Ejemplo de Configuración de Autenticación PEAP WLC de la serie 5760/3850 con NPS de Microsoft

Opciones de descarga

  • ePub     (3.8 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (4.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:2 de mayo de 2014
ID del documento:117684

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar el protocolo de autenticación ampliable protegido (PEAP) con autenticación del protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2) en una implementación de LAN inalámbrica de acceso convergente (WLAN) de Cisco con Microsoft Network Policy Server (NPS) como servidor RADIUS.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento de estos temas antes de intentar la configuración descrita en este documento:

  • Instalación básica de Microsoft Windows versión 2008
  • Instalación del controlador WLAN de acceso convergente de Cisco

Asegúrese de que se cumplen estos requisitos antes de realizar esta configuración:

  • Instale el sistema operativo (SO) de Microsoft Windows Server versión 2008 en cada uno de los servidores del laboratorio de pruebas.
  • Actualice todos los Service Pack.
  • Instale los controladores y los puntos de acceso ligeros (LAP).
  • Configure las últimas actualizaciones de software.

Nota: Para obtener información de configuración e instalación inicial para los controladores de WLAN de acceso convergente de Cisco, refiérase al artículo de Cisco Ejemplo de Configuración del Controlador CT5760 y del Switch Catalyst 3850.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Controlador WLAN de la serie 5760 de Cisco versión 3.3.2 (armario de cableado de última generación (NGWC))
  • LAP de la serie 3602 de Cisco
  • Microsoft Windows XP con suplicante Intel PROset
  • Servidor de Microsoft Windows versión 2008 que ejecuta NPS con funciones de controlador de dominio
  • Switch Cisco Catalyst serie 3560

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Antecedentes

PEAP utiliza Transport Level Security (TLS) para crear un canal cifrado entre un cliente PEAP de autenticación, como un portátil inalámbrico, y un autenticador PEAP, como Microsoft NPS o cualquier servidor RADIUS. PEAP no especifica un método de autenticación, pero proporciona seguridad adicional para otros protocolos de autenticación extensible (EAP), como EAP-MS-CHAP v2, que pueden funcionar a través del canal cifrado TLS proporcionado por PEAP. El proceso de autenticación PEAP consta de dos fases principales.

Fase uno del PEAP: Canal cifrado TLS

El cliente inalámbrico se asocia al punto de acceso (AP). Una asociación basada en IEEE 802.11 proporciona un sistema abierto o autenticación de clave compartida antes de crear una asociación segura entre el cliente y el AP. Después de que la asociación basada en IEEE 802.11 se establezca correctamente entre el cliente y el AP, la sesión TLS se negocia con el AP.

Después de que la autenticación se complete correctamente entre el cliente inalámbrico y NPS, la sesión TLS se negocia entre el cliente y NPS. La clave que se deriva dentro de esta negociación se utiliza para cifrar todas las comunicaciones subsiguientes.

Fase dos del PEAP: Comunicación autenticada por EAP

La comunicación EAP, que incluye la negociación EAP, se produce dentro del canal TLS creado por PEAP en la primera etapa del proceso de autenticación PEAP. El NPS autentica el cliente inalámbrico con EAP-MS-CHAP v2. El LAP y el controlador sólo reenvían mensajes entre el cliente inalámbrico y el servidor RADIUS. El controlador WLAN (WLC) y el LAP no pueden descifrar los mensajes porque el WLC no es el punto final de TLS.

Esta es la secuencia de mensajes RADIUS para un intento de autenticación exitoso, donde el usuario suministra credenciales válidas basadas en contraseña con PEAP-MS-CHAP v2:

  1. El NPS envía un mensaje de solicitud de identidad al cliente:

    EAP-Request/Identity
  2. El cliente responde con un mensaje de respuesta de identidad:

    EAP-Response/Identity
  3. El NPS envía un mensaje de desafío MS-CHAP v2:

    EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge)
  4. El cliente responde con un desafío y respuesta MS-CHAP v2:

    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response)
  5. El NPS responde con un paquete de éxito MS-CHAP v2 cuando el servidor autentica correctamente al cliente:

    EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Success)
  6. El cliente responde con un paquete de éxito MS-CHAP v2 cuando el cliente autentica correctamente el servidor:

    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success)
  7. NPS envía un valor de longitud de tipo EAP (TLV) que indica una autenticación correcta.

  8. El cliente responde con un mensaje de error de estado EAP-TLV.

  9. El servidor completa la autenticación y envía un mensaje EAP-Success en texto sin formato. Si las VLAN se implementan para el aislamiento del cliente, los atributos de VLAN se incluyen en este mensaje.

Configurar

Utilice esta sección para configurar PEAP con autenticación MS-CHAP v2 en una implementación WLC de acceso convergente de Cisco con el NPS de Microsoft como servidor RADIUS.

Diagrama de la red

En este ejemplo, el servidor de Microsoft Windows Version 2008 realiza estas funciones:

  • Controlador de dominio para el dominio wireless.com
  • Servidor DNS
  • Servidor de autoridad certificadora (CA)
  • NPS para autenticar a los usuarios inalámbricos
  • Active Directory (AD) para mantener la base de datos de usuarios

El servidor se conecta a la red con cables a través de un switch de capa 2 (L2), como se muestra en la imagen. El WLC y el LAP registrado también se conectan a la red a través del switch L2.

Los clientes inalámbricos utilizan el acceso Wi-Fi protegido 2 (WPA2) - autenticación PEAP-MS-CHAP v2 para conectarse a la red inalámbrica.

Configuraciones

La configuración que se describe en esta sección se completa en dos pasos:

  1. Configure el WLC de la serie 5760/3850 con la CLI o la GUI.

  2. Configure el servidor de Microsoft Windows Version 2008 para NPS, controlador de dominio y cuentas de usuario en AD.

Configure WLC de acceso convergente con la CLI

Complete estos pasos para configurar la WLAN para la VLAN del cliente requerida y mapéela a la Lista de Métodos de Autenticación con la CLI:

Nota: Asegúrese de que el control de autenticación del sistema dot1x esté habilitado en el WLC, o que el dot1X no funcione.

  1. Habilite la función del nuevo modelo AAA.

  2. Configure el servidor RADIUS.

  3. Agregue el servidor al grupo de servidores.

  4. Asigne el grupo de servidores a la lista de métodos.

  5. Asigne la lista de métodos a la WLAN.
aaa new-model
  !
  !
  aaa group server radius Microsoft_NPS
   server name Microsoft_NPS
  !
aaa authentication dot1x Microsoft_NPS group Microsoft_NPS
aaa authorization network Microsoft_NPS group Microsoft_NPS
  radius server Microsoft_NPS
   address ipv4 10.104.208.96 auth-port 1645 acct-port 1646
   timeout 10
   retransmit 10
 key Cisco123
wlan Microsoft_NPS 8 Microsoft_NPS
   client vlan VLAN0020
   no exclusionlist
   security dot1x authentication-list Microsoft_NPS
   session-timeout 1800
 no shutdown

Configuración de WLC de acceso convergente con la GUI

Complete estos pasos para configurar los WLC de acceso convergente con la GUI:

  1. Habilite el control de autenticación del sistema dot1x:



  2. Navegue hasta Configuration > Security > AAA para agregar el servidor RADIUS:



  3. Navegue hasta RADIUS > Servers, haga clic en NEW y actualice la dirección IP del servidor RADIUS junto con el secreto compartido. El secreto compartido debe coincidir también con el secreto compartido configurado en el servidor RADIUS.



    Después de configurar el servidor RADIUS, la ficha Server (Servidor) debe aparecer de la misma manera:



  4. Configure un grupo de servidores y seleccione Radius para el tipo de grupo. A continuación, agregue el servidor RADIUS que creó en el paso anterior:



    El grupo de servidores debe aparecer de la misma manera después de la configuración:



  5. Seleccione dot1x para el tipo de lista de métodos de autenticación y grupo para el tipo de grupo. A continuación, asigne el grupo de servidores que configuró en el paso anterior:



    La lista de métodos de autenticación debe aparecer de forma similar a esta después de la configuración:



  6. Seleccione Red para el tipo de lista de métodos de autorización y Grupo para el tipo de grupo. A continuación, asigne el grupo de servidores que configuró en el paso anterior:



    La lista de métodos de autorización debe aparecer de forma similar a esta después de la configuración:



  7. Navegue hasta Configurar > Inalámbrico y haga clic en la pestaña WLAN. Configure una nueva WLAN a la que los usuarios puedan conectarse y autenticarse a través del servidor NPS de Microsoft con autenticación EAP:



    La ficha Security L2 debe aparecer de la misma manera después de la configuración:



  8. Asigne la lista de métodos que configuró en los pasos anteriores. Esto ayuda a autenticar al cliente en el servidor correcto.

