소개
이 문서에서는 이 명령이 test aaa radius
radius 서버 연결 및 클라이언트 인증 문제를 식별하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
Cisco에서는 AireOS WLC(Wireless LAN Controller) 코드 8.2 이상에 대해 알고 있는 것이 좋습니다.
사용되는 구성 요소
이 문서 및 언급된 명령은 Cisco AireOS WLC에만 적용됩니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
무선 클라이언트 인증 문제는 무선 네트워크 엔지니어가 직면하는 가장 어려운 문제 중 하나입니다. 문제를 해결하려면
문제가 있는 클라이언트를 파악하고, 무선 네트워크에 대한 최상의 지식이 없는 최종 사용자와 작업하며, 디버그 및 캡처를 수집합니다. 갈수록 중요해지는 무선 네트워크에서 이로 인해 상당한 다운타임이 발생할 수 있습니다.
지금까지는 인증 실패가 클라이언트를 거부하는 RADIUS 서버로 인해 발생한 것인지, 아니면 단순히 연결 가능성 문제인지 쉽게 확인할 수 있는 방법이 없었습니다.
이 test aaa radius
명령을 사용하면 이러한 작업을 수행할 수 있습니다. 이제 WLC-Radius 서버 통신이 실패하거나 클라이언트에 대한 자격 증명으로 인증 통과 또는 실패 여부를 원격으로 확인할 수 있습니다.
기능 작동 방식
이 워크플로는 표시된 것처럼 명령을 사용할 test aaa radius
때의 기본 워크플로입니다.
1단계. WLC는 명령에 언급된 매개변수와 함께 액세스 요청 메시지를 radius 서버에 test aaa radius
전송합니다.
(Cisco 컨트롤러) >test aaa radius username
password
wlan-id
apgroup
server-index
예
test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2
2단계. RADIUS 서버는 제공된 자격 증명을 검증하고 인증 요청의 결과를 제공합니다.
명령 구문
명령을 실행하려면 다음 매개변수를 제공해야 합니다.
(Cisco 컨트롤러) > test aaa radius username
password
wlan-id
apgroup
server-index
<username> ---> Username that you are testing.
<password> ---> Password that you are testing
<wlan-id> ---> WLAN ID of the SSID that you are testing.
<apgroup-name> (optional) ---> AP group name. This will be default-group if there is no AP group configured.
<server-index> (optional) ---> The server index configured for the radius server that you are trying to test. This can be found under Security > Authentication tab.
시나리오 1: 인증 시도 통과
명령의 작동 방식과 명령이 인증을 통과했을 때 출력이 test aaa radius
표시되는지 살펴보겠습니다. 명령이 실행되면 WLC는 액세스 요청을 보낼 때 사용할 매개변수를 표시합니다.
(Cisco Controller) >test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Attributes Values
---------- ------
User-Name admin
Called-Station-Id 00:00:00:00:00:00:WLC5508
Calling-Station-Id 00:11:22:33:44:55
Nas-Port 0x0000000d (13)
Nas-Ip-Address 10.20.227.39
NAS-Identifier WLC_5508
Airespace / WLAN-Identifier 0x00000001 (1)
User-Password cisco123
Service-Type 0x00000008 (8)
Framed-MTU 0x00000514 (1300)
Nas-Port-Type 0x00000013 (19)
Tunnel-Type 0x0000000d (13)
Tunnel-Medium-Type 0x00000006 (6)
Tunnel-Group-Id 0x00000051 (81)
Cisco / Audit-Session-Id ad14e327000000c466191e23
Acct-Session-Id 56131b33/00:11:22:33:44:55/210
test radius auth request successfully sent. Execute 'test aaa show radius' for response
인증 요청의 결과를 보려면 명령을 실행합니다 test aaa show radius
. 이 명령은 RADIUS 서버에 연결할 수 없고 WLC가 재시도하거나 다른 RADIUS 서버로 대체해야 하는 경우 출력을 표시하는 데 시간이 걸릴 수 있습니다.
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 2
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.52 1 Success
Authentication Response:
Result Code: Success
Attributes Values
---------- ------
User-Name admin
Class CACS:rs-acs5-6-0-22/230677882/20313
Session-Timeout 0x0000001e (30)
Termination-Action 0x00000000 (0)
Tunnel-Type 0x0000000d (13)
Tunnel-Medium-Type 0x00000006 (6)
Tunnel-Group-Id 0x00000051 (81)
이 명령의 매우 유용한 측면은 radius 서버에서 반환되는 특성을 표시한다는 점입니다. 리디렉션 URL 및 ACL(Access Control List)일 수 있습니다. 예를 들어 VLAN 재정의를 사용할 때 CWA(Central Web Authentication) 또는 VLAN 정보의 경우
주의: 액세스 요청의 사용자 이름/비밀번호는 일반 텍스트로 RADIUS 서버에 전송되므로 트래픽이 안전하지 않은 네트워크를 통해 이동할 경우 신중하게 사용해야 합니다.
시나리오 2: 실패한 인증 시도
사용자 이름/비밀번호 입력으로 인증이 실패하는 경우 출력이 어떻게 표시되는지 알아보겠습니다.
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 2
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.52 1 Success
Authentication Response:
Result Code: Authentication failed ------> This result indicates that the user authentication will fail.
No AVPs in Response
이 경우 연결 테스트에서 Success(성공)가 되었지만 radius 서버가 사용된 사용자 이름/비밀번호 조합에 대해 access-reject를 전송했음을 확인할 수 있습니다.
시나리오 3: WLC와 Radius 서버 간의 통신에 실패했습니다.
(Cisco Controller) >test aaa show radius
previous test command still not completed, try after some time
WLC에서 출력을 표시하기 전에 재시도가 완료될 때까지 기다립니다. 시간은 구성된 재시도 임계값에 따라 달라질 수 있습니다.
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Server Index................................... 3
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.72 6 No response received from server
Authentication Response:
Result Code: No response received from server
No AVPs in Response
이 출력에서는 WLC가 RADIUS 서버에 6번 연결하려고 시도했으며 응답이 없을 때 RADIUS 서버에 연결할 수 없는 것으로 표시되었음을 알 수 있습니다.
시나리오 4: Radius 대체
SSID(Service Set Identifier) 아래에 여러 RADIUS 서버가 구성되어 있고 기본 RADIUS 서버가 응답하지 않을 경우 WLC는 구성된 보조 RADIUS 서버로 시도합니다. 이는 첫 번째 radius 서버가 응답하지 않고 WLC가 즉시 응답하는 두 번째 radius 서버를 시도하는 출력에 매우 명확하게 표시됩니다.
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 1
ApGroup Name................................... default-group
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.20.227.62 6 No response received from server
10.20.227.52 1 Success
Authentication Response:
Result Code: Success
Attributes Values
---------- ------
User-Name admin
경고
- 현재 GUI가 지원되지 않습니다. WLC에서 실행할 수 있는 명령일 뿐입니다.
- 검증은 radius에 대해서만 수행됩니다. TACACS 인증에 사용할 수 없습니다.
- Flexconnect 로컬 인증은 이 방법으로 테스트할 수 없습니다.
관련 정보