在Catalyst 9800 WLC配置示例的本地EAP验证
目录
简介
此条款将包括本地EAP (可扩展的认证协议)的配置在Catalyst 9800 WLCs (无线局域网控制器),即有WLC请实行作为无线客户端的RADIUS验证服务器。
先决条件
要求
本文假设您熟悉一在有操作作为无线客户端的本地EAP服务器的WLC的仅WLAN和重点的基本配置在9800 WLC的。
使用的组件
运行16.12.1s的Catalyst 9800
配置
网络图
主要本地EAP配置
步骤1.本地Eap profile
去Configuration>安全>在9800个Web UI的本地EAP。
单击添加
输入配置文件名称。
没有建议使用LEAP在所有由于其弱安全。其他3个EAP方法中的任一个将要求您配置信任点。这是因为9800,作为验证器将必须发送客户端的一证书能委托它。
客户端不会委托WLC默认证书,因此您会需要撤销在客户端的服务器证书验证(没建议)或安装在客户端将委托的9800 WLC的一证书信任点(或在客户端信任存储手工导入它)。
CLI :
(config)#eap profile mylocapeap (config-eap-profile)#method peap (config-eap-profile)#pki-trustpoint admincert
步骤2. AAA认证方法
您需要配置AAA dot1x方法指向本地为了使用本地数据库用户(但是您可能使用例如外部LDAP查找)。
去Configuration>安全>AAA并且去验证的AAA方法列表选项卡。单击添加。
选择"dot1x"类型和本地组类型。
步骤3.配置AAA授权方法
去授权子选项卡并且创建类型凭证下载的一新方法并且指向它本地。
为网络授权类型执行同样
CLI :
(config)#aaa new-model (config)#aaa authentication dot1x default local
(config)#aaa authorization credential-download default local
(config)#aaa local authentication default authorization default
(config)#aaa authorization network default local
步骤4.配置本地先进的方法
去AAA高级选项卡。
定义本地认证和授权方法。因为此实例使用了“默认”凭证下载和“默认” dot1x方法,您需要设置本地认证的默认,并且授权丢弃下来方框此处。
万一定义已命名方法,请选择“方法列表”在下拉式,并且另一个字段将允许您输入您的方法名称。
CLI :
aaa local authentication default authorization default
步骤5.配置WLAN
您能然后配置您的802.1x安全的WLAN在上一步定义的本地Eap profile和AAA认证方法。
去Configuration>标记和Profiles> WLAN > + Add>
提供SSID和配置文件名称。
默认情况下Dot1x安全选择在Layer2下。
在AAA下,请选择本地EAP验证并且从下拉式选择本地Eap profile和AAA认证列表。
(config)#wlan localpeapssid 1 localpeapssid (config-wlan)#security dot1x authentication-list default (config-wlan)#local-auth mylocaleap
步骤6.创建一个或更多用户
在CLI中,用户必须是类型网络用户。这是示例用户建立在CLI :
(config)#user-name 1xuser creation-time 1572730075 description 1xuser password 0 Cisco123 type network-user description 1xuser
一旦创建在CLI,此用户将是可视在Web UI,但是,如果创建在Web UI,没有方法进行它网络用户自16.12
步骤7.创建策略配置文件。创建策略标记映射此WLAN配置文件到策略配置文件
是Configuration>标记和配置文件>Policy
创建您的WLAN的一策略配置文件。
此示例显示flexconnect本地交换,但是在VLAN 1468,但是这的中央验证方案取决于您的网络。
去Configuration>标记和配置文件>标记
分配您的WLAN到一策略配置文件在您的标记里面。
步骤8.部署策略标记到接入点。
在这种情况下,为单个AP,您能分配标记直接地在AP。
去Configuration> Wireless>Access点并且点击您要配置的AP。
确保分配的标记是您配置的那个。
验证
主要配置线路如下
aaa new-model aaa authentication dot1x default local aaa authorization credential-download default local aaa local authentication default authorization default eap profile mylocaleap method peap pki-trustpoint admincert user-name 1xuser creation-time 1572730075 description 1xuser password 0 Cisco123 type network-user description 1xuser wlan ndarchis_leap 1 ndarchis_leap local-auth mylocaleap security dot1x authentication-list default no shutdown
故障排除
注意IOS-XE 16.12和更早版本只支持可能导致问题的本地EAP验证的TLS 1.0,如果您的客户端支持仅TLS 1.2象越来越多准则。IOS-XE 17.1及以后支持TLS 1.2和TLS 1.0。
为了排除故障有连接的麻烦的一个特定客户端,请使用放射性跟踪。去排除故障>放射性Trace并且添加客户端MAC地址。
点击开始启用该客户端的跟踪。
一旦问题被再次产生,您能点击生成按钮为了导致包含调试输出的文件。
连接由于的客户端失败的示例错误的密码
2019/10/30 14:54:00.781 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 8, EAP-Type = EAP-FAST
2019/10/30 14:54:00.781 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x5
2019/10/30 14:54:00.784 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 204, EAP-Type = EAP-FAST
2019/10/30 14:54:00.784 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x5
2019/10/30 14:54:00.785 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.788 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 85, EAP-Type = EAP-FAST
2019/10/30 14:54:00.788 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x6
2019/10/30 14:54:00.791 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 6, EAP-Type = EAP-FAST
2019/10/30 14:54:00.791 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x6
2019/10/30 14:54:00.791 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.792 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 59, EAP-Type = EAP-FAST
2019/10/30 14:54:00.792 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x7
2019/10/30 14:54:00.795 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 75, EAP-Type = EAP-FAST
2019/10/30 14:54:00.795 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x7
2019/10/30 14:54:00.795 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.796 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 91, EAP-Type = EAP-FAST
2019/10/30 14:54:00.796 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x8
2019/10/30 14:54:00.804 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 123, EAP-Type = EAP-FAST
2019/10/30 14:54:00.804 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x8
2019/10/30 14:54:00.804 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.805 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 139, EAP-Type = EAP-FAST
2019/10/30 14:54:00.805 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x9
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 75, EAP-Type = EAP-FAST
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x9
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [eap] [23294]: (info): FAST:EAP_FAIL from inner method MSCHAPV2
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 59, EAP-Type = EAP-FAST
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0xa
2019/10/30 14:54:00.811 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 59, EAP-Type = EAP-FAST
2019/10/30 14:54:00.811 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0xa
2019/10/30 14:54:00.811 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.812 {wncd_x_R0-0}{2}: [eap-auth] [23294]: (info): FAIL for EAP method name: EAP-FAST on handle 0xBD000006
2019/10/30 14:54:00.812 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Raised identity update event for eap method EAP-FAST
2019/10/30 14:54:00.813 {wncd_x_R0-0}{2}: [errmsg] [23294]: (note): %DOT1X-5-FAIL: Authentication failed for client (e836.171f.a162) with reason (Cred Fail) on Interface capwap_90000004 AuditSessionID 00000000000000101D28423A Username: fakeuser
2019/10/30 14:54:00.813 {wncd_x_R0-0}{2}: [auth-mgr] [23294]: (info): [e836.171f.a162:capwap_90000004] Authc failure from Dot1X, Auth event fail
在失败的Trace
通过使用trace在失败命令,是可能的,不用特别是启用任何东西,检查故障事件列表给的MAC地址。
在以下示例中, AAA方法未命中起初(AAA服务器下来事件)几分钟后客户端然后使用了错误的凭证。
命令是show logging在版本16.12的trace在失败摘要和以前并且是IOS的17.1 show logging配置文件无线(过滤器mac <mac>) trace在失败及以后。分开没有17.1及以后将允许您为客户端MAC地址过滤的技术差异。
Nico9800#show logging profile wireless filter mac e836.171f.a162 trace-on-failure Displaying logs from the last 0 days, 0 hours, 10 minutes, 0 seconds executing cmd on chassis 2 ... sending cmd to chassis 1 ... Collecting files on current[1] chassis. # of files collected = 30 Collecting files on current[2] chassis. # of files collected = 30 Collecting files from chassis 1. Time UUID Log ---------------------------------------------------------------------------------------------------- 2019/10/30 14:51:04.438 0x0 SANET_AUTHC_FAILURE - AAA Server Down username , audit session id 000000000000000F1D260BB0, 2019/10/30 14:58:04.424 0x0 e836.171f.a162 CLIENT_STAGE_TIMEOUT State = AUTHENTICATING, WLAN profile = ndarchis_leap, Policy profile = leap, AP name = LABap_2802
反馈