Configuración en Microsoft Windows Version 2008 Server

En esta sección se describe una configuración completa del servidor de Microsoft Windows versión 2008. La configuración se completa en seis pasos:

  1. Configure el servidor como controlador de dominio.

  2. Instale y configure el servidor como un servidor CA.

  3. Instale el NPS.

  4. Instale un certificado.

  5. Configure el NPS para la autenticación PEAP.

  6. Agregue usuarios a AD.
Configuración de Microsoft Windows 2008 Server como controlador de dominio

Complete estos pasos para configurar el servidor de Microsoft Windows Version 2008 como controlador de dominio:

  1. Vaya a Inicio > Administrador de servidores > Funciones > Agregar funciones.





  2. Haga clic en Next (Siguiente).



  3. Marque la casilla de verificación Servicios de dominio de Active Directory y haga clic en Siguiente.



  4. Revise la Introducción a los Servicios de dominio de Active Directory y haga clic en Siguiente.



  5. Haga clic en Install para comenzar el proceso de instalación.



    La instalación continúa y se completa.

  6. Haga clic en Cerrar este asistente e inicie el Asistente de instalación de Servicios de dominio de Active Directory (dcpromo.exe) para continuar la instalación y configuración de AD.



  7. Haga clic en Next para ejecutar el Asistente de Instalación de Servicios de Dominio de Active Directory.



  8. Revise la información sobre la compatibilidad del sistema operativo y haga clic en Siguiente.



  9. Haga clic en el botón de opción Crear un nuevo dominio en un bosque nuevo y haga clic en Siguiente para crear un nuevo dominio.



  10. Introduzca el nombre DNS completo del nuevo dominio (wireless.com en este ejemplo) y haga clic en Next.



  11. Seleccione el nivel funcional del bosque para su dominio y haga clic en Siguiente.



  12. Seleccione el nivel funcional de dominio para su dominio y haga clic en Siguiente.



  13. Marque la casilla de verificación DNS server y haga clic en Next.



  14. Haga clic en Yes cuando aparezca la ventana emergente Asistente de instalación de Servicios de Dominio de Active Directory para crear una nueva zona en el DNS para el dominio.



  15. Seleccione las carpetas que desea que AD utilice para los archivos y haga clic en Siguiente.



  16. Introduzca la contraseña del administrador y haga clic en Next.



  17. Revise sus selecciones y haga clic en Siguiente.



    La instalación continúa.

  18. Haga clic en Finalizar para cerrar el asistente.



  19. Reinicie el servidor para que los cambios surtan efecto.

    20.
Instalación y configuración del servidor de Microsoft Windows versión 2008 como servidor de la CA

PEAP con EAP-MS-CHAP v2 valida el servidor RADIUS basándose en el certificado que está presente en el servidor. Además, el certificado del servidor debe ser emitido por una CA pública de confianza para el equipo cliente. Es decir, el certificado público de CA ya existe en la carpeta Autoridad de certificación raíz de confianza en el almacén de certificados del equipo cliente. 

Complete estos pasos para configurar el servidor de Microsoft Windows Version 2008 como servidor de CA que emite el certificado al NPS:

  1. Vaya a Inicio > Administrador de servidores > Funciones > Agregar funciones.





  2. Haga clic en Next (Siguiente).



  3. Marque la casilla de verificación Servicios de certificados de Active Directory y haga clic en Siguiente.



  4. Revise la Introducción a los servicios de certificados de Active Directory y haga clic en Siguiente.



  5. Marque la casilla de verificación Certificate Authority y haga clic en Next.



  6. Haga clic en el botón de opción Enterprise y haga clic en Next.



  7. Haga clic en el botón de radio CA raíz y haga clic en Siguiente.



  8. Haga clic en el botón de radio Create a new private key y haga clic en Next.



  9. Haga clic en Next en la ventana Configuración de Criptografía para CA.



  10. Haga clic en Next para aceptar el nombre común para este nombre predeterminado de CA.



  11. Seleccione el período de tiempo durante el cual el certificado de CA es válido y haga clic en Siguiente.



  12. Haga clic en Next para aceptar la ubicación predeterminada de la base de datos de certificados.



  13. Revise la configuración y haga clic en Install para iniciar Active Directory Certificate Services.



  14. Una vez finalizada la instalación, haga clic en Cerrar.
    15.
Instalación de NPS en Microsoft Windows Version 2008 Server

Nota: Con la configuración que se describe en esta sección, NPS se utiliza como servidor RADIUS para autenticar los clientes inalámbricos con autenticación PEAP. 

Complete estos pasos para instalar y configurar el NPS en el servidor de Microsoft Windows Versión 2008:

  1. Vaya a Inicio > Administrador de servidores > Funciones > Agregar funciones.





  2. Haga clic en Next (Siguiente).



  3. Marque la casilla de verificación Network Policy and Access Services y haga clic en Next.



  4. Revise la Introducción a la política de red y los servicios de acceso y haga clic en Siguiente.



  5. Marque la casilla de verificación Network Policy Server y haga clic en Next.



  6. Revise la confirmación y haga clic en Instalar.



    Una vez finalizada la instalación, debería aparecer una pantalla similar a esta:



  7. Haga clic en Close (Cerrar).
Instalación de un Certificado

Complete estos pasos para instalar el certificado del equipo para el NPS:

  1. Haga clic en Inicio, escriba Microsoft Management Console (MMC) y presione Intro.

  2. Vaya a Archivo > Agregar/Eliminar complemento.

  3. Elija Certificados y haga clic en Agregar.



  4. Haga clic en el botón de opción Computer account y haga clic en Next.



  5. Haga clic en el botón de radio Equipo local y haga clic en Finalizar.



  6. Haga clic en Aceptar para volver a MMC.



  7. Expanda las carpetas Certificados (equipo local) y Personal, y haga clic en Certificados.



  8. Haga clic con el botón derecho en el espacio blanco del certificado de CA y elija Todas las tareas > Solicitar nuevo certificado.



  9. Haga clic en Next (Siguiente).



  10. Haga clic en la casilla de verificación Domain Controller y haga clic en Enroll.

    Nota: Si la autenticación del cliente falla debido a un error de certificado EAP, asegúrese de que todas las casillas de verificación estén marcadas en esta página Inscripción de Certificado antes de hacer clic en Inscribirse. Esto crea aproximadamente tres certificados.




  11. Haga clic en Finalizar una vez instalado el certificado.



    El certificado NPS está instalado.

  12. Asegúrese de que Autenticación del Cliente, Autenticación del Servidor aparezca en la columna Propósitos Intencionados para el certificado.

Configuración del Servicio de Servidor de Políticas de Red para la Autenticación PEAP-MS-CHAP v2

Complete estos pasos para configurar el NPS para la autenticación:

  1. Vaya a Inicio > Herramientas administrativas > Servidor de políticas de red.

  2. Haga clic con el botón derecho del ratón en NPS (Local) y elija Registrar servidor en Active Directory.



  3. Click OK.



  4. Click OK.



  5. Agregue el WLC como cliente de autenticación, autorización y contabilidad (AAA) en el NPS.

  6. Expanda Clientes RADIUS y Servidores. Haga clic con el botón derecho del mouse en Clientes RADIUS y elija Nuevo Cliente RADIUS:



  7. Ingrese un nombre (WLC en este ejemplo), la dirección IP de administración del WLC (10.105.135.178 en este ejemplo) y un secreto compartido.

    Nota: El mismo secreto compartido se utiliza para configurar el WLC.




  8. Haga clic en Aceptar para volver a la pantalla anterior.



  9. Cree una nueva política de red para los usuarios inalámbricos. Expanda Políticas, haga clic con el botón derecho del ratón en Políticas de Red y elija Nuevo:



  10. Introduzca un nombre de política para esta regla (PEAP en este ejemplo) y haga clic en Siguiente.



  11. Para configurar esta política para permitir solamente usuarios de dominio inalámbrico, agregue estas tres condiciones y haga clic en Siguiente:

    Condición Valor
    Grupos de Windows WIRELESS\Domain Users
    Tipo de puerto NAS Tecnología inalámbrica: IEEE 802.11
    Tipo de autenticación EAP



  12. Haga clic en el botón de radio Access para conceder intentos de conexión que coincidan con esta política y haga clic en Next.



  13. Inhabilite todos los métodos de autenticación menos seguros:



  14. Haga clic en Agregar, seleccione la Microsoft: EAP protegido (PEAP) EAP Type (Tipo de EAP protegido) y haga clic en Aceptar para activar PEAP.



  15. Seleccione Microsoft: EAP protegido (PEAP) y haga clic en Editar. Asegúrese de que el certificado de controlador de dominio creado anteriormente esté seleccionado en la lista desplegable Certificado emitido y haga clic en Aceptar.



  16. Haga clic en Next (Siguiente).



  17. Haga clic en Next (Siguiente).



  18. Haga clic en Next (Siguiente).



  19. Haga clic en Finish (Finalizar).



    Nota: Según sus necesidades, es posible que necesite configurar Políticas de Solicitud de Conexión en el NPS para permitir el perfil PEAP o la política.

Agregar usuarios a Active Directory

Nota: En este ejemplo, la base de datos de usuario se mantiene en AD. 

Complete estos pasos para agregar usuarios a la base de datos AD:

  1. Vaya a Inicio > Herramientas administrativas > Usuarios y equipos de Active Directory.

  2. En el árbol de la consola Usuarios y equipos de Active Directory, expanda el dominio, haga clic con el botón derecho en Usuarios y Nuevo, y elija Usuario.

  3. En el cuadro de diálogo Nuevo objeto - Usuario, introduzca el nombre del usuario inalámbrico. Este ejemplo utiliza Client1 en el campo First Name y Client1 en el campo User Login Name. Haga clic en Next (Siguiente).



  4. En el cuadro de diálogo Nuevo objeto - Usuario, introduzca la contraseña que desee en los campos Contraseña y Confirmar contraseña. Desmarque la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de sesión y haga clic en Siguiente.



  5. En el cuadro de diálogo Nuevo objeto - usuario, haga clic en Finalizar.



  6. Repita los pasos 2 a 4 para crear cuentas de usuario adicionales.

Verificación

Complete estos pasos para verificar su configuración:

  1. Busque la identificación del conjunto de servicios (SSID) en el equipo cliente.



  2. Asegúrese de que el cliente está conectado correctamente:

Troubleshoot

Nota: Cisco recomienda que utilice seguimientos para resolver problemas de red inalámbrica. Los seguimientos se guardan en el búfer circular y no hacen un uso intensivo del procesador.

Habilite estos seguimientos para obtener los logs de autenticación L2:

  • set trace group-wireless-secure level debug
  • set trace group-wireless-secure filter mac 0017.7C2F.B69A

Habilite estos seguimientos para obtener los eventos dot1X AAA:

  • set trace wcm-dot1x aaa level debug
  • set trace wcm-dot1x aaa filter mac 0017.7C2F.B69A

Habilite estos seguimientos para recibir los eventos DHCP:

  • set trace dhcp events level debug
  • set trace dhcp events filter mac 0017.7C2F.B69A

Habilite estos seguimientos para inhabilitar los seguimientos y borrar el buffer:

  • set trace control sys-filtered-traces clear
  • set trace wcm-dot1x aaa level default
  • set trace wcm-dot1x aaa filter none
  • set trace group-wireless-secure level default
  • set trace group-wireless-secure filter none

Ingrese el comando show trace sys-filtrtered-traces para ver los seguimientos:

[04/23/14 21:27:51.963 IST 1 8151] 0017.7c2f.b69a Adding mobile on LWAPP AP
 1caa.076f.9e10 (0) 
[04/23/14 21:27:51.963 IST 2 8151] 0017.7c2f.b69a Local Policy:  Created MSCB
 Just AccessVLAN = 0 and SessionTimeout  is 0 and apfMsTimeout is 0 

[04/23/14 21:27:51.963 IST 8 8151] 0017.7c2f.b69a Local Policy:Setting local
 bridging VLAN  name VLAN0020 and VLAN ID  20

[04/23/14 21:27:51.963 IST 9 8151] 0017.7c2f.b69a Applying WLAN ACL policies
 to client
[04/23/14 21:27:51.963 IST a 8151] 0017.7c2f.b69a No Interface ACL used for
 Wireless client in WCM(NGWC)
[04/23/14 21:27:51.963 IST b 8151] 0017.7c2f.b69a Applying site-specific IPv6
 override for station  0017.7c2f.b69a  - vapId 8, site 'test',
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST c 8151] 0017.7c2f.b69a Applying local bridging
 Interface Policy for station  0017.7c2f.b69a  - vlan 20,
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST d 8151] 0017.7c2f.b69a
 **** Inside applyLocalProfilingPolicyAction **** 

04/23/14 21:27:51.963 IST f 8151] 0017.7c2f.b69a     Local Profiling Values :
 isValidVlan = 0, vlan = 0, isVlanRecdInDelete = 0, isValidSessionTimeout = 0,
 sessionTimeout=0, isSessionTORecdInDelete = 0  ProtocolMap = 0 ,
 applyPolicyAtRun= 0 
[04/23/14 21:27:51.963 IST 10 8151] 0017.7c2f.b69a          ipv4ACL = [],
 ipv6ACL = [], inQoS = [unknown], outQoS = [unknown]
[04/23/14 21:27:51.963 IST 11 8151] 0017.7c2f.b69a STA - rates (4):
 130 132 139 150 0 0 0 0 0 0 0 0 0 0 0 0
[04/23/14 21:27:51.963 IST 12 8151] 0017.7c2f.b69a STA - rates (12):
 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
[04/23/14 21:27:51.963 IST 13 8151] 0017.7c2f.b69a Processing RSN IE type 48,
 length 20 for mobile  0017.7c2f.b69a 
[04/23/14 21:27:51.963 IST 14 8151] 0017.7c2f.b69a Received RSN IE with 0 
 PMKIDsfrom mobile  0017.7c2f.b69a 


[04/23/14 21:27:51.964 IST 1b 8151] 0017.7c2f.b69a Change state to AUTHCHECK
 (2) last state START (0)

[04/23/14 21:27:51.964 IST 1c 8151] 0017.7c2f.b69a Change state to 8021X_REQD
 (3) last state AUTHCHECK (2)


[04/23/14 21:27:51.964 IST 25 8151] 0017.7c2f.b69a apfProcessAssocReq
 (apf_80211.c:6272) Changing state for mobile  0017.7c2f.b69a  on AP
 1caa.076f.9e10  from Associated to Associated

[04/23/14 21:27:51.971 IST 26 8151] 0017.7c2f.b69a 1XA: Initiating
 authentication
[04/23/14 21:27:51.971 IST 27 8151] 0017.7c2f.b69a 1XA: Setting reauth
 timeout to 1800 seconds
[04/23/14 21:27:51.971 IST 28 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 0

[04/23/14 21:27:51.971 IST 29 8151] 0017.7c2f.b69a 1XA: Allocated uid 40
[04/23/14 21:27:51.971 IST 2a 8151] 0017.7c2f.b69a 1XA: Calling Auth Mgr
 to authenticate client 4975000000003e uid 40
[04/23/14 21:27:51.971 IST 2b 8151] 0017.7c2f.b69a 1XA: Session Start from
 wireless client 

[04/23/14 21:27:51.971 IST 2c 8151] 0017.7c2f.b69a Session Manager Call Client
 4975000000003e, uid 40, capwap id 7ae8c000000013,Flag 0, Audit-Session ID
 0a6987b25357e2ff00000028, method list Microsoft_NPS, policy name (null) 

[04/23/14 21:27:51.971 IST 2d 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3] Session start request from Client[1] for 0017.7c2f.b69a
 (method: Dot1X, method list: Microsoft_NPS, aaa id: 0x00000028),  policy 
[04/23/14 21:27:51.971 IST 2e 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3]  - client iif_id: 4975000000003E, session ID:
 0a6987b25357e2ff00000028 for 0017.7c2f.b69a


[04/23/14 21:27:51.972 IST 43 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting !EAP_RESTART on Client 0x22000025
[04/23/14 21:27:51.972 IST 44 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:enter connecting state
[04/23/14 21:27:51.972 IST 45 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: restart connecting
[04/23/14 21:27:51.972 IST 46 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting RX_REQ on Client 0x22000025
[04/23/14 21:27:51.972 IST 47 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: authenticating state entered
[04/23/14 21:27:51.972 IST 48 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:connecting authenticating action
[04/23/14 21:27:51.972 IST 49 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting AUTH_START for 0x22000025
[04/23/14 21:27:51.972 IST 4a 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:entering request state
[04/23/14 21:27:51.972 IST 4b 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending EAPOL packet
[04/23/14 21:27:51.972 IST 4c 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Platform changed src mac  of EAPOL packet
[04/23/14 21:27:51.972 IST 4d 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending out EAPOL packet
[04/23/14 21:27:51.972 IST 4e 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] EAPOL packet sent to client 0x22000025


[04/23/14 21:27:52.112 IST 7d 211] Parsed CLID MAC Address = 0:23:124:47:182:154
[04/23/14 21:27:52.112 IST 7e 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:52.112 IST 7f 211] AAA SRV(00000000): Authen method=SERVER_GROUP
 Microsoft_NPS
[04/23/14 21:27:52.112 IST 80 211] AAA SRV(00000000): Selecting SG = DIAMETER
[04/23/14 21:27:52.113 IST 81 186] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Queuing an EAPOL pkt on Authenticator Q
[04/23/14 21:27:52.113 IST 82 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting EAPOL_EAP for 0x22000025
[04/23/14 21:27:52.278 IST 83 220] AAA SRV(00000000): protocol reply
 GET_CHALLENGE_RESPONSE for Authentication
[04/23/14 21:27:52.278 IST 84 220] AAA SRV(00000000): Return Authentication
 status=GET_CHALLENGE_RESPONSE
[04/23/14 21:27:52.278 IST 85 291] ACCESS-METHOD-DOT1X-DEB:[0017.7c2f.b69a,Ca3]
 Posting EAP_REQ for 0x22000025

Aquí está el resto de la salida de EAP:

[04/23/14 21:27:54.690 IST 12b 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:54.690 IST 12c 211] AAA SRV(00000000): Authen
 method=SERVER_GROUP Microsoft_NPS
[04/23/14 21:27:54.690 IST 12d 211] AAA SRV(00000000): Selecting SG =
 DIAMETER
[04/23/14 21:27:54.694 IST 12e 220] AAA SRV(00000000): protocol reply PASS
 for Authentication
[04/23/14 21:27:54.694 IST 12f 220] AAA SRV(00000000): Return Authentication
 status=PASS
[04/23/14 21:27:54.694 IST 130 189] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Received an EAP Success


[04/23/14 21:27:54.695 IST 186 8151] 0017.7c2f.b69a Starting key exchange with
 mobile - data forwarding is disabled
[04/23/14 21:27:54.695 IST 187 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.706 IST 188 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 121) from mobile
[04/23/14 21:27:54.706 IST 189 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile
[04/23/14 21:27:54.706 IST 18a 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTK_START state (msg 2) from mobile
[04/23/14 21:27:54.706 IST 18b 8151] 0017.7c2f.b69a 1XK: Stopping retransmission
 timer
[04/23/14 21:27:54.706 IST 18c 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.717 IST 18d 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 99) from mobile
[04/23/14 21:27:54.717 IST 18e 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile
[04/23/14 21:27:54.717 IST 18f 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTKINITNEGOTIATING state (msg 4) from mobile
[04/23/14 21:27:54.717 IST 190 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 1

[04/23/14 21:27:54.717 IST 191 8151] 0017.7c2f.b69a 1XK: Key exchange complete
 - updating PEM
[04/23/14 21:27:54.717 IST 192 8151] 0017.7c2f.b69a apfMs1xStateInc
[04/23/14 21:27:54.717 IST 193 8151] 0017.7c2f.b69a Change state to
 L2AUTHCOMPLETE (4) last state 8021X_REQD (3)


[04/23/14 21:27:58.277 IST 1df 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:27:58.277 IST 1e0 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:28:05.279 IST 1e1 269] DHCPD: Adding binding to hash tree
[04/23/14 21:28:05.279 IST 1e2 269] DHCPD: DHCPOFFER notify setup address
20.20.20.5 mask 255.255.255.0


[04/23/14 21:28:05.306 IST 1f4 8151] 0017.7c2f.b69a Change state to RUN (20)
 last state DHCP_REQD (7)
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Surendra BG
    Cisco TAC Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos