はじめに
このドキュメントでは、EAP Type を debug client コマンドから特定する方法を提供します。
問題の説明
無線 LAN でクライアントをネットワーク認証する際に、802.1x フレームワークの中で Extended Authentication Protocol : EAP というプロトコルが利用されます。EAP には Type といって複数の種類が存在します。どの Type の EAP を使って認証をするのか、無線 LAN クライアントと、AAA 認証サーバの間で交渉をして決定する必要があります。クライアントとサーバでそれぞれ使いたい Type を予め設定しておくか、自動選択設定とすることになりますが、もしもサポートしている Type にミスマッチがあると認証がうまくいきません。
問題の背景
WLC には debug client {クライアント MAC アドレス} というコマンドが備わっており、ユーザが無線 LAN に接続できないといった場合にトラブルシューティングの一環として利用することができます。このコマンドは debug コマンドではありますが、ネットワークや WLC に負荷をほとんど与えることなく利用することが可能です。
ソリューション
debug client コマンドを使うと、クライアントがどの EAP Type を使おうとしているかがわかります。
一例として、こちらに debug client の出力から該当部分を抜粋して掲載します。
Received EAP Response from mobile 00:16:ea:b2:04:36 (EAP Id 3, EAP Type 25)
これはクライアントが EAP Response という無線フレームを送信したときの状態を示しており、その中に EAP Type 25 という情報が含まれていることがわかります。この数字の部分が EAP Type を示しており、この例の場合は 25 ですので、PEAP を使おうとしているということがわかります。
以下に代表的な EAP Type とそれを現す番号を掲載します。
1 : Identity
2 : Notification
3 : NAK
4 : MD5
5 : OTP
6 : Generic Token
13 : EAP TLS
17 : LEAP
18 : EAP SIM
21 : EAP TTLS
25 : PEAP
43 : EAP-FAST
認証サーバでは、このクライアントの要求に対して PEAP ならば PEAP というように、同じ EAP Type で認証することを許可するような設定をしておく必要があります。
関連ドキュメント
ACS 5.2 とワイヤレス LAN コントローラを使用した PEAP と EAP-FAST の設定例
http://www.cisco.com/cisco/web/support/JP/111/1116/1116182_eap-authentication-00.html