融合接入5760、3850和3650系列WLC EAP-FAST与内部RADIUS服务器配置示例

下载选项

  • PDF     (398.8 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (232.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (381.2 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2014 年 4 月 18 日
文档 ID:117664

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何配置思科融合接入5760、3850和3650系列无线局域网控制器(WLC),以充当通过安全协议执行思科可扩展身份验证协议灵活身份验证的RADIUS服务器(本例中为EAP-FAST)的客户端身份验证。

通常使用外部RADIUS服务器来对用户进行身份验证,这在某些情况下不是可行解决方案。在这些情况下,融合接入WLC可以充当RADIUS服务器,在该服务器中,用户将根据WLC中配置的本地数据库进行身份验证。此功能称为本地 RADIUS 服务器功能。

先决条件

要求

Cisco 建议您在尝试进行此配置之前了解下列主题:

  • 采用融合接入5760、3850和3650系列WLC的Cisco IOS® GUI或CLI
  • 可扩展身份验证协议(EAP)概念
  • 服务集标识符(SSID)配置
  • RADIUS

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科5760系列WLC版本3.3.2(下一代配线间[NGWC])
  • 思科3602系列轻量接入点(AP)
  • Microsoft Windows XP,带Intel PROset请求方
  • Cisco Catalyst 3560 系列交换机

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

注意:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

下图为网络图示例:

配置概述

此配置分两步完成:

  1. 使用CLI或GUI为本地EAP方法以及相关身份验证和授权配置文件配置WLC。

  2. 配置WLAN并映射具有身份验证和授权配置文件的方法列表。

使用CLI配置WLC

要使用CLI配置WLC,请完成以下步骤:

  1. 在WLC上启用AAA模型:

    aaa new-model
  2. 定义身份验证和授权:

    aaa local authentication eapfast authorization eapfast

    aaa authentication dot1x eapfast local
    aaa authorization credential-download eapfast local
    aaa authentication dot1x default local
  3. 配置本地EAP配置文件和方法(本示例中使用EAP-FAST):

    eap profile eapfast
     method fast
    !
  4. 配置高级EAP-FAST参数:

    eap method fast profile eapfast
     description test
     authority-id identity 1
     authority-id information 1
     local-key 0 cisco123
  5. 配置WLAN并将本地授权配置文件映射到WLAN:

    wlan eapfastlocal 13 eapfastlocal
     client vlan VLAN0020
     local-auth eapfast
     session-timeout 1800
     no shutdown
  6. 配置基础设施以支持客户端连接:

    ip dhcp snooping vlan 12,20,30,40,50
    ip dhcp snooping
    !
    ip dhcp pool vlan20
     network 20.20.20.0 255.255.255.0
     default-router 20.20.20.251
     dns-server 20.20.20.251

    interface TenGigabitEthernet1/0/1
     switchport trunk native vlan 12
     switchport mode trunk
     ip dhcp relay information trusted
     ip dhcp snooping trust

使用GUI配置WLC

要使用GUI配置WLC,请完成以下步骤:

  1. 配置身份验证的方法列表:

    • 将eapfast型配置为Dot1x

    • 将eapfast组型配置为Local

  2. 配置授权的方法列表:

    • 将eapfast类配置为Credential-Download

    • 将eapfast组型配置为Local

  3. 配置本地EAP配置文件:



  4. 创建新配置文件并选择EAP类型:



    配置文件名称为eapfast,所选EAP类型为EAP-FAST:



  5. 配置EAP-FAST方法参数:



    服务器密钥配置为Cisco123



  6. 选中Dot1x System Auth Control(Dot1x系统身份验证控制)复选框,并为Method Lists(方法列表)选择eapfast。这有助于您执行本地EAP身份验证。



  7. 为WPA2 AES加密配置WLAN:





  8. 在“AAA服务器”选项卡上,将“EAP配置文件名eapfast”映射到WLAN:

验证

完成以下步骤以验证您的配置是否正常工作:

  1. 将客户端连接到WLAN:



  2. 验证是否显示“受保护访问凭证(PAC)”弹出窗口,并且您必须接受才能成功进行身份验证:

故障排除

思科建议您使用跟踪来排除无线问题。跟踪保存在循环缓冲区中,不占用处理器资源。

启用这些跟踪以获取第2层(L2)身份验证日志:

  • set trace group-wireless-secure level debug

  • set trace group-wireless-secure filter mac0021.6a89.51ca

启用这些跟踪以获取DHCP事件日志:

  • set trace dhcp events level debug

  • set trace dhcp events filter mac 0021.6a89.51ca

以下是成功跟踪的一些示例:

[04/10/14 18:49:50.719 IST 3 8116] 0021.6a89.51ca Association received from
 mobile on AP  c8f9.f983.4260

[04/10/14 18:49:50.719 IST 4 8116] 0021.6a89.51ca qos upstream policy is
 unknown and downstream policy is unknown
[04/10/14 18:49:50.719 IST 5 8116] 0021.6a89.51ca apChanged 1 wlanChanged 0
 mscb ipAddr 20.20.20.6, apf RadiusOverride 0x0, numIPv6Addr=0
[04/10/14 18:49:50.719 IST 6 8116] 0021.6a89.51ca Applying WLAN policy on MSCB.
[04/10/14 18:49:50.719 IST 7 8116] 0021.6a89.51ca Applying WLAN ACL policies
 to client

[04/10/14 18:49:50.719 IST 9 8116] 0021.6a89.51ca Applying site-specific IPv6
 override for station  0021.6a89.51ca  - vapId 13, site 'default-group',
 interface 'VLAN0020'
[04/10/14 18:49:50.719 IST a 8116] 0021.6a89.51ca Applying local bridging
 Interface Policy for station  0021.6a89.51ca  - vlan 20, interface 'VLAN0020'
[04/10/14 18:49:50.719 IST b 8116] 0021.6a89.51ca STA - rates (8):
 140 18 152 36 176 72 96 108 48 72 96 108 0 0 0 0

[04/10/14 18:49:50.727 IST 2f 8116] 0021.6a89.51ca Session Manager Call Client
 57ca4000000048, uid 42, capwap id 50b94000000012,Flag 4, Audit-Session ID
 0a6987b253468efb0000002a, method list

[04/10/14 18:49:50.727 IST 30 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0021.6a89.51ca, Ca3] Session update from Client[1] for 0021.6a89.51ca,
 ID list 0x00000000
[04/10/14 18:49:50.727 IST 31 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0021.6a89.51ca, Ca3]  (UPD): method: Dot1X, method list: none, aaa id:
 0x0000002A
[04/10/14 18:49:50.727 IST 32 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0021.6a89.51ca, Ca3]  (UPD): eap profile: eapfast

[04/10/14 18:49:50.728 IST 4b 278] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 Posting AUTH_START for 0xF700000A
[04/10/14 18:49:50.728 IST 4c 278] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 0xF700000A:entering request state
[04/10/14 18:49:50.728 IST 4d 278] ACCESS-METHOD-DOT1X-NOTF:[0021.6a89.51ca,Ca3]
 Sending EAPOL packet
[04/10/14 18:49:50.728 IST 4e 278] ACCESS-METHOD-DOT1X-INFO:[0021.6a89.51ca,Ca3]
 Platform changed src mac  of EAPOL packet
[04/10/14 18:49:50.728 IST 4f 278] ACCESS-METHOD-DOT1X-INFO:[0021.6a89.51ca,Ca3]
 EAPOL packet sent to client 0xF700000A
[04/10/14 18:49:50.728 IST 50 278] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 0xF700000A:idle request action
[04/10/14 18:49:50.761 IST 51 8116] 0021.6a89.51ca 1XA: Received 802.11 EAPOL
 message (len 5) from mobile
[04/10/14 18:49:50.761 IST 52 8116] 0021.6a89.51ca 1XA: Received EAPOL-Start
 from mobile
[04/10/14 18:49:50.761 IST 53 8116] 0021.6a89.51ca 1XA:  EAPOL-Start -
 EAPOL start message from mobile as mobile is in Authenticating state, restart
 authenticating

[04/10/14 18:49:50.816 IST 95 278] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 0xF700000A:entering response state
[04/10/14 18:49:50.816 IST 96 278] ACCESS-METHOD-DOT1X-NOTF:[0021.6a89.51ca,Ca3]
 Response sent to the server from 0xF700000A
[04/10/14 18:49:50.816 IST 97 278] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 0xF700000A:ignore response action
[04/10/14 18:49:50.816 IST 98 203] Parsed CLID MAC Address = 0:33:106:137:81:202
[04/10/14 18:49:50.816 IST 99 203] AAA SRV(00000000): process authen req
[04/10/14 18:49:50.816 IST 9a 203] AAA SRV(00000000): Authen method=LOCAL

[04/10/14 18:49:50.846 IST 11d 181] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0021.6a89.51ca, Ca3] Session authz status notification sent to Client[1] for
 0021.6a89.51ca with handle FE000052, list 630007B2
[04/10/14 18:49:50.846 IST 11e 181]ACCESS-METHOD-DOT1X-NOTF:[0021.6a89.51ca,Ca3]
 Received Authz Success for the client 0xF700000A (0021.6a89.51ca)
[04/10/14 18:49:50.846 IST 11f 271] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 Posting AUTHZ_SUCCESS on Client 0xF700000A
[04/10/14 18:49:50.846 IST 120 271] ACCESS-METHOD-DOT1X-DEB:[0021.6a89.51ca,Ca3]
 0xF700000A:entering authenticated state
[04/10/14 18:49:50.846 IST 121 271]ACCESS-METHOD-DOT1X-NOTF:[0021.6a89.51ca,Ca3]
 EAPOL success packet was sent earlier.

[04/10/14 18:49:50.846 IST 149 8116] 0021.6a89.51ca 1XA:authentication succeeded
[04/10/14 18:49:50.846 IST 14a 8116] 0021.6a89.51ca 1XK: Looking for BSSID
 c8f9.f983.4263  in PMKID cache
[04/10/14 18:49:50.846 IST 14b 8116] 0021.6a89.51ca 1XK: Looking for BSSID
 c8f9.f983.4263  in PMKID cache
[04/10/14 18:49:50.846 IST 14c 8116] 0021.6a89.51ca Starting key exchange with
 mobile - data forwarding is disabled
[04/10/14 18:49:50.846 IST 14d 8116] 0021.6a89.51ca 1XA: Sending EAPOL message
 to mobile, WLAN=13 AP WLAN=13
[04/10/14 18:49:50.858 IST 14e 8116] 0021.6a89.51ca 1XA: Received 802.11 EAPOL
 message (len 123) from mobile
[04/10/14 18:49:50.858 IST 14f 8116] 0021.6a89.51ca 1XA: Received EAPOL-Key from
 mobile
[04/10/14 18:49:50.858 IST 150 8116] 0021.6a89.51ca 1XK: Received EAPOL-key in
 PTK_START state (msg 2) from mobile
[04/10/14 18:49:50.858 IST 151 8116] 0021.6a89.51ca 1XK: Stopping retransmission
 timer
[04/10/14 18:49:50.859 IST 152 8116] 0021.6a89.51ca 1XA: Sending EAPOL message
 to mobile, WLAN=13 AP WLAN=13
[04/10/14 18:49:50.862 IST 153 8116] 0021.6a89.51ca 1XA: Received 802.11 EAPOL
 message (len 99) from mobile
[04/10/14 18:49:50.862 IST 154 8116] 0021.6a89.51ca 1XA: Received EAPOL-Key from
 mobile
[04/10/14 18:49:50.862 IST 155 8116] 0021.6a89.51ca 1XK: Received EAPOL-key in
 PTKINITNEGOTIATING state (msg 4) from mobile

[04/10/14 18:49:50.863 IST 172 338] [WCDB] wcdb_ffcp_cb: client (0021.6a89.51ca)
 client (0x57ca4000000048): FFCP operation (UPDATE) return code (0)
[04/10/14 18:49:50.914 IST 173 273] dhcp pkt processing routine is called for pak
 with SMAC = 0021.6a89.51ca and SRC_ADDR = 0.0.0.0
[04/10/14 18:49:50.914 IST 174 219] sending dhcp packet outafter processing with
 SMAC = 0021.6a89.51ca and SRC_ADDR = 0.0.0.0
[04/10/14 18:49:50.914 IST 175 256] DHCPD: address 20.20.20.6 mask 255.255.255.0
[04/10/14 18:49:54.279 IST 176 273] dhcp pkt processing routine is called for pak
 with SMAC = 0021.6a89.51ca and SRC_ADDR = 20.20.20.6
[04/10/14 18:49:54.279 IST 177 219] sending dhcp packet outafter processing with
 SMAC = 0021.6a89.51ca and SRC_ADDR = 20.20.20.6
TAC Authored

由思科工程师提供

  • Surendra BG
    Cisco TAC Engineer

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品