¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

PSK de la identidad del Troubleshooting en los reguladores del Wireless LAN

Opciones de descarga

  • PDF     (201.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (143.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (154.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de agosto de 2018
ID del documento:212316
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo resolver problemas los problemas de conexión de la clave previamente compartida de la identidad (PSK) en el controlador LAN de la tecnología inalámbrica de Cisco (WLC).

    Prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • WLC de Cisco que funciona con el código 8.5 y posterior y el Identity Services Engine (ISE)
    • red inalámbrica (WLAN) centralmente conmutada (el Local Switching de FlexConnect con el PSK de la identidad no se soporta actualmente)
    • Configuración del PSK de la identidad en el WLC y el ISE. Esto se puede encontrar en este link:

    https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-5/b_Identity_PSK_Feature_Deployment_Guide.html

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • WLC de las Cisco 5508 Series que funciona con el Software Release 8.5.103.0
    • Cisco ISE que funciona con la versión 2.2

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

    Entienda el flujo de PSK de la identidad

    Paso 1. El cliente envía una petición de la asociación al Service Set Identifier (SSID) habilitado con la autenticación PSK+MAC.

    Paso 2. Puesto que la autenticación de MAC ha habilitado los contactos del WLC, el servidor de RADIUS debe verificar la dirección MAC del cliente.

    Paso 3. El servidor de RADIUS verifica a los detalles del cliente y envía los cisco av-pair para los cuales especifica el PSK mientras que el tipo de autenticación que se utilizarán así como el valor de la clave que se utilizará para el cliente.

    Paso 4. Una vez que se recibe esto el WLC envía la respuesta de la asociación al cliente. Es importante ser consciente de este paso, como si haya un retardo en la comunicación entre el WLC y el servidor de RADIUS, los clientes puede conseguir pegado en un loop de la asociación, donde envían una segunda petición de la asociación antes de que la respuesta se reciba del servidor de RADIUS.

    Paso 5.  El WLC utiliza el valor de la clave enviado por el servidor de RADIUS como la clave principal. El punto de acceso entonces procede con el apretón de manos de cuatro terminales que verifica que la contraseña configurada en el cliente haga juego el valor enviado por el servidor de RADIUS.

    Paso 6. El cliente después completa el proceso DHCP y se traslada al estado de FUNCIONAMIENTO también.

    Escenarios del Troubleshooting

    Estos debugs se requieren resolver problemas los problemas del PSK de la identidad:

    Debugs en el WLC:

    • client_mac del cliente del debug, donde está la dirección MAC el _mac del cliente de la prueba del cliente.
    • permiso del detalle aaa del debug

    Escenario del paso del escenario 1. donde el cliente conecta con éxito

    El cliente envía la petición de la asociación al AP:

    *apfMsConnTask_6: Sep 21 15:01:43.496: e8:50:8b:64:4f:45 Association received from mobile on BSSID 28:6f:7f:e2:24:cf AP AP_2802-1

    El WLC entonces entra en contacto al servidor de RADIUS para verificar el MAC Address del cliente:

    *aaaQueueReader: Sep 21 15:01:43.498: AuthenticationRequest: 0x2b8c8a9c
*apfMsConnTask_6: Sep 21 15:01:43.498: e8:50:8b:64:4f:45 apfProcessAssocReq (apf_80211.c:11440) Changing state for mobile e8:50:8b:64:4f:45 on AP 28:6f:7f:e2:24:c0 from Associated to AAA Pending
 
*aaaQueueReader: Sep 21 15:01:43.498:         Callback.....................................0x10762018
 
*aaaQueueReader: Sep 21 15:01:43.498:         protocolType.................................0x40000001

    El servidor de RADIUS responde con el mensaje del access-accept que también contiene el tipo y la clave del método del PSK que se utiliza para la autenticación:

      

    *radiusTransportThread: Sep 21 15:01:43.794: AuthorizationResponse: 0x171b5c00
 
*radiusTransportThread: Sep 21 15:01:43.794:         structureSize................................313
 
*radiusTransportThread: Sep 21 15:01:43.794:         resultCode...................................0
 
 
*radiusTransportThread: Sep 21 15:01:43.794:         Packet contains 5 AVPs:
 
*radiusTransportThread: Sep 21 15:01:43.794:             AVP[01] User-Name................................E8-50-8B-64-4F-45 (17 bytes)
 
*radiusTransportThread: Sep 21 15:01:43.794:             AVP[02] State....................................ReauthSession:0a6a20770000000059c346ed (38 bytes)
 
*radiusTransportThread: Sep 21 15:01:43.794:             AVP[03] Class....................................CACS:0a6a20770000000059c346ed:ISE/291984633/6 (45 bytes)
 
*radiusTransportThread: Sep 21 15:01:43.794:             AVP[04] Cisco / PSK-Mode.........................ascii (5 bytes)
 
*radiusTransportThread: Sep 21 15:01:43.794:             AVP[05] Cisco / PSK..............................cisco123 (8 bytes)

    Una vez que se recibe esto usted puede ver que el WLC envía la respuesta de la asociación y sucede un apretón de manos de cuatro terminales:

    *apfReceiveTask: Sep 21 15:01:43.924: e8:50:8b:64:4f:45 Sending assoc-resp with status 0 station:e8:50:8b:64:4f:45 AP:28:6f:7f:e2:24:c0-01 on apVapId 1

    El apretón de manos de cuatro terminales:

      

    *Dot1x_NW_MsgTask_5: Sep 21 15:01:43.994: e8:50:8b:64:4f:45 Sending EAPOL-Key Message to mobile e8:50:8b:64:4f:45
   state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
*Dot1x_NW_MsgTask_5: Sep 21 15:01:43.998: e8:50:8b:64:4f:45 Received EAPOL-key in PTK_START state (message 2) from mobile e8:50:8b:64:4f:45
*Dot1x_NW_MsgTask_5: Sep 21 15:01:43.998: e8:50:8b:64:4f:45 Received valid MIC in EAPOL Key Message M2!!!!!
*Dot1x_NW_MsgTask_5: Sep 21 15:01:43.999: e8:50:8b:64:4f:45 Sending EAPOL-Key Message to mobile e8:50:8b:64:4f:45
   state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
*Dot1x_NW_MsgTask_5: Sep 21 15:01:44.003: e8:50:8b:64:4f:45 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile e8:50:8b:64:4f:45

    Una vez que se hace esto, el cliente completa el proceso DHCP y entra el estado de FUNCIONAMIENTO (la salida se acorta para mostrar las secciones importantes):

    (WLC_1) >show client detail e8:50:8b:64:4f:45
Client MAC Address............................... e8:50:8b:64:4f:45
Client Username ................................. E8-50-8B-64-4F-45
Hostname: ....................................... S6-edge
Device Type: .................................... Android-Samsung-Galaxy-Phone
AP MAC Address................................... 28:6f:7f:e2:24:c0
AP Name.......................................... AP_2802-1        
Wireless LAN Network Name (SSID)................. Identity PSK
Wireless LAN Profile Name........................ Identity PSK
Security Policy Completed........................ Yes
Policy Manager State............................. RUN

    Intentos del cliente del escenario 2. a conectar con la contraseña incorrecta

    La secuencia inicial de pasos permanece lo mismo que el de una autenticación pasajera.

    • El cliente envía una petición de la asociación.
    • Una vez que el WLC recibe esto, inicia la comunicación con el servidor de RADIUS para verificar el MAC Address del cliente.
    • Si el servidor de RADIUS tiene el cliente lo detalla envía un access-accept con el valor de la clave y el tipo de autenticación que es PSK.
    • La sección útil donde el error puede ser notado está en el apretón de manos de cuatro terminales.

    El AP envía el mensaje 1, al cual el cliente responde con el mensaje 2:

    *Dot1x_NW_MsgTask_7: Sep 21 15:12:47.661: 50:8f:4c:9d:ef:87 Received EAPOL-key in PTK_START state (message 2) from mobile 50:8f:4c:9d:ef:87

    Sin embargo, debido a diversos valores de clave principal (contraseña) el AP y el cliente derivan diversas claves que da lugar a un recibo inválido MIC en el mensaje 2:

    *Dot1x_NW_MsgTask_7: Sep 21 15:12:47.662: 50:8f:4c:9d:ef:87 Received EAPOL-key M2 with invalid MIC from mobile 50:8f:4c:9d:ef:87 version 2
*osapiBsnTimer: Sep 21 15:12:48.824: 50:8f:4c:9d:ef:87 802.1x 'timeoutEvt' Timer expired for station 50:8f:4c:9d:ef:87 and for message = M2
*Dot1x_NW_MsgTask_7: Sep 21 15:12:48.824: 50:8f:4c:9d:ef:87 Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 50:8f:4c:9d:ef:87
 
The client then is then de-authenticated by the WLC:
*Dot1x_NW_MsgTask_7: Sep 21 15:12:50.825: 50:8f:4c:9d:ef:87 Sent Deauthenticate to mobile on BSSID 28:6f:7f:e2:24:c0 slot 0(caller 1x_ptsm.c:655)

    <noscript>
    Otra salida útil a marcar es “el detalle del cliente de la demostración”. Aquí usted puede ver que pegan al cliente en el estado del COMIENZO: 
    *Dot1x_NW_MsgTask_7: Sep 21 15:12:47.662: 50:8f:4c:9d:ef:87 Received EAPOL-key M2 with invalid MIC from mobile 50:8f:4c:9d:ef:87 version 2
*osapiBsnTimer: Sep 21 15:12:48.824: 50:8f:4c:9d:ef:87 802.1x 'timeoutEvt' Timer expired for station 50:8f:4c:9d:ef:87 and for message = M2
*Dot1x_NW_MsgTask_7: Sep 21 15:12:48.824: 50:8f:4c:9d:ef:87 Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 50:8f:4c:9d:ef:87
 
The client will then be de-authenticated by the WLC:
*Dot1x_NW_MsgTask_7: Sep 21 15:12:50.825: 50:8f:4c:9d:ef:87 Sent Deauthenticate to mobile on BSSID 28:6f:7f:e2:24:c0 slot 0(caller 1x_ptsm.c:655)

    Servidor de RADIUS del escenario 3. inalcanzable

    Los intentos del WLC para entrar en contacto al servidor de RADIUS una vez que recibe la petición de la asociación. En caso de que el servidor de RADIUS sea inalcanzable, el WLC intenta en varias ocasiones entrar en contacto al servidor de RADIUS (hasta que se alcanza la cuenta de reintentos). Una vez que detectan al servidor de RADIUS para ser inalcanzable después del número configurado de recomprobaciones (el valor predeterminado es 5) el WLC envía una respuesta de la asociación con el código de estado 1 como se muestra aquí:

    *apfReceiveTask: Sep 21 15:28:55.777: 50:8f:4c:9d:ef:87 Sending assoc-resp with status 1 station:50:8f:4c:9d:ef:87 AP:a0:e0:af:62:f3:c0-00 on apVapId 1
*apfReceiveTask: Sep 21 15:28:55.777: 50:8f:4c:9d:ef:87 Sending Assoc Response (status: 'unspecified failure') to station on AP AP_2802-2 on BSSID a0:e0:af:62:f3:c0 ApVapId 1 Slot 0, mobility role 0

      

    Usted puede también ver que el número de peticiones y de descanso de la recomprobación pide cuál crece en las estadísticas del servidor de RADIUS, para las cuales usted puede navegar para monitorear > las estadísticas > los servidores de RADIUS tal y como se muestra en de la imagen:

    Parámetro incorrecto de la invalidación del escenario 4. enviado por el servidor de RADIUS

    Hay varios parámetros que se pueden avanzar junto con el PSK y la clave, tal como VLA N, ACL y rol del usuario. Sin embargo, si la entrada ACL enviada por el servidor de RADIUS entonces no se configura el WLC rechaza al cliente, incluso si el servidor de RADIUS aprueba el pedido de autenticación. Esto se puede ver claramente en los debugs del cliente:

    *radiusTransportThread: Sep 22 14:39:05.499: AuthorizationResponse: 0x171b5c00
 
*radiusTransportThread: Sep 22 14:39:05.499:         structureSize................................376
 
*radiusTransportThread: Sep 22 14:39:05.499:         resultCode...................................0
 
*radiusTransportThread: Sep 22 14:39:05.499:         protocolUsed.................................0x00000001
 
*radiusTransportThread: Sep 22 14:39:05.499:         Packet contains 7 AVPs:
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[01] User-Name................................E8-50-8B-64-4F-45 (17 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[02] State....................................ReauthSession:0a6a20770000002659c493e9 (38 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[03] Class....................................CACS:0a6a20770000002659c493e9:ISE/291984633/78 (46 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[04] Cisco / PSK-Mode.........................ascii (5 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[05] Cisco / PSK..............................cisco123 (8 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[06] Unknown Cisco / Attribute 19.............teacher (7 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[07] Airespace / ACL-Name.....................testing (7 bytes)

    Debugs del cliente:

    *apfReceiveTask: Sep 22 14:39:05.564: e8:50:8b:64:4f:45  ACL received from RADIUS does not exist in WLC de-authenticating the client
*apfReceiveTask: Sep 22 14:39:05.628: e8:50:8b:64:4f:45 Sending assoc-resp with status 12 station:e8:50:8b:64:4f:45 AP:28:6f:7f:e2:24:c0-01 on apVapId 1

    Política de cliente del escenario 5. no configurada en el servidor de RADIUS

    Cuando el servidor de RADIUS es accesible pero no hay directiva configurada en el servidor de RADIUS para el cliente, puede conseguir conectada solamente si utiliza el PSK, configurado global bajo la red inalámbrica (WLAN). Cualquier otra entrada fallaría. No hay nada específico distinguir entre una autenticación global de trabajo del PSK y una autenticación de trabajo del PSK de la identidad excepto en el debug authentication, la autorización, y considerar (AAA) hecho salir que no tenga ninguna parámetros de la invalidación se avanza que:

    *radiusTransportThread: Sep 22 14:32:13.734: AuthorizationResponse: 0x171b5c00
 
*radiusTransportThread: Sep 22 14:32:13.734:         structureSize................................269
 
*radiusTransportThread: Sep 22 14:32:13.734:         resultCode...................................0
 
*radiusTransportThread: Sep 22 14:32:13.734:         protocolUsed.................................0x00000001
 
*radiusTransportThread: Sep 22 14:32:13.734:         proxyState...................................50:8F:4C:9D:EF:87-00:00
 
*radiusTransportThread: Sep 22 14:32:13.734:         Packet contains 3 AVPs:
 
*radiusTransportThread: Sep 22 14:32:13.734:             AVP[01] User-Name................................50-8F-4C-9D-EF-87 (17 bytes)
 
*radiusTransportThread: Sep 22 14:32:13.734:             AVP[02] State....................................ReauthSession:0a6a20770000002359c49240 (38 bytes)
 
*radiusTransportThread: Sep 22 14:32:13.734:             AVP[03] Class....................................CACS:0a6a20770000002359c49240:ISE/291984633/74 (46 bytes)
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Ishaan Sanji
      Ingeniero de Cisco TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros