Cisco Cisco DX70 Design Guide

Cisco DX Series Wireless LAN Deployment Guide 

 

 

 

 

 

 

20 

 

 
If anonymous PAC provisioning is not allowed in the production wireless LAN environment then a staging RADIUS server can 
be setup for initial PAC provisioning of the Cisco DX Series. 
This requires that the staging RADIUS server be setup as a slave EAP-FAST server and components are replicated from the 
product master EAP-FAST server, which include user and group database and EAP-FAST master key and policy info. 
Ensure the production master EAP-FAST RADIUS server is setup to send the EAP-FAST master keys and policies to the 
staging slave EAP-FAST RADIUS server, which will then allow the Cisco DX Series to use the provisioned PAC in the 
production environment where Allow anonymous in-band PAC provisioning is disabled. 

When it is time to renew the PAC, then authenticated in-band PAC provisioning will be used, so ensure that Allow 
authenticated in-band PAC provisioning is enabled. 
Ensure that the Cisco DX Series has connected to the network during the grace period to ensure it can use its existing PAC 
created either using the active or retired master key in order to get issued a new PAC. 

Is recommended to only have the staging wireless LAN pointed to the staging RADIUS server and to disable the staging access 
point radios when not being used. 
 

Extensible Authentication Protocol - Transport Layer Security (EAP-TLS) is using the TLS protocol with PKI to secure 
communications to the authentication server.  
TLS provides a way to use certificates for both user and server authentication and for dynamic session key generation.  
A certificate is required to be installed. 
EAP-TLS provides excellent security, but requires client certificate management.