使用 Test AAA Radius 命令验证 RADIUS 服务器连接

下载选项

PDF (487.4 KB)
在各种设备上使用 Adobe Reader 查看
ePub (144.9 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (107.8 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2023 年 8 月 28 日

文档 ID:212473

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍 test aaa radius 命令如何识别RADIUS服务器连接和客户端身份验证问题。

`先决条件`

`要求`

思科建议您了解AireOS无线局域网控制器(WLC)代码8.2及更高版本。

`使用的组件`

本文档和提到的命令特定于Cisco AireOS WLC。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

`背景信息`

无线客户端身份验证问题是无线网络工程师所面临的最困难的问题之一。为了排除故障，通常需要

找到有问题的客户端，与对无线网络了解不透彻的最终用户合作，并收集调试和捕获信息。在日益重要的无线网络中，这类问题可能会导致大量停机。

到目前为止，没有简单的方法可以确定身份验证失败是由拒绝客户端的RADIUS服务器引起的，还是仅仅是一个可接通性问题。

test aaa radius 命令可以让您做到这一点。现在，您可以远程验证 WLC 和 RADIUS 服务器之间的通信是否失败，或者客户端的凭证是否通过了身份验证。

`功能工作方式`

这是使用命令 test aaa radius 时的基本工作流程（如下所示）。

步骤1:WLC将访问请求消息与 test aaa radius 命令中提及的参数一起发送到RADIUS服务器：

（思科控制器） >test aaa radius username <user name> password <password> wlan-id <wlan-id> apgroup <apgroup-name> server-index <server-index>

示例

test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2

第二步：Radius服务器验证提供的凭证并提供身份验证请求的结果。

`命令语法`

执行该命令需要提供以下参数：

（思科控制器） > test aaa radius username <user name> password <password> wlan-id <wlan-id> apgroup <apgroup-name> server-index <server-index>

<username> ---> Username that you are testing. <password> ---> Password that you are testing <wlan-id> ---> WLAN ID of the SSID that you are testing. <apgroup-name> (optional) ---> AP group name. This will be default-group if there is no AP group configured. <server-index> (optional) ---> The server index configured for the radius server that you are trying to test. This can be found under Security > Authentication tab.

`场景1：身份验证尝试通过`

让我们看看 test aaa radius 命令如何工作，当命令导致身份验证通过时，输出如何。执行该命令时，WLC 会显示与访问请求一起发送的参数：

(Cisco Controller) >test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2 Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Attributes Values ---------- ------ User-Name admin Called-Station-Id 00:00:00:00:00:00:WLC5508 Calling-Station-Id 00:11:22:33:44:55 Nas-Port 0x0000000d (13) Nas-Ip-Address 10.20.227.39 NAS-Identifier WLC_5508 Airespace / WLAN-Identifier 0x00000001 (1) User-Password cisco123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81) Cisco / Audit-Session-Id ad14e327000000c466191e23 Acct-Session-Id 56131b33/00:11:22:33:44:55/210 test radius auth request successfully sent. Execute 'test aaa show radius' for response

要查看身份验证请求的结果，请执行命令 test aaa show radius 。如果 RADIUS 服务器无法访问，且 WLC 需要重试或回退到其他 RADIUS 服务器，则该命令可能需要一些时间才能显示输出。

(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin Class CACS:rs-acs5-6-0-22/230677882/20313 Session-Timeout 0x0000001e (30) Termination-Action 0x00000000 (0) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81)

该命令非常有用的一个方面是，它会显示 RADIUS 服务器返回的属性。这可以是重定向 URL 和访问控制列表 (ACL)。例如，对于集中式 Web 身份验证 (CWA) 或使用 VLAN 覆盖时的 VLAN 信息。

注意：访问请求中的用户名/口令以明文形式发送到RADIUS服务器，因此如果流量流经不安全的网络，您需要谨慎使用。

`场景2：身份验证尝试失败`

让我们看看当用户名/密码输入导致身份验证失败时，输出如何显示。

(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Authentication failed ------> This result indicates that the user authentication will fail. No AVPs in Response

在这种情况下，您可以看到连接测试的结果是成功，但是radius服务器针对所使用的用户名/口令组合发送了access-reject。

`场景3：WLC和Radius服务器之间的通信失败`

(Cisco Controller) >test aaa show radius  previous test command still not completed, try after some time

等待WLC完成重试，然后显示输出。所需时间可能因配置的重试阈值而异。

(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 3 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.72 6 No response received from server Authentication Response: Result Code: No response received from server No AVPs in Response

在此输出中，您可以看到WLC尝试联系RADIUS服务器6次，当没有响应时，它将RADIUS服务器标记为不可达。

`场景4：Radius回退`

当您在服务集标识符 (SSID) 下配置了多个 RADIUS 服务器且主 RADIUS 服务器不响应时，WLC 会尝试联系所配置的辅助 RADIUS 服务器。这在输出中显示得非常清楚：第一个 RADIUS 服务器没有响应，然后 WLC 尝试联系第二个 RADIUS 服务器，并获得立即响应。

(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.62 6 No response received from server 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin

`注意事项`

 当前不提供 GUI 支持。该命令只能从 WLC 执行。
 验证仅适用于 RADIUS。不能将其用于 TACACS 身份验证。
 不能使用该方法测试 Flexconnect 本地身份验证。

`相关信息`

 思科技术支持和下载

修订历史记录

版本	发布日期	备注
3.0	28-Aug-2023	重新认证
2.0	20-Jul-2022	更新格式、机器翻译、病历等，以符合思科指南。
1.0	21-Nov-2017	初始版本

由思科工程师提供

杰西·杜布瓦
思科TAC工程师
乔恩·巴莱维奇
思科工程

此文档是否有帮助?

反馈

联系我们

提交支持案例
(需要思科服务合同)