Cisco Cisco Identity Services Engine 1.3 Dépliant
© 2015 思科系统公司
第
14 页
安全访问操作指南
与
ISE PSN 的通信
当客户端尝试进行身份验证时,交换机没有或无法将
RADIUS 消息发送到 AAA 服务器有三种常见原因:
•
缺乏适当的网络连接
•
交换机上的 RADIUS 配置
•
缺乏来自客户端的响应
要验证网络连接,请从交换机对
AAA 服务器执行 ping 操作。以下是 ping 命令示例:
Switch#
Switch#
ping 192.168.1.60
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.60, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Switch#
如果
ping 不成功,或者某些数据包被丢弃,请使用标准路由和交换调试技术在交换机和 AAA 服务器之间建
立可靠的连接。
如果
ISE PSN 可以通过 ping 连通,则在此情况下使用 test aaa 诊断命令可有所帮助。以下示例说明此命令:
Switch#
test aaa group radius testuser cisco123 new-code
User successfully authenticated
Switch#
test aaa 命令导致交换机向 AAA 服务器发送访问请求,从而(在本例中)使用密码
cisco123 对用户
testuser 进行 PAP(明文)身份验证。交换机将尝试向 radius-server host 命令中配置的服务器进行身份验证。
或者,如果您使用的是
或者,如果您使用的是
AAA 组而不是默认 RADIUS 组,则可以指定特定 RADIUS 组对配置为该组的一部分
的特定服务器进行测试。
如果
test aaa 命令的结果为 User successfully authenticated(如先前代码片段中所示),则意
味着有三种情况成立:交换机正确配置为与
AAA 服务器通信(正确的共享密钥);交换机具有到 AAA 服务
器的网络连接;
test 命令中指定的用户名和密码有效。ISE 实时身份验证事件将显示以下身份验证:
Switch#
test aaa group radius testuser cisco123 new-code
User rejected
Switch#
如果
test aaa 命令的结果为 User authentication request was rejected by server,则表明
交换机配置有效并且网络连接进行了验证,但是
test 命令中提供的用户名和/或密码无效。此失败的身份验证
将显示在
ISE 实时身份验证事件中。另一种可能性是交换机无法向 AAA 服务器进行身份验证。共享密钥不匹
配,或者没有到
AAA 服务器的网络连接,这可能是 AAA 服务器没有收到 RADIUS 消息的原因。重新验证配
置和
/或验证网络连接将使交换机能够在 802.1X 身份验证期间与 AAA 服务器通信。