Atribuição do VLAN dinâmico com os WLC
baseados no ACS ao exemplo de configuração
do mapeamento do grupo do diretório ativo
Índice
Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Informações de ApoioLimitações ACS no mapeamento do grupo com base de dados de usuário de Windows Configurar
Diagrama de Rede
Instalação da configuração
Configurar o diretório ativo e a base de dados de usuário de Windows Configurar o server em sua rede como o controlador de domínio Crie usuários e grupos de diretório ativo no domínio
Adicionar o servidor ACS como o membro do domínio Configurar o Cisco Secure ACS
Configurar o ACS para a autenticação da base de dados de usuário de Windows e o mapeamento do grupo
Configurar o ACS para a atribuição do VLAN dinâmico Configurar o controlador do Wireless LAN
Configurar o WLC com detalhes do Authentication Server Configurar as interfaces dinâmica (VLAN) no WLC
Configurar as WLANs (SSID) Configurar o cliente Wireless Verificar
Troubleshooting
Comandos para Troubleshooting Informações Relacionadas
Introdução
Este documento explica como autenticar o cliente Wireless que usa o base de dados do diretório ativo de Microsoft® Windows (AD), como configurar o mapeamento do grupo entre o grupo AD e o grupo do Serviço de controle de acesso Cisco Secure (ACS), e como atribuir dinamicamente o cliente autenticado a um VLAN configurado no grupo traçado ACS. Este documento centra-se sobre o grupo AD que traça somente com o produto de software ACS e não com a solution
engine ACS.
Pré-requisitos
Requisitos
Certifique-se de atender a estes requisitos antes de tentar esta configuração:
Tenha o conhecimento básico dos controladores do Wireless LAN (WLC) e do Lightweight Access Points (os regaços)
●
Tenha o conhecimento funcional do Cisco Secure ACS
●
Ter conhecimento completo das redes wireless e das questões de segurança wireless
●
Tenha o conhecimento funcional e configurável na atribuição do VLAN dinâmicoRefira a atribuição do VLAN dinâmico para mais informação.
●
Tenha a compreensão básica de serviços de Microsoft Windows AD, assim como de controlador de domínio e de conceitos DNS
●
Ter conhecimento básico do Lightweight AP Protocol (LWAPP)
●
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware: Cisco 2000 Series WLC que executa a versão de firmware 4.0.217.0
●
REGAÇO Cisco 802.11a/b/g do Cisco 1000 Series
●
Adaptador de cliente Wireless que executa a versão de firmware 3.6
●
Utilitário de desktop do Cisco Aironet (ADU) essa versão 3.6 das corridas
●
Cisco Secure ACS que executa a versão 4.1
●
Server de Microsoft Windows 2003 configurado como um controlador de domínio
●
Cisco 2950 Series Switch que executa a versão 12.1
●
As informações neste documento foram criadas a partir de dispositivos em um ambiente de
laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Convenções
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Informações de Apoio
A liberação 4.1 do Cisco Secure ACS para Windows autentica usuários Wireless contra um de diversos bases de dados possíveis, que inclui seu base de dados interno. Você pode configurar o ACS para autenticar usuários com mais de um tipo de base de dados. Você pode configurar o ACS para enviar a autenticação dos usuários a umas ou várias bases de dados de usuário externo. O apoio para bases de dados de usuário externo significa que o ACS não o exige criar entradas de usuário duplicadas na base de dados de usuário.
Os usuários Wireless podem ser autenticados usando diversos bases de dados externos como: Base de dados do Windows
●
Serviços de diretório do Novell netware (NDS)
●
Lightweight Directory Access Protocol (LDAP) genérico
●
Conectividade de bases de dados aberto (ODBC) - bases de dados relacionais complacentes
●
Server do Remote Access Dial-In User Service do proxy do PULO (RAIO)
●
Rivest, Shamir, e servidores de tokens do SecurID de Adelman (RSA)
●
servidores de tokens Raio-complacentes
●
As tabelas de compatibilidade da autenticação de ACS e da base de dados de usuário alistam os vários Protocolos de autenticação apoiados pelo ACS interno e por bases de dados externos. Este documento focaliza nos usuários Wireless de autenticação que usam o base de dados externo de Windows.
Você pode configurar o ACS para autenticar usuários com a base de dados de usuário externo em uma de duas maneiras:
Pela atribuição específica do usuário — Você pode configurar o ACS para autenticar usuários específicos com uma base de dados de usuário externo. A fim fazer isto, o usuário deve existir no base de dados interno ACS e você deve ajustar a lista da autenticação de senha na instalação de usuário à base de dados de usuário externo que o ACS deve usar para
autenticar o usuário.
●
Pela política de usuário desconhecida — Você pode configurar o ACS para tentar a
autenticação dos usuários que não estão no base de dados interno ACS usando uma base de dados de usuário externo. Você não precisa de definir novos usuários no base de dados interno ACS para este método.
●
Este documento focaliza nos usuários Wireless de autenticação que usam o método da política de usuário desconhecida.
Quando o ACS tentar autenticar o usuário contra o base de dados do Windows, ACS as credenciais do usuário para a frente ao base de dados do Windows. O base de dados do
Windows valida as credenciais do usuário, e em cima da autenticação bem sucedida, informa o ACS.
Após a autenticação bem sucedida, o ACS recolhe a informação do grupo deste usuário do base de dados do Windows. Após ter recebido esta informação do grupo, o ACS associa os usuários da informação recolhida do grupo do base de dados do Windows com o grupo traçado
correspondente ACS com a finalidade de atribuir VLAN dinâmicos ao cliente Wireless. Em curto, o ACS pode ser configurado para traçar o base de dados do Windows a um grupo ACS e para atribuir dinamicamente o usuário autenticado a um VLAN configurado no grupo traçado ACS. Também, após a primeira autenticação bem sucedida, o usuário é criado dinamicamente no ACS. Uma vez que o usuário é autenticado com sucesso pela primeira vez, o usuário está posto em esconderijo no ACS com um ponteiro a seu base de dados. Isto evita o ACS de procurar a lista inteira do base de dados durante tentativas da autenticação subsequente.
Limitações ACS no mapeamento do grupo com base de dados de usuário de
Windows
O ACS tem estes limites no mapeamento do grupo para os usuários que são autenticados por uma base de dados de usuário de Windows:
O ACS pode somente mapeamento do grupo de suporte para os usuários que pertencem a 500 ou os menos grupos de Windows.
●
O ACS pode somente executar o mapeamento do grupo usando o local e os grupos globais a que um usuário pertence no domínio que autenticou o usuário.
●
Configurar
Neste exemplo, você é configurado no Winodws AD e traçado a um grupo particular AD. O Cisco Secure ACS é configurado para usar o base de dados externo em Windows AD para clientes Wireless de autenticação. Então, o AD é traçado então ao grupo ACS para os usuários autenticados que atribuem desse modo o usuário desse grupo particular AD a um VLAN especificado no grupo traçado correspondente ACS.
A próxima seção explica como configurar os dispositivos para esta.
Diagrama de Rede
Instalação da configuração
Este documento utiliza as seguintes configurações: Domain Name de Microsoft Windows: lab.wireless
●
Usuários AD: wireless123
●
Usuário AD: wireless123 atribuído ao grupo AD: VLAN 20
●
Grupo AD: VLAN 20 traçado ao grupo ACS: Grupo 20 onde o grupo 20 é configurado para atribuir os usuários autenticados deste grupo na relação vlan20 no WLC.
●
Aqui o controlador de domínio e o servidor ACS são configurados na mesma máquina.
●
Estas suposições são feitas antes que você execute esta configuração: O REGAÇO é registrado já com o WLC.
●
Você está ciente de como configurar um servidor DHCP interno ou um servidor de DHCP externo no controlador a fim atribuir o endereço IP de Um ou Mais Servidores Cisco ICM NT ao cliente Wireless. Refira configurar o DHCP a fim configurar um servidor DHCP interno no controlador.
●
O documento discute a configuração exigida no lado wireless e supõe que a rede ligada com fio é no lugar.
●
A fim realizar a atribuição do VLAN dinâmico com os WLC baseados no ACS ao mapeamento do grupo AD, estas etapas devem ser executadas:
Configurar o diretório ativo e a base de dados de usuário de Windows 1.
Configurar o Cisco Secure ACS 2.
Configurar o controlador do Wireless LAN 3.
Configurar o diretório ativo e a base de dados de usuário de
Windows
A fim configurar o AD e a base de dados de usuário de Windows a ser usados para autenticar clientes Wireless, estas etapas devem ser executadas:
Configurar o server em sua rede como o controlador de domínio 1.
Crie usuários e grupos de diretório ativo no domínio 2.
Adicionar o servidor ACS como o membro do domínio 3.
Configurar o server em sua rede como o controlador de domínio
A configuração de um controlador de domínio envolve a criação de uma estrutura nova AD, e a instalação e a configuração do serviço DNS no server.
