлежать другим группам помимо тех в наборе.

    /image/gif/paws/99121/vlan-acs-ad-config37.gif

Настройте ACS для динамического назначения сетей VLAN

Динамическое назначение сетей VLAN является одной функцией, которая размещает пользователя беспроводной связи в определенную VLAN на основе учетных данных, предоставленных пользователем. Задача назначения определенной сети VLAN пользователям решается сервером аутентификации RADIUS, роль которого может играть система управления доступом CiscoSecure. Таким образом, например, можно сохранять одну и ту же сеть VLAN за мобильным беспроводным узлом, который переподключается к сети в разных точках комплекса зданий.

Примечание: Этот документ использует Airespace Cisco [VSA (Определяемый поставщиком)] Атрибут для присвоения успешно проверенный пользователь с названием интерфейса виртуальной локальной сети (VLAN) (не ИДЕНТИФИКАТОР VLAN) согласно конфигурации группы на ACS.

Для настройки ACS для динамического назначения сетей VLAN эти шаги должны быть выполнены:

  1. Добавьте WLC как клиента AAA к ACS

  2. Настройка группы ACS с параметром атрибута Cisco Airespace VSA

Добавьте WLC как клиента AAA к ACS

Для настройки ACS для динамического назначения сетей VLAN необходимо настроить клиента AAA для WLC на сервере RADIUS. Этот документ предполагает, что WLC уже добавлен к ACS как клиент AAA. См. Добавляющих Клиентов AAA к ACS для получения информации о том, как добавить клиента AAA к ACS.

Примечание: В то время как WLC как клиент AAA к ACS настроен, в примере этого документа должна быть настроена опция RADIUS (Airespace) под выпадающее меню Используемой аутентификации страницы Add AAA Client.

Настройка группы ACS с параметром атрибута Cisco Airespace VSA

Выполните следующие действия:

  1. От GUI ACS в панели навигации нажмите Group Setup от левой стороны для настройки новой группы.

  2. В раскрывающемся окне Группы выберите Group 20 (согласно данному примеру) и нажмите Edit Settings.

    /image/gif/paws/99121/vlan-acs-ad-config38.gif

  3. На Группе 20 редактируют страницу настроек, нажимают раскрывающееся окно Jump To и выбирают RADIUS (Cisco Airespace) для настройки значения атрибута VSA Airespace.

    /image/gif/paws/99121/vlan-acs-ad-config39.gif

    Примечание: Если этот атрибут не отображен при Параметре группы, отредактируйте RADIUS (Airespace) параметры настройки для включения имени интерфейса под экраном Конфигурации интерфейса ACS.

  4. В разделе атрибутов RADIUS Airespace Cisco включите Воздушный Interface-name и введите vlan20 как имя интерфейса, которое будет возвращено этой группой ACS после успешной аутентификации.

    /image/gif/paws/99121/vlan-acs-ad-config40.gif

  5. Нажмите Submit + Restart.

Настройте контроллер беспроводной локальной сети

Для настройки WLC для этой настройки эти шаги должны быть выполнены:

  1. Настройте WLC с подробными данными сервера проверки подлинности

  2. Настройте динамические интерфейсы (VLAN) на WLC

  3. Настройка сетей WLAN (SSID)

Настройте WLC с подробными данными сервера проверки подлинности

Выполните эти шаги для настройки WLC для этой настройки:

  1. В графическом интерфейсе контроллера выберите Security (Безопасность).

  2. Щелкните New.

  3. На RADIUS (ACS) страница конфигурации Сервера проверки подлинности введите IP-адрес сервера RADIUS и Общего секретного ключа, используемого между сервером RADIUS и WLC.

    Этот Общий секретный ключ должен совпасть с тем, настроенным в ACS при Клиентах AAA Network Configuration>>, Добавляет Запись. Этот документ использует сервер ACS с IP-адресом 10.77.244.196/27.

  4. Удостоверьтесь, что Включено Состояние сервера. Установите флажок Пользователя сети. Это гарантирует, что Пользователи сети аутентифицируются против этого сервера.

Настройте динамические интерфейсы (VLAN) на WLC

Данная процедура поясняет порядок настройки динамических интерфейсов WLC. Для успешного динамического назначения сетей VLAN название интерфейса виртуальной локальной сети (VLAN), заданное под конфигурацией атрибута VSA сервера ACS, должно также быть настроено в WLC.

Этот документ настраивает интерфейс виртуальной локальной сети (VLAN) с названием "vlan20" и ИДЕНТИФИКАТОРОМ VLAN = 20, и интерфейс виртуальной локальной сети (VLAN) с названием в WLC.

Выполните следующие действия:

  1. От графического интерфейса контроллера, под окном Controller> Interfaces, настроены динамические интерфейсы.

    /image/gif/paws/99121/vlan-acs-ad-config41.gif

  2. Щелкните New.

  3. На Интерфейсах> Новое окно, введите Имя интерфейса как vlan20, который является тем же как Интерфейсный Airespace параметр, настроенный на ACS и ИДЕНТИФИКАТОРЕ VLAN как 20 для присвоения его на VLAN 20.

  4. Щелкните "Применить".

    /image/gif/paws/99121/vlan-acs-ad-config42.gif

  5. На Интерфейсах> страница Edit, настройте ИДЕНТИФИКАТОР VLAN, IP-адрес, маску подсети и информацию об Адресе шлюза от подсети VLAN 20 как показано в этом окне.

    Примечание: Всегда рекомендуется использовать сервер DHCP для присвоения IP-адреса на клиентов. В этом случае основное поле адреса сервера DHCP должно быть заполнено IP-адресом сервера DHCP.

    /image/gif/paws/99121/vlan-acs-ad-config43.gif

  6. Щелкните "Применить".

Настройка сетей WLAN (SSID)

На WLC вы настраиваете SSID wirelesslab и выбираете метод аутентификации, который вызывает для имени пользователя и пароля от клиента. В данном примере вы используете LEAP в качестве метода аутентификации для аутентификации пользователя. Выполните следующие действия:

  1. На GUI WLC нажмите WLAN. Щелкните New.

  2. Выберите Profile Name и введите SSID WLAN wirelesslab.

  3. Щелкните "Применить".

  4. Выберите WLAN> Edit, и под Вкладкой Общие, включите WLAN и выберите Interface в качестве управления для присвоения IP-адресов от подсети управления.

    /image/gif/paws/99121/vlan-acs-ad-config44.gif

  5. Нажмите Security. Под Таблицей уровня 2 выберите WPA+WPA2 в качестве безопасности уровня 2. Можно выбрать политика WPA2 или WPA. В данном примере вы выбираете шифрование WPA2 with TKIP и 802.1x как метод аутентификации.

    /image/gif/paws/99121/vlan-acs-ad-config45.gif

  6. Нажмите AAA Servers и выберите 10.77.244.196 как Сервер проверки подлинности для аутентификации пользователей этого WLAN против этого сервера.

  7. Пользователей беспроводной связи назначают на Интерфейс управления. Для присвоения пользователя на интерфейс, предоставленный сервером RADIUS, выберите Advanced> Allow AAA Override.

    /image/gif/paws/99121/vlan-acs-ad-config46.gif

Настройте беспроводного клиента

Этот раздел объясняет, как настроить беспроводного клиента. Выполните следующие действия:

  1. Нажмите утилиту Cisco Aironet Desktop Utility.

  2. Выберите Profile Management.

  3. Выделите существующий Профиль и выберите Modify как показано на рисунке 1.

    Рисунок 1

    /image/gif/paws/99121/vlan-acs-ad-config47.gif

  4. Во Вкладке Общие выберите имя профиля. Данный пример использует LAB названия. Введите SSID wirelesslab используемый в WLC. Рисунок 2 показывает, как сделать это.

    Рис. 2

    /image/gif/paws/99121/vlan-acs-ad-config48.gif

  5. Нажмите Security. Метод проверки подлинности, настроенный на клиенте, должен быть идентичен тому из WLC. Выберите WPA/WPA2/CCKM и выберите тип EAP в качестве LEAP как показано на рисунке 3.

