使用Microsoft NPS的5760/3850系列WLC PEAP身份驗證配置示例

下載選項

  • PDF     (4.2 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (3.8 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (4.1 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2014 年 5 月 2 日
文件 ID:117684

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本檔案介紹如何在以Microsoft網路原則伺服器(NPS)作為RADIUS伺服器的思科融合存取無線LAN(WLAN)部署上,使用Microsoft詢問握手驗證通訊協定版本2(MS-CHAP v2)驗證設定受保護的可擴充驗證通訊協定(PEAP)。

必要條件

需求

思科建議您在嘗試本檔案所述的設定之前,先瞭解以下主題:

  • Microsoft Windows 2008版基本安裝
  • Cisco融合接入WLAN控制器安裝

嘗試此組態之前,請確保符合以下要求:

  • 在測試實驗室中的每台伺服器上安裝Microsoft Windows Server 2008版作業系統(OS)。
  • 更新所有Service Pack。
  • 安裝控制器和輕量型存取點(LAP)。
  • 配置最新的軟體更新。

附註:有關Cisco融合接入WLAN控制器的初始安裝和配置資訊,請參閱CT5760控制器和Catalyst 3850交換機配置示例Cisco文章。

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • Cisco 5760系列WLAN控制器版本3.3.2(下一代配線間(NGWC))
  • Cisco 3602系列LAP
  • Microsoft Windows XP與英特爾PROset請求方
  • 運行具有域控制器角色的NPS的Microsoft Windows版本2008伺服器
  • Cisco Catalyst 3560系列交換器

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

背景資訊

PEAP使用傳輸級安全(TLS)在身份驗證PEAP客戶端(例如無線筆記型電腦)和PEAP身份驗證器(例如Microsoft NPS或任何RADIUS伺服器)之間建立加密通道。PEAP不指定身份驗證方法,但為其他可擴展身份驗證協定(EAP)提供額外的安全性,例如EAP-MS-CHAP v2,這些協定可以通過PEAP提供的TLS加密通道運行。PEAP身份驗證過程包括兩個主要階段。

PEAP第一階段:TLS加密通道

無線客戶端與接入點(AP)關聯。 基於IEEE 802.11的關聯在客戶端和AP之間建立安全關聯之前提供開放系統或共用金鑰身份驗證。在客戶端和AP之間成功建立基於IEEE 802.11的關聯後,與AP協商TLS會話。

在無線客戶端和NPS之間的身份驗證成功完成後,客戶端和NPS之間會協商TLS會話。在此交涉中匯出的金鑰用於加密所有後續通訊。

PEAP第二階段:EAP驗證通訊

EAP通訊(包括EAP協商)在PEAP身份驗證過程的第一階段內由PEAP建立的TLS通道內發生。NPS使用EAP-MS-CHAP v2對無線客戶端進行身份驗證。LAP和控制器僅在無線客戶端和RADIUS伺服器之間轉發消息。WLAN控制器(WLC)和LAP無法解密消息,因為WLC不是TLS端點。

以下是成功驗證嘗試的RADIUS訊息序列,其中使用者提供具有PEAP-MS-CHAP v2的有效密碼型憑證:

  1. NPS向客戶端傳送身份請求消息:

    EAP-Request/Identity
  2. 客戶端以身份響應消息進行響應:

    EAP-Response/Identity
  3. NPS傳送MS-CHAP v2質詢消息:

    EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge)
  4. 客戶端使用MS-CHAP v2質詢和響應進行響應:

    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response)
  5. 當伺服器成功驗證客戶端時,NPS將使用MS-CHAP v2成功資料包進行響應:

    EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Success)
  6. 當客戶端成功驗證伺服器時,客戶端會使用MS-CHAP v2成功資料包進行響應:

    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success)
  7. NPS傳送一個EAP型別長度值(TLV),表示身份驗證成功。

  8. 客戶端以EAP-TLV狀態成功消息進行響應。

  9. 伺服器完成身份驗證並以純文字檔案形式傳送EAP-Success消息。如果為客戶端隔離部署了VLAN,則此消息中會包含VLAN屬性。

設定

使用本節內容,可以在以Microsoft NPS作為RADIUS伺服器的思科融合接入WLC部署上使用MS-CHAP v2身份驗證配置PEAP。

網路圖表

在本示例中,Microsoft Windows Version 2008伺服器執行以下角色:

