Exemplo de autenticação PEAP WLC 5760/3850 Series com Microsoft NPS Configuration

Opções de download

  • ePub     (3.8 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (4.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de maio de 2014
ID do documento:117684

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como configurar a autenticação PEAP (Protected Extensible Authentication Protocol) com o Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2) em uma implantação de LAN sem fio de acesso convergido (WLAN) da Cisco com o Microsoft Network Policy Server (NPS) como o servidor RADIUS.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento desses tópicos antes de tentar a configuração descrita neste documento:

  • Instalação básica do Microsoft Windows versão 2008
  • Instalação do controlador de WLAN de acesso convergente da Cisco

Certifique-se de que estes requisitos sejam atendidos antes de tentar esta configuração:

  • Instale o Sistema Operacional (SO) do Microsoft Windows Server versão 2008 em cada um dos servidores no laboratório de teste.
  • Atualize todos os service packs.
  • Instale as controladoras e os LAPs (Lightweight Access Points, pontos de acesso leves).
  • Configure as atualizações de software mais recentes.

Note: Para obter informações de instalação e configuração iniciais para os controladores de WLAN de Acesso Convergente da Cisco, consulte o artigo da Cisco Exemplo de Configuração de Switch CT5760 e Catalyst 3850.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Controlador de WLAN Cisco 5760 Series versão 3.3.2 (NGWC (Next Generation Wiring Closet)
  • LAP Cisco 3602 Series
  • Microsoft Windows XP com Intel PROset Supplicant
  • Microsoft Windows Versão 2008 Server que executa NPS com Funções de Controlador de Domínio
  • Switch Cisco Catalyst 3560 Series

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

O PEAP usa TLS (Transport Level Security) para criar um canal criptografado entre um cliente PEAP de autenticação, como um laptop sem fio, e um autenticador PEAP, como o Microsoft NPS ou qualquer servidor RADIUS. O PEAP não especifica um método de autenticação, mas fornece segurança adicional para outros EAPs (Extensible Authentication Protocols), como EAP-MS-CHAP v2, que podem operar através do canal encriptado TLS fornecido pelo PEAP. O processo de autenticação PEAP consiste em duas fases principais.

Fase um do PEAP: Canal criptografado TLS

O cliente sem fio está associado ao ponto de acesso (AP). Uma associação baseada em IEEE 802.11 fornece uma autenticação de chave compartilhada ou de sistema aberto antes que uma associação segura seja criada entre o cliente e o AP. Depois que a associação baseada em IEEE 802.11 é estabelecida com êxito entre o cliente e o AP, a sessão TLS é negociada com o AP.

Depois que a autenticação é concluída com êxito entre o cliente sem fio e o NPS, a sessão TLS é negociada entre o cliente e o NPS. A chave derivada dessa negociação é usada para criptografar toda a comunicação subsequente.

Fase dois do PEAP: Comunicação Autenticada por EAP

A comunicação EAP, que inclui a negociação EAP, ocorre dentro do canal TLS que é criado pelo PEAP dentro do primeiro estágio do processo de autenticação PEAP. O NPS autentica o cliente sem fio com EAP-MS-CHAP v2. O LAP e o controlador encaminham apenas mensagens entre o cliente sem fio e o servidor RADIUS. O WLAN Controller (WLC) e o LAP não podem descriptografar as mensagens porque a WLC não é o ponto de extremidade TLS.

Esta é a sequência de mensagens RADIUS para uma tentativa de autenticação bem-sucedida, na qual o usuário fornece credenciais válidas baseadas em senha com PEAP-MS-CHAP v2:

  1. O NPS envia uma mensagem de solicitação de identidade ao cliente:

    EAP-Request/Identity
  2. O cliente responde com uma mensagem de resposta de identidade:

    EAP-Response/Identity
  3. O NPS envia uma mensagem de desafio MS-CHAP v2:

    EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge)
  4. O cliente responde com um desafio e resposta MS-CHAP v2:

    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response)
  5. O NPS responde com um pacote de sucesso MS-CHAP v2 quando o servidor autentica com êxito o cliente:

    EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Success)
  6. O cliente responde com um pacote de sucesso MS-CHAP v2 quando o cliente autentica com êxito o servidor:

    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success)
  7. O NPS envia um TLV (tipo EAP-comprimento-valor) que indica uma autenticação bem-sucedida.

  8. O cliente responde com uma mensagem de êxito de status EAP-TLV.

  9. O servidor conclui a autenticação e envia uma mensagem EAP-Success em texto simples. Se as VLANs forem implantadas para o isolamento do cliente, os atributos da VLAN serão incluídos nesta mensagem.

Configurar

Use esta seção para configurar o PEAP com autenticação MS-CHAP v2 em uma implantação de WLC de Acesso Convergente da Cisco com o Microsoft NPS como servidor RADIUS.

Diagrama de Rede

Neste exemplo, o servidor Microsoft Windows Versão 2008 executa estas funções:

  • Controlador de domínio para o domínio wireless.com
  • Servidor do Sistema de Nomes de Domínio (DNS)
  • servidor de Autoridade de Certificação (AC)
  • NPS para autenticar os usuários sem fio
  • Ative Diretory (AD) para manter o banco de dados de usuários

O servidor se conecta à rede com fio por meio de um switch de Camada 2 (L2), como mostrado. A WLC e o LAP registrado também se conectam à rede através do switch L2.

Os clientes sem fio usam a autenticação WPA2 (Wi-Fi Protected Access 2) - PEAP-MS-CHAP v2 para se conectarem à rede sem fio.

Configurações

A configuração descrita nesta seção é concluída em duas etapas:

  1. Configure o 5760/3850 Series WLC com CLI ou GUI.

  2. Configure o servidor Microsoft Windows Versão 2008 para NPS, Controlador de Domínio e Contas de Usuário no AD.

Configurar WLCs de acesso convergido com a CLI

Conclua estes passos para configurar a WLAN para a VLAN de cliente necessária e mapeá-la para a Lista de métodos de autenticação com a CLI:

Note: Certifique-se de que o controle de autenticação do sistema dot1x esteja habilitado na WLC ou que o dot1X não funcione.

  1. Habilite o recurso de novo modelo AAA.

  2. Configure o servidor RADIUS.

  3. Adicione o servidor ao grupo de servidores.

  4. Mapeie o grupo de servidores para a lista de métodos.

  5. Mapeie a lista de métodos para a WLAN.
aaa new-model
  !
  !
  aaa group server radius Microsoft_NPS
   server name Microsoft_NPS
  !
aaa authentication dot1x Microsoft_NPS group Microsoft_NPS
aaa authorization network Microsoft_NPS group Microsoft_NPS
  radius server Microsoft_NPS
   address ipv4 10.104.208.96 auth-port 1645 acct-port 1646
   timeout 10
   retransmit 10
 key Cisco123
wlan Microsoft_NPS 8 Microsoft_NPS
   client vlan VLAN0020
   no exclusionlist
   security dot1x authentication-list Microsoft_NPS
   session-timeout 1800
 no shutdown

Configurar WLCs de acesso convergido com a GUI

Conclua estes passos para configurar as WLCs de Acesso Convergente com a GUI:

  1. Habilite o controle de autenticação do sistema dot1x:



  2. Navegue até Configuration > Security > AAA para adicionar o servidor RADIUS:



  3. Navegue até RADIUS > Servers, clique em NEW e atualize o endereço IP do servidor RADIUS junto com o segredo compartilhado. O segredo compartilhado também deve corresponder ao segredo compartilhado configurado no servidor RADIUS.



    Depois de configurar o servidor RADIUS, a guia Servidor deve ser semelhante a esta:



  4. Configure um grupo de servidores e selecione Radius para o tipo de grupo. Em seguida, adicione o servidor RADIUS que você criou na etapa anterior:



    O grupo de servidores deve ser semelhante a este após a configuração:



  5. Selecione dot1x para o Tipo de lista do método de autenticação e Grupo para o Tipo de grupo. Em seguida, mapeie o grupo de servidores que você configurou na etapa anterior:



    A lista de métodos de autenticação deve ser semelhante a esta após a configuração:



  6. Selecione Rede para o Tipo de lista do método de autorização e Grupo para o Tipo de grupo. Em seguida, mapeie o grupo de servidores que você configurou na etapa anterior:



    A lista de métodos de autorização deve ser semelhante a esta após a configuração:



  7. Navegue até Configure > Wireless e clique na guia WLAN. Configure uma nova WLAN à qual os usuários possam se conectar e se autenticar através do servidor Microsoft NPS com autenticação EAP:



    A guia Security L2 deve ser semelhante a esta depois da configuração:



  8. Mapeie a Lista de métodos configurada nas etapas anteriores. Isso ajuda a autenticar o cliente no servidor correto.

Configuração no Microsoft Windows versão 2008 Server

Esta seção descreve uma configuração completa do servidor Microsoft Windows versão 2008. A configuração é concluída em seis etapas:

  1. Configure o servidor como um controlador de domínio.

  2. Instalar e configurar o servidor como um servidor CA.

  3. Instale o NPS.

  4. Instale um certificado.

  5. Configure o NPS para autenticação PEAP.

  6. Adicione usuários ao AD.
Configurar o Microsoft Windows 2008 Server como um controlador de domínio

Conclua estes passos para configurar o servidor Microsoft Windows versão 2008 como um controlador de domínio:

  1. Navegue até Start > Server Manager > Roles > Add Roles.





  2. Clique em Next.



  3. Marque a caixa de seleção Serviços de Domínio Ative Diretory e clique em Avançar.



  4. Revise a Introdução aos Serviços de Domínio do Ative Diretory e clique em Avançar.



  5. Clique em Instalar para iniciar o processo de instalação.



    A instalação continua e é concluída.

  6. Clique em Fechar este assistente e inicie o Assistente de Instalação dos Serviços de Domínio do Ative Diretory (dcpromo.exe) para continuar a instalação e a configuração do AD.



  7. Clique em Avançar para executar o Assistente de Instalação dos Serviços de Domínio do Ative Diretory.



  8. Revise as informações sobre a compatibilidade do sistema operacional e clique em Avançar.



  9. Clique no botão de opção Criar um novo domínio em uma nova floresta e clique em Avançar para criar um novo domínio.



  10. Insira o nome DNS completo para o novo domínio (wireless.com neste exemplo) e clique em Avançar.



  11. Selecione o nível funcional da floresta para o seu domínio e clique em Avançar.



  12. Selecione o nível funcional do domínio para o seu domínio e clique em Avançar.



  13. Marque a caixa de seleção Servidor DNS e clique em Avançar.



  14. Clique em Sim quando a janela pop-up Assistente de instalação de serviços de domínio do Ative Diretory for exibida para criar uma nova zona no DNS do domínio.



  15. Selecione as pastas que deseja que o AD use para arquivos e clique em Avançar.



  16. Digite a senha do administrador e clique em Avançar.



  17. Revise suas seleções e clique em Avançar.



    A instalação continua.

  18. Clique em Concluir para fechar o assistente.



  19. Reinicie o servidor para que as alterações entrem em vigor.

    20.
Instalar e configurar o Microsoft Windows Version 2008 Server como um servidor CA

O PEAP com EAP-MS-CHAP v2 valida o servidor RADIUS com base no certificado presente no servidor. Além disso, o certificado do servidor deve ser emitido por uma CA pública confiável pelo computador cliente. Ou seja, o certificado CA público já existe na pasta Autoridade de Certificação de Raiz Confiável no arquivo de certificados do computador cliente. 

Conclua estes passos para configurar o servidor Microsoft Windows Versão 2008 como um servidor CA que emite o certificado para o NPS:

  1. Navegue até Start > Server Manager > Roles > Add Roles.





  2. Clique em Next.



  3. Marque a caixa de seleção Serviços de Certificados do Ative Diretory e clique em Avançar.



  4. Revise a Introdução aos Serviços de Certificados do Ative Diretory e clique em Avançar.



  5. Marque a caixa de seleção Autoridade de certificado e clique em Avançar.



  6. Clique no botão de opção Enterprise e clique em Next (Avançar).



  7. Clique no botão de opção CA raiz e clique em Avançar.



  8. Clique no botão de rádio Create a new private key (Criar uma nova chave privada) e clique em Next (Avançar).



  9. Clique em Next (Avançar) na janela Configuring Cryptography for CA (Configurando criptografia para CA).



  10. Clique em Avançar para aceitar o nome comum para este nome padrão CA.



  11. Selecione o período de tempo para o qual o certificado CA é válido e clique em Avançar.



  12. Clique em Avançar para aceitar o local padrão do banco de dados de certificado.



  13. Revise a configuração e clique em Instalar para iniciar os Serviços de Certificados do Ative Diretory.



  14. Depois que a instalação for concluída, clique em Fechar.
    15.
Instale o NPS no Microsoft Windows versão 2008 Server

Note: Com a configuração descrita nesta seção, o NPS é usado como um servidor RADIUS para autenticar os clientes sem fio com autenticação PEAP. 

Conclua estes passos para instalar e configurar o NPS no servidor Microsoft Windows versão 2008:

  1. Navegue até Start > Server Manager > Roles > Add Roles.





  2. Clique em Next.



  3. Marque a caixa de seleção Network Policy and Access Services (Política de rede e serviços de acesso) e clique em Next (Avançar).



  4. Revise a Introdução à Política de Rede e aos Serviços de Acesso e clique em Avançar.



  5. Marque a caixa de seleção Network Policy Server e clique em Next.



  6. Revise a confirmação e clique em Instalar.



    Após a instalação ser concluída, uma tela semelhante a esta deverá aparecer:



  7. Clique em Close.
Instalar um certificado

Conclua estes passos para instalar o certificado do computador para o NPS:

  1. Clique em Iniciar, digite o Console de gerenciamento da Microsoft (MMC) e pressione Enter.

  2. Navegue até Arquivo > Adicionar/remover snap-in.

  3. Escolha Certificados e clique em Adicionar.



  4. Clique no botão de opção Conta do computador e clique em Avançar.



  5. Clique no botão de rádio Local Computer e clique em Finish.



  6. Clique em OK para retornar ao MMC.



  7. Expanda as pastas Certificados (Computador Local) e Pessoal e clique em Certificados.



  8. Clique com o botão direito do mouse no espaço em branco do certificado CA e escolha All Tasks > Request New Certificate.



  9. Clique em Next.



  10. Clique na caixa de seleção Controlador de domínio e clique em Inscrever.

    Note: Se a autenticação do cliente falhar devido a um erro de certificado EAP, certifique-se de que todas as caixas de seleção estejam marcadas nesta página Inscrição de certificado antes de clicar em Inscrever-se. Isso cria aproximadamente três certificados.




  11. Clique em Concluir quando o certificado estiver instalado.



    O certificado NPS agora está instalado.

  12. Certifique-se de que a Autenticação de Cliente, Autenticação de Servidor seja apresentada na coluna Finalidades Pretendidas para o certificado.

Configurar o serviço de servidor de política de rede para autenticação PEAP-MS-CHAP v2

Conclua estes passos para configurar o NPS para autenticação:

  1. Navegue até Iniciar > Ferramentas administrativas > Servidor de política de rede.

  2. Clique com o botão direito do mouse em NPS (Local)e escolha Registrar servidor no Ative Diretory.



  3. Click OK.



  4. Click OK.



  5. Adicione a WLC como um cliente de Autenticação, Autorização e Contabilidade (AAA) no NPS.

  6. Expanda clientes e servidores RADIUS. Clique com o botão direito do mouse em RADIUS Clients e escolha New RADIUS Client:



  7. Insira um nome (WLC neste exemplo), o endereço IP de gerenciamento da WLC (10.105.135.178 neste exemplo) e um segredo compartilhado.

    Note: O mesmo segredo compartilhado é usado para configurar a WLC.




  8. Clique em OK para retornar à tela anterior.



  9. Crie uma nova política de rede para os usuários sem fio. Expanda Políticas, clique com o botão direito do mouse em Políticas de rede e escolha Novo:



  10. Insira um nome de política para esta regra (PEAP neste exemplo) e clique em Avançar.



  11. Para configurar esta política para permitir somente usuários de domínio sem fio, adicione estas três condições e clique em Avançar:

    Condição Valor
    Grupos do Windows WIRELESS\Usuários de domínio
    Tipo de porta NAS Sem fio - IEEE 802.11
    Tipo de autenticação EAP



  12. Clique no botão de opção Acesso concedido para conceder tentativas de conexão que correspondam a esta política e clique em Avançar.



  13. Desative todos os métodos de autenticação menos seguros:



  14. Clique em Adicionar, selecione a Microsoft: Protected EAP (PEAP)Tipo EAP e clique em OK para ativar o PEAP.



  15. Selecione Microsoft: Protected EAP (PEAP) e clique em Edit (Editar). Certifique-se de que o certificado do controlador de domínio criado anteriormente está selecionado na lista suspensa Certificado emitido e clique em Ok.



  16. Clique em Next.



  17. Clique em Next.



  18. Clique em Next.



  19. Clique em Finish.



    Note: Dependendo das suas necessidades, talvez seja necessário configurar as Políticas de Solicitação de Conexão no NPS para permitir o perfil PEAP ou a política.

Adicionar usuários ao Ative Diretory

Note: Neste exemplo, o banco de dados do usuário é mantido no AD. 

Conclua estes passos para adicionar usuários ao banco de dados do AD:

  1. Navegue até Iniciar > Ferramentas Administrativas > Usuários e Computadores do Ative Diretory.

  2. Na árvore de console Usuários e Computadores do Ative Diretory, expanda o domínio, clique com o botão direito do mouse em Usuários e Novos e escolha Usuário.

  3. Na caixa de diálogo Novo objeto - usuário, digite o nome do usuário sem fio. Este exemplo usa Client1 no campo Nome e Client1 no campo Nome de logon do usuário. Clique em Next.



  4. Na caixa de diálogo Novo objeto - usuário, insira uma senha de sua escolha nos campos Senha e Confirmar senha. Desmarque a caixa de seleção Usuário deve alterar a senha no próximo logon e clique em Avançar.



  5. Na caixa de diálogo Novo objeto - usuário, clique em Concluir.



  6. Repita as Etapas 2 a 4 para criar contas de usuário adicionais.

Verificar

Conclua estes passos para verificar sua configuração:

  1. Procure a identificação do conjunto de serviços (SSID) na máquina cliente.



  2. Verifique se o cliente está conectado com êxito:

Troubleshoot

Note: A Cisco recomenda que você use rastreamentos para solucionar problemas de conexões sem fio. Os rastreamentos são salvos no buffer circular e não exigem muito do processador.

Ative estes rastreamentos para obter os registros de autenticação L2:

  • set trace group-wireless-secure level debug
  • set trace group-wireless-secure filter mac 0017.7C2F.B69A

Ative estes rastreamentos para obter os eventos AAA dot1X:

  • set trace wcm-dot1x aaa level debug
  • set trace wcm-dot1x aaa filter mac 0017.7C2F.B69A

Ative estes rastreamentos para receber os eventos DHCP:

  • set trace dhcp events level debug
  • set trace dhcp events filter mac 0017.7C2F.B69A

Ative estes rastreamentos para desabilitar os rastreamentos e limpar o buffer:

  • set trace control sys-filtrtered-traces clear
  • set trace wcm-dot1x aaa level default
  • set trace wcm-dot1x aaa filter none
  • set trace group-wireless-secure level default
  • set trace group-wireless-secure filter none

Insira o comando show trace sys-filtrtered-traces para exibir os rastreamentos:

[04/23/14 21:27:51.963 IST 1 8151] 0017.7c2f.b69a Adding mobile on LWAPP AP
 1caa.076f.9e10 (0) 
[04/23/14 21:27:51.963 IST 2 8151] 0017.7c2f.b69a Local Policy:  Created MSCB
 Just AccessVLAN = 0 and SessionTimeout  is 0 and apfMsTimeout is 0 

[04/23/14 21:27:51.963 IST 8 8151] 0017.7c2f.b69a Local Policy:Setting local
 bridging VLAN  name VLAN0020 and VLAN ID  20

[04/23/14 21:27:51.963 IST 9 8151] 0017.7c2f.b69a Applying WLAN ACL policies
 to client
[04/23/14 21:27:51.963 IST a 8151] 0017.7c2f.b69a No Interface ACL used for
 Wireless client in WCM(NGWC)
[04/23/14 21:27:51.963 IST b 8151] 0017.7c2f.b69a Applying site-specific IPv6
 override for station  0017.7c2f.b69a  - vapId 8, site 'test',
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST c 8151] 0017.7c2f.b69a Applying local bridging
 Interface Policy for station  0017.7c2f.b69a  - vlan 20,
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST d 8151] 0017.7c2f.b69a
 **** Inside applyLocalProfilingPolicyAction **** 

04/23/14 21:27:51.963 IST f 8151] 0017.7c2f.b69a     Local Profiling Values :
 isValidVlan = 0, vlan = 0, isVlanRecdInDelete = 0, isValidSessionTimeout = 0,
 sessionTimeout=0, isSessionTORecdInDelete = 0  ProtocolMap = 0 ,
 applyPolicyAtRun= 0 
[04/23/14 21:27:51.963 IST 10 8151] 0017.7c2f.b69a          ipv4ACL = [],
 ipv6ACL = [], inQoS = [unknown], outQoS = [unknown]
[04/23/14 21:27:51.963 IST 11 8151] 0017.7c2f.b69a STA - rates (4):
 130 132 139 150 0 0 0 0 0 0 0 0 0 0 0 0
[04/23/14 21:27:51.963 IST 12 8151] 0017.7c2f.b69a STA - rates (12):
 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
[04/23/14 21:27:51.963 IST 13 8151] 0017.7c2f.b69a Processing RSN IE type 48,
 length 20 for mobile  0017.7c2f.b69a 
[04/23/14 21:27:51.963 IST 14 8151] 0017.7c2f.b69a Received RSN IE with 0 
 PMKIDsfrom mobile  0017.7c2f.b69a 


[04/23/14 21:27:51.964 IST 1b 8151] 0017.7c2f.b69a Change state to AUTHCHECK
 (2) last state START (0)

[04/23/14 21:27:51.964 IST 1c 8151] 0017.7c2f.b69a Change state to 8021X_REQD
 (3) last state AUTHCHECK (2)


[04/23/14 21:27:51.964 IST 25 8151] 0017.7c2f.b69a apfProcessAssocReq
 (apf_80211.c:6272) Changing state for mobile  0017.7c2f.b69a  on AP
 1caa.076f.9e10  from Associated to Associated

[04/23/14 21:27:51.971 IST 26 8151] 0017.7c2f.b69a 1XA: Initiating
 authentication
[04/23/14 21:27:51.971 IST 27 8151] 0017.7c2f.b69a 1XA: Setting reauth
 timeout to 1800 seconds
[04/23/14 21:27:51.971 IST 28 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 0

[04/23/14 21:27:51.971 IST 29 8151] 0017.7c2f.b69a 1XA: Allocated uid 40
[04/23/14 21:27:51.971 IST 2a 8151] 0017.7c2f.b69a 1XA: Calling Auth Mgr
 to authenticate client 4975000000003e uid 40
[04/23/14 21:27:51.971 IST 2b 8151] 0017.7c2f.b69a 1XA: Session Start from
 wireless client 

[04/23/14 21:27:51.971 IST 2c 8151] 0017.7c2f.b69a Session Manager Call Client
 4975000000003e, uid 40, capwap id 7ae8c000000013,Flag 0, Audit-Session ID
 0a6987b25357e2ff00000028, method list Microsoft_NPS, policy name (null) 

[04/23/14 21:27:51.971 IST 2d 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3] Session start request from Client[1] for 0017.7c2f.b69a
 (method: Dot1X, method list: Microsoft_NPS, aaa id: 0x00000028),  policy 
[04/23/14 21:27:51.971 IST 2e 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3]  - client iif_id: 4975000000003E, session ID:
 0a6987b25357e2ff00000028 for 0017.7c2f.b69a


[04/23/14 21:27:51.972 IST 43 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting !EAP_RESTART on Client 0x22000025
[04/23/14 21:27:51.972 IST 44 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:enter connecting state
[04/23/14 21:27:51.972 IST 45 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: restart connecting
[04/23/14 21:27:51.972 IST 46 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting RX_REQ on Client 0x22000025
[04/23/14 21:27:51.972 IST 47 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: authenticating state entered
[04/23/14 21:27:51.972 IST 48 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:connecting authenticating action
[04/23/14 21:27:51.972 IST 49 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting AUTH_START for 0x22000025
[04/23/14 21:27:51.972 IST 4a 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:entering request state
[04/23/14 21:27:51.972 IST 4b 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending EAPOL packet
[04/23/14 21:27:51.972 IST 4c 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Platform changed src mac  of EAPOL packet
[04/23/14 21:27:51.972 IST 4d 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending out EAPOL packet
[04/23/14 21:27:51.972 IST 4e 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] EAPOL packet sent to client 0x22000025


[04/23/14 21:27:52.112 IST 7d 211] Parsed CLID MAC Address = 0:23:124:47:182:154
[04/23/14 21:27:52.112 IST 7e 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:52.112 IST 7f 211] AAA SRV(00000000): Authen method=SERVER_GROUP
 Microsoft_NPS
[04/23/14 21:27:52.112 IST 80 211] AAA SRV(00000000): Selecting SG = DIAMETER
[04/23/14 21:27:52.113 IST 81 186] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Queuing an EAPOL pkt on Authenticator Q
[04/23/14 21:27:52.113 IST 82 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting EAPOL_EAP for 0x22000025
[04/23/14 21:27:52.278 IST 83 220] AAA SRV(00000000): protocol reply
 GET_CHALLENGE_RESPONSE for Authentication
[04/23/14 21:27:52.278 IST 84 220] AAA SRV(00000000): Return Authentication
 status=GET_CHALLENGE_RESPONSE
[04/23/14 21:27:52.278 IST 85 291] ACCESS-METHOD-DOT1X-DEB:[0017.7c2f.b69a,Ca3]
 Posting EAP_REQ for 0x22000025

Aqui está o resto da saída EAP:

[04/23/14 21:27:54.690 IST 12b 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:54.690 IST 12c 211] AAA SRV(00000000): Authen
 method=SERVER_GROUP Microsoft_NPS
[04/23/14 21:27:54.690 IST 12d 211] AAA SRV(00000000): Selecting SG =
 DIAMETER
[04/23/14 21:27:54.694 IST 12e 220] AAA SRV(00000000): protocol reply PASS
 for Authentication
[04/23/14 21:27:54.694 IST 12f 220] AAA SRV(00000000): Return Authentication
 status=PASS
[04/23/14 21:27:54.694 IST 130 189] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Received an EAP Success


[04/23/14 21:27:54.695 IST 186 8151] 0017.7c2f.b69a Starting key exchange with
 mobile - data forwarding is disabled
[04/23/14 21:27:54.695 IST 187 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.706 IST 188 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 121) from mobile
[04/23/14 21:27:54.706 IST 189 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile
[04/23/14 21:27:54.706 IST 18a 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTK_START state (msg 2) from mobile
[04/23/14 21:27:54.706 IST 18b 8151] 0017.7c2f.b69a 1XK: Stopping retransmission
 timer
[04/23/14 21:27:54.706 IST 18c 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.717 IST 18d 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 99) from mobile
[04/23/14 21:27:54.717 IST 18e 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile
[04/23/14 21:27:54.717 IST 18f 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTKINITNEGOTIATING state (msg 4) from mobile
[04/23/14 21:27:54.717 IST 190 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 1

[04/23/14 21:27:54.717 IST 191 8151] 0017.7c2f.b69a 1XK: Key exchange complete
 - updating PEM
[04/23/14 21:27:54.717 IST 192 8151] 0017.7c2f.b69a apfMs1xStateInc
[04/23/14 21:27:54.717 IST 193 8151] 0017.7c2f.b69a Change state to
 L2AUTHCOMPLETE (4) last state 8021X_REQD (3)


[04/23/14 21:27:58.277 IST 1df 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:27:58.277 IST 1e0 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:28:05.279 IST 1e1 269] DHCPD: Adding binding to hash tree
[04/23/14 21:28:05.279 IST 1e2 269] DHCPD: DHCPOFFER notify setup address
20.20.20.5 mask 255.255.255.0


[04/23/14 21:28:05.306 IST 1f4 8151] 0017.7c2f.b69a Change state to RUN (20)
 last state DHCP_REQD (7)
TAC Authored

Colaborado por engenheiros da Cisco

  • Surendra BG
    Cisco TAC Engineer

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos