Беспроводные сети : Cisco Wireless LAN Controller Software

Увеличьте таймаут web-аутентификации на контроллере беспроводной локальной сети

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ предоставляет шаги, требуемые для Веб-подлинных идентификаторов наборов сервисов (SSID) предоставить доступ пользователя VPN без полной аутентификации и без разъединения каждые несколько минут. Для достижения этого пользователь должен увеличить Web-аутентификацию (Веб-аутентификация) таймаут на Контроллере беспроводной локальной сети (WLC).

Внесенный Дхирешем Ядавом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует знать, как настроить WLC для главной операции и Веб-аутентификации.

Используемые компоненты

Сведения в этом документе основываются на WLC серии 5500 Cisco, который выполняет версию микропрограммы 8.0.100.0.

Примечание конфигурация и Веб-подлинное пояснение в этом документе применимо ко всем моделям WLC и любой версии образа 8.0.100.0 единой беспроводной сети Cisco (UWN) и позже.

Общие сведения

Во многих настройках сети заказчика существуют параметры настройки, которые позволяют группе пользовательского или гостевого доступа VPN компании к определенным, некоторый IP-адресам без требования передавать Веб-подлинную безопасность. Эти пользователи получают IP adddress и соединяются непосредственно с VPN без потребности в любых учетных данных, чтобы быть заверенными через Веб-подлинную безопасность. Этот SSID мог бы использоваться другой компанией пользователей, которые также проходят через обычную и полную Веб-аутентификацию для получения доступа в Интернет. Этот сценарий возможен через ACL процедур, предшествующих аутентификации, настроенный на SSID, который позволяет подключения пользователя IP-адресам VPN, прежде чем они передадут аутентификацию. Проблема для этих пользователей VPN состоит в том, что они выбирают IP-адрес, но никогда не заканчивают завершенную Веб-аутентификацию. Поэтому Веб-подлинный таймер таймаута активирован, и клиент является deauthenticated:

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Web-Auth Policy timeout

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Pem timed out, Try to delete client in 10 secs.

Значение этого таймаута составляет 5 минут и имеет фиксированное значение в версиях WLC ранее, чем 7.6. Эта короткая продолжительность таймаута заставляет беспроводную сеть быть почти неприменимой для этих видов пользователей. Возможность изменить это значение добавлена в Версии 8.0 WLC, которая позволяет пользователям обращаться к VPN через предаутентификацию, позволенную ACL трафик.

Настройка

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Выполните эти шаги для увеличения Веб-подлинного таймаута на WLC:

  1. Создайте ACL, который позволяет трафик IP-адресу VPN.

  2. Примените ACL как ACL Preauthenctiation на Беспроводной локальной сети (WLAN) конфигурация под безопасностью уровня 3.

  3. Регистрируйте на пути CLI и введите команду таймаута config wlan security web-auth для увеличения Веб-подлинного значения таймаута.
    (WLC)>config wlan security web-auth timeout ?
    <value> Configures Web authentication Timeout (300-14400 seconds).

    (WLC)>config wlan security web-auth timeout 3600 <Wlan_id> 

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Веб-подлинное значение превышения времени ожидания сеанса для WLAN появляется, поскольку выходные данные данного примера показывают:

(WLC)>show wlan 10
Web Based Authentication...................... Enabled
Web Authentication Timeout.................... 3600

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Введите команду debug client <mac-address>, чтобы видеть, что Веб-подлинный таймер начинается для пользователя, который соединяется с VPN без аутентификации.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.