Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 5500

PEAP и EAP-FAST с ACS 5.2 и Примером конфигурации контроллера беспроводной локальной сети

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ поясняет способ настройки контроллера беспроводных локальных сетей (WLC) для аутентификации по расширяемому протоколу аутентификации (EAP) с использованием внешнего сервера RADIUS, такого как Access Control Server (ACS) 5.2.

Предварительные условия

Требования

Удостоверьтесь в соответствии этим требованиям перед попыткой применения этой конфигурации:

  • Имейте базовые знания о WLC и Облегченных точках доступа (LAP)

  • Имейте функциональное знание AAA-сервера

  • Имейте доскональное знание беспроводных сетей и вопросов их безопасности

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • WLC Cisco 5508, который выполняет релиз микропрограммы 7.0.220.0

  • Cisco LAP серии 3502

  • Microsoft Windows 7 Собственных Соискателей с Версией драйвера 14.3 Intel 6300 N

  • Cisco Secure ACS, который выполняет версию 5.2

  • Cisco коммутатор серии 3560

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-01.gif

Конфигурация компонентов, представленных на этой схеме:

  • IP-адрес ACS (RADIUS) сервер 192.168.150.24.

  • Адрес менеджмента и Интерфейса менеджера точки доступа WLC 192.168.75.44.

  • Dhcp server обращается 192.168.150.25.

  • VLAN 253 используется всюду по этой конфигурации. Оба пользователя подключают с тем же SSID "Гоа". Однако user1 настроен к MSCHAPv2 PEAP используемой аутентификации и user2 с помощью EAP-FAST.

  • Пользователям назначат в VLAN 253:

    • VLAN 253: 192.168.153.x/24. Шлюз: 192.168.153.1

    • VLAN 75: 192.168.75.x/24. Шлюз: 192.168.75.1

Предположения

  • Коммутаторы настроены для всех VLAN Уровня 3.

  • DHCP server назначают область DHCP.

  • Подключение Уровня 3 существует между всеми устройствами в сети.

  • LAP уже соединен с WLC.

  • Каждая VLAN имеет маску/24.

  • ACS 5.2 установили Подписанный сертификат.

Порядок действий для настройки

Эта конфигурация разделена на три высокоуровневых шага:

  1. Настройка RADIUS-сервера.

  2. Настройте WLC.

  3. Настройте утилиту беспроводного клиента.

Настройка RADIUS-сервера

Конфигурация сервера RADIUS разделена на четыре шага:

  1. Настройте сетевые ресурсы.

  2. Настройка пользователей.

  3. Определите элементы политики.

  4. Примените политику доступа.

ACS 5.x на основе политики система управления доступом. Т.е. ACS 5.x использует основанную на правилах модель политики вместо основанной на группе модели, используемой в 4.x версии.

ACS 5.x основанная на правилах модель политики предоставляет более мощное и гибкое управление доступом по сравнению с более старым основанным на группе подходом.

В более старой основанной на группе модели группа определяет политику, потому что это содержит и связывает три типа информации:

  • Идентификационная информация - Эта информация может основываться на членстве в AD или группах LDAP или статическом назначении для внутренних пользователей ACS.

  • Другие ограничения или условия - Ограничения времени, ограничения устройства, и т.д.

  • Разрешения - VLAN или Cisco уровни привилегий IOS�.

ACS 5.x модель политики основывается на правилах формы:

  • Если тогда заканчивается условие

Например, мы используем информацию, описанную для основанной на группе модели:

  • Если идентификационное условие, условие ограничения тогда профиль авторизации.

В результате это дает нам гибкость для ограничения, при каких условиях пользователю разрешают обратиться к сети, а также какой уровень авторизации позволен, когда соблюдают особые условия.

Настройте сетевые ресурсы

В этом разделе мы настраиваем Клиента AAA для WLC на сервере RADIUS.

Эта процедура поясняет порядок добавления WLC в качестве клиента AAA на сервере RADIUS, при котором WLC может передавать реквизиты учетной записи пользователя на сервер RADIUS.

Выполните следующие действия:

  1. От GUI ACS перейдите к Сетевым ресурсам> Группы сетевых устройств> Местоположение и нажмите Create (в нижней части).

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-02.gif

  2. Добавьте обязательные поля и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-03.gif

    Вы будете теперь видеть этот экран:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-04.gif

  3. Нажмите Device Type> Create.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-05.gif

  4. Щелкните Submit (отправить). Вы будете теперь видеть этот экран:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-06.gif

  5. Перейдите к Сетевым ресурсам> Сетевые устройства и Клиенты AAA.

  6. Нажмите Create и заполните подробные данные как показано здесь:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-07.gif

  7. Щелкните Submit (отправить). Вы будете теперь видеть этот экран:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-08.gif

Настройка пользователей

В этом разделе мы создадим локальных пользователей на ACS. Обоим пользователям (user1 и user2) назначают в группе под названием "Пользователи беспроводной связи".

  1. Перейдите к Пользователям и Идентификационным Хранилищам>, Identity Groups> Создает.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-09.gif

  2. Как только вы нажимаете Submit, страница будет похожа на это:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-10.gif

  3. Создайте пользовательский user1 и user2, и назначьте их на группу "Пользователей беспроводной связи".

    1. Нажмите Users и Identity Stores>,> Users Identity Groups> Создает.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-11.gif

    2. Точно так же создайте user2.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-12.gif

    Экран будет похож на это:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-13.gif

Определите элементы политики

Проверьте, что установлен Доступ Разрешения.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-14.gif

Примените политику доступа

В этом разделе мы выберем, какие Методы аутентификации должны использоваться и как состоят в том, чтобы быть настроены правила. Мы создадим правила, базировал предыдущие шаги.

Выполните следующие действия:

  1. Перейдите к Политике доступа> Службы доступа>, Доступ к сети по умолчанию> Редактирует: "Доступ к сети по умолчанию".

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-15.gif

  2. Выберите, какого метода EAP вы хотели бы, чтобы беспроводные клиенты подтвердили подлинность. В данном примере мы используем PEAP - MSCHAPv2 и EAP-FAST.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-16.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-17.gif

  3. Щелкните Submit (отправить).

  4. Проверьте Идентификационную группу, которую вы выбрали. В данном примере мы используем Внутренних пользователей, которых мы создали на ACS. Сохраните изменения.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-18.gif

  5. Для подтверждения Профиля Авторизации перейдите к Политике доступа> Службы доступа> Доступ к сети по умолчанию> Авторизация.

    Можно настроить, при каких условиях вы предоставите пользовательский доступ к сети и какой профиль авторизации (атрибуты) вы передадите когда-то заверенный. Эта глубина детализации только доступна в ACS 5. x . В данном примере мы выбрали Location, Device Type, Protocol, Identity Group и EAP Authentication Method.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-19.gif

  6. Нажмите OK и сохраните изменения.

  7. Следующий шаг должен создать Правило. Если никакие правила не определены, Клиент является предоставленным доступом без любых условий.

    Нажмите Create> Rule 1. Это Правило является для пользователей в группе "Пользователями беспроводной связи".

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-20.gif

  8. Сохраните изменения. Экран будет похож на это:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-21.gif

    Если вы хотите, чтобы пользователи, не совпадающие с условиями, были запрещены, тогда редактируют стандартное правило для высказывания, "запрещают доступ".

  9. Мы теперь определим Сервисные Правила выбора. Используйте эту страницу для настройки простой или основанной на правилах политики для определения который сервис примениться к входящим запросам. В данном примере используется основанная на правилах политика.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-22.gif

Настройте WLC

В данной процедуре настройки необходимо выполнить следующие шаги:

  1. Настройка данных сервера аутентификации в WLC.

  2. Настройка динамических интерфейсов (сетей VLAN).

  3. Настройка сетей WLAN (SSID).

Настройка данных сервера аутентификации в WLC

Необходимо настроить WLC, таким образом, это может связаться с сервером RADIUS для аутентификации клиентов, и также для любых других транзакций.

Выполните следующие действия:

  1. В графическом интерфейсе контроллера выберите Security (Безопасность).

  2. Введите IP-адрес сервера RADIUS и общий секретный ключ, используемый сервером RADIUS и WLC.

    Этот Общий секретный ключ должен совпасть с тем, настроенным в сервере RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-23.gif

Настройка динамических интерфейсов (сетей VLAN)

Эта процедура описывает, как настроить динамические интерфейсы на WLC.

Выполните следующие действия:

  1. Динамический интерфейс настроен от графического интерфейса контроллера в окне Controller> Interfaces.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-24.gif

  2. Нажмите кнопку Apply.

    Это берет вас к Окну редактирования этого динамического интерфейса (VLAN 253 здесь).

  3. Введите IP-адрес и адрес шлюза по умолчанию для этого динамического интерфейса.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-25.gif

  4. Нажмите кнопку Apply.

  5. Настроенные интерфейсы будут похожи на это:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-26.gif

Настройка сетей WLAN (SSID)

Данная процедура поясняет порядок настройки беспроводных локальных сетей (WLAN) на WLC.

Выполните следующие действия:

  1. От графического интерфейса контроллера перейдите к WLAN>, Создают Новый для создания нового WLAN. Откроется окно создания сетей WLAN.

  2. Введите идентификатор и параметры SSID для беспроводной локальной сети.

    Можно ввести любое имя как SSID WLAN. Данный пример использует Гоа в качестве SSID WLAN.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-27.gif

  3. Нажмите Apply, чтобы перейти к Окну редактирования WLAN Гоа.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-28.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-29.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-30.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-31.gif

Настройте утилиту беспроводного клиента

MSCHAPv2 PEAP (user1)

В нашем тестовом клиенте мы используем соискателя Windows 7 Native с картой Intel 6300 N, выполняющей 14.3 версий драйвера. Рекомендуется протестировать использование последних драйверов от поставщиков.

Выполните эти шаги для создания Профиля в Windows Zero Config (WZC):

  1. Перейдите к Панели управления>, Сеть и Интернет> Управляют Беспроводными сетями.

  2. Нажмите вкладку Add.

  3. Нажмите Manually создают сетевой профиль.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-32.gif

  4. Добавьте подробные данные согласно конфигурации о WLC.

    Примечание: SSID учитывает регистр.

  5. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-33.gif

  6. Нажмите настройки соединения Change для перепроверения параметров настройки.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-34.gif

  7. Удостоверьтесь, что вам включили PEAP.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-35.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-36.gif

  8. В данном примере мы не проверяем серверный сертификат. Если вы устанавливаете этот флажок и не в состоянии соединиться, попытайтесь отключить опцию и тест снова.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-37.gif

  9. Также можно использовать учетные данные Windows для регистрации. Однако в данном примере мы не переходим к использованию это. Нажмите кнопку ОК.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-38.gif

  10. Нажмите Расширенные настройки для настройки Имени пользователя и пароля.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-39.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-40.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-41.gif

Служебная программа клиента теперь готова соединиться.

EAP-FAST (user2)

В нашем тестовом клиенте мы используем соискателя Windows 7 Native с картой Intel 6300 N, выполняющей 14.3 версий драйвера. Рекомендуется протестировать использование последних драйверов от поставщиков.

Выполните эти шаги для создания Профиля в WZC:

  1. Перейдите к Панели управления>, Сеть и Интернет> Управляют Беспроводными сетями.

  2. Нажмите вкладку Add.

  3. Нажмите Manually создают сетевой профиль.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-42.gif

  4. Добавьте подробные данные согласно конфигурации о WLC.

    Примечание: SSID учитывает регистр.

  5. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-43.gif

  6. Нажмите настройки соединения Change для перепроверения параметров настройки.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-44.gif

  7. Удостоверьтесь, что вам включили EAP-FAST.

    Примечание: По умолчанию WZC не имеет EAP-FAST как метода аутентификации. Необходимо загрузить утилиту от стороннего поставщика. В данном примере, так как это - карта Intel, у нас есть Intel PROSet, установленный в системе.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-45.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-46.gif

  8. Включите Позволяют автоматическую инициализацию PAC и удостоверяются, Проверяют серверный сертификат, неконтролируем.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-47.gif

  9. Нажмите вкладку User Credentials и введите учетные данные user2. Также можно использовать учетные данные Windows для регистрации. Однако в данном примере мы не переходим к использованию это.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-48.gif

  10. Нажмите кнопку ОК.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-49.gif

Служебная программа клиента теперь готова соединиться для user2.

Примечание: Когда user2 пытается подтвердить подлинность, сервер RADIUS переходит, передают PAC. Примите PAC для завершения аутентификации.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-50.gif

Проверка.

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Проверьте user1 (MSCHAPv2 PEAP)

От GUI WLC перейдите к Монитору> Клиенты и выберите MAC-адрес.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-51.gif

Stats RADIUS WLC:

(Cisco Controller) >show radius auth statistics
Authentication Servers:
Server Index..................................... 1
Server Address................................... 192.168.150.24
Msg Round Trip Time.............................. 1 (msec)
First Requests................................... 8
Retry Requests................................... 0
Accept Responses................................. 1
Reject Responses................................. 0
Challenge Responses.............................. 7
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

Журналы ACS:

  1. Выполните эти шаги для просмотра количества Соответствия:

    1. При проверке журналов в течение 15 минут после аутентификации удостоверьтесь, что вы обновляете количество Соответствия.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-52.gif

    2. У вас есть вкладка для количества Соответствия у основания той же страницы.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-53.gif

  2. Нажмите Monitoring and Reports, и всплывающее окно New появляется. Перейдите к Аутентификациям - Радиусу - Сегодня. Можно также нажать Details для подтверждения, какое Сервисное правило выбора было применено.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-54.gif

Проверьте user2 (EAP-FAST)

От GUI WLC перейдите к Монитору> Клиенты и выберите MAC-адрес.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-55.gif

Журналы ACS:

  1. Выполните эти шаги для просмотра количества Соответствия:

    1. При проверке журналов в течение 15 минут после аутентификации удостоверьтесь, что вы обновляете количество СООТВЕТСТВИЯ.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-56.gif

    2. У вас есть вкладка для количества Соответствия у основания той же страницы.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-57.gif

  2. Нажмите Monitoring and Reports, и всплывающее окно New появляется. Перейдите к Аутентификациям - Радиусу - Сегодня. Можно также нажать Details для подтверждения, какое Сервисное правило выбора было применено.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-58.gif

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  1. Если вы испытываете какие-либо проблемы, выполняете эти команды на WLC:

    • отладьте клиент <Mac добавляет клиента>

    • debug aaa all enable

    • show client detail <MAC - адрес> - Проверяет менеджера политики состояние.

    • show radius auth statistics - Проверьте причину сбоя.

    • debug disable-all - Выключите отладки.

    • аутентификация clear stats radius все - очищают статистику радиуса на WLC.

  2. Проверьте журналы в ACS и обратите внимание на причину сбоя.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения