已有帐户?

  •   个性化内容
  •   您的产品和支持

需要帐户?

创建帐户

验证RADIUS服务器连接用测验AAA RADIUS命令

下载选项

  • PDF     (311.2 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (156.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (111.2 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2017 年 11 月 21 日
文档 ID:212473
关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文描述测验AAA RADIUS on命令Cisco WLC如何可以用于识别RADIUS服务器连接,并且客户端验证发出,不用使用无线客户端。

    先决条件

    要求

    思科建议您有知识无线局域网控制器(WLC)代码8.2以上。

    使用的组件

    本文档不限于特定的软件和硬件版本。

    背景信息

    无线客户端验证问题是其中一最富挑战性的问题无线网络设计表面。为了排除故障此,它经常要求抓住有问题的客户端,工作与可能没有无线网络最好的知识和收集调试和捕获的最终用户。在一个越来越关键无线网络中,这能导致重大的停机时间。

    直到现在没有识别的简单的方法,如果认证失败是由拒绝客户端的RADIUS服务器,或者连通性问题造成的。测验AAA RADIUS命令让您执行那。您能远程当前验证,如果WLC RADIUS服务器通信发生故障或,如果客户端的凭证导致合格或失败的认证。

    功能如何运作

    这是基本工作流,当您使用test命令AAA RADIUS时,如镜像所显示。

    步骤1:WLC发送一访问Request信息对在测验AAA RADIUS命令被提及的RADIUS服务器与参数一起。

    前:测试AAA RADIUS用户名管理员密码cisco123 wlan-id 1个apgroup默认组服务器索引2

    第二步:RADIUS服务器验证提供的凭证并且提供认证请求的结果。

    命令语法

    需要提供这些参数执行命令:

    (思科控制器) >测验AAA RADIUS用户名<user name>密码<password> wlan-id <wlan-id> ap-group <apgroup-name>服务器索引<server-index>

    <username>                      ---> Username that you are testing.
<password>                      ---> Password that you are testing
<wlan-id>                       ---> WLAN ID of the SSID that you are testing.
<apgroup-name>  (optional)      ---> AP group name. This will be default-group if there is no AP group configured.
<server-index>      (optional)  ---> The server index configured for the radius server that you are trying to test. This can be found under Security > Authentication tab.

    方案1.合格认证尝试

    请查看一下命令如何运作,并且输出被看到,当测验AAA RADIUS命令导致一合格验证时。当命令被执行时, WLC显示派出访问请求的参数:

    (Cisco Controller) >test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2
Radius Test Request
  Wlan-id........................................ 1
  ApGroup Name................................... default-group
  Attributes                      Values   
  ----------                      ------   
  User-Name                       admin    
  Called-Station-Id               00:00:00:00:00:00:WLC5508
  Calling-Station-Id              00:11:22:33:44:55
  Nas-Port                        0x0000000d (13)
  Nas-Ip-Address                  10.20.227.39
  NAS-Identifier                  WLC_5508
  Airespace / WLAN-Identifier     0x00000001 (1)
  User-Password                   cisco123
  Service-Type                    0x00000008 (8)
  Framed-MTU                      0x00000514 (1300)
  Nas-Port-Type                   0x00000013 (19)
  Tunnel-Type                     0x0000000d (13)
  Tunnel-Medium-Type              0x00000006 (6)
  Tunnel-Group-Id                 0x00000051 (81)
  Cisco / Audit-Session-Id        ad14e327000000c466191e23
  Acct-Session-Id                 56131b33/00:11:22:33:44:55/210
test radius auth request successfully sent. Execute 'test aaa show radius' for response

    为了查看认证请求的结果,您需要执行test命令aaa show radius。命令能采取一些时间显示输出,如果RADIUS服务器是不可得到的和WLC需要重试或者fallback到一个不同的RADIUS服务器。

    (Cisco Controller) >test aaa show radius
Radius Test Request
  Wlan-id........................................ 1
  ApGroup Name................................... default-group
  Server Index................................... 2
Radius Test Response
Radius Server         Retry Status
-------------         ----- ------
10.20.227.52            1   Success
Authentication Response:
  Result Code: Success
  Attributes                      Values   
  ----------                      ------   
  User-Name                       admin    
  Class                           CACS:rs-acs5-6-0-22/230677882/20313
  Session-Timeout                 0x0000001e (30)
  Termination-Action              0x00000000 (0)
  Tunnel-Type                     0x0000000d (13)
  Tunnel-Medium-Type              0x00000006 (6)
  Tunnel-Group-Id                 0x00000051 (81)

    此命令的非常有用的方面是显示属性哪些由RADIUS服务器返回。这可以是重定向URL和访问控制表(ACL)。例如,一旦中央Web验证(CWA)或VLAN信息,当您使用VLAN覆盖。

    Caution:在访问请求的用户名/密码在明文发送到RADIUS服务器,因此您需要小心地使用它,如果在非安全网络的通信流。

    方案 2:失败的认证尝试

    请发现输出如何出现,当用户名/密码条目导致失败的认证。

    (Cisco Controller) >test aaa show radius                                                                          
Radius Test Request
  Wlan-id........................................ 1
  ApGroup Name................................... default-group
  Server Index................................... 2
Radius Test Response
Radius Server            Retry Status
-------------            ----- ------
10.20.227.52            1     Success
Authentication Response:
  Result Code: Authentication failed  ------>This indicates that the user authentication will fail.
  No AVPs in Response

    在这种情况下,您能看到连通性测试导致‘成功的,然而RADIUS服务器发送使用的用户名/密码组合的访问拒绝。

    情形 3:通信失败在WLC和RADIUS服务器之间

    (Cisco Controller) >test aaa show radius                                                                      
 previous test command still not completed, try after some time

    在显示输出前,您需要等待WLC完成它是重试次数。时间能变化基于配置的重试次数阈值。

    (Cisco Controller) >test aaa show radius
Radius Test Request
  Wlan-id........................................ 1
  ApGroup Name................................... default-group
  Server Index................................... 3
Radius Test Response
Radius Server            Retry Status
-------------            ----- ------
10.20.227.72            6     No response received from server
Authentication Response:
  Result Code: No response received from server
  No AVPs in Response

    在上述输出中您能看到设法的WLC联系RADIUS服务器6次,并且,当没有无响应它指示了RADIUS服务器作为不可达的。

    场景 4:Radius Fallback

    当您有多个RADIUS服务器配置在服务集标识(SSID)下,并且主要的RADIUS服务器不回应,然后WLC尝试用配置的附属RADIUS服务器。这在第一个RADIUS服务器不回应的输出中非常清楚显示,并且WLC然后尝试第二个RADIUS服务器哪些立即响应。

    (Cisco Controller) >test aaa show radius
Radius Test Request
  Wlan-id........................................ 1
  ApGroup Name................................... default-group
Radius Test Response
Radius Server            Retry Status
-------------            ----- ------
10.20.227.62            6     No response received from server
10.20.227.52            1     Success
Authentication Response:
  Result Code: Success
  Attributes                      Values   
  ----------                      ------   
  User-Name                       admin

    警告

    • 当前没有GUI支持。它是可以从WLC被执行仅的命令。
    • 验证仅是为radius。它不可能用于TACACS认证。
    • Flexconnect本地认证不可能用此方法测试。
    TAC Authored

    由思科工程师提供

    • Ishaan Sanji
      Cisco TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    相关的思科社区讨论

    本文档适用于以下产品