Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 5500

Динамическое назначение сетей VLAN с сервером RADIUS ACS 5.2 и Примером конфигурации WLC

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

В настоящем документе описаны общие принципы динамического назначения сетей VLAN. В нем также описывается настройка контроллера беспроводной локальной сети (WLC) и сервера RADIUS — сервера управления доступом (ACS) с ПО версии 5.2 — для привязки клиентов беспроводной локальной сети (WLAN) к определенным сетям VLAN в динамическом режиме.

Предварительные условия

Требования

Удостоверьтесь в соответствии этим требованиям перед попыткой применения этой конфигурации:

  • Имейте базовые знания о WLC и Облегченных точках доступа (LAP)

  • Имейте функциональное знание AAA-сервера

  • Имейте доскональное знание беспроводных сетей и вопросов их безопасности

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • WLC Cisco 5508, который выполняет релиз микропрограммы 7.0.220.0

  • Cisco LAP серии 3502

  • Microsoft Windows 7 собственных соискателей с версией драйвера 14.3 Intel 6300 N

  • Cisco Secure ACS, который выполняет версию 5.2

  • Cisco коммутатор серии 3560

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Динамическое назначение сетей VLAN с сервером RADIUS

В большинстве систем с беспроводными локальными сетями (WLAN) каждая сеть WLAN имеет статическую политику, которая действует для всех клиентов, связанных с определенным идентификатором набора служб (SSID) или сетью WLAN – в терминологии контроллера. Будучи достаточно мощным, этот способ имеет ряд ограничений, поскольку он требует связывания клиентов с различным идентификаторами SSID для наследования разных политик QoS и безопасности.

В то же время решение Cisco для беспроводных локальных сетей поддерживает работу в сети на основе идентификационных данных. Это позволяет сети объявлять одиночный SSID, но позволяет определенным пользователям наследовать другое QoS, атрибуты VLAN и/или политику безопасности на основе учетных данных пользователя.

Для этого, в частности, предназначена функция динамического назначения VLAN, которая назначает пользователю беспроводной сети определенную сеть VLAN исходя из предоставленных пользователем реквизитов учетной записи. Задача назначения определенной сети VLAN пользователям решается сервером аутентификации RADIUS, роль которого может играть система управления доступом CiscoSecure. Таким образом, например, можно сохранять одну и ту же сеть VLAN за мобильным беспроводным узлом, который переподключается к сети в разных точках комплекса зданий.

В результате, когда клиент пытается связаться к LAP, зарегистрированному в контроллере, LAP передает учетные данные пользователя к серверу RADIUS для проверки. После прохождения аутентификации сервер RADIUS передает пользователю ряд атрибутов, предусмотренных спецификацией IETF (инженерной группы по развитию Интернета). Эти атрибуты RADIUS определяют идентификатор VLAN, назначаемый беспроводному клиенту. SSID (в терминах WLC – беспроводная локальная сеть) клиента не имеет значения, поскольку пользователю всегда назначается конкретный предопределенный идентификатор VLAN.

Атрибуты пользователя RADIUS, используемые для назначения идентификатора VLAN:

  • IETF 64 (тип туннеля) – присваивается значение «VLAN».

  • IETF 65 (тип передающей среды туннеля) – присваивается значение «802».

  • IETF 81 (идентификатор частной группы туннеля) – присваивается значение идентификатора VLAN.

Идентификатор VLAN состоит из 12 двоичных разрядов и принимает значение от 1 до 4094 включительно. Поскольку идентификатор частной группы туннеля имеет строковый тип согласно стандарту RFC2868 в применении к сетям IEEE 802.1X, то целочисленное значение идентификатора VLAN кодируется как строка. leavingcisco.com При отправке этих атрибутов туннеля необходимо заполнить поле метки.

Согласно RFC2868 (разд. 3.1): leavingcisco.comПоле метки имеет длину восемь двоичных разрядов и предназначено для группирования атрибутов в одном пакете, относящихся к одному и тому же туннелю. Допустимые значения для этого поля – от 0x01 до 0x1F включительно. Неиспользуемые поля меток заполняются нулями (0x00). Дополнительные сведения обо всех атрибутах RADIUS см. в документе RFC 2868. leavingcisco.com

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-01.gif

Конфигурация компонентов, представленных на этой схеме:

  • IP-адрес ACS (RADIUS) сервер 192.168.150.24.

  • Адрес менеджмента и Интерфейса менеджера точки доступа WLC 192.168.75.44.

  • Dhcp server обращается 192.168.150.25.

  • VLAN 253 и VLAN 257 используются всюду по этой конфигурации. Студент 1 настроен для размещения в VLAN 253, и Учитель 1 настроен для размещения в VLAN 257 сервером RADIUS, когда оба пользователя подключают с тем же SSID "Гоа".

    • VLAN 253: 192.168.153.x/24. Шлюз: 192.168.153.1

    • VLAN 257: 192.168.157.x/24. Шлюз: 192.168.157.1

    • VLAN 75: 192.168.75.x/24. Шлюз: 192.168.75.1

  • Этот документ использует 802.1x с PEAP как механизм обеспечения безопасности.

    Примечание: Cisco рекомендует использовать усовершенствованные методы аутентификации, такие как EAP-FAST и Проверка подлинности EAP-TLS, для обеспечения WLAN.

Предположения

  • Коммутаторы настроены для всех VLAN Уровня 3.

  • DHCP server назначают область DHCP.

  • Подключение Уровня 3 существует между всеми устройствами в сети.

  • LAP уже соединен с WLC.

  • Каждая VLAN имеет маску/24.

  • ACS 5.2 установили Подписанный сертификат.

Порядок действий для настройки

Эта конфигурация разделена на три высокоуровневых шага:

  1. Настройка RADIUS-сервера.

  2. Настройте WLC.

  3. Настройте утилиту беспроводного клиента.

Настройка RADIUS-сервера

Конфигурация сервера RADIUS разделена на четыре шага:

  1. Настройте сетевые ресурсы.

  2. Настройка пользователей.

  3. Определите элементы политики.

  4. Примените политику доступа.

ACS 5.x на основе политики система управления доступом. Т.е. ACS 5.x использует основанную на правилах модель политики вместо основанной на группе модели, используемой в 4.x версии.

ACS 5.x основанная на правилах модель политики предоставляет более мощное и гибкое управление доступом по сравнению с более старым основанным на группе подходом.

В более старой основанной на группе модели группа определяет политику, потому что это содержит и связывает три типа информации:

  • Идентификационная информация - Эта информация может основываться на членстве в AD или группах LDAP или статическом назначении для внутренних пользователей ACS.

  • Другие ограничения или условия - Ограничения времени, ограничения устройства, и т.д.

  • Разрешения - VLAN или Cisco уровни привилегий IOS�.

ACS 5.x модель политики основывается на правилах формы:

  • Если тогда заканчивается условие

Например, мы используем информацию, описанную для основанной на группе модели:

  • Если идентификационное условие, условие ограничения тогда профиль авторизации.

В результате это дает нам гибкость для ограничения, при каких условиях пользователю разрешают обратиться к сети, а также какой уровень авторизации позволен, когда соблюдают особые условия.

Настройте сетевые ресурсы

Эта процедура поясняет порядок добавления WLC в качестве клиента AAA на сервере RADIUS, при котором WLC может передавать реквизиты учетной записи пользователя на сервер RADIUS.

Выполните следующие действия:

  1. От GUI ACS перейдите к Сетевым ресурсам> Группы сетевых устройств> Местоположение и нажмите Create (в нижней части).

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-02.gif

  2. Добавьте обязательные поля и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-03.gif

    Вы будете теперь видеть этот экран:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-04.gif

  3. Нажмите Device Type> Create.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-05.gif

  4. Щелкните Submit (отправить). Вы будете теперь видеть этот экран:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-06.gif

  5. Перейдите к Сетевым ресурсам> Сетевые устройства и Клиенты AAA.

  6. Нажмите Create и заполните подробные данные как показано здесь:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-07.gif

  7. Щелкните Submit (отправить). Вы будете теперь видеть этот экран:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-08.gif

Настройка пользователей

В этом разделе вы создадите локальных пользователей на ACS (Студент 1 и Учитель 1). Студента 1 назначают на группу "Студентов", и Учителя 1 назначают на группу "Учителей".

  1. Перейдите к Пользователям и Идентификационным Хранилищам>, Identity Groups> Создает.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-09.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-10.gif

  2. Как только вы нажимаете Submit, страница будет похожа на это:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-11.gif

  3. Создайте и назначьте пользовательского Студента 1 и Учитель 1 к их соответствующим группам.

  4. Нажмите Users и Identity Stores>,> Users Identity Groups> Создает.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-12.gif

  5. Точно так же создайте Учителя 1.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-13.gif

    Экран будет похож на это:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-14.gif

Определите элементы политики

Выполните эти шаги для определения атрибутов IETF для пользователей:

  1. Перейдите к Элементам Политики> Авторизация и Разрешения> Доступ к сети>, Профили Авторизации> Создают.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-15.gif

  2. От вкладки Common Tasks:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-16.gif

  3. Добавьте эти атрибуты IETF:

    • Tunnel-Type = 64 = VLAN

    • Туннельный средний тип = 802

    • Tunnel-Private-Group-ID = 253 (Студент 1) и 257 (Учитель 1)

    Для студентов группы:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-17.gif

    Для учителей группы:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-18.gif

  4. Как только оба атрибута добавлены, экран будет похож на это:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-19.gif

Примените политику доступа

Выполните эти шаги для выбора, какие Методы аутентификации должны использоваться и как правила состоят в том, чтобы быть настроены (на основе предыдущих шагов):

  1. Перейдите к Политике доступа> Службы доступа>, Доступ к сети по умолчанию> Редактирует: "Доступ к сети по умолчанию".

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-20.gif

  2. Выберите, какого метода EAP вы хотели бы, чтобы беспроводные клиенты Подтвердили подлинность. В данном примере мы используем PEAP - MSCHAPV2.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-21.gif

  3. Щелкните Submit (отправить).

  4. Проверьте Идентификационную группу, которую вы выбрали. В данном примере мы используем Внутренних пользователей, которых мы создали на ACS. Сохраните изменения.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-22.gif

  5. Для подтверждения Профиля Авторизации перейдите к Политике доступа> Службы доступа> Доступ к сети по умолчанию> Авторизация.

    Можно настроить, при каких условиях вы предоставите пользовательский доступ к сети и какой профиль авторизации (атрибуты) вы передадите когда-то заверенный. Эта глубина детализации только доступна в ACS5. x . В данном примере мы выбрали Location, Device Type, Protocol, Identity Group и EAP Authentication Method.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-23.gif

  6. Нажмите OK и сохраните изменения.

  7. Следующий шаг должен создать Правило. Если никакие правила не определены, Клиент является предоставленным доступом без любых условий.

    Нажмите Create> Rule 1. Это Правило для Студента 1.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-24.gif

  8. Точно так же создайте Правило для Учителя 1. Нажмите кнопку Save Changes (Сохранить изменения).

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-25.gif

    Экран будет похож на это:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-26.gif

  9. Мы теперь определим Сервисные Правила выбора. Используйте эту страницу для настройки простой или основанной на правилах политики для определения который сервис примениться к входящим запросам. В данном примере используется основанная на правилах политика.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-27.gif

Настройте WLC

В данной процедуре настройки необходимо выполнить следующие шаги:

  1. Настройка данных сервера аутентификации в WLC.

  2. Настройка динамических интерфейсов (сетей VLAN).

  3. Настройка сетей WLAN (SSID).

Настройка данных сервера аутентификации в WLC

Необходимо настроить WLC, таким образом, это может связаться с сервером RADIUS для аутентификации клиентов, и также для любых других транзакций.

Выполните следующие действия:

  1. В графическом интерфейсе контроллера выберите Security (Безопасность).

  2. Введите IP-адрес сервера RADIUS и общий секретный ключ, используемый сервером RADIUS и WLC.

    Этот Общий секретный ключ должен совпасть с тем, настроенным в сервере RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-28.gif

Настройка динамических интерфейсов (сетей VLAN)

Эта процедура описывает, как настроить динамические интерфейсы на WLC. Как поясняется ранее в этом документе, идентификатор VLAN, определенный под атрибутом идентификатора частной группы туннеля (Tunnel-Private-Group ID) на сервере RADIUS, должен также существовать на контроллере WLC.

В примере Студент 1 задан с ID Туннельной частной группы 253 (VLAN =253) на сервере RADIUS. Точно так же Учитель 1 задан с ID Туннельной частной группы 257 (VLAN =257) на сервере RADIUS. Посмотрите раздел Атрибутов RADIUS, стандартизированный IETF окна User Setup.

Выполните следующие действия:

  1. Динамический интерфейс настроен от графического интерфейса контроллера в окне Controller> Interfaces.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-29.gif

  2. Нажмите кнопку Apply.

    Это берет вас к Окну редактирования этого динамического интерфейса (VLAN 253 здесь).

  3. Введите IP-адрес и адрес шлюза по умолчанию для этого динамического интерфейса.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-30.gif

  4. Нажмите кнопку Apply.

  5. Точно так же мы создадим динамический интерфейс для VLAN 257 для Учителя 1.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-31.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-32.gif

  6. Настроенные настраиваемые интерфейсы будут похожи на это:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-33.gif

Настройка сетей WLAN (SSID)

Выполните эти шаги для настройки WLAN в WLC:

  1. От графического интерфейса контроллера перейдите к WLAN>, Создают Новый для создания нового WLAN. Откроется окно создания сетей WLAN.

  2. Введите идентификатор и параметры SSID для беспроводной локальной сети.

    Можно ввести любое имя как SSID WLAN. Данный пример использует Гоа в качестве SSID WLAN.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-34.gif

  3. Нажмите Apply, чтобы перейти к Окну редактирования WLAN Гоа.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-35.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-36.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-37.gif

  4. Включите опцию Allow AAA Override в контроллере для каждого WLAN настроенный (SSID). Опция Allow AAA Override WLAN позволяет вам настраивать WLAN для идентификационных сетей. Это позволяет вам применять маркирование VLAN, QoS и ACL отдельным клиентам на основе возвращенных атрибутов RADIUS от AAA-сервера. В данном примере это используется для присвоения VLAN на Клиенты.

    Большая часть конфигурации для разрешения замены AAA реализована в сервере RADIUS. Включение этого параметра позволяет контроллеру принимать атрибуты, возвращенные сервером RADIUS. Контроллер тогда применяет эти атрибуты к своим клиентам.

    Примечание: Когда интерфейсная группа сопоставлена с WLAN, и клиенты соединяются с WLAN, клиент не получает IP-адрес в кольцевом способе обслуживания. Замена AAA с интерфейсной группой не поддерживается.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-38.gif

Настройте утилиту беспроводного клиента

В нашем тестовом клиенте мы используем соискателя Windows 7 Native с картой Intel 6300 N, выполняющей 14.3 версий драйвера. Рекомендуется протестировать использование последних драйверов от поставщиков.

Выполните эти шаги для создания Профиля в Windows Zero Config (WZC):

  1. Перейдите к Панели управления>, Сеть и Интернет> Управляют Беспроводными сетями.

  2. Нажмите вкладку Add.

  3. Нажмите Manually создают сетевой профиль.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-39.gif

  4. Добавьте подробные данные согласно конфигурации о WLC.

    Примечание: SSID учитывает регистр.

  5. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-40.gif

  6. Нажмите настройки соединения Change для перепроверения параметров настройки.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-41.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-42.gif

  7. В данном примере мы не проверяем серверный сертификат. Если вы устанавливаете этот флажок и не в состоянии соединиться, попытайтесь отключить опцию и тест снова.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-43.gif

  8. Также можно использовать учетные данные Windows для регистрации. Однако в данном примере мы не переходим к использованию это. Нажмите кнопку ОК.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-44.gif

  9. Нажмите Расширенные настройки для настройки Имени пользователя и пароля.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-45.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-46.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-47.gif

  10. Как только вы закончили тестировать Студента 1, протестируйте Учителя 1. Нажмите кнопку ОК.

Служебная программа клиента теперь готова соединиться.

Проверка.

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Проверьте студента 1

От GUI WLC перейдите к Монитору> Клиенты и выберите MAC-адрес.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-48.gif

Stats RADIUS WLC:

(Cisco Controller) >show radius auth statistics
Authentication Servers:
Server Index..................................... 1
Server Address................................... 192.168.150.24
Msg Round Trip Time.............................. 1 (msec)
First Requests................................... 8
Retry Requests................................... 0
Accept Responses................................. 1
Reject Responses................................. 0
Challenge Responses.............................. 7
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

Журналы ACS:

  1. Выполните эти шаги для просмотра количества Соответствия:

    1. При проверке журналов в течение 15 минут после аутентификации удостоверьтесь, что вы обновляете количество Соответствия.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-49.gif

    2. У вас есть вкладка для количества Соответствия у основания той же страницы.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-50.gif

  2. Нажмите Monitoring and Reports, и всплывающее окно New появляется. Перейдите к Аутентификациям - Радиусу - Сегодня. Можно также нажать Details для подтверждения, какое Сервисное правило выбора было применено.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-51.gif

Проверьте учителя 1

От GUI WLC перейдите к Монитору> Клиенты и выберите MAC-адрес.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-52.gif

Журналы ACS:

  1. Выполните эти шаги для просмотра количества Соответствия:

    1. При проверке журналов в течение 15 минут после аутентификации удостоверьтесь, что вы обновляете количество СООТВЕТСТВИЯ.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-53.gif

    2. У вас есть вкладка для количества Соответствия у основания той же страницы.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-54.gif

  2. Нажмите Monitoring and Reports, и всплывающее окно New появляется. Перейдите к Аутентификациям - Радиусу - Сегодня. Можно также нажать Details для подтверждения, какое Сервисное правило выбора было применено.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-55.gif

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  1. Если вы испытываете какие-либо проблемы, выполняете эти команды на WLC:

    • отладьте клиент <Mac добавляет клиента>

    • debug aaa all enable

    • show client detail <MAC - адрес> - Проверяет менеджера политики состояние.

    • show radius auth statistics - Проверьте причину сбоя.

    • debug disable-all - Выключите отладки.

    • аутентификация clear stats radius все - очищают статистику радиуса на WLC.

  2. Проверьте журналы в ACS и обратите внимание на причину сбоя.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения