تكوين ميزة Radius Server Backback على وحدات التحكم في الشبكة المحلية اللاسلكية

المقدمة

يوضح هذا المستند كيفية تكوين ميزة النسخ الاحتياطي لخادم RADIUS باستخدام وحدات التحكم في الشبكة المحلية (WLCs) اللاسلكية.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• معرفة أساسية بتكوين نقاط الوصول في الوضع Lightweight (LAPs) و Cisco WLCs

• معرفة أساسية ببروتوكول نقطة الوصول اللاسلكية (CAPWAP) من حيث التحكم والإمداد

• معرفة أساسية بحلول الأمان اللاسلكي

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى وحدة تحكم Cisco 5508/5520.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

ميزة النسخ الاحتياطي لخادم RADIUS

لا تدعم إصدارات برامج WLC الأقدم من 5.0 آلية إرجاع خادم RADIUS. عندما يصبح خادم RADIUS الأساسي غير متاح، سيتم تجاوز فشل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى خادم RADIUS التالي الذي يدعم النسخ الاحتياطي النشط. سيستمر عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في إستخدام خادم RADIUS الثانوي إلى الأبد حتى إذا كان الخادم الأساسي متوفرا. عادة ما يكون الخادم الرئيسي هو الخادم فائق الأداء والخادم المفضل.

في WLC 5.0 والإصدارات الأحدث، يدعم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ميزة النسخ الاحتياطي لخادم RADIUS. باستخدام هذه الميزة، يمكن تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للتحقق من توفر الخادم الأساسي ومن إعادة المحولات إلى خادم RADIUS الأساسي بمجرد توفرها. للقيام بهذا الإجراء، تدعم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) وضعين جديدين، خاملين ونشطين، للتحقق من حالة خادم RADIUS. ترجع عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى الخادم الأكثر تفضيلا بعد قيمة المهلة المحددة.

حالات النسخ الاحتياطي

الوضع النشط

في الوضع النشط، عندما لا يستجيب الخادم لطلب مصادقة WLC، يقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بوضع علامة "معطل" على الخادم ثم يقوم بنقل الخادم إلى تجمع الخوادم غير النشطة ويبدأ في إرسال رسائل أستكشاف بشكل دوري حتى يستجيب ذلك الخادم. إذا استجاب الخادم، فعندئذ تقوم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بنقل الخادم الميت إلى المجموعة النشطة وتتوقف عن إرسال رسائل المسبار. في هذا الوضع، عندما يأتي طلب مصادقة، يختار عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) دائما أقل خادم فهرس (أعلى أولوية) من المجموعة النشطة من خوادم RADIUS.

يرسل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حزمة تحقيق بعد المهلة (الإعداد الافتراضي هو 300 ثانية) لتحديد حالة الخادم في حالة عدم إستجابة الخادم في وقت سابق.

الوضع الخامل

في الوضع الخامل، إذا لم يستجب الخادم لطلب مصادقة WLC، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ينقل الخادم إلى قائمة الانتظار غير النشطة ويعين المؤقت. عند انتهاء صلاحية المؤقت، يقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بنقل الخادم إلى قائمة الانتظار النشطة بغض النظر عن حالة الخادم الفعلية. عندما يأتي طلب مصادقة، يختار عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أقل خادم فهرس (أعلى أولوية) من قائمة الانتظار النشطة (والذي قد يتضمن الخادم غير النشط). إذا لم يستجب الخادم، يقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بوضع علامة عليه كغير نشط وتعيين المؤقت والانتقال إلى الخادم التالي ذي الأولوية القصوى. تستمر هذه العملية إلى أن يعثر عنصر التحكم في الشبكة المحلية اللاسلكية على خادم RADIUS نشط أو أن تجمع الخوادم النشط قد أستنفد.

يفترض عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أن الخادم نشط بعد المهلة (الإعداد الافتراضي هو 300 ثانية) في حالة عدم إستجابة الخادم في وقت سابق. إذا كانت لا تزال غير مستجيبة، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ينتظر مهلة أخرى ويحاول مرة أخرى عندما يأتي طلب مصادقة.

وضع الإيقاف

في وضع إيقاف التشغيل، تدعم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) التغلب على الأعطال فقط. بمعنى آخر، تم تعطيل الطريقة الاحتياطية. عند تعطل خادم RADIUS الأساسي، سيتم تجاوز فشل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى خادم RADIUS التالي الذي يدعم ميزة النسخ الاحتياطي النشط. تستمر وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) في إستخدام خادم RADIUS الثانوي إلى الأبد، حتى إذا كان الخادم الأساسي متوفرا.

التكوين

تكوين ميزة إعادة توجيه خادم RADIUS باستخدام CLI (واجهة سطر الأوامر)

ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.

استعملت هذا أمر من ال WLC CLI in order to مكنت ال RADIUS نادل إحتياطي سمة على ال WLC.

تتمثل الخطوة الأولى في تحديد وضع خادم RADIUS الاحتياطي. وكما ذكر سابقا، تدعم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الأوضاع الإيجابية والسلبية للرجوع.

دخلت in order to حددت الأسلوب إحتياطي، هذا أمر:

WLC1 > config radius fallback-test mode {active/passive/off}

• نشط - يرسل مستكشفات إلى خوادم معطلة لاختبار الحالة.

• خامل - تعيين حالة الخادم استنادا إلى الحركة الأخيرة.

• قيد الإيقاف - تعطيل الاختبار الاحتياطي للخادم (الافتراضي).

تتمثل الخطوة التالية في تحديد الفاصل الزمني الذي يحدد فاصل المسبار للوضع النشط أو الوقت غير النشط لأوضاع العملية الخاملة.

دخلت in order to ثبتت الفاصل الزمني، هذا أمر:

WLC1 > config radius fallback-test mode interval {180 - 3600}

<180 إلى 3600> - أدخل الفاصل الزمني للتحقيق أو الوقت غير النشط في ثوان (الافتراضي هو 300 ثانية).

يحدد الفاصل الزمني فترة التحقيق في حالة الوضع النشط البديل أو الوقت غير النشط في حالة الوضع الخامل البديل.

بالنسبة للوضع النشط للعملية، تحتاج إلى تكوين اسم مستخدم سيتم إستخدامه في طلب المسبار المرسل إلى خادم RADIUS.

دخلت in order to شكلت ال username، هذا أمر:

WLC1 >config radius fallback-test username {username}

<username> - أدخل اسم حتى 16 حرف أبجدي رقمي (الافتراضي هو cisco-probe).

ملاحظة: يمكنك إدخال اسم المستخدم الخاص بك أو تركه مع الافتراضي. التقصير username "cisco-probe". لأن اسم المستخدم هذا مستخدم لإرسال رسائل التحقيق، فأنت لا تحتاج إلى تكوين كلمة مرور.

تكوين ميزة النسخ الاحتياطي لخادم RADIUS باستخدام واجهة المستخدم الرسومية (GUI)

أتمت هذا steps in order to شكلت ال WLC مع ال gui:

1. قم بتكوين الوضع البديل لخادم RADIUS. للقيام بذلك، حدد الأمان > RADIUS > إحتياطي من واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC). تظهر صفحة معاملات RADIUS > الاسترجاع.

2. من القائمة المنسدلة الوضع الاحتياطي، حدد وضع الإرسال ثنائي الإتجاه. تتضمن الخيارات المتاحة الوضع النشط والخامل وإيقاف التشغيل.

   هنا مثال لقطة شاشة لتكوين الوضع الاحتياطي النشط كما هو موضح في الصورة.
   
   

   
   
   

3. دخلت ل نشط أسلوب العملية، ال username في ال username مجال.

4. أدخل قيمة الفاصل الزمني للتحقيق في حقل الفاصل الزمني في الثانية.

5. طقطقة يطبق.

إذا تم تمكين ميزة تجاوز الفشل القوية في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يكون عدائيا للغاية لوضع علامة على خادم AAA على أنه "لا يستجيب". ومع ذلك، لا ينبغي القيام بذلك لأنه من المحتمل أن لا يستجيب خادم AAA لذلك العميل المعين فقط إذا قمت بالتجاهل الصامت. يمكن أن يكون إستجابة لعملاء آخرين صحيحين بشهادات صالحة. لا يزال بإمكان عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) تمييز خادم AAA على أنه "لا يستجيب" و"لا يعمل".

للتغلب على هذا الأمر، قم بتعطيل ميزة تجاوز الفشل القوية. دخلت ال config radius accès-failover disable أمر من الجهاز تحكم gui in order to أنجزت هذا. في حالة تعطيل هذا الإجراء، يفشل وحدة التحكم فقط في الوصول إلى خادم AAA التالي إذا كان هناك ثلاثة عملاء متتالين يخفقون في تلقي إستجابة من خادم RADIUS.

ملاحظة: تم إدخال تغيير في الوظائف في الإصدار 8.5.140 و 8.8.100 و 8.10.105 والإصدارات الأحدث: عند تعطيل تجاوز الأعطال الشديد ل RADIUS لوحدة التحكم: تتم إعادة محاولة الحزمة ست مرات إلا إذا كان هناك إجهاض من العملاء. يتم وضع علامة على خادم RADIUS (كلا من المصادقة والوصول) بشكل يتعذر الوصول إليه بعد ثلاث أحداث انتهاء المهلة (18 محاولة متتالية) من عملاء متعددين (سابقا، من ثلاثة عملاء بالضبط). عند تمكين تجاوز فشل RADIUS القوي لوحدة التحكم: تتم إعادة محاولة الحزمة ست مرات ما لم يتم الإجهاض من العملاء. يتم تمييز خادم RADIUS (كلا من AUTH و ACCT) بأنه غير قابل للوصول بعد حدث مهلة واحد (6 محاولات متتالية) من عملاء متعددين (سابقا، من عميل واحد بالضبط). وهذا يعني أنه يمكن إجراء 18 محاولة متتالية لكل خادم RADIUS (إما المصادقة أو الوصول) من عملاء متعددين. لذلك، لا يضمن دائما إعادة محاولة كل حزمة ست مرات.

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استعملت ال OIT in order to شاهدت تحليل من عرض أمر إنتاج.

أدخل الأمر show radius summary للتحقق من التكوين الاحتياطي لديك. فيما يلي مثال:

WLC1 >show radius summary 

Vendor Id Backward Compatibility................. Disabled
Call Station Id Type............................. IP Address
Aggressive Failover.............................. Enabled
Keywrap.......................................... Disabled

Fallback Test:
Test Mode.................................... Active
 Probe User Name.............................. testaccount
 Interval (in seconds)........................ 180

Authentication Servers

Idx Type Server Address Port State   Tout RFC3576  IPSec-AuthMode/Phase1/Group/Lifetime/Auth/Encr
--- ---- -------------- ---- ------- ---- -------  ----------------------------------------------
1   NM   10.1.1.12      1812 Enabled 2    Disabled Disabled-none/unknown/group-0/0 none/none

Accounting Servers

Idx Type Server Address Port  State   Tout RFC3576 IPSec-AuthMode/Phase1/Group/Lifetime/Auth/E
--- ---- -------------- ----  ------- ---- ------- -------------------------------------------
1   N    10.1.1.12      1813  Enabled 2    N/A     Disabled-none/unknown/group-0/0 none/nonen

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

ملاحظة: ارجع إلى معلومات مهمة حول أوامر التصحيح قبل إستخدام أوامر debug.

• debug dot1x events enable - يشكل تصحيح أخطاء 802.1X حادث.

• debug aaa events enable - يقوم بتكوين تصحيح أخطاء جميع أحداث AAA.

معلومات ذات صلة

• مصادقة EAP باستخدام مثال تكوين وحدات التحكم في الشبكة المحلية اللاسلكية (WLC)
• تسجيل نقطة الوصول في الوضع Lightweight (LAP) إلى وحدة تحكم شبكة محلية لاسلكية (WLC)
• تكوين حلول الأمان
• تعيين شبكة VLAN الديناميكية مع مثال تكوين خادم RADIUS ووحدة تحكم شبكة LAN اللاسلكية
• الدعم التقني والمستندات - Cisco Systems