    Рис. 3

    /image/gif/paws/99121/vlan-acs-ad-config49.gif

  6. Нажмите Configure и выберите Manually Prompt for User Name and Password. Рисунок 4 показывает это.

    Рис. 4

    /image/gif/paws/99121/vlan-acs-ad-config50.gif

  7. Нажмите кнопку OK. Появляется окно, которое побуждает вас для имени пользователя и пароля как показано. Введите имя пользователя и пароль, которое вы настроили в Базе данных Windows. В данном примере имя пользователя является wireless123, паролем является Cisco123. Во Входе в систему к полю введите в Домене, который вы настроили в Active Directory, и нажмите OK. В данном примере это - LAB. демонстрирует эти шаги.

    /image/gif/paws/99121/vlan-acs-ad-config51.gif

Проверка

Активируйте профиль пользователя LAB, который вы настроили в ADU. Согласно вашей конфигурации, клиенту предлагают для имени пользователя и пароля.

В этом примере имя пользователя и пароль с клиентской стороны используются для получения аутентификации и назначения сети VLAN сервером RADIUS:

  • Имя пользователя = wireless123

  • Пароль = cisco123

Кроме того, задайте lab.wireless во входе в систему поля диалогового окна Enter Wireless Network Password.

Как только беспроводной клиент успешно аутентифицирует, находит контроллер домена, соединяет домен и связывается к сети WLAN через wirelesslab SSID, необходимо проверить, что клиента назначают на надлежащую VLAN согласно атрибутам VSA, передаваемым параметрами группы сервера RADIUS.

Для этого выполните следующие действия:

  1. От графического интерфейса контроллера выберите Monitor. Нажмите Clients, который появляется слева от окна (APs) точек доступа.

    Клиентские статистические данные отображены со статусом, как привязано.

    /image/gif/paws/99121/vlan-acs-ad-config52.gif

  2. Вы видите список беспроводных клиентов, которые привязаны к этому WLC. Щелкните по Клиенту, который аутентифицировался с ACS.

    На подробной странице заметьте что пользователь: wireless123 аутентифицируется и привязывается через wirelesslab SSID. Обратите внимание на то, что IP-адрес 20.0.0.4, и интерфейс является vlan20.

    /image/gif/paws/99121/vlan-acs-ad-config53.gif

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации. См. Отладочную информацию AAA для Cisco Secure ACS для Windows, для получения дополнительной информации о как, как регистрировать и получить отладочную информацию AAA в ACS.

Команды для устранения неполадок

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

  • debug aaa events enable—при помощи этой команды можно проконтролировать передачу атрибутов RADIUS клиенту через контроллер. Эта часть выходных данных отладки позволяет сделать вывод о том, что атрибуты RADIUS переданы успешно.

    Вот выходные данные этой команды на основе примера конфигурации этого документа:

    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 131) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 132) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 133) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: vlan20, acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into 
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 15:47:39 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93

    Как замечено по этим выходным данным отладки, WLC передал запросы аутентификации и ответы между беспроводным клиентом и сервером RADIUS 10.77.244.196. Сервер успешно аутентифицировал беспроводного клиента (это может быть проверено с помощью сообщения Access-Accept). После успешной аутентификации можно также видеть, что сервер RADIUS передает интерфейс виртуальной локальной сети (VLAN) name:vlan20, поэтому динамично назначая беспроводного клиента в VLAN20.

  • aaa debug dot1x включает — Эта команда используется для отладки всей аутентификации dot1x, которая имеет место между беспроводным клиентом и сервером проверки подлинности (ACS).

  • debug aaa all enable – настраивает отладку сообщений AAA.

    Вот выходные данные этой команды на основе примера конфигурации этого документа:

    (Cisco Controller) >Fri Oct  5 16:17:18 2007: AuthenticationRequest: 0xac4be5c
    Fri Oct  5 16:17:18 2007:       Callback.....................................0x8
    29a960
    Fri Oct  5 16:17:18 2007:       protocolType.................................0x0
    0040001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 12 AVPs (not shown)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of 
    Authentication Packet (id 137) to 10.77.244.196:1812, 
    proxy state 00:40:96:af:3e:93-96:af
    .................................................................................
    ..................................................................................
    ..................................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................130
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................255
    
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 3 AVPs (not shown)
    ..............................................................................
    ..............................................................................
    ..............................................................................
    ..............................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobi)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of
    Authentication Packet (id 139) to 10.77.244.196:1812, 
    proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 16:17:18 2007: 00000000: 01 8b 00 bb 54 4c 75 3a  e5 b9 d2 c0 28 f2 9
    3 b3  ....TLu:....(...
    Fri Oct  5 16:17:18 2007: 00000010: f2 81 50 65 01 10 77 69  72 65 6c 65 73 73 5
    c 75  ..Pe..lab\wireless123
    Fri Oct  5 16:17:18 2007: 00000020: 73 65 72 31 1f 13 30 30  2d 34 30 2d 39 36 2
    d 41  ser1..00-40-96-A
    Fri Oct  5 16:17:18 2007: 00000030: 46 2d 33 45 2d 39 33 1e  18 30 30 2d 30 42 2
    d 38  F-3E-93..00-0B-8
    Fri Oct  5 16:17:18 2007: 00000040: 35 2d 35 42 2d 46 42 2d  44 30 3a 41 44 53 3
    1 05  5-5B-FB-D0:wirelessl23.
    Fri Oct  5 16:17:18 2007: 00000050: 06 00 00 00 01 04 06 0a  4d f4 d4 20 06 57 4
    c 43  ........M....WLC
    Fri Oct  5 16:17:18 2007: 00000060: 31 1a 0c 00 00 37 63 01  06 00 00 00 02 06 0
    6 00  1....7c.........
    Fri Oct  5 16:17:18 2007: 00000070: 00 00 02 0c 06 00 00 05  14 3d 06 00 00 00 1
    3 4f  .........=.....O
    Fri Oct  5 16:17:18 2007: 00000080: 20 01 05 00 1e 11 01 00  08 85 8e 81 b0 7d b
    f ee  .............}..
    Fri Oct  5 16:17:18 2007: 00000090: b1 77 69 72 65 6c 65 73  73 5c 75 73 65 72 3
    1 18  .lab\wireless123
    ................................................................................
    .................................................................................
    ..................................................................................
    Fri Oct  5 16:17:18 2007: 00000050: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 7
    3 65  1.;.....5leap:se
    Fri Oct  5 16:17:18 2007: 00000060: 73 73 69 6f 6e 2d 6b 65  79 3d 84 e7 c5 3c 3
    3 bd  ssion-key=...<3.
    Fri Oct  5 16:17:18 2007: 00000070: a8 bf 7a 43 9d 6e bb c8  a8 2c 5d c6 91 d6 f
    3 21  ..zC.n...,]....!
    Fri Oct  5 16:17:18 2007: 00000080: df 1e 0e 28 c1 ef a5 31  a7 cd 62 da 1a 1f 0
    0 00  ...(...1..b.....
    Fri Oct  5 16:17:18 2007: 00000090: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 7
    4 79  ....auth-algo-ty
    Fri Oct  5 16:17:18 2007: 000000a0: 70 65 3d 65 61 70 2d 6c  65 61 70 19 17 43 4
    1 43  pe=eap-leap..CAC
    
          ....
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................228
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................0
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:02
    Fri Oct  5 16:17:18 2007:       Packet contains 5 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] Airespace / Interface-Name..........
    .....vlan20 (5 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] EAP-Message.........................
    .....DATA (46 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Cisco / LEAP-Session-Key............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] Message-Authenticator...............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into 
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: AccountingMessage Accounting Interim: 0xac4b1f0
    Fri Oct  5 16:17:18 2007:       Packet contains 20 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] User-Name...........................
    .....lab\wireless123 (14 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] Nas-Port............................
    .....0x00000001 (1) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Nas-Ip-Address......................
    .....0x0a4df4d4 (172881108) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] NAS-Identifier......................
    .....0x574c4331 (1464615729) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[06] Airespace / WLAN-Identifier.........
    .....0x00000002 (2) (4 bytes)
    ......................................................................................
    .......................................................................................
    .......................................................................................

Дополнительные сведения


Document ID: 99121