Controleer de connectiviteit van de RADIUS-server met de opdracht AAA-straal testen

Downloadopties

  • PDF     (314.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:28 augustus 2023
Document-id:212473

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe de opdracht problemen met de radiusserverconnectiviteit en clientverificatie test aaa radius identificeert.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van AireOS Wireless LAN Controller (WLC) code 8.2 en hoger.

    Gebruikte componenten

    Dit document en de vermelde opdrachten zijn specifiek voor Cisco AireOS WLC’s.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Problemen met draadloze client-verificatie zijn een van de moeilijkste problemen waarmee draadloze netwerkengineers te maken hebben. Om problemen op te lossen, vereist dit vaak

    het krijgen van greep van de problematische client, werken met eindgebruikers die niet de beste kennis van draadloze netwerken hebben, en om debugs en captures te verzamelen. In een steeds kritischer draadloos netwerk kan dit aanzienlijke downtime veroorzaken.

    Tot nu toe was er geen gemakkelijke manier om te identificeren als een verificatiefout werd veroorzaakt door de radiusserver die de client afwijst, of als het gewoon een bereikbaarheidsprobleem was.

    Het test aaa radius commando laat je precies dat doen. U kunt nu op afstand controleren of de communicatie met de WLC-Radius server mislukt of dat de referenties voor de client resulteren in een doorgegeven of mislukte verificatie.

    Hoe de functie werkt

    Dit is een basiswerkstroom wanneer u de opdracht gebruikt test aaa radius (zoals getoond).

    Basis werkstroom

    Stap 1. De WLC stuurt een toegangsverzoekbericht naar de radiusserver samen met de parameters die in de test aaa radius   opdracht worden vermeld:

    (Cisco-controller) >test aaa radius username <user name> password <password> wlan-id <wlan-id> apgroup <apgroup-name> server-index <server-index>

    Voorbeeld

    test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2

    Stap 2. De radiusserver valideert de opgegeven referenties en geeft de resultaten van het verificatieverzoek.

    Opdrachtsyntaxis

    Deze parameters moeten worden verstrekt om het bevel uit te voeren:

    (Cisco-controller) > test aaa radius username <user name> password <password> wlan-id <wlan-id> apgroup <apgroup-name> server-index <server-index>

    <username> ---> Username that you are testing. <password> ---> Password that you are testing <wlan-id> ---> WLAN ID of the SSID that you are testing. <apgroup-name> (optional) ---> AP group name. This will be default-group if there is no AP group configured. <server-index> (optional) ---> The server index configured for the radius server that you are trying to test. This can be found under Security > Authentication tab.

    Scenario 1: Gepasseerde verificatiepoging

    Laten we eens kijken hoe de opdracht werkt en hoe de output wordt gezien wanneer de test aaa radius   opdracht resulteert in een doorgegeven authenticatie. Wanneer het bevel wordt uitgevoerd, toont WLC de parameters waarmee het het toegangsverzoek uitstuurt:

    (Cisco Controller) >test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2 Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Attributes Values ---------- ------ User-Name admin Called-Station-Id 00:00:00:00:00:00:WLC5508 Calling-Station-Id 00:11:22:33:44:55 Nas-Port 0x0000000d (13) Nas-Ip-Address 10.20.227.39 NAS-Identifier WLC_5508 Airespace / WLAN-Identifier 0x00000001 (1) User-Password cisco123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81) Cisco / Audit-Session-Id ad14e327000000c466191e23 Acct-Session-Id 56131b33/00:11:22:33:44:55/210 test radius auth request successfully sent. Execute 'test aaa show radius' for response

    Voer de opdracht uit om de resultaten van het verificatieverzoek weer te geven test aaa show radius . De opdracht kan enige tijd in beslag nemen om de uitvoer te tonen als een radiusserver onbereikbaar is en de WLC moet opnieuw proberen of terugvallen naar een andere radiusserver.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin Class CACS:rs-acs5-6-0-22/230677882/20313 Session-Timeout 0x0000001e (30) Termination-Action 0x00000000 (0) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81)

    Het uiterst nuttige aspect van dit bevel is dat het de eigenschappen toont die door de straalserver zijn teruggekeerd. U kunt URL en toegangscontrolelijst (ACL) doorsturen. Bijvoorbeeld, in het geval van Central Web Verification (CWA) of VLAN-info wanneer u VLAN-overschrijving gebruikt.

    Waarschuwing: de gebruikersnaam/het wachtwoord in de toegangsaanvraag wordt in duidelijke tekst naar de radiusserver verzonden, zodat u deze voorzichtig moet gebruiken als het verkeer over een onbeveiligd netwerk stroomt.

    Scenario 2: mislukte verificatiepoging

    Laat ons zien hoe de uitvoer wordt weergegeven wanneer een gebruikersnaam/wachtwoord-invoer resulteert in een mislukte verificatie.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Authentication failed ------> This result indicates that the user authentication will fail. No AVPs in Response

    In dit geval, kunt u zien dat de connectiviteitstest resulteerde in een Success, echter de radiusserver verzond een toegang-verwerping voor de gebruikte gebruikersbenaming/wachtwoordcombinatie.

    Scenario 3: communicatie tussen WLC en Radius Server mislukt

    (Cisco Controller) >test aaa show radius  previous test command still not completed, try after some time

    Wacht op WLC om te eindigen opnieuw probeert voordat het de uitvoer toont. De tijd kan variëren op basis van de geconfigureerde drempels voor opnieuw proberen.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 3 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.72 6 No response received from server Authentication Response: Result Code: No response received from server No AVPs in Response

    In deze output kunt u zien dat de WLC probeerde om de radiusserver 6 keer te contacteren en toen er geen reactie was merkte het de radiusserver als onbereikbaar.

    Scenario 4: Radius Fallback

    Wanneer u meerdere radiusservers hebt geconfigureerd onder Service Set Identifier (SSID) en de primaire radiusserver niet reageert, dan probeert de WLC met de secundaire radiusserver geconfigureerd. Dit wordt zeer duidelijk getoond in de output waar de eerste radiusserver niet antwoordt en WLC dan de tweede radiusserver probeert die onmiddellijk antwoordt.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.62 6 No response received from server 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin

    Voorbehouden

    • Er is momenteel geen GUI-ondersteuning. Het is alleen een commando dat kan worden uitgevoerd vanuit de WLC.
    • De verificatie is alleen voor de straal. Het kan niet worden gebruikt voor TACACS-verificatie.
    • Flexconnect lokale verificatie kan niet met deze methode worden getest.
      •

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    28-Aug-2023
    Hercertificering
    2.0
    20-Jul-2022
    Updates voor opmaak, machinevertaling, graden, enz. om te voldoen aan Cisco-richtlijnen.
    1.0
    21-Nov-2017
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Jesse Dubois
      Cisco TAC Engineer
    • Jon Balewicz
      Cisco engineering

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten