Verifique la Conectividad del servidor de RADIUS con el comando de la prueba RADIUS AAA
Contenido
Introducción
Este documento describe cómo el comando de la prueba RADIUS AAA en el WLC de Cisco se puede utilizar para identificar los problemas de la Conectividad y de la autenticación de cliente del servidor de RADIUS sin el uso de un cliente de red inalámbrica.
Prerequisites
Requisitos
Cisco recomienda que usted tiene conocimiento del código 8.2 del regulador del Wireless LAN (WLC) y arriba.
Componentes Utilizados
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
Antecedentes
Los problemas de la autenticación de cliente de red inalámbrica son uno de los problemas más desafiadores que la red inalámbrica dirige la cara. Para resolver problemas esto, requiere a menudo para conseguir el control del cliente problemático, trabaja con los usuarios finales que pueden tener el mejor conocimiento de las redes inalámbricas y no recoger los debugs y las capturas. En una red inalámbrica cada vez más crítica, esto puede causar el tiempo muerto significativo.
No había hasta ahora forma sencilla de identificar si un problema del accesibilidad causó una falla de autenticación el servidor de RADIUS que rechaza al cliente, o apenas simplemente. El comando de la prueba RADIUS AAA le deja hacer apenas eso. Usted puede ahora verificar remotamente si la comunicación del servidor del WLC-radio falla o si las credenciales para el cliente dan lugar a un haber pasado o a una autenticación fallida.
Cómo Funciona la Función
Esto es un flujo de trabajo básico cuando usted utiliza el comando test RADIUS AAA, tal y como se muestra en de la imagen.
Paso 1. El WLC envía un mensaje request del acceso al servidor de RADIUS junto con los parámetros que se menciona en el comando de la prueba RADIUS AAA.
Para ex: pruebe RADIUS AAA el servidor-índice 2 del grupo predeterminado del apgroup WLAN-identificación 1 del cisco123 de la contraseña del nombre del usuario administrador
Paso 2. El servidor de RADIUS valida las credenciales proporcionadas y proporciona los resultados del pedido de autenticación.
Sintaxis del comando
Estos parámetros necesitan ser proporcionados para ejecutar el comando:
(Regulador de Cisco) > <server-index> del servidor-índice del <apgroup-name> del grupo ap del <wlan-id> WLAN-identificación del <password> de la contraseña del name> del <user del nombre de usuario de la prueba RADIUS AAA
<username> ---> Username that you are testing. <password> ---> Password that you are testing <wlan-id> ---> WLAN ID of the SSID that you are testing. <apgroup-name> (optional) ---> AP group name. This will be default-group if there is no AP group configured. <server-index> (optional) ---> The server index configured for the radius server that you are trying to test. This can be found under Security > Authentication tab.
El escenario 1. pasó el intento de autenticación
Tengamos una mirada en cómo el comando trabaja y se consideran las salidas cuando el comando de la prueba RADIUS AAA da lugar a una autenticación pasajera. Cuando se ejecuta el comando, el WLC visualiza los parámetros con los cuales envía la petición del acceso:
(Cisco Controller) >test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2 Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Attributes Values ---------- ------ User-Name admin Called-Station-Id 00:00:00:00:00:00:WLC5508 Calling-Station-Id 00:11:22:33:44:55 Nas-Port 0x0000000d (13) Nas-Ip-Address 10.20.227.39 NAS-Identifier WLC_5508 Airespace / WLAN-Identifier 0x00000001 (1) User-Password cisco123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81) Cisco / Audit-Session-Id ad14e327000000c466191e23 Acct-Session-Id 56131b33/00:11:22:33:44:55/210 test radius auth request successfully sent. Execute 'test aaa show radius' for response
Para ver los resultados del pedido de autenticación, usted necesita ejecutar el radio de la demostración aaa del comando test. El comando puede tardar un cierto tiempo para mostrar la salida si un servidor de RADIUS es inalcanzable y las necesidades del WLC de revisar o retraso a un diverso servidor de RADIUS.
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin Class CACS:rs-acs5-6-0-22/230677882/20313 Session-Timeout 0x0000001e (30) Termination-Action 0x00000000 (0) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81)
El aspecto extremadamente útil de este comando es que muestra a atributos cuáles son vueltos por el servidor de RADIUS. Esto puede ser reorienta el URL y la lista de control de acceso (ACL). Por ejemplo, en el caso de la autenticación Web central (CWA) o de la información de VLAN cuando usted utiliza la invalidación del VLA N.
Escenario 2: Tentativa de la autenticación fallida
Veamos cómo aparece la salida cuando un nombre de usuario/una entrada de contraseña da lugar a una autenticación fallida.
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Authentication failed ------>This indicates that the user authentication will fail. No AVPs in Response
En este caso, usted puede ver que la prueba de conectividad dio lugar a un “éxito”, no obstante el servidor de RADIUS envió un rechazo de acceso para la Combinación de nombre de usuario/contraseña usada.
Escenario 3: Comunicación fallada entre el WLC y el servidor de RADIUS
(Cisco Controller) >test aaa show radius previous test command still not completed, try after some time
Usted necesita esperar el WLC para acabarlo es recomprobaciones antes de que visualice la salida. El tiempo puede variar basado en los umbrales de la recomprobación configurados.
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 3 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.72 6 No response received from server Authentication Response: Result Code: No response received from server No AVPs in Response
En la salida antedicha usted puede ver que el WLC intentó entrar en contacto al servidor de RADIUS 6 veces y cuando no había respuesta marcó al servidor de RADIUS como inalcanzable.
Escenario 4: Retraso del radio
Cuando usted tiene los servidores de RADIUS múltiples configurados bajo el Service Set Identifier (SSID) y no responde el servidor de RADIUS primario, después el WLC intenta con el servidor RADIUS secundario configurado. Esto se muestra muy claramente en la salida donde no responde el primer servidor de RADIUS y el WLC después intenta al segundo servidor de RADIUS cuál responde inmediatamente.
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.62 6 No response received from server 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin
Advertencias
- No hay actualmente soporte GUI. Es solamente un comando que se puede ejecutar del WLC.
- La verificación está solamente para el radio. No puede ser utilizada para la autenticación de TACACS.
- La autenticación local de Flexconnect no se puede probar con este método.
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)