Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Пример конфигурации проверки подлинности EAP-FAST с контроллерами беспроводной сети и внешним сервером RADIUS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

В этом документе поясняется настройка контроллер беспроводной локальной сети (WLC) для гибкой аутентификации через защищенный туннель (FAST) на основе расширяемого протокола аутентификации (EAP) с использованием внешнего сервера RADIUS. Этот пример конфигурации использует сервер Cisco Secure Access Control Server (ACS) в качестве внешнего сервера RADIUS для аутентификации беспроводного клиента.

Этот документ фокусируется о том, как настроить ACS для Анонимной и Заверенной Внутриполосной (Автоматической) инициализации учетных данных для защищенного доступа (PAC) беспроводным клиентам. Для настройки Ручной/Внеполосной инициализации PAC обратитесь к Ручной Инициализации PAC и Генерации Файла PAC для Руководства, Обеспечивающего для получения дополнительной информации.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Базовые знания о конфигурации облегченных точек доступа (LAP) и WLC Cisco

  • Общие сведения о протоколе упрощенных точек доступа (LWAPP)

  • Знание того, как настроить внешний сервер RADIUS, такой как Cisco Secure ACS

  • Функциональное знание об общей платформе EAP

  • Базовые знания на протоколах безопасности, таких как MSCHAPv2 и EAP-GTC и знание о цифровых сертификатах

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco WLC серии 2000, который выполняет микропрограммное обеспечение 4.0.217.0

  • LAP Cisco Aironet серии 1000

  • Cisco Secure ACS, который выполняет версию 4.1

  • Адаптер клиента Cisco Aironet 802.11 a/b/g

  • Утилита Cisco Aironet Desktop Utility (ADU), которая выполняет версию микропрограммы 3.6

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Протокол EAP-FAST является новым, публично доступным типом EAP IEEE 802.1X, который Cisco разработал для поддержки клиентов, которые не могут принудить политику по созданию стойких паролей и хотеть развернуть тип EAP 802.1X, который не требует цифровых сертификатов.

Протокол EAP-FAST является архитектурой безопасности клиент-сервер, которая шифрует транзакции EAP с туннелем безопасности транспортного уровня (TLS). Установка туннеля EAP-FAST основывается на сильных тайнах, которые уникальны для пользователей. Эти сильные тайны называют PAC, которые ACS генерирует при помощи главного ключа, известного только ACS.

EAP-FAST происходит в трех фазах:

  • Фазовый ноль (Автоматическая фаза инициализации PAC) — ноль фазы EAP-FAST, дополнительная фаза является защищенным туннелем средством обеспечения клиента конечного пользователя EAP-FAST с PAC для пользователя, запрашивающего доступ к сети. При обеспечении PAC конечному пользователю клиент является единственной целью фазового ноля.

    Примечание: Фазовый ноль является дополнительным, потому что PAC могут также быть вручную обеспечены клиентам вместо того, чтобы использовать фазовый ноль.

    Посмотрите раздел Режимов конфигурирования PAC этого документа для подробных данных.

  • Фаза 1 — В фазе 1, ACS и клиенте конечного пользователя устанавливает туннель TLS на основе учетных данных PAC пользователя. Эта фаза требует, чтобы клиент конечного пользователя был предоставлен PAC для пользователя, который пытается получить доступ к сети, и что PAC основывается на главном ключе, который не истек. Никакой сетевой сервис не включен фазой 1 EAP-FAST.

  • Фаза два — В фазе два, учетные данные проверки подлинности пользователя передают надежно с помощью внутреннего метода EAP, поддерживаемого EAP-FAST в туннеле TLS к RADIUS, созданному с помощью PAC между клиентом и сервером RADIUS. EAP-GTC, TLS и MS-CHAP поддерживаются как внутренние методы EAP. Никакие другие типы EAP не поддерживаются для EAP-FAST.

Обратитесь к тому, Как EAP-FAST работает для получения дополнительной информации.

PAC

PAC являются сильными общими секретными ключами, которые позволяют ACS и клиенту конечного пользователя EAP-FAST подтвердить подлинность друг друга и установить туннель TLS для использования в фазе EAP-FAST два. ACS генерирует PAC при помощи активного главного ключа и имени пользователя.

PAC включает:

  • Ключ PAC — Общий секретный ключ, связанный с клиентом (и устройство клиента) и идентичность сервера.

  • Поле PAC Opaque — Opaque, что кэши клиента и проходы в сервер. Сервер восстанавливает Ключ PAC и клиентскую идентичность для взаимной аутентификации с клиентом.

  • Информация PAC — Как минимум, включает идентичность сервера, чтобы позволить клиенту кэшировать другие PAC. Дополнительно, это включает другую информацию, такую как время окончания срока действия PAC.

PAC режимы Provisoning

Как отмечалось ранее, фазовый ноль является дополнительной фазой.

EAP-FAST предлагает две опции для инициализации клиента с PAC:

  • Автоматическая инициализация PAC (Фаза 0 EAP-FAST или Внутриполосная инициализация PAC)

  • Ручная (Внеполосная) инициализация PAC

Инициализация PAC In-band/Automatic передает новый PAC клиенту конечного пользователя по соединению защищенной сети. Автоматическая инициализация PAC не требует никакого вмешательства пользователя сети или администратора ACS, при условии, что вы настраиваете ACS и клиент конечного пользователя для поддержки автоматической инициализации.

Последние поддержки версии EAP-FAST два других внутриполосных параметра конфигурации инициализации PAC:

  • Анонимная Внутриполосная инициализация PAC

  • Заверенная Внутриполосная инициализация PAC

Примечание: Этот документ обсуждает эти внутриполосные методы инициализации PAC и как настроить их.

Внеполосная/Ручная инициализация PAC требует, чтобы администратор ACS генерировал файлы PAC, которые должны тогда быть распределены применимым пользователям сети. Пользователи должны настроить клиенты конечного пользователя со своими файлами PAC.

Диаграмма сети и настройка конфигурации

В этой настройке 2006 WLC Cisco и LAP связаны через концентратор. Внешний сервер RADIUS (Cisco Secure ACS) также подключается к данному концентратору. Все устройства находятся в пределах одной подсети. Точка доступа (AP) первоначально зарегистрирована к контроллеру. Необходимо настроить WLC для аутентификации EAP-FAST. Клиенты, которые соединяются с аутентификацией EAP-FAST использования AP для соединения с AP. Необходимо использовать Cisco Secure ACS, чтобы выполнить аутентификацию RADIUS.

eapfast-wlc-rad-config1.gif

Настройте WLC для аутентификации EAP-FAST

Выполните эти шаги для настройки WLC для аутентификации EAP-FAST:

  1. Конфигурация WLC для аутентификации RADIUS через внешний сервер RADIUS

  2. Настройте WLAN для аутентификации EAP-FAST

Конфигурация WLC для аутентификации RADIUS через внешний сервер RADIUS

Необходимо настроить WLC для переадресации на внешний сервер RADIUS учетные данные пользователя. Внешний сервер RADIUS тогда проверяет учетные данные пользователя с помощью EAP-FAST и предоставляет доступ к беспроводным клиентам.

Чтобы настроить WLC для внешнего сервера RADIUS, выполните следующие действия:

  1. Выберите Security и RADIUS Authentication в контроллере GUI, чтобы открыть страницу RADIUS Authentication Servers. Чтобы определить сервер RADIUS, нажмите New.

  2. Определите параметры сервера RADIUS на странице RADIUS Authentication Servers> New. В их числе:

    • IP-адрес сервера RADIUS

    • Общий secret

    • Port Number (Номер порта)

    • Состояние сервера

    Этот документ использует сервер ACS с IP-адресом 10.77.244.196.

    /image/gif/paws/99791/eapfast-wlc-rad-config2.gif

  3. Нажмите кнопку Apply.

Настройте WLAN для аутентификации EAP-FAST

Затем, настройте WLAN, который клиенты используют, чтобы соединиться с беспроводной сетью для аутентификации EAP-FAST и назначить на динамический интерфейс. Название WLAN, настроенное в данном примере, является eap быстро. Данный пример назначает этот WLAN на интерфейс управления.

Выполните эти шаги для настройки eap быстрый WLAN и его связанные параметры:

  1. Выберите WLANs в GUI контроллера, чтобы открыть страницу WLANs.

    Эта страница перечисляет WLAN, которые существуют на контроллере.

  2. Нажмите New для создания нового WLAN.

    /image/gif/paws/99791/eapfast-wlc-rad-config3.gif

  3. Настройте eap быстрое название SSID WLAN, имя профиля и ИДЕНТИФИКАТОР WLAN на странице WLAN> New. Нажмите Apply.

    eapfast-wlc-rad-config4.gif

  4. После создания новой WLAN появляется страница WLAN > Edit для новой WLAN. На этой странице можно определить различные параметры, определенные для этого WLAN. Это включает Общую политику, серверы RADIUS, Политику безопасности и Параметры 802.1x.

  5. Проверьте флажок Admin Status в соответствии с Общей политикой для включения WLAN.

  6. Если вы хотите, чтобы AP передал SSID в своих кадрах неисправность, проверьте флажок Broadcast SSID. Проверьте флажок Allow AAA Override, если вы хотите отвергнуть конфигурации WLC сервером RADIUS.

  7. В раскрывающемся меню под RADIUS Servers выберите соответствующие серверы RADIUS. Под Политикой безопасности выберите 802.1x из раскрывающегося меню безопасности уровня 2. Можно также использовать любой другой метод аутентификации (WPA/WPA2 с 802.1x), который включает сервер RADIUS для аутентификации.

    Данный пример использует 802.1x с динамическим Шифрованием WEP как безопасность уровня 2 для этого WLAN. Другие параметры могут быть изменены на основе требования сети WLAN. .

    /image/gif/paws/99791/eapfast-wlc-rad-config5.gif

  8. Нажмите кнопку Apply.

    Примечание: Это - единственный EAP, устанавливающий, который должен быть настроен на контроллере для Аутентификации eap. Все другие конфигурации, определенные для EAP-FAST, должны быть реализованы на сервере RADIUS и клиентах, которые должны быть заверены.

Настройте сервер RADIUS для аутентификации EAP-FAST

Выполните эти шаги для настройки сервера RADIUS для аутентификации EAP-FAST:

  1. Создайте базу данных пользователей для аутентификации клиентов EAP-FAST

  2. Добавьте WLC как клиента AAA к серверу RADIUS

  3. Настройте аутентификацию EAP-FAST на сервере RADIUS с анонимной внутриполосной инициализацией PAC

  4. Настройте аутентификацию EAP-FAST на сервере RADIUS с заверенной внутриполосной инициализацией PAC

Создайте базу данных пользователей для аутентификации клиентов EAP-FAST

Выполните эти шаги для создания базы данных пользователей для клиентов EAP-FAST на ACS. Данный пример настраивает имя пользователя и пароль клиента EAP-FAST как радио и радио, соответственно.

  1. От GUI ACS в навигационной панели выберите User Setup. Создайте радио нового пользователя, затем нажмите Add/Edit, чтобы перейти к странице Edit этого пользователя.

    /image/gif/paws/99791/eapfast-wlc-rad-config6.gif

  2. От страницы Edit Настройки пользователя настройте Настоящее имя и Описание, а также Вводы пароля как показано в данном примере.

    Этот документ использует Внутреннюю базу данных ACS для Проверки подлинности с помощью пароля.

  3. Выберите ACS Internal Database из раскрывающегося окна Проверки подлинности с помощью пароля.

    /image/gif/paws/99791/eapfast-wlc-rad-config7.gif

  4. Настройте все другие необходимые параметры и нажмите Submit.

Добавьте WLC как клиента AAA к серверу RADIUS

Выполните эти шаги для определения контроллера как клиент AAA на сервере ACS:

  1. В ACS GUI нажмите Network Configuration. Под Добавить разделом клиента AAA страницы Network Configuration нажмите Add Запись для добавления WLC как клиент AAA к серверу RADIUS.

    eapfast-wlc-rad-config8.gif

  2. От страницы AAA Client определите название WLC, IP-адреса, общего секретного ключа и метода аутентификации (Airespace RADIUS/Cisco). Сведения о серверах аутентификации, отличной от ACS, см. в документации от производителя.

    Примечание: Общий секретный ключ на WLC и сервере ACS должны совпадать. При вводе общего секретного ключа необходимо учитывать регистр.

  3. Нажмите кнопку Submit+Apply (Отправить и применить).

    eapfast-wlc-rad-config9.gif

Настройте аутентификацию EAP-FAST на сервере RADIUS с анонимной внутриполосной инициализацией PAC

Анонимная внутриполосная инициализация

Это - один из двух внутриполосных методов инициализации, в которых ACS устанавливает защищенное соединение с клиентом конечного пользователя в целях обеспечения клиента с новым PAC. Эта опция позволяет анонимное подтверждение связи TLS между клиентом конечного пользователя и ACS.

Этот метод управляет в Заверенном Протоколе соглашения Diffie-HellmanKey (ADHP) туннелем, прежде чем узел подтвердит подлинность сервера ACS.

Затем ACS требует аутентификации EAP-MS-CHAPv2 пользователя. При успешной аутентификации пользователя ACS устанавливает туннель Диффи-Хеллмана с клиентом конечного пользователя. ACS генерирует PAC для пользователя и передает ему конечному пользователю клиент в этом туннеле, вместе с информацией об этом ACS. Этот метод инициализации EAP-MSCHAPv2 использования как метод аутентификации в фазовом ноле и EAP-GTC в фазе два.

Поскольку не прошедший поверку подлинности сервер обеспечен, не возможно использовать незашифрованный пароль. Поэтому только учетные данные MS-CHAP могут использоваться в туннеле. MSCHAPv2 используется, чтобы удостоверить личность узла и получить PAC для дальнейших сеансов аутентификации (MS-CHAP EAP будет использоваться только в качестве внутреннего метода).

Выполните эти шаги для настройки аутентификации EAP-FAST в сервере RADIUS для анонимной внутриполосной инициализации:

  1. Нажмите System Configuration от GUI сервера RADIUS. От страницы System Configuration выберите Global Authentication Setup.

    /image/gif/paws/99791/eapfast-wlc-rad-config10.gif

  2. От страницы настройки глобальной аутентификации нажмите EAP-FAST Configuration, чтобы перейти к странице настроек EAP-FAST.

    /image/gif/paws/99791/eapfast-wlc-rad-config11.gif

  3. От Страницы настроек EAP-FAST проверьте флажок Allow EAP-FAST для включения EAP-FAST в сервере RADIUS.

  4. Настройте Активный/Исключенный TTL главного ключа (Время существования) значения, как требуется или установите его в значение по умолчанию как показано в данном примере.

    Обратитесь к Главным ключам для получения информации об Активных и Исключенных главных ключах. Кроме того, обратитесь к Главным ключам и TTL PAC для получения дополнительной информации.

    Поле Authority ID Info представляет текстовую идентичность этого сервера ACS, который конечный пользователь может использовать для определения который сервер ACS быть заверенным против. Заполнение этого поля является обязательным.

