Verifica della connettività del server Radius con il comando Test AAA Radius

Opzioni per il download

  • PDF     (312.9 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (148.8 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (112.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:28 agosto 2023
ID documento:212473

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come il comando identifica i problemi di connettività del test aaa radius server RADIUS e di autenticazione del client.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza del codice 8.2 e superiore del controller WLC (Wireless LAN Controller) AireOS.

    Componenti usati

    Questo documento e i comandi menzionati sono specifici per i WLC Cisco AireOS.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    I problemi di autenticazione dei client wireless sono uno dei più difficili problemi che i tecnici delle reti wireless devono affrontare. Per la risoluzione dei problemi, spesso è necessario

    acquisizione del client problematico, collaborazione con utenti finali che non hanno la migliore conoscenza delle reti wireless e raccolta di debug e acquisizioni. In una rete wireless sempre più importante, questo può causare tempi di inattività significativi.

    Finora non era possibile identificare facilmente se un errore di autenticazione era causato dal server RADIUS che rifiuta il client o se si trattava semplicemente di un problema di raggiungibilità.

    Il comando test aaa radius vi permette di fare proprio questo. È ora possibile verificare in remoto se la comunicazione del server WLC-Radius non riesce o se le credenziali del client determinano un'autenticazione riuscita o non riuscita.

    Funzionamento Della Funzionalità

    Si tratta di un flusso di lavoro di base quando si utilizza il comando test aaa radius , come illustrato.

    Workflow di base

    Passaggio 1. Il WLC invia un messaggio di richiesta di accesso al server radius insieme ai parametri menzionati nel test aaa radius   comando:

    (controller Cisco) >test aaa radius username <user name> password <password> wlan-id <wlan-id> apgroup <apgroup-name> server-index <server-index>

    Esempio

    test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2

    Passaggio 2. Il server RADIUS convalida le credenziali fornite e fornisce i risultati della richiesta di autenticazione.

    Sintassi dei comandi

    Per eseguire il comando è necessario specificare i seguenti parametri:

    (controller Cisco) > test aaa radius username <user name> password <password> wlan-id <wlan-id> apgroup <apgroup-name> server-index <server-index>

    <username> ---> Username that you are testing. <password> ---> Password that you are testing <wlan-id> ---> WLAN ID of the SSID that you are testing. <apgroup-name> (optional) ---> AP group name. This will be default-group if there is no AP group configured. <server-index> (optional) ---> The server index configured for the radius server that you are trying to test. This can be found under Security > Authentication tab.

    Scenario 1: Tentativo di autenticazione superato

    Esaminiamo il funzionamento del comando e gli output vengono visualizzati quando il test aaa radius   comando restituisce un'autenticazione passata. Quando il comando viene eseguito, WLC visualizza i parametri con cui invia la richiesta di accesso:

    (Cisco Controller) >test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2 Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Attributes Values ---------- ------ User-Name admin Called-Station-Id 00:00:00:00:00:00:WLC5508 Calling-Station-Id 00:11:22:33:44:55 Nas-Port 0x0000000d (13) Nas-Ip-Address 10.20.227.39 NAS-Identifier WLC_5508 Airespace / WLAN-Identifier 0x00000001 (1) User-Password cisco123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81) Cisco / Audit-Session-Id ad14e327000000c466191e23 Acct-Session-Id 56131b33/00:11:22:33:44:55/210 test radius auth request successfully sent. Execute 'test aaa show radius' for response

    Per visualizzare i risultati della richiesta di autenticazione, eseguire il comando test aaa show radius . La visualizzazione dell'output del comando può richiedere del tempo se un server radius non è raggiungibile e il WLC deve riprovare o eseguire il fallback su un server radius diverso.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin Class CACS:rs-acs5-6-0-22/230677882/20313 Session-Timeout 0x0000001e (30) Termination-Action 0x00000000 (0) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81)

    L'aspetto estremamente utile di questo comando è la visualizzazione degli attributi restituiti dal server radius. Può essere un URL di reindirizzamento o un ACL (Access Control List). Ad esempio, in caso di autenticazione Web centrale (CWA) o di informazioni VLAN, quando si usa l'override della VLAN.

    Attenzione: il nome utente e la password nella richiesta di accesso vengono inviati in formato testo non crittografato al server radius, quindi è necessario utilizzarli con cautela se il traffico attraversa una rete non protetta.

    Scenario 2: tentativo di autenticazione non riuscito

    L'output viene visualizzato quando una voce relativa a nome utente/password genera un errore di autenticazione.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Authentication failed ------> This result indicates that the user authentication will fail. No AVPs in Response

    In questo caso, si osserverà che il test di connettività ha avuto esito positivo, tuttavia il server radius ha inviato un messaggio di rifiuto di accesso per la combinazione di nome utente e password utilizzata.

    Scenario 3: comunicazione non riuscita tra WLC e server Radius

    (Cisco Controller) >test aaa show radius  previous test command still not completed, try after some time

    Attendere il completamento dei tentativi del WLC prima di visualizzare l'output. La durata può variare in base alle soglie configurate per i nuovi tentativi.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 3 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.72 6 No response received from server Authentication Response: Result Code: No response received from server No AVPs in Response

    In questo output si nota che il WLC ha tentato di contattare il server radius per 6 volte e, in assenza di risposta, il server radius è stato contrassegnato come non raggiungibile.

    Scenario 4: Radius Fallback

    Quando sono configurati più server RADIUS con l'SSID (Service Set Identifier) e il server RADIUS primario non risponde, il WLC tenta di utilizzare il server RADIUS secondario configurato. Questo viene mostrato in modo molto chiaro nell'output in cui il primo server radius non risponde e il WLC prova quindi con il secondo server radius che risponde immediatamente.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.62 6 No response received from server 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin

    Avvertenze

    • Al momento non è disponibile il supporto GUI. È solo un comando che può essere eseguito dal WLC.
    • La verifica riguarda solo il raggio. Non può essere utilizzato per l'autenticazione TACACS.
    • Impossibile testare l'autenticazione locale di Flexconnect con questo metodo.
      •

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    3.0
    28-Aug-2023
    Certificazione
    2.0
    20-Jul-2022
    Aggiornamenti per la formattazione, la traduzione automatica, i gerundi, ecc., per conformarsi alle linee guida Cisco.
    1.0
    21-Nov-2017
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Jesse Dubois
      Cisco TAC Engineer
    • Jon Balewicz
      Cisco Engineering

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti