De RADIUS-serverbackfunctie configureren voor draadloze LAN-controllers

Downloadopties

  • PDF     (222.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (106.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (100.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:9 april 2020
Document-id:106258

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u de RADIUS-serverback-upfunctie kunt configureren met draadloze LAN-controllers (WLC’s).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basiskennis van de configuratie van Lichtgewicht Access Point (LAP’s) en Cisco WLC’s

    • Basiskennis van controle en provisioning van draadloos access point Protocol (CAPWAP)

    • Basiskennis van draadloze beveiligingsoplossingen

    Gebruikte componenten

    De informatie in dit document is gebaseerd op een Cisco 5508/5520-controller.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Achtergrondinformatie

    RADIUS-serverterugvalfunctie

    WLC-softwareversies eerder dan 5.0 ondersteunen het RADIUS-serverbackmechanisme niet. Wanneer de primaire RADIUS-server niet meer beschikbaar is, zal de WLC uitbellen naar de volgende actieve RADIUS-server met back-up. De WLC zal de secundaire RADIUS-server voorgoed blijven gebruiken, zelfs als de primaire server beschikbaar is. De primaire server heeft meestal hoge prestaties en de voorkeursserver.

    In WLC 5.0 en latere versies ondersteunt WLC de RADIUS-serverback-upfunctie. Met deze functie kan de WLC worden geconfigureerd om te controleren of de primaire server beschikbaar is en verandert deze terug in de primaire RADIUS-server zodra deze beschikbaar is. Om dit te doen ondersteunt de WLC twee nieuwe modi, passief en actief, om de status van de RADIUS-server te controleren. De WLC komt terug naar de meest voordelige server na de gespecificeerde timeout waarde.

    Back-uplinks

    Actieve modus

    In de actieve modus, wanneer een server niet reageert op de WLC-verificatieaanvraag, tekent de WLC de server als dood en beweegt hij de server naar de niet-actieve server pool en stuurt hij probe-berichten periodiek naar de server totdat die server reageert. Als de server reageert, verplaatst de WLC de dode server naar de actieve pool en stopt met het verzenden van sonde berichten. In deze modus, wanneer een verificatieaanvraag wordt ontvangen, kiest de WLC altijd de laagste index (hoogste prioriteit) server uit de actieve pool met RADIUS-servers.

    De WLC stuurt een pechpakket na de pauze (de standaard is 300 seconden) om de serverstatus te bepalen voor het geval de server niet reageerde.

    passieve modus

    In passieve modus, als een server niet reageert op de WLC authenticatieaanvraag, beweegt WLC de server naar de inactieve rij en stelt een timer in. Als de timer afloopt, verplaatst WLC de server naar de actieve wachtrij, ongeacht de status van de server. Wanneer een authenticatieverzoek komt, kiest WLC de laagste index (hoogste prioriteit) server uit de actieve rij (die de niet-actieve server zou kunnen omvatten). Als de server niet reageert, tekent de WLC hem als inactief in, stelt de timer in en beweegt hij naar de volgende prioriteitsserver. Dit proces gaat door totdat de WLC een actieve RADIUS-server of de actieve serverpool is uitgeput.

    De WLC gaat ervan uit dat de server actief is na de eliminatie (de standaard is 300 seconden) voor het geval de server niet reageerde eerder. Als het nog steeds niet reageert, wacht de WLC op een volgende keer en probeert hij opnieuw wanneer een verificatieaanvraag wordt ontvangen.

    Uitstand

    In uit-modus ondersteunt de WLC alleen failover. Met andere woorden: reservaten zijn uitgeschakeld. Wanneer de primaire RADIUS-server uitvalt, zal de WLC uitbellen naar de volgende actieve RADIUS-server met back-up. De WLC blijft de secundaire RADIUS-server altijd gebruiken, ook als de primaire server beschikbaar is.

    Configureren

    De back-upfunctie van de RADIUS-server met de CLI configureren

    Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde gebruikers) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

    Gebruik deze opdrachten van de WLC CLI om de RADIUS-serverback-functie op de WLC in te schakelen.

    De eerste stap is het selecteren van de RADIUS-serverback. Zoals eerder vermeld ondersteunt de WLC actieve en passieve back-upmodi.

    Typ deze opdracht als volgt om de back-upmodus te selecteren:

    WLC1 > config radius fallback-test mode {active/passive/off}

    • active - Hiermee worden tests op dode servers uitgevoerd om de status te testen.

    • passief - Hiermee wordt de serverstatus ingesteld op basis van de laatste transactie.

    • off - schakelt de server fallback test uit (standaard).

    De volgende stap is het interval te selecteren dat het sonde interval voor actieve modus of de inactieve tijd voor de passieve werkingsmodi specificeert.

    Typ deze opdracht om het interval in te stellen:

    WLC1 > config radius fallback-test mode interval {180 - 3600}

    <180 tot 3600> - Voer het interval van de sonde of de inactieve tijd in in seconden (de standaard is 300 seconden).

    Het interval specificeert het sonde interval in het geval van de fallback van de actieve modus of de inactieve tijd in het geval van de fallback van de passieve modus.

    Voor de actieve modus moet u een gebruikersnaam configureren die gebruikt wordt in het proefverzoek dat naar de RADIUS-server wordt verstuurd.

    Om de gebruikersnaam te configureren voert u deze opdracht in:

    WLC1 >config radius fallback-test username {username}

    <gebruikersnaam> - Voer een naam in van maximaal 16 alfanumerieke tekens (de standaardinstelling is cisco-sonde).

    Opmerking: U kunt uw eigen gebruikersnaam invoeren of met de standaard opgeven. De standaard gebruikersnaam is "cisco-sonde". Omdat deze gebruikersnaam gebruikt wordt om sonde berichten te verzenden, hoeft u geen wachtwoord te configureren.

    De back-upfunctie van de RADIUS-server met de GUI configureren

    Volg deze stappen om de WLC met de GUI te configureren:

    1. Configureer de modus van de RADIUS-serverback. Om dit te doen, selecteert u Beveiliging > RADIUS > Fallback van de WLC GUI. De pagina RADIUS > Fallback parameters verschijnt.

    2. Selecteer in de vervolgkeuzelijst Omvangermodus de noodmodus. De beschikbare opties omvatten actief, passief en uit.

      Hier is een voorbeeldscreenshot voor de configuratie van de actieve back-upmodus zoals in de afbeelding weergegeven.



    3. Voer voor actieve modus de gebruikersnaam in in het veld Gebruikersnaam.

    4. Voer de waarde van het sonde interval in in het Interval in sec. veld.

    5. Klik op Toepassen.

    Als de agressieve failover optie in WLC is ingeschakeld, is de WLC te agressief om de AAA server te markeren als "niet reageren". Dit dient echter niet te worden gedaan omdat de AAA-server mogelijk niet alleen op de betreffende client reageert als u geen bericht teruggooit. Het kan een antwoord zijn op andere geldige cliënten met geldige certificaten. De WLC kan de AAA-server nog steeds markeren als 'niet reageren' en 'niet functioneel'.

    Om dit te overwinnen, schakelt u de agressieve failover optie uit. Geef de configuratie straal op agressief-failover opdracht van de controller GUI om dit uit te voeren. Als dit wordt uitgeschakeld, heeft de controller alleen een fout in de volgende AAA-server als er drie opeenvolgende klanten zijn die geen antwoord van de RADIUS-server ontvangen.

    Opmerking: Functionaliteitswijziging geïntroduceerd in release 8.5.140, 8.8.100, 8.10.105 en later: Wanneer RADIUS-agressieve failover voor de controller is uitgeschakeld: Packet wordt zes keer opnieuw beproefd, tenzij er een abort is van klanten. De RADIUS-server (zowel AUTH als ACCT) is onbereikbaar na drie tijdelijke gebeurtenissen (18 opeenvolgende herhalingen) van meerdere klanten (eerder, van precies drie klanten). Als RADIUS-agressieve failover voor de controller is ingeschakeld: Packet wordt zes keer opnieuw beproefd, tenzij er een abort is van klanten. De RADIUS-server (zowel AUTH als ACCT) is onbereikbaar na één time-out gebeurtenis (6 opeenvolgende herhalingen) van meerdere klanten (eerder, van exact één client). Het betekent 18 opeenvolgende herhalingen per RADIUS-server (AUTH of ACCT) van meerdere klanten. Daarom is het niet altijd gegarandeerd dat elk pakje zes keer opnieuw wordt beproefd.

    Verifiëren

    Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

    Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van de opdrachtoutput van de show te bekijken.

    Geef de opdracht Straal tonen op om de back-upconfiguratie te controleren. Hierna volgt een voorbeeld:

    WLC1 >show radius summary 

    Vendor Id Backward Compatibility................. Disabled
    Call Station Id Type............................. IP Address
    Aggressive Failover.............................. Enabled
    Keywrap.......................................... Disabled

    Fallback Test:
    Test Mode.................................... Active
     Probe User Name.............................. testaccount
     Interval (in seconds)........................ 180

    Authentication Servers

    Idx Type Server Address Port State   Tout RFC3576  IPSec-AuthMode/Phase1/Group/Lifetime/Auth/Encr
    --- ---- -------------- ---- ------- ---- -------  ----------------------------------------------
    1   NM   10.1.1.12      1812 Enabled 2    Disabled Disabled-none/unknown/group-0/0 none/none

    Accounting Servers

    Idx Type Server Address Port  State   Tout RFC3576 IPSec-AuthMode/Phase1/Group/Lifetime/Auth/E
    --- ---- -------------- ----  ------- ---- ------- -------------------------------------------
    1   N    10.1.1.12      1813  Enabled 2    N/A     Disabled-none/unknown/group-0/0 none/nonen

    Problemen oplossen

    Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

    Opmerking: Raadpleeg Important Information on Debug Commands (Belangrijke informatie over opdrachten met debug) voordat u opdrachten met debug opgeeft.

    • debug dot1x-gebeurtenissen stellen uiteinden van 802.1X-gebeurtenissen in.

    • debug aaa gebeurtenissen schakelt u in - hiermee worden uiteinden van alle AAA-gebeurtenissen ingesteld.

    Gerelateerde informatie

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Nicolas Darchis
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco