액세스 포인트가 있는 ACS 5.3의 EAP 인증
목차
소개
이 문서에서는 RADIUS 서버에서 액세스하는 데이터베이스에 대해 무선 사용자의 EAP(Extensible Authentication Protocol) 인증을 위한 Cisco IOS® 소프트웨어 기반 액세스 포인트(AP)의 샘플 컨피그레이션에 대해 설명합니다.
AP는 클라이언트의 무선 패킷을 인증 서버로 향하는 유선 패킷으로 브리징하고 그 반대의 경우도 마찬가지입니다.AP는 EAP에서 이 패시브 역할을 하므로 이 컨피그레이션은 거의 모든 EAP 방법과 함께 사용됩니다.이러한 방법에는 LEAP(Light EAP), PEAP(Protected EAP)-MSCHAP(Microsoft Challenge Handshake Authentication Protocol) 버전 2, PEAP-GTC(Generic Token Card), FAST(Secure Tunneling)를 통한 EAP-Flexible Authentication, TLS(EAP-Tunneled TLS)가 포함되며 이에 국한되지 않습니다. 이러한 각 EAP 방법에 대해 인증 서버를 적절히 구성해야 합니다.
이 문서에서는 이 샘플 컨피그레이션에서 Cisco ACS(Secure Access Control Server) 5.3인 AP 및 RADIUS 서버를 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco IOS 소프트웨어 GUI 또는 CLI(Command-Line Interface)에 익숙함
- EAP 인증 개념에 대해 숙지
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco IOS Software 릴리스 15.2(2)JB를 실행하는 Cisco Aironet 3602 Access Point
- Cisco Secure Access Control Server 5.3
이 컨피그레이션 예에서는 네트워크에 VLAN이 하나만 있다고 가정합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
이 문서에서는 GUI와 CLI에 모두 이 컨피그레이션을 사용합니다.
- AP의 IP 주소는 10.105.136.11입니다.
- RADIUS 서버(ACS)의 IP 주소는 10.106.55.91입니다.
GUI를 통한 구성
인증 서버 정의
이 절차에서는 인증 서버를 정의하고 인증 서버와 관계를 설정하는 방법에 대해 설명합니다.
- AP GUI에서 Security(보안) > Server Manager(서버 관리자)로 이동합니다.
- Corporate Servers(회사 서버) 섹션에서 Server(서버) 필드에 인증 서버의 IP 주소(10.106.55.91)를 입력합니다.
- 공유 암호, 인증 포트 및 계정 관리 포트를 지정합니다.포트 1813, 1814 또는 1645, 1646을 사용할 수 있습니다.
- 적용을 클릭하여 정의를 생성하고 드롭다운 목록을 채웁니다.
- Default Server Priorities(기본 서버 우선순위) 섹션에서 EAP Authentication Priority 1 필드를 서버 IP 주소(10.106.55.91)로 설정합니다.
- Apply를 클릭합니다.
ACS 구성
사용자를 외부 RADIUS 서버로 보내는 경우 AP는 이 외부 RADIUS 서버에 대한 AAA(Authentication, Authorization, and Accounting) 클라이언트여야 합니다.이 절차에서는 ACS를 구성하는 방법을 설명합니다.
- Cisco Secure ACS GUI에서 Network Resources(네트워크 리소스)를 클릭합니다.ACS 5.3에서는 디바이스를 위치별로 그룹화할 수 있습니다.
- 위치를 만듭니다.Network Device Groups(네트워크 디바이스 그룹)에서 Location(위치)을 클릭합니다.새 위치 만들기를 클릭합니다.Name 필드에 위치 이름(IOS_lab)을 입력합니다. 이 위치에 대한 설명(IOS LAB)을 입력합니다.일반 모든 위치를 상위 위치로 선택합니다.Submit(제출)을 클릭하여 검증합니다.
- IOS AP에 대한 그룹을 생성합니다.Device Type을 클릭합니다.Create(생성)를 클릭하여 새 그룹을 생성합니다.Name 필드에 그룹 이름(IOS_APs)을 입력합니다. 이 그룹에 대한 설명(LAB의 IOS AP)을 입력합니다.All Device Types(모든 디바이스 유형)를 Parent(상위)로 선택합니다.Submit(제출)을 클릭하여 검증합니다.
- AP를 추가합니다.Network Devices and AAA Clients를 클릭합니다.Name 필드에 IOS AP(AP)의 이름을 입력합니다. 해당 AP(IOS AP)에 대한 설명을 입력합니다.
Network Device Groups(네트워크 디바이스 그룹)에서 Location(위치) 필드 옆에 있는 Select(선택)를 클릭하고 IOS_lab 옆의 확인란을 선택한 다음 OK(확인)를 클릭하여 검증합니다.IP Address(IP 주소)에서 Single IP Address(단일 IP 주소)가 활성화되었는지 확인하고 AP의 IP 주소(10.105.136.11)를 입력합니다.
Authentication Options(인증 옵션)에서 RADIUS를 선택합니다.Shared Secret(공유 암호) 필드에 암호(Cisco)를 입력합니다. 다른 값을 기본값으로 유지합니다.Submit(제출)을 클릭하여 검증합니다.
- 무선 사용자 자격 증명을 추가합니다.Users and Identity Stores(사용자 및 ID 저장소) > Identity Groups(ID 그룹)로 이동합니다.Create(생성)를 클릭하여 새 그룹을 생성합니다.Name(이름) 필드에 그룹 이름(EAP_Users)을 입력합니다. 설명(EAP 무선 사용자)을 입력합니다. Submit(제출)을 클릭하여 검증합니다.
- 이 그룹에서 사용자를 만듭니다.사용자를 클릭합니다.Create(생성)를 클릭하여 새 사용자를 생성합니다.Name 필드에 사용자 이름(radius)을 입력합니다. 사용자 Status(상태)가 Enabled(활성화됨)인지 확인합니다.사용자에 대한 설명을 입력합니다(테스트 반경). ID 그룹 필드 옆에 있는 선택을 클릭하고 EAP_Users 옆의 확인란을 선택한 다음 확인을 클릭합니다.
Password Information(비밀번호 정보)에서 Password(비밀번호) 및 Confirm Password(비밀번호 확인) 필드에 <password>를 입력합니다.이 사용자는 네트워크에 액세스해야 하지만 관리를 위해 어떤 Cisco 장치에도 액세스할 필요가 없으므로 Enable Password가 필요하지 않습니다.
- Submit(제출)을 클릭하여 검증합니다.새 사용자가 목록에 나타나고 ACS가 준비되었습니다.
- Policy Elements(정책 요소) > Authorization and Permissions(권한 부여 및 권한) > Network Access(네트워크 액세스) > Authorization Profiles(권한 부여 프로파일)로 이동하여 사용자에게 액세스 권한이 부여되었는지 확인합니다.PermitAccess 프로필이 있어야 합니다.이 프로파일을 수신하는 사용자에게 네트워크에 대한 액세스 권한이 부여됩니다.
- Access Policies(액세스 정책) > Access Services(액세스 서비스) > Default Device Admin(기본 디바이스 관리자)으로 이동하여 권한 부여를 검토합니다.ID, 그룹 매핑 및 권한 부여가 선택되어 있는지 확인합니다.
- Allowed Protocols(허용된 프로토콜) 탭을 클릭하고 필요한 EAP 방법에 대한 상자를 선택한 다음 Submit(제출)을 클릭하여 검증합니다.
SSID 구성
이 절차에서는 AP에서 SSID(Service Set Identifier)를 구성하는 방법을 설명합니다.
- Cisco Secure ACS GUI에서 Security(보안) > SSID Manager로 이동합니다.New(새로 만들기)를 클릭하고 SSID 이름(radius)을 입력하고 두 라디오 인터페이스를 모두 활성화하고 Apply(적용)를 클릭합니다.
- Security(보안) > Encryption Manager(암호화 관리자)로 이동하고 AES CCMP를 암호로 선택한 다음 Apply-All(모두 적용)을 클릭하여 두 무선 모두에 이 암호화를 적용합니다.
- Security(보안) > SSID Manager(SSID 관리자)로 이동하고 radius SSID를 선택합니다.Client Authentication Settings(클라이언트 인증 설정) 섹션에서 Open Authentication(인증 열기)을 선택하고 드롭다운 목록에서 EAP로 선택하고 Network EAP(네트워크 EAP)를 선택합니다.
Client Authenticated Key Management(클라이언트 인증 키 관리) 섹션의 Key Management(키 관리) 드롭다운 목록에서 Mandatory(필수)를 선택하고 Enable WPA(WPA 활성화)를 선택한 다음 드롭다운 목록에서 WPAv2를 선택합니다.Apply를 클릭합니다.
- 두 무선 모두에서 이 SSID를 브로드캐스트하려면 동일한 페이지에서 Guest Mode/Infrastructure SSID Settings(게스트 모드/인프라 SSID 설정) 섹션을 찾습니다.두 무선 모두 Beacon Mode(신호 모드)를 Single BSSID(단일 BSSID)로 설정하고 Set Single Guest Mode SSID(단일 게스트 모드 SSID 설정) 드롭다운 목록에서 SSID 이름(radius)을 선택합니다.Apply를 클릭합니다.
- Network(네트워크) > Network Interface(네트워크 인터페이스) > Radio0-802.11n 2G.Hz > Settings(설정) > Enable(활성화)로 이동하여 두 무선 인터페이스를 모두 활성화합니다.
- 클라이언트 연결을 테스트합니다.
CLI를 사용한 구성
이는 CLI 내에서 수행되는 것과 동일한 컨피그레이션입니다.
show run
Building configuration...
Current configuration : 2511 bytes
!
! Last configuration change at 01:17:48 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$1u04$jr7DG0DC5KZ6bVaSYUhck0
!
aaa new-model
!
!
aaa group server radius rad_eap
server 10.106.55.91
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
ip cef
!
ip dhcp pool test
!
!
!
dot11 syslog
!
dot11 ssid radius
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa version 2
guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
!
encryption mode ciphers aes-ccm
!
ssid radius
!
antenna gain 0
stbc
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
!
encryption mode ciphers aes-ccm
!
ssid radius
!
antenna gain 0
dfs band 3 block
stbc
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address 10.105.136.11 255.255.255.128
!
ip default-gateway 10.105.136.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.105.136.1
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.106.55.91 key 7 00271A1507545A545C606C
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
transport input all
!
end
다음을 확인합니다.
이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.
클라이언트를 연결합니다.성공적인 인증 후 AP GUI에 표시되는 컨피그레이션 요약입니다.
CLI에서 show dot11 associations 명령을 입력하여 컨피그레이션을 확인합니다.
ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [radius] :
MAC Address IP address Device Name Parent State
f8db.7f75.7804 10.105.136.116 unknown - self EAP-Assoc
AP에 구성된 모든 RADIUS 서버 그룹 목록을 표시하려면 show radius server-group all 명령을 입력할 수도 있습니다.
문제 해결
이 절차에서는 컨피그레이션을 트러블슈팅하는 방법에 대해 설명합니다.
- 클라이언트 측 유틸리티 또는 소프트웨어에서 동일하거나 유사한 매개변수를 사용하여 새 프로파일 또는 연결을 생성하여 클라이언트 컨피그레이션에서 손상된 것이 없는지 확인합니다.
- RF(Radio Frequency) 문제로 인해 인증에 성공할 수 없습니다.이 가능성을 제거하기 위해 일시적으로 인증을 비활성화합니다.
- CLI에서 다음 명령을 입력합니다.
- 인증 open eap_method
- no authentication network-eap eap_method(인증 네트워크 eap_방법 없음)
- 인증 열기
- GUI의 SSID Manager 페이지에서 Network-EAP의 선택을 취소하고 Open(열기)을 선택하고 No Add(추가 없음)로 드롭다운 목록을 설정합니다.
클라이언트가 성공적으로 연결되면 RF는 연결 문제에 기여하지 않습니다.
- CLI에서 다음 명령을 입력합니다.
- 공유 암호 비밀번호가 AP와 인증 서버 간에 동기화되었는지 확인합니다.그렇지 않으면 다음 오류 메시지가 표시될 수 있습니다.
Invalid message authenticator in EAP request
- CLI에서 다음 행을 선택합니다.
radius-server host x.x.x.x auth-port x acct-port x key - GUI의 Server Manager(서버 관리자) 페이지에서 Shared Secret(공유 암호) 필드에 해당 서버에 대한 공유 암호를 다시 입력합니다.
RADIUS 서버의 AP에 대한 공유 암호 항목은 동일한 공유 암호 암호를 포함해야 합니다.
- CLI에서 다음 행을 선택합니다.
- RADIUS 서버에서 사용자 그룹을 제거합니다.RADIUS 서버에 의해 정의된 사용자 그룹과 기본 도메인의 사용자 그룹 간에 충돌이 발생할 수 있습니다.RADIUS 서버의 로그에서 실패한 시도 및 실패 원인을 확인합니다.
디바이스 간의 협상을 조사하고 표시하려면 다음 debug 명령을 사용합니다.
- debug dot11 aaa authenticator state-machine
- 디버그 radius 인증
- 디버그 aaa 인증
debug dot11 aaa authenticator state-machine
이 명령은 클라이언트와 인증 서버 간의 주요 협상 부서(또는 상태)를 표시합니다.다음은 성공적인 인증 출력의 예입니다.
ap#debug dot11 aaa authenticator state-machine
state machine debugging is on
ap#
*Mar 1 01:38:34.919: dot11_auth_dot1x_send_id_req_to_client: Sending identity
request to f8db.7f75.7804
*Mar 1 01:38:34.919: dot11_auth_dot1x_send_id_req_to_client: Client
f8db.7f75.7804 timer started for 30 seconds
*Mar 1 01:38:35.431: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,
CLIENT_REPLY) for f8db.7f75.7804
*Mar 1 01:38:35.431: dot11_auth_dot1x_send_response_to_server: Sending client
f8db.7f75.7804 data to server
*Mar 1 01:38:35.431: dot11_auth_dot1x_send_response_to_server: Started timer
server_timeout 60 seconds
*Mar 1 01:38:35.435: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_REPLY) for f8db.7f75.7804
*Mar 1 01:38:35.435: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804
*Mar 1 01:38:35.435: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
*Mar 1 01:38:35.443: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,
CLIENT_REPLY) for f8db.7f75.7804
*Mar 1 01:38:35.443: dot11_auth_dot1x_send_response_to_server: Sending client
f8db.7f75.7804 data to server
*Mar 1 01:38:35.443: dot11_auth_dot1x_send_response_to_server: Started timer
server_timeout 60 seconds
*Mar 1 01:38:35.447: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_REPLY) for f8db.7f75.7804
*Mar 1 01:38:35.447: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804
*Mar 1 01:38:35.447: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
-------------------Lines Omitted for simplicity-------------------
*Mar 1 01:38:36.663: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_REPLY) for f8db.7f75.7804
*Mar 1 01:38:36.663: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804
*Mar 1 01:38:36.663: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
*Mar 1 01:38:36.667: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,
CLIENT_REPLY) for f8db.7f75.7804
*Mar 1 01:38:36.667: dot11_auth_dot1x_send_response_to_server: Sending client
f8db.7f75.7804 data to server
*Mar 1 01:38:36.667: dot11_auth_dot1x_send_response_to_server: Started timer
server_timeout 60 seconds
*Mar 1 01:38:36.671: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_PASS) for f8db.7f75.7804
*Mar 1 01:38:36.671: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804
*Mar 1 01:38:36.671: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
*Mar 1 01:38:36.719: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
f8db.7f75.7804 Associated KEY_MGMT[WPAv2]
디버그 radius 인증
이 명령은 서버와 클라이언트 간의 RADIUS 협상을 표시합니다. 두 협상 모두 AP에 의해 브리지됩니다.다음은 성공적인 인증 출력의 예입니다.
ap#debug radius authentication
*Mar 1 01:50:50.635: RADIUS/ENCODE(000001F6):Orig. component type = DOT11
*Mar 1 01:50:50.635: RADIUS: AAA Unsupported Attr: ssid [347] 6
*Mar 1 01:50:50.635: RADIUS: 72 61 64 69 [ radi]
*Mar 1 01:50:50.635: RADIUS: AAA Unsupported Attr: service-type [345] 4 1
*Mar 1 01:50:50.635: RADIUS: AAA Unsupported Attr: interface [222] 3
*Mar 1 01:50:50.635: RADIUS: 32 [ 2]
*Mar 1 01:50:50.635: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar 1 01:50:50.635: RADIUS(000001F6): Config NAS IPv6:
*Mar 1 01:50:50.635: RADIUS/ENCODE(000001F6): acct_session_id: 491
*Mar 1 01:50:50.635: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar 1 01:50:50.635: RADIUS(000001F6): sending
*Mar 1 01:50:50.635: RADIUS(000001F6): Send Access-Request to 10.106.55.91:1645
id 1645/73, len 140
*Mar 1 01:50:50.635: RADIUS: authenticator 0F 74 18 0E F3 08 ED 51 -
8B EA F7 31 AC C9 CA 6B
*Mar 1 01:50:50.635: RADIUS: User-Name [1] 8 "radius"
*Mar 1 01:50:50.635: RADIUS: Framed-MTU [12] 6 1400
*Mar 1 01:50:50.635: RADIUS: Called-Station-Id [30] 26 "1C-E6-C7-E1-D8-90:
radius"
*Mar 1 01:50:50.635: RADIUS: Calling-Station-Id [31] 16 "f8db.7f75.7804"
*Mar 1 01:50:50.635: RADIUS: Service-Type [6] 6 Login [1]
*Mar 1 01:50:50.635: RADIUS: Message-Authenticato[80] 18
*Mar 1 01:50:50.635: RADIUS: E3 E1 50 F8 2B 22 26 84 C1 F1 76 28 79 70 5F 78
[ P+"&v(yp_x]
*Mar 1 01:50:50.635: RADIUS: EAP-Message [79] 13
*Mar 1 01:50:50.635: RADIUS: 02 01 00 0B 01 72 61 64 69 75 73
[ radius]
*Mar 1 01:50:50.635: RADIUS: NAS-Port-Type [61] 6 802.11 wireless
[19]
*Mar 1 01:50:50.635: RADIUS: NAS-Port [5] 6 282
*Mar 1 01:50:50.635: RADIUS: NAS-Port-Id [87] 5 "282"
*Mar 1 01:50:50.635: RADIUS: NAS-IP-Address [4] 6 10.105.136.11
*Mar 1 01:50:50.635: RADIUS: Nas-Identifier [32] 4 "ap"
*Mar 1 01:50:50.635: RADIUS(000001F6): Sending a IPv4 Radius Packet
*Mar 1 01:50:50.635: RADIUS(000001F6): Started 5 sec timeout
*Mar 1 01:50:50.639: RADIUS: Received from id 1645/73 10.106.55.91:1645, Access
-Challenge, len 94
*Mar 1 01:50:50.639: RADIUS: authenticator 5E A4 A7 B9 01 CC F4 20 -
2E D0 2A 1A A4 58 05 9E
*Mar 1 01:50:50.639: RADIUS: State [24] 32
*Mar 1 01:50:50.639: RADIUS: 32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar 1 01:50:50.639: RADIUS: 31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B [ 1
/165489511/9;]
*Mar 1 01:50:50.639: RADIUS: EAP-Message [79] 24
*Mar 1 01:50:50.639: RADIUS: 01 DC 00 16 11 01 00 08 00 CB 2A 0A 74 B3 77 AF
72 61 64 69 75 73 [ *twradius]
*Mar 1 01:50:50.639: RADIUS: Message-Authenticato[80] 18
*Mar 1 01:50:50.643: RADIUS: CC 44 D5 FE FC 86 BC 2D B0 89 61 69 4F 34 D1 FF
[ D-aiO4]
*Mar 1 01:50:50.643: RADIUS(000001F6): Received from id 1645/73
*Mar 1 01:50:50.643: RADIUS/DECODE: EAP-Message fragments, 22, total 22 bytes
*Mar 1 01:50:50.647: RADIUS/ENCODE(000001F6):Orig. component type = DOT11
*Mar 1 01:50:50.647: RADIUS: AAA Unsupported Attr: ssid [347] 6
*Mar 1 01:50:50.647: RADIUS: 72 61 64 69 [ radi]
*Mar 1 01:50:50.647: RADIUS: AAA Unsupported Attr: service-type [345] 4
1
*Mar 1 01:50:50.647: RADIUS: AAA Unsupported Attr: interface [222] 3
*Mar 1 01:50:50.647: RADIUS: 32 [ 2]
*Mar 1 01:50:50.647: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar 1 01:50:50.647: RADIUS(000001F6): Config NAS IPv6:
*Mar 1 01:50:50.647: RADIUS/ENCODE(000001F6): acct_session_id: 491
*Mar 1 01:50:50.647: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar 1 01:50:50.647: RADIUS(000001F6): sending
*Mar 1 01:50:50.647: RADIUS(000001F6): Send Access-Request to 10.106.55.91:1645
id 1645/74, len 167
*Mar 1 01:50:50.647: RADIUS: authenticator C6 54 54 B8 58 7E ED 60 - F8 E0 2E
05 B0 87 3B 76
*Mar 1 01:50:50.647: RADIUS: User-Name [1] 8 "radius"
*Mar 1 01:50:50.647: RADIUS: Framed-MTU [12] 6 1400
*Mar 1 01:50:50.647: RADIUS: Called-Station-Id [30] 26 "1C-E6-C7-E1-D8-90:
radius"
*Mar 1 01:50:50.647: RADIUS: Calling-Station-Id [31] 16 "f8db.7f75.7804"
*Mar 1 01:50:50.647: RADIUS: Service-Type [6] 6 Login
[1]
*Mar 1 01:50:50.647: RADIUS: Message-Authenticato[80] 18
*Mar 1 01:50:50.647: RADIUS: FE 15 7B DB 49 FE 27 C5 BC E2 FE 83 B9 25 8C 1F
[ {I'?]
*Mar 1 01:50:50.647: RADIUS: EAP-Message [79] 8
*Mar 1 01:50:50.647: RADIUS: 02 DC 00 06 03 19
*Mar 1 01:50:50.647: RADIUS: NAS-Port-Type [61] 6 802.11 wireless
[19]
*Mar 1 01:50:50.647: RADIUS: NAS-Port [5] 6 282
*Mar 1 01:50:50.647: RADIUS: NAS-Port-Id [87] 5 "282"
*Mar 1 01:50:50.647: RADIUS: State [24] 32
*Mar 1 01:50:50.647: RADIUS: 32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar 1 01:50:50.647: RADIUS: 31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B [ 1
/165489511/9;]
*Mar 1 01:50:50.647: RADIUS: NAS-IP-Address [4] 6 10.105.136.11
*Mar 1 01:50:50.647: RADIUS: Nas-Identifier [32] 4 "ap"
*Mar 1 01:50:50.647: RADIUS(000001F6): Sending a IPv4 Radius Packet
*Mar 1 01:50:50.647: RADIUS(000001F6): Started 5 sec timeout
*Mar 1 01:50:50.647: RADIUS: Received from id 1645/74 10.106.55.91:1645, Access
-Challenge, len 78
*Mar 1 01:50:50.647: RADIUS: authenticator 0E 81 99 9E EE 39 50 FB - 6E 6D 93
8C 8E 29 94 EC
*Mar 1 01:50:50.647: RADIUS: State [24] 32
*Mar 1 01:50:50.651: RADIUS: 32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar 1 01:50:50.651: RADIUS: 31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B [ 1
/165489511/9;]
*Mar 1 01:50:50.651: RADIUS: EAP-Message [79] 8
*Mar 1 01:50:50.651: RADIUS: 01 DD 00 06 19 21 [ !]
*Mar 1 01:50:50.651: RADIUS: Message-Authenticato[80] 18
*Mar 1 01:50:50.651: RADIUS: A8 54 00 89 1F 2A 01 52 FE FA D2 58 2F E5 F2 86
[ T*RX/]
*Mar 1 01:50:50.651: RADIUS(000001F6): Received from id 1645/74
*Mar 1 01:50:50.651: RADIUS/DECODE: EAP-Message fragments, 6, total 6 bytes
*Mar 1 01:50:50.655: RADIUS/ENCODE(000001F6):Orig. component type = DOT11
*Mar 1 01:50:50.655: RADIUS: AAA Unsupported Attr: ssid [347] 6
*Mar 1 01:50:50.655: RADIUS: 72 61 64 69 [ radi]
*Mar 1 01:50:50.655: RADIUS: AAA Unsupported Attr: service-type [345] 4
1
*Mar 1 01:50:50.655: RADIUS: AAA Unsupported Attr: interface [222] 3
-------------------Lines Omitted for simplicity-------------------
11 [ l2^w$qM{60]
*Mar 1 01:50:51.115: RADIUS: NAS-Port-Type [61] 6 802.11 wireless
[19]
*Mar 1 01:50:51.115: RADIUS: NAS-Port [5] 6 282
*Mar 1 01:50:51.115: RADIUS: NAS-Port-Id [87] 5 "282"
*Mar 1 01:50:51.115: RADIUS: State [24] 32
*Mar 1 01:50:51.115: RADIUS: 32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar 1 01:50:51.115: RADIUS: 31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B [ 1
/165489511/9;]
*Mar 1 01:50:51.115: RADIUS: NAS-IP-Address [4] 6 10.105.136.11
*Mar 1 01:50:51.115: RADIUS: Nas-Identifier [32] 4 "ap"
*Mar 1 01:50:51.115: RADIUS(000001F6): Sending a IPv4 Radius Packet
*Mar 1 01:50:51.115: RADIUS(000001F6): Started 5 sec timeout
*Mar 1 01:50:51.115: RADIUS: Received from id 1645/80 10.106.55.91:1645, Access
-Challenge, len 115
*Mar 1 01:50:51.115: RADIUS: authenticator 74 CF 0F 34 1F 1B C1 CF -
E9 27 79 D5 F8 9C 5C 50
*Mar 1 01:50:51.467: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
f8db.7f75.7804 Associated KEY_MGMT[WPAv2]
디버그 aaa 인증
이 명령은 클라이언트 디바이스와 인증 서버 간의 인증을 위한 AAA 협상을 표시합니다.
ap#debug aaa authentication
AAA Authentication debugging is on
ap#term mon
ap#
*Mar 1 01:55:52.335: AAA/BIND(000001F9): Bind i/f
*Mar 1 01:55:52.859: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:52.867: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:52.875: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:52.895: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.219: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.379: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.395: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.807: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.879: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.939: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
f8db.7f75.7804 Associated KEY_MGMT[WPAv2]
피드백