Exemplo de Configuração de Autenticação EAP com Controladoras de WLAN (WLC)

Documentos relacionados
Exemplo de Configuração de Ponto de Acesso como Ponte de Grupo de Trabalho

Este documento fornece um exemplo de configuração para restringir o acesso por usuário a uma WLAN com base no Service Set Identifier (SSID).

Configurar o Access point de pouco peso como um suplicante do 802.1x

Exemplo de configuração de atribuição da VLAN dinâmica com servidor RADIUS e Wireless LAN Controller

Configurar a característica da reserva do servidor Radius em controladores do Wireless LAN

O domínio Wireless presta serviços de manutenção ao AP como um exemplo da configuração do servidor AAA

O domínio Wireless presta serviços de manutenção ao AP como um exemplo da configuração do servidor AAA

PEAP e EAP-FAST com ACS 5.2 e exemplo da configuração de controle do Wireless LAN

Exemplo de configuração da transmissão da Web do controlador do Wireless LAN

Configurar o Access point de pouco peso como um suplicante do 802.1x

Autenticação de EAP com exemplo de configuração dos controladores de WLAN (WLC)

Autenticação do web externa usando um servidor Radius

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Exemplo de Configuração Básica de Conexão de LAN sem Fio

Configurar o Balanceamento de carga agressivo do cliente

SecurID RSA pronto com controladores do Wireless LAN e exemplo de configuração do Cisco Secure ACS

Proxy da autenticação da Web em um exemplo da configuração de controle do Wireless LAN

Mobilidade DHCP interno expresso

Roteador Wireless de 1800 ISR com exemplo de configuração interno DHCP e de autenticação aberta

Configurar o WLC com autenticação LDAP para o 802.1x e o Web-AUTH WLAN

Configurando o Cisco Secure ACS for Windows v3.2 com autenticação da máquina PEAP-MS- CHAPv2

Manual de configuração EAP-FAST da versão 1.02

Conectividade do Wireless LAN usando um ISR com exemplo de configuração da criptografia de WEP e da autenticação de leap

Exemplo de Configuração de Wi-Fi Protected Access 2 (WPA 2)

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

Verifique a Conectividade do servidor Radius com comando dos radius AAA do teste

Balanceamento de carga AP e reserva AP em redes Wireless unificadas

Configurar o apoio do vlan múltiplo do bridge de grupo de trabalho (WGB)

Autenticação de servidor Radius de usuários do Gerenciamento no exemplo de configuração do controlador do Wireless LAN (WLC)

Secure ACS para Windows v3.2 com autenticação da máquina do EAP-TLS

Servidor DNS de Microsoft Windows 2003 para o exemplo de configuração da descoberta do controlador do Wireless LAN (WLC)

Failover do controlador de WLAN para o exemplo de configuração do Lightweight Access Points

Autenticação do Administrador do Lobby de Controladoras Wireless LAN via servidor RADIUS

Grupo VLAN AP com exemplo de configuração dos controladores do Wireless LAN

Controlador do Wireless LAN (WLC) e de convidado NAC guia de integração do server (NG)

Atribuição do VLAN dinâmico com servidor Radius ACS 5.2 e exemplo de configuração WLC

Configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT com o servidor Radius

Bridges de grupo de trabalho em um exemplo da configuração de rede do Cisco Unified Wireless

Access point como um exemplo de configuração do bridge de grupo de trabalho

Este documento de Troubleshooting aplica-se a todas as versões do controlador (WLC) de à versão a mais atrasada de

Ponto de Acesso Sem Fio

Compreenda e configurar o EAP-TLS usando WLC e ISE

Access point como um exemplo de configuração do bridge de grupo de trabalho

Autenticação do Administrador do Lobby de Controladoras Wireless LAN via servidor RADIUS

Etapas para configurar o Cisco Aironet 1142 e o telefone do Wi-fi do registro 7925 com CUCM

Configurando o PPTP através da PAT para um Microsoft PPTP Server

Configuração de WPA/WPA2 com chave précompartilhada:

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

Procedimentos para configuração de WDS With AP

Exemplo de Configuração de Rede em Malha com Controladora de LAN Sem Fio

Procedimentos para configuração em modo WDS with AP

Configurando a Autenticação de Requisições HTTP com o CE Executando o ACNS e o Microsoft Active Directory

Cisco recomenda-o tem o conhecimento de controladores de LAN do Cisco Wireless

Exemplo de Configuração de Failover de Controladora de WLAN para Pontos de Acesso Lightweight

Exemplo de configuração local da autenticação da Web do portal do convidado do Identity Services Engine

Adaptadores de cliente Wireless do Cisco Aironet e sistemas de Windows XP: Driveres e LEAP

Procedimentos para configuração em modo WDS with AP

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

Cisco recomenda que você tem o conhecimento do CUCM e dos pontos de acesso da Cisco.

Configuração. Utilitário de Configuração Baseado na Web

Autenticação EAP-FAST com controladores e Identity Services Engine do Wireless LAN

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Exemplo de Configuração de Conexão de LAN Wireless Básica

Políticas ISE baseadas em exemplos de configuração SSID

WLC 5760/3850 WebAuth feito sob encomenda com exemplo de configuração da autenticação local

A página do respingo do controlador do Wireless LAN reorienta o exemplo de configuração

Atribuição do VLAN dinâmico com exemplo de configuração NGWC e ACS 5.2

Exemplo de Configuração Básica de Controladoras de Wireless LAN e Pontos de Acesso Lightweight

Configurar a captura de pacote de informação AP em controladores sem fio do catalizador 9800

Configurando Modo de Roteador-config, Caractere Geral, Chaves Pré-compartilhadas, sem NAT

Erros de GUI 7.x expressos do gerente das comunicações unificadas

Client e configuração Nenhum-MODE

Policy Routing with Catalyst 3550 Series Switch Configuration Example

Configurar o 802.1x - PEAP com FreeRadius e WLC 8.3

Filtros MAC com exemplo de configuração dos controladores do Wireless LAN (WLC)

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Configurar o Multicast na mobilidade AP expressos de Cisco

Exemplo de configuração de autenticação de web externa com Wireless LAN Controllers

Instalação automática nos controladores do Wireless LAN (WLC) com exemplo da configuração do servidor de DHCP de Microsoft

RADIUS avançado para clientes PPP de discagem

Configuração do bridge de grupo de trabalho nos Access point WAP551 e WAP561

What Do EIGRP "Not On Common Subnet" Messages Mean?

ACS 5.x: Exemplo de configuração do servidor ldap

Gerente de rede do centro de dados (DCNM) com backup da configuração de switch SFTP

Configurando o Cisco Access Registrar e o LEAP

NP, controladores do Wireless LAN, e exemplo de configuração das redes Wireless

Autenticação CS com ACS e autorização com exemplo de configuração local RBAC

Filtros MAC com exemplo de configuração dos controladores do Wireless LAN (WLC)

Cisco Jabber para Windows no exemplo de configuração expresso do CallManager

Referência rápida consolidada acesso convirgida para moldes do Wireless LAN

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Pontos de acesso Aironet autônomos e SSID múltiplos no exemplo da configuração do IOS da Cisco

Configurando a autenticação radius por meio de Cisco cache engine

Transcrição:

Exemplo de Configuração de Autenticação EAP com Controladoras de WLAN (WLC) Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Configuração Diagrama de Rede Configuração da WLC para a Operação Básica e Registro dos APs Lightweight na Controladora Configuração da WLC para Autenticação RADIUS via Servidor RADIUS Externo Configuração dos Parâmetros de WLAN Configuração do Cisco Secure ACS como o Servidor RADIUS Externo e Criação de um Banco de Dados de Usuários para a Autenticação de Clientes Verificação Troubleshooting Dicas de Troubleshooting Extração do Arquivo de Pacote do Servidor RADIUS ACS para Troubleshooting Introdução Este documento explica como configurar a controladora de LAN sem fio (WLC) para a autenticação Extensible Authentication Protocol (EAP) com o uso de um servidor RADIUS externo. Este exemplo de configuração usa o Cisco Secure Access Control Server (ACS) como o servidor RADIUS externo para validação das credenciais do usuário. Pré-requisitos Requisitos Certifique-se de atender a estes requisitos antes de tentar esta configuração: Conhecimento básico da configuração de pontos de acesso (APs) lightweight e Cisco WLCs. Conhecimento básico do Lightweight AP Protocol (LWAPP) Consulte Compreendendo o Lightweight Access Point Protocol (LWAPP) para obter mais informações. Conhecimento de como configurar um servidor RADIUS externo, como o Cisco Secure ACS Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware: Cisco Aironet 1000 Series Lightweight AP Cisco 2000 Series WLC com firmware 3.2.78.0 Cisco Secure ACS versão 3.2 Cisco Aironet 802.11 a/b/g Client Adapter Cisco Aironet Desktop Utility (ADU) com firmware 2.5 As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando. Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Configuração Nesta seção, você encontrará informações para configurar os recursos descritos neste documento. Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados neste documento. Execute estes passos para configurar os dispositivos para a autenticação EAP: Configuração da WLC para a Operação Básica e Registro dos APs Lightweight na Controladora. Configuração da WLC para Autenticação RADIUS via Servidor RADIUS Externo. Configuração dos Parâmetros de WLAN. Configuração do Cisco Secure ACS como o Servidor RADIUS Externo e Criação de um Banco de Dados de Usuários para a Autenticação de Clientes. Diagrama de Rede Nesta configuração, uma Cisco 2006 WLC e um AP lightweight estão conectados por meio de um

hub. Um servidor RADIUS externo (Cisco Secure ACS) também está conectado ao mesmo hub. Todos os dispositivos estão na mesma sub-rede. O AP é inicialmente registrado na controladora. Você deve configurar a WLC e o AP para a autenticação Lightweight Extensible Authentication Protocol (LEAP). Os clientes que se conectam ao AP usam a autenticação LEAP para se associarem ao AP. O Cisco Secure ACS é utilizado para executar a autenticação RADIUS. Configuração da WLC para a Operação Básica e Registro dos APs Lightweight na Controladora Utilize o assistente de configuração de inicialização na interface de linha de comando (CLI) para configurar a WLC para operação básica. Como alternativa, você pode usar a GUI para configurar a WLC. Este documento explica a configuração na WLC com o assistente de configuração de inicialização na CLI. Após a inicialização da WLC pela primeira vez, ela é iniciada diretamente no assistente de configuração de inicialização. Utilize o assistente de configuração para definir as configurações básicas. Você pode executar o assistente através da CLI ou da GUI. Esta saída mostra um exemplo do assistente de configuração de inicialização na CLI: Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup System Name [Cisco_33:84:a0]: WLC-1 Enter Administrative User Name (24 characters max): admin Enter Administrative Password (24 characters max): ***** Management Interface IP Address: 172.16.1.30 Management Interface Netmask: 255.255.0.0 Management Interface Default Router: 172.16.1.75 Management Interface VLAN Identifier (0 = untagged): Management Interface Port Num [1 to 4]: 1 Management Interface DHCP Server IP Address: 172.16.1.1 AP Manager Interface IP Address: 172.16.1.31 AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (172.16.1.1): Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: Test Network Name (SSID): Cisco123 Allow Static IP Addresses [YES][no]: yes Configure a RADIUS Server now? [YES][no]: no

Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code (enter 'help' for a list of countries) [US]: Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes Enable Auto-RF [YES][no]: yes Configuration saved! Resetting system with new configuration.. Esses parâmetros configuram a WLC para a operação básica. Nessa configuração de exemplo, a WLC usa 172.16.1.30 como o endereço IP da interface de gerenciamento e 172.16.1.31 como o endereço IP da interface do gerenciador do AP. Antes que qualquer recurso possa ser configurado nas WLCs, os APs lightweight precisam se registrar na WLC. Este documento assume que o AP lightweight já esteja registrado na WLC. Consulte a seção Registro de APs Lightweight nas WLCs de Exemplo de Configuração de Failover de Controladora de WLAN para Pontos de Acesso Lightweight para obter informações sobre o registro de APs lightweight em WLCs. Configuração da WLC para a Autenticação RADIUS via Servidor RADIUS Externo A WLC precisa ser configurada para encaminhar as credenciais do usuário para um servidor RADIUS externo. O servidor RADIUS externo valida então as credenciais do usuário e fornece acesso aos clientes de rede sem fio. Execute estes passos para configurar a WLC para um servidor RADIUS externo: Escolha Security e RADIUS Authentication na GUI da controladora para exibir a página RADIUS Authentication Servers. Em seguida, clique em New para definir um servidor RADIUS.

Defina os parâmetros do servidor RADIUS na página RADIUS Authentication Servers > New. Esses parâmetros incluem o endereço IP do servidor RADIUS, o segredo compartilhado, o número da porta e o status do servidor. As caixas de seleção Network User e Management determinam se a autenticação baseada em RADIUS se aplica aos usuários da rede e ao gerenciamento. Este exemplo utiliza o Cisco Secure ACS como o servidor RADIUS com o endereço IP 172.16.1.1:

Você também pode usar o recurso do servidor RADIUS local para autenticar os usuários. O servidor RADIUS local foi introduzido na versão 4.1.171.0 do código. As WLCs que executam versões anteriores não possuem o recurso de RADIUS local. O EAP local é um método de autenticação que permite aos usuários e clientes de rede sem fio serem autenticados localmente. Ele é projetado para uso em escritórios remotos que desejam manter a conectividade com os clientes de rede sem fio quando o sistema de backend sofre interrupções ou o servidor de autenticação externo é desativado. O EAP local recupera as credenciais do usuário do banco de dados de usuários locais ou do banco de dados LDAP de backend para autenticar os usuários. O EAP local oferece suporte à autenticação LEAP, EAP-FAST com PACs, EAP-FAST com certificados e EAP-TLS entre a controladora e os clientes de rede sem fio. Nota: O EAP local é projetado como um sistema de autenticação de backup. Se nenhum servidor RADIUS for configurado na controladora, ela tentará autenticar os clientes de rede sem fio com os servidores RADIUS primeiro. O EAP local é tentado somente caso nenhum servidor RADIUS seja localizado, seja porque o timeout dos servidores RADIUS expirou ou porque nenhum servidor RADIUS foi configurado. Nota: A RFC 3576 é compatível com o Cisco CNS Access Registrar (CAR) RADIUS Server, mas não com o Cisco Secure ACS Server versão 4.0 e anteriores. Configuração dos Parâmetros de WLAN Em seguida, configure a WLAN que os clientes utilizam para se conectar à rede sem fio. Ao configurar os parâmetros básicos da WLC, você também configurou o SSID para a WLAN. Você pode utilizar esse SSID para a WLAN ou criar um novo SSID.

Nota: Você pode configurar até dezesseis WLANs na controladora. A Cisco WLAN Solution pode controlar até dezesseis WLANs para APs lightweight. Cada WLAN possui um ID de WLAN separado (de 1 até 16), um SSID de WLAN separado (nome da WLAN) e pode receber políticas únicas de segurança. Os APs lightweight fazem broadcast de todos os SSIDs de WLAN da Cisco WLAN Solution e aplicam as políticas definidas para cada WLAN. Execute estes passos para configurar uma nova WLAN e seus parâmetros relacionados: Clique em WLANs na interface gráfica da controladora para exibir a página WLANs. Essa página lista as WLANs existentes na controladora. Selecione New para criar uma nova WLAN. Insira o ID da WLAN e o SSID da WLAN e clique em Apply. Uma vez criada uma nova WLAN, a página WLAN > Edit referente a essa WLAN será exibida. Nessa página, você poderá definir diversos parâmetros específicos dessa WLAN, incluindo políticas gerais, servidores RADIUS, políticas de segurança e parâmetros de 802.1x. Verifique Admin Status em General Policies para habilitar a WLAN. Se desejar que o AP faça o broadcast do SSID em seus frames de sinalização, marque a caixa de seleção Broadcast SSID. Escolha o servidor RADIUS apropriado no menu suspenso em RADIUS Servers. Os outros parâmetros podem ser modificados com base nas necessidades da rede WLAN. Clique em Apply. Nota: Quando você criar uma nova WLAN, o mecanismo de segurança padrão da Camada 2 será o 802.1x. Essa configuração força um cliente de rede sem fio a primeiro se autenticar com êxito por EAP antes de obter acesso à rede. Esta é a única definição que precisa ser configurada na controladora para a autenticação EAP. Todas as outras configurações precisam ser feitas no servidor RADIUS e nos clientes que precisam ser autenticados.

Configuração do Cisco Secure ACS como o Servidor RADIUS Externo e Criação de um Banco de Dados de Usuários para a Autenticação de Clientes Execute estes passos para criar o banco de dados de usuários e habilitar a autenticação EAP no Cisco Secure ACS: Selecione User Setup na GUI do ACS, insira o nome do usuário e clique em Add/Edit. Neste exemplo, o usuário é ABC.

Quando a página User Setup for exibida, defina todos os parâmetros específicos do usuário. Neste exemplo, o nome do usuário, a senha e as informações complementares do usuário são configuradas, pois você só precisa desses parâmetros para a autenticação EAP. Clique em Submit e repita o mesmo processo para adicionar mais usuários ao banco de dados. Por padrão, todos os usuários são agrupados no grupo padrão. Consulte a seção Gerenciamento de Grupos de Usuários de Guia do Usuário do Cisco Secure ACS for Windows Server 3.2 para obter mais informações caso você deseje atribuir usuários específicos a grupos diferentes.

Defina a controladora como um cliente AAA no servidor ACS. Clique em Network Configuration na interface gráfica do ACS. Quando a página Network Configuration for exibida, defina o nome da WLC, o endereço IP, o segredo compartilhado e o método de autenticação (RADIUS Cisco Aironet ou Radius Cisco IOS/PIX). Consulte a documentação do fabricante para obter informações sobre outros servidores de autenticação não ACS. Nota: A chave secreta compartilhada configurada na WLC deve coincidir com a do servidor ACS. O segredo compartilhado diferencia maiúsculas de minúsculas.

Clique em System Configuration e Global Authentication Setup para garantir que o servidor de autenticação seja configurado para executar o método de autenticação EAP desejado. Nas definições do EAP, escolha o método EAP apropriado. Este exemplo utiliza a autenticação LEAP. Clique em Submit quando terminar.

Verificação Use esta seção para verificar se a sua configuração funciona corretamente. Tente associar um cliente de rede sem fio ao AP lightweight com autenticação LEAP para verificar se a configuração funciona conforme o esperado. Nota: Este documento pressupõe que o perfil do cliente esteja configurado para autenticação LEAP. Consulte Utilizando a Autenticação EAP para obter mais informações sobre como configurar o 802.11 a/b/g Wireless Client Adapter para autenticação LEAP. Uma vez ativado o perfil do cliente wireless, o usuário será solicitado a fornecer o nome de usuário/senha para autenticação LEAP. Exemplo:

O AP lightweight e a WLC passam as credenciais do usuário para o servidor RADIUS externo (Cisco Secure ACS) a fim de validá-las. O servidor RADIUS compara os dados com o banco de dados de usuários e fornece acesso ao cliente de rede sem fio sempre que as credenciais do usuário forem válidas. O relatório Passed Authentications no servidor ACS mostra que o cliente teve êxito na autenticação RADIUS. Exemplo:

Após uma autenticação RADIUS com êxito, o cliente de rede sem fio se associa ao AP lightweight.

Troubleshooting Execute estes passos para fazer o troubleshooting das configurações: Use o comando debug lwapp events enable para verificar se o AP se registra na WLC. Esta saída mostra um exemplo de evento de registro com êxito: Thu Mar 30 17:54:37 2006: Received LWAPP DISCOVERY REQUEST from AP 00:0b:85:5b:fb:d0 to ff:ff:ff:ff:ff:ff on port '1' Thu Mar 30 17:54:37 2006: Successful transmission of LWAPP Discovery-Response to AP 00:0b:85:5b:fb:d0 on Port 1 Thu Mar 30 17:54:49 2006: Received LWAPP JOIN REQUEST from AP 00:0b:85:5b:fb:d0 to 00:0b:85:33:52:80 on port '1' Thu Mar 30 17:54:49 2006: LWAPP Join-Request MTU path from AP 00:0b:85:5b:fb:d0 is 1500, remote debug mode is 0 Thu Mar 30 17:54:49 2006: Successfully added NPU Entry for AP 00:0b:85:5b:fb:d0 (index 49) Switch IP: 172.16.1.51, Switch Port: 12223, intifnum 1, vlanid 0 AP IP: 172.16.1.42, AP Port: 49085, next hop MAC: 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:49 2006: Successfully transmission of LWAPP Join-Reply to AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:49 2006: Register LWAPP event for AP 00:0b:85:5b:fb:d0 slot 0 Thu Mar 30 17:54:49 2006: Register LWAPP event for AP 00:0b:85:5b:fb:d0 slot 1 Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE REQUEST from AP 00:0b:85:5b:fb:d0 to 00:0b:85:33:52:80 Thu Mar 30 17:54:50 2006: Updating IP info for AP 00:0b:85:5b:fb:d0 -- static 1, 172.16.1.42/255.255.0.0, gtw 0.0.0.0 Thu Mar 30 17:54:50 2006: spamverifyregdomain RegDomain set for slot 0 code 0 regstring -A regdfromcb -A Thu Mar 30 17:54:50 2006: spamverifyregdomain RegDomain set for slot 1 code 0 regstring -A regdfromcb -A Thu Mar 30 17:54:50 2006: spamencodedomainsecretpayload:send domain secret TestCRET<da,c8,15,ab,44,ce,34,04,8d,91,45,e3,1b,a5,9f,1e,21,45,41,2c> to AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Successfully transmission of LWAPP Config-Message to AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Running spamencodecreatevappayload for SSID 'cisco123' Thu Mar 30 17:54:50 2006: Running spamencodecreatevappayload for SSID 'cisco123'

Thu Mar 30 17:54:50 2006: AP 00:0b:85:5b:fb:d0 associated. Last AP failure was due to Link Failure Thu Mar 30 17:54:50 2006: Received LWAPP CHANGE_STATE_EVENT from AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Successfully transmission of LWAPP Change-State-Event Response to AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Received LWAPP Up event for AP 00:0b:85:5b:fb:d0 slot0! Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES from AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Received LWAPP CHANGE_STATE_EVENT from AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Successfully transmission of LWAPP Change-State-Event Response to AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Received LWAPP Up event for AP 00:0b:85:5b:fb:d0 slot1! Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES from AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES from AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES from AP 00:0b:85:5b:fb:d0 Verifique se o servidor RADIUS recebe e valida a solicitação de autenticação do cliente de rede sem fio. Verifique os relatórios Passed Authentications e Failed Attempts no servidor ACS para fazer isso. Esses relatórios estão disponíveis em Reports and Activities no servidor ACS. Aqui está um exemplo de quando a autenticação do servidor RADIUS falha:

Nota: Consulte Obtendo Informações de Versão de Depuração de AAA do Cisco Secure ACS for Windows para obter informações sobre como fazer o troubleshooting e obter informações de depuração no Cisco Secure ACS. Monitore os logs na WLC para verificar se o servidor RADIUS recebe as credenciais do usuário. Isso é muito importante, pois, em alguns casos, o servidor RADIUS jamais receberá as credenciais do usuário se a configuração do servidor RADIUS na WLC estiver incorreta. Essa é a forma que o log é exibido na WLC caso os parâmetros de RADIUS tenham sido configurados incorretamente: Você também pode usar estes comandos debug para fazer o troubleshooting da

autenticação AAA: debug aaa all enable Configura a depuração de todas as mensagens de AAA. debug dot1x packet enable Habilita a depuração de todos os pacotes de dot1x. Você pode utilizar uma combinação do comando show wlan summary para reconhecer qual das suas WLANs utiliza autenticação de servidor RADIUS. Em seguida, você poderá exibir a saída do comando show client summary para ver quais endereços MAC (clientes) são autenticados com êxito nas WLANs RADIUS.. Também é possível correlacionar essas informações aos logs de tentativas anteriores ou com falha do Cisco Secure ACS. Dicas de Troubleshooting Verifique na controladora se o servidor RADIUS está no estado active, e não em standby ou disabled. Verifique se o servidor RADIUS está selecionado no menu suspenso da WLAN (SSID). Se você utiliza WPA, será necessário instalar o hotfix do Microsft WPA mais recente para o Windows XP SP2. Além disso, você também deve atualizar o driver do cliente solicitante para a versão mais recente. A mensagem de erro [SECURITY] 1x_ptsm.c 391: MAX EAPOL-Key M3 retransmissions reached significa que a placa não respondeu à solicitação de sua identidade. Você pode estender os temporizadores de EAP nas controladoras para aguardar as informações 802.1x se você usa estes comandos na linha de comando da WLC: config advanced eap identity-request-timeout 120 config advanced eap identity-request-retries 20 config advanced eap request-timeout 120 config advanced eap request-retries 20 save config Se você utiliza Windows Zero Config/cliente solicitante, desabilite Enable Fast Reconnect. Você poderá fazer isso ao selecionar Wireless Network Connection Properties > Wireless Networks > Preferred networks. Em seguida, selecione SSID > Properties > Open > WEP > Authentication > EAP type > PEAP > Properties > Enable Fast Reconnect. Você poderá então localizar a opção para habilitar ou desabilitar no final da janela. Se você fizer PEAP, por exemplo, em certificados com XP SP2 onde as placas são gerenciadas pelo utilitário Microsoft Wireless-0, você precisará obter o patch KB885453 da Microsoft. Se você possuir placas Intel 2200 ou 2915, consulte as instruções no site da Web da Intel a

respeito dos problemas conhecidos com suas placas. Intel PRO/Wireless 2200BG Network Connection Intel PRO/Wireless 2200BG Network Connection Faça o download dos drivers mais atuais da Intel para evitar quaisquer problemas. Você pode baixar os drivers da Intel em http://downloadcenter.intel.com/ Se o recurso de failover agressivo estiver habilitado na WLC, a WLC se tornará muito agressiva ao marcar o servidor AAA como not responding. Isso não deve ser feito, pois o servidor AAA possivelmente não estará respondendo somente àquele cliente em particular se você estiver usando descarte silencioso. Isso pode ser uma resposta a outros clientes válidos com certificados válidos. Entretanto, a WLC ainda pode marcar o servidor AAA como not responding e not functional. Para evitar isso, desabilite o recurso de failover agressivo. Execute o comando config radius aggressive-failover disable na GUI da controladora para fazer isso. Se ele for desabilitado, a controladora efetuará o failover para o próximo servidor AAA somente se houver três clientes consecutivos falhando ao receber uma resposta do servidor RADIUS. Extração do Arquivo de Pacote do Servidor RADIUS ACS para Troubleshooting Se você usa o ACS como o servidor RADIUS externo, esta seção pode ser usada para fazer troubleshooting. O arquivo package.cab é um zip que contém todos os arquivos necessários fazer com eficiência o troubleshooting do ACS. Você pode usar o utilitário CSSupport.exe para criar o package.cab ou pode obter os arquivos manualmente. Consulte a seção Criação de um Arquivo package.cab de Obtendo as Informações de Depuração e de Versão do AAA para o Cisco Secure ACS for Windows para obter mais informações sobre como criar e extrair o arquivo de pacotes do sistema de controle wireless (WCS).

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback