AireOS WLCでの802.1Xクライアント除外の確認

はじめに

このドキュメントでは、AireOSワイヤレスLANコントローラ(WLC)での802.1Xクライアント除外について説明します。

前提条件 

要件

次の項目に関する知識があることが推奨されます。

• Cisco AireOS WLC
• 802.1Xプロトコル
• Remote Authentication Dial-In User Service（RADIUS）
• アイデンティティサービスエンジン(ISE)

使用するコンポーネント

このドキュメントの情報は、AireOSに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

802.1Xクライアント除外は、WLCなどの802.1Xオーセンティケータで使用する重要なオプションです。これはactivities overloadまたは不適切な機能の拡張認証プロトコル（EAP ）クライアントが認証サーバのオーバーロードを防止するためです。

ユーザケース

使用例を以下に示します。 

• 誤ったクレデンシャルで設定されたEAPサプリカント。EAP サプリカントなど、ほとんどのサプリカントは、失敗が何回か続いたら認証の試みを中止します。ただし、一部の EAP サプリカントは何回でも再認証を試みます。このようなクライアントが RADIUS サーバを過負荷にして、ネットワーク全体のサービス妨害（DoS）を引き起こします。
• 大規模なネットワークフェールオーバーの後、数百または数千のEAPクライアントが同時に認証を試みることができます。その結果、認証サーバが過負荷になり、応答が遅くなる可能性があります。応答の遅れを処理する前にクライアントまたはオーセンティケータがタイムアウトすると、認証の試みがタイムアウトするまで続いてから、再び応答を処理しようとして悪循環に陥る可能性があります。

注：認証の試行を成功させるには、アドミッション制御メカニズムが必要です。

802.1Xクライアント除外の動作のしくみ

802.1Xクライアント除外は、過度の802.1X認証の失敗後、一定時間クライアントが認証試行を送信することを防止します。AireOS WLC 802.1Xでは、デフォルトでSecurity > Wireless Protection Policies > Client Exclusion Policiesの順に選択すると、クライアントの除外がグローバルに有効になり、このイメージで確認できます。

クライアント除外は、WLANごとに有効または無効にできます。デフォルトでは、AireOS 8.5より前は60秒、AireOS 8.5より前は180秒のタイムアウトで有効になっています。

RADIUSサーバを過負荷から保護するための除外設定

ワイヤレスクライアントが正しく機能しないため、RADIUSサーバが過負荷から保護されていることを検証するには、次の設定が有効であることを確認します。

• Excessive 802.1X Authentication FailuresがWLCのグローバルクライアント除外ポリシーで選択されている。
• Client Exclusionは、WLANの詳細設定でEnabledに設定されています。
• Client Exclusion Timeout Valueは60 ～ 300秒に設定されています。
  

  注:300秒を超える値を設定すると、保護は向上しますが、ユーザからの苦情が発生する可能性があります。

• AireOS EAPタイマーとISE Protected Extensible Authentication Protocol(PEAP)設定の設定

802.1X除外の動作を妨げる問題

WLCとRADIUSサーバのいくつかの設定によって、802.1Xクライアント除外が機能しなくなる可能性があります。

WLCのEAPタイマー設定が原因で除外されないクライアント

デフォルトでは、WLANでClient ExclusionがEnabledに設定されている場合、ワイヤレスクライアントは除外されません。これは、デフォルトのEAPタイムアウトが30秒と長いため、誤動作しているクライアントが連続して十分な障害に遭遇することなく除外をトリガーするためです。802.1Xクライアント除外が有効になるように、EAPタイムアウトを短くし、再送信数を増やします。タイムアウトの例を参照してください。

config advanced eap identity-request-timeout 3
config advanced eap identity-request-retries 10
config advanced eap request-timeout 3
config advanced eap request-retries 10

ISE PEAP設定が原因で除外されないクライアント

802.1Xクライアント除外が機能するためには、認証が失敗したときにRADIUSサーバからAccess-Rejectが送信される必要があります。RADIUSサーバがISEであり、PEAPが使用されている場合、除外は実行されず、ISE PEAP設定に依存します。ISE内で、図に示すように、Policy > Results > Authentication > Allowed Protocols > Default Network Accessの順に移動します。 

Retries（右側は赤で囲まれている）を0に設定した場合、ISEはWLCにただちにAccess-Rejectを送信する必要があります。このWLCは、クライアントを除外するためにWLCを有効にする必要があります（認証を3回試行する場合）。 

注:Retriesの設定は、Allow Password Changeチェックボックスとは多少独立しています。つまり、Allow Password Changeがオフの場合でも、Retriesの値は有効です。ただし、Retriesが0に設定されている場合、Allow Password Changeは機能しません。

注：詳細については、Cisco Bug ID CSCsq16858を参照してください。シスコのバグツールおよび情報にアクセスできるのは、登録ユーザのみです。

関連情報

• 大規模なワイヤレス RADIUS ネットワークのメルトダウンを防止する
• シスコのテクニカルサポートとダウンロード