排除故障在无线局域网控制器的标识PSK-Cisco.PDFVIP

排除故障在无线局域网控制器的标识PSK 目录 简介 先决条件 要求 使用的组件 了解标识PSK流 排除故障方案 方案1.帕斯方案客户端成功的地方连接 方案2.客户端设法连接不正确的密码 方案3. RADIUS服务器不可达的 RADIUS服务器发送的方案4.不正确覆盖参数 方案5.在RADIUS服务器没配置的客户端策略 简介 本文描述如何排除故障标识在Cisco无线LAN控制器(WLC)的预先共享密钥(PSK)连接问题。 先决条件 要求 Cisco 建议您了解以下主题： 运行代码8.5和更加高和身份服务引擎的思科WLC (ISE)。 标识在WLC和ISE的PSK配置。这可以在此链路找到： /c/en/us/td/docs/wireless/controller/technotes/8- 5/b_Identity_PSK_Feature_Deployment_Guide.html 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行软件版本的Cisco 5508系列WLC。 运行版本2.2的Cisco ISE。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 了解标识PSK流 步骤1.客户端发送关联申请对服务集标识(SSID)启用与PSK+MAC验证。 第二步：因为MAC验证启用WLC联系方式， RADIUS服务器是验证客户端的MAC地址。 步骤3. RADIUS服务器验证客户端详细信息并且发送指定PSK的Cisco AV对，当认证类型将使用的 以及将用于客户端关键值。 第四步：一旦这接收WLC发送对客户端的关联答复。知道此步骤，好象通信的延迟WLC和 RADIUS服务器之间是重要的，客户端能陷在关联环路，他们发送秒钟关联申请，在答复从 RADIUS服务器前接收。 第五步： WLC使用RADIUS服务器发送的关键值作为主密钥。接入点(AP)然后继续进行验证的四种 方式的握手在客户端配置的密码匹配RADIUS服务器发送的值。 第六步：客户端然后完成DHCP过程并且搬入运转状态。 排除故障方案 这些调试要求排除故障标识PSK问题： 在WLC的调试： 调试客户端client_mac，其中客户端_mac是客户端的测验的MAC地址。 debug aaa detail enable 方案1.帕斯方案客户端成功的地方连接 客户端发送关联申请对AP ： *apfMsConnTask_6: Sep 21 15:01:43.496: e8:50:8b:64:4f:45 Association received from mobile on BSSID 28:6f:7f:e2:24:cf AP AP_2802-1 WLC然后联系RADIUS服务器验证客户端MAC地址： *aaaQueueReader: Sep 21 15:01:43.498: AuthenticationRequest: 0x2b8c8a9c *apfMsConnTask_6: Sep 21 15:01:43.498: e8:50:8b:64:4f:45 apfProcessAssocReq (apf_80211.c:11440) Changing state for mobile e8:50:8b:64:4f:45 on AP 28:6f:7f:e2:24:c0 from Associated to AAA Pending *aaaQueueReader: Sep 21 15:01:43.498: Callback0 *aaaQueueReader: Sep 21 15:01:43.498: protocolType0 RADIUS服务器回应也包含PSK方法类型和密钥使用验证的Access-Accept消息：    *radiusTransportThread: Sep 21 15:01:43.794: AuthorizationResponse: 0x171b5c00 *radiusTransportThread: Sep 21 15:01:43.794: structureSize313 *radiusTransportThread: Sep 21 15:01:43.794: resultCode0 *radiusTransportThread: Sep 21 15:01:43.794: Packet contains 5 AVPs: *ra