在Catalyst 9800 WLC上配置本地EAP身份验证

下载选项

  • PDF     (698.2 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (423.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (460.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 8 月 2 日
文档 ID:215026

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在Catalyst 9800 WLC(无线LAN控制器)上配置本地EAP。

    先决条件

    要求

    本文档介绍在Catalyst 9800 WLC上配置本地EAP(可扩展身份验证协议);即WLC作为无线客户端的RADIUS身份验证服务器执行。

    本文档假定您熟悉9800 WLC上的WLAN基本配置,并仅重点介绍WLC作为无线客户端的本地EAP服务器运行。

    使用的组件

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    Catalyst 9800版本17.3.6

    配置

    网络图

    网络拓扑

    主要本地EAP配置

    步骤1:本地EAP配置文件

    转到9800 Web UI中的Configuration > Security > Local EAP

    本地EAP配置文件

    选择添加

    输入配置文件名称。

    由于安全性较差,不建议使用LEAP。其他3种EAP方法中的任何一种都需要您配置信任点。这是因为,作为身份验证器的9800必须发送证书,以便客户端信任它。

    客户端不信任WLC默认证书,因此您需要停用客户端上的服务器证书验证(不建议),或在9800 WLC上安装客户端信任的证书信任点(或手动将其导入客户端信任库中)。

    创建本地EAP配置文件

    CLI:

    (config)#eap profile mylocapeap
(config-eap-profile)#method peap
(config-eap-profile)#pki-trustpoint admincert

    第二步:AAA身份验证方法

    您需要配置一个也指向本地的AAA dot1x方法,以便使用用户的本地数据库(但您可以使用外部LDAP查找)。

    转到Configuration > Security > AAA,然后转到AAA method list选项卡进行身份验证。选择添加

    选择“dot1x”类型和本地组类型。

    配置AAA方法

    第三步:配置AAA授权方法

    转到Authorization子选项卡,为类型credential-download创建新方法,并将其指向本地。

    网络授权类型执行相同操作

    CLI:

    (config)#aaa new-model
(config)#aaa authentication dot1x default local
    (config)#aaa authorization credential-download default local 
    (config)#aaa local authentication default authorization default
    (config)#aaa authorization network default local

    第四步:配置本地高级方法

    转到AAA advanced选项卡。

    定义本地身份验证和授权方法。由于本示例使用了“默认”凭证下载和“默认”dot1x方法,您需要在此处为本地身份验证和授权下拉框设置默认值。

    如果定义了命名方法,请在下拉列表中选择“method list”,另一个字段允许您输入方法名称。

    配置AAA高级设置

    CLI:

    aaa local authentication default authorization default

    第五步:配置WLAN

    然后,您可以根据上一步中定义的本地EAP配置文件和AAA身份验证方法配置WLAN的802.1x安全性。

    转至Configuration > Tags and Profiles > WLANs > + Add >

    提供SSID和配置文件名称。

    默认情况下,在第2层下选择Dot1x security。 

    在AAA下,选择Local EAP Authentication,然后从下拉列表中选择Local EAP profile和AAA Authentication list。

    13.08.16处的屏幕截图2019-10-30

    WLAN的AAA设置

    (config)#wlan localpeapssid 1 localpeapssid
(config-wlan)#security dot1x authentication-list default
(config-wlan)#local-auth mylocaleap

    第六步:创建一个或多个用户

    在CLI中,用户必须是network-user类型。以下是在CLI中创建的示例用户:

    (config)#user-name 1xuser
 creation-time 1572730075
 description 1xuser
 password 0 Cisco123
 type network-user description 1xuser

    在CLI中创建后,此用户将显示在Web UI中,但如果创建在Web UI中,则从16.12开始,没有方法可将其设为network-user

    步骤 7.创建策略配置文件。创建策略标记以将此WLAN配置文件映射到策略配置文件

    转至Configuration > Tags and profiles > Policy

    为您的WLAN创建策略配置文件。

    此示例显示了flexconnect本地交换,但vlan 1468上采用集中身份验证方案,但这取决于您的网络。

    策略配置文件配置

    转至Configuration> Tags and profiles > Tags

    将您的WLAN分配到标签内的策略配置文件。

    配置标记

    步骤 8将策略标记部署到接入点。

    在这种情况下,对于单个AP,您可以直接在AP上分配标签。

    转至Configuration > Wireless >Access points,然后选择要配置的AP。

    确保分配的标签是您配置的标签。

    验证

    主要配置行如下所示:

    aaa new-model
aaa authentication dot1x default local
aaa authorization credential-download default local
aaa local authentication default authorization default
eap profile mylocaleap
method peap
pki-trustpoint admincert
user-name 1xuser
creation-time 1572730075 description 1xuser
password 0 Cisco123
type network-user description 1xuser
wlan ndarchis_leap 1 ndarchis_leap
local-auth mylocaleap
security dot1x authentication-list default
no shutdown

    故障排除

    请注意,Cisco IOS® XE 16.12及更早版本仅支持TLS 1.0用于本地eap身份验证,如果您的客户端越来越支持标准TLS 1.2,则可能导致问题。Cisco IOS® XE 17.1及更高版本支持TLS 1.2和TLS 1.0。

    要对连接有故障的特定客户端进行故障排除,请使用RadioActive Tracing。转到Troubleshooting > RadioActive Trace并添加客户端MAC地址。

    选择Start以启用该客户端的跟踪。

    收集放射性痕迹

    重现问题后,可以选择Generate按钮以生成包含调试输出的文件。

    由于密码错误而无法连接的客户端示例

    2019/10/30 14:54:00.781 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 8, EAP-Type = EAP-FAST
2019/10/30 14:54:00.781 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x5 
2019/10/30 14:54:00.784 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 204, EAP-Type = EAP-FAST
2019/10/30 14:54:00.784 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x5 
2019/10/30 14:54:00.785 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.788 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 85, EAP-Type = EAP-FAST
2019/10/30 14:54:00.788 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x6 
2019/10/30 14:54:00.791 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 6, EAP-Type = EAP-FAST
2019/10/30 14:54:00.791 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x6 
2019/10/30 14:54:00.791 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.792 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 59, EAP-Type = EAP-FAST
2019/10/30 14:54:00.792 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x7 
2019/10/30 14:54:00.795 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 75, EAP-Type = EAP-FAST
2019/10/30 14:54:00.795 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x7 
2019/10/30 14:54:00.795 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.796 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 91, EAP-Type = EAP-FAST
2019/10/30 14:54:00.796 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x8 
2019/10/30 14:54:00.804 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 123, EAP-Type = EAP-FAST
2019/10/30 14:54:00.804 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x8 
2019/10/30 14:54:00.804 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.805 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 139, EAP-Type = EAP-FAST
2019/10/30 14:54:00.805 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0x9 
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 75, EAP-Type = EAP-FAST
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0x9 
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [eap] [23294]: (info): FAST:EAP_FAIL from inner method MSCHAPV2
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 59, EAP-Type = EAP-FAST
2019/10/30 14:54:00.808 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - REQUEST, ID : 0xa 
2019/10/30 14:54:00.811 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 59, EAP-Type = EAP-FAST
2019/10/30 14:54:00.811 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] EAP Packet - RESPONSE, ID : 0xa 
2019/10/30 14:54:00.811 {wncd_x_R0-0}{2}: [caaa-authen] [23294]: (info): [CAAA:AUTHEN:66000006] DEBUG: mlist=(null) for type=0
2019/10/30 14:54:00.812 {wncd_x_R0-0}{2}: [eap-auth] [23294]: (info): FAIL for EAP method name: EAP-FAST on handle 0xBD000006
2019/10/30 14:54:00.812 {wncd_x_R0-0}{2}: [dot1x] [23294]: (info): [e836.171f.a162:capwap_90000004] Raised identity update event for eap method EAP-FAST
2019/10/30 14:54:00.813 {wncd_x_R0-0}{2}: [errmsg] [23294]: (note): %DOT1X-5-FAIL: Authentication failed for client (e836.171f.a162) with reason (Cred Fail) on Interface capwap_90000004 AuditSessionID 00000000000000101D28423A Username: fakeuser
2019/10/30 14:54:00.813 {wncd_x_R0-0}{2}: [auth-mgr] [23294]: (info): [e836.171f.a162:capwap_90000004] Authc failure from Dot1X, Auth event fail

    修订历史记录

    版本 发布日期 备注
    2.0
    02-Aug-2024
    次要更新
    1.0
    14-Sep-2021
    初始版本
    TAC Authored

    由思科工程师提供

    • 尼古拉斯·达尔奇斯
      思科TAC

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品