テスト AAA RADIUS コマンドで RADIUSサーバ 接続を確認して下さい
目次
概要
Cisco WLC のテスト AAA RADIUS コマンドがどのように無線クライアントの使用なしで RADIUSサーバ 接続およびクライアント認証問題を識別するのに使用することができるかこの資料に記述されています。
前提条件
要件
Cisco はワイヤレス LAN コントローラ(WLC)コード 8.2 のナレッジが以上にあることを推奨します。
使用するコンポーネント
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
背景説明
無線クライアント 認証問題は無線ネットワーク エンジニアが直面する最も挑戦的な問題の 1 つです。 これを解決するために、それは無線ネットワークの最もよいナレッジがあるおよびデバッグおよびキャプチャを集めないかもしれないエンドユーザと問題となるクライアントの保持を得るためにはたらきますたいていの場合必要となります。 ますます重要な無線ネットワークでは、これにより重要なダウンタイムを引き起こす場合があります。
今まで認証失敗がクライアントを拒否する、またはちょうど到達可能性問題単に引き起こされた RADIUSサーバによって場合識別する簡単な方法がありませんでした。 テスト AAA RADIUS コマンドはちょうどそれをすることを可能にします。 今リモートでできます WLC 半径 サーバ通信が失敗したかどうかまたは確認クライアントのための資格情報が渡されるか、または失敗した認証という結果に終れば。
機能がどのように動作するか
これはイメージに示すようにコマンド テスト AAA RADIUS を使用するとき基本的な作業の流れです。
ステップ 1: WLC はパラメータと共にテスト AAA RADIUS コマンドで述べられる RADIUSサーバにアクセス REQUEST メッセージを送ります。
前のため: AAA RADIUS ユーザ名 管理者 パスワード cisco123 wlan ID 1 apgroup デフォルト グループ サーバ インデックス 2 をテストして下さい
呼び出します。 RADIUSサーバは提供される資格情報を検証し、認証要求の結果を提供します。
コマンドの構文
これらのパラメータはコマンドを実行するために提供される必要があります:
(Cisco コントローラ) > テスト AAA RADIUS ユーザ名 <user name> パスワード <password> wlan ID <wlan-id> ap グループ <apgroup-name> サーバ インデックス <server-index>
<username> ---> Username that you are testing. <password> ---> Password that you are testing <wlan-id> ---> WLAN ID of the SSID that you are testing. <apgroup-name> (optional) ---> AP group name. This will be default-group if there is no AP group configured. <server-index> (optional) ---> The server index configured for the radius server that you are trying to test. This can be found under Security > Authentication tab.
シナリオ 1.は認証 の 試みを渡しました
テスト AAA RADIUS コマンドが取得された認証という結果に終るとき一覧しようコマンドがどのようにを動作する出力が見られるか。 コマンドが実行されるとき、WLC はアクセス 要求を送信するパラメータを表示する:
(Cisco Controller) >test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2 Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Attributes Values ---------- ------ User-Name admin Called-Station-Id 00:00:00:00:00:00:WLC5508 Calling-Station-Id 00:11:22:33:44:55 Nas-Port 0x0000000d (13) Nas-Ip-Address 10.20.227.39 NAS-Identifier WLC_5508 Airespace / WLAN-Identifier 0x00000001 (1) User-Password cisco123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81) Cisco / Audit-Session-Id ad14e327000000c466191e23 Acct-Session-Id 56131b33/00:11:22:33:44:55/210 test radius auth request successfully sent. Execute 'test aaa show radius' for response
認証要求の結果を表示するために、コマンド テスト AAA を実行する必要があります示します半径を。 コマンドは RADIUSサーバが到達不能であり、WLC が別の RADIUSサーバにまたはフォールバック再試行する必要があれば場合出力を示すのに時間をかけることができます。
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin Class CACS:rs-acs5-6-0-22/230677882/20313 Session-Timeout 0x0000001e (30) Termination-Action 0x00000000 (0) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81)
このコマンドの非常に役立つ側面は戻るかどれが RADIUSサーバによって属性に示すことです。 これはリダイレクト URL および Access Control List (ACL)のどれである場合もあります。 たとえば、中央 Web 認証(CWA)または VLAN ヒントの場合には VLAN 上書きするを使用する場合の。
シナリオ 2: 失敗した認証試み
username/password エントリが失敗した認証という結果に終ると出力がどのように現われるか見よう。
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Authentication failed ------>This indicates that the user authentication will fail. No AVPs in Response
この場合 RADIUSサーバが利用したユーザネーム/パスワードコンビネーションのための access-reject を送信 したどんなに、接続テストが「成功という結果に」終ったことがわかります。
シナリオ 3: 通信は WLC と RADIUSサーバの間で失敗しました
(Cisco Controller) >test aaa show radius previous test command still not completed, try after some time
出力を表示する前にです再試行それを終えるために WLC を待つ必要があります。 時間は設定される再試行しきい値に基づいて変わることができます。
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 3 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.72 6 No response received from server Authentication Response: Result Code: No response received from server No AVPs in Response
上記の出力で無応答がなかったときに WLC が 6 回 RADIUSサーバを接続することを試みた到達不能ように RADIUSサーバを示したことがわかり。
シナリオ 4: Radius フォールバック
Service Set Identifier (SSID)の下で設定される複数の RADIUSサーバがあり、プライマリ RADIUSサーバが応答しないとき、WLC は設定されるセカンダリRADIUSサーバと試みます。 これは最初の RADIUSサーバが応答しない WLC がそして第 2 RADIUSサーバを試みる出力ですぐに応答するかどれが非常に明らかに示され。
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.62 6 No response received from server 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin
警告
- 現在 GUI サポートがありません。 WLC から実行することができるのはただのコマンドです。
- 確認は半径のためだけです。 それは TACACS認証に使用することができません。
- Flexconnect ローカル認証はこの方式とテストすることができません。
フィードバック