أستكشاف أخطاء PSK الخاصة بالهوية وإصلاحها على وحدات التحكم في الشبكة المحلية (LAN) اللاسلكية

خيارات التنزيل

  • PDF     (273.9 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (110.8 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (104.7 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٧ أغسطس ٢٠٢٠
معرّف المستند:212316

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا وثيقة كيف أن يتحرى هوية هوية مشترك مسبقا مفتاح (PSK) إصدار على ال cisco لاسلكي lan جهاز تحكم (WLC).

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • cisco WLC أن يركض رمز 8.5 ومتأخر و Identity Services Engine (ISE)
    • شبكة محلية لاسلكية (WLAN) محولة مركزيا (لا يتم حاليا دعم التحويل المحلي FlexConnect باستخدام Identity PSK)
    • تكوين Identity PSK على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) و ISE. يمكن العثور على هذا في هذا الارتباط:

    https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-5/b_Identity_PSK_Feature_Deployment_Guide.html

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • Cisco 5508 Series WLC أن يركض برمجية إطلاق 8.5.103.0
    • Cisco ISE الذي يشغل الإصدار 2.2

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    فهم تدفق PSK للهوية

    الخطوة 1. يرسل العميل طلب اقتران إلى معرف مجموعة الخدمة (SSID) الذي تم تمكينه بمصادقة PSK+MAC.

    الخطوة 2. بما أن مصادقة MAC قد مكنت جهات اتصال WLC، فإن خادم RADIUS هو أن يتحقق من عنوان MAC الخاص بالعميل.

    الخطوة 3. يتحقق خادم RADIUS من تفاصيل العميل ويرسل أزواج AV من Cisco التي يحدد PSK كنوع المصادقة الذي سيتم إستخدامه بالإضافة إلى قيمة المفتاح التي سيتم إستخدامها للعميل.

    الخطوة 4. وبمجرد إستلام هذا الأمر، ترسل وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) إستجابة الاقتران إلى العميل. من المهم أن تكون على دراية بهذه الخطوة، كما لو أن هناك تأخير في الاتصال بين خادم WLC و RADIUS، يمكن أن يعلق العملاء في حلقة اقتران، حيث يرسلون طلب اقتران ثان قبل تلقي الاستجابة من خادم RADIUS.

    الخطوة 5.  يستخدم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) قيمة المفتاح المرسلة بواسطة خادم RADIUS كمفتاح PMK. ثم تنتقل نقطة الوصول (AP) مع المصافحة رباعية الطرق التي تتحقق من مطابقة كلمة المرور التي تم تكوينها على العميل للقيمة التي تم إرسالها بواسطة خادم RADIUS.

    الخطوة 6. بعد ذلك يكمل العميل عملية DHCP وينتقل إلى حالة RUN أيضا.

    أستكشاف السيناريوهات وإصلاحها

    يلزم إجراء عمليات تصحيح الأخطاء هذه لاستكشاف أخطاء PSK الخاصة بالهوية وإصلاحها:

    تصحيح الأخطاء على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC):

    • debug client_mac، حيث يكون client _mac هو عنوان MAC الخاص باختبار العميل.
    • enable debug aaa detail

    السيناريو 1. تمرير سيناريو حيث يتم اتصال العميل بنجاح

    يرسل العميل طلب الاقتران إلى نقطة الوصول:

    *apfMsConnTask_6: Sep 21 15:01:43.496: e8:50:8b:64:4f:45 Association received from mobile on BSSID 28:6f:7f:e2:24:cf AP AP_2802-1

    تتصل WLC بعد ذلك بخادم RADIUS للتحقق من عنوان MAC الخاص بالعميل:

    *aaaQueueReader: Sep 21 15:01:43.498: AuthenticationRequest: 0x2b8c8a9c
*apfMsConnTask_6: Sep 21 15:01:43.498: e8:50:8b:64:4f:45 apfProcessAssocReq (apf_80211.c:11440) Changing state for mobile e8:50:8b:64:4f:45 on AP 28:6f:7f:e2:24:c0 from Associated to AAA Pending
 
*aaaQueueReader: Sep 21 15:01:43.498:         Callback.....................................0x10762018
 
*aaaQueueReader: Sep 21 15:01:43.498:         protocolType.................................0x40000001

