增加无线局域网控制器上的Web身份验证超时

简介

本文档提供网络身份验证服务集标识符(SSID)允许VPN用户访问而不进行完全身份验证且每隔几分钟不断开连接所需的步骤。为了达到此目的，用户必须增加无线局域网控制器(WLC)上的Web身份验证（Web身份验证）超时。

先决条件

要求

思科建议您了解如何配置WLC以执行基本操作和网络身份验证。

使用的组件

本文档中的信息基于运行固件版本8.0.100.0的Cisco 5500系列WLC。

注意本文档中的配置和网络身份验证说明适用于所有WLC型号和任何思科统一无线网络映像8.0.100.0版及更高版本。

背景信息

在许多客户网络设置中，有一些设置允许一组公司用户或访客VPN访问特定IP地址，而无需通过网络身份验证安全。这些用户接收IP地址并直接连接到VPN，无需任何凭证即可通过网络身份验证安全进行身份验证。此SSID可能由另一组用户使用，这些用户也通过正常和完全的Web身份验证来获取Internet访问。此方案可通过在SSID上配置的预身份验证ACL实现，该ACL允许用户在VPN IP地址通过身份验证之前连接到它们。这些VPN用户的问题是他们选择IP地址，但永远无法完成完整的网络身份验证。因此，网络身份验证超时计时器被激活，客户端被取消身份验证：

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
 Web-Auth Policy timeout

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
 Pem timed out, Try to delete client in 10 secs.

此超时值为5分钟，在早于7.6的WLC版本中具有固定值。此短超时持续时间导致无线网络几乎无法用于此类用户。WLC版本8.0中增加了更改此值的功能，允许用户通过预身份验证ACL允许的流量访问VPN。

配置

注意：使用命令查找工具（仅限注册用户）可获取有关本部分所使用命令的详细信息。

要增加WLC上的Web身份验证超时，请完成以下步骤：

1. 创建允许流量到VPN IP地址的ACL。

   

2. 在第3层安全下的无线LAN(WLAN)配置上应用ACL作为预验证ACL。

   

3. 通过CLI登录并输入config wlan security web-auth timeout命令以增加Web-auth超时值：

   (WLC)>config wlan security web-auth timeout ?
   <value> Configures Web authentication Timeout (300-14400 seconds).
   
   (WLC)>config wlan security web-auth timeout 3600 
          
          

验证

使用本部分可确认配置能否正常运行。

您的WLAN的Web身份验证会话超时值显示如下示例输出所示：

(WLC)>show wlan 10
Web Based Authentication...................... Enabled
 Web Authentication Timeout.................... 3600

故障排除

本部分提供的信息可用于对配置进行故障排除。

输入debug client <mac-address>命令，以查看未进行身份验证而连接到VPN的用户的Web身份验证计时器开始。