增加無線LAN控制器上的Web驗證逾時
簡介
本文檔提供為Web-auth服務集識別符號(SSID)允許VPN使用者訪問而不進行完全身份驗證且每隔幾分鐘不斷開連線所需的步驟。為了達成此目的,使用者必須增加無線LAN控制器(WLC)上的Web驗證(Web-auth)逾時。
必要條件
需求
思科建議您瞭解如何設定WLC以達成基本操作和Web驗證。
採用元件
本檔案中的資訊是根據執行韌體版本8.0.100.0的Cisco 5500系列WLC。
背景資訊
在許多客戶網路設定中,有些設定允許一組公司使用者或訪客VPN訪問某些IP地址,而無需通過Web-auth安全性。這些使用者收到IP位址並直接連線到VPN,無需任何憑證即可通過Web-auth安全進行驗證。此SSID可能正被另一組使用者使用,這些使用者也通過普通和完全的Web-auth來獲取Internet訪問。此方案可能通過在SSID上配置的預身份驗證ACL來實現,該預身份驗證ACL允許使用者在通過身份驗證之前連線到VPN IP地址。這些VPN使用者的問題是,他們選擇IP地址,但永遠不會完成完整的Web-auth。因此,Web-auth逾時計時器會啟用,且使用者端會取消驗證:
*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Web-Auth Policy timeout
*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Pem timed out, Try to delete client in 10 secs.
此逾時的值為5分鐘,在低於7.6的WLC版本中有固定值。如此短的逾時持續時間會導致無線網路幾乎無法用於這些型別的使用者。WLC 8.0版新增了變更此值的功能,允許使用者透過預先驗證ACL允許的流量存取VPN。
設定
完成以下步驟即可增加WLC上的Web-auth逾時:
- 建立允許流量到達VPN IP地址的ACL。
- 在「第3層安全」下對無線LAN(WLAN)配置應用ACL作為預驗證ACL。
- 透過CLI登入,並輸入config wlan security web-auth timeout指令,以增加Web-auth逾時值:
(WLC)>config wlan security web-auth timeout ?
<value> Configures Web authentication Timeout (300-14400 seconds).
(WLC)>config wlan security web-auth timeout 3600
驗證
使用本節內容,確認您的組態是否正常運作。
您的WLAN的Web-auth作業階段逾時值會顯示,如下範例輸出所示:
(WLC)>show wlan 10
Web Based Authentication...................... Enabled
Web Authentication Timeout.................... 3600
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
輸入debug client <mac-address>命令,以檢視未通過身份驗證連線到VPN的使用者的Web-auth計時器開始。
意見