取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

无线LAN控制器上的身份PSK故障排除

972
查看次数
20
有帮助
3
评论
简介
先决条件
要求
使用的组件
了解身份PSK的流程
故障排除方案
场景1.传递客户端成功连接的场景
场景2.客户端尝试使用不正确的密码连接
场景3. RADIUS服务器无法访问
场景4. RADIUS服务器发送的覆盖参数不正确
场景5. Radius服务器上未配置客户端策略
简介
本文档介绍如何排除思科无线局域网控制器(WLC)上的身份预共享密钥(PSK)连接问题。
先决条件
要求
Cisco 建议您了解以下主题:
运行代码8.5及更高版本和身份服务引擎(ISE)的思科WLC
集中交换WLAN(当前不支持带身份PSK的FlexConnect本地交换)
WLC和ISE上的身份PSK配置。此链接可以找到:
https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-5/b_Identity_PSK_Feature_Deployment_Guide.html
使用的组件
本文档中的信息基于以下软件和硬件版本:
运行软件版本8.5.103.0的Cisco 5508系列WLC
运行版本2.2的思科ISE
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
了解身份PSK的流程
步骤1.客户端向启用PSK+MAC身份验证的服务集标识符(SSID)发送关联请求。
步骤2.由于MAC身份验证已启用WLC联系人,RADIUS服务器将验证客户端的MAC地址。
步骤3. Radius服务器验证客户端详细信息并发送Cisco av-pairs,它指定PSK作为要使用的身份验证类型以及要用于客户端的密钥值。
步骤4.收到此消息后,WLC会向客户端发送关联响应。必须了解此步骤,因为WLC和radius服务器之间的通信存在延迟,客户端可能陷入关联循环,在该循环中,客户端在从radius服务器收到响应之前发送第二个关联请求。
第 5 步: WLC使用radius服务器发送的密钥值作为PMK密钥。接着,接入点(AP)继续进行四次握手,验证客户端上配置的密码是否与RADIUS服务器发送的值匹配。
步骤6.然后客户端完成DHCP过程并进入RUN状态。
故障排除方案
排除身份PSK问题故障需要执行以下调试:
WLC上的调试:
debug client client_mac,其中client_mac是客户端测试的MAC地址。
debug aaa detail enable
请查看思科官网原文链接:
https://www.cisco.com/c/zh_cn/support/docs/wireless-mobility/wireless-lan-wlan/212316-troubleshoot-identity-psk-on-wireless-la.html
评论
likuo
Community Member
学习一下。
David Chou
Rising star
我的新項目可以用到耶,感謝
Cheng_Cao
Beginner
这个问题以前遇到过,还是找TAC来解决的呢 现在再回顾学习下
Content for Community-Ad