簡介
本文檔介紹 test aaa radius 命令如何辨識RADIUS伺服器連線和客戶端身份驗證問題。
必要條件
需求
思科建議您瞭解AireOS無線LAN控制器(WLC)代碼8.2及更高版本。
採用元件
本文檔和所述的命令特定於Cisco AireOS WLC。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
無線客戶端身份驗證問題是無線網路工程師所面臨的最困難問題之一。為了排除故障,通常需要
取得有問題的使用者端、與沒有無線網路最佳知識的使用者合作,以及收集偵錯和擷取。在越來越關鍵的無線網路中,這可能會導致嚴重的停機時間。
到目前為止,很難確定身份驗證失敗是由拒絕客戶端的RADIUS伺服器引起的,還是僅僅是一個可接通性問題。
test aaa radius 命令允許您這樣做。現在,您可以遠端驗證WLC-Radius伺服器通訊是否失敗,或者客戶端的憑證是否導致身份驗證透過或失敗。
功能的運作方式
以下是使用 test aaa radius 指令時的基本工作流程(如下所示)。
步驟 1.WLC將訪問請求消息與 test aaa radius 命令中提及的引數一起傳送到radius伺服器:
(思科控制器) >test aaa radius username <user name> password <password> wlan-id <wlan-id> apgroup <apgroup-name> server-index <server-index>
範例
test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2
步驟 2.Radius伺服器會驗證提供的身份證明,並提供驗證要求的結果。
命令語法
需要提供以下引數才能執行命令:
(思科控制器) > test aaa radius username <user name> password <password> wlan-id <wlan-id> apgroup <apgroup-name> server-index <server-index>
<username> ---> Username that you are testing. <password> ---> Password that you are testing <wlan-id> ---> WLAN ID of the SSID that you are testing. <apgroup-name> (optional) ---> AP group name. This will be default-group if there is no AP group configured. <server-index> (optional) ---> The server index configured for the radius server that you are trying to test. This can be found under Security > Authentication tab.
案例1:透過驗證嘗試
讓我們看看 test aaa radius 命令如何工作,以及當命令導致身份驗證透過時會看到輸出。執行命令時,WLC會顯示其傳送存取要求時使用的引數:
(Cisco Controller) >test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2 Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Attributes Values ---------- ------ User-Name admin Called-Station-Id 00:00:00:00:00:00:WLC5508 Calling-Station-Id 00:11:22:33:44:55 Nas-Port 0x0000000d (13) Nas-Ip-Address 10.20.227.39 NAS-Identifier WLC_5508 Airespace / WLAN-Identifier 0x00000001 (1) User-Password cisco123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81) Cisco / Audit-Session-Id ad14e327000000c466191e23 Acct-Session-Id 56131b33/00:11:22:33:44:55/210 test radius auth request successfully sent. Execute 'test aaa show radius' for response
要檢視身份驗證請求的結果,請執行命令 test aaa show radius 。如果RADIUS伺服器無法訪問,並且WLC需要重試或回退到其他RADIUS伺服器,則此命令可能需要一些時間才能顯示輸出。
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin Class CACS:rs-acs5-6-0-22/230677882/20313 Session-Timeout 0x0000001e (30) Termination-Action 0x00000000 (0) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81)
此命令非常有用的方面是它顯示RADIUS伺服器返回的屬性。這可以是重新導向URL和存取控制清單(ACL)。例如,使用中央Web驗證(CWA)或使用VLAN覆寫時的VLAN資訊。
注意:訪問請求中的使用者名稱/口令以明文形式傳送到RADIUS伺服器,因此,如果資料流透過不安全網路,您需要謹慎使用。
方案2:身份驗證嘗試失敗
讓我們看看當使用者名稱/密碼專案導致驗證失敗時,輸出會如何顯示。
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Authentication failed ------> This result indicates that the user authentication will fail. No AVPs in Response
在這種情況下,您可以看到連線測試產生了Success,但是RADIUS伺服器為使用的使用者名稱/口令組合傳送了access-reject命令。
方案3:WLC和Radius伺服器之間的通訊失敗
(Cisco Controller) >test aaa show radius previous test command still not completed, try after some time
等待WLC完成重試,然後顯示輸出。此時間可能因配置的重試閾值而異。
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 3 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.72 6 No response received from server Authentication Response: Result Code: No response received from server No AVPs in Response
在此輸出中,您可以看到WLC嘗試連絡RADIUS伺服器六次,但無回應時,它將RADIUS伺服器標示為無法連線。
場景4:Radius後退
如果您在服務組辨識碼(SSID)下設定多個RADIUS伺服器,且主要RADIUS伺服器沒有回應,則WLC會嘗試設定輔助RADIUS伺服器。此錯誤會非常清楚顯示在輸出中,第一個RADIUS伺服器沒有回應,WLC接著嘗試立即回應的第二個RADIUS伺服器。
(Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.62 6 No response received from server 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin
注意事項
- 目前沒有GUI支援。它只是一種可從WLC執行的命令。
- 驗證僅適用於RADIUS。它不能用於TACACS身份驗證。
- 無法使用此方法測試Flexconnect本地身份驗證。
相關資訊