مصادقة WLC PEAP من السلسلة 5760/3850 مع مثال تكوين Microsoft NPS

خيارات التنزيل

  • PDF     (4.2 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (3.8 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (4.1 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢ مايو ٢٠١٤
معرّف المستند:117684

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يصف هذا المستند كيفية تكوين بروتوكول المصادقة المتوسع المحمي (PEAP) باستخدام مصادقة بروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي ل Microsoft الإصدار 2 (MS-CHAP v2) على نشر شبكة LAN اللاسلكية ذات الوصول المجمع (WLAN) من Cisco باستخدام خادم نهج شبكة Microsoft (NPS) كخادم RADIUS.

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من هذا موضوع قبل أن أنت تحاول التشكيل يصف في هذا وثيقة:

  • تثبيت Microsoft Windows Version 2008 الأساسي
  • تثبيت وحدة التحكم في الوصول المجمع للشبكة المحلية اللاسلكية (WLAN) من Cisco

تأكد من استيفاء هذه المتطلبات قبل أن تحاول إجراء هذا التكوين:

  • قم بتثبيت نظام التشغيل Microsoft Windows Server الإصدار 2008 (OS) على كل خادم في مختبر الاختبار.
  • قم بتحديث جميع حزم الخدمات.
  • قم بتثبيت وحدات التحكم ونقاط الوصول في الوضع Lightweight (LAPs).
  • قم بتكوين آخر تحديثات البرامج.

ملاحظة: للحصول على معلومات التكوين والتثبيت الأولي لوحدات التحكم في الشبكة المحلية اللاسلكية (WLAN) ذات الوصول المجمع من Cisco، ارجع إلى وحدة التحكم CT5760 ومثال تكوين المحول Catalyst 3850 Switch Cisco article.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

  • Cisco 5760 Series WLAN Controller، الإصدار 3.3.2 (الجيل التالي من خزانة أسلاك (NGWC)
  • نقطة الوصول في الوضع Lightweight من السلسلة Cisco 3602 Series LAP
  • Microsoft Windows XP مع عميل ProSet من Intel
  • خادم Microsoft Windows Version 2008 الذي يقوم بتشغيل NPS بأدوار وحدة التحكم بالمجال
  • المحول Cisco Catalyst 3560 Series Switch

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يستخدم PEAP تأمين مستوى النقل (TLS) من أجل إنشاء قناة مشفرة بين عميل PEAP مصدق، مثل كمبيوتر محمول لاسلكي، ومصادقة PEAP، مثل Microsoft NPS أو أي خادم RADIUS. لا يحدد PEAP طريقة مصادقة ولكنه يوفر أمانا إضافيا لبروتوكولات المصادقة الموسعة (EAP) الأخرى مثل EAP-MS-CHAP v2 التي يمكن أن تعمل من خلال القناة المشفرة TLS التي يتم توفيرها بواسطة PEAP. تتألف عملية مصادقة PEAP من مرحلتين رئيسيتين.

المرحلة الأولى من PEAP: قناة TLS المشفرة

يرتبط العميل اللاسلكي بنقطة الوصول (AP). يوفر الاقتران المستند إلى IEEE 802.11 مصادقة نظام مفتوح أو مصادقة مفتاح مشترك قبل إنشاء اقتران آمن بين العميل ونقطة الوصول. بعد إنشاء الاقتران القائم على IEEE 802.11 بنجاح بين العميل و AP، يتم التفاوض على جلسة TLS مع AP.

بعد اكتمال المصادقة بين العميل اللاسلكي و NPS بنجاح، يتم التفاوض على جلسة عمل TLS بين العميل و NPS. يتم إستخدام المفتاح المستمد من هذا التفاوض لتشفير كل الاتصالات اللاحقة.

المرحلة الثانية من PEAP: الاتصال الذي تم التصديق عليه بواسطة EAP

يحدث اتصال EAP، والذي يتضمن تفاوض EAP، داخل قناة TLS التي يتم إنشاؤها بواسطة PEAP ضمن المرحلة الأولى من عملية مصادقة PEAP. يصادق NPS العميل اللاسلكي مع EAP-MS-CHAP v2. تقوم نقاط الوصول في الوضع Lightweight ووحدة التحكم فقط بإعادة توجيه الرسائل بين العميل اللاسلكي وخادم RADIUS. يتعذر على وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) ونقاط الوصول في الوضع Lightweight (LAP) فك تشفير الرسائل لأن وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) ليست نقطة نهاية TLS.

فيما يلي تسلسل رسائل RADIUS لمحاولات المصادقة الناجحة، حيث يقوم المستخدم بتوفير بيانات اعتماد صالحة مستندة إلى كلمة المرور مع PEAP-MS-CHAP v2:

  1. يرسل NPS رسالة طلب هوية إلى العميل:

    EAP-Request/Identity
  2. يرد العميل برسالة إستجابة الهوية:

    EAP-Response/Identity
  3. يرسل NPS رسالة تحدي MS-CHAP v2:

    EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge)
  4. يستجيب العميل بتحدي MS-CHAP v2 واستجابته:

    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response)
  5. تستجيب NPS باستخدام حزمة نجاح MS-CHAP v2 عندما يقوم الخادم بمصادقة العميل بنجاح:

    EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Success)
  6. يستجيب العميل باستخدام حزمة نجاح MS-CHAP v2 عندما يقوم العميل بمصادقة الخادم بنجاح:

    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success)
  7. يرسل NPS نوع EAP-length-value (TLV) الذي يشير إلى المصادقة الناجحة.

  8. يستجيب العميل برسالة نجاح حالة EAP-TLV.

  9. يكمل الخادم المصادقة ويرسل رسالة EAP-Success في نص عادي. إذا تم نشر شبكات VLAN لعزل العميل، فسيتم تضمين سمات شبكة VLAN في هذه الرسالة.

التكوين

أستخدم هذا القسم لتكوين PEAP باستخدام مصادقة MS-CHAP V2 على نشر WLC للوصول المجمع من Cisco باستخدام Microsoft NPS كخادم RADIUS.

الرسم التخطيطي للشبكة

في هذا المثال، يقوم خادم Microsoft Windows الإصدار 2008 بتنفيذ الأدوار التالية:

  • وحدة التحكم بالمجال لمجال wireless.com
  • خادم نظام اسم المجال (DNS)
  • خادم جهة منح الشهادة (CA)
  • NPS لمصادقة المستخدمين اللاسلكيين
  • خدمة Active Directory (AD) للحفاظ على قاعدة بيانات المستخدم

يتصل الخادم بالشبكة السلكية من خلال محول من الطبقة 2 (L2)، كما هو موضح. كما تتصل وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) ونقطة الوصول في الوضع Lightweight (LAP) المسجلة بالشبكة من خلال محول L2.

يستخدم العملاء اللاسلكي مصادقة PEAP-MS-CHAP v2 للوصول المحمي 2 (WPA2) بتقنية Wi-Fi للاتصال بالشبكة اللاسلكية.

التكوينات

يتم إكمال التكوين الموضح في هذا القسم في خطوتين:

  1. شكلت ال 5760/3850 sery WLC مع ال CLI أو GUI.

  2. قم بتكوين خادم Microsoft Windows الإصدار 2008 ل NPS ووحدة التحكم بالمجال وحسابات المستخدمين على AD.

تكوين شبكات WLC للوصول المجمع باستخدام واجهة سطر الأوامر

أكمل هذه الخطوات لتكوين شبكة WLAN لشبكة VLAN العميل المطلوبة وتخطيطها إلى قائمة طرق المصادقة باستخدام CLI (واجهة سطر الأوامر):

ملاحظة: تأكد من تمكين التحكم في مصادقة النظام dot1x على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، أو أن dot1X لا تعمل.

  1. قم بتمكين ميزة نموذج AAA الجديد.

  2. قم بتكوين خادم RADIUS.

  3. إضافة الخادم إلى مجموعة الخوادم.

  4. قم بتعيين مجموعة الخوادم إلى قائمة الأساليب.

  5. قم بتعيين قائمة الطرق إلى شبكة WLAN.
aaa new-model
  !
  !
  aaa group server radius Microsoft_NPS
   server name Microsoft_NPS
  !
aaa authentication dot1x Microsoft_NPS group Microsoft_NPS
aaa authorization network Microsoft_NPS group Microsoft_NPS
  radius server Microsoft_NPS
   address ipv4 10.104.208.96 auth-port 1645 acct-port 1646
   timeout 10
   retransmit 10
 key Cisco123
wlan Microsoft_NPS 8 Microsoft_NPS
   client vlan VLAN0020
   no exclusionlist
   security dot1x authentication-list Microsoft_NPS
   session-timeout 1800
 no shutdown

تكوين شبكات WLC للوصول المجمع باستخدام واجهة المستخدم الرسومية (GUI)

أتمت هذا steps in order to شكلت ال Converged Access WLCs مع ال gui:

  1. تمكين dot1x system-auth-control:



  2. انتقل إلى التكوين > الأمان > AAA لإضافة خادم RADIUS:



  3. انتقل إلى RADIUS > الخوادم، وانقر فوق NEW، وقم بتحديث عنوان IP الخاص بخادم RADIUS مع السر المشترك. يجب أن يتطابق السر المشترك مع السر المشترك الذي تم تكوينه على خادم RADIUS أيضا.



    بعد تكوين خادم RADIUS، يجب أن تظهر علامة التبويب الخادم مماثلة لما يلي:



  4. قم بتكوين مجموعة خوادم وحدد RADIUS لنوع المجموعة. بعد ذلك، أضف خادم RADIUS الذي أنشأته في الخطوة السابقة:



    يجب أن تظهر مجموعة الخوادم مماثلة بعد التكوين:



  5. حدد dot1x لنوع قائمة طرق المصادقة والمجموعة لنوع المجموعة. بعد ذلك، قم بتعيين مجموعة الخوادم التي قمت بتكوينها في الخطوة السابقة:



    يجب أن تظهر قائمة طرق المصادقة مماثلة لهذا بعد التكوين:



  6. حدد شبكة لنوع قائمة طرق التخويل والمجموعة لنوع المجموعة. بعد ذلك، قم بتعيين مجموعة الخوادم التي قمت بتكوينها في الخطوة السابقة:



    يجب أن تظهر قائمة طرق التخويل مماثلة لهذا بعد التكوين:



  7. انتقل إلى تكوين > لاسلكي وانقر فوق علامة تبويب شبكة WLAN. تكوين شبكة WLAN جديدة يمكن للمستخدمين الاتصال بها والمصادقة عليها من خلال خادم Microsoft NPS بمصادقة EAP:



    يجب أن تظهر علامة تبويب L2 للأمان مشابهة لهذا بعد التكوين:



  8. قم بتعيين قائمة الطرق التي قمت بتكوينها في الخطوات السابقة. يساعد ذلك في مصادقة العميل إلى الخادم الصحيح.

التكوين على خادم Microsoft Windows الإصدار 2008

يصف هذا القسم تكوين كامل لخادم Microsoft Windows الإصدار 2008. يتم إكمال التكوين في ست خطوات:

  1. قم بتكوين الخادم كوحدة تحكم بالمجال.

  2. قم بتثبيت الخادم وتكوينه كخادم CA.

  3. قم بتثبيت NPS.

  4. تثبيت شهادة.

  5. قم بتكوين NPS لمصادقة PEAP.

  6. إضافة مستخدمين إلى الإعلان.
تكوين خادم Microsoft Windows 2008 كوحدة تحكم بالمجال

أكمل الخطوات التالية لتكوين خادم Microsoft Windows Version 2008 كوحدة تحكم بالمجال:

  1. انتقل إلى ابدأ > مدير الخادم > أدوار > إضافة أدوار.





  2. انقر فوق Next (التالي).



  3. حدد خانة الاختيار Active Directory Domain Services وانقر فوق Next.



  4. راجع مقدمة خدمات مجال Active Directory وانقر فوق التالي.



  5. انقر على تثبيت لبدء عملية التثبيت.



    يستمر التثبيت ويكتمل.

  6. انقر فوق إغلاق هذا المعالج وتشغيل معالج تثبيت خدمات مجال خدمة Active Directory (dcpromo.exe) لمتابعة تثبيت إعلان الاستثمار وتكوينه.



  7. انقر فوق التالي لتشغيل معالج تثبيت خدمات مجال Active Directory.



  8. راجع المعلومات حول توافق نظام التشغيل وانقر فوق التالي.



  9. طقطقت ال create مجال جديد في غابة جديد لاسلكي زر وطقطقة بعد ذلك in order to خلقت مجال جديد.



  10. أدخل اسم DNS الكامل للمجال الجديد (wireless.com في هذا المثال) وانقر التالي.



  11. حدد مستوى وظيفة الغابة للمجال الخاص بك وانقر فوق التالي.



  12. حدد مستوى وظيفة المجال للمجال وانقر فوق التالي.



  13. حدد خانة الاختيار خادم DNS وانقر فوق التالي.



  14. انقر فوق نعم عندما يظهر الإطار المنبثق لمعالج تثبيت خدمات مجال Active Directory لإنشاء منطقة جديدة في DNS للمجال.



  15. حدد المجلدات التي تريد أن يستخدمها الإعلان للملفات وانقر التالي.



  16. أدخل كلمة مرور المسؤول وانقر على التالي.



  17. راجع التحديدات وانقر فوق التالي.



    تمضي عملية التثبيت.

  18. انقر فوق إنهاء لإغلاق المعالج.



  19. قم بإعادة تشغيل الخادم لكي تصبح التغييرات نافذة المفعول.

تثبيت خادم Microsoft Windows الإصدار 2008 وتكوينه كخادم CA

يقوم PEAP مع EAP-MS-CHAP v2 بالتحقق من خادم RADIUS بناء على الشهادة الموجودة على الخادم. بالإضافة إلى ذلك، يجب إصدار شهادة الخادم من مرجع مصدق عام موثوق به من قبل كمبيوتر العميل. أي أن شهادة المرجع المصدق العامة موجودة بالفعل في مجلد المرجع المصدق الجذر الموثوق به الموجود في مخزن شهادات الكمبيوتر العميل. 

أتمت هذا steps in order to شكلت Microsoft Windows صيغة 2008 نادل CA أن يصدر الشهادة إلى NPS:

  1. انتقل إلى ابدأ > مدير الخادم > أدوار > إضافة أدوار.





  2. انقر فوق Next (التالي).



  3. حدد خانة الاختيار Active Directory Certificate Services وانقر فوق التالي.



  4. راجع مقدمة خدمات شهادات Active Directory وانقر فوق التالي.



  5. حدد خانة الاختيار المرجع المصدق وانقر التالي.



  6. طقطقت Enterprise لاسلكي زر وطقطقت بعد ذلك.



  7. طقطقت الجذر ca لاسلكي زر وطقطقت بعد ذلك.



  8. انقر على زر إنشاء راديو مفتاح خاص جديد وانقر على التالي.



  9. طقطقت بعد ذلك في يشكل تشفير ل CA نافذة.



  10. طقطقت بعد ذلك in order to قبلت ال شائع إسم ل هذا CA تقصير إسم.



  11. حدد طول الوقت الذي تكون فيه شهادة CA صالحة وانقر فوق التالي.



  12. طقطقت بعد ذلك in order to قبلت الترخيص قاعدة معطيات موقع تقصير موقع.



  13. راجع التكوين وانقر فوق تثبيت لبدء خدمات شهادات Active Directory.



  14. بعد اكتمال التثبيت، انقر فوق إغلاق".
تثبيت NPS على خادم Microsoft Windows Version 2008

ملاحظة: باستخدام الإعداد الموضح في هذا القسم، يستخدم NPS كخادم RADIUS لمصادقة العملاء اللاسلكيين بمصادقة PEAP. 

أتمت هذا steps in order to ركبت وشكلت ال NPS على ال مايكروسوفت ويندوز صيغة 2008 نادل:

  1. انتقل إلى ابدأ > مدير الخادم > أدوار > إضافة أدوار.





  2. انقر فوق Next (التالي).



  3. حدد خانة الاختيار Network Policy and Access Services (سياسة الشبكة وخدمات الوصول) وانقر فوق Next.



  4. راجع مقدمة سياسة الشبكة وخدمات الوصول وانقر فوق التالي.



  5. تحقق من خانة الاختيار Network Policy Server وانقر فوق التالي.



  6. راجع التأكيد وانقر فوق تثبيت.



    بعد اكتمال التثبيت، يجب أن تظهر شاشة مماثلة:



  7. انقر فوق "إغلاق".
تثبيت شهادة

أتمت هذا steps in order to ركبت الكومبيوتر شهادة ل NPS:

  1. انقر فوق بدء، وأدخل وحدة تحكم الإدارة (MMC) من Microsoft، ثم اضغط على مفتاح Enter.

  2. انتقل إلى ملف>إضافة/إزالة الأداة الإضافية.

  3. أختر تراخيص وانقر إضافة.



  4. طقطقت Computer حساب لاسلكي زر وطقطقت بعد ذلك.



  5. طقطقت المحلي جهاز لاسلكي وطقطقة إنجاز.



  6. طقطقة ok in order to رجعت إلى ال MMC.



  7. قم بتوسيع الشهادات (الكمبيوتر المحلي) والمجلدات الشخصية، وانقر الشهادات.



  8. انقر بزر الماوس الأيمن على المسافة البيضاء في ترخيص CA، واختر كل المهام > طلب شهادة جديدة.



  9. انقر فوق Next (التالي).



  10. انقر فوق خانة الاختيار وحدة التحكم بالمجال، ثم انقر فوق تسجيل.

    ملاحظة: إذا فشلت مصادقة العميل بسبب خطأ في شهادة EAP، فتأكد من أن جميع خانات الاختيار محددة في صفحة تسجيل الشهادة هذه قبل النقر فوق تسجيل. ينشئ ذلك حوالي ثلاثة شهادات.




  11. انقر على إنهاء بمجرد تثبيت الشهادة.



    شهادة NPS مثبتة الآن.

  12. تأكد من ظهور مصادقة العميل ومصادقة الخادم في عمود "الأغراض المقصودة" للشهادة.

تكوين خدمة خادم نهج الشبكة لمصادقة PEAP-MS-CHAP v2

أتمت هذا steps in order to شكلت NPS للمصادقة:

  1. انتقل إلى ابدأ > أدوات إدارية > خادم نهج الشبكة.

  2. انقر بزر الماوس الأيمن فوق NPS (محلي) واختر خادم التسجيل في Active Directory.



  3. وانقر فوق OK.



  4. وانقر فوق OK.



  5. إضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) كعميل المصادقة والتفويض والمحاسبة (AAA) على NPS.

  6. قم بتوسيع عملاء RADIUS وخوادم. انقر بزر الماوس الأيمن فوق عملاء RADIUS واختر عميل RADIUS الجديد:



  7. دخلت اسم (WLC في هذا مثال)، الإدارة عنوان من ال WLC (10.105.135.178 في هذا مثال)، وسر مشترك.

    ملاحظة: يتم إستخدام نفس السر المشترك من أجل تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).




  8. طقطقة ok in order to رجعت إلى الشاشة السابقة.



  9. إنشاء نهج شبكة جديد للمستخدمين اللاسلكيين. قم بتوسيع السياسات، وانقر بزر الماوس الأيمن فوق سياسات الشبكة، واختر جديد:



  10. أدخل اسم نهج لهذه القاعدة (PEAP في هذا المثال) وانقر فوق التالي.



  11. لتكوين هذا النهج للسماح فقط لمستخدمي المجال اللاسلكي، أضف هذه الشروط الثلاثة وانقر فوق التالي:

    الشرط القيمة
    مجموعات Windows لاسلكي\مستخدمي المجال
    نوع منفذ NAS لاسلكي - IEEE 802.11
    نوع المصادقة EAP



  12. انقر فوق زر الوصول الممنوح للراديو لمنح محاولات الاتصال التي تطابق هذا النهج وانقر فوق التالي.



  13. تعطيل جميع طرق المصادقة الأقل أمانا:



  14. طقطقة يضيف، حدد ال مايكروسوفت: محمي EAP (PEAP)نوع، وطقطقة ok in order to مكنت PEAP.



  15. حدد Microsoft: EAP محمي (PEAP) وانقر تحرير. تأكد من تحديد شهادة وحدة التحكم بالمجال التي تم إنشاؤها مسبقا في القائمة المنسدلة "الشهادة الصادرة" وانقر فوق موافق.



  16. انقر فوق Next (التالي).



  17. انقر فوق Next (التالي).



  18. انقر فوق Next (التالي).



  19. انقر فوق إنهاء.



    ملاحظة: قد تحتاج، تبعا لاحتياجاتك، إلى تكوين نهج طلب الاتصال على NPS للسماح بملف تعريف PEAP أو النهج.

إضافة مستخدمين إلى Active Directory

ملاحظة: في هذا المثال، يتم الاحتفاظ بقاعدة بيانات المستخدم على الإعلان. 

أتمت هذا steps in order to أضفت مستعمل إلى القاعدة معطيات AD:

  1. انتقل إلى Start > Administrative Tools > Active Directory Users and Computers.

  2. في شجرة وحدة تحكم مستخدمي Active Directory وأجهزة الكمبيوتر، قم بتوسيع المجال وانقر بزر الماوس الأيمن فوق المستخدمين والجديد، واختر المستخدم.

  3. في شاشة كائن جديد - مستخدم، أدخل اسم المستخدم اللاسلكي. يستخدم هذا المثال Client1 في حقل "الاسم الأول" وClient1 في حقل اسم تسجيل دخول المستخدم. انقر فوق Next (التالي).



  4. في شاشة كائن جديد - مستخدم، قم بإدخال كلمة مرور من إختيارك في حقول كلمة المرور وتأكيد كلمة المرور. إلغاء تحديد يجب على المستخدم تغيير كلمة المرور في خانة الاختيار التالي لتسجيل الدخول وانقر فوق التالي.



  5. في شاشة كائن جديد - مستخدم، انقر إنهاء.



  6. كرر الخطوات من 2 إلى 4 لإنشاء حسابات مستخدمين إضافية.

التحقق من الصحة

أتمت هذا steps in order to دققت تشكيلك:

  1. ابحث عن معرف مجموعة الخدمة (SSID) على جهاز العميل.



  2. تأكد من اتصال العميل بنجاح:

استكشاف الأخطاء وإصلاحها

ملاحظة: توصي Cisco باستخدام التتبع لاستكشاف أخطاء اللاسلكي وإصلاحها. يتم حفظ المسارات في المخزن المؤقت الدائري وهي ليست مركزة على المعالج.

مكنت هذا أثر in order to نلت ال L2 مصادقة سجل:

  • تعيين تصحيح أخطاء مستوى مجموعة التتبع - الاتصال اللاسلكي الآمن
  • set trace group-wireless-secure filter mac 0017.7c2f.b69a

مكنت هذا أثر in order to نلت ال dot1X AAA حادث:

  • set trace wcm-dot1x aaa مستوى debug
  • set trace wcm-dot1x aaa مرشح mac 0017.7c2f.b69a

مكنت هذا أثر in order to إستلمت ال DHCP حادث:

  • ضبط تصحيح أخطاء مستوى أحداث DHCP
  • set trace dhcp حادث مرشح mac 0017.7c2f.b69a

مكنت هذا أثر in order to أعجزت التتبع ومسح المخزن المؤقت:

  • تعيين تتبع عناصر التحكم في النظام التي تمت تصفيتها تتبع واضح
  • ضبط تتبع wcm-dot1x aaa مستوى تقصير
  • تعيين عامل تصفية WCM-dot1x aaa بلا
  • تعيين القيمة الافتراضية للمستوى اللاسلكي الآمن لمجموعة التتبع
  • تعيين عامل تصفية مجموعة التتبع اللاسلكي الآمن بلا شيء

أدخل الأمر show trace sys-filtered-trace لعرض المسارات:

[04/23/14 21:27:51.963 IST 1 8151] 0017.7c2f.b69a Adding mobile on LWAPP AP
 1caa.076f.9e10 (0) 
[04/23/14 21:27:51.963 IST 2 8151] 0017.7c2f.b69a Local Policy:  Created MSCB
 Just AccessVLAN = 0 and SessionTimeout  is 0 and apfMsTimeout is 0 

[04/23/14 21:27:51.963 IST 8 8151] 0017.7c2f.b69a Local Policy:Setting local
 bridging VLAN  name VLAN0020 and VLAN ID  20

[04/23/14 21:27:51.963 IST 9 8151] 0017.7c2f.b69a Applying WLAN ACL policies
 to client
[04/23/14 21:27:51.963 IST a 8151] 0017.7c2f.b69a No Interface ACL used for
 Wireless client in WCM(NGWC)
[04/23/14 21:27:51.963 IST b 8151] 0017.7c2f.b69a Applying site-specific IPv6
 override for station  0017.7c2f.b69a  - vapId 8, site 'test',
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST c 8151] 0017.7c2f.b69a Applying local bridging
 Interface Policy for station  0017.7c2f.b69a  - vlan 20,
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST d 8151] 0017.7c2f.b69a
 **** Inside applyLocalProfilingPolicyAction **** 

04/23/14 21:27:51.963 IST f 8151] 0017.7c2f.b69a     Local Profiling Values :
 isValidVlan = 0, vlan = 0, isVlanRecdInDelete = 0, isValidSessionTimeout = 0,
 sessionTimeout=0, isSessionTORecdInDelete = 0  ProtocolMap = 0 ,
 applyPolicyAtRun= 0 
[04/23/14 21:27:51.963 IST 10 8151] 0017.7c2f.b69a          ipv4ACL = [],
 ipv6ACL = [], inQoS = [unknown], outQoS = [unknown]
[04/23/14 21:27:51.963 IST 11 8151] 0017.7c2f.b69a STA - rates (4):
 130 132 139 150 0 0 0 0 0 0 0 0 0 0 0 0
[04/23/14 21:27:51.963 IST 12 8151] 0017.7c2f.b69a STA - rates (12):
 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
[04/23/14 21:27:51.963 IST 13 8151] 0017.7c2f.b69a Processing RSN IE type 48,
 length 20 for mobile  0017.7c2f.b69a 
[04/23/14 21:27:51.963 IST 14 8151] 0017.7c2f.b69a Received RSN IE with 0 
 PMKIDsfrom mobile  0017.7c2f.b69a 


[04/23/14 21:27:51.964 IST 1b 8151] 0017.7c2f.b69a Change state to AUTHCHECK
 (2) last state START (0)

[04/23/14 21:27:51.964 IST 1c 8151] 0017.7c2f.b69a Change state to 8021X_REQD
 (3) last state AUTHCHECK (2)


[04/23/14 21:27:51.964 IST 25 8151] 0017.7c2f.b69a apfProcessAssocReq
 (apf_80211.c:6272) Changing state for mobile  0017.7c2f.b69a  on AP
 1caa.076f.9e10  from Associated to Associated

[04/23/14 21:27:51.971 IST 26 8151] 0017.7c2f.b69a 1XA: Initiating
 authentication
[04/23/14 21:27:51.971 IST 27 8151] 0017.7c2f.b69a 1XA: Setting reauth
 timeout to 1800 seconds
[04/23/14 21:27:51.971 IST 28 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 0

[04/23/14 21:27:51.971 IST 29 8151] 0017.7c2f.b69a 1XA: Allocated uid 40
[04/23/14 21:27:51.971 IST 2a 8151] 0017.7c2f.b69a 1XA: Calling Auth Mgr
 to authenticate client 4975000000003e uid 40
[04/23/14 21:27:51.971 IST 2b 8151] 0017.7c2f.b69a 1XA: Session Start from
 wireless client 

[04/23/14 21:27:51.971 IST 2c 8151] 0017.7c2f.b69a Session Manager Call Client
 4975000000003e, uid 40, capwap id 7ae8c000000013,Flag 0, Audit-Session ID
 0a6987b25357e2ff00000028, method list Microsoft_NPS, policy name (null) 

[04/23/14 21:27:51.971 IST 2d 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3] Session start request from Client[1] for 0017.7c2f.b69a
 (method: Dot1X, method list: Microsoft_NPS, aaa id: 0x00000028),  policy 
[04/23/14 21:27:51.971 IST 2e 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3]  - client iif_id: 4975000000003E, session ID:
 0a6987b25357e2ff00000028 for 0017.7c2f.b69a


[04/23/14 21:27:51.972 IST 43 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting !EAP_RESTART on Client 0x22000025
[04/23/14 21:27:51.972 IST 44 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:enter connecting state
[04/23/14 21:27:51.972 IST 45 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: restart connecting
[04/23/14 21:27:51.972 IST 46 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting RX_REQ on Client 0x22000025
[04/23/14 21:27:51.972 IST 47 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: authenticating state entered
[04/23/14 21:27:51.972 IST 48 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:connecting authenticating action
[04/23/14 21:27:51.972 IST 49 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting AUTH_START for 0x22000025
[04/23/14 21:27:51.972 IST 4a 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:entering request state
[04/23/14 21:27:51.972 IST 4b 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending EAPOL packet
[04/23/14 21:27:51.972 IST 4c 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Platform changed src mac  of EAPOL packet
[04/23/14 21:27:51.972 IST 4d 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending out EAPOL packet
[04/23/14 21:27:51.972 IST 4e 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] EAPOL packet sent to client 0x22000025


[04/23/14 21:27:52.112 IST 7d 211] Parsed CLID MAC Address = 0:23:124:47:182:154
[04/23/14 21:27:52.112 IST 7e 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:52.112 IST 7f 211] AAA SRV(00000000): Authen method=SERVER_GROUP
 Microsoft_NPS
[04/23/14 21:27:52.112 IST 80 211] AAA SRV(00000000): Selecting SG = DIAMETER
[04/23/14 21:27:52.113 IST 81 186] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Queuing an EAPOL pkt on Authenticator Q
[04/23/14 21:27:52.113 IST 82 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting EAPOL_EAP for 0x22000025
[04/23/14 21:27:52.278 IST 83 220] AAA SRV(00000000): protocol reply
 GET_CHALLENGE_RESPONSE for Authentication
[04/23/14 21:27:52.278 IST 84 220] AAA SRV(00000000): Return Authentication
 status=GET_CHALLENGE_RESPONSE
[04/23/14 21:27:52.278 IST 85 291] ACCESS-METHOD-DOT1X-DEB:[0017.7c2f.b69a,Ca3]
 Posting EAP_REQ for 0x22000025

فيما يلي بقية مخرجات EAP:

[04/23/14 21:27:54.690 IST 12b 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:54.690 IST 12c 211] AAA SRV(00000000): Authen
 method=SERVER_GROUP Microsoft_NPS
[04/23/14 21:27:54.690 IST 12d 211] AAA SRV(00000000): Selecting SG =
 DIAMETER
[04/23/14 21:27:54.694 IST 12e 220] AAA SRV(00000000): protocol reply PASS
 for Authentication
[04/23/14 21:27:54.694 IST 12f 220] AAA SRV(00000000): Return Authentication
 status=PASS
[04/23/14 21:27:54.694 IST 130 189] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Received an EAP Success


[04/23/14 21:27:54.695 IST 186 8151] 0017.7c2f.b69a Starting key exchange with
 mobile - data forwarding is disabled
[04/23/14 21:27:54.695 IST 187 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.706 IST 188 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 121) from mobile
[04/23/14 21:27:54.706 IST 189 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile
[04/23/14 21:27:54.706 IST 18a 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTK_START state (msg 2) from mobile
[04/23/14 21:27:54.706 IST 18b 8151] 0017.7c2f.b69a 1XK: Stopping retransmission
 timer
[04/23/14 21:27:54.706 IST 18c 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.717 IST 18d 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 99) from mobile
[04/23/14 21:27:54.717 IST 18e 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile
[04/23/14 21:27:54.717 IST 18f 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTKINITNEGOTIATING state (msg 4) from mobile
[04/23/14 21:27:54.717 IST 190 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 1

[04/23/14 21:27:54.717 IST 191 8151] 0017.7c2f.b69a 1XK: Key exchange complete
 - updating PEM
[04/23/14 21:27:54.717 IST 192 8151] 0017.7c2f.b69a apfMs1xStateInc
[04/23/14 21:27:54.717 IST 193 8151] 0017.7c2f.b69a Change state to
 L2AUTHCOMPLETE (4) last state 8021X_REQD (3)


[04/23/14 21:27:58.277 IST 1df 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:27:58.277 IST 1e0 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:28:05.279 IST 1e1 269] DHCPD: Adding binding to hash tree
[04/23/14 21:28:05.279 IST 1e2 269] DHCPD: DHCPOFFER notify setup address
20.20.20.5 mask 255.255.255.0


[04/23/14 21:28:05.306 IST 1f4 8151] 0017.7c2f.b69a Change state to RUN (20)
 last state DHCP_REQD (7)
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • Surendra BG
    مهندس TAC من Cisco

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات