概要
Cisco WLC のテスト AAA RADIUS コマンドがどのように無線クライアントの使用なしで RADIUSサーバ 接続およびクライアント認証問題を識別するのに使用することができるかこの資料に記述されています。
前提条件
要件
Cisco はワイヤレス LAN コントローラ(WLC)コード 8.2 のナレッジが以上にあることを推奨します。
使用するコンポーネント
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
背景説明
無線クライアント 認証問題は無線ネットワーク エンジニアが直面する最も挑戦的な問題の 1 つです。 これを解決するために、それは無線ネットワークの最もよいナレッジがあるおよびデバッグおよびキャプチャを集めないかもしれないエンドユーザと問題となるクライアントの保持を得るためにはたらきますたいていの場合必要となります。 ますます重要な無線ネットワークでは、これにより重要なダウンタイムを引き起こす場合があります。
今まで認証失敗がクライアントを拒否する、またはちょうど到達可能性問題単に引き起こされた RADIUSサーバによって場合識別する簡単な方法がありませんでした。 テスト AAA RADIUS コマンドはちょうどそれをすることを可能にします。 今リモートでできます WLC 半径 サーバ通信が失敗したかどうかまたは確認クライアントのための資格情報が渡されるか、または失敗した認証という結果に終れば。
機能がどのように動作するか
これはイメージに示すようにコマンド テスト AAA RADIUS を使用するとき基本的な作業の流れです。

ステップ 1: WLC はパラメータと共にテスト AAA RADIUS コマンドで述べられる RADIUSサーバにアクセス REQUEST メッセージを送ります。
前のため: AAA RADIUS ユーザ名 管理者 パスワード cisco123 wlan ID 1 apgroup デフォルト グループ サーバ インデックス 2 をテストして下さい
呼び出します。 RADIUSサーバは提供される資格情報を検証し、認証要求の結果を提供します。
コマンドの構文
これらのパラメータはコマンドを実行するために提供される必要があります:
(Cisco コントローラ) > テスト AAA RADIUS ユーザ名 <user name> パスワード <password> wlan ID <wlan-id> ap グループ <apgroup-name> サーバ インデックス <server-index>
<username> ---> Username that you are testing.
<password> ---> Password that you are testing
<wlan-id> ---> WLAN ID of the SSID that you are testing.
<apgroup-name> (optional) ---> AP group name. This will be default-group if there is no AP group configured.
<server-index> (optional) ---> The server index configured for the radius server that you are trying to test. This can be found under Security > Authentication tab.
シナリオ 1.は認証 の 試みを渡しました
テスト AAA RADIUS コマンドが取得された認証という結果に終るとき一覧しようコマンドがどのようにを動作する出力が見られるか。 コマンドが実行されるとき、WLC はアクセス 要求を送信するパラメータを表示する:
(Cisco Controller) >test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Attributes Values
---------- ------
User-Name admin
Called-Station-Id 00:00:00:00:00:00:WLC5508
Calling-Station-Id 00:11:22:33:44:55
Nas-Port 0x0000000d (13)
Nas-Ip-Address 10.20.227.39
NAS-Identifier WLC_5508
Airespace / WLAN-Identifier 0x00000001 (1)
User-Password cisco123
Service-Type 0x00000008 (8)
Framed-MTU 0x00000514 (1300)
Nas-Port-Type 0x00000013 (19)
Tunnel-Type 0x0000000d (13)
Tunnel-Medium-Type 0x00000006 (6)
Tunnel-Group-Id 0x00000051 (81)
Cisco / Audit-Session-Id ad14e327000000c466191e23
Acct-Session-Id 56131b33/00:11:22:33:44:55/210
test radius auth request successfully sent. Execute 'test aaa show radius' for response
認証要求の結果を表示するために、コマンド テスト AAA を実行する必要があります示します半径を。 コマンドは RADIUSサーバが到達不能であり、WLC が別の RADIUSサーバにまたはフォールバック再試行する必要があれば場合出力を示すのに時間をかけることができます。
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 2
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.52 1 Success
Authentication Response:
Result Code: Success
Attributes Values
---------- ------
User-Name admin
Class CACS:rs-acs5-6-0-22/230677882/20313
Session-Timeout 0x0000001e (30)
Termination-Action 0x00000000 (0)
Tunnel-Type 0x0000000d (13)
Tunnel-Medium-Type 0x00000006 (6)
Tunnel-Group-Id 0x00000051 (81)
このコマンドの非常に役立つ側面は戻るかどれが RADIUSサーバによって属性に示すことです。 これはリダイレクト URL および Access Control List (ACL)のどれである場合もあります。 たとえば、中央 Web 認証(CWA)または VLAN ヒントの場合には VLAN 上書きするを使用する場合の。
注意: アクセス 要求の username/password は RADIUSサーバにクリアテキストで送信 されます、従って保護されていない ネットワーク上のトラフィックフローならそれを慎重に使用する必要があります。
シナリオ 2: 失敗した認証試み
username/password エントリが失敗した認証という結果に終ると出力がどのように現われるか見よう。
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 2
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.52 1 Success
Authentication Response:
Result Code: Authentication failed ------>This indicates that the user authentication will fail.
No AVPs in Response
この場合 RADIUSサーバが利用したユーザネーム/パスワードコンビネーションのための access-reject を送信 したどんなに、接続テストが「成功という結果に」終ったことがわかります。
シナリオ 3: 通信は WLC と RADIUSサーバの間で失敗しました
(Cisco Controller) >test aaa show radius
previous test command still not completed, try after some time
出力を表示する前にです再試行それを終えるために WLC を待つ必要があります。 時間は設定される再試行しきい値に基づいて変わることができます。
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 3
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.72 6 No response received from server
Authentication Response:
Result Code: No response received from server
No AVPs in Response
上記の出力で無応答がなかったときに WLC が 6 回 RADIUSサーバを接続することを試みた到達不能ように RADIUSサーバを示したことがわかり。
シナリオ 4: Radius フォールバック
Service Set Identifier (SSID)の下で設定される複数の RADIUSサーバがあり、プライマリ RADIUSサーバが応答しないとき、WLC は設定されるセカンダリRADIUSサーバと試みます。 これは最初の RADIUSサーバが応答しない WLC がそして第 2 RADIUSサーバを試みる出力ですぐに応答するかどれが非常に明らかに示され。
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.62 6 No response received from server
10.20.227.52 1 Success
Authentication Response:
Result Code: Success
Attributes Values
---------- ------
User-Name admin
警告
- 現在 GUI サポートがありません。 WLC から実行することができるのはただのコマンドです。
- 確認は半径のためだけです。 それは TACACS認証に使用することができません。
- Flexconnect ローカル認証はこの方式とテストすることができません。