Este documento cria um domínio lab.wireless no server de Windows 2003 configurado como o controlador de domínio.
Como parte deste processo da criação AD, você instala o servidor DNS no server de Windows 2003 a fim resolver lab.wireless a seu próprio endereço IP de Um ou Mais Servidores Cisco ICM NT e a outros processos da resolução de nome no domínio. Você pode igualmente configurar um servidor DNS externo a fim conectar ao Internet.
Nota: Certifique-se de você ter o CD de Windows 2003 a fim instalar o servidor DNS na máquina do servidor.
Refira a instalação e configurar de Windows 2003 como um controlador de domínio para um procedimento de configuração detalhada.
Crie usuários e grupos de diretório ativo no domínio
A próxima etapa é criar usuários e grupos no domínio lab.wireless. Refira etapas 1 e 2 do AddingUsers e computadores à seção do domínio do diretório ativo deste documento de MicrosoftSupport a fim criar usuários e grupos AD.
Como já mencionado na seção de instalação da configuração deste documento, um usuário wireless123 é criado e traçado ao grupo vlan20 AD.
Adicionar o servidor ACS como o membro do domínio
Refira etapas 1 e 2 dos usuários e dos computadores adicionando à seção do domínio do diretório ativo deste documento de suporte de Microsoft a fim adicionar o servidor ACS ao domínio lab.wireless.
Nota: Menções desta seção somente como adicionar a máquina de Windows que executa o software ACS ao domínio. Este procedimento não é aplicável para adicionar a solution engine ACS como o membro do domínio.
Configurar o Cisco Secure ACS
A fim configurar o ACS para esta instalação, estas etapas devem ser executadas:
Configurar o ACS para a autenticação da base de dados de usuário de Windows e o mapeamento do grupo
1.
Configurar o ACS para a atribuição do VLAN dinâmico 2.
Configurar o ACS para a autenticação da base de dados de usuário de Windows e
o mapeamento do grupo
Agora que o servidor ACS é juntado ao domínio lab.wireless, a próxima etapa é configurar o ACS para a autenticação da base de dados de usuário de Windows e traçar o base de dados externo de Windows AD ao grupo ACS. Os usuários desconhecidos que autenticam usando o base de dados especificado automaticamente pertencem a, e herdam as autorizações do grupo.
Como mencionado mais cedo, este exemplo traça o VLAN 20 do grupo AD, com o grupo 20 do grupo ACS.
Nota: Antes que você configure o servidor ACS, execute as tarefas como explicado no capítulo de configuração da autenticação do Windows para a autenticação de usuário e o mapeamento
seguros do grupo.
Do ACS GUI, termine estas etapas:
Na barra de navegação, clique bases de dados de usuário externo.
1.
Nas bases de dados de usuário externo pagine, clique a configuração do base de dados.
O ACS indica uma lista de todos os tipos possíveis da base de dados de usuário externo. Clique em Windows
Database. 3.
Se nenhuma configuração de base de dados do Windows existe, a tabela da criação da configuração do base de dados aparece. Se não, a página da configuração externa de bando de dados de usuário publica-se.
Clique em Configurar. 4.
A página de configuração da base de dados de usuário de Windows publica-se com diversas opções.
Configurar as opções requerida. Todos os ajustes na página de configuração da base de dados de usuário de Windows são opcionais e não precisam de ser permitidos a menos que você quiser permitir e configurar as características do específico que apoiam.Nota: Este documento não configura qualqueras um opções manualmente porque não são precisadas para este exemplo de configuração.Refira opções de configuração da base de dados de usuário de Windows para mais informação.
5.
O clique submete-se a fim terminar esta configuração.O ACS salvar a configuração de base de dados de usuário de Windows que você criou. Você pode agora adicionar-lo a sua
política de usuário desconhecida ou atribuir contas de usuário específicas para usar este base de dados para autenticação. Este documento adiciona esta configuração à política de usuário desconhecida.
6.
Configurar a política de usuário desconhecida com o base de dados do Windows A política de usuário desconhecida é uma transmissão do formulário de autenticação. Essencialmente, esta característica é uma etapa extra no processo de autenticação. Se um username não existe no base de dados interno ACS, o ACS para a frente o pedido de
autenticação de um nome de usuário e senha entrante aos bases de dados externos com que é configurado para se comunicar. O base de dados externo deve apoiar o protocolo de autenticação usado no pedido de autenticação.
Neste exemplo, o ACS deve enviar o pedido de autenticação que vem com o WLC de um cliente Wireless ao base de dados do Windows configurado na seção anterior. A fim conseguir isto, o grupo de usuário desconhecido deve ser traçado ao base de dados do Windows externo (lab.wireless) que usa estas etapas:
Na barra de navegação, bases de dados de usuário externo do clique. Então, política de usuário desconhecida do
clique. 1.
A fim permitir a autenticação de usuário desconhecido, permita a política de usuário desconhecida:Selecione a verificação a seguinte opção das bases de dados de usuário externo.Selecione o base de dados do Windows na lista dos bases de dados externos e clique-o --> (botão da seta direita) para movê-lo dos bases de dados externos para os bases de dados selecionado aliste. A fim remover um base de dados dos bases de dados
selecionado aliste, selecione o base de dados, e clique-o então <-- (botão da seta esquerda) para movê-lo de volta aos bases de dados externos aliste.
2.
Clique em Submit. 3.
O ACS salvar e executa a configuração da política de usuário desconhecida que você criou. Crie o mapeamento do grupo ACS com o grupo de Windows
Termine estas etapas do ACS GUI:
Na barra de navegação, clique bases de dados de usuário externo. Então, mapeamentos de grupo de base de dados do
clique. 1.
Clique o nome de base de dados de usuário externo para que você quer configurar um mapeamento do grupo.Neste exemplo, é base de dados do Windows.
2.
Nas configurações de domínio resultantes pagine, clique a configuração nova.
Nota: À revelia você vê somente o domínio \ PADRÃO nesta página.A página nova da configuração de domínio da definição publica-se.
Na caixa detectada dos domínios desta página, você deve poder ver o LABORATÓRIO da base de dados de usuário de Windows. Clique em
Submit. 4.
O LABORATÓRIO do domínio das novas janelas aparece na lista de domínios na página das configurações de domínio.
Clique o domínio do LABORATÓRIO. 5.
Os mapeamentos do grupo para o domínio: A tabela do LABORATÓRIO aparece. O clique adiciona o
mapeamento. 6.
O mapeamento novo do grupo da criação para o domínio: A página do LABORATÓRIO abre. A lista do grupo indica os nomes do grupo que são derivados do base de dados do LABORATÓRIO. Neste grupo do grupo, você deve poder ver o grupo vlan20 criado no AD deste domínio do
Escolha vlan20 da lista do grupo, a seguir clique-o adicionam ao selecionado. 7.
Na caixa suspensa do grupo ACS, escolha Group20 a que você quer traçar os usuários que pertencem ao grupo AD: VLAN 20.
8.
Clique em Submit. 9.
O grupo traçado à lista ACS aparece na parte inferior da coluna dos grupos do base de dados segundo as indicações do exemplo. O asterisco (*) na extremidade de cada grupo de grupos indica que os usuários que são autenticados com a base de dados de usuário
externo podem pertencer a outros grupos além daqueles no grupo.
Configurar o ACS para a atribuição do VLAN dinâmico
A atribuição do VLAN dinâmico é uma característica que coloca um usuário Wireless em um VLAN específico baseado nas credenciais fornecidas pelo usuário. Esta tarefa de atribuir usuários a um VLAN específico é segurada por um servidor de autenticação RADIUS, tal como o Cisco Secure ACS. Isto pode ser usado, por exemplo, para permitir que o host wireless permaneça na mesma VLAN enquanto ele se desloca em uma rede no campus.
Nota: Este documento usa o [VSA (Vendor-Specific)] de Cisco Airespace Atributo para atribuir com sucesso um usuário autenticado com um nome da interface de VLAN (não o ID de VLAN) conforme a configuração de grupo no ACS.
A fim configurar o ACS para a atribuição do VLAN dinâmico, estas etapas devem ser executadas: Adicionar o WLC como o cliente de AAA ao ACS
1.
Configurar o Grupo do ACS com a opção do atributo Cisco Airespace VSA 2.
Adicionar o WLC como o cliente de AAA ao ACS
A fim configurar o ACS para a atribuição do VLAN dinâmico, você precisa de configurar o cliente de AAA para o WLC no servidor Radius. Este documento supõe que o WLC está adicionado já ao ACS como um cliente de AAA. Refira adicionar clientes de AAA a um ACS para obter informações sobre de como adicionar o cliente de AAA ao ACS.
autenticação puxa para baixo o menu do cliente de AAA que adicionar a página deve ser configurada, quando o WLC como o cliente de AAA ao ACS for configurado.
Configurar o Grupo do ACS com a opção do atributo Cisco Airespace VSA Conclua estes passos:
Do ACS GUI na barra de navegação, clique a instalação de grupo do lado esquerdo a fim configurar um grupo novo.
1.
Na caixa suspensa do grupo, escolha o grupo 20 (conforme este exemplo) e o clique edita ajustes.
2.
No grupo 20 edite a página dos ajustes, clique o salto à caixa suspensa e escolha o RAIO (Cisco Airespace) a fim configurar o ajuste do atributo de Airespace
VSA. 3.
Nota: Se este atributo não é indicado sob a configuração de grupo, edite os ajustes do RAIO (Airespace) para incluir o nome da relação sob a tela da configuração da interface do ACS. Em Cisco Airespace os atributos RADIUS secionam, permitem o Ar-Relação-nome e
incorporam vlan20 como o nome da relação a ser retornado por este grupo ACS em cima da autenticação bem
sucedida. 4.
Clique Submit + Restart. 5.
Configurar o controlador do Wireless LAN
A fim configurar o WLC para esta instalação, estas etapas devem ser executadas: Configurar o WLC com detalhes do Authentication Server
1.
Configurar as interfaces dinâmica (VLAN) no WLC 2.
Configurar as WLANs (SSID) 3.
Configurar o WLC com detalhes do Authentication Server
Termine estas etapas a fim configurar o WLC para esta instalação: Na interface gráfica do usuário, clique em Security.
1.
Clique em New. 2.
Na página de configuração do Authentication Server do RAIO (ACS), incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor Radius e da chave secreta
compartilhada usados entre o servidor Radius e o WLC.Esta chave secreta compartilhada deve ser a mesma que essa configurada no ACS sob entrada do > Add da configuração de rede > dos clientes de AAA. Este documento usa o servidor ACS com o endereço IP de Um ou Mais Servidores Cisco ICM NT de 10.77.244.196/27.
3.
Certifique-se de que o status de servidor está permitido. Verifique a caixa do usuário de rede. Isto assegura-se de que os usuários de rede estejam autenticados contra este server. 4.
Configurar as interfaces dinâmica (VLAN) no WLC
Este procedimento explica como configurar interfaces dinâmicas no WLC. Para uma atribuição bem sucedida do VLAN dinâmico, o nome da interface de VLAN especificado sob a configuração do atributo VSA do servidor ACS deve igualmente ser configurado no WLC.
Este documento configura a interface de VLAN com o nome "vlan20" e o ID de VLAN = 20, e a interface de VLAN com o nome no WLC.
Conclua estes passos:
Do controlador GUI, sob o indicador do controlador > das relações, as interfaces dinâmica são
configuradas. 1.
Clique em New. 2.
Nas relações > na nova janela, datilografe o nome da relação como vlan20, que é mesmo que o parâmetro da Airespace-relação configurado no ACS e no ID de VLAN como 20 para o atribuir ao VLAN20.
3.
Clique em Apply. 4.
Nas relações > edite a página, configurar a informação do ID de VLAN, do endereço IP de Um ou Mais Servidores Cisco ICM NT, da Máscara de rede e de endereço de gateway da sub-rede VLAN20 segundo as indicações deste indicador.Nota: Recomenda-se sempre usar um servidor DHCP para atribuir o endereço IP de Um ou Mais Servidores Cisco ICM NT aos clientes. Nesse caso, o campo de endereço preliminar do servidor DHCP deve ser
enchido com o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor DHCP.
Clique em Apply. 6.
Configurar as WLANs (SSID)
No WLC, você configura o wirelesslab SSID e escolhe um método de autenticação, que alerte para o nome de usuário e senha do cliente. Neste exemplo, você usa o PULO como o método de autenticação para autenticar o usuário. Conclua estes passos:
No WLC GUI, clique WLAN. Clique em New. 1.
Escolha um nome de perfil e incorpore o wirelesslab WLAN SSID. 2.
Clique em Apply. 3.
Escolha WLAN > editam, e sob o tab geral, permitem o WLAN e escolhem a relação como Gerenciamento a fim atribuir os endereços IP de Um ou Mais Servidores Cisco ICM NT da sub-rede de
gerenciamento. 4.
Clique a Segurança. Sob a aba da camada 2, escolha WPA+WPA2 como a Segurança da camada 2. Você pode escolher a política WPA ou WPA2. Neste exemplo você escolhe o WPA2 com criptografia TKIP e o 802.1x como o método de
autenticação. 5.
Clique servidores AAA e escolha 10.77.244.196 como o Authentication Server a fim autenticar usuários deste WLAN contra este server.
6.
Os usuários Wireless são atribuídos à interface de gerenciamento. A fim atribuir o usuário a uma relação fornecida pelo servidor Radius, escolha avançado > permitem a ultrapassagem AAA.
Configurar o cliente Wireless
Esta seção explica como configurar o cliente Wireless. Conclua estes passos: Clique o utilitário de desktop do Cisco Aironet.
1.
Escolha o Gerenciamento do perfil. 2.
Destaque o perfil existente e escolha-o alteram segundo as indicações de figura 1.Figura 1 3.
No tab geral, escolha um nome de perfil. Este exemplo usa o LABORATÓRIO do nome. Incorpore o wirelesslab SSID usado no WLC. Figura 2 mostras como fazer isto.Figura 2 4.
Segurança do clique. O método de autenticação configurado no cliente deve ser idêntico àquele do WLC. Escolha WPA/WPA2/CCKM e escolha o tipo EAP como o PULO segundo as indicações de figura 3.Figura 3
Clique configuram e escolhem o manualmente alerta para o nome de usuário e a senha. Figura 4 mostra esta.Figura 4
Clique em OK. Um indicador que o alerte para o nome de usuário e senha como mostrado aparece. Incorpore o nome de usuário e a senha que você configurou no base de dados do Windows. Neste exemplo, o nome de usuário é wireless123, a senha é cisco123. No fazer logon a colocar, datilografe dentro o domínio que você configurou na APROVAÇÃO do diretório ativo e do clique. Neste exemplo, é LABORATÓRIO. demonstra estas
etapas. 7.
Verificar
Ative o perfil de usuário que do LABORATÓRIO você configurou no ADU. Conforme sua configuração, o cliente é alertado para o nome de usuário e senha.
Este exemplo usa este nome de usuário e senha do lado do cliente para receber a autenticação e para ser atribuído a uma VLAN pelo servidor RADIUS:
Nome de usuário = wireless123
●
Senha = cisco123
●
Além, especifique lab.wireless no fazer logon para colocar da caixa de diálogo da senha de rede Wireless da entrada.
Uma vez que o cliente Wireless autentica com sucesso, encontra o controlador de domínio, junta-se ao domínio e associa-junta-se à rede de WLAN através do wirelesslab SSID, você precisam de verificar que seu cliente está atribuído ao VLAN apropriado conforme os atributos VSA enviados pelas configurações de grupo do servidor Radius.
Conclua estas etapas para fazer isso:
Do controlador GUI, escolha o monitor. Clique clientes que aparece na esquerda do
indicador dos Access point (AP).As estatísticas do cliente são indicadas com o estado como associadas.
Você vê uma lista de clientes Wireless que são associados a este WLC. Clique sobre o cliente que autenticou com ACS.Nos detalhes pagine, observe que o usuário: wireless123 é autenticado e associado através do wirelesslab SSID. Note que o endereço IP de Um ou Mais Servidores Cisco ICM NT é 20.0.0.4 e a relação é
vlan20. 2.
Troubleshooting
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua
configuração. Refira o AAA debugam a informação para o Cisco Secure ACS for Windows para obter mais informações sobre de como como registrar e obter o AAA debugar a informação no ACS.
Comandos para Troubleshooting
Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.
debug aaa events enable — Este comando pode ser usado para garantir a transferência bem-sucedida dos atributos RADIUS ao cliente através do controlador. Esta parcela do resultado do debug assegura uma transmissão bem-sucedida dos atributos RADIUS.Está aqui a saída deste comando baseado no exemplo de configuração deste documento:Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Successful trans mission of Authentication Packet (id
131) to 10.77.244.196:1812, proxy state 00: 40:96:af:3e:93-96:af Fri Oct 5 15:47:38 2007:
****Enter processIncomingMessages: response code=11 Fri Oct 5 15:47:38 2007: ****Enter processRadiusResponse: response code=11 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93
Access-Challenge received from RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId =
3 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic ation Packet (id 132) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af Fri Oct 5
15:47:38 2007: ****Enter processIncomingMessages: response code=11 Fri Oct 5 15:47:38 2007: ****Enter processRadiusResponse: response code=11 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93
receiveId = 3 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of
Authentic ation Packet (id 133) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af Fri Oct 5 15:47:38 2007: ****Enter processIncomingMessages: response code=2 Fri Oct 5 15:47:38 2007: ****Enter processRadiusResponse: response code=2 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS server 10.77.244.196 for mobile
00:40:96:af:3e:93 receiveId = 3 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Applying new AAA override for station 00:40:96:af:3e:93 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Override
values for station 00:40:96 :af:3e:93 source: 4, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: 1 dataAvgC: 1, rTAvgC: 1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: vlan20, acl Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into chain for station 00:40:96:af:3e:93 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96 :af:3e:93 source: 4, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: 'sales', acl Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Applying override policy from source Override Summation: Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96 :af:3e:93 source: 256, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: 'sales', a Fri Oct 5 15:47:39 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
station 00:40:96:af:3e:93 Como visto deste resultado do debug, do WLC passado nos
pedidos de autenticação e das respostas entre o cliente Wireless e o servidor Radius
10.77.244.196. O server autenticou com sucesso o cliente Wireless (este pode ser verificado usando a mensagem da aceitação de acesso). Em cima da autenticação bem sucedida, você pode igualmente ver o servidor Radius transmitir a interface de VLAN name:vlan20,
consequentemente dinamicamente atribuindo o cliente Wireless no VLAN20.
debugar o dot1x aaa permitem — Este comando é usado debugar a autenticação inteira do dot1x que ocorre entre o cliente Wireless e o Authentication Server (ACS).
●
debugar o aaa que todos permitem — Configures debuga de todos os mensagens AAA.Está aqui a saída deste comando baseado no exemplo de configuração deste documento:(Cisco Controller) >Fri Oct 5 16:17:18 2007: AuthenticationRequest: 0xac4be5c
Fri Oct 5 16:17:18 2007: Callback...0x8 29a960
Fri Oct 5 16:17:18 2007: protocolType...0x0 0040001
Fri Oct 5 16:17:18 2007: proxyState...00: 40:96:AF:3E:93-07:00
Fri Oct 5 16:17:18 2007: Packet contains 12 AVPs (not shown)
Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of Authentication Packet
(id 137) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
... ...
... Fri Oct 5 16:17:18 2007: ****Enter processIncomingMessages: response code=11 Fri Oct 5 16:17:18 2007: ****Enter processRadiusResponse: response code=11 Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7 Fri Oct 5 16:17:18 2007: AuthorizationResponse: 0x9845500 Fri Oct 5 16:17:18 2007: structureSize...130 Fri Oct 5 16:17:18 2007:
resultCode...255 Fri Oct 5 16:17:18 2007:
protocolUsed...0x0 0000001 Fri Oct 5 16:17:18 2007:
proxyState...00: 40:96:AF:3E:93-07:00 Fri Oct 5 16:17:18 2007: Packet contains 3 AVPs (not shown)
... ... ...
... Fri Oct 5 16:17:18 2007: ****Enter processIncomingMessages: response code=11 Fri Oct 5 16:17:18 2007: ****Enter processRadiusResponse: response code=11 Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS server 10.77.244.196 for mobi) Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of Authentication Packet (id 139) to
10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af Fri Oct 5 16:17:18 2007: 00000000:
01 8b 00 bb 54 4c 75 3a e5 b9 d2 c0 28 f2 9 3 b3 ....TLu:....(... Fri Oct 5 16:17:18 2007: 00000010: f2 81 50 65 01 10 77 69 72 65 6c 65 73 73 5 c 75 ..Pe..lab\wireless123 Fri Oct 5 16:17:18 2007: 00000020: 73 65 72 31 1f 13 30 30 2d 34 30 2d 39 36 2 d 41 ser1..00-40-96-A Fri Oct 5 16:17:18 2007: 00000030: 46 2d 33 45 2d 39 33 1e 18 30 30 2d 30 42 2 d 38 F-3E-93..00-0B-8 Fri Oct 5 16:17:18 2007: 00000040: 35 2d 35 42 2d 46 42 2d 44 30 3a 41 44 53 3 1 05 5-5B-FB-D0:wirelessl23. Fri Oct 5 16:17:18 2007: 00000050: 06 00 00 00 01 04 06 0a 4d f4 d4 20 06 57 4 c 43 ...M....WLC Fri Oct 5 16:17:18 2007: 00000060: 31 1a 0c 00 00 37 63 01 06 00 00 00 02 06 0 6 00 1....7c... Fri Oct 5 16:17:18 2007: 00000070: 00 00 02 0c 06 00 00 05 14 3d 06 00 00 00 1 3 4f ...=...O Fri Oct 5 16:17:18 2007: 00000080: 20 01 05 00 1e 11 01 00 08 85 8e 81 b0 7d b f ee ...}.. Fri Oct 5 16:17:18 2007: 00000090: b1 77 69 72 65 6c 65 73 73 5c 75 73 65 72 3 1 18 .lab\wireless123 ... ... ... Fri Oct 5 16:17:18 2007: 00000050: 31 1a 3b 00 00 00 09 01 35 6c 65 61 70 3a 7 3 65 1.;...5leap:se Fri Oct 5 16:17:18 2007: 00000060: 73 73 69 6f 6e 2d 6b 65 79 3d 84 e7 c5 3c 3 3 bd ssion-key=...<3. Fri Oct 5 16:17:18 2007: 00000070: a8 bf 7a 43 9d 6e bb c8 a8 2c 5d c6 91 d6 f 3 21 ..zC.n...,]....! Fri Oct 5 16:17:18 2007: 00000080: df 1e 0e 28 c1 ef a5 31 a7 cd 62 da 1a 1f 0 0 00 ...(...1..b... Fri Oct 5 16:17:18 2007: 00000090: 00 09 01 19 61 75 74 68 2d 61 6c 67 6f 2d 7 4 79 ....auth-algo-ty Fri Oct 5 16:17:18 2007: 000000a0: 70 65 3d 65 61 70 2d 6c 65 61 70 19 17 43 4 1 43 pe=eap-leap..CAC .... Fri Oct 5 16:17:18 2007: ****Enter processIncomingMessages: response code=2 Fri Oct 5 16:17:18 2007: ****Enter
processRadiusResponse: response code=2 Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93
Access-Accept received from RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
Fri Oct 5 16:17:18 2007: AuthorizationResponse: 0x9845500 Fri Oct 5 16:17:18 2007: structureSize...228 Fri Oct 5 16:17:18 2007:
resultCode...0 Fri Oct 5 16:17:18 2007:
protocolUsed...0x0 0000001 Fri Oct 5 16:17:18 2007:
proxyState...00: 40:96:AF:3E:93-07:02 Fri Oct 5 16:17:18 2007: Packet contains 5 AVPs: Fri Oct 5 16:17:18 2007: AVP[01] Airespace /
Interface-Name... ...vlan20 (5 bytes) Fri Oct 5 16:17:18 2007: AVP[02]
EAP-Message... ...DATA (46 bytes) Fri Oct 5 16:17:18 2007: AVP[03] Cisco / LEAP-Session-Key... ...DATA (16 bytes) Fri Oct 5 16:17:18 2007: AVP[04]
Class... ...CACS:0/5943/a4df4d4/1 (21 bytes) Fri Oct 5 16:17:18 2007: AVP[05] Message-Authenticator... ...DATA (16 bytes) Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Applying new AAA override for station 00:40:96:af:3e:93 Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96 :af:3e:93
source: 4, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff,
sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: 'sales', acl Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into chain for station 00:40:96:af:3e:93 Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96 :af:3e:93 source: 4, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: 1 dataAvgC: 1, rTAvgC: 1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: 'sales', acl Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Applying override policy from source Override Summation: Fri Oct 5 16:17:18 2007:
00:40:96:af:3e:93 Override values for station 00:40:96 :af:3e:93 source: 256, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: 'sales', a Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for station 00:40:96:af:3e:93 Fri Oct 5 16:17:18 2007: AccountingMessage Accounting Interim: 0xac4b1f0 Fri Oct 5 16:17:18 2007: Packet contains 20 AVPs: Fri Oct 5 16:17:18 2007: AVP[01]
User-Name... ...lab\wireless123 (14 bytes) Fri Oct 5 16:17:18 2007:
AVP[02] Nas-Port... ...0x00000001 (1) (4 bytes) Fri Oct 5 16:17:18 2007: AVP[03] Nas-Ip-Address... ...0x0a4df4d4 (172881108) (4 bytes) Fri Oct 5 16:17:18 2007: AVP[04] Class...
...CACS:0/5943/a4df4d4/1 (21 bytes) Fri Oct 5 16:17:18 2007: AVP[05]
NAS-Identifier... ...0x574c4331 (1464615729) (4 bytes) Fri Oct 5 16:17:18 2007: AVP[06] Airespace / WLAN-Identifier... ...0x00000002 (2) (4 bytes)
... ... ...
Autenticação de EAP com servidor RADIUS
●
Windows Server 2003 diagnósticos, Troubleshooting, e recuperação do diretório ativo
●
Pesquisando defeitos operações do diretório ativo
●
Cisco LEAP
●
Guia de Configuração da Cisco Wireless LAN Controller Release 4.0
●
Cisco Airespace VSA no exemplo de configuração de servidor do Cisco Secure ACS
●
Registro de AP leve (LAP) em um Wireless LAN Controller (WLC)
●
Guia do Usuário para o Serviço de controle de acesso Cisco Secure 4.1
●
Suporte Técnico e Documentação - Cisco Systems
