简介本文描述测验AAARADIUSon命令CiscoWLC如何可以用于识别RADIUS服务器连接,并且客户端验证发出,不用使用无线客户端。思科建议您有知识无线局域网控制器(W
个人资料
本文介绍如何使用AAA RADIUS on命令Cisco WLC标识与RADIUS服务器的连接,并在不使用无线客户端的情况下颁发客户端验证。
思科建议您具有WLC代码8.2或更高版本。
要使用的组件
本文档不限于特定的软件和硬件版本。
背景信息
无线客户端认证问题是最困难的问题之一无线网络设计的表面。 为了进行故障排除,往往需要收集最终用户、调试和捕获,这些用户可能对有问题的客户端、工作或无线网络没有最好的了解。 在越来越重要的无线网络中,这可能会导致严重的停机。
虽然到目前为止还没有识别的简单方法,但是认证失败是因为拒绝了客户端的RADIUS服务,或者是因为连接问题。 可以使用猜谜AAA RADIUS命令执行。 如果WLC RADIUS服务器通信失败,或者客户端证书通过或失败,则当前可以远程进行身份验证。
功能的结构
这是一个基本的工作流,使用test命令AAA RADIUS时,它看起来像镜像。
步骤1:WLC将访问请求信息以及参数发送到猜谜AAA RADIUS命令中所提到的RADIUS服务器。
前: AAA RADIUS用户名管理员密码cisco123 wlan-id 1测试一个apgroup默认组服务器索引2
步骤RADIUS服务验证提供的证书,并提供认证请求的结果。
命令语法
必须指定以下参数执行命令:
(Cisco控制器)试验AAA RADIUS用户名密码wlan-id ap-group服务器索引
--- Username that you are testing。
--- Password that you are testing
--- wlanidofthessidthatyouaretesting。
(optional---- AP group name.thiswillbedefault-groupifthereisnoapgroupconfigured。
(optional---- theserverindexconfiguredfortheradiusserverthatyouaretryingtotest.thiscanbefoundersecurityauthentiotion
方案1 .尝试通过认证
请检查命令如何工作,并查看输出。 如果测试了AAA RADIUS命令并通过了合格验证。 命令执行后,WLC将显示发送访问请求的参数。
(Cisco Controller ) testaaaradiususernameadminpasswordcisco 123 w LAN-id1apgroupdefault-groupserver-index 2
radius测试请求
WLAN-id ....... 1
AP group name ...................................................................................
属性值
---------- ------
user-name管理
called-station-id 003360003360003360003360003360003360003360003360003360003360000 wlc 5508
calling-station-id 00:11336022336033:33:3:43:55
nas-port0x0000000d(13 ) )。
Nas-Ip-Address 10.20.227.39
NAS-Identifier WLC_5508
airespace/WLAN-identifier0x 0000001 (1) )。
用户密码思科123
service-type0x00000008(8) )。
framed-MTU0x000000514(1300 ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) )。
nas-port-type0x00000013(19 ) )。
tunnel-type0x0000000d(13 ) )。
Tunnel-medium-type0x0000006(6) )。
Tunnel-group-id0x0000051(81 ) )。
Cisco/audit-session-idad 14 e 327000000 c 466191 e 23
acct-session-id 56131 b 33/00:113360223360:3:336033604336055/210
testradiusauthrequestsuccessfullysent.execute ' testa
aa show radius' for response
为了查看认证请求的结果,您需要执行test命令aaa show radius。命令能采取一些时间显示输出,如果RADIUS服务器是不可得到的和WLC需要重试或者fallback到一个不同的RADIUS服务器。
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 2
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.52 1 Success
Authentication Response:
Result Code: Success
Attributes Values
---------- ------
User-Name admin
Class CACS:rs-acs5-6-0-22/230677882/20313
Session-Timeout 0x0000001e (30)
Termination-Action 0x00000000 (0)
Tunnel-Type 0x0000000d (13)
Tunnel-Medium-Type 0x00000006 (6)
Tunnel-Group-Id 0x00000051 (81)
此命令的非常有用的方面是显示属性哪些由RADIUS服务器返回。这可以是重定向URL和访问控制表(ACL)。例如,一旦中央Web验证(CWA)或VLAN信息,当您使用VLAN覆盖。
Caution:在访问请求的用户名/密码在明文发送到RADIUS服务器,因此您需要小心地使用它,如果在非安全网络的通信流。
方案 2:失败的认证尝试
请发现输出如何出现,当用户名/密码条目导致失败的认证。
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 2
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.52 1 Success
Authentication Response:
Result Code: Authentication failed ------>This indicates that the user authentication will fail.
No AVPs in Response
在这种情况下,您能看到连通性测试导致‘成功的,然而RADIUS服务器发送使用的用户名/密码组合的访问拒绝。
情形 3:通信失败在WLC和RADIUS服务器之间
(Cisco Controller) >test aaa show radius
previous test command still not completed, try after some time
在显示输出前,您需要等待WLC完成它是重试次数。时间能变化基于配置的重试次数阈值。
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 3
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.72 6 No response received from server
Authentication Response:
Result Code: No response received from server
No AVPs in Response
在上述输出中您能看到设法的WLC联系RADIUS服务器6次,并且,当没有无响应它指示了RADIUS服务器作为不可达的。
当您有多个RADIUS服务器配置在服务集标识(SSID)下,并且主要的RADIUS服务器不回应,然后WLC尝试用配置的附属RADIUS服务器。这在第一个RADIUS服务器不回应的输出中非常清楚显示,并且WLC然后尝试第二个RADIUS服务器哪些立即响应。
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.62 6 No response received from server
10.20.227.52 1 Success
Authentication Response:
Result Code: Success
Attributes Values
---------- ------
User-Name admin
警告
当前没有GUI支持。它是可以从WLC被执行仅的命令。
验证仅是为radius。它不可能用于TACACS认证。
Flexconnect本地认证不可能用此方法测试。