    يستجيب خادم RADIUS برسالة قبول الوصول التي تحتوي أيضا على نوع أسلوب PSK والمفتاح المستخدمين للمصادقة:

      

    *radiusTransportThread: Sep 21 15:01:43.794: AuthorizationResponse: 0x171b5c00
 
*radiusTransportThread: Sep 21 15:01:43.794:         structureSize................................313
 
*radiusTransportThread: Sep 21 15:01:43.794:         resultCode...................................0
 
 
*radiusTransportThread: Sep 21 15:01:43.794:         Packet contains 5 AVPs:
 
*radiusTransportThread: Sep 21 15:01:43.794:             AVP[01] User-Name................................E8-50-8B-64-4F-45 (17 bytes)
 
*radiusTransportThread: Sep 21 15:01:43.794:             AVP[02] State....................................ReauthSession:0a6a20770000000059c346ed (38 bytes)
 
*radiusTransportThread: Sep 21 15:01:43.794:             AVP[03] Class....................................CACS:0a6a20770000000059c346ed:ISE/291984633/6 (45 bytes)
 
*radiusTransportThread: Sep 21 15:01:43.794:             AVP[04] Cisco / PSK-Mode.........................ascii (5 bytes)
 
*radiusTransportThread: Sep 21 15:01:43.794:             AVP[05] Cisco / PSK..............................cisco123 (8 bytes)

    بمجرد تلقي هذا، يمكنك أن ترى أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يرسل إستجابة الاقتران ويحدث مصافحة بأربعة طرق:

    *apfReceiveTask: Sep 21 15:01:43.924: e8:50:8b:64:4f:45 Sending assoc-resp with status 0 station:e8:50:8b:64:4f:45 AP:28:6f:7f:e2:24:c0-01 on apVapId 1

    المصافحة ذات الطرق الأربعة:

      

    *Dot1x_NW_MsgTask_5: Sep 21 15:01:43.994: e8:50:8b:64:4f:45 Sending EAPOL-Key Message to mobile e8:50:8b:64:4f:45
   state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
*Dot1x_NW_MsgTask_5: Sep 21 15:01:43.998: e8:50:8b:64:4f:45 Received EAPOL-key in PTK_START state (message 2) from mobile e8:50:8b:64:4f:45
*Dot1x_NW_MsgTask_5: Sep 21 15:01:43.998: e8:50:8b:64:4f:45 Received valid MIC in EAPOL Key Message M2!!!!!
*Dot1x_NW_MsgTask_5: Sep 21 15:01:43.999: e8:50:8b:64:4f:45 Sending EAPOL-Key Message to mobile e8:50:8b:64:4f:45
   state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
*Dot1x_NW_MsgTask_5: Sep 21 15:01:44.003: e8:50:8b:64:4f:45 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile e8:50:8b:64:4f:45

    بمجرد القيام بذلك، يكمل العميل عملية DHCP ويذهب إلى حالة التشغيل (يتم قص الإخراج لإظهار الأقسام المهمة):

    (WLC_1) >show client detail e8:50:8b:64:4f:45
Client MAC Address............................... e8:50:8b:64:4f:45
Client Username ................................. E8-50-8B-64-4F-45
Hostname: ....................................... S6-edge
Device Type: .................................... Android-Samsung-Galaxy-Phone
AP MAC Address................................... 28:6f:7f:e2:24:c0
AP Name.......................................... AP_2802-1        
Wireless LAN Network Name (SSID)................. Identity PSK
Wireless LAN Profile Name........................ Identity PSK
Security Policy Completed........................ Yes
Policy Manager State............................. RUN

    السيناريو 2. يحاول العميل الاتصال بكلمة مرور غير صحيحة

    يبقى التسلسل الأولي للخطوات كما هو الحال مع المصادقة التي تم تمريرها.

    • يرسل العميل طلب اقتران.
    • ما إن ال WLC يستلم هذا، هو يبدأ إتصال مع ال radius نادل أن يدقق الزبون {upper}mac address.
    • إذا كان خادم RADIUS يحتوي على تفاصيل العميل، فإنه يرسل قبول الوصول باستخدام قيمة المفتاح ونوع المصادقة وهما PSK.
    • والقسم المفيد حيث يمكن ملاحظة الفشل هو في مصافحة الطرق الأربعة.

    ترسل نقطة الوصول الرسالة 1، التي يستجيب لها العميل مع الرسالة 2:

    *Dot1x_NW_MsgTask_7: Sep 21 15:12:47.661: 50:8f:4c:9d:ef:87 Received EAPOL-key in PTK_START state (message 2) from mobile 50:8f:4c:9d:ef:87

    ومع ذلك، بسبب قيم مفتاح PMK (كلمة المرور) المختلفة، تستمد نقطة الوصول والعميل مفاتيح مختلفة مما ينتج عنه إيصال MIC غير صالح في الرسالة 2:

    *Dot1x_NW_MsgTask_7: Sep 21 15:12:47.662: 50:8f:4c:9d:ef:87 Received EAPOL-key M2 with invalid MIC from mobile 50:8f:4c:9d:ef:87 version 2
*osapiBsnTimer: Sep 21 15:12:48.824: 50:8f:4c:9d:ef:87 802.1x 'timeoutEvt' Timer expired for station 50:8f:4c:9d:ef:87 and for message = M2
*Dot1x_NW_MsgTask_7: Sep 21 15:12:48.824: 50:8f:4c:9d:ef:87 Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 50:8f:4c:9d:ef:87
 
The client then is then de-authenticated by the WLC:
*Dot1x_NW_MsgTask_7: Sep 21 15:12:50.825: 50:8f:4c:9d:ef:87 Sent Deauthenticate to mobile on BSSID 28:6f:7f:e2:24:c0 slot 0(caller 1x_ptsm.c:655)

    <noscript>
    هناك إخراج آخر مفيد للفحص وهو 'show client detail'. هنا يمكنك أن ترى العميل عالقا في حالة START: 
    *Dot1x_NW_MsgTask_7: Sep 21 15:12:47.662: 50:8f:4c:9d:ef:87 Received EAPOL-key M2 with invalid MIC from mobile 50:8f:4c:9d:ef:87 version 2
*osapiBsnTimer: Sep 21 15:12:48.824: 50:8f:4c:9d:ef:87 802.1x 'timeoutEvt' Timer expired for station 50:8f:4c:9d:ef:87 and for message = M2
*Dot1x_NW_MsgTask_7: Sep 21 15:12:48.824: 50:8f:4c:9d:ef:87 Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 50:8f:4c:9d:ef:87
 
The client will then be de-authenticated by the WLC:
*Dot1x_NW_MsgTask_7: Sep 21 15:12:50.825: 50:8f:4c:9d:ef:87 Sent Deauthenticate to mobile on BSSID 28:6f:7f:e2:24:c0 slot 0(caller 1x_ptsm.c:655)

    السيناريو 3. خادم RADIUS الذي يتعذر الوصول إليه

    يحاول عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الاتصال بخادم RADIUS بمجرد أن يستلم طلب الاقتران. في حالة عدم إمكانية الوصول إلى خادم RADIUS، يحاول عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بشكل متكرر الاتصال بخادم RADIUS (حتى يتم الوصول إلى عدد مرات إعادة المحاولة). بمجرد اكتشاف عدم إمكانية الوصول إلى خادم RADIUS بعد عدد مرات إعادة المحاولة التي تم تكوينها (القيمة الافتراضية هي 5)، يرسل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إستجابة اقتران برمز الحالة 1 كما هو موضح هنا:

    *apfReceiveTask: Sep 21 15:28:55.777: 50:8f:4c:9d:ef:87 Sending assoc-resp with status 1 station:50:8f:4c:9d:ef:87 AP:a0:e0:af:62:f3:c0-00 on apVapId 1
*apfReceiveTask: Sep 21 15:28:55.777: 50:8f:4c:9d:ef:87 Sending Assoc Response (status: 'unspecified failure') to station on AP AP_2802-2 on BSSID a0:e0:af:62:f3:c0 ApVapId 1 Slot 0, mobility role 0

      

    كما يمكنك الاطلاع على عدد طلبات إعادة المحاولة وطلبات المهلة التي تتزايد في إحصائيات خادم RADIUS، والتي يمكنك التنقل من أجلها إلى شاشة > إحصائيات > خوادم RADIUS كما هو موضح في الصورة:

    السيناريو 4. تم إرسال معلمة تجاوز غير صحيحة بواسطة خادم RADIUS

    هناك العديد من المعلمات التي يمكن دفعها مع PSK والمفتاح، مثل شبكة VLAN وقائمة التحكم في الوصول (ACL) ودور المستخدم. ومع ذلك، إذا لم يتم تكوين إدخال قائمة التحكم في الوصول (ACL) الذي تم إرساله بواسطة خادم RADIUS، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يرفض العميل، حتى إذا وافق خادم RADIUS على طلب المصادقة. ويمكن ملاحظة ذلك بوضوح في تصحيح أخطاء العميل:

    *radiusTransportThread: Sep 22 14:39:05.499: AuthorizationResponse: 0x171b5c00
 
*radiusTransportThread: Sep 22 14:39:05.499:         structureSize................................376
 
*radiusTransportThread: Sep 22 14:39:05.499:         resultCode...................................0
 
*radiusTransportThread: Sep 22 14:39:05.499:         protocolUsed.................................0x00000001
 
*radiusTransportThread: Sep 22 14:39:05.499:         Packet contains 7 AVPs:
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[01] User-Name................................E8-50-8B-64-4F-45 (17 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[02] State....................................ReauthSession:0a6a20770000002659c493e9 (38 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[03] Class....................................CACS:0a6a20770000002659c493e9:ISE/291984633/78 (46 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[04] Cisco / PSK-Mode.........................ascii (5 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[05] Cisco / PSK..............................cisco123 (8 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[06] Unknown Cisco / Attribute 19.............teacher (7 bytes)
 
*radiusTransportThread: Sep 22 14:39:05.499:             AVP[07] Airespace / ACL-Name.....................testing (7 bytes)

    تصحيح أخطاء العميل:

    *apfReceiveTask: Sep 22 14:39:05.564: e8:50:8b:64:4f:45  ACL received from RADIUS does not exist in WLC de-authenticating the client
*apfReceiveTask: Sep 22 14:39:05.628: e8:50:8b:64:4f:45 Sending assoc-resp with status 12 station:e8:50:8b:64:4f:45 AP:28:6f:7f:e2:24:c0-01 on apVapId 1

    السيناريو 5. لم يتم تكوين نهج العميل على خادم RADIUS

    عندما يكون خادم RADIUS قابلا للوصول إليه ولكن لا يوجد سياسة تم تكوينها على خادم RADIUS للعميل، يمكن توصيله فقط إذا أستخدم PSK، الذي تم تكوينه بشكل عام تحت الشبكة المحلية اللاسلكية (WLAN). ستفشل أي إدخالات أخرى. لا يوجد شيء محدد للتفريق بين مصادقة PSK عالمية عاملة ومصادقة PSK لهوية عاملة باستثناء إخراج تصحيح الأخطاء المصادقة والتفويض والمحاسبة (AAA) الذي لن يحتوي على أي معلمات تجاوز يتم دفعها:

    *radiusTransportThread: Sep 22 14:32:13.734: AuthorizationResponse: 0x171b5c00
 
*radiusTransportThread: Sep 22 14:32:13.734:         structureSize................................269
 
*radiusTransportThread: Sep 22 14:32:13.734:         resultCode...................................0
 
*radiusTransportThread: Sep 22 14:32:13.734:         protocolUsed.................................0x00000001
 
*radiusTransportThread: Sep 22 14:32:13.734:         proxyState...................................50:8F:4C:9D:EF:87-00:00
 
*radiusTransportThread: Sep 22 14:32:13.734:         Packet contains 3 AVPs:
 
*radiusTransportThread: Sep 22 14:32:13.734:             AVP[01] User-Name................................50-8F-4C-9D-EF-87 (17 bytes)
 
*radiusTransportThread: Sep 22 14:32:13.734:             AVP[02] State....................................ReauthSession:0a6a20770000002359c49240 (38 bytes)
 
*radiusTransportThread: Sep 22 14:32:13.734:             AVP[03] Class....................................CACS:0a6a20770000002359c49240:ISE/291984633/74 (46 bytes)
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Ishaan Sanji
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات