المقدمة
يوضح هذا المستند كيفية test aaa radius
تعريف الأمر لاتصال خادم RADIUS ومشكلات مصادقة العميل.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من AireOS لاسلكي lan جهاز تحكم (WLC) رمز 8،2 وأعلى.
المكونات المستخدمة
هذا المستند والأوامر المشار إليها محددة بقوائم التحكم في الشبكة المحلية اللاسلكية (WLCs) Cisco AireOS.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تعد مشاكل مصادقة العميل اللاسلكي من أصعب المشاكل التي يواجهها مهندسو الشبكات اللاسلكية. لاستكشاف الأخطاء وإصلاحها، غالبا ما يتطلب
التحكم بالعميل الإشكالي والعمل مع المستخدمين النهائيين الذين لا يملكون أفضل معرفة بالشبكات اللاسلكية وجمع تصحيح الأخطاء والتقاط الصور. في أي شبكة لاسلكية تزداد أهميتها، قد يتسبب ذلك في حدوث توقف كبير عن العمل.
حتى الآن، لم تكن هناك طريقة سهلة لتحديد ما إذا كان فشل المصادقة ناجما عن خادم RADIUS الذي يرفض العميل، أو ما إذا كان مجرد مشكلة إمكانية الوصول.
الأمر test aaa radius
يتيح لك القيام بذلك. يمكنك الآن التحقق عن بعد ما إذا فشل اتصال خادم WLC-Radius أو ما إذا كانت بيانات اعتماد العميل ينتج عنها مصادقة ناجحة أو فاشلة.
كيفية عمل الميزة
هذا سير عمل أساسي عند إستخدام الأمر test aaa radius
، (كما هو موضح).
الخطوة 1. يرسل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) رسالة طلب وصول إلى خادم RADIUS مع المعلمات المذكورة في test aaa radius
الأمر:
(وحدة التحكم من Cisco) >test aaa radius username
password
wlan-id
apgroup
server-index
مثال
test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2
الخطوة 2. يتحقق خادم RADIUS من بيانات الاعتماد المقدمة ويوفر نتائج طلب المصادقة.
صياغة الأمر
يجب توفير هذه المعلمات لتنفيذ الأمر:
(وحدة التحكم من Cisco) > test aaa radius username
password
wlan-id
apgroup
server-index
<username> ---> Username that you are testing.
<password> ---> Password that you are testing
<wlan-id> ---> WLAN ID of the SSID that you are testing.
<apgroup-name> (optional) ---> AP group name. This will be default-group if there is no AP group configured.
<server-index> (optional) ---> The server index configured for the radius server that you are trying to test. This can be found under Security > Authentication tab.
السيناريو 1: محاولة المصادقة التي تم تمريرها
فلنلق نظرة على كيفية عمل الأمر ورؤية المخرجات عندما ينتج test aaa radius
الأمر عن مصادقة ناجحة. عند تنفيذ الأمر، يعرض WLC المعلمات التي يرسل معها طلب الوصول:
(Cisco Controller) >test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Attributes Values
---------- ------
User-Name admin
Called-Station-Id 00:00:00:00:00:00:WLC5508
Calling-Station-Id 00:11:22:33:44:55
Nas-Port 0x0000000d (13)
Nas-Ip-Address 10.20.227.39
NAS-Identifier WLC_5508
Airespace / WLAN-Identifier 0x00000001 (1)
User-Password cisco123
Service-Type 0x00000008 (8)
Framed-MTU 0x00000514 (1300)
Nas-Port-Type 0x00000013 (19)
Tunnel-Type 0x0000000d (13)
Tunnel-Medium-Type 0x00000006 (6)
Tunnel-Group-Id 0x00000051 (81)
Cisco / Audit-Session-Id ad14e327000000c466191e23
Acct-Session-Id 56131b33/00:11:22:33:44:55/210
test radius auth request successfully sent. Execute 'test aaa show radius' for response
لعرض نتائج طلب المصادقة، قم بتنفيذ الأمر test aaa show radius
. قد يستغرق الأمر بعض الوقت لإظهار الإخراج إذا كان خادم RADIUS غير قابل للوصول إليه وكان يجب على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إعادة المحاولة أو الرجوع إلى خادم RADIUS مختلف.
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 2
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.52 1 Success
Authentication Response:
Result Code: Success
Attributes Values
---------- ------
User-Name admin
Class CACS:rs-acs5-6-0-22/230677882/20313
Session-Timeout 0x0000001e (30)
Termination-Action 0x00000000 (0)
Tunnel-Type 0x0000000d (13)
Tunnel-Medium-Type 0x00000006 (6)
Tunnel-Group-Id 0x00000051 (81)
الجانب المفيد للغاية من هذا الأمر هو أنه يعرض الخصائص التي يتم إرجاعها بواسطة خادم RADIUS. يمكن أن يكون هذا عنوان URL لإعادة التوجيه وقائمة التحكم في الوصول (ACL). على سبيل المثال، في حالة مصادقة الويب المركزية (CWA) أو معلومات شبكة VLAN عند إستخدام تجاوز شبكة VLAN.
تحذير: يتم إرسال اسم المستخدم/كلمة المرور في طلب الوصول في نص واضح إلى خادم RADIUS، لذلك تحتاج إلى إستخدامها بحذر إذا كانت حركة المرور تتدفق عبر شبكة غير آمنة.
السيناريو الثاني: محاولة المصادقة الفاشلة
دعنا نرى كيف يظهر الإخراج عندما ينتج إدخال اسم مستخدم/كلمة مرور في مصادقة فاشلة.
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 2
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.52 1 Success
Authentication Response:
Result Code: Authentication failed ------> This result indicates that the user authentication will fail.
No AVPs in Response
في هذه الحالة، يمكنك أن ترى أن إختبار الاتصال أسفر عن نجاح ، ومع ذلك، أرسل خادم RADIUS رفض الوصول لمجموعة اسم المستخدم/كلمة المرور المستخدمة.
السيناريو 3: فشل الاتصال بين WLC وخادم RADIUS
(Cisco Controller) >test aaa show radius
previous test command still not completed, try after some time
انتظر حتى تنتهي إعادة محاولة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) قبل عرض الإخراج. يمكن أن يختلف الوقت بناء على حدود إعادة المحاولة التي تم تكوينها.
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 3
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.72 6 No response received from server
Authentication Response:
Result Code: No response received from server
No AVPs in Response
في هذا الإخراج، يمكنك أن ترى أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حاول الاتصال بخادم RADIUS 6 مرات، وعندما لم تكن هناك إستجابة، قام بوضع علامة على خادم RADIUS على أنه يتعذر الوصول إليه.
السيناريو 4: RADIUS إحتياطي
عندما يكون لديك خوادم RADIUS متعددة تم تكوينها ضمن معرف مجموعة الخدمة (SSID) ولا يستجيب خادم RADIUS الأساسي، فيحاول عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) مع خادم RADIUS الثانوي الذي تم تكوينه. وهذا موضح بوضوح شديد في الإخراج حيث لا يستجيب خادم RADIUS الأول وبعد ذلك يحاول عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) خادم RADIUS الثاني الذي يستجيب فورا.
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.62 6 No response received from server
10.20.227.52 1 Success
Authentication Response:
Result Code: Success
Attributes Values
---------- ------
User-Name admin
التحذيرات
- لا يوجد حاليا دعم لواجهة المستخدم الرسومية. هو فقط أمر يمكن تنفيذه من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
- يكون التحقق ل RADIUS فقط. ولا يمكن إستخدامه لمصادقة TACACS.
- لا يمكن إختبار المصادقة المحلية ل FlexConnect باستخدام هذه الطريقة.
معلومات ذات صلة