Este documento describe cómo configurar el acceso Wi-Fi protegido (WPA) en una red inalámbrica unificada de Cisco.
Asegúrese de tener conocimientos básicos de estos temas antes de intentar esta configuración:
WPA
Soluciones de seguridad para redes LAN inalámbricas (WLAN)
Nota: Consulte Descripción general de la seguridad de LAN inalámbrica de Cisco para obtener información sobre las soluciones de seguridad de WLAN de Cisco.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Punto de acceso ligero (LAP) Cisco serie 1000
Controlador de LAN inalámbrica (WLC) Cisco 4404 que ejecuta el firmware 4.2.61.0
Adaptador de cliente Cisco 802.11a/b/g que ejecuta firmware 4.1
Aironet Desktop Utility (ADU) que ejecuta firmware 4.1
Servidor Cisco Secure ACS versión 4.1
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Cisco Unified Wireless Network es compatible con las certificaciones Wi-Fi Alliance WPA y WPA2. WPA fue introducido por Wi-Fi Alliance en 2003. WPA2 fue introducido por Wi-Fi Alliance en 2004. Todos los productos con certificación Wi-Fi para WPA2 deben ser interoperables con productos con certificación Wi-Fi para WPA.
WPA y WPA2 ofrecen un alto nivel de garantía a los usuarios finales y los administradores de red de que sus datos seguirán siendo privados y de que el acceso a sus redes estará restringido a los usuarios autorizados. Ambos tienen modos de funcionamiento personal y empresarial que satisfacen las distintas necesidades de los dos segmentos de mercado. El modo empresarial de cada uno utiliza IEEE 802.1X y EAP para la autenticación. El modo personal de cada uno utiliza una clave precompartida (PSK) para la autenticación. Cisco no recomienda el modo personal para implementaciones empresariales o gubernamentales porque utiliza una PSK para la autenticación de usuarios. PSK no es seguro para entornos empresariales.
WPA aborda todas las vulnerabilidades WEP conocidas en la implementación de seguridad IEEE 802.11 original, lo que aporta una solución de seguridad inmediata a las WLAN en entornos empresariales y de pequeña oficina/oficina doméstica (SOHO). WPA utiliza TKIP para la encriptación.
WPA2 es la última generación en seguridad Wi-Fi. Es la implementación interoperable de la Wi-Fi Alliance del estándar IEEE 802.11i ratificado. Implementa el algoritmo de cifrado AES recomendado por el Instituto Nacional de Normas y Tecnología (NIST) mediante el modo de recuento con el protocolo de código de autenticación de mensajes en cadena para el bloqueo de cifrado (CCMP). WPA2 facilita el cumplimiento gubernamental de FIPS 140-2.
Comparación de los tipos de modo WPA y WPA2WPA | WPA2 | |
---|---|---|
Modo empresarial (empresas, gobierno, educación) |
|
|
Modo personal (SOHO, doméstico/personal) |
|
|
En el modo de funcionamiento empresarial, tanto WPA como WPA2 utilizan 802.1X/EAP para la autenticación. 802.1X proporciona a las WLAN una autenticación sólida y mutua entre un cliente y un servidor de autenticación. Además, 802.1X proporciona claves de cifrado dinámicas por usuario y por sesión, lo que elimina la carga administrativa y los problemas de seguridad relacionados con las claves de cifrado estáticas.
Con 802.1X, las credenciales utilizadas para la autenticación, como las contraseñas de inicio de sesión, nunca se transmiten sin cifrar o sin cifrado a través del medio inalámbrico. Aunque los tipos de autenticación 802.1X proporcionan una autenticación sólida para las LAN inalámbricas, se necesitan TKIP o AES para el cifrado, además de 802.1X, ya que el cifrado WEP 802.11 estándar es vulnerable a los ataques a la red.