  • wireless.com域的域控制
  • 網域名稱系統(DNS)伺服器
  • 證書頒發機構(CA)伺服器
  • NPS,用於對無線使用者進行身份驗證
  • Active Directory(AD)以維護使用者資料庫

伺服器透過第2層(L2)交換器連線到有線網路,如圖所示。WLC和註冊的LAP也透過L2交換器連線到網路。

無線客戶端使用Wi-Fi保護訪問2(WPA2)- PEAP-MS-CHAP v2身份驗證連線到無線網路。

組態

本節所述的設定可通過兩個步驟完成:

  1. 使用CLI或GUI設定5760/3850系列WLC。

  2. 為AD上的NPS、域控制器和使用者帳戶配置Microsoft Windows Version 2008伺服器。

使用CLI配置融合接入WLC

完成以下步驟,為所需的使用者端VLAN設定WLAN,並使用CLI將其對應到驗證方法清單:

附註:確保WLC上啟用了dot1x system auth control,否則dot1X無法正常工作。

  1. 啟用AAA新模型功能。

  2. 設定RADIUS伺服器。

  3. 將伺服器新增到伺服器組。

  4. 將伺服器組對映到方法清單。

  5. 將方法清單對映到WLAN。
aaa new-model
  !
  !
  aaa group server radius Microsoft_NPS
   server name Microsoft_NPS
  !
aaa authentication dot1x Microsoft_NPS group Microsoft_NPS
aaa authorization network Microsoft_NPS group Microsoft_NPS
  radius server Microsoft_NPS
   address ipv4 10.104.208.96 auth-port 1645 acct-port 1646
   timeout 10
   retransmit 10
 key Cisco123
wlan Microsoft_NPS 8 Microsoft_NPS
   client vlan VLAN0020
   no exclusionlist
   security dot1x authentication-list Microsoft_NPS
   session-timeout 1800
 no shutdown

使用GUI配置融合接入WLC

完成以下步驟,以便使用GUI設定融合存取WLC:

  1. 啟用dot1x system-auth-control:



  2. 導覽至Configuration > Security > AAA以新增RADIUS伺服器:



  3. 導覽至RADIUS > Servers,按一下NEW,然後更新RADIUS伺服器的IP位址以及共用密碼。共用金鑰應該與RADIUS伺服器上設定的共用金鑰相符。



    設定RADIUS伺服器後,「伺服器」索引標籤應顯示類似以下內容:



  4. 配置伺服器組,並為組型別選擇Radius。然後,新增在上一步中建立的RADIUS伺服器:



    配置後,伺服器組應顯示類似以下內容:



  5. 選擇dot1x作為Authentication Method List Type和Group作為Group Type。然後,對映在上一步中配置的伺服器組:



    配置後,身份驗證方法清單應顯示類似以下內容:



  6. 選擇Network作為Authorization Method List Type和Group作為Group Type。然後,對映在上一步中配置的伺服器組:



    配置後,授權方法清單應顯示類似以下內容:



  7. 導覽至Configure > Wireless,然後按一下WLAN索引標籤。配置一個新的WLAN,使用者可以連線到該WLAN並通過採用EAP身份驗證的Microsoft NPS伺服器進行身份驗證:



    配置後,安全L2頁籤應顯示類似以下內容:



  8. 對映您在以上步驟中配置的方法清單。這有助於向正確的伺服器驗證客戶端。

Microsoft Windows Version 2008 Server上的配置

本節介紹Microsoft Windows Version 2008伺服器的完整配置。此配置分六個步驟完成:

  1. 將伺服器配置為域控制器。

  2. 安裝伺服器並將其配置為CA伺服器。

  3. 安裝NPS。

  4. 安裝證書。

  5. 配置NPS進行PEAP身份驗證。

  6. 將使用者新增到AD。
將Microsoft Windows 2008 Server配置為域控制器

完成以下步驟,將Microsoft Windows Version 2008伺服器配置為域控制器:

  1. 導航到開始 > Server Manager > Roles > Add Roles





  2. 按「Next」(下一步)。



  3. 選中Active Directory域服務覈取方塊,然後按一下下一步



  4. 檢視Active Directory域服務簡介,然後按一下下一步



  5. 按一下「Install」以開始安裝過程。



    安裝繼續並完成。

  6. 按一下關閉此嚮導並啟動Active Directory域服務安裝嚮導(dcpromo.exe),以繼續安裝和配置AD。



  7. 按一下下一步以運行Active Directory域服務安裝嚮導



  8. 檢視有關作業系統相容性的資訊,然後按一下下一步



  9. 按一下在新林中建立新域單選按鈕,然後按一下下一步以建立新域。



  10. 輸入新域的完整DNS名稱(在本例中為wireless.com),然後按一下Next



  11. 選擇域的林功能級別,然後按一下下一步



  12. 選擇域的域功能級別,然後按一下下一步



  13. 選中DNS server覈取方塊,然後按一下Next



  14. 出現「Active Directory Domain Services Installation Wizard」彈出視窗時,按一下Yes,以便在DNS中為域建立新區域。



  15. 選擇希望AD用於檔案的資料夾,然後按一下下一步



  16. 輸入管理員密碼,然後按一下下一步



  17. 檢視您的選擇,然後按一下下一步



    安裝繼續進行。

  18. 按一下完成關閉嚮導。



  19. 重新啟動伺服器以使更改生效。

安裝並配置Microsoft Windows Version 2008 Server作為CA伺服器

使用EAP-MS-CHAP v2的PEAP根據伺服器上存在的證書驗證RADIUS伺服器。此外,伺服器證書必須由客戶端電腦信任的公共CA頒發。也就是說,公共CA證書已存在於客戶端電腦證書儲存上的受信任的根證書頒發機構資料夾中。 

完成以下步驟,將Microsoft Windows Version 2008伺服器配置為向NPS頒發證書的CA伺服器:

  1. 導航到開始 > Server Manager > Roles > Add Roles





  2. 按「Next」(下一步)。



  3. 選中Active Directory Certificate Services覈取方塊,然後按一下Next



  4. 檢視Active Directory證書服務簡介,然後按一下下一步



  5. 選中Certificate Authority覈取方塊,然後按一下Next



  6. 按一下Enterprise單選按鈕,然後按一下Next



  7. 按一下根CA單選按鈕,然後按一下下一步



  8. 按一下Create a new private key單選按鈕,然後按一下Next



  9. Configuring Cryptography for CA視窗中按一下Next



  10. 按一下「Next」以接受此CA預設名稱的公用名稱。



  11. 選擇CA證書有效的時間長度,然後按一下下一步



  12. 按一下Next以接受Certificate database location預設位置。



  13. 檢查配置並按一下安裝以開始Active Directory證書服務



  14. 安裝完成後,按一下「Close」。
在Microsoft Windows Version 2008 Server上安裝NPS

附註:通過本節所述的設定,NPS用作RADIUS伺服器,以便使用PEAP身份驗證對無線客戶端進行身份驗證。 

完成以下步驟,以便在Microsoft Windows Version 2008伺服器上安裝和配置NPS:

  1. 導航到開始 > Server Manager > Roles > Add Roles





  2. 按「Next」(下一步)。



  3. 選中Network Policy and Access Services覈取方塊,然後按一下Next



  4. 檢視Introduction to Network Policy and Access Services,然後按一下Next



  5. 選中Network Policy Server覈取方塊,然後按一下Next



  6. 檢視確認資訊,然後按一下安裝



    安裝完成後,將出現一個類似以下的螢幕:



  7. 按一下「Close」。
安裝證書

要安裝NPS的電腦證書,請完成以下步驟:

  1. 按一下Start,輸入Microsoft Management Console(MMC),然後按Enter

  2. 導航到檔案> 新增/刪除管理單元

  3. 選擇「Certificates」,然後按一下「Add」。



  4. 按一下Computer account單選按鈕,然後按一下Next



  5. 按一下Local Computer單選按鈕,然後按一下Finish



  6. 按一下OK以返回到MMC。



  7. 展開Certificates(Local Computer)Personal資料夾,然後按一下Certificates



  8. 按一下右鍵CA證書中的空白,然後選擇所有任務 >請求新證書



  9. 按「Next」(下一步)。



  10. 按一下Domain Controller覈取方塊,然後按一下Enroll

    附註:如果客戶端身份驗證由於EAP證書錯誤而失敗,則在按一下Enroll之前,請確保此Certificate Enrollment頁面上選中了所有覈取方塊。這會產生大約三個憑證。




  11. 安裝憑證後,按一下Finish



    NPS證書現在已安裝。

  12. 確保Client Authentication, Server Authentication出現在證書的「目標用途」列中。

為PEAP-MS-CHAP v2身份驗證配置網路策略伺服器服務

完成以下步驟,配置NPS進行身份驗證:

  1. 導覽至Start> Administrative Tools > Network Policy Server

  2. 按一下右鍵NPS(本地),然後選擇Register server in Active Directory



  3. 按一下「OK」(確定)。



  4. 按一下「OK」(確定)。



  5. 將WLC新增為NPS上的驗證、授權和記帳(AAA)使用者端。

  6. 展開RADIUS客戶端和伺服器。按一下右鍵RADIUS Clients,然後選擇New RADIUS Client:



  7. 輸入名稱(此範例中為WLC)、WLC的管理IP位址(此範例中為10.105.135.178)和共用密碼。

    附註:使用相同的共用金鑰設定WLC。




  8. 按一下「OK」以返回上一個畫面。



  9. 為無線使用者建立新的網路策略。展開Policies,按一下右鍵Network Policies,然後選擇New:



  10. 輸入此規則的策略名稱(本示例中的PEAP),然後按一下Next



  11. 若要將此策略配置為僅允許無線域使用者,請新增以下三個條件,然後按一下下一步:

    條件 價值
    Windows組 無線\域使用者
    NAS埠型別 無線 — IEEE 802.11
    驗證型別 EAP



  12. 按一下Access granted單選按鈕以授予與此策略匹配的連線嘗試,然後按一下Next



  13. 禁用所有不安全的身份驗證方法:



  14. 按一下Add,選擇Microsoft:受保護的EAP(PEAP)EAP型別,然後按一下OK以啟用PEAP。



  15. 選擇Microsoft:受保護的EAP(PEAP),然後點選編輯。確保在Certificate issued下拉選單中選中先前建立的域控制器證書,然後按一下Ok



  16. 按「Next」(下一步)。



  17. 按「Next」(下一步)。



  18. 按「Next」(下一步)。



  19. 按一下「Finish」(結束)。



    附註:根據需要,您可能需要在NPS上配置連線請求策略,以便允許PEAP配置檔案或策略。

將使用者新增到Active Directory

附註:在本示例中,使用者資料庫在AD上維護。 

完成以下步驟,以便向AD資料庫新增使用者:

  1. 導覽至開始 > 管理工具 > Active Directory使用者和電腦

  2. 在「Active Directory使用者和電腦」控制檯樹中,展開域,按一下右鍵UsersNew,然後選擇User

  3. 在新對象 — 使用者對話方塊中,輸入無線使用者的名稱。此示例在First Name欄位中使用Client1,在User logon name欄位中使用Client1。按「Next」(下一步)。



  4. 在「新建對象 — 使用者」對話方塊中,在「密碼」和「確認密碼」欄位中輸入您選擇的密碼。取消選中User must change password at next logon覈取方塊,然後按一下Next



  5. 在「新建對象 — 使用者」對話方塊中,按一下完成



  6. 重複步驟2至4以建立其他使用者帳戶。

驗證

完成以下步驟以驗證您的設定:

  1. 在客戶端電腦上搜尋服務集標識(SSID)。



  2. 確保客戶端成功連線:

疑難排解

附註:思科建議您使用追蹤來排解無線問題。跟蹤儲存在循環緩衝區中,不佔用大量處理器。

啟用這些追蹤以取得L2驗證日誌:

  • set trace group-wireless-secure level debug
  • set trace group-wireless-secure filter mac 0017.7C2F.B69A

啟用這些跟蹤以獲取dot1X AAA事件:

  • set trace wcm-dot1x aaa level debug
  • set trace wcm-dot1x aaa filter mac 0017.7C2F.B69A

啟用這些跟蹤以接收DHCP事件:

  • set trace dhcp events level debug
  • set trace dhcp events filter mac 0017.7C2F.B69A

啟用這些追蹤以停用追蹤並清除緩衝區:

  • set trace control sys-filtered-trace clear
  • set trace wcm-dot1x aaa level default
  • set trace wcm-dot1x aaa filter none
  • set trace group-wireless-secure level default
  • set trace group-wireless-secure filter none

輸入show trace sys-filtered-traces命令以檢視跟蹤:

[04/23/14 21:27:51.963 IST 1 8151] 0017.7c2f.b69a Adding mobile on LWAPP AP
 1caa.076f.9e10 (0) 
[04/23/14 21:27:51.963 IST 2 8151] 0017.7c2f.b69a Local Policy:  Created MSCB
 Just AccessVLAN = 0 and SessionTimeout  is 0 and apfMsTimeout is 0 

[04/23/14 21:27:51.963 IST 8 8151] 0017.7c2f.b69a Local Policy:Setting local
 bridging VLAN  name VLAN0020 and VLAN ID  20

[04/23/14 21:27:51.963 IST 9 8151] 0017.7c2f.b69a Applying WLAN ACL policies
 to client
[04/23/14 21:27:51.963 IST a 8151] 0017.7c2f.b69a No Interface ACL used for
 Wireless client in WCM(NGWC)
[04/23/14 21:27:51.963 IST b 8151] 0017.7c2f.b69a Applying site-specific IPv6
 override for station  0017.7c2f.b69a  - vapId 8, site 'test',
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST c 8151] 0017.7c2f.b69a Applying local bridging
 Interface Policy for station  0017.7c2f.b69a  - vlan 20,
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST d 8151] 0017.7c2f.b69a
 **** Inside applyLocalProfilingPolicyAction **** 

04/23/14 21:27:51.963 IST f 8151] 0017.7c2f.b69a     Local Profiling Values :
 isValidVlan = 0, vlan = 0, isVlanRecdInDelete = 0, isValidSessionTimeout = 0,
 sessionTimeout=0, isSessionTORecdInDelete = 0  ProtocolMap = 0 ,
 applyPolicyAtRun= 0 
[04/23/14 21:27:51.963 IST 10 8151] 0017.7c2f.b69a          ipv4ACL = [],
 ipv6ACL = [], inQoS = [unknown], outQoS = [unknown]
[04/23/14 21:27:51.963 IST 11 8151] 0017.7c2f.b69a STA - rates (4):
 130 132 139 150 0 0 0 0 0 0 0 0 0 0 0 0
[04/23/14 21:27:51.963 IST 12 8151] 0017.7c2f.b69a STA - rates (12):
 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
[04/23/14 21:27:51.963 IST 13 8151] 0017.7c2f.b69a Processing RSN IE type 48,
 length 20 for mobile  0017.7c2f.b69a 
[04/23/14 21:27:51.963 IST 14 8151] 0017.7c2f.b69a Received RSN IE with 0 
 PMKIDsfrom mobile  0017.7c2f.b69a 


[04/23/14 21:27:51.964 IST 1b 8151] 0017.7c2f.b69a Change state to AUTHCHECK
 (2) last state START (0)

[04/23/14 21:27:51.964 IST 1c 8151] 0017.7c2f.b69a Change state to 8021X_REQD
 (3) last state AUTHCHECK (2)


[04/23/14 21:27:51.964 IST 25 8151] 0017.7c2f.b69a apfProcessAssocReq
 (apf_80211.c:6272) Changing state for mobile  0017.7c2f.b69a  on AP
 1caa.076f.9e10  from Associated to Associated

[04/23/14 21:27:51.971 IST 26 8151] 0017.7c2f.b69a 1XA: Initiating
 authentication
[04/23/14 21:27:51.971 IST 27 8151] 0017.7c2f.b69a 1XA: Setting reauth
 timeout to 1800 seconds
[04/23/14 21:27:51.971 IST 28 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 0

[04/23/14 21:27:51.971 IST 29 8151] 0017.7c2f.b69a 1XA: Allocated uid 40
[04/23/14 21:27:51.971 IST 2a 8151] 0017.7c2f.b69a 1XA: Calling Auth Mgr
 to authenticate client 4975000000003e uid 40
[04/23/14 21:27:51.971 IST 2b 8151] 0017.7c2f.b69a 1XA: Session Start from
 wireless client 

[04/23/14 21:27:51.971 IST 2c 8151] 0017.7c2f.b69a Session Manager Call Client
 4975000000003e, uid 40, capwap id 7ae8c000000013,Flag 0, Audit-Session ID
 0a6987b25357e2ff00000028, method list Microsoft_NPS, policy name (null) 

[04/23/14 21:27:51.971 IST 2d 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3] Session start request from Client[1] for 0017.7c2f.b69a
 (method: Dot1X, method list: Microsoft_NPS, aaa id: 0x00000028),  policy 
[04/23/14 21:27:51.971 IST 2e 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3]  - client iif_id: 4975000000003E, session ID:
 0a6987b25357e2ff00000028 for 0017.7c2f.b69a


[04/23/14 21:27:51.972 IST 43 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting !EAP_RESTART on Client 0x22000025
[04/23/14 21:27:51.972 IST 44 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:enter connecting state
[04/23/14 21:27:51.972 IST 45 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: restart connecting
[04/23/14 21:27:51.972 IST 46 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting RX_REQ on Client 0x22000025
[04/23/14 21:27:51.972 IST 47 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: authenticating state entered
[04/23/14 21:27:51.972 IST 48 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:connecting authenticating action
[04/23/14 21:27:51.972 IST 49 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting AUTH_START for 0x22000025
[04/23/14 21:27:51.972 IST 4a 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:entering request state
[04/23/14 21:27:51.972 IST 4b 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending EAPOL packet
[04/23/14 21:27:51.972 IST 4c 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Platform changed src mac  of EAPOL packet
[04/23/14 21:27:51.972 IST 4d 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending out EAPOL packet
[04/23/14 21:27:51.972 IST 4e 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] EAPOL packet sent to client 0x22000025


[04/23/14 21:27:52.112 IST 7d 211] Parsed CLID MAC Address = 0:23:124:47:182:154
[04/23/14 21:27:52.112 IST 7e 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:52.112 IST 7f 211] AAA SRV(00000000): Authen method=SERVER_GROUP
 Microsoft_NPS
[04/23/14 21:27:52.112 IST 80 211] AAA SRV(00000000): Selecting SG = DIAMETER
[04/23/14 21:27:52.113 IST 81 186] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Queuing an EAPOL pkt on Authenticator Q
[04/23/14 21:27:52.113 IST 82 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting EAPOL_EAP for 0x22000025
[04/23/14 21:27:52.278 IST 83 220] AAA SRV(00000000): protocol reply
 GET_CHALLENGE_RESPONSE for Authentication
[04/23/14 21:27:52.278 IST 84 220] AAA SRV(00000000): Return Authentication
 status=GET_CHALLENGE_RESPONSE
[04/23/14 21:27:52.278 IST 85 291] ACCESS-METHOD-DOT1X-DEB:[0017.7c2f.b69a,Ca3]
 Posting EAP_REQ for 0x22000025

以下是EAP輸出的其餘部分:

[04/23/14 21:27:54.690 IST 12b 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:54.690 IST 12c 211] AAA SRV(00000000): Authen
 method=SERVER_GROUP Microsoft_NPS
[04/23/14 21:27:54.690 IST 12d 211] AAA SRV(00000000): Selecting SG =
 DIAMETER
[04/23/14 21:27:54.694 IST 12e 220] AAA SRV(00000000): protocol reply PASS
 for Authentication
[04/23/14 21:27:54.694 IST 12f 220] AAA SRV(00000000): Return Authentication
 status=PASS
[04/23/14 21:27:54.694 IST 130 189] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Received an EAP Success


[04/23/14 21:27:54.695 IST 186 8151] 0017.7c2f.b69a Starting key exchange with
 mobile - data forwarding is disabled
[04/23/14 21:27:54.695 IST 187 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.706 IST 188 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 121) from mobile
[04/23/14 21:27:54.706 IST 189 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile
[04/23/14 21:27:54.706 IST 18a 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTK_START state (msg 2) from mobile
[04/23/14 21:27:54.706 IST 18b 8151] 0017.7c2f.b69a 1XK: Stopping retransmission
 timer
[04/23/14 21:27:54.706 IST 18c 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.717 IST 18d 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 99) from mobile
[04/23/14 21:27:54.717 IST 18e 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile
[04/23/14 21:27:54.717 IST 18f 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTKINITNEGOTIATING state (msg 4) from mobile
[04/23/14 21:27:54.717 IST 190 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 1

[04/23/14 21:27:54.717 IST 191 8151] 0017.7c2f.b69a 1XK: Key exchange complete
 - updating PEM
[04/23/14 21:27:54.717 IST 192 8151] 0017.7c2f.b69a apfMs1xStateInc
[04/23/14 21:27:54.717 IST 193 8151] 0017.7c2f.b69a Change state to
 L2AUTHCOMPLETE (4) last state 8021X_REQD (3)


[04/23/14 21:27:58.277 IST 1df 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:27:58.277 IST 1e0 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:28:05.279 IST 1e1 269] DHCPD: Adding binding to hash tree
[04/23/14 21:28:05.279 IST 1e2 269] DHCPD: DHCPOFFER notify setup address
20.20.20.5 mask 255.255.255.0


[04/23/14 21:28:05.306 IST 1f4 8151] 0017.7c2f.b69a Change state to RUN (20)
 last state DHCP_REQD (7)
TAC Authored

由思科工程師貢獻

  • Surendra BG
    Cisco TAC工程師

這份文件是否有所幫助?

Feedback意見

讓思科協助您