Inleiding
Dit document beschrijft de uitsluiting van 802.1X client in een AireOS draadloze LAN-controller (WLC). 802.1X clientuitsluiting is een belangrijke optie om een 802.1X-authenticator te gebruiken, zoals een WLC. Dit om te voorkomen dat de EMATIGSE-serverinfrastructuur overbelast wordt door MAP-klanten (Extensible Authentication Protocol) die hyperactief zijn of onjuist functioneren.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Aire OS-WLC
- 802.1x-protocol
- Inbelservice voor externe verificatie (RADIUS)
- Identity Services Engine (ISE)
Gebruikte componenten
De informatie in dit document is gebaseerd op AireOS.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Gebruikershandleidingen
Voorbeelden van gebruikersgevallen zijn:
- Een MAP-applicatie die is ingesteld met onjuiste aanmeldingsgegevens. De meeste smeekbeden, zoals MAP-bevrachters, stoppen de pogingen tot authenticatie na een paar opeenvolgende mislukkingen. Maar sommige EAP-smeekbeden blijven proberen om na mislukking nog eens te authentiseren, mogelijk vele malen per seconde. Sommige klanten overladen RADIUS-servers en veroorzaken een serviceklasse (DoS) voor het hele netwerk.
- Na een grote netwerkuitval zouden honderden of duizenden EAP klanten tegelijkertijd kunnen proberen om authentiek te verklaren. Als gevolg daarvan kunnen de detectieservers worden overbelast en een trage respons bieden. Als de klanten of de authenticator tijd uit zijn voordat de langzame respons wordt verwerkt, kan een vicieuze cyclus voorkomen waar de authenticatie pogingen om te vertragen verder gaat en dan proberen om de respons opnieuw te verwerken.
Opmerking: Er is een toelatingscontrole-mechanisme nodig om de pogingen tot echtheidscontrole te doen slagen.
Hoe werkt 802.1X clientuitsluiting
802.1X Clientuitsluiting voorkomt dat cliënten gedurende een periode na buitensporige 802.1X-echtheidsfouten een echtheidscontrole kunnen uitvoeren. Op een AireOS WLC 802.1X is uitsluiting van cliënten wereldwijd mogelijk onder Beveiligings > Draadloos beschermingsbeleid > Uitsluitingsbeleid van cliënten en kan deze afbeelding zien.

De uitsluiting van de client kan per-WLAN-basis worden ingeschakeld of uitgeschakeld. Standaard is deze functie ingeschakeld met een tijd van 60 seconden voordat AireOS 8.5 en 180 seconden wordt gestart in AireOS 8.5.

Instellingen uitsluiting om RADIUS-servers te beschermen tegen overbelasting
Om te bevestigen dat de RADIUS-server beschermd is tegen overbelasting door draadloze klanten die niet correct werken, controleert u of deze instellingen in werking zijn:
Problemen die uitsluiting van 802.1X van werk voorkomen
Verschillende configuratie-instellingen, zowel in de WLC als in de RADIUS-server, kunnen voorkomen dat 802.1X-clientuitsluiting werkt.
Clients zijn niet uitgesloten vanwege MAP WLC
Draadloze klanten worden standaard niet uitgesloten wanneer de uitsluiting van client is ingesteld op Enabled on the WLAN. Dit is te wijten aan lange, in gebreke gebleven, EMAP-termijnen van 30 seconden, die een cliënt die zich misdraagt, ertoe brengen nooit voldoende opeenvolgende mislukkingen te doorstaan om een uitsluiting te veroorzaken. Het instellen van kortere MAP-termijnen met een groter aantal terugzendingen zodat de 802.1X-clientuitsluiting van kracht kan worden. Zie het voorbeeld van de tijdelijke versie.
config advanced eap identity-request-timeout 3
config advanced eap identity-request-retries 10
config advanced eap request-timeout 3
config advanced eap request-retries 10
Clients zijn niet uitgesloten vanwege ISE PEAP-instellingen
Om ervoor te zorgen dat 802.1X-clientuitsluiting werkt, moet de RADIUS-server een toegangsverwerp verzenden wanneer de verificatie niet verloopt. Als de RADIUS-server ISE is en PEAP in gebruik is, zal uitsluiting mogelijk niet gebeuren en hangt het af van de ISE PEAP-instellingen. navigeren binnen ISE naar Policy > Resultaten > Verificatie > Geboden protocollen > Standaard netwerktoegang zoals in de afbeelding weergegeven.

Als u Retries (rood op rechts omcirkeld) op 0 instelt, moet ISE Access-Afwijzen direct naar de WLC sturen, die de WLC in staat moet stellen om de client uit te sluiten (als deze drie keer probeert te authentiseren).
Opmerking: De instelling van de Retries is ietwat onafhankelijk van het selectieteken Wachtwoord toestaan, d.w.z. de Retries-waarde wordt nagekomen, zelfs indien Wachtwoordwijziging niet is ingeschakeld. Als Retries echter op 0 is ingesteld, werkt Wachtwoordwijziging niet.
Gerelateerde informatie