Existen varios tipos de autenticación 802.1X, cada uno de los cuales proporciona un enfoque diferente de la autenticación, al tiempo que se basa en el mismo marco y EAP para la comunicación entre un cliente y un punto de acceso. Los productos Cisco Aironet admiten más tipos de autenticación EAP 802.1X que cualquier otro producto WLAN. Entre los tipos admitidos se incluyen:
EAP-autenticación flexible a través de tunelación segura (EAP-FAST)
EAP-seguridad de la capa de transporte (EAP-TLS)
EAP-TLS con túnel (EAP-TTLS)
EAP-módulo de identidad del suscriptor (EAP-SIM)
Otra ventaja de la autenticación 802.1X es la gestión centralizada de los grupos de usuarios de WLAN, incluida la rotación de claves basada en políticas, la asignación de claves dinámicas, la asignación de VLAN dinámica y la restricción de SSID. Estas funciones giran las claves de cifrado.
En el modo de funcionamiento personal, se utiliza una clave previamente compartida (contraseña) para la autenticación. El modo personal sólo requiere un punto de acceso y un dispositivo cliente, mientras que el modo empresarial normalmente requiere un servidor RADIUS u otro servidor de autenticación en la red.
Este documento proporciona ejemplos para configurar WPA2 (modo Enterprise) y WPA2-PSK (modo Personal) en una red Cisco Unified Wireless.
En esta configuración, un Cisco 4404 WLC y un Cisco 1000 Series LAP se conectan a través de un switch de capa 2. Un servidor RADIUS externo (Cisco Secure ACS) también está conectado al mismo switch. Todos los dispositivos están en la misma subred. El punto de acceso (LAP) se registra inicialmente en el controlador. Es necesario crear dos LAN inalámbricas, una para el modo WPA2 Enterprise y otra para el modo WPA2 Personal.
La WLAN en modo WPA2-Enterprise (SSID: WPA2-Enterprise) utilizará EAP-FAST para autenticar los clientes inalámbricos y AES para el cifrado. El servidor Cisco Secure ACS se utilizará como servidor RADIUS externo para autenticar los clientes inalámbricos.
La WLAN en modo WPA2-Personal (SSID: WPA2-PSK) utilizará WPA2-PSK para la autenticación con la clave previamente compartida "abcdefghijk".
Debe configurar los dispositivos para esta configuración:
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Siga estos pasos para configurar los dispositivos para el modo de funcionamiento de WPA2 Enterprise:
Configure el WLC para la Autenticación RADIUS a través de un Servidor RADIUS Externo
Configuración de la WLAN para la autenticación de modo empresarial WPA2 (EAP-FAST)
Configuración del cliente inalámbrico para el modo WPA2 Enterprise
El WLC necesita ser configurado para reenviar las credenciales del usuario a un servidor RADIUS externo. A continuación, el servidor RADIUS externo valida las credenciales del usuario mediante EAP-FAST y proporciona acceso a los clientes inalámbricos.
Complete estos pasos para configurar el WLC para un servidor RADIUS externo:
Elija Seguridad y Autenticación RADIUS en la GUI del controlador para mostrar la página Servidores de Autenticación RADIUS. Luego, haga clic en Nuevo para definir un servidor RADIUS.
Defina los parámetros del servidor RADIUS en la página RADIUS Authentication Servers > New. Estos parámetros incluyen:
Dirección IP de servidor RADIUS
secreto compartido
número de puerto
Estado del servidor
Este documento utiliza el servidor ACS con una dirección IP de 10.77.244.196.
Haga clic en Apply (Aplicar).
A continuación, configure la WLAN que utilizarán los clientes para conectarse a la red inalámbrica. El SSID de WLAN para el modo empresarial WPA2 será WPA2-Enterprise. Este ejemplo asigna esta WLAN a la interfaz de administración.
Complete estos pasos para configurar la WLAN y sus parámetros relacionados:
Haga clic en WLANs de la GUI del controlador para mostrar la página WLANs.
Esta página enumera las WLANs que existen en el controlador.
Haga clic en Nuevo para crear un nuevo WLAN.
Introduzca el nombre SSID de WLAN y el nombre Profile en la página WLANs > New. A continuación, haga clic en Aplicar.
Este ejemplo utiliza WPA2-Enterprise como SSID.
Una vez que haya creado una nueva WLAN, aparecerá la página WLAN > Edit para la nueva WLAN. En esta página, puede definir varios parámetros específicos para esta WLAN. Esto incluye políticas generales, políticas de seguridad, políticas de QOS y parámetros avanzados.
En Políticas generales, marque la casilla de verificación Status para habilitar la WLAN.
Si desea que el AP difunda el SSID en sus tramas de baliza, marque la casilla de verificación Broadcast SSID.
Haga clic en la ficha Security (Seguridad). En Layer 2 Security, elija WPA+WPA2.
Esto activa la autenticación WPA para la WLAN.
Desplácese hacia abajo por la página para modificar los parámetros WPA+WPA2.
En este ejemplo, se seleccionan la política WPA2 y el cifrado AES.
En Administración de claves de autenticación, elija 802.1x.
Esto habilita WPA2 usando autenticación 802.1x/EAP y cifrado AES para la WLAN.
Haga clic en la pestaña AAA Servers. En Servidores de autenticación, elija la dirección IP del servidor correspondiente.
En este ejemplo, 10.77.244.196 se utiliza como servidor RADIUS.
Haga clic en Apply (Aplicar).
Nota: Éste es el único parámetro EAP que debe configurarse en el controlador para la autenticación EAP. Todas las demás configuraciones específicas de EAP-FAST deben realizarse en el servidor RADIUS y en los clientes que deben autenticarse.
En este ejemplo, Cisco Secure ACS se utiliza como servidor RADIUS externo. Realice estos pasos para configurar el servidor RADIUS para la autenticación EAP-FAST:
Crear una base de datos de usuarios para autenticar clientes
Nota: EAP-FAST se puede configurar con aprovisionamiento de PAC en banda anónimo o con aprovisionamiento de PAC en banda autenticado. En este ejemplo se utiliza el aprovisionamiento de PAC en banda anónimo. Para obtener información detallada y ejemplos sobre la configuración de EAP FAST con aprovisionamiento de PAC en banda anónimo y aprovisionamiento en banda autenticado, consulte Ejemplo de Configuración de Autenticación EAP-FAST con Controladores LAN Inalámbricos y Servidor RADIUS Externo.
Complete estos pasos para crear una base de datos de usuario para los clientes EAP-FAST en ACS. Este ejemplo configura el nombre de usuario y la contraseña del cliente EAP-FAST como Usuario1 y Usuario1, respectivamente.
En ACS GUI en la barra de navegación, seleccione User Setup. Cree un nuevo usuario inalámbrico, y luego haga clic en Add/Edit para ir a la página Edit de este usuario.
En la página User Setup Edit (Edición de la configuración de usuario), configure Real Name (Nombre real) y Description (Descripción), así como los parámetros de Password (Contraseña), como se muestra en este ejemplo.
Este documento utiliza ACS Internal Database para la autenticación de contraseña.
Elija ACS Internal Database del cuadro desplegable Password Authentication.
Configure todos los demás parámetros requeridos y haga clic en Submit.
Complete estos pasos para definir el controlador como un cliente AAA en el servidor ACS:
Haga clic en Network Configuration desde la GUI de ACS. Bajo la sección Add AAA client de la página Network Configuration, haga clic en Add Entry para agregar el WLC como cliente AAA al servidor RADIUS.
En la página AAA Client (Cliente AAA), defina el nombre del WLC, la dirección IP, el secreto compartido y el método de autenticación (RADIUS/Cisco Airespace). Consulte la documentación del fabricante para otros servidores de autenticación no ACS.
Nota: La clave secreta compartida que configure en el WLC y el servidor ACS deben coincidir. El secreto compartido distingue entre mayúsculas y minúsculas.
Haga clic en Enviar+Aplicar.
Aprovisionamiento anónimo en banda
Este es uno de los dos métodos de aprovisionamiento en banda en los que el ACS establece una conexión segura con el cliente de usuario final con el fin de proporcionar al cliente una nueva PAC. Esta opción permite un intercambio de señales TLS anónimo entre el cliente de usuario final y ACS.
Este método funciona dentro de un túnel de protocolo de acuerdo de clave Diffie-Hellman (ADHP) autenticado antes de que el par autentique el servidor ACS.
Entonces, el ACS requiere la autenticación EAP-MS-CHAPv2 del usuario. Cuando la autenticación de usuario es exitosa, el ACS establece un túnel Diffie-Hellman con el cliente de usuario final. El ACS genera una PAC para el usuario y la envía al cliente de usuario final en este túnel, junto con información sobre este ACS. Este método de aprovisionamiento utiliza EAP-MSCHAPv2 como método de autenticación en la fase cero y EAP-GTC en la fase dos.
Dado que se ha aprovisionado un servidor no autenticado, no es posible utilizar una contraseña de texto sin formato. Por lo tanto, sólo se pueden utilizar las credenciales MS-CHAP dentro del túnel. MS-CHAPv2 se utiliza para probar la identidad del par y recibir una PAC para sesiones de autenticación adicionales (EAP-MS-CHAP se utilizará sólo como método interno).
Complete estos pasos para configurar la autenticación EAP-FAST en el servidor RADIUS para el aprovisionamiento anónimo en banda:
Haga clic en System Configuration de la GUI del servidor RADIUS. En la página System Configuration , elija Global Authentication Setup.
Desde la página de configuración de Autenticación Global, haga clic en Configuración EAP-FAST para ir a la página de configuración de EAP-FAST.
En la página EAP-FAST Settings (Parámetros de EAP-FAST), marque la casilla de verificación Allow EAP-FAST para activar EAP-FAST en el servidor RADIUS.
Configure los valores TTL (Time-to-Live) de clave maestra activa/retirada como desee o establézcalos en el valor predeterminado, como se muestra en este ejemplo.
Consulte Claves Maestras para obtener información sobre las claves Maestras Activas y Retiradas. Consulte también las claves maestras y los TTL PAC para obtener más información.
El campo Información de ID de autoridad representa la identidad textual de este servidor ACS, que un usuario final puede utilizar para determinar con qué servidor ACS se autenticará. Rellenar este campo es obligatorio.
El campo Mensaje de visualización inicial del cliente especifica un mensaje que se enviará a los usuarios que se autentiquen con un cliente EAP-FAST. La longitud máxima es de 40 caracteres. Un usuario sólo verá el mensaje inicial si el cliente de usuario final admite la visualización.
Si desea que ACS realice el aprovisionamiento de PAC en banda anónimo, marque la casilla de verificación Permitir el aprovisionamiento de PAC en banda anónimo.
Métodos internos permitidos: esta opción determina qué métodos EAP internos se pueden ejecutar dentro del túnel EAP-FAST TLS. Para el aprovisionamiento en banda anónimo, debe habilitar EAP-GTC y EAP-MS-CHAP para la compatibilidad con versiones anteriores. Si selecciona Permitir el aprovisionamiento de PAC en banda anónimo, debe seleccionar EAP-MS-CHAP (fase cero) y EAP-GTC (fase dos).
El siguiente paso consiste en configurar el cliente inalámbrico para el modo de funcionamiento WPA2 Enterprise.
Complete estos pasos para configurar el cliente inalámbrico para el modo WPA2 Enterprise.
Desde la ventana Aironet Desktop Utility, haga clic en Profile Management > New para crear un perfil para el usuario WLAN WPA2-Enterprise.
Como se mencionó anteriormente, este documento utiliza el nombre WLAN/SSID como WPA2-Enterprise para el cliente inalámbrico.
Desde la ventana Profile Management, haga clic en la pestaña General y configure el nombre del perfil, el nombre del cliente y el nombre SSID como se muestra en este ejemplo. A continuación, haga clic en Aceptar
Haga clic en la ficha Security y seleccione WPA/WPA2/CCKM para activar el modo de funcionamiento de WPA2. En WPA/WPA2/CCKM EAP Type (Tipo de EAP WPA/WPA2/CCKM), seleccione EAP-FAST. Haga clic en Configure para configurar el ajuste EAP-FAST.
En la ventana Configure EAP-FAST, marque la casilla de verificación Allow Automatic PAC Provisioning. Si desea configurar el aprovisionamiento de PAC anónimo, EAP-MS-CHAP se utilizará como el único método interno en la fase cero.
Elija Nombre de usuario y Contraseña MSCHAPv2 como método de autenticación en el cuadro desplegable Método de autenticación EAP-FAST. Haga clic en Configure (Configurar).
En la ventana Configurar nombre de usuario y contraseña de MSCHAPv2, elija la configuración de nombre de usuario y contraseña adecuada.
En este ejemplo se elige Pedir automáticamente nombre de usuario y contraseña.
El mismo nombre de usuario y la misma contraseña deben registrarse en ACS. Como se mencionó anteriormente, este ejemplo utiliza User1 y User1 respectivamente como nombre de usuario y contraseña. Además, tenga en cuenta que se trata de un aprovisionamiento en banda anónimo. Por lo tanto, el cliente no puede validar el certificado del servidor. Debe asegurarse de que la casilla de verificación Validar identidad de servidor no está activada.
Click OK.
Complete estos pasos para verificar si su configuración del modo WPA2 Enterprise funciona correctamente:
En la ventana Aironet Desktop Utility, seleccione el perfil WPA2-Enterprise y haga clic en Activate para activar el perfil del cliente inalámbrico.
Si ha habilitado MS-CHAP ver2 como su autenticación, el cliente solicitará el nombre de usuario y la contraseña.
Durante el procesamiento EAP-FAST del usuario, el cliente le pedirá que solicite PAC del servidor RADIUS. Al hacer clic en Sí, se inicia el aprovisionamiento de PAC.
Después del aprovisionamiento correcto de PAC en la fase cero, se siguen las fases uno y dos, y tiene lugar un procedimiento de autenticación correcto.
Una vez realizada la autenticación correctamente, el cliente inalámbrico se asocia a WLAN WPA2-Enterprise. Esta es la captura de pantalla:
También puede verificar si el servidor RADIUS recibe y valida la solicitud de autenticación del cliente inalámbrico. Verifique los informes Passed Authentications and Failed Attempts en el servidor ACS para lograr esto. Estos informes están disponibles en Informes y actividades en el servidor ACS.
Siga estos pasos para configurar los dispositivos para el modo de funcionamiento WPA2-Personal:
Configuración de la WLAN para la autenticación en modo WPA2 Personal
Configuración del cliente inalámbrico para el modo WPA2 Personal
Debe configurar la WLAN que los clientes utilizarán para conectarse a la red inalámbrica. El SSID de WLAN para el modo WPA2 Personal será WPA2-Personal. Este ejemplo asigna esta WLAN a la interfaz de administración.
Complete estos pasos para configurar la WLAN y sus parámetros relacionados:
Haga clic en WLANs de la GUI del controlador para mostrar la página WLANs.
Esta página enumera las WLANs que existen en el controlador.
Haga clic en Nuevo para crear un nuevo WLAN.
Introduzca el nombre SSID de WLAN, el nombre de perfil y la ID de WLAN en la página WLAN > New (WLAN > Nuevo). A continuación, haga clic en Aplicar.
Este ejemplo utiliza WPA2-Personal como SSID.
Una vez que haya creado una nueva WLAN, aparecerá la página WLAN > Edit para la nueva WLAN. En esta página, puede definir varios parámetros específicos para esta WLAN. Esto incluye políticas generales, políticas de seguridad, políticas de QOS y parámetros avanzados.
En Políticas generales, marque la casilla de verificación Status para habilitar la WLAN.
Si desea que el AP difunda el SSID en sus tramas de baliza, marque la casilla de verificación Broadcast SSID.
Haga clic en la ficha Security (Seguridad). En Layer Security, seleccione WPA+WPA2.
Esto activa la autenticación WPA para la WLAN.
Desplácese hacia abajo por la página para modificar los parámetros WPA+WPA2.
En este ejemplo, se seleccionan la política WPA2 y el cifrado AES.
En Auth Key Mgmt, elija PSK para habilitar WPA2-PSK.
Introduzca la clave precompartida en el campo correspondiente, como se muestra a continuación.
Nota: La clave previamente compartida utilizada en el WLC debe coincidir con la configurada en los clientes inalámbricos.
Haga clic en Apply (Aplicar).
El siguiente paso consiste en configurar el cliente inalámbrico para el modo de funcionamiento WPA2-Personal.
Complete estos pasos para configurar el cliente inalámbrico para el modo WPA2-Personal:
Desde la ventana Aironet Desktop Utility, haga clic en Profile Management > New para crear un perfil para el usuario WLAN WPA2-PSK.
Desde la ventana Profile Management, haga clic en la pestaña General y configure el nombre del perfil, el nombre del cliente y el nombre SSID como se muestra en este ejemplo. A continuación, haga clic en Aceptar.
Haga clic en la ficha Security y seleccione WPA/WPA2 Passphrase para activar el modo de funcionamiento de WPA2-PSK. Haga clic en Configure para configurar la clave previamente compartida WPA-PSK.
Introduzca la clave previamente compartida y haga clic en Aceptar.
Complete estos pasos para verificar si su configuración del modo WPA2-Enterprise funciona correctamente:
Desde la ventana de Aironet Desktop Utility, seleccione el perfil WPA2-Personal y haga clic en Activar para activar el perfil del cliente inalámbrico.
Una vez que se activa el perfil, el cliente inalámbrico se asocia a la WLAN tras una autenticación exitosa.
Esta es la captura de pantalla:
En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.
Estos comandos debug serán útiles para resolver problemas de configuración:
Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.
debug dot1x events enable: habilita la depuración de todos los eventos dot1x. A continuación se presenta un ejemplo de resultado de depuración basado en una autenticación exitosa:
Nota: Algunas de las líneas de esta salida se han movido a la segunda línea debido a limitaciones de espacio.
(Cisco Controller)>debug dot1x events enable Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Sending EAP -Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1) Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:40:96:af:3e:93 Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 2) Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with mismatching id (currentid=2, eapid=1) from mobile 00:40:96:af:3e:93 Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Received Identity Response (count=2) from mobile 00:40:96:af:3e:93 Wed Feb 20 14:19:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 .............................................................................. .............................................................................. ............................................................................... ................................................................................ Wed Feb 20 14:20:00 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 19, EAP Type 43) Wed Feb 20 14:20:00 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 20) Wed Feb 20 14:20:01 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 20, EAP Type 43) Wed Feb 20 14:20:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -0 Wed Feb 20 14:20:29 2007: Resetting the group key timer for 3689 seconds on AP 00:0b:85:91:c3:c0 Wed Feb 20 14:20:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -1 Wed Feb 20 14:20:29 2007: Resetting the group key timer for 3696 seconds on AP 00:0b:85:91:c3:c0 Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 22) Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3) from mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ===> 19 for STA 00:40:96:af:3e:93 Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 19) Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 19, EAP Type 3) Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 20) Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 20, EAP Type 43) Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 21) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 21, EAP Type 43) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 22) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 22, EAP Type 43) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 23) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 23, EAP Type 43) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 24) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 24, EAP Type 43) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 25) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 25, EAP Type 43) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 26) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 26, EAP Type 43) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 27) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 27, EAP Type 43) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile00:40:96:af:3e:93 Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:4096:af:3e:93 (EAP Id 27) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1) Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 2) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received Identity Response (count=2) from mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===> 20 for STA 00:40:96:af:3e:93 Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 20) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 20, EAP Type 3) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 21) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 21, EAP Type 43) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 22) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 22, EAP Type 43) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ===> 24 for STA 00:40:96:af:3e:93 Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 24) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 24, EAP Type 43) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobile 00:40:96:af:3e:93 (EAP Id 25) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00:40:96:af:3e:93 (EAP Id 25, EAP Type 43) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Processing Access-Accept for mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Creating a new PMK Cache Entry for tation 00:40:96:af:3e:93 (RSN 0) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending EAP-Success to mobile 00:40:96:af:3e:93 (EAP Id 25) Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending default RC4 key to mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Sending Key-Mapping RC4 key to mobile 00:40:96:af:3e:93 Wed Feb 20 14:20:32 2007: 00:40:96:af:3e:93 Received Auth Success while in Authenticating state for mobile 00:40:96:af:3e:93
debug dot1x packet enable: habilita la depuración de mensajes de paquetes 802.1x.
debug aaa events enable: habilita la salida de depuración de todos los eventos aaa.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
26-Feb-2008 |
Versión inicial |