簡介
本檔案介紹AireOS無線LAN控制器(WLC)上的802.1X使用者端排除。
必要條件
需求
思科建議您瞭解以下主題:
- Cisco AireOS WLC
- 802.1X通訊協定
- 遠端驗證撥入使用者服務(RADIUS)
- 身分識別服務引擎 (ISE)
採用元件
本文檔中的資訊基於AireOS。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
802.1X客戶端排除是802.1X身份驗證器(如WLC)上必須具備的一個重要選項。這是為了防止認證伺服器基礎架構因可擴展身份驗證協定(EAP)客戶端超活動或功能不當而過載。
使用者案例
示例使用情形包括:
- 使用不正確的憑據配置的EAP請求方。大多數請求方(如EAP請求方)在連續幾次失敗後停止身份驗證嘗試。但是,有些EAP請求方在失敗時繼續嘗試重新進行身份驗證,可能每秒數次。某些使用者端會造成RADIUS伺服器超負荷並導致整個網路的拒絕服務(DoS)。
- 在進行大型網路故障切換後,數百或數千個EAP客戶端可以同時嘗試進行身份驗證。因此,身份驗證伺服器可能超載並提供緩慢的響應。如果客戶端或身份驗證器在處理緩慢響應之前超時,則可能會出現惡性循環,其中身份驗證嘗試繼續超時,然後再次嘗試處理響應。
注意:需要准入控制機制才能使身份驗證嘗試成功。
802.1X客戶端排除如何工作?
802.1X客戶端排除可防止客戶端在802.1X身份驗證失敗過多之後傳送身份驗證嘗試。在AireOS WLC 802.1X上,預設情況下,通過導航到Security > Wireless Protection Policies > Client Exclusion Policies全域性啟用客戶端排除,可以在此映像中看到。
可以針對每個WLAN啟用或禁用客戶端排除。預設情況下,會啟用AireOS 8.5之前的逾時60秒,以及AireOS 8.5開始的180秒。
用於保護RADIUS伺服器免於過載的排除設定
若要驗證RADIUS伺服器是否受到保護,避免由於無線使用者端運作錯誤而造成過載,請驗證以下設定是否有效:
導致802.1X排除無法正常運行的問題
在WLC和RADIUS伺服器中的多個配置設定會阻止802.1X客戶端排除正常運行。
由於WLC EAP計時器設定,未排除客戶端
預設情況下,在WLAN上將Client Exclusion設定為Enabled時,不會排除無線客戶端。這是因為預設EAP超時時間較長,為30秒,導致客戶端行為不當,永遠不會達到足夠的連續故障來觸發排除。配置更短的EAP超時(增加重新傳輸次數),以使802.1X客戶端排除生效。請參閱超時示例。
config advanced eap identity-request-timeout 3
config advanced eap identity-request-retries 10
config advanced eap request-timeout 3
config advanced eap request-retries 10
由於ISE PEAP設定未排除客戶端
為了使802.1X客戶端排除起作用,身份驗證失敗時,RADIUS伺服器必須傳送Access-Reject。如果RADIUS伺服器是ISE且正在使用PEAP,則無法排除並取決於ISE PEAP設定。在ISE中,導覽至Policy > Results > Authentication > Allowed Protocols > Default Network Access,如下圖所示。
如果您將Retries(在右邊用紅色圓圈)設定為0,則ISE必須立即向WLC傳送訪問拒絕,WLC必須啟用WLC以排除客戶端(如果它嘗試三次進行身份驗證)。
註:設定Retries與Allow Password Change覈取方塊有些獨立,也就是說,即使取消選中Allow Password Change,也可以使用Retries值。但是,如果Retries設定為0,則Allow Password Change不起作用。
註:有關詳細資訊,請檢視Cisco錯誤ID CSCsq16858。只有已註冊的思科使用者才能存取思科錯誤工具與資訊。
相關資訊