Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

EAP-FAST с внутренним сервером RADIUS на примере конфигурации автономной точки доступа

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (20 декабря 2015) | Отзыв

Введение

Этот документ описывает, как настроить Автономную точку доступа для действия как сервер RADIUS, который выполняет Гибкую аутентификацию для расширяемого протокола аутентификации Cisco с помощью Защищенного протокола (EAP-FAST) для клиентского authenticatication с последним  выпуском (15.2JB) Cisco IOS®, который был обновлен для имения стили графического интерфейса пользователя (GUI).

Обычно внешний сервер RADIUS используется для аутентификации пользователей. В некоторых случаях это не Осуществимое решение. В этих ситуациях точка доступа (AP) может действовать как сервер RADIUS. В этой ситуации пользователи аутентифицируются против локальной базы данных, настроенной в точке доступа. Это называют функцией Локального сервера RADIUS. Можно также сделать другие точки доступа в использовании сети функцией Локального сервера RADIUS на AP.

Внесенный BG Surendra, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует ознакомиться с темами в данном документе перед началом конфигурации:

  • GUI Cisco IOS или CLI
  • Понятия позади протокола EAP
  • Конфигурация Идентификаторов наборов сервисов (SSID)
  • RADIUS

Используемые компоненты

Сведения в этом документе основываются на 3600 AP, которые выполняют Cisco IOS Release15.2JB и действуют как внутренний сервер RADIUS.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Конфигурация с GUI

  1. Для настройки AP как Локального сервера RADIUS перейдите к> Security GUI AP> Диспетчер серверов и введите эти подробные данные:
    • Имя хоста или IP-адрес
    • Общий secret
    • Порт аутентификации
    • Порт учета

    Примечание: Для Аутентификации и Портов учета, данный пример использует 1812 и 1813, соответственно. Однако 1645 и 1646 может также использоваться.



    Щелкните "Применить".



  2. Перейдите к конфигурации Локального сервера RADIUS на AP, нажмите вкладку General Set-Up и введите эти подробные данные:
    • Сервер доступа к сети (NAS) с IP-адресом AP (Виртуальный интерфейс мостовой группы (BVI) IP интервала)
    • Общий secret

    Щелкните "Применить".

    Создайте Отдельного пользователя с Именем пользователя и паролем. Если Имя группы требуется, то настройте его (данный пример не использует Имя группы).



  3. Анчек флажки LEAP и MAC.



  4. Нажмите вкладку EAP-FAST Set-Up и введите подробные данные для Ключей шифрования PAC и Содержания PAC.

    Примечание: Данный пример использует нуль до девять четыре раза, так как это имеет 32 Шестнадцатеричных символа.





  5. Перейдите Диспетчеру шифрования, настройте Шифр с CCMP AES как шифрование и нажмите Apply All Radios или Required Radios.



Настройте SSID

  1. Перейдите к Безопасности> диспетчер SSID и нажмите Create New.



  2. Введите подробные данные и нажмите Apply.



  3. На экране параметров настройки Аутентификации клиента проверьте Флажок открытой аутентификации и выберите EAP от раскрывающегося меню. Проверьте флажок Network EAP и выберите RADIUS Server от раскрывающегося меню. Это должно быть IP-адресом AP, который вы настроили как AAA на странице Server Manager и Local RADIUS Server.

Настройте беспроводную версию 2 (WPAv2) защищенного доступа как обязательную

  1. На экране Client Authenticated Key Management выберите Mandatory от раскрывающегося меню Управления ключами. Проверьте флажок Enable WPA и выберите WPAv2 от раскрывающегося меню.



  2. Внизу страницы нажмите Apply. Для широковещательной передачи SSID нажмите кнопки с зависимой фиксацией Single SSID, выберите SSID от раскрывающегося меню и нажмите Apply.



  3. Перейдите к Сетям и включите радио для 2.4 ГГц и 5 ГГц. Гарантируйте, что радио в порядке.

Команда CLI для конфигураций

show run
Building configuration...

Current configuration : 3204 bytes
!
! Last configuration change at 01:11:36 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$06l4$E2pi.VeGTKUxxiwPScUEp.
!
aaa new-model
!
!
aaa group server radius rad_eap
 server 10.105.135.185 auth-port 1812 acct-port 1813
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa group server radius rad_eap1
 server 10.105.135.185 auth-port 1812 acct-port 1813
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication login eap_methods1 group rad_eap1
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
!
!
!
dot11 syslog
!
dot11 ssid EAPFAST
  authentication open eap eap_methods1
  authentication network-eap eap_methods1
  authentication key-management wpa version 2
  guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 01300F175804
!
!
!
class-map match-all _class_voice0
 match ip dscp ef
 class-map match-all _class_voice1
 match ip dscp default
!
!
policy-map voice
 class _class_voice0
 set cos 6
 class _class_voice1
 set cos 6
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm
 !
 ssid EAPFAST
 !
 antenna gain 0
 stbc
 power local 14
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm
 !
 ssid EAPFAST
 !
 antenna gain 0
 dfs band 3 block
 stbc
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 ip address 10.105.135.185 255.255.255.128
 no ip route-cache
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server local
 eapfast authority id 01234567890123456789012345678901
 eapfast authority info cisco
 eapfast server-key primary 7 E1F54D861DC7150A7B949E5B4E630D8E5B
 eapfast server-key secondary 7 E7281DB670D36C052F60D36337436ABA13
 nas 10.105.135.185 key 7 01100F175804
 user user nthash 7 075A76681B514A2436465D28517D7A71786114033753342156777C79030
D2D5448
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.105.135.185 auth-port 1812 acct-port 1813 key 7 045802150C2E
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
transport input all
!
end

ap#

Проверка

Если вы соединяетесь с клиентом, то это - журнал, который отображается на AP после успешной аутентификации:

*Mar 1 00:45:02.035: %DOT11-4-UPLINK_ESTABLISHED: Interface Dot11Radio1,
Associated To AP root XXXX.XXXX.XXXX [EAP-FAST WPAv2]

Устранение неполадок

Выполните эти шаги для устранения проблем этой конфигурации.

  1. Для устранения возможности, что проблемы Радиочастот (RF) предотвращают успешную аутентификацию, заставляют метод на SSID Открываться для временного отключения аутентификации.

  2. От GUI на странице SSID Manager снимите флажок с флажком Network-EAP и проверьте Открытый.

  3. От CLI используйте authentication open команд и никакого authentication network-eap eap_methods. Если клиент будет успешно сопоставлен, то радиочастота не вызовет проблем сопоставления.

  4. Убедитесь, что все общие пароли синхронизированы. Эти линии должны содержать тот же общий секретный пароль:
    • radius-server host x. x . x . x ключ acct-порта x подлинного порта x <shared_secret>
    • nas x. x . x . x ключ <shared_secret>
  5. Удалите любые Группы пользователей и их cвязанные конфигурации. Иногда конфликты происходят между Группами пользователей, определенными AP и Группами пользователей на домене.

Команды "debug"

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

Вот список полезных команд отладки.

  • средство проверки подлинности debug dot11 aaa все - Эта отладка показывает различные согласования, что клиент проходит, поскольку клиент связывается и аутентифицируется через 802.1x или процесс EAP с точки зрения Средства проверки подлинности (AP). Данная функция отладки была представлена в ПО Cisco IOS версии 12.2(15)JA. Этот dot1x debug dot11 aaa obsoletes команды все в этом и более поздних версиях.

     *Mar  1 00:26:03.097: dot11_auth_add_client_entry:
    Create new client 0040.96af.3e93 for application 0x1
    *Mar 1 00:26:03.097: dot11_auth_initialize_client:
    0040.96af.3e93 is added to the client list for application 0x1
    -----------------------------------------------
    Lines Omitted for simplicity ------------------
    *Mar 1 00:26:03.098: dot11_auth_dot1x_start:
    in the dot11_auth_dot1x_start


    *Mar 1 00:26:03.132: dot11_auth_dot1x_run_rfsm:
    Executing Action(CLIENT_WAIT,EAP_START) for 0040.96af.3e93
    *Mar 1 00:26:03.132: dot11_auth_dot1x_send_id_req_to_client:
    Sending identity request to 0040.96af.3e93(client)

    *Mar 1 00:26:03.133: *Mar 1 00:26:03.099:
    dot11_auth_dot1x_send_id_req_to_client:
    Client 0040.96af.3e93 timer started for 30 seconds
    *Mar 1 00:26:03.132: dot11_auth_parse_client_pak:
    Received EAPOL packet from 0040.96af.3e93
    ------------------------------------------------
    Lines Omitted-----------------------------------
    *Mar 1 00:26:03.138: EAP code: 0x2 id: 0x1 length:
    0x000A type: 0x1
    01805BF0: 0100000A 0201000A 01757365 7231
    .........user1(User Name of the client)


    *Mar1 00:26:03.146: dot11_auth_dot1x_run_rfsm:
    Executing Action(CLIENT_WAIT,CLIENT_REPLY) for 0040.96af.3e93
    *Mar1 00:26:03.147: dot11_auth_dot1x_send_response_to_server:
    Sending client 0040.96af.3e93 data to server
    *Mar1 00:26:03.147: dot11_auth_dot1x_send_response_to_server:
    Started timer server_timeout 60 seconds
    -------------------------------------------------
    Lines Omitted------------------------------------
    *Mar1 00:26:03.150: dot11_auth_dot1x_parse_aaa_resp:
    Received server response:GET_CHALLENGE_RESPONSE
    *Mar1 00:26:03.150: dot11_auth_dot1x_parse_aaa_resp:
    found session timeout 10 sec


    *Mar 1 00:26:03.150: dot11_auth_dot1x_run_rfsm:
    Executing Action(SERVER_WAIT,SERVER_REPLY) for 0040.96af.3e93
    *Mar 1 00:26:03.150: dot11_auth_dot1x_send_response_to_client:
    Forwarding server message to client 0040.96af.3e93

    ----------------------------------------------
    Lines Omitted---------------------------------------
    *Mar 1 00:26:03.151: dot11_auth_send_msg:
    Sending EAPOL to requestor

    *Mar 1 00:26:03.151: dot11_auth_dot1x_send_response_to_client:
    Started timer client_timeout 10 seconds
    *Mar 1 00:26:03.166: dot11_auth_parse_client_pak:
    Received EAPOL packet(User Credentials) from 0040.96af.3e93

    *Mar 1 00:26:03.166: EAP code: 0x2 id: 0x11 length: 0x0025
    type: 0x1101805F90: 01000025 02110025...%...%01805FA0:
    11010018 7B75E719 C5F3575E EFF64B27 ....{ug.EsW^ovK'


    Executing Action(CLIENT_WAIT,CLIENT_REPLY) for 0040.96af.3e93
    *Mar 1 00:26:03.186: dot11_auth_dot1x_send_response_to_server:
    Sending client 0040.96af.3e93 data
    (User Credentials) to server

    *Mar 1 00:26:03.186: dot11_auth_dot1x_send_response_to_server:
    Started timer server_timeout 60 seconds
    ----------------------------------------------
    Lines Omitted----------------------------------------
    *Mar 1 00:26:03.196: dot11_auth_dot1x_parse_aaa_resp:
    Received server response: PASS


    *Mar 1 00:26:03.197: dot11_auth_dot1x_run_rfsm:
    Executing Action(SERVER_WAIT,SERVER_PASS) for 0040.96af.3e93
    *Mar 1 00:26:03.197: dot11_auth_dot1x_send_response_to_client:
    Forwarding server message(Pass Message) to client
    ------------------------------------------------
    Lines Omitted-------------------------------------
    *Mar 1 00:26:03.198: dot11_auth_send_msg:
    Sending EAPOL to requestor
    *Mar 1 00:26:03.199: dot11_auth_dot1x_send_response_to_client:
    Started timer client_timeout 30 second
    *Mar 1 00:26:03.199: dot11_auth_send_msg:
    client authenticated 0040.96af.3e93,
    node_type 64 for application 0x1
    *Mar 1 00:26:03.199: dot11_auth_delete_client_entry:
    0040.96af.3e93 is deleted for application 0x1
    *Mar 1 00:26:03.200: %DOT11-6-ASSOC:
    Interface Dot11Radio0, Station Station Name
    0040.96af.3e93 Associated KEY_MGMT[NONE]


  • debug radius authentication – с помощью данной команды отладки отображается процесс согласования RADIUS между сервером и клиентом, которые в данном случае являются точками доступа.

  • клиент debug radius local-server - Эта отладка показывает аутентификацию клиента с точки зрения сервера RADIUS.

     *Mar 1 00:30:00.742: RADIUS(0000001A): 
    Send Access-Request(Client's User Name)
    to 10.77.244.194:1812(Local Radius Server)



    id 1645/65, len 128
    *Mar 1 00:30:00.742: RADIUS:
    User-Name [1] 7 "user1"
    *Mar 1 00:30:00.742: RADIUS:
    Called-Station-Id [30] 16 "0019.a956.55c0"
    *Mar 1 00:30:00.743: RADIUS:
    Calling-Station-Id [31] 16 "0040.96af.3e93" (Client)


    *Mar 1 00:30:00.743: RADIUS:
    Service-Type [6] 6 Login [1]
    *Mar 1 00:30:00.743: RADIUS:
    Message-Authenticato[80]
    *Mar 1 00:30:00.743: RADIUS:
    23 2E F4 42 A4 A3 72 4B 28 44 6E 7A 58 CA 8F 7B [#.?B??rK(DnzX??{]
    *Mar 1 00:30:00.743: RADIUS:
    EAP-Message [79] 12
    *Mar 1 00:30:00.743:
    RADIUS: 02 02 00 0A 01 75 73 65 72 31
    [?????user1]

    *Mar 1 00:30:00.744: RADIUS:
    NAS-Port-Type [61] 6 802.11 wireless
    --------------------------------
    Lines Omitted For Simplicity---------------------
    *Mar 1 00:30:00.744: RADIUS:
    NAS-IP-Address [4] 6 10.77.244.194(Access Point IP)

    *Mar 1 00:30:00.744: RADIUS: Nas-Identifier [32] 4 "ap"

    ----------------------------------
    Lines Omitted---------------------------------
    *Mar 1 00:30:00.745: RADIUS:
    Received from id 1645/65 10.77.244.194:1812, Access-Challenge, len 117
    *Mar 1 00:30:00.746: RADIUS:
    75 73 65 72 31 [user1]
    *Mar 1 00:30:00.746: RADIUS:
    Session-Timeout [27] 6 10
    *Mar 1 00:30:00.747: RADIUS: State [24] 50
    *Mar 1 00:30:00.747: RADIUS:
    BF 2A A0 7C 82 65 76 AA 00 00 00 00 00 00 00 00
    [?*?|?ev?????????]
    ---------------------------------------
    Lines Omitted for simplicity -------------
    *Mar 1 00:30:00.756:
    RADIUS/ENCODE(0000001A):Orig. component type = DOT11
    *Mar 1 00:30:00.756: RADIUS: AAA Unsupported Attr: ssid [264] 5
    *Mar 1 00:30:00.756: RADIUS: 63 69 73 [cis]
    *Mar 1 00:30:00.756: RADIUS: AAA Unsupported Attr: interface [157] 3
    *Mar 1 00:30:00.756: RADIUS: 32 [2]
    *Mar 1 00:30:00.757: RADIUS(0000001A): Config NAS IP: 10.77.244.194
    *Mar 1 00:30:00.757: RADIUS/ENCODE(0000001A): acct_session_id: 26
    *Mar 1 00:30:00.757: RADIUS(0000001A): Config NAS IP: 10.77.244.194


    *Mar 1 00:30:00.779: RADIUS(0000001A):
    Send Access-Request to 10.77.244.194:1812 id 1645/67, len 189
    *Mar 1 00:30:00.779: RADIUS:
    authenticator B0 15 3C C1 BC F6 31 85 - 66 5D 41 F9 2E B4 48 7F
    *Mar 1 00:30:00.779: RADIUS: User-Name [1] 7 "user1"
    *Mar 1 00:30:00.780: RADIUS: Framed-MTU [12] 6 1400
    *Mar 1 00:30:00.780: RADIUS: Called-Station-Id [30] 16"0019.a956.55c0"
    *Mar 1 00:30:00.780: RADIUS: Calling-Station-Id [31] 16"0040.96af.3e93"
    *Mar 1 00:30:00.758: RADIUS:
    92 D4 24 49 04 C2 D2 0A C3 CE E9 00 6B F1 B2 AF [??$I????????k???]
    *Mar 1 00:30:00.759: RADIUS: EAP-Message [79] 39
    *Mar 1 00:30:00.759: RADIUS:
    02 17 00 25 11 01 00 18 05 98 8B BE 09 E9 45 E2 [??????????????E?]
    *Mar 1 00:30:00.759: RADIUS:
    73 5D 33 1D F0 2F DB 09 50 AF 38 9F F9 3B BD D4 [s]3??/??P?8??;??]
    *Mar 1 00:30:00.759: RADIUS:
    75 73 65 72 31 [user1]
    ----------------------------------------
    Lines Omitted---------------------------
    *Mar 1 00:30:00.781: RADIUS: State [24] 50 RADIUS:
    NAS-IP-Address [4] 6 10.77.244.194
    *Mar 1 00:30:00.783: RADIUS: Nas-Identifier [32] 4 "ap"

    *Mar 1 00:30:00.822: RADIUS:
    Received from id 1645/67 10.77.244.194:1812, Access-Accept, len 214
    *Mar 1 00:30:00.822:
    RADIUS: authenticator 10 0C B6 EE 7A 96 3A 46 - 36 49 FC D3 7A F4 42 2A
    ---------------------------------------
    Lines Omitted----------------------------
    *Mar 1 00:30:00.823: RADIUS: 75 73 65 72 31 [user1]
    *Mar 1 00:30:00.823: RADIUS: Vendor, Cisco [26] 59
    *Mar 1 00:30:00.823: RADIUS:
    Cisco AVpair [1] 53 "EAP-FAST:session-key=?+*ve=];q,oi[d6|-z."
    *Mar 1 00:30:00.823:
    RADIUS: User-Name [1] 28 "user1 *Mar 1 00:30:00.824: RADIUS:
    Message-Authenticato[80] 18
    *Mar 1 00:30:00.824: RADIUS:
    06 2D BA 93 10 C0 91 F8 B4 B8 A4 00 82 0E 11 36
    [?-?????????????6]
    *Mar 1 00:30:00.826: RADIUS/DECODE: EAP-Message fragments,
    37, total 37 bytes
    *Mar 1 00:30:00.826: found leap session key
    *Mar 1 00:30:00.830: %DOT11-6-ASSOC:
    Interface Dot11Radio0, Station Station Name
    Associated KEY_MGMT[NONE]


  • пакеты debug radius local-server - Эта отладка показывает все процессы, которые выполняются и с точки зрения сервера RADIUS.


Document ID: 116580