5760/3850系列WLC PEAP身份验证与Microsoft NPS的配置示例

下载选项

  • ePub     (3.8 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (4.1 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2014 年 5 月 2 日
文档 ID:117684

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何在Cisco融合接入无线局域网(WLAN)部署上配置受保护的可扩展身份验证协议(PEAP),其中Microsoft网络策略服务器(NPS)作为RADIUS服务器,使用Microsoft质询握手身份验证协议版本2(MS-CHAP v2)身份验证。

先决条件

要求

思科建议您在尝试本文档中描述的配置之前先了解这些主题:

  • 基本Microsoft Windows 2008版安装
  • 思科融合接入WLAN控制器安装

在尝试此配置之前,请确保满足以下要求:

  • 在测试实验的每台服务器上安装Microsoft Windows Server 2008版操作系统(OS)。
  • 更新所有服务包。
  • 安装控制器和轻量接入点(LAP)。
  • 配置最新的软件更新。

注意:有关Cisco融合接入WLAN控制器的初始安装和配置信息,请参阅CT5760控制器和Catalyst 3850交换机配置示例Cisco文章。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科5760系列WLAN控制器版本3.3.2(下一代配线间(NGWC))
  • Cisco 3602 系列 LAP
  • Microsoft Windows XP,带Intel PROset请求方
  • 运行带域控制器角色的NPS的Microsoft Windows 2008 Server
  • Cisco Catalyst 3560 系列交换机

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

PEAP使用传输级安全(TLS)在身份验证PEAP客户端(如无线笔记本电脑)和PEAP身份验证器(如Microsoft NPS或任何RADIUS服务器)之间创建加密通道。PEAP不指定身份验证方法,但为其他可扩展身份验证协议(EAP)(例如EAP-MS-CHAP v2)提供额外的安全性,这些协议可通过PEAP提供的TLS加密通道运行。PEAP身份验证过程包括两个主要阶段。

PEAP 第一阶段:TLS加密通道

无线客户端与接入点(AP)关联。 基于IEEE 802.11的关联在客户端和AP之间创建安全关联之前提供开放系统或共享密钥身份验证。在客户端和AP之间成功建立基于IEEE 802.11的关联后,TLS会话将与AP协商。

在无线客户端和NPS之间成功完成身份验证后,将在客户端和NPS之间协商TLS会话。此协商中派生的密钥用于加密所有后续通信。

PEAP 第二阶段:采用 EAP 身份验证的通信

EAP通信(包括EAP协商)发生在PEAP身份验证过程第一阶段由PEAP创建的TLS通道内。NPS使用EAP-MS-CHAP v2对无线客户端进行身份验证。LAP和控制器仅在无线客户端和RADIUS服务器之间转发消息。WLAN控制器(WLC)和LAP无法解密消息,因为WLC不是TLS终端。

以下是成功身份验证尝试的RADIUS消息序列,其中用户提供具有PEAP-MS-CHAP v2的有效基于密码的凭证:

  1. NPS向客户端发送身份请求消息:

    EAP-Request/Identity
  2. 客户端回复一个身份响应消息:

    EAP-Response/Identity
  3. NPS发送MS-CHAP v2质询消息:

    EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge)
  4. 客户端回复一个 MS-CHAP v2 质询和响应:

    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response)
  5. 当服务器成功对客户端进行身份验证时,NPS会以MS-CHAP v2成功数据包作出响应:

    EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Success)
  6. 当客户端成功对服务器进行身份验证时,客户端会以MS-CHAP v2成功数据包作出响应:

    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success)
  7. NPS发送EAP类型长度值(TLV),表示身份验证成功。

  8. 客户端回复一个 EAP-TLV 状态成功消息。

  9. 服务器完成身份验证并以纯文本形式发送EAP-Success消息。如果部署了 VLAN 用于客户端隔离,则此消息中还包含 VLAN 属性。

配置

使用本部分,以Microsoft NPS作为RADIUS服务器,在思科融合接入WLC部署上配置PEAP的MS-CHAP v2身份验证。

网络图

在本例中,Microsoft Windows Version 2008服务器执行以下角色:

  • wireless.com域的域控制器
  • 域名系统 (DNS) 服务器
  • 证书颁发机构(CA)服务器
  • NPS以验证无线用户
  • Active Directory(AD)以维护用户数据库

服务器通过第2层(L2)交换机连接到有线网络,如图所示。WLC和注册的LAP也通过第2层交换机连接到网络。

无线客户端使用Wi-Fi保护访问2(WPA2)- PEAP-MS-CHAP v2身份验证以连接到无线网络。

配置

本节中介绍的配置分两步完成:

  1. 使用CLI或GUI配置5760/3850系列WLC。

  2. 在AD上为NPS、域控制器和用户帐户配置Microsoft Windows Version 2008服务器。

使用CLI配置融合接入WLC

要为所需的客户端VLAN配置WLAN,并使用CLI将其映射到身份验证方法列表,请完成以下步骤:

注意:确保在WLC上启用dot1x系统身份验证控制,否则dot1X不起作用。

  1. 启用AAA新型功能。

  2. 配置 RADIUS 服务器。

  3. 将服务器添加到服务器组。

  4. 将服务器组映射到方法列表。

  5. 将方法列表映射到WLAN。
aaa new-model
  !
  !
  aaa group server radius Microsoft_NPS
   server name Microsoft_NPS
  !
aaa authentication dot1x Microsoft_NPS group Microsoft_NPS
aaa authorization network Microsoft_NPS group Microsoft_NPS
  radius server Microsoft_NPS
   address ipv4 10.104.208.96 auth-port 1645 acct-port 1646
   timeout 10
   retransmit 10
 key Cisco123
wlan Microsoft_NPS 8 Microsoft_NPS
   client vlan VLAN0020
   no exclusionlist
   security dot1x authentication-list Microsoft_NPS
   session-timeout 1800
 no shutdown

使用GUI配置融合接入WLC

要使用GUI配置融合接入WLC,请完成以下步骤:

  1. 启用dot1x system-auth-control:



  2. 导航至Configuration > Security > AAA以添加RADIUS服务器:



  3. 导航至RADIUS > Servers,单击NEW,并更新RADIUS服务器的IP地址和共享密钥。共享密钥应与RADIUS服务器上配置的共享密钥匹配。



    配置RADIUS服务器后,Server(服务器)选项卡应如下所示:



  4. 配置服务器组,并为组型选择Radius。然后,添加您在上一步中创建的RADIUS服务器:



    在配置后,服务器组应显示如下所示:



  5. 选择dot1x作为Authentication Method List Type和Group Type的Group。然后,映射您在上一步中配置的服务器组:



    配置后,身份验证方法列表应如下所示:



  6. 选择Network 作为Authorization Method List Type列表类型,Group Type。然后,映射您在上一步中配置的服务器组:



    在配置后,授权方法列表应与以下内容类似:



  7. 导航至Configure > Wireless,然后单击WLAN选项卡。配置新的WLAN,用户可以连接到该WLAN,并通过使用EAP身份验证的Microsoft NPS服务器进行身份验证:



    配置后,Security L2(安全L2)选项卡应类似如下所示:



  8. 映射您在前面步骤中配置的方法列表。这有助于将客户端验证到正确的服务器。

在Microsoft Windows 2008版服务器上的配置

本节介绍Microsoft Windows 2008版服务器的完整配置。配置分六步完成:

  1. 将服务器配置为域控制器。

  2. 将服务器安装并配置为CA服务器。

  3. 安装NPS。

  4. 安装证书。

  5. 配置NPS以进行PEAP身份验证。

  6. 将用户添加到AD。
将 Microsoft Windows 2008 Server 配置为域控制器

要将Microsoft Windows Version 2008服务器配置为域控制器,请完成以下步骤:

  1. 导航至开始>服务器管理器>角色> 添加角色





  2. 单击 Next



  3. 选中Active Directory域服务复选框,然后单击“下一步”



  4. 查看Active Directory域服务简介,然后单击下一步



  5. 单击Install开始安装过程。



    安装将继续并完成。

  6. 单击关闭此向导并启动Active Directory域服务安装向导(dcpromo.exe)以继续安装和配置AD。



  7. 单击Next以运行Active Directory域服务安装向导



  8. 查看有关操作系统兼容性的信息,然后单击下一步



  9. 单击“在新林中创建新域”单选按钮,然后单击“下一步”以创建新域。



  10. 输入新域的完整DNS名称(本例中为wireless.com),然后单击Next



  11. 选择域的林功能级别,然后单击“下一步”



  12. 为域选择域功能级别,然后单击下一步



  13. 选中DNS服务器复选框并单击“下一步”



  14. 当出现Active Directory域服务安装向导弹出窗口时,单击是,以便在DNS中为域创建新区域。



  15. 选择希望AD用于文件的文件夹,然后单击“下一步”



  16. 输入管理员密码,然后单击“下一步”



  17. 查看您的选择并单击“下一步”



    安装将继续。

  18. 单击Finish以关闭向导。



  19. 重新启动服务器,使更改生效。

    20.
将Microsoft Windows Version 2008 Server安装并配置为CA服务器

使用EAP-MS-CHAP v2的PEAP根据服务器上存在的证书验证RADIUS服务器。此外,服务器证书必须由客户端计算机信任的公有CA颁发。也就是说,公共CA证书已存在于客户端计算机证书存储区的受信任根证书颁发机构文件夹中。 

要将Microsoft Windows Version 2008服务器配置为向NPS颁发证书的CA服务器,请完成以下步骤:

  1. 导航至开始>服务器管理器>角色> 添加角色





  2. 单击 Next



  3. 选中Active Directory证书服务(Active Directory Certificate Services)复选框,然后单击下一步



  4. 查看Active Directory证书服务简介,然后单击下一步



  5. 选中证书颁发机构复选框并单击下一步



  6. 单击“企业”单选按钮,然后单击“下一步”。



  7. 单击“Root CA(根CA)”单选按钮,然后单击“Next(下一步)”。



  8. 单击“Create a new private key(创建新私钥)”单选按钮,然后单击“Next(下一步)”。



  9. 在“为CA配置加密”窗口中单击下一步。



  10. 单击Next 以接受此CA默认名称的Common name。



  11. 选择CA证书有效的时间长度,然后单击Next



  12. 单击Next以接受证书数据库位置默认位置。



  13. 查看配置并单击Install以开始Active Directory证书服务



  14. 安装完成后,单击Close
    15.
在Microsoft Windows 2008版服务器上安装NPS

注意:在本节中介绍的设置中,NPS用作RADIUS服务器,以便通过PEAP身份验证对无线客户端进行身份验证。 

要在Microsoft Windows Version 2008服务器上安装和配置NPS,请完成以下步骤:

  1. 导航至开始>服务器管理器>角色> 添加角色





  2. 单击 Next



  3. 选中Network Policy and Access Services复选框并单击Next



  4. 查看网络策略和访问服务简介,然后单击下一步



  5. 选中Network Policy Server复选框,然后单击Next



  6. 查看确认信息,然后单击“安装”



    安装完成后,应显示与此类似的屏幕:



  7. 单击 Close
安装证书

要安装NPS的计算机证书,请完成以下步骤:

  1. 单击Start,输入Microsoft Management Console(MMC),然后按Enter

  2. 导航到文件>添加/删除管理单元

  3. 选择Certificates(证书),然后单击Add



  4. 单击“Computer account(计算机帐户)”单选按钮,然后单击“Next(下一步)”。



  5. 单击“Local Computer(本地计算机)”单选按钮,然后单击“Finish(完成)”。



  6. 单击OK以返回MMC。



  7. 展开“Certificates(Local Computer)”和“Personal”文件夹,然后单击“Certificates”。



  8. 右键单击CA证书中的空白区域,然后选择“所有任务”>“请求新证书”



  9. 单击 Next



  10. 单击域控制器复选框,然后单击注册

    注意:如果客户端身份验证因EAP证书错误而失败,请确保在单击Enroll之前,选中此Certificate Enrollment页面的所有复选框。这将创建大约三个证书。




  11. 安装证书后,单击完成



    NPS证书现已安装。

  12. 确保证书的“目标用途”列中显示“客户端身份验证、服务器身份验证”。

为PEAP-MS-CHAP v2身份验证配置网络策略服务器服务

要配置NPS进行身份验证,请完成以下步骤:

  1. 导航至“开始”>“管理工具”>“网络策略服务器”。

  2. 右键单击NPS(本地),然后选择Active Directory中的注册服务器



  3. Click OK.



  4. Click OK.



  5. 将WLC添加为NPS上的身份验证、授权和记帐(AAA)客户端。

  6. 展开RADIUS客户端和服务器。右键单击RADIUS Clients(RADIUS客户端),然后选择New RADIUS Client(新建RADIUS客户端):



  7. 输入名称(本例中为WLC)、WLC的管理IP地址(本例中为10.105.135.178)和共享密钥。

    注意:配置WLC时使用相同的共享密钥。




  8. 单击OK以返回上一个屏幕。



  9. 为无线用户创建新的网络策略。展开Policies,右键单击Network Policies,然后选择New:



  10. 为此规则输入策略名称(本例中为PEAP),然后单击Next



  11. 要将此策略配置为仅允许无线域用户,请添加以下三个条件并单击Next:

    条件 价值
    Windows组 无线\域用户
    NAS端口类型 无线 — IEEE 802.11
    认证类型 EAP



  12. 单击“授予的访问”单选按钮,以授予与此策略匹配的连接尝试,然后单击“下一步”。



  13. 禁用所有不安全的身份验证方法:



  14. 单击Add,选择Microsoft:受保护的EAP(PEAP)EAP类型,然后单击确定以启用PEAP。



  15. 选择Microsoft:受保护的EAP(PEAP),然后单击编辑。确保在Certificate issued下拉列表中选择之前创建的域控制器证书,然后单击Ok



  16. 单击 Next



  17. 单击 Next



  18. 单击 Next



  19. 单击 完成



    注意:根据您的需求,您可能需要在NPS上配置连接请求策略,以允许PEAP配置文件或策略。

将用户添加到 Active Directory

注意:在本例中,用户数据库在AD上维护。 

要将用户添加到AD数据库,请完成以下步骤:

  1. 导航至开始>管理工具> Active Directory用户和计算机

  2. 在Active Directory用户和计算机控制台树中,展开域,右键单击“用户”和“新建”,然后选择“用户”。

  3. 在新建对象 — 用户对话框中,输入无线用户的名称。此示例在“名字”字段中使用Client1,在“用户登录名”字段中使用Client1。单击 Next



  4. 在“新建对象 — 用户”对话框中,在“密码”和“确认密码”字段中输入您选择的密码。取消选中“User must change password at next logon(用户必须在下次登录时更改密码)”复选框,然后单击“Next(下一步)”。



  5. 在“新建对象 — 用户”对话框中,单击“完成”



  6. 重复步骤 2 到步骤 4,以便创建更多用户帐户。

验证

要验证配置,请完成以下步骤:

  1. 在客户端上搜索服务集标识(SSID)。



  2. 确保客户端已成功连接:

故障排除

注意:思科建议您使用跟踪来排除无线问题。跟踪保存在循环缓冲区中,不占用处理器资源。

启用这些跟踪以获取L2身份验证日志:

  • set trace group-wireless-secure level debug
  • set trace group-wireless-secure filter mac 0017.7C2F.B69A

启用这些跟踪以获取dot1X AAA事件:

  • set trace wcm-dot1x aaa level debug
  • set trace wcm-dot1x aaa filter mac 0017.7C2F.B69A

启用这些跟踪以接收DHCP事件:

  • set trace dhcp events level debug
  • set trace dhcp events filter mac 0017.7C2F.B69A

启用这些跟踪以禁用跟踪并清除缓冲区:

  • set trace control sys-filtered-traces clear
  • set trace wcm-dot1x aaa level default
  • set trace wcm-dot1x aaa filter none
  • set trace group-wireless-secure level default
  • set trace group-wireless-secure filter none

输入show trace sys-filtered-traces命令以查看跟踪:

[04/23/14 21:27:51.963 IST 1 8151] 0017.7c2f.b69a Adding mobile on LWAPP AP
 1caa.076f.9e10 (0) 
[04/23/14 21:27:51.963 IST 2 8151] 0017.7c2f.b69a Local Policy:  Created MSCB
 Just AccessVLAN = 0 and SessionTimeout  is 0 and apfMsTimeout is 0 

[04/23/14 21:27:51.963 IST 8 8151] 0017.7c2f.b69a Local Policy:Setting local
 bridging VLAN  name VLAN0020 and VLAN ID  20

[04/23/14 21:27:51.963 IST 9 8151] 0017.7c2f.b69a Applying WLAN ACL policies
 to client
[04/23/14 21:27:51.963 IST a 8151] 0017.7c2f.b69a No Interface ACL used for
 Wireless client in WCM(NGWC)
[04/23/14 21:27:51.963 IST b 8151] 0017.7c2f.b69a Applying site-specific IPv6
 override for station  0017.7c2f.b69a  - vapId 8, site 'test',
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST c 8151] 0017.7c2f.b69a Applying local bridging
 Interface Policy for station  0017.7c2f.b69a  - vlan 20,
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST d 8151] 0017.7c2f.b69a
 **** Inside applyLocalProfilingPolicyAction **** 

04/23/14 21:27:51.963 IST f 8151] 0017.7c2f.b69a     Local Profiling Values :
 isValidVlan = 0, vlan = 0, isVlanRecdInDelete = 0, isValidSessionTimeout = 0,
 sessionTimeout=0, isSessionTORecdInDelete = 0  ProtocolMap = 0 ,
 applyPolicyAtRun= 0 
[04/23/14 21:27:51.963 IST 10 8151] 0017.7c2f.b69a          ipv4ACL = [],
 ipv6ACL = [], inQoS = [unknown], outQoS = [unknown]
[04/23/14 21:27:51.963 IST 11 8151] 0017.7c2f.b69a STA - rates (4):
 130 132 139 150 0 0 0 0 0 0 0 0 0 0 0 0
[04/23/14 21:27:51.963 IST 12 8151] 0017.7c2f.b69a STA - rates (12):
 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
[04/23/14 21:27:51.963 IST 13 8151] 0017.7c2f.b69a Processing RSN IE type 48,
 length 20 for mobile  0017.7c2f.b69a 
[04/23/14 21:27:51.963 IST 14 8151] 0017.7c2f.b69a Received RSN IE with 0 
 PMKIDsfrom mobile  0017.7c2f.b69a 


[04/23/14 21:27:51.964 IST 1b 8151] 0017.7c2f.b69a Change state to AUTHCHECK
 (2) last state START (0)

[04/23/14 21:27:51.964 IST 1c 8151] 0017.7c2f.b69a Change state to 8021X_REQD
 (3) last state AUTHCHECK (2)


[04/23/14 21:27:51.964 IST 25 8151] 0017.7c2f.b69a apfProcessAssocReq
 (apf_80211.c:6272) Changing state for mobile  0017.7c2f.b69a  on AP
 1caa.076f.9e10  from Associated to Associated

[04/23/14 21:27:51.971 IST 26 8151] 0017.7c2f.b69a 1XA: Initiating
 authentication
[04/23/14 21:27:51.971 IST 27 8151] 0017.7c2f.b69a 1XA: Setting reauth
 timeout to 1800 seconds
[04/23/14 21:27:51.971 IST 28 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 0

[04/23/14 21:27:51.971 IST 29 8151] 0017.7c2f.b69a 1XA: Allocated uid 40
[04/23/14 21:27:51.971 IST 2a 8151] 0017.7c2f.b69a 1XA: Calling Auth Mgr
 to authenticate client 4975000000003e uid 40
[04/23/14 21:27:51.971 IST 2b 8151] 0017.7c2f.b69a 1XA: Session Start from
 wireless client 

[04/23/14 21:27:51.971 IST 2c 8151] 0017.7c2f.b69a Session Manager Call Client
 4975000000003e, uid 40, capwap id 7ae8c000000013,Flag 0, Audit-Session ID
 0a6987b25357e2ff00000028, method list Microsoft_NPS, policy name (null) 

[04/23/14 21:27:51.971 IST 2d 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3] Session start request from Client[1] for 0017.7c2f.b69a
 (method: Dot1X, method list: Microsoft_NPS, aaa id: 0x00000028),  policy 
[04/23/14 21:27:51.971 IST 2e 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3]  - client iif_id: 4975000000003E, session ID:
 0a6987b25357e2ff00000028 for 0017.7c2f.b69a


[04/23/14 21:27:51.972 IST 43 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting !EAP_RESTART on Client 0x22000025
[04/23/14 21:27:51.972 IST 44 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:enter connecting state
[04/23/14 21:27:51.972 IST 45 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: restart connecting
[04/23/14 21:27:51.972 IST 46 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting RX_REQ on Client 0x22000025
[04/23/14 21:27:51.972 IST 47 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: authenticating state entered
[04/23/14 21:27:51.972 IST 48 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:connecting authenticating action
[04/23/14 21:27:51.972 IST 49 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting AUTH_START for 0x22000025
[04/23/14 21:27:51.972 IST 4a 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:entering request state
[04/23/14 21:27:51.972 IST 4b 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending EAPOL packet
[04/23/14 21:27:51.972 IST 4c 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Platform changed src mac  of EAPOL packet
[04/23/14 21:27:51.972 IST 4d 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending out EAPOL packet
[04/23/14 21:27:51.972 IST 4e 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] EAPOL packet sent to client 0x22000025


[04/23/14 21:27:52.112 IST 7d 211] Parsed CLID MAC Address = 0:23:124:47:182:154
[04/23/14 21:27:52.112 IST 7e 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:52.112 IST 7f 211] AAA SRV(00000000): Authen method=SERVER_GROUP
 Microsoft_NPS
[04/23/14 21:27:52.112 IST 80 211] AAA SRV(00000000): Selecting SG = DIAMETER
[04/23/14 21:27:52.113 IST 81 186] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Queuing an EAPOL pkt on Authenticator Q
[04/23/14 21:27:52.113 IST 82 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting EAPOL_EAP for 0x22000025
[04/23/14 21:27:52.278 IST 83 220] AAA SRV(00000000): protocol reply
 GET_CHALLENGE_RESPONSE for Authentication
[04/23/14 21:27:52.278 IST 84 220] AAA SRV(00000000): Return Authentication
 status=GET_CHALLENGE_RESPONSE
[04/23/14 21:27:52.278 IST 85 291] ACCESS-METHOD-DOT1X-DEB:[0017.7c2f.b69a,Ca3]
 Posting EAP_REQ for 0x22000025

以下是EAP输出的其余部分:

[04/23/14 21:27:54.690 IST 12b 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:54.690 IST 12c 211] AAA SRV(00000000): Authen
 method=SERVER_GROUP Microsoft_NPS
[04/23/14 21:27:54.690 IST 12d 211] AAA SRV(00000000): Selecting SG =
 DIAMETER
[04/23/14 21:27:54.694 IST 12e 220] AAA SRV(00000000): protocol reply PASS
 for Authentication
[04/23/14 21:27:54.694 IST 12f 220] AAA SRV(00000000): Return Authentication
 status=PASS
[04/23/14 21:27:54.694 IST 130 189] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Received an EAP Success


[04/23/14 21:27:54.695 IST 186 8151] 0017.7c2f.b69a Starting key exchange with
 mobile - data forwarding is disabled
[04/23/14 21:27:54.695 IST 187 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.706 IST 188 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 121) from mobile
[04/23/14 21:27:54.706 IST 189 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile
[04/23/14 21:27:54.706 IST 18a 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTK_START state (msg 2) from mobile
[04/23/14 21:27:54.706 IST 18b 8151] 0017.7c2f.b69a 1XK: Stopping retransmission
 timer
[04/23/14 21:27:54.706 IST 18c 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.717 IST 18d 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 99) from mobile
[04/23/14 21:27:54.717 IST 18e 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile
[04/23/14 21:27:54.717 IST 18f 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTKINITNEGOTIATING state (msg 4) from mobile
[04/23/14 21:27:54.717 IST 190 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 1

[04/23/14 21:27:54.717 IST 191 8151] 0017.7c2f.b69a 1XK: Key exchange complete
 - updating PEM
[04/23/14 21:27:54.717 IST 192 8151] 0017.7c2f.b69a apfMs1xStateInc
[04/23/14 21:27:54.717 IST 193 8151] 0017.7c2f.b69a Change state to
 L2AUTHCOMPLETE (4) last state 8021X_REQD (3)


[04/23/14 21:27:58.277 IST 1df 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:27:58.277 IST 1e0 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:28:05.279 IST 1e1 269] DHCPD: Adding binding to hash tree
[04/23/14 21:28:05.279 IST 1e2 269] DHCPD: DHCPOFFER notify setup address
20.20.20.5 mask 255.255.255.0


[04/23/14 21:28:05.306 IST 1f4 8151] 0017.7c2f.b69a Change state to RUN (20)
 last state DHCP_REQD (7)
TAC Authored

由思科工程师提供

  • Surendra BG
    Cisco TAC Engineer

此文档是否有帮助?

Feedback反馈

联系我们