Exclusão de cliente 802.1X em uma WLC AireOS

Opções de download

  • PDF     (177.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (129.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (160.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:26 de Junho de 2020
ID do documento:214466

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve a exclusão de cliente 802.1X em um AireOS Wireless LAN Controller (WLC). A Exclusão de Cliente 802.1X é uma opção importante a ter em um autenticador 802.1X, como uma WLC. Isso evita uma sobrecarga da infraestrutura do servidor de autenticação por clientes EAP (Extensible Authentication Protocol) que são hiperativos ou funcionam incorretamente.

    Prerequisites 

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • WLC Cisco AireOS
    • Protocolo 802.1X
    • Remote Authentication Dial-In User Service (RADIUS)
    • Identity Service Engine (ISE)

    Componentes Utilizados

    As informações neste documento são baseadas no AireOS.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Casos de usuário

    Exemplos de casos de usuário incluem: 

    • Um requerente EAP configurado com credenciais incorretas. A maioria dos suplicantes, como os suplicantes EAP, cessam as tentativas de autenticação após algumas falhas sucessivas. No entanto, alguns requerentes EAP continuam tentando reautenticar em caso de falha, possivelmente muitas vezes por segundo. Alguns clientes sobrecarregam servidores RADIUS e causam uma negação de serviço (DoS) para toda a rede.
    • Após um grande failover de rede, centenas ou milhares de clientes EAP podem tentar autenticar simultaneamente. Como resultado, os servidores de autenticação podem estar sobrecarregados e fornecer uma resposta lenta. Se o tempo limite do cliente ou do autenticador for processado antes que a resposta lenta seja processada, um ciclo vicioso poderá ocorrer quando as tentativas de autenticação continuarem com o tempo limite e, em seguida, tentar processar a resposta novamente.

    Note: É necessário um mecanismo de controle de admissão para permitir que as tentativas de autenticação sejam bem-sucedidas.

    Como funciona a exclusão do cliente 802.1X

    A exclusão do cliente 802.1X impede que os clientes enviem tentativas de autenticação por um período de tempo após falhas excessivas de autenticação do 802.1X. Em um AireOS WLC 802.1X, a exclusão do cliente é globalmente habilitada em Security > Wireless Protection Policies > Client Exclusion Policies por padrão e pode ser vista nesta imagem.

    A exclusão de clientes pode ser ativada ou desativada em uma base por WLAN. Por padrão, ele é ativado com um tempo limite de 60 segundos antes do AireOS 8.5 e 180 segundos, iniciando no AireOS 8.5.

    Configurações de exclusão para proteger servidores RADIUS contra sobrecarga

    Para validar se o servidor RADIUS está protegido contra sobrecarga devido a clientes sem fio que funcionam incorretamente, verifique se essas configurações estão em vigor:

    • Falhas de Autenticação 802.1X Excessivas são selecionadas nas Políticas de Exclusão de Cliente globais da WLC.
    • A Exclusão do Cliente está definida como Ativada nas definições avançadas da WLAN.
    • O Valor de Tempo Limite de Exclusão do Cliente é definido como 60 a 300 segundos.

      Note: Valores superiores a 300 segundos proporcionam uma melhor proteção, mas podem desencadear reclamações do utilizador.

    • Configurar os temporizadores EAP do AireOS e as configurações PEAP (Protected Extensible Authentication Protocol) do ISEOS


    Problemas que impedem a exclusão do 802.1X de funcionar

    Várias definições de configuração, no WLC e no servidor RADIUS, podem impedir que a Exclusão de Cliente 802.1X funcione.

    Clientes não excluídos devido às configurações do temporizador EAP da WLC

    Por padrão, os clientes sem fio não são excluídos quando a Exclusão do cliente está definida como Ativada na WLAN. Isso se deve ao longo tempo limite de EAP padrão de 30 segundos, o que faz com que um cliente que se comporta mal nunca atinja falhas sucessivas suficientes para disparar uma exclusão. Configure tempos limite EAP mais curtos com números maiores de retransmissões para permitir que a Exclusão do Cliente 802.1X tenha efeito. Veja o exemplo de tempo limite.

    config advanced eap identity-request-timeout 3
    config advanced eap identity-request-retries 10
    config advanced eap request-timeout 3
    config advanced eap request-retries 10

    Clientes não excluídos devido às configurações PEAP do ISE

    Para que a Exclusão do Cliente 802.1X funcione, o servidor RADIUS deve enviar um Access-Reject quando a autenticação falhar. Se o servidor RADIUS for ISE e PEAP estiver em uso, a exclusão poderá não ocorrer e depende das configurações PEAP do ISE. No ISE, navegue até Policy > Results > Authentication > Allowed Protocols > Default Network Access , conforme mostrado na imagem. 

    Se você definir Retenções (assinalado em vermelho à direita) como 0, o ISE deve enviar Access-Reject imediatamente para a WLC, que deve habilitar a WLC para excluir o cliente (se tentar três vezes autenticar). 

    Observação: a configuração de Tentativas é um pouco independente da caixa de seleção Permitir alteração de senha, ou seja, o valor de Tentativas será respeitado, mesmo que Permitir alteração de senha esteja desmarcado. No entanto, se as Tentativas estiverem definidas como 0, Permitir Alteração de Senha não funcionará.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Aaron Leonard
      Cisco TAC Engineer
    • Shankar Ramanathan
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco