802.1X clientuitsluiting op een AireOS-WLC

Inleiding

Dit document beschrijft de uitsluiting van 802.1X client in een AireOS draadloze LAN-controller (WLC). 802.1X clientuitsluiting is een belangrijke optie om een 802.1X-authenticator te gebruiken, zoals een WLC. Dit om te voorkomen dat de EMATIGSE-serverinfrastructuur overbelast wordt door MAP-klanten (Extensible Authentication Protocol) die hyperactief zijn of onjuist functioneren.

Voorwaarden 

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco Aire OS-WLC
• 802.1x-protocol
• Inbelservice voor externe verificatie (RADIUS)
• Identity Services Engine (ISE)

Gebruikte componenten

De informatie in dit document is gebaseerd op AireOS.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

Gebruikershandleidingen

Voorbeelden van gebruikersgevallen zijn: 

• Een MAP-applicatie die is ingesteld met onjuiste aanmeldingsgegevens. De meeste smeekbeden, zoals MAP-bevrachters, stoppen de pogingen tot authenticatie na een paar opeenvolgende mislukkingen. Maar sommige EAP-smeekbeden blijven proberen om na mislukking nog eens te authentiseren, mogelijk vele malen per seconde. Sommige klanten overladen RADIUS-servers en veroorzaken een serviceklasse (DoS) voor het hele netwerk.
• Na een grote netwerkuitval zouden honderden of duizenden EAP klanten tegelijkertijd kunnen proberen om authentiek te verklaren. Als gevolg daarvan kunnen de detectieservers worden overbelast en een trage respons bieden. Als de klanten of de authenticator tijd uit zijn voordat de langzame respons wordt verwerkt, kan een vicieuze cyclus voorkomen waar de authenticatie pogingen om te vertragen verder gaat en dan proberen om de respons opnieuw te verwerken.

Opmerking: Er is een toelatingscontrole-mechanisme nodig om de pogingen tot echtheidscontrole te doen slagen.

Hoe werkt 802.1X clientuitsluiting

802.1X Clientuitsluiting voorkomt dat cliënten gedurende een periode na buitensporige 802.1X-echtheidsfouten een echtheidscontrole kunnen uitvoeren. Op een AireOS WLC 802.1X is uitsluiting van cliënten wereldwijd mogelijk onder Beveiligings > Draadloos beschermingsbeleid > Uitsluitingsbeleid van cliënten en kan deze afbeelding zien.

De uitsluiting van de client kan per-WLAN-basis worden ingeschakeld of uitgeschakeld. Standaard is deze functie ingeschakeld met een tijd van 60 seconden voordat AireOS 8.5 en 180 seconden wordt gestart in AireOS 8.5.

Instellingen uitsluiting om RADIUS-servers te beschermen tegen overbelasting

Om te bevestigen dat de RADIUS-server beschermd is tegen overbelasting door draadloze klanten die niet correct werken, controleert u of deze instellingen in werking zijn:

• Excessieve 802.1X verificatiefuncties worden geselecteerd in het wereldwijde beleid van de WLC om client uit te sluiten.
• De uitsluiting van client is ingesteld op Enabled in de geavanceerde instellingen van WLAN.
• Time-outwaarde voor uitsluiting van client is ingesteld op 60 tot 300 seconden.
  

  Opmerking: Waarden hoger dan 300 seconden bieden een betere bescherming, maar kunnen aanleiding geven tot klachten van gebruikers.

• EAP-timers voor AireOS en ISE Protected Extensible Authentication Protocol (PEAP)-instellingen configureren

Problemen die uitsluiting van 802.1X van werk voorkomen

Verschillende configuratie-instellingen, zowel in de WLC als in de RADIUS-server, kunnen voorkomen dat 802.1X-clientuitsluiting werkt.

Clients zijn niet uitgesloten vanwege MAP WLC

Draadloze klanten worden standaard niet uitgesloten wanneer de uitsluiting van client is ingesteld op Enabled on the WLAN. Dit is te wijten aan lange, in gebreke gebleven, EMAP-termijnen van 30 seconden, die een cliënt die zich misdraagt, ertoe brengen nooit voldoende opeenvolgende mislukkingen te doorstaan om een uitsluiting te veroorzaken. Het instellen van kortere MAP-termijnen met een groter aantal terugzendingen zodat de 802.1X-clientuitsluiting van kracht kan worden. Zie het voorbeeld van de tijdelijke versie.

config advanced eap identity-request-timeout 3
config advanced eap identity-request-retries 10
config advanced eap request-timeout 3
config advanced eap request-retries 10

Clients zijn niet uitgesloten vanwege ISE PEAP-instellingen

Om ervoor te zorgen dat 802.1X-clientuitsluiting werkt, moet de RADIUS-server een toegangsverwerp verzenden wanneer de verificatie niet verloopt. Als de RADIUS-server ISE is en PEAP in gebruik is, zal uitsluiting mogelijk niet gebeuren en hangt het af van de ISE PEAP-instellingen. navigeren binnen ISE naar Policy > Resultaten > Verificatie > Geboden protocollen > Standaard netwerktoegang zoals in de afbeelding weergegeven. 

Als u Retries (rood op rechts omcirkeld) op 0 instelt, moet ISE Access-Afwijzen direct naar de WLC sturen, die de WLC in staat moet stellen om de client uit te sluiten (als deze drie keer probeert te authentiseren). 

Opmerking: De instelling van de Retries is ietwat onafhankelijk van het selectieteken Wachtwoord toestaan, d.w.z. de Retries-waarde wordt nagekomen, zelfs indien Wachtwoordwijziging niet is ingeschakeld. Als Retries echter op 0 is ingesteld, werkt Wachtwoordwijziging niet.

Gerelateerde informatie

• Cisco plug-in: CSCsq16858
• Beletten dat radiofrequenties van draadloze RADIUS-netwerkmodules op grote schaal
• Technische ondersteuning en documentatie – Cisco Systems