Konfigurationsbeispiel für Cisco Airespace VSAs in Microsoft IAS Radius Server

Download-Optionen

  • PDF     (417.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (460.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.1 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:26. April 2007
Dokument-ID:91392

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Konfiguration eines Microsoft Internet Authentication Service (IAS)-Servers zur Unterstützung der VSAs (Vendor Specific Attributes) von Cisco beschrieben. Der Vendor-Code für Cisco Airespace VSAs lautet 14179.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:

  • Kenntnisse der Konfiguration eines IAS-Servers

  • Kenntnis der Konfiguration von Lightweight Access Points (LAPs) und Cisco Wireless LAN Controllern (WLCs)

  • Kenntnisse der Cisco Unified Wireless Security-Lösungen

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Microsoft Windows 2000 Server mit IAS

  • Cisco 4400 WLC mit Softwareversion 4.0.206.0

  • LAPs der Cisco Serie 1000

  • 802.11a/b/g Wireless Client-Adapter mit Firmware 2.5

  • Aironet Desktop Utility (ADU) Version 2.5

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Hinweis: Dieses Dokument soll dem Leser ein Beispiel für die Konfiguration geben, die auf dem IAS-Server zur Unterstützung von Cisco Application VSAs erforderlich ist. Die in diesem Dokument vorgestellte IAS-Serverkonfiguration wurde im Labor getestet und funktioniert wie erwartet. Wenn Sie Probleme beim Konfigurieren des IAS-Servers haben, wenden Sie sich an Microsoft, um Hilfe zu erhalten. Das Cisco TAC unterstützt die Microsoft Windows-Serverkonfiguration nicht.

In diesem Dokument wird davon ausgegangen, dass der WLC für den Basisbetrieb konfiguriert ist und dass die LAPs beim WLC registriert sind. Wenn Sie ein neuer Benutzer sind und versuchen, den WLC für den Basisbetrieb mit LAPs einzurichten, lesen Sie die Informationen zur LAP-Registrierung (Lightweight AP) an einen Wireless LAN Controller (WLC).

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

In den meisten WLAN-Systemen (WLAN) verfügt jedes WLAN über eine statische Richtlinie, die auf alle Clients angewendet wird, die einem Service Set Identifier (SSID) zugeordnet sind. Diese Methode ist zwar leistungsstark, bietet jedoch Einschränkungen, da Clients verschiedene SSIDs verknüpfen müssen, um unterschiedliche QoS- und Sicherheitsrichtlinien zu erben.

Die Cisco Wireless LAN-Lösung unterstützt jedoch Identitätsnetzwerke, die es dem Netzwerk ermöglichen, eine einzelne SSID und bestimmte Benutzer anzukündigen, um je nach ihren Benutzerprofilen unterschiedliche QoS- oder Sicherheitsrichtlinien zu erben. Die spezifischen Richtlinien, die Sie mithilfe von Identitätsnetzwerken steuern können, sind:

  • Quality of Service - Wenn der QoS-Level-Wert in einem RADIUS Access Accept vorhanden ist, überschreibt er den im WLAN-Profil angegebenen QoS-Wert.

  • ACL - Wenn das Attribut "Access Control List" (Zugriffssteuerungsliste) im RADIUS Access Accept (RADIUS-Zugriffsakzepte) vorhanden ist, wendet das System den ACL-Namen nach der Authentifizierung auf die Client-Station an. Dadurch werden alle der Schnittstelle zugewiesenen ACLs außer Kraft gesetzt.

  • VLAN: Wenn ein VLAN-Schnittstellenname oder ein VLAN-Tag in einem RADIUS Access Accept vorhanden ist, platziert das System den Client auf einer bestimmten Schnittstelle.

  • WLAN-ID: Wenn das WLAN-ID-Attribut im RADIUS Access Accept vorhanden ist, wendet das System die WLAN-ID (SSID) nach der Authentifizierung auf die Client-Station an. Die WLAN-ID wird vom WLC in allen Authentifizierungsinstanzen außer IPSec gesendet. Wenn der WLC bei der Webauthentifizierung ein WLAN-ID-Attribut in der Authentifizierungsantwort des AAA-Servers erhält und es nicht mit der ID des WLAN übereinstimmt, wird die Authentifizierung abgelehnt. Andere Sicherheitsmethoden tun dies nicht.

  • DSCP Value (DSCP-Wert): Wenn der Wert in einem RADIUS Access Accept vorhanden ist, überschreibt der DSCP-Wert den im WLAN-Profil angegebenen DSCP-Wert.

  • 802.1p-Tag: Wenn der 802.1p-Wert in einem RADIUS Access Accept vorhanden ist, wird er über den im WLAN-Profil angegebenen Standardwert gesetzt.

Hinweis: Die VLAN-Funktion unterstützt nur MAC-Filterung, 802.1X und Wi-Fi Protected Access (WPA). Die VLAN-Funktion unterstützt keine Webauthentifizierung oder IPSec. Die lokale MAC-Filter-Datenbank des Betriebssystems wurde um den Schnittstellennamen erweitert. Auf diese Weise können lokale MAC-Filter festlegen, welche Schnittstelle dem Client zugewiesen werden soll. Ein separater RADIUS-Server kann ebenfalls verwendet werden, der RADIUS-Server muss jedoch mithilfe der Sicherheitsmenüs definiert werden.

Weitere Informationen zu Identitätsnetzwerken finden Sie unter Konfigurieren von Identitätsnetzwerken.

Konfigurieren des IAS für Airespace VSAs

Um den IAS für Airespace VSAs zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

  1. Konfigurieren des WLC als AAA-Client im IAS

  2. Konfigurieren der Remote-Zugriffsrichtlinie auf dem IAS

Hinweis: Die VSAs werden unter "Remote Access Policy" (Remote-Zugriffsrichtlinie) konfiguriert.

Konfigurieren des WLC als AAA-Client im IAS

Gehen Sie wie folgt vor, um den WLC als AAA-Client im IAS zu konfigurieren:

  1. Klicken Sie auf Programme > Verwaltung > Internet Authentication Service, um IAS auf dem Microsoft 2000-Server zu starten.

    airespace-vsa-msias-config1.gif

  2. Klicken Sie mit der rechten Maustaste auf den Ordner Clients, und wählen Sie Neuer Client aus, um einen neuen RADIUS-Client hinzuzufügen.

  3. Geben Sie im Fenster Add Client (Client hinzufügen) den Namen des Clients ein, und wählen Sie RADIUS als Protokoll aus. Klicken Sie anschließend auf Weiter.

    In diesem Beispiel lautet der Client-Name WLC-1.

    Hinweis: Standardmäßig ist das Protokoll auf RADIUS festgelegt.

    airespace-vsa-msias-config2.gif

  4. Geben Sie im Fenster Add RADIUS Client (RADIUS-Client hinzufügen) die Client-IP-Adresse, die Client-Vendor-Adresse und den geheimen Schlüssel ein. Nachdem Sie die Client-Informationen eingegeben haben, klicken Sie auf Fertig stellen.

    Dieses Beispiel zeigt einen Client mit dem Namen WLC-1 und der IP-Adresse 172.16.1.30, der Client-Anbieter ist auf Cisco und der Shared geheime Client cisco123:

    airespace-vsa-msias-config3.gif

    Mit diesen Informationen wird der WLC mit dem Namen WLC-1 als AAA-Client des IAS-Servers hinzugefügt.

    airespace-vsa-msias-config4.gif

Im nächsten Schritt wird eine Remote-Zugriffsrichtlinie erstellt und die VSAs konfiguriert.

Konfigurieren der Remote-Zugriffsrichtlinie auf dem IAS

Gehen Sie wie folgt vor, um eine neue Remote Access Policy für den IAS zu konfigurieren:

  1. Klicken Sie mit der rechten Maustaste auf Remote Access Policies (Remote-Zugriffsrichtlinien), und wählen Sie New Remote AccessMS Policy (Neue Remote-Zugriffsrichtlinien) aus.

    Das Fenster Policy Name (Richtlinienname) wird angezeigt.

  2. Geben Sie den Namen der Richtlinie ein, und klicken Sie auf Weiter.

    airespace-vsa-msias-config5.gif

  3. Wählen Sie im nächsten Fenster die Bedingungen aus, für die die Remote-Zugriffsrichtlinie gilt. Klicken Sie auf Hinzufügen, um die Bedingungen auszuwählen.

    airespace-vsa-msias-config6.gif

  4. Wählen Sie im Menü Attributtypen die folgenden Attribute aus:

    • Client-IP-Adresse - Geben Sie die IP-Adresse des AAA-Clients ein. In diesem Beispiel wird die IP-Adresse der WLCs eingegeben, sodass die Richtlinie für Pakete vom WLC gilt.

      airespace-vsa-msias-config7.gif

    • Windows Groups: Wählen Sie die Windows-Gruppe (die Benutzergruppe) aus, für die die Richtlinie gilt. Hier ein Beispiel:

      airespace-vsa-msias-config8.gif

      airespace-vsa-msias-config9.gif

    Dieses Beispiel zeigt nur zwei Bedingungen. Wenn es weitere Bedingungen gibt, fügen Sie auch diese Bedingungen hinzu, und klicken Sie auf Weiter.

    Das Fenster Berechtigungen wird angezeigt.

  5. Wählen Sie im Fenster "Berechtigungen" die Option Remotezugriffsberechtigung erteilen aus.

    Nachdem Sie diese Option ausgewählt haben, erhält der Benutzer Zugriff, sofern der Benutzer die angegebenen Bedingungen erfüllt (aus Schritt 2).

    airespace-vsa-msias-config10.gif

  6. Klicken Sie auf Weiter.

  7. Im nächsten Schritt wird das Benutzerprofil eingerichtet.

    Obwohl Sie angegeben haben, dass Benutzern aufgrund der Bedingungen der Zugriff verweigert oder gewährt werden soll, kann das Profil trotzdem verwendet werden, wenn die Bedingungen dieser Richtlinie pro Benutzer überschrieben werden.

    airespace-vsa-msias-config11.gif

    1. Um das Benutzerprofil zu konfigurieren, klicken Sie im Fenster Benutzerprofil auf Profil bearbeiten.

      Das Fenster "Profil für die Einwahl bearbeiten" wird angezeigt.

      airespace-vsa-msias-config12.gif

    2. Klicken Sie auf die Registerkarte Authentifizierung, und wählen Sie die im WLAN verwendete Authentifizierungsmethode aus.

      In diesem Beispiel wird die unverschlüsselte Authentifizierung (PAP, SPAP) verwendet.

      airespace-vsa-msias-config13.gif

    3. Klicken Sie auf die Registerkarte Erweitert. Entfernen Sie alle Standardparameter, und klicken Sie auf Hinzufügen.

      airespace-vsa-msias-config14.gif

    4. Wählen Sie im Fenster Attribute hinzufügen die Option Servicetyp aus, und wählen Sie anschließend im nächsten Fenster den Anmeldungswert aus.

      airespace-vsa-msias-config15.gif

    5. Als Nächstes müssen Sie das anbieterspezifische Attribut aus der RADIUS-Attributliste auswählen.

      airespace-vsa-msias-config16.gif

    6. Klicken Sie im nächsten Fenster auf Hinzufügen, um ein neues VSA auszuwählen.

      Das Fenster Herstellerspezifische Attributinformationen wird angezeigt.

    7. Wählen Sie unter Anbieter für Netzwerkzugriffsserver angeben die Option Anbietercode eingeben aus.

    8. Geben Sie den Vendor Code für Airespace VSAs ein. Der Vendor-Code für Cisco Airespace VSAs lautet 14179.

    9. Da dieses Attribut der RADIUS RFC-Spezifikation für VSAs entspricht, wählen Sie Yes (Ja) aus. Es stimmt..

      airespace-vsa-msias-config17.gif

    10. Klicken Sie auf Attribut konfigurieren.

    11. Geben Sie im Fenster Configure VSA (RFC-konform) (VSA konfigurieren) (RFC-konform) die vom Anbieter zugewiesene Attributnummer, das Attributformat und den Attributwert ein, die von dem VSA abhängen, das Sie verwenden möchten.

      So legen Sie die WLAN-ID auf Benutzerbasis fest:

      • Attributname - AirRespace-WLAN-ID

      • Vom Anbieter zugewiesene Attributnummer: 1

      • Attributformat - Integer/Dezimal

      • Wert - WLAN-ID

      Beispiel 1

      airespace-vsa-msias-config18.gif

      So legen Sie das QoS-Profil auf Benutzerbasis fest:

      • Attributname - Airespace-QoS-Level

      • Vom Anbieter zugewiesene Attributnummer: 2

      • Attributformat - Integer/Dezimal

      • Wert: 0 - Silver; 1 - Gold; 2 - Platinum; 3 - Bronze

      Beispiel 2

      airespace-vsa-msias-config19.gif

      So legen Sie den DSCP-Wert auf Benutzerbasis fest:

      • Attributname - Airespace-DSCP

      • Vom Anbieter zugewiesene Attributnummer - 3

      • Attributformat - Integer/Dezimal

      • Wert - DSCP-Wert

      Beispiel 3

      airespace-vsa-msias-config20.gif

      So legen Sie das 802.1p-Tag auf Benutzerbasis fest:

      • Attributname - Airespace-802.1p-Tag

      • Vom Anbieter zugewiesene Attributnummer - 4

      • Attributformat - Integer/Dezimal

      • Wert: 802.1p-Tag

      Beispiel 4

      airespace-vsa-msias-config21.gif

      So legen Sie die Schnittstelle (VLAN) auf Benutzerbasis fest:

      • Attributname - Airespace-Interface-Name

      • Vom Anbieter zugewiesene Attributnummer: 5

      • Attributformat - Zeichenfolge

      • Wert - Schnittstellenname

      Beispiel 5

      airespace-vsa-msias-config22.gif

      So legen Sie die ACL auf Benutzerbasis fest:

      • Attributname - Airespace-ACL-Name

      • Vom Anbieter zugewiesene Attributnummer - 6

      • Attributformat - Zeichenfolge

      • Wert - ACL-Name

      Beispiel 6

      airespace-vsa-msias-config23.gif

  8. Wenn Sie die VSAs konfiguriert haben, klicken Sie auf OK, bis das Fenster Benutzerprofil angezeigt wird.

  9. Klicken Sie anschließend auf Fertig stellen, um die Konfiguration abzuschließen.

    Die neue Richtlinie wird unter "Remote Access Policies" (Remote-Zugriffsrichtlinien) angezeigt.

    airespace-vsa-msias-config24.gif

Beispielkonfiguration

In diesem Beispiel wird ein WLAN für die Webauthentifizierung konfiguriert. Die Benutzer werden vom IAS RADIUS-Server authentifiziert, und der RADIUS-Server ist so konfiguriert, dass QoS-Richtlinien auf Benutzerbasis zugewiesen werden.

airespace-vsa-msias-config25.gif

Wie Sie in diesem Fenster sehen, ist die Webauthentifizierung aktiviert, der Authentifizierungsserver ist 172.16.1.1, und AAA-override ist auch im WLAN aktiviert. Die QoS-Standardeinstellung für dieses WLAN ist auf Silver eingestellt.

Auf dem IAS RADIUS-Server wird eine Remote Access Policy konfiguriert, die das QoS-Attribut Bronze in der RADIUS Accept-Anforderung zurückgibt. Dies geschieht, wenn Sie das für das QoS-Attribut spezifische VSA konfigurieren.

airespace-vsa-msias-config19.gif

Detaillierte Informationen zur Konfiguration einer Remote-Zugriffsrichtlinie auf dem IAS-Abschnitt dieses Dokuments finden Sie im Abschnitt Konfigurieren der Remote-Zugriffsrichtlinie.

Sobald der IAS-Server, der WLC und die LAP für diese Konfiguration konfiguriert sind, können die Wireless-Clients die Webauthentifizierung verwenden, um eine Verbindung herzustellen.

Überprüfung

In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Wenn der Benutzer über eine Benutzer-ID und ein Kennwort eine Verbindung zum WLAN herstellt, übergibt der WLC die Anmeldeinformationen an den IAS RADIUS-Server, der den Benutzer anhand der Bedingungen und des Benutzerprofils authentifiziert, die in der Remote-Zugriffsrichtlinie konfiguriert wurden. Wenn die Benutzerauthentifizierung erfolgreich ist, gibt der RADIUS-Server eine RADIUS-Annahmeanforderung zurück, die auch die AAA-Überschreibungswerte enthält. In diesem Fall wird die QoS-Richtlinie des Benutzers zurückgegeben.

Sie können den Befehl debug aa all enable ausführen, um die Ereignissequenz anzuzeigen, die während der Authentifizierung auftritt. Hier sehen Sie eine Beispielausgabe:

(Cisco Controller) > debug aaa all enable
Wed Apr 18 18:14:24 2007: User admin authenticated
Wed Apr 18 18:14:24 2007: 28:1f:00:00:00:00 Returning AAA Error 'Success' (0) for 
                          mobile 28:1f:00:00:00:00
Wed Apr 18 18:14:24 2007: AuthorizationResponse: 0xbadff97c
Wed Apr 18 18:14:24 2007:       structureSize................................70
Wed Apr 18 18:14:24 2007:       resultCode...................................0
Wed Apr 18 18:14:24 2007:       protocolUsed.................................0x00000008
Wed Apr 18 18:14:24 2007:       proxyState...................................
                                28:1F:00:00:00:00-00:00
Wed Apr 18 18:14:24 2007:       Packet contains 2 AVPs:
Wed Apr 18 18:14:24 2007:           AVP[01] Service-Type.............................
                                    0x00000006 (6) (4 bytes)
Wed Apr 18 18:14:24 2007:           AVP[02] Airespace / WLAN-Identifier..............
                                    0x00000000 (0) (4 bytes)
Wed Apr 18 18:14:24 2007: User admin authenticated
Wed Apr 18 18:14:24 2007: 29:1f:00:00:00:00 Returning AAA Error 'Success' (0) for 
                          mobile 29:1f:00:00:00:00
Wed Apr 18 18:14:24 2007: AuthorizationResponse: 0xbadff97c
Wed Apr 18 18:14:24 2007:       structureSize................................70
Wed Apr 18 18:14:24 2007:       resultCode...................................0
Wed Apr 18 18:14:24 2007:       protocolUsed.................................0x00000008
Wed Apr 18 18:14:24 2007:       proxyState...................................
                                29:1F:00:00:00:00-00:00
Wed Apr 18 18:14:24 2007:       Packet contains 2 AVPs:
Wed Apr 18 18:14:24 2007:           AVP[01] Service-Type.............................
                                    0x00000006 (6) (4 bytes)
Wed Apr 18 18:14:24 2007:           AVP[02] Airespace / WLAN-Identifier..............
                                    0x00000000 (0) (4 bytes)
Wed Apr 18 18:15:08 2007: Unable to find requested user entry for User-VLAN10
Wed Apr 18 18:15:08 2007: AuthenticationRequest: 0xa64c8bc
Wed Apr 18 18:15:08 2007:       Callback.....................................0x8250c40
Wed Apr 18 18:15:08 2007:       protocolType.................................0x00000001
Wed Apr 18 18:15:08 2007:       proxyState...................................
                                00:40:96:AC:E6:57-00:00
Wed Apr 18 18:15:08 2007:       Packet contains 8 AVPs (not shown)
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Successful transmission of Authentication Packet
                          (id 26) to 172.16.1.1:1812, proxy state 00:40:96:ac:e6:57-96:ac
Wed Apr 18 18:15:08 2007: 00000000: 01 1a 00 68 00 00 00 00  00 00 00 00 00 00 00 00  
                          ...h............
Wed Apr 18 18:15:08 2007: 00000010: 00 00 00 00 01 0d 55 73  65 72 2d 56 4c 41 4e 31  
                          ......User-VLAN1
Wed Apr 18 18:15:08 2007: 00000020: 30 02 12 fa 32 57 ba 2a  ba 57 38 11 bc 9a 5d 59  
                          0...2W.*.W8...]Y
Wed Apr 18 18:15:08 2007: 00000030: ed ca 23 06 06 00 00 00  01 04 06 ac 10 01 1e 20  
                          ..#.............
Wed Apr 18 18:15:08 2007: 00000040: 06 57 4c 43 32 1a 0c 00  00 37 63 01 06 00 00 00  
                          .WLC2....7c.....
Wed Apr 18 18:15:08 2007: 00000050: 01 1f 0a 32 30 2e 30 2e  30 2e 31 1e 0d 31 37 32  
                          ...20.0.0.1..172
Wed Apr 18 18:15:08 2007: 00000060: 2e 31 36 2e 31 2e 33 30 .16.1.30
Wed Apr 18 18:15:08 2007: 00000000: 02 1a 00 46 3f cf 1b cc  e4 ea 41 3e 28 7e cc bc  
                          ...F?.....A>(~..
Wed Apr 18 18:15:08 2007: 00000010: 00 e1 61 ae 1a 0c 00 00  37 63 02 06 00 00 00 03  
                          ..a.....7c......
Wed Apr 18 18:15:08 2007: 00000020: 06 06 00 00 00 01 19 20  37 d0 03 e6 00 00 01 37  
                          ........7......7
Wed Apr 18 18:15:08 2007: 00000030: 00 01 ac 10 01 01 01 c7  7a 8b 35 20 31 80 00 00  
                          ........z.5.1...
Wed Apr 18 18:15:08 2007: 00000040: 00 00 00 00 00 1b      ......
Wed Apr 18 18:15:08 2007: ****Enter processIncomingMessages: response code=2
Wed Apr 18 18:15:08 2007: ****Enter processRadiusResponse: response code=2
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Access-Accept received from RADIUS server  
                          172.16.1.1 for mobile 00:40:96:ac:e6:57 receiveId = 0
Wed Apr 18 18:15:08 2007: AuthorizationResponse: 0x9802520
Wed Apr 18 18:15:08 2007:       structureSize................................114
Wed Apr 18 18:15:08 2007:       resultCode...................................0
Wed Apr 18 18:15:08 2007:       protocolUsed.................................0x00000001
Wed Apr 18 18:15:08 2007:       proxyState...................................
                                00:40:96:AC:E6:57-00:00
Wed Apr 18 18:15:08 2007:       Packet contains 3 AVPs:
Wed Apr 18 18:15:08 2007:           AVP[01] Airespace / QOS-Level....................
                                    0x00000003 (3) (4 bytes)
Wed Apr 18 18:15:08 2007:           AVP[02] Service-Type.............................
                                    0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:08 2007:           AVP[03] Class....................................
                                    DATA (30 bytes)
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Applying new AAA override for station 
                          00:40:96:ac:e6:57
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Override values for station 00:40:96:ac:e6:57
        source: 48, valid bits: 0x3
        qosLevel: 3, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
        dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
        vlanIfName: '', aclName: '
Wed Apr 18 18:15:12 2007: AccountingMessage Accounting Start: 0xa64c8bc
Wed Apr 18 18:15:12 2007:       Packet contains 13 AVPs:
Wed Apr 18 18:15:12 2007:           AVP[01] User-Name................................
                                    User-VLAN10 (11 bytes)
Wed Apr 18 18:15:12 2007:           AVP[02] Nas-Port.................................
                                    0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[03] Nas-Ip-Address...........................
                                    0xac10011e (-1408237282) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[04] NAS-Identifier...........................
                                    0x574c4332 (1464615730) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[05] Airespace / WLAN-Identifier..............
                                    0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[06] Acct-Session-Id..........................
                                    4626602c/00:40:96:ac:e6:57/16 (29 bytes)
Wed Apr 18 18:15:12 2007:           AVP[07] Acct-Authentic...........................
                                    0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[08] Tunnel-Type..............................
                                    0x0000000d (13) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[09] Tunnel-Medium-Type.......................
                                    0x00000006 (6) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[10] Tunnel-Group-Id..........................
                                    0x3230 (12848) (2 bytes)
Wed Apr 18 18:15:12 2007:           AVP[11] Acct-Status-Type.........................
                                    0x00000001 (1) (4 bytes)
Wed Apr 18 18:15:12 2007:           AVP[12] Calling-Station-Id.......................
                                    20.0.0.1 (8 bytes)
Wed Apr 18 18:15:12 2007:           AVP[13] Called-Station-Id........................
                                    172.16.1.30 (11 bytes)

Wie Sie in der Ausgabe sehen können, wird der Benutzer authentifiziert. Anschließend werden AAA-Überschreibungswerte mit der Meldung RADIUS accept (RADIUS akzeptieren) zurückgegeben. In diesem Fall erhält der Benutzer die QoS-Richtlinie von Bronze.

Sie können dies auch auf der WLC-GUI überprüfen. Hier ein Beispiel:

airespace-vsa-msias-config26.gif

Hinweis: Das Standard-QoS-Profil für diese SSID ist Silver. Da jedoch AAA-Überschreibungen ausgewählt und der Benutzer mit einem QoS-Profil von Bronze auf dem IAS-Server konfiguriert ist, wird das standardmäßige QoS-Profil überschrieben.

Fehlerbehebung

Sie können den Befehl debug aa all enable auf dem WLC verwenden, um die Konfiguration zu beheben. Ein Beispiel für die Ausgabe dieses Debuggens in einem funktionierenden Netzwerk finden Sie im Abschnitt Überprüfen dieses Dokuments.

Hinweis: Beachten Sie vor der Verwendung von Debug-Befehlen die Informationen zu Debug-Befehlen.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
01-Dec-2013
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.