无线 : 思科 4400 系列无线 LAN 控制器

在无线局域网控制器(WLC)上RADIUS服务器的退回功能配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 12 月 19 日) | 反馈

简介

本文描述如何配置RADIUS服务器fallback功能用无线局域网控制器(WLCs)。

贡献用尼古拉斯Darchis, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • 轻量级接入点(拉普)和思科WLCs的配置的基础知识。

  • 控制和供应基础知识无线接入点协议(CAPWAP)。

  • 无线安全解决方案基础知识。

使用的组件

运行固件版本5.0的本文档中的信息根据思科4400 WLC。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

RADIUS服务器Fallback功能

WLC软件版本早于5.0不支持RADIUS服务器回退机制。当主要的RADIUS服务器变得不可用时, WLC故障切换到下个激活备份RADIUS服务器。WLC将继续使用附属RADIUS服务器永久,即使主服务器是可用的。通常主服务器是高性能和首选的服务器。

在WLC 5.0及以上版本版本中, WLC支持RADIUS服务器fallback功能。使用此功能, WLC可以配置检查主服务器是否是可用的,并且回到主要的RADIUS服务器的交换机一次它是可用的。为了执行此WLC支持两个新的模式,被动和激活,检查RADIUS服务器的状态。WLC回来到最更可取的服务器在指定的超时值以后。

后退状态

主动模式

在激活模式,当服务器不回答WLC认证请求时, WLC指示服务器,当死者然后移动服务器向非活动服务器池并且开始周期地传送探测器信息,直到该服务器回应。如果服务器回应,则WLC移动死机服务器向活动池并且停止发送探测器消息。在此模式,当认证请求来时, WLC总是选择从RADIUS服务器的活动池的最低的索引(最高优先级的)服务器。

WLC发送探针信息包,在超时(默认是300秒)后为了确定服务器状态,万一服务器无答复前。

被动模式

在被动模式,如果服务器不回答WLC认证请求, WLC移动服务器向非激活队列并且设置计时器。当计时器超时时, WLC移动服务器向活动队列不考虑服务器的实际状态。当认证请求来时, WLC选择从的最低的索引(最高优先级的)服务器也许包括非活动服务器)的活动队列(。如果服务器那么不回应WLC指示它如非激活,设置计时器,并且移动向下个高优先级服务器。此进程继续,直到WLC查找一个活动RADIUS服务器,或者活动服务器池用尽。

WLC假设服务器是活跃的,在超时后(默认是300秒),万一服务器无答复前。如果它是无答复的, WLC等待另一超时并且再试一次,当认证请求进来时。

Off模式

在off模式, WLC支持仅故障切换。换句话说, fallback禁用。当主要的RADIUS服务器断开时, WLC故障切换到下个激活备份RADIUS服务器。WLC继续使用附属RADIUS服务器永久,即使主服务器是可用的。

配置

配置与CLI的RADIUS服务器Fallback功能

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

请使用从WLC CLI的这些命令为了启用在WLC的RADIUS服务器fallback功能。

第一步将选择RADIUS服务器fallback模式。如前面提到, WLC支持fallback激活和被动模式。

为了选择fallback模式,请输入此命令:

WLC1 > config radius fallback-test mode {active/passive/off}
  • 激活-发送探测器到死机服务器测试状态。

  • 被动-设置根据最后处理的服务器状态。

  • 禁用服务器fallback测验(默认)。

下一步是选择指定激活模式或非激活时期的探测器间隔的被动操作模式的间隔。

为了设置间隔,请输入此命令:

WLC1 > config radius fallback-test mode interval {180 - 3600}

对3600>的<180 -以秒钟进入探测器间隔或非激活时间(默认是300秒)。

间隔指定探测器间隔一旦激活模式fallback或非激活时间一旦被动模式fallback。

对于活动操作模式,您需要配置用于探测器请求发送对RADIUS服务器的用户名。

为了配置用户名,请输入此命令:

WLC1 >config radius fallback-test username {username}

<username> -输入名称至16字母数字字符(默认是思科探测器)。

注意:您能输入您自己的用户名或留给它默认。默认用户名是“思科探测器”。由于此用户名用于传送探测器信息,您不需要配置密码。

配置与GUI的RADIUS服务器Fallback功能

完成这些步骤为了配置与GUI的WLC :

  1. 配置RADIUS服务器fallback模式。为了执行此,请从WLC GUI选择Security>RADIUS > Fallback。 RADIUS> Fallback参数页出版。

  2. 从后退状态下拉列表,请选择fallback模式。联机选项包括激活,被动和。

    这是活动后退状态的配置的一张示例屏幕画面:

  3. 对于活动操作模式,请在用户名字段输入用户名。

  4. 在秒输入在间隔的探测器间隔值。字段。

  5. 单击 Apply

如果积极的故障切换功能在WLC启用, WLC太积极的以至于不能指示AAA服务器作为"not responding"。然而不应该执行这,因为AAA服务器对该特定的客户端可能不是仅响应能力的,如果执行静音模式丢弃。它可以是对其他具有有效证书的有效客户端的响应。WLC能仍然指示AAA服务器作为"not responding"和“不功能”。

为了克服这种情况,请禁用主动故障切换功能。输入设置radius aggressive-failover disable命令从控制器GUI为了执行此。如果禁用了此操作,则当连续三个客户端都未能从 RADIUS 服务器收到响应时,控制器将只会故障切换到下一个 AAA 服务器。

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

输入summary命令的show radius为了验证您的fallback配置。示例如下:

WLC1 >show radius summary 

Vendor Id Backward Compatibility................. Disabled
Call Station Id Type............................. IP Address
Aggressive Failover.............................. Enabled
Keywrap.......................................... Disabled

Fallback Test:
Test Mode.................................... Active
Probe User Name.............................. testaccount
Interval (in seconds)........................ 180

Authentication Servers

Idx Type Server Address Port State Tout RFC3576 IPSec-AuthMode/Phase1/Group/Lifetime/Auth/Encr
--- ---- -------------- ---- ------- ---- ------- ----------------------------------------------
1 NM 10.1.1.12 1812 Enabled 2 Disabled Disabled-none/unknown/group-0/0 none/none

Accounting Servers

Idx Type Server Address Port State Tout RFC3576 IPSec-AuthMode/Phase1/Group/Lifetime/Auth/E
--- ---- -------------- ---- ------- ---- ------- -------------------------------------------
1 N 10.1.1.12 1813 Enabled 2 N/A Disabled-none/unknown/group-0/0 none/nonen

故障排除

本部分提供的信息可用于对配置进行故障排除。

注意:使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

  • debug dot1x事件enable (event) -配置802.1X事件调试。

  • debug aaa事件enable (event) -配置所有AAA事件调试。

相关信息



Document ID: 106258