    Клиентская начальная буква отображается, поле сообщения задает сообщение, которое будет передаваться пользователям, которые подтверждают подлинность с клиентом EAP-FAST. Максимальная длина составляет 40 символов. Пользователь будет видеть начальное сообщение только если поддержки клиентов конечного пользователя показ.

  5. Если вы хотите, чтобы ACS выполнил анонимную внутриполосную инициализацию PAC, проверьте Позволение анонимного внутриполосного флажка инициализации PAC.

    Позволенные внутренние методы — Эта опция определяет, какие внутренние методы EAP могут работать в туннеле TLS EAP-FAST. Для анонимной внутриполосной инициализации необходимо включить EAP-GTC и MS-CHAP EAP для обратной совместимости. При выборе Allow анонимная внутриполосная инициализация PAC необходимо выбрать EAP-MS-CHAP (фазовый ноль) и EAP-GTC (фаза два).

  6. Нажмите Submit + Restart.

    Этот снимок экрана показывает шаги в этот раздел:

    /image/gif/paws/99791/eapfast-wlc-rad-config12.gif

Настройте аутентификацию EAP-FAST на сервере RADIUS с заверенной внутриполосной инициализацией PAC

Заверенная внутриполосная инициализация

EAP-FAST был улучшен для поддержки заверенного туннеля (использующий серверный сертификат), который является, где происходит инициализация PAC. Этот режим обеспечивает клиент конечного пользователя с PAC при помощи ноля фазы EAP-FAST с аутентификацией серверной части TLS. Эта опция требует, чтобы вы установили серверный сертификат и Trusted Root CA на ACS.

Новые наборы шифров, которые являются усовершенствованиями к EAP-FAST и в частности серверному сертификату, используются. Поскольку сервер заверен как часть устанавливания туннеля, более слабые методы EAP, такие как EAP-GTC могут использоваться в туннеле для обеспечения аутентификации соискателя.

По умолчанию ACS поддерживает аутентификацию серверной части TLS. Однако, если клиент передает сертификат пользователя к ACS, взаимная аутентификация TLS выполнена, и обходятся внутренние методы.

  1. Повторите steps1 к 4 из Анонимной Внутриполосной конфигурации Инициализации для настройки других параметров настройки EAP-FAST на сервере RADIUS.

  2. Если вы хотите, чтобы ACS выполнил анонимную внутриполосную инициализацию PAC, проверьте Позволение заверенного внутриполосного флажка инициализации PAC.

    1. Примите клиент на заверенной инициализации — Эта опция только доступна, когда выбрано позволение заверенной внутриполосной опции инициализации PAC. Сервер всегда передает Access-Reject в конце фазы инициализации, которая вынуждает клиент повторно подтвердить подлинность использования туннельного PAC. Эта опция позволяет ACS передать Access-Accept клиенту в конце фазы инициализации.

    2. Анчек Позволение флажка option резюме сеанса Не сохраняющего состояние, если вы не хотите, чтобы ACS обеспечил PAC авторизации для клиентов EAP-FAST и всегда выполнил фазу два из EAP-FAST.

    3. Позволенные внутренние методы — при выборе Allow подтвердили подлинность внутриполосной инициализации PAC, внутренний метод в фазе проверки подлинности является договорным (EAP-GTC используется по умолчанию в фазовом ноле). Выберите один или больше этих внутренних методов:

      • EAP-GTC — для включения EAP-GTC на аутентификации FAST EAP, установите этот флажок.

      • EAP-MS-CHAPv2 — Для включения EAP-MS-CHAPv2 на аутентификации FAST EAP установите этот флажок.

      • EAP-TLS — для включения EAP-TLS на аутентификации FAST EAP, установите этот флажок.

      Примечание: ACS всегда выполняет первый включенный метод EAP. Например, при выборе EAP-GTC и EAP-MS-CHAPv2 тогда первый включенный метод EAP является EAP-GTC.

    Все эти конфигурации, определенные для заверенной внутриполосной инициализации PAC, упомянуты в данном примере:

    eapfast-wlc-rad-config13.gif

  3. Нажмите Submit + Restart.

Установите Серверный сертификат на ACS для Заверенной Внутриполосной Инициализации

EAP-FAST был улучшен для поддержки заверенного туннеля (использующий серверный сертификат) внутри, какая инициализация PAC происходит.

Примечание: Эта опция требует устанавливания серверного сертификата и Trusted Root CA на ACS.

Существует несколько методов, доступных для устанавливания серверного сертификата на ACS. Этот документ объясняет, как генерировать подписанный сертификат на ACS и импортировать его к списку доверенного центра сертификации клиента.

Генерируйте подписанный сертификат в ACS

ACS поддерживает протоколы TLS/SSL-related, который включает PEAP, EAP-FAST и HTTPS, которые требуют использования цифровых сертификатов. Занятость подписанных сертификатов является способом для администраторов удовлетворить это требование, не имея необходимость взаимодействовать с CA, чтобы получить и установить сертификат для ACS.

Выполните эти шаги для генерации подписанного сертификата в ACS:

  1. Нажмите System Configuration от GUI сервера RADIUS. От страницы System Configuration выберите ACS Certificate Setup.

    /image/gif/paws/99791/eapfast-wlc-rad-config14.gif

  2. Установка сертификата ACS перечисляет различные варианты для устанавливания сертификата на ACS. Для данного примера выберите Generate Self-Signed Certificate.

    eapfast-wlc-rad-config15.gif

    Генерировать страница Edit Подписанного сертификата появляется.

  3. От этой страницы выполните эти шаги:

    1. В коробке предмета Сертификата введите предмет сертификата в форму cn=XXXX.

    2. В коробке Файла сертификата введите полный путь и имя файла для файла сертификата. В коробке Длины ключа выберите длину ключа.

    3. В коробке Файла закрытого ключа введите полный путь и имя файла для файла закрытого ключа.

    4. В поле пароля С закрытым ключом введите пароль с закрытым ключом. В Перепечатывать поле пароля с закрытым ключом перепечатайте пароль с закрытым ключом.

    5. В Дайджесте для подписания с коробкой выберите дайджест хэша (SHA1 в данном примере), чтобы использоваться для шифрования ключа.

    6. Для установки подписанного сертификата при отправке страницы выберите генерируемую опцию сертификата Install.

      Примечание: При выборе генерируемой опции сертификата Install необходимо перезапустить сервисы ACS после отправки этой формы для новых параметров настройки для вступления в силу. Если вы не выбираете генерируемую опцию сертификата Install, файл сертификата и файл закрытого ключа генерируются и сохраняются при нажатии Submit в следующем шаге. Однако они не установлены в хранилище локального компьютера.

    Вот пример страницы Editing a Self-Signed Certificate:

    /image/gif/paws/99791/eapfast-wlc-rad-config16.gif

    Примечание: Значения поля, введенные (ts-сеть) здесь, являются примерами значения. Можно использовать любые значения поля или названия для генерации подписанного сертификата на ACS. Все поля должны быть заполнены в.

Импортируйте подписанный сертификат клиенту

Необходимо импортировать подписанный сертификат, генерируемый на ACS к корневой Сертификации клиента список Authoritiy для клиента для аутентификации сервера как использования подтвержденного сертификата.

Выполните эти шаги в клиенте:

  1. Скопируйте сертификат с его местоположения на ACS клиенту.

  2. Нажмите правой кнопкой на учетной записи. файл cer и щелчок устанавливают сертификат.

    eapfast-wlc-rad-config17.gif

  3. Нажмите кнопку Next.

  4. Выберите Place все сертификаты в придерживающемся хранилище и нажмите Browse.

    Выбрать витрина Certificate всплывет.

  5. От Выбрать Certificate Store window проверьте, что Show physical хранит флажок.

  6. Разверните Доверенные корневые центры сертификации от дерева сертификата, выберите Local Computer и нажмите OK.

    eapfast-wlc-rad-config18.gif

  7. Нажмите Next, нажмите Finish и нажмите OK.

    Мастер Импорта Сертификата появляется, который показывает, что импорт был успешен.

    /image/gif/paws/99791/eapfast-wlc-rad-config19.gif

Настройте клиент для аутентификации EAP-FAST

Выполните эти шаги для настройки клиента для аутентификации EAP-FAST:

  1. Настройте клиент для анонимной внутриполосной инициализации

  2. Настройте клиент для заверенной внутриполосной инициализации

Настройте клиент для анонимной внутриполосной инициализации

Выполните эти шаги для настройки беспроводного клиента для анонимной внутриполосной инициализации:

  1. Из окна Aironet Desktop Utility нажмите Profile Management> New для создания профиля для пользователя EAP-FAST.

    Как отмечалось ранее, этот документ использует название WLAN/SSID в качестве eap быстро для беспроводного клиента.

    eapfast-wlc-rad-config20.gif

  2. От Окна управления Профиля нажмите Вкладку Общие и настройте Имя профиля, Имя клиента и название SSID как показано в данном примере. Затем нажмите кнопку ОК.

    eapfast-wlc-rad-config21.gif

  3. Нажмите Вкладку Безопасность и выберите 802.1x в качестве Параметра безопасности Набора с Типом EAP 802.1x как EAP-FAST. Нажмите Configure для настройки значения EAP-FAST.

    eapfast-wlc-rad-config22.gif

  4. Из окна Configure EAP-FAST проверьте флажок Allow Automatic PAC Provisioning. Если вы захотите настроить анонимную инициализацию PAC, то MS-CHAP EAP будет использоваться в качестве единственного внутреннего метода в фазовом ноле.

  5. Выберите MSCHAPv2 User Name and Password в качестве метода аутентификации от раскрывающегося окна Метода аутентификации EAP-FAST. Нажмите кнопку Configure (Настроить).

    eapfast-wlc-rad-config23.gif

  6. Из окна Configure MSCHAPv2 User Name and Password выберите соответствующие параметры настройки имени пользователя и пароля.

    Данный пример выбирает Manually Prompt for User Name and Password.

    То же имя пользователя и пароль должны быть зарегистрированы в ACS. Как отмечалось ранее, данный пример использует радио и радио соответственно как имя пользователя и пароль.

    Кроме того, обратите внимание, что это - анонимная внутриполосная инициализация. Поэтому клиент не может проверить серверный сертификат. Необходимо удостовериться, что снят Проверить флажок Установления личности Сервера.

  7. Нажмите кнопку ОК.

    eapfast-wlc-rad-config24.gif

Настройте клиент для заверенной внутриполосной инициализации

Выполните эти шаги для настройки беспроводного клиента для заверенной внутриполосной инициализации:

  1. Повторите шаги 1 - 3 Настраивать Клиента для Анонимного Внутриполосного раздела Инициализации этого документа.

  2. Из окна Configure EAP-FAST проверьте флажок Allow Automatic PAC Provisioning.

    С заверенной внутриполосной инициализацией PAC любой из внутренних методов (EAP-GTC, EAP-MSCHAPv2, Сертификат клиента TLS) позволенный в стороне ACS может быть выбран у клиента как метод аутентификации от раскрывающегося окна Метода аутентификации EAP-FAST.

    Данный пример выбирает GTC Token/Password в качестве Метода аутентификации EAP-FAST.

  3. Нажмите кнопку Configure (Настроить).

    eapfast-wlc-rad-config25.gif

  4. От окна конфигурации GTC можно или использовать статический пароль или маркер, которому предложат во время аутентификации.

    Данный пример использует статическое имя пользователя и пароль. То же имя пользователя и пароль должны быть зарегистрированы в ACS. Как отмечалось ранее, данный пример использует радио и радио соответственно как имя пользователя и пароль.

  5. Кроме того, обратите внимание, что это - заверенная внутриполосная конфигурация инициализации. Поэтому установите Проверить флажок Установления личности Сервера. Кроме того, от раскрывающегося окна Доверенных корневых центров сертификации прокрутите вниз для поиска Импортированного Подписанного сертификата от ACS (ts-сеть в данном примере). Выберите сертификат в качестве Trusted Root Certification Authority. Нажмите кнопку ОК.

    eapfast-wlc-rad-config26.gif

Проверьте внутриполосную инициализацию

Выполните эти шаги, чтобы проверить, работает ли конфигурация EAP-FAST должным образом:

  1. Выберите eap профиля быстро и нажмите Activate для активации профиля беспроводного клиента.

    /image/gif/paws/99791/eapfast-wlc-rad-config27.gif

  2. При включении MS-CHAP ver2 как метода аутентификации (с Анонимным, это - единственный успешный метод, как объяснено ранее), то клиент вызовет для имени пользователя и пароля.

    /image/gif/paws/99791/eapfast-wlc-rad-config28.gif

  3. Во время обработки EAP-FAST пользователя вам предложит клиент запросить PAC от сервера RADIUS. Когда вы нажимаете кнопку Да, инициализация PAC запускается.

    eapfast-wlc-rad-config29.gif

    После успешной инициализации PAC в фазовом ноле придерживается фаза 1 и два, и процедура успешной аутентификации имеет место.

    /image/gif/paws/99791/eapfast-wlc-rad-config30.gif

  4. С заверенной внутриполосной инициализацией, если вы включили GTC/Маркерный как Метод аутентификации EAP-FAST, вам предложат ввести маркер. Как отмечалось ранее, данный пример использует радио в качестве мандата пользователя. Нажмите кнопку ОК.

    /image/gif/paws/99791/eapfast-wlc-rad-config31.gif

    Вы видите файл PAC, полученный клиентом в странице конфигурации EAP-FAST.

    eapfast-wlc-rad-config32.gif

    Этот PAC может использоваться для дальнейших сеансов аутентификации этого пользователя согласно параметрам настройки значений TTL PAC/Главного ключа.

  5. Нажмите Manage для наблюдения содержания файла PAC путем просматривания дерева управления PAC как показано здесь. Двойное нажатие на беспроводном файле PAC для показа содержания файла PAC.

    /image/gif/paws/99791/eapfast-wlc-rad-config33.gif

    Это - содержание файла PAC:

    eapfast-wlc-rad-config34.gif

Проверка.

Можно проверить, получает ли сервер RADIUS и проверяет запрос аутентификации от беспроводного клиента. Чтобы выполнить данное действие, проверьте отчеты Passed Authentications и Failed Attempts на сервере ACS. Данные отчеты доступны в Reports и Activities на сервере. .

Когда аутентификация сервера RADIUS фактически успешна, вот пример. Однако, потому что фазовый ноль EAP-FAST не включает сетевой сервис, даже успешная транзакция ноля фазы EAP-FAST зарегистрирована в журнале Неудачных попыток ACS. Если вы видите, что "пользователь EAP-FAST был обеспечен с новым PAC" сообщение, это указывает, что PAC обеспечен успешно клиенту.

/image/gif/paws/99791/eapfast-wlc-rad-config35.gif

Эти команды отладки могли бы быть полезны для некоторых целей устранения проблем:

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  • debug dot1x events enable — Включает отладку всех событий dot1x. Вот выходные данные отладки в качестве примера на основе успешной аутентификации:

    (Cisco Controller)>debug dot1x events enable
    
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP
    -Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with mi
    smatching id (currentid=2, eapid=1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    ..............................................................................
    ..............................................................................
    ...............................................................................
    ................................................................................
    
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 43)
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:01 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    0
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3689 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    1
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3696 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 19 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 3)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 23)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 23, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 26)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 26, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 27, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 20 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 3)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 24 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Accept for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Creating a new PMK Cache Entry for s
    tation 00:40:96:af:3e:93 (RSN 0)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP-Success to mobile 00:40:
    96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending default RC4 key to mobile 00
    :40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending Key-Mapping RC4 key to mobil
    e 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Auth Success while in Authe
    nticating state for mobile 00:40:96:af:3e:93
    

    Вот пример ошибки проверки подлинности от выходных данных команды debug dot1x events enable:

    (Cisco Controller) >debug dot1x events enable
    
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Requ
    est/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 11 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 11)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 11, EAP Type 3)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 12)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 12, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 13, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 802.1x 'quiteWhile' Timer expired fo
    r station 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 quiet timer completed for mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 15)
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 16)
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 17)
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 18)
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
  • пакет debug dot1x включает — Включает отладку пакетных сообщений 802.1x. Вот выходные данные отладки в качестве примера на основе успешной аутентификации:

    (Cisco Controller) debug dot1x packet enable
    
     00:40:96:af:3e:93 Sending 802
    .11 EAPOL message  to mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 02 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1b 02 02 00 1b  01 50 45 41 50 2d 3
    0 30  .........PEAP-00
                          00000010: 2d 34 30 2d 39 36 2d 41  46 2d 33 45 2d 39 33
      -40-96-AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 26 01 19 00 26  11 01 00 08 52 97 b
    2 df  ...&...&....R...
                          00000010: 38 d2 ce 74 50 45 41 50  2d 30 30 2d 34 30 2d 39
      8..tPEAP-00-40-9
                      00000020: 36 2d 41 46 2d 33 45 2d  39 33                    6-
    AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 06 02 19 00 06  03 2b
          .........+
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:14 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:14 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:15 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:15 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 02 72 01 1b 02 72  2b 81 00 00 02 68 1
    6 03  ...r...r+....h..
                          00000010: 01 00 4a 02 00 00 46 03  01 47 1c bd b1 3a a8 8e
      ..J...F..G...:..
                      00000020: de fc 62 51 e0 fe 93 c2  1d 21 08 51 59 ba c6 90  ..
    bQ.....!.QY...
                  00000030: ad 14 1b bc
    Mon Oct 22 20:41:17 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    36) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:17 2007: 00000000: 01 00 01 4c 02 1b 01 4c  2b 01 16 03 01 01 0
    6 10  ...L...L+.......
                          00000010: 00 01 02 01 00 f4 92 8c  54 b1 34 ae 1e 13 a3 63
      ........T.4....c
                      00000020: 03 35 e9 33 e6 45 01 6a  87 18 ba 3d 03 0f 5f a5  .5
    .3.E.j...=.._.
                  00000030: 1d 3a ae fa
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:46 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 45 01 1d 00 45  2b 81 00 00 00 3b 1
    4 03  ...E...E+....;..
                          00000010: 01 00 01 01 16 03 01 00  30 cc 1f c4 54 ac a2 88
      ........0...T...
                      00000020: 14 11 92 c4 5a 78 2c 57  06 57 77 d7 6b 4e b1 db  ..
    ..Zx,W.Ww.kN..
    eived 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 1f 00 6b  2b 01 17 03 01 00 6
    0 8b  ...k...k+.....`.
                          00000010: 25 2f c6 1a 61 de af 51  a4 1d ae 9e 8c e8 45 80
      %/..a..Q......E.
                      00000020: e0 14 69 01 d8 ab eb 08  af 21 44 44 70 9c 25 d2  ..
    i......!DDp.%.
                  00000030: 39 6f 75 ce
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 5b 01 20 00 5b  2b 01 17 03 01 00 5
    0 0a  ...[...[+.....P.
                          00000010: 7e da 91 4e d7 ae 6b 87  7c 31 7f 7a 3c af 67 71
      ~..N..k.|1.z<.gq
                      00000020: 8a a1 0b aa 0a ac 6f b5  e8 65 83 3b d1 39 bd 1b  ..
    ....o..e.;.9..
                  00000030: f4 dd f9 68
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    7) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2b 02 20 00 2b  2b 01 17 03 01 00 2
    0 73  ...+...++......s
                          00000010: 02 d6 0e d3 55 57 7c 0c  58 f0 7c 1f 5e 61 09 40
      ....UW|.X.|.^a.@
                      00000020: 00 85 0b 8e 11 b5 23 1b  fc 27 77 71 ad b8 ed     ..
    ....#..'wq...
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 01 21 00 6b  2b 01 17 03 01 00 6
    0 c8  ...k.!.k+.....`.
                          00000010: c4 69 43 5d ad 34 88 05  24 d7 7e 90 e3 65 87 37
      .iC].4..$.~..e.7
                      00000020: 9c 94 2f 99 5d be ca 82  1a 11 89 68 44 08 4c ef  ..
    /.]......hD.L.
                  00000030: 56 89 18 7a
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 21 00 6b  2b 01 17 03 01 00 6
    0 16  ...k.!.k+.....`.
                          00000010: 04 f2 92 41 da 4c 9c 4a  64 d8 88 9e 4b ac b9 76
      ...A.L.Jd...K..v
                      00000020: a0 94 2a 7c 5f 7b 9b be  8b 07 e1 42 79 f1 4f 06  ..
    *|_{.....By.O.
                  00000030: 8e 50 c8 25
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 01 1b 01 22 01 1b  2b 01 17 03 01 01 1
    0 0f  ....."..+.......
                          00000010: 9b 84 da 57 60 8b a7 f6  e2 09 33 38 0c d8 fc 1f
      ...W`.....38....
                      00000020: 5f 2f 6a 59 72 4a a7 db  3a 5d 32 5c ac ed 1d d0  _/
    jYrJ..:]2\....
                  00000030: 46 6a 1c 93
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 7
    9) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 4b 02 22 00 4b  2b 01 17 03 01 00 4
    0 3f  ...K.".K+.....@?
                          00000010: 93 1f aa c6 2f 61 f8 45  84 f5 60 bd 35 87 8e 3a
      ..../a.E..`.5..:
                      00000020: 6b 96 7c 9a f6 79 91 73  c1 e9 68 78 82 88 29 07  k.
    |..y.s..hx..).
                  00000030: 8f 71 ef 09
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 04 04 22 00 04
          ....."..
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:48 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 
                  00000030: 2c 14 ca 45
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 00 00 04 03 20 00 04
          ........
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 39 01 00 0d ca  b3 f9 35 00 0a 60 b
    a 20  ...9......5..`..
                          00000010: 82 55 76 30 27 6f 92 2e  ee ce 49 c8 c2 5c 24 01
      .Uv0'o....I..\$.
                      00000020: 33 8e 39 fb a6 f4 fa 72  09 8b ae 1a d5 ab 84 73  3.
    9....r.......s
                  00000030: e9 b9 28 85
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 2c 01 00 0d ca  b3 f9 35 00 0a 60 b
    b 2b  ...,......5..`.+
                          00000010: fa 79 fc 30 50 de dd a0  95 95 cb 50 25 19 0a 80
      .y.0P......P%...
                      00000020: 1e e8 3e bf 8b 7a e3 a1  37 2a 07 8d ef 24 72 47  ..
    >..z..7*...$rG
  • debug aaa events enable — Включает выходные данные отладки всех событий aaa. Вот пример отладочных выходных данных процесса ошибки проверки подлинности:

    (Cisco Controller) >debug aaa events enable
    
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 145) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code=11
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=11
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIU
    S server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 146) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    ..................................................................................
    ..................................................................................
    ..................................................................................
    ..................................................................................
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=3
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Reject received from RADIUS s
    erver 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:42 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 149) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    

Устранение неполадок

Советы по поиску и устранению неполадок

  • Гарантируйте, что Проверить коробка Установления личности Сервера отключена для клиентского профиля для анонимной внутриполосной инициализации.

  • Гарантируйте, что EAP-MSCHAPver2 выбран как заверенный метод на клиентском профиле для анонимной внутриполосной инициализации. Это - единственный применимый EAP внутренний метод в фазовом ноле для анонимной внутриполосной инициализации.

  • Удостоверьтесь, что учетные данные пользователя, введенные в клиентскую сторону во время аутентификации, уже настроены в ACS.

  • Необходимо, чтобы сервер RADIUS был выбран в раскрывающемся меню WLAN (SSID).

  • При использовании Защищенный доступ по протоколу Wi-Fi (WAP), то необходимо установить последнее исправление WPA Microsft для Windows XP SP2. Кроме того, необходимо обновить драйвер для клиентского соискателя к последней версии.

  • Сообщение об ошибке [SECURITY] 1x_ptsm.c 391: MAX EAPOL-Key M3 retransmissions reached означает, что карта не отвечает на запрос об установлении подлинности. Можно увеличить таймеры EAP на контроллерах для ожидания информации 802.1x о клиенте с помощью следующих команд на WLC CLI:

    • идентификационный request-timeout config advanced eap 120 c

    • идентификационные повторные попытки запроса config advanced eap 20

    • config advanced eap request-timeout 120

    • повторные попытки запроса config advanced eap 20 save config

Извлечение файла пакета с сервера ACS RADIUS для устранения неполадок

Если используется ACS в качестве внешнего сервера radius, сведения в данном разделе можно использовать для устранения неполадок. Package.cab является файлом архива zip, который содержит все необходимые файлы, необходимые для устранения проблем ACS эффективно. Можно использовать утилиту CSSupport.exe, чтобы создать package.cab, или можно объединить данные файлы вручную.

Обратитесь к Созданию Раздела файла package.cab Получения Версии и Отладочной информации AAA для Cisco Secure ACS для Windows для получения дополнительной информации о том, как создать и извлечь файл пакета из беспроводной системы управления (WCS).

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения