In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Konfiguration von lokalem EAP auf Catalyst 9800 WLCs (Wireless LAN-Controllern) beschrieben.
In diesem Dokument wird die Konfiguration von Local EAP (Extensible Authentication Protocol) auf Catalyst 9800 WLCs beschrieben, d. h. der WLC fungiert als RADIUS-Authentifizierungsserver für die Wireless-Clients.
In diesem Dokument wird davon ausgegangen, dass Sie mit der grundlegenden Konfiguration eines WLAN auf dem 9800 WLC vertraut sind und sich nur auf den WLC konzentrieren, der als lokaler EAP-Server für Wireless-Clients fungiert.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Catalyst 9800 auf Version 16.12.1s
Gehen Sie zu Configuration > Security > Local EAP in der 9800 Web UI.
Hinzufügen auswählen
Geben Sie einen Profilnamen ein.
Es wird nicht geraten, LEAP aufgrund seiner schwachen Sicherheit zu verwenden. Bei allen anderen drei EAP-Methoden müssen Sie einen Vertrauenspunkt konfigurieren. Der Grund hierfür ist, dass der 9800, der als Authentifizierer fungiert, ein Zertifikat senden muss, damit der Client ihm vertrauen kann.
Clients vertrauen dem WLC-Standardzertifikat nicht. Daher müssen Sie die Überprüfung des Serverzertifikats auf der Clientseite deaktivieren (nicht empfohlen) oder einen Zertifikatvertrauenspunkt auf dem 9800 WLC installieren, dem der Client vertraut (oder ihn manuell in den Client-Vertrauensspeicher importieren).
CLI:
(config)#eap profile mylocapeap (config-eap-profile)#method peap (config-eap-profile)#pki-trustpoint admincert
Sie müssen eine AAA dot1x-Methode konfigurieren, die auch lokal zeigt, um die lokale Benutzerdatenbank zu verwenden (Sie können jedoch z. B. eine externe LDAP-Suche verwenden).
Gehen Sie zu Konfiguration > Sicherheit > AAA, und gehen Sie zur Registerkarte AAA-Methodenliste für die Authentifizierung. Wählen Sie Hinzufügen aus.
Wählen Sie den Typ "dot1x" und den lokalen Gruppentyp aus.
Wechseln Sie zur Unterregisterkarte Autorisierung, und erstellen Sie eine neue Methode zum Herunterladen von Anmeldeinformationen, und zeigen Sie sie auf lokal.
Gleiches für den Autorisierungstyp des Netzwerks tun
CLI:
(config)#aaa new-model (config)#aaa authentication dot1x default local
(config)#aaa authorization credential-download default local
(config)#aaa local authentication default authorization default
(config)#aaa authorization network default local
Wechseln Sie zur Registerkarte "AAA Advanced".
Definieren Sie die lokale Authentifizierungs- und Autorisierungsmethode. Da in diesem Beispiel die Methoden "default" credential-download und "Default" dot1x verwendet wurden, müssen Sie hier die Standardeinstellungen für die lokalen Authentifizierungs- und Autorisierungs-Dropdown-Felder festlegen.
Wenn Sie benannte Methoden definiert haben, wählen Sie im Dropdown-Menü "Methodenliste" aus, und in einem anderen Feld können Sie den Methodennamen eingeben.
CLI:
aaa local authentication default authorization default
Anschließend können Sie Ihr WLAN für 802.1x-Sicherheit anhand des im vorherigen Schritt definierten lokalen EAP-Profils und der AAA-Authentifizierungsmethode konfigurieren.
Gehen Sie zu Konfiguration > Tags und Profile > WLANs > + Hinzufügen >
Geben Sie die SSID und den Profilnamen an.
Die Option "Punkt1x-Sicherheit" ist standardmäßig unter "Layer 2" ausgewählt.
Wählen Sie unter AAA Local EAP Authentication (Lokale EAP-Authentifizierung) aus, und wählen Sie Local EAP profile and AAA Authentication list (Lokales EAP-Profil und AAA-Authentifizierungsliste) aus dem Dropdown-Menü.
(config)#wlan localpeapssid 1 localpeapssid (config-wlan)#security dot1x authentication-list default (config-wlan)#local-auth mylocaleap
In CLI müssen die Benutzer vom Typ "network-user" sein. Hier ist ein Beispiel für einen in der CLI erstellten Benutzer:
(config)#user-name 1xuser creation-time 1572730075 description 1xuser password 0 Cisco123 type network-user description 1xuser
Nach dem Erstellen in CLI ist dieser Benutzer in der Webbenutzeroberfläche sichtbar. Wenn er jedoch in der Webbenutzeroberfläche erstellt wurde, gibt es keine Methoden, um ihn ab 16.12 zu einem Netzwerkbenutzer zu machen.
Gehen Sie zu Konfiguration > Tags und Profile > Richtlinie
Erstellen Sie ein Richtlinienprofil für Ihr WLAN.
Dieses Beispiel zeigt ein lokales Flexconnect-Switching, aber ein zentrales Authentifizierungsszenario für VLAN 1468, das jedoch von Ihrem Netzwerk abhängt.
Gehen Sie zu Konfiguration > Tags und Profile > Tags
Weisen Sie das WLAN einem Richtlinienprofil innerhalb des Tags zu.
In diesem Fall können Sie die Tags für einen einzelnen AP direkt dem AP zuweisen.
Gehen Sie zu Configuration > Wireless >Access Points, und wählen Sie den AP aus, den Sie konfigurieren möchten.
Stellen Sie sicher, dass die zugewiesenen Tags die von Ihnen konfigurierten Tags sind.
Die Hauptkonfigurationszeilen sind wie folgt:
aaa new-model aaa authentication dot1x default local aaa authorization credential-download default local aaa local authentication default authorization default eap profile mylocaleap method peap pki-trustpoint admincert user-name 1xuser creation-time 1572730075 description 1xuser password 0 Cisco123 type network-user description 1xuser wlan ndarchis_leap 1 ndarchis_leap local-auth mylocaleap security dot1x authentication-list default no shutdown
Beachten Sie, dass Cisco IOS® XE 16.12 und frühere Versionen nur TLS 1.0 für die lokale EAP-Authentifizierung unterstützen. Dies kann zu Problemen führen, wenn Ihr Client nur TLS 1.2 unterstützt, wie es immer üblicher wird. Cisco IOS® XE 17.1 und höher unterstützt TLS 1.2 und TLS 1.0.
Verwenden Sie RadioActive Tracing, um einen bestimmten Client zu behandeln, der Probleme bei der Verbindung hat. Gehen Sie zu Troubleshooting > RadioActive Trace, und fügen Sie die Client-MAC-Adresse hinzu.
Wählen Sie Start aus, um die Ablaufverfolgung für diesen Client zu aktivieren.
Nachdem das Problem reproduziert wurde, können Sie die Schaltfläche Generate (Generieren) auswählen, um eine Datei zu erstellen, die die Debugausgabe enthält.
2019/10/30 14:54:00.781 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 8, EAP-Type = EAP-FAST 2019/10/30 14:54:00.781 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x5 2019/10/30 14:54:00.784 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 204, EAP-Type = EAP-FAST 2019/10/30 14:54:00.784 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x5 2019/10/30 14:54:00.785 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0 2019/10/30 14:54:00.788 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 85, EAP-Type = EAP-FAST 2019/10/30 14:54:00.788 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x6 2019/10/30 14:54:00.791 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 6, EAP-Type = EAP-FAST 2019/10/30 14:54:00.791 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x6 2019/10/30 14:54:00.791 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0 2019/10/30 14:54:00.792 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 59, EAP-Type = EAP-FAST 2019/10/30 14:54:00.792 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x7 2019/10/30 14:54:00.795 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 75, EAP-Type = EAP-FAST 2019/10/30 14:54:00.795 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x7 2019/10/30 14:54:00.795 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0 2019/10/30 14:54:00.796 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 91, EAP-Type = EAP-FAST 2019/10/30 14:54:00.796 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x8 2019/10/30 14:54:00.804 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 123, EAP-Type = EAP-FAST 2019/10/30 14:54:00.804 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x8 2019/10/30 14:54:00.804 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0 2019/10/30 14:54:00.805 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 139, EAP-Type = EAP-FAST 2019/10/30 14:54:00.805 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x9 2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 75, EAP-Type = EAP-FAST 2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x9 2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0 2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [eap] [23294]: (info): FAST:EAP_FAIL from inner method MSCHAPV2 2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 59, EAP-Type = EAP-FAST 2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0xa 2019/10/30 14:54:00.811 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 59, EAP-Type = EAP-FAST 2019/10/30 14:54:00.811 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0xa 2019/10/30 14:54:00.811 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0 2019/10/30 14:54:00.812 {wncd_x_R0-0}{2}: [eap-auth] [23294]: (info): FAIL for EAP method name: EAP-FAST on handle 0xBD000006 2019/10/30 14:54:00.812 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Raised identity update event for eap method EAP-FAST 2019/10/30 14:54:00.813 {wncd_x_R0-0}{2}: [errmsg] [23294]: (note): %DOT1X-5-FAIL: Authentication failed for client (e836.171f.a162) with reason (Cred Fail) on Interface capwap_90000004 AuditSessionID 00000000000000101D28423A Username: fakeuser 2019/10/30 14:54:00.813 {wncd_x_R0-0}{2}: [auth-mgr] [23294]: (info): [e836.171f.a162:capwap_90000004] Authc failure from Dot1X, Auth event fail
Es ist möglich, die Liste der Fehlerereignisse für eine bestimmte MAC-Adresse mit dem Befehl trace-on-failure zu überprüfen, selbst wenn keine Debugging-Funktionen aktiviert sind.
Im nächsten Beispiel war die AAA-Methode zunächst nicht vorhanden (AAA-Serverausfall), und einige Minuten später verwendete der Client falsche Anmeldeinformationen.
Der Befehl show logging trace-on-failure summary in Version 16.12 und früher lautet show logging profile wireless (filter mac <mac>) trace-on-failure in Cisco IOS® XE 17.1 und höher. Es gibt keinen technischen Unterschied, außer dass 17.1 und höher Ihnen erlaubt, nach der MAC-Adresse des Clients zu filtern.
Nico9800#show logging profile wireless filter mac e836.171f.a162 trace-on-failure Displaying logs from the last 0 days, 0 hours, 10 minutes, 0 seconds executing cmd on chassis 2 ... sending cmd to chassis 1 ... Collecting files on current[1] chassis. # of files collected = 30 Collecting files on current[2] chassis. # of files collected = 30 Collecting files from chassis 1. Time UUID Log ---------------------------------------------------------------------------------------------------- 2019/10/30 14:51:04.438 0x0 SANET_AUTHC_FAILURE - AAA Server Down username , audit session id 000000000000000F1D260BB0, 2019/10/30 14:58:04.424 0x0 e836.171f.a162 CLIENT_STAGE_TIMEOUT State = AUTHENTICATING, WLAN profile = ndarchis_leap, Policy profile = leap, AP name = LABap_2802
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
14-Sep-2021 |
Erstveröffentlichung |