验证AireOS WLC上的802.1X客户端排除
简介
本文档介绍AireOS无线局域网控制器(WLC)上的802.1X客户端排除。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科AireOS WLC
- 802.1X协议
- 远程用户拨入认证系统(RADIUS)
- 身份服务引擎(ISE)
使用的组件
本文档中的信息基于AireOS。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
802.1X客户端排除是802.1X身份验证器(例如WLC)上必须具备的重要选项。这是为了防止可扩展身份验证协议(EAP)客户端超活动或功能不当导致身份验证服务器基础设施过载。
用户案例
示例使用案例包括:
- 配置了错误凭证的EAP请求方。大多数请求方(例如EAP请求方)在连续几次失败后停止身份验证尝试。但是,有些EAP请求方在出现故障时继续尝试重新进行身份验证,可能每秒多次尝试。某些客户端会过载RADIUS服务器并导致整个网络的拒绝服务(DoS)。
- 在进行主要网络故障转移后,数百或数千个EAP客户端可以同时尝试进行身份验证。因此,身份验证服务器可能超载并提供缓慢的响应。如果客户端或身份验证器在处理缓慢响应之前超时,则可能会出现恶性循环,其中身份验证尝试继续超时,然后尝试再次处理响应。
802.1X客户端排除的工作原理
802.1X Client Exclusion(802.1X客户端排除)可防止客户端在802.1X身份验证失败过多之后的一段时间内发送身份验证尝试。在AireOS WLC 802.1X上,默认情况下,通过导航到Security > Wireless Protection Policies > Client Exclusion Policies全局启用客户端排除,并且可以在此映像中看到。
可以针对每个WLAN启用或禁用客户端排除。默认情况下,在AireOS 8.5之前启用此功能,超时为60秒,在AireOS 8.5中启动为180秒。
用于保护RADIUS服务器免于过载的排除设置
要验证RADIUS服务器是否因无线客户端功能错误而过载,请验证以下设置是否有效:
- 在WLC全局客户端排除策略中选择了过多的802.1X身份验证失败。
- 在WLAN高级设置中,“客户端排除”设置为“启用”。
- 客户端排除超时值设置为60到300秒。
- 配置AireOS EAP计时器和ISE保护可扩展身份验证协议(PEAP)设置
导致802.1X排除无法正常运行的问题
在WLC和RADIUS服务器中的多个配置设置可能会阻止802.1X客户端排除正常工作。
由于WLC EAP计时器设置,未排除客户端
默认情况下,在WLAN上将Client Exclusion设置为Enabled时,不会排除无线客户端。这是因为默认EAP超时时间较长,为30秒,导致行为不正确的客户端永远不会达到足够的连续故障来触发排除。配置更短的EAP超时,增加重新传输次数,以使802.1X客户端排除生效。请参阅超时示例。
config advanced eap identity-request-timeout 3
config advanced eap identity-request-retries 10
config advanced eap request-timeout 3
config advanced eap request-retries 10
由于ISE PEAP设置未排除的客户端
为使802.1X客户端排除正常工作,身份验证失败时,RADIUS服务器必须发送Access-Reject。如果RADIUS服务器是ISE且正在使用PEAP,则不会发生排除,取决于ISE PEAP设置。在ISE中,导航到Policy > Results > Authentication > Allowed Protocols > Default Network Access,如图所示。
如果将Retries(在右边用红色圈出)设置为0,则ISE必须立即向WLC发送Access-Reject,WLC必须启用WLC以排除客户端(如果它尝试三次进行身份验证)。
注意:有关详细信息,请查看Cisco Bug ID CSCsq16858。只有注册的思科用户才能访问思科漏洞工具和信息。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
29-Jun-2023 |
重新认证 |
1.0 |
23-May-2019 |
初始版本 |
反馈