802.1X clientuitsluiting op een AireOS-WLC

Downloadopties

  • PDF     (176.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (129.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (160.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:26 juni 2020
Document-id:214466

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de uitsluiting van 802.1X client in een AireOS draadloze LAN-controller (WLC). 802.1X clientuitsluiting is een belangrijke optie om een 802.1X-authenticator te gebruiken, zoals een WLC. Dit om te voorkomen dat de EMATIGSE-serverinfrastructuur overbelast wordt door MAP-klanten (Extensible Authentication Protocol) die hyperactief zijn of onjuist functioneren.

    Voorwaarden 

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Aire OS-WLC
    • 802.1x-protocol
    • Inbelservice voor externe verificatie (RADIUS)
    • Identity Services Engine (ISE)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op AireOS.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

    Gebruikershandleidingen

    Voorbeelden van gebruikersgevallen zijn: 

    • Een MAP-applicatie die is ingesteld met onjuiste aanmeldingsgegevens. De meeste smeekbeden, zoals MAP-bevrachters, stoppen de pogingen tot authenticatie na een paar opeenvolgende mislukkingen. Maar sommige EAP-smeekbeden blijven proberen om na mislukking nog eens te authentiseren, mogelijk vele malen per seconde. Sommige klanten overladen RADIUS-servers en veroorzaken een serviceklasse (DoS) voor het hele netwerk.
    • Na een grote netwerkuitval zouden honderden of duizenden EAP klanten tegelijkertijd kunnen proberen om authentiek te verklaren. Als gevolg daarvan kunnen de detectieservers worden overbelast en een trage respons bieden. Als de klanten of de authenticator tijd uit zijn voordat de langzame respons wordt verwerkt, kan een vicieuze cyclus voorkomen waar de authenticatie pogingen om te vertragen verder gaat en dan proberen om de respons opnieuw te verwerken.

    Opmerking: Er is een toelatingscontrole-mechanisme nodig om de pogingen tot echtheidscontrole te doen slagen.

    Hoe werkt 802.1X clientuitsluiting

    802.1X Clientuitsluiting voorkomt dat cliënten gedurende een periode na buitensporige 802.1X-echtheidsfouten een echtheidscontrole kunnen uitvoeren. Op een AireOS WLC 802.1X is uitsluiting van cliënten wereldwijd mogelijk onder Beveiligings > Draadloos beschermingsbeleid > Uitsluitingsbeleid van cliënten en kan deze afbeelding zien.

    De uitsluiting van de client kan per-WLAN-basis worden ingeschakeld of uitgeschakeld. Standaard is deze functie ingeschakeld met een tijd van 60 seconden voordat AireOS 8.5 en 180 seconden wordt gestart in AireOS 8.5.

    Instellingen uitsluiting om RADIUS-servers te beschermen tegen overbelasting

    Om te bevestigen dat de RADIUS-server beschermd is tegen overbelasting door draadloze klanten die niet correct werken, controleert u of deze instellingen in werking zijn:

    • Excessieve 802.1X verificatiefuncties worden geselecteerd in het wereldwijde beleid van de WLC om client uit te sluiten.
    • De uitsluiting van client is ingesteld op Enabled in de geavanceerde instellingen van WLAN.
    • Time-outwaarde voor uitsluiting van client is ingesteld op 60 tot 300 seconden.

      Opmerking: Waarden hoger dan 300 seconden bieden een betere bescherming, maar kunnen aanleiding geven tot klachten van gebruikers.

    • EAP-timers voor AireOS en ISE Protected Extensible Authentication Protocol (PEAP)-instellingen configureren


    Problemen die uitsluiting van 802.1X van werk voorkomen

    Verschillende configuratie-instellingen, zowel in de WLC als in de RADIUS-server, kunnen voorkomen dat 802.1X-clientuitsluiting werkt.

    Clients zijn niet uitgesloten vanwege MAP WLC

    Draadloze klanten worden standaard niet uitgesloten wanneer de uitsluiting van client is ingesteld op Enabled on the WLAN. Dit is te wijten aan lange, in gebreke gebleven, EMAP-termijnen van 30 seconden, die een cliënt die zich misdraagt, ertoe brengen nooit voldoende opeenvolgende mislukkingen te doorstaan om een uitsluiting te veroorzaken. Het instellen van kortere MAP-termijnen met een groter aantal terugzendingen zodat de 802.1X-clientuitsluiting van kracht kan worden. Zie het voorbeeld van de tijdelijke versie.

    config advanced eap identity-request-timeout 3
    config advanced eap identity-request-retries 10
    config advanced eap request-timeout 3
    config advanced eap request-retries 10

    Clients zijn niet uitgesloten vanwege ISE PEAP-instellingen

    Om ervoor te zorgen dat 802.1X-clientuitsluiting werkt, moet de RADIUS-server een toegangsverwerp verzenden wanneer de verificatie niet verloopt. Als de RADIUS-server ISE is en PEAP in gebruik is, zal uitsluiting mogelijk niet gebeuren en hangt het af van de ISE PEAP-instellingen. navigeren binnen ISE naar Policy > Resultaten > Verificatie > Geboden protocollen > Standaard netwerktoegang zoals in de afbeelding weergegeven. 

    Als u Retries (rood op rechts omcirkeld) op 0 instelt, moet ISE Access-Afwijzen direct naar de WLC sturen, die de WLC in staat moet stellen om de client uit te sluiten (als deze drie keer probeert te authentiseren). 

    Opmerking: De instelling van de Retries is ietwat onafhankelijk van het selectieteken Wachtwoord toestaan, d.w.z. de Retries-waarde wordt nagekomen, zelfs indien Wachtwoordwijziging niet is ingeschakeld. Als Retries echter op 0 is ingesteld, werkt Wachtwoordwijziging niet.

    Gerelateerde informatie

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Aaron Leonard
      Cisco TAC-ingenieur
    • Shankar Ramanathan
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco