Converged Access 5760 و 3850 و 3650 Series WLC EAP-FAST مع مثال تكوين خادم RADIUS الداخلي

المقدمة

يصف هذا المستند كيفية تكوين وحدات التحكم في الشبكة المحلية اللاسلكية (LAN) من السلسلة 5760 و 3850 و 3650 من Cisco للعمل كخوادم RADIUS التي تنفذ بروتوكول المصادقة المتوسع - المصادقة المرنة من Cisco عبر البروتوكول الآمن (EAP-FAST، في هذا المثال) لمصادقة العميل.

وعادة ما يتم إستخدام خادم RADIUS الخارجي لمصادقة المستخدمين، وهو حل غير ممكن في بعض الحالات. في هذه الحالات، يمكن أن يعمل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للوصول المجمع كخادم RADIUS، حيث تتم مصادقة المستخدمين مقابل قاعدة البيانات المحلية التي تم تكوينها في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). ويسمى هذا بميزة خادم RADIUS المحلي.

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من هذا موضوع قبل أن يحاول أنت هذا تشكيل:

• واجهة سطر الأوامر (CLI) أو ^®IOS من Cisco مع Converged Access 5760 و 3850 و 3650 Series WLC
• مفاهيم بروتوكول المصادقة المتوسع (EAP)
• تكوين معرف مجموعة الخدمة (SSID)
• RADIUS

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco 5760 Series WLC، الإصدار 3.3.2 (الجيل التالي من خزانة الأسلاك [NGWC])
• نقطة الوصول (AP) في الوضع Lightweight من السلسلة Cisco 3602 Series
• Microsoft Windows XP مع عميل ProSet من Intel
• المحولات Cisco Catalyst 3560 Series Switches

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.

الرسم التخطيطي للشبكة

تقدم هذه الصورة مثالا على الرسم التخطيطي للشبكة:

نظرة عامة على التكوين

يتم إكمال هذا التكوين في خطوتين:

1. قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لأسلوب EAP المحلي وتوصيفات المصادقة والتفويض ذات الصلة باستخدام CLI أو GUI.
   
   
2. قم بتكوين شبكة WLAN وتعيين قائمة الطرق التي تحتوي على ملفات تعريف المصادقة والتفويض.

تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام واجهة سطر الأوامر (CLI)

أتمت هذا steps in order to شكلت ال WLC مع ال CLI:

1. تمكين نموذج AAA على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC):
   
   

   aaa new-model

2. تحديد المصادقة والتفويض:
   
   

   aaa local authentication eapfast authorization eapfast
   
   aaa authentication dot1x eapfast local
   aaa authorization credential-download eapfast local
   aaa authentication dot1x default local

3. تشكيل توصيف EAP المحلي والطريقة (EAP-FAST مستخدم في هذا المثال):
   
   

   eap profile eapfast
    method fast
   !

4. تكوين معلمات EAP-FAST المتقدمة:
   
   

   eap method fast profile eapfast
    description test
    authority-id identity 1
    authority-id information 1
    local-key 0 cisco123

5. تكوين شبكة WLAN وتعيين ملف تعريف التخويل المحلي إلى شبكة WLAN:
   
   

   wlan eapfastlocal 13 eapfastlocal
    client vlan VLAN0020
    local-auth eapfast
    session-timeout 1800
    no shutdown

6. قم بتكوين البنية الأساسية لدعم اتصال العميل:
   
   

   ip dhcp snooping vlan 12,20,30,40,50
   ip dhcp snooping
   !
   ip dhcp pool vlan20
    network 20.20.20.0 255.255.255.0
    default-router 20.20.20.251
    dns-server 20.20.20.251

   
   

   interface TenGigabitEthernet1/0/1
    switchport trunk native vlan 12
    switchport mode trunk
    ip dhcp relay information trusted
    ip dhcp snooping trust

تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام واجهة المستخدم الرسومية (GUI)

أتمت هذا steps in order to شكلت ال WLC مع ال gui:

1. تكوين قائمة الطرق للمصادقة:
   
   
   • قم بتكوين نوع Eapfast ك Dot1x.
     
     
   • قم بتكوين نوع مجموعة EAPFAST كنوع محلي.
     
     
2. تكوين قائمة الأساليب للتخويل:
   
   
   • قم بتكوين نوع EAPFAST ك Credential-Download.
     
     
   • قم بتكوين نوع مجموعة EAPFAST كنوع محلي.
     
     
3. تشكيل توصيف EAP المحلي:
   
   
   
   
4. إنشاء توصيف جديد وتحديد نوع EAP:
   
   
   
   اسم التوصيف EAPFAST ونوع EAP المحدد هو EAP-FAST:
   
   
   
   
5. تكوين معلمات أسلوب EAP-FAST:
   
   
   
   يتم تكوين مفتاح الخادم على هيئة Cisco123.
   
   
   
   
6. حدد خانة الاختيار Dot1x System Auth Control وحدد EAPFAST لقوائم الطرق. وهذا يساعدك على إجراء مصادقة EAP المحلية.
   
   
   
   
7. تكوين شبكة WLAN لتشفير WPA2 AES:
   
   
   
   
   
   
8. على علامة التبويب AAA Server ، قم بتعيين اسم ملف تعريف EAP Eapfast إلى الشبكة المحلية اللاسلكية (WLAN):
   
   

التحقق من الصحة

أكمل هذه الخطوات للتحقق من أن التكوين لديك يعمل بشكل صحيح:

1. توصيل العميل بشبكة WLAN:
   
   
   
   
2. تحقق من ظهور بيانات اعتماد الوصول المحمي (PAC) المنبثقة ومن وجوب قبولك للمصادقة بنجاح:
   
   

استكشاف الأخطاء وإصلاحها

cisco يوصي أن يستعمل أنت أثر in order to تحريت مشكلة لاسلكي. يتم حفظ المسارات في المخزن المؤقت الدائري وهي ليست مركزة على المعالج.

مكنت هذا أثر in order to نلت الطبقة 2 (L2) مصادقة سجل:

• تعيين تصحيح أخطاء مستوى مجموعة التتبع - الاتصال اللاسلكي الآمن
  
  
• set trace group-wireless-secure filter mac0021.6a89.51ca
  
  

مكنت هذا أثر in order to نلت ال DHCP حادث سجل:

• ضبط تصحيح أخطاء مستوى أحداث DHCP
  
  
• set trace dhcp حادث مرشح mac 0021.6a89.51ca
  
  

هنا بعض الأمثلة عن الأثار الناجحة:

[04/10/14 18:49:50.719 IST 3 8116] 0021.6a89.51ca Association received from
 mobile on AP  c8f9.f983.4260

[04/10/14 18:49:50.719 IST 4 8116] 0021.6a89.51ca qos upstream policy is
 unknown and downstream policy is unknown
[04/10/14 18:49:50.719 IST 5 8116] 0021.6a89.51ca apChanged 1 wlanChanged 0
 mscb ipAddr 20.20.20.6, apf RadiusOverride 0x0, numIPv6Addr=0
[04/10/14 18:49:50.719 IST 6 8116] 0021.6a89.51ca Applying WLAN policy on MSCB.
[04/10/14 18:49:50.719 IST 7 8116] 0021.6a89.51ca Applying WLAN ACL policies
 to client

[04/10/14 18:49:50.719 IST 9 8116] 0021.6a89.51ca Applying site-specific IPv6
 override for station  0021.6a89.51ca  - vapId 13, site 'default-group',
 interface 'VLAN0020'
[04/10/14 18:49:50.719 IST a 8116] 0021.6a89.51ca Applying local bridging
 Interface Policy for station  0021.6a89.51ca  - vlan 20, interface 'VLAN0020'
[04/10/14 18:49:50.719 IST b 8116] 0021.6a89.51ca STA - rates (8):
 140 18 152 36 176 72 96 108 48 72 96 108 0 0 0 0

[04/10/14 18:49:50.727 IST 2f 8116] 0021.6a89.51ca Session Manager Call Client
 57ca4000000048, uid 42, capwap id 50b94000000012,Flag 4, Audit-Session ID
 0a6987b253468efb0000002a, method list

[04/10/14 18:49:50.727 IST 30 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0021.6a89.51ca, Ca3] Session update from Client[1] for 0021.6a89.51ca,
 ID list 0x00000000
[04/10/14 18:49:50.727 IST 31 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0021.6a89.51ca, Ca3]  (UPD): method: Dot1X, method list: none, aaa id:
 0x0000002A
[04/10/14 18:49:50.727 IST 32 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0021.6a89.51ca, Ca3]  (UPD): eap profile: eapfast

[04/10/14 18:49:50.728 IST 4b 278] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 Posting AUTH_START for 0xF700000A
[04/10/14 18:49:50.728 IST 4c 278] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 0xF700000A:entering request state
[04/10/14 18:49:50.728 IST 4d 278] ACCESS-METHOD-DOT1X-NOTF:[0021.6a89.51ca,Ca3]
 Sending EAPOL packet
[04/10/14 18:49:50.728 IST 4e 278] ACCESS-METHOD-DOT1X-INFO:[0021.6a89.51ca,Ca3]
 Platform changed src mac  of EAPOL packet
[04/10/14 18:49:50.728 IST 4f 278] ACCESS-METHOD-DOT1X-INFO:[0021.6a89.51ca,Ca3]
 EAPOL packet sent to client 0xF700000A
[04/10/14 18:49:50.728 IST 50 278] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 0xF700000A:idle request action
[04/10/14 18:49:50.761 IST 51 8116] 0021.6a89.51ca 1XA: Received 802.11 EAPOL
 message (len 5) from mobile
[04/10/14 18:49:50.761 IST 52 8116] 0021.6a89.51ca 1XA: Received EAPOL-Start
 from mobile
[04/10/14 18:49:50.761 IST 53 8116] 0021.6a89.51ca 1XA:  EAPOL-Start -
 EAPOL start message from mobile as mobile is in Authenticating state, restart
 authenticating

[04/10/14 18:49:50.816 IST 95 278] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 0xF700000A:entering response state
[04/10/14 18:49:50.816 IST 96 278] ACCESS-METHOD-DOT1X-NOTF:[0021.6a89.51ca,Ca3]
 Response sent to the server from 0xF700000A
[04/10/14 18:49:50.816 IST 97 278] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 0xF700000A:ignore response action
[04/10/14 18:49:50.816 IST 98 203] Parsed CLID MAC Address = 0:33:106:137:81:202
[04/10/14 18:49:50.816 IST 99 203] AAA SRV(00000000): process authen req
[04/10/14 18:49:50.816 IST 9a 203] AAA SRV(00000000): Authen method=LOCAL

[04/10/14 18:49:50.846 IST 11d 181] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0021.6a89.51ca, Ca3] Session authz status notification sent to Client[1] for
 0021.6a89.51ca with handle FE000052, list 630007B2
[04/10/14 18:49:50.846 IST 11e 181]ACCESS-METHOD-DOT1X-NOTF:[0021.6a89.51ca,Ca3]
 Received Authz Success for the client 0xF700000A (0021.6a89.51ca)
[04/10/14 18:49:50.846 IST 11f 271] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 Posting AUTHZ_SUCCESS on Client 0xF700000A
[04/10/14 18:49:50.846 IST 120 271] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 0xF700000A:entering authenticated state
[04/10/14 18:49:50.846 IST 121 271]ACCESS-METHOD-DOT1X-NOTF:[0021.6a89.51ca,Ca3]
 EAPOL success packet was sent earlier.

[04/10/14 18:49:50.846 IST 149 8116] 0021.6a89.51ca 1XA:authentication succeeded
[04/10/14 18:49:50.846 IST 14a 8116] 0021.6a89.51ca 1XK: Looking for BSSID
 c8f9.f983.4263  in PMKID cache
[04/10/14 18:49:50.846 IST 14b 8116] 0021.6a89.51ca 1XK: Looking for BSSID
 c8f9.f983.4263  in PMKID cache
[04/10/14 18:49:50.846 IST 14c 8116] 0021.6a89.51ca Starting key exchange with
 mobile - data forwarding is disabled
[04/10/14 18:49:50.846 IST 14d 8116] 0021.6a89.51ca 1XA: Sending EAPOL message
 to mobile, WLAN=13 AP WLAN=13
[04/10/14 18:49:50.858 IST 14e 8116] 0021.6a89.51ca 1XA: Received 802.11 EAPOL
 message (len 123) from mobile
[04/10/14 18:49:50.858 IST 14f 8116] 0021.6a89.51ca 1XA: Received EAPOL-Key from
 mobile
[04/10/14 18:49:50.858 IST 150 8116] 0021.6a89.51ca 1XK: Received EAPOL-key in
 PTK_START state (msg 2) from mobile
[04/10/14 18:49:50.858 IST 151 8116] 0021.6a89.51ca 1XK: Stopping retransmission
 timer
[04/10/14 18:49:50.859 IST 152 8116] 0021.6a89.51ca 1XA: Sending EAPOL message
 to mobile, WLAN=13 AP WLAN=13
[04/10/14 18:49:50.862 IST 153 8116] 0021.6a89.51ca 1XA: Received 802.11 EAPOL
 message (len 99) from mobile
[04/10/14 18:49:50.862 IST 154 8116] 0021.6a89.51ca 1XA: Received EAPOL-Key from
 mobile
[04/10/14 18:49:50.862 IST 155 8116] 0021.6a89.51ca 1XK: Received EAPOL-key in
 PTKINITNEGOTIATING state (msg 4) from mobile

[04/10/14 18:49:50.863 IST 172 338] [WCDB] wcdb_ffcp_cb: client (0021.6a89.51ca)
 client (0x57ca4000000048): FFCP operation (UPDATE) return code (0)
[04/10/14 18:49:50.914 IST 173 273] dhcp pkt processing routine is called for pak
 with SMAC = 0021.6a89.51ca and SRC_ADDR = 0.0.0.0
[04/10/14 18:49:50.914 IST 174 219] sending dhcp packet outafter processing with
 SMAC = 0021.6a89.51ca and SRC_ADDR = 0.0.0.0
[04/10/14 18:49:50.914 IST 175 256] DHCPD: address 20.20.20.6 mask 255.255.255.0
[04/10/14 18:49:54.279 IST 176 273] dhcp pkt processing routine is called for pak
 with SMAC = 0021.6a89.51ca and SRC_ADDR = 20.20.20.6
[04/10/14 18:49:54.279 IST 177 219] sending dhcp packet outafter processing with
 SMAC = 0021.6a89.51ca and SRC_ADDR = 20.20.20.6