radius认证端口号,aaa服务器搭建

个人资料

本文介绍如何使用AAA RADIUS on命令Cisco WLC标识与RADIUS服务器的连接，并在不使用无线客户端的情况下颁发客户端验证。

思科建议您具有WLC代码8.2或更高版本。

要使用的组件

本文档不限于特定的软件和硬件版本。

背景信息

无线客户端认证问题是最困难的问题之一无线网络设计的表面。 为了进行故障排除，往往需要收集最终用户、调试和捕获，这些用户可能对有问题的客户端、工作或无线网络没有最好的了解。 在越来越重要的无线网络中，这可能会导致严重的停机。

虽然到目前为止还没有识别的简单方法，但是认证失败是因为拒绝了客户端的RADIUS服务，或者是因为连接问题。 可以使用猜谜AAA RADIUS命令执行。 如果WLC RADIUS服务器通信失败，或者客户端证书通过或失败，则当前可以远程进行身份验证。

功能的结构

这是一个基本的工作流，使用test命令AAA RADIUS时，它看起来像镜像。

步骤1:WLC将访问请求信息以及参数发送到猜谜AAA RADIUS命令中所提到的RADIUS服务器。

前： AAA RADIUS用户名管理员密码cisco123 wlan-id 1测试一个apgroup默认组服务器索引2

步骤RADIUS服务验证提供的证书，并提供认证请求的结果。

命令语法

必须指定以下参数执行命令：

(Cisco控制器)试验AAA RADIUS用户名密码wlan-id ap-group服务器索引

--- Username that you are testing。

--- Password that you are testing

--- wlanidofthessidthatyouaretesting。

(optional---- AP group name.thiswillbedefault-groupifthereisnoapgroupconfigured。

(optional---- theserverindexconfiguredfortheradiusserverthatyouaretryingtotest.thiscanbefoundersecurityauthentiotion

方案1 .尝试通过认证

请检查命令如何工作，并查看输出。 如果测试了AAA RADIUS命令并通过了合格验证。 命令执行后，WLC将显示发送访问请求的参数。

(Cisco Controller ) testaaaradiususernameadminpasswordcisco 123 w LAN-id1apgroupdefault-groupserver-index 2

radius测试请求

WLAN-id ....... 1

AP group name ...................................................................................

属性值

---------- ------

user-name管理

called-station-id 003360003360003360003360003360003360003360003360003360003360000 wlc 5508

calling-station-id 00:11336022336033:33:3:43:55

nas-port0x0000000d(13 ) )。

Nas-Ip-Address 10.20.227.39

NAS-Identifier WLC_5508

airespace/WLAN-identifier0x 0000001 (1) )。

用户密码思科123

service-type0x00000008(8) )。

framed-MTU0x000000514(1300 ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) )。

nas-port-type0x00000013(19 ) )。

tunnel-type0x0000000d(13 ) )。

Tunnel-medium-type0x0000006(6) )。

Tunnel-group-id0x0000051(81 ) )。

Cisco/audit-session-idad 14 e 327000000 c 466191 e 23

acct-session-id 56131 b 33/00:113360223360:3:336033604336055/210

testradiusauthrequestsuccessfullysent.execute ' testa

aa show radius' for response

为了查看认证请求的结果，您需要执行test命令aaa show radius。命令能采取一些时间显示输出，如果RADIUS服务器是不可得到的和WLC需要重试或者fallback到一个不同的RADIUS服务器。

(Cisco Controller) >test aaa show radius

Radius Test Request

Wlan-id........................................ 1

ApGroup Name................................... default-group

Server Index................................... 2

Radius Test Response

Radius Server Retry Status

------------- ----- ------

10.20.227.52 1 Success

Authentication Response:

Result Code: Success

Attributes Values

---------- ------

User-Name admin

Class CACS:rs-acs5-6-0-22/230677882/20313

Session-Timeout 0x0000001e (30)

Termination-Action 0x00000000 (0)

Tunnel-Type 0x0000000d (13)

Tunnel-Medium-Type 0x00000006 (6)

Tunnel-Group-Id 0x00000051 (81)

此命令的非常有用的方面是显示属性哪些由RADIUS服务器返回。这可以是重定向URL和访问控制表(ACL)。例如，一旦中央Web验证(CWA)或VLAN信息，当您使用VLAN覆盖。

Caution:在访问请求的用户名/密码在明文发送到RADIUS服务器，因此您需要小心地使用它，如果在非安全网络的通信流。

方案 2：失败的认证尝试

请发现输出如何出现，当用户名/密码条目导致失败的认证。

(Cisco Controller) >test aaa show radius

Radius Test Request

Wlan-id........................................ 1

ApGroup Name................................... default-group

Server Index................................... 2

Radius Test Response

Radius Server Retry Status

------------- ----- ------

10.20.227.52 1 Success

Authentication Response:

Result Code: Authentication failed ------>This indicates that the user authentication will fail.

No AVPs in Response

在这种情况下，您能看到连通性测试导致‘成功的，然而RADIUS服务器发送使用的用户名/密码组合的访问拒绝。

情形 3：通信失败在WLC和RADIUS服务器之间

(Cisco Controller) >test aaa show radius

previous test command still not completed, try after some time

在显示输出前，您需要等待WLC完成它是重试次数。时间能变化基于配置的重试次数阈值。

(Cisco Controller) >test aaa show radius

Radius Test Request

Wlan-id........................................ 1

ApGroup Name................................... default-group

Server Index................................... 3

Radius Test Response

Radius Server Retry Status

------------- ----- ------

10.20.227.72 6 No response received from server

Authentication Response:

Result Code: No response received from server

No AVPs in Response

在上述输出中您能看到设法的WLC联系RADIUS服务器6次，并且，当没有无响应它指示了RADIUS服务器作为不可达的。

当您有多个RADIUS服务器配置在服务集标识(SSID)下，并且主要的RADIUS服务器不回应，然后WLC尝试用配置的附属RADIUS服务器。这在第一个RADIUS服务器不回应的输出中非常清楚显示，并且WLC然后尝试第二个RADIUS服务器哪些立即响应。

(Cisco Controller) >test aaa show radius

Radius Test Request

Wlan-id........................................ 1

ApGroup Name................................... default-group

Radius Test Response

Radius Server Retry Status

------------- ----- ------

10.20.227.62 6 No response received from server

10.20.227.52 1 Success

Authentication Response:

Result Code: Success

Attributes Values

---------- ------

User-Name admin

警告

当前没有GUI支持。它是可以从WLC被执行仅的命令。

验证仅是为radius。它不可能用于TACACS认证。

Flexconnect本地认证不可能用此方法测试。