使用Catalyst 9800 WLC配置空间强制网络门户

简介

本文档介绍如何在Cisco Spaces上配置强制网络门户。

先决条件

本文档允许Catalyst 9800无线LAN控制器(C9800 WLC)上的客户端使用空间作为外部Web身份验证登录页。

要求

Cisco 建议您了解以下主题：

• 对9800无线控制器的命令行界面(CLI)或图形用户界面(GUI)访问
• Cisco Spaces

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 9800-L控制器版本16.12.2s

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

Web身份验证是一种简单的第3层身份验证方法，无需请求方或客户端实用程序。这是可以做到的

a)使用C9800 WLC上的内部页面（按原样进行修改或进行修改）。

b)将自定义登录捆绑包上传到C9800 WLC。

c)在外部服务器上托管的自定义登录页面。

利用Spaces提供的强制网络门户，本质上是一种为C9800 WLC上的客户端实施外部Web身份验证的方法。

有关外部webauth过程的详细说明，请参阅Cisco Catalyst 9800系列控制器上的基于Web的身份验证

在C9800 WLC上，虚拟IP地址定义为全局参数映射，通常为192.0.2.1

配置

网络图

将9800控制器连接到思科空间

控制器需要使用以下任一选项连接到空间-直接连接、通过空间连接器或CMX连接。

在本例中，虽然强制网络门户的配置方式对所有设置都相同，但直接连接选项仍在使用中。

要将控制器连接到Cisco Spaces，它必须能够通过HTTPS访问Cisco Spaces Cloud。有关如何将9800控制器连接至空间的详细信息，请参阅此链接：空间- 9800控制器直接连接

在空间上创建SSID

步骤1:在空间的控制面板中点击强制网络门户：

第二步：打开强制网络门户特定菜单，点击页面左上角的三条线路图标，然后点击SSID：

第三步：单击Import/Configure SSID，然后选择CUWN (CMX/WLC)作为“Wireless Network”类型，并输入SSID名称：

9800控制器上的ACL和URL过滤器配置

在完成身份验证之前，不允许来自无线客户端的流量进入网络。在Web身份验证的情况下，为了完成此操作，无线客户端将连接到此SSID并接收IP地址，然后客户端策略管理器状态将变为Webauth_reqd状态。由于客户端尚未通过身份验证，因此所有来自客户端IP地址的流量都会被丢弃，但DHCP、DNS和HTTP（它们会被拦截和重定向）除外。

默认情况下，当您设置Web-auth WLAN时，9800会创建硬编码预身份验证ACL。这些硬编码ACL允许DHCP、DNS和流向外部Web身份验证服务器的流量。所有其余部分会像任何http流量一样重定向。

但是，如果需要允许特定的非HTTP流量类型通过，则可以配置预身份验证ACL。然后，您需要模仿现有硬编码预身份验证ACL的内容（从本部分的第1步开始），并根据您的需求对其进行扩充。

步骤1:检验当前的硬编码ACL。

CLI 配置：

Andressi-9800L#show ip access list

Extended IP access list WA-sec-10.235.248.212
10 permit tcp any host 10.235.248.212 eq www
20 permit tcp any host 10.235.248.212 eq 443
30 permit tcp host 10.235.248.212 eq www any
40 permit tcp host 10.235.248.212 eq 443 any
50 permit tcp any any eq domain
60 permit udp any any eq domain
70 permit udp any any eq bootpc
80 permit udp any any eq bootps
90 deny ip any any

Extended IP access list WA-v4-int-10.235.248.212
10 deny tcp any host 10.235.248.212 eq www
20 deny tcp any host 10.235.248.212 eq 443
30 permit tcp any any eq www
40 permit tcp any host 192.0.2.1 eq 443

WA-sec-10.235.248.212就是这样调用的，因为它是自动网络身份验证(WA)安全(sec) ACL或门户ip 10.235.248.212。 安全ACL定义了允许的内容（允许时）或丢弃的内容（拒绝时）。 Wa-v4-int是拦截ACL，即传送ACL或重定向ACL，并定义发送到CPU进行重定向的内容（在允许的情况下）或发送到数据平面的内容（在拒绝的情况下）。

WA-v4-int10.235.248.212首先应用于来自客户端的流量，并将流向空间门户IP 10.235.248.212的HTTP(s)流量保留在数据平面上（尚未丢弃或转发操作，只需转到数据平面即可）。它将所有HTTP流量发送到CPU（用于重定向，但Web服务器处理的虚拟IP流量除外）。其他类型的流量被赋予数据平面。

WA-sec-10.235.248.212允许流向您在Web身份验证参数映射中配置的Cisco DNA空间IP 10.235.248.212的HTTP和HTTPS流量，还允许DNS和DHCP流量并丢弃其余流量。要拦截的HTTP流量在到达此ACL之前即已拦截，因此不需要此ACL覆盖。

注意：要获取ACL中允许空格的IP地址，请在ACL配置部分下的在空格上创建SSID部分的第3步中创建的SSID中，点击手动配置选项。本文档末尾的“空白使用的IP地址是什么”部分提供了一个示例。

空间使用2个IP地址，并且步骤1中的机制只允许一个入口IP。要允许对更多HTTP资源进行预身份验证访问，您需要使用URL过滤器，该过滤器会在与您在URL过滤器中输入其URL的网站相关的IP地址中动态造成拦截（重定向）和安全（预身份验证）ACL漏洞。动态监听DNS请求，使9800获知这些URL的IP地址并将其动态添加到ACL。

第二步：配置URL过滤器以允许Spaces域。

导航到配置>安全> URL过滤器。单击+Add并配置列表名称。选择PRE-AUTH作为类型，PERMIT作为操作，并选择URL splash.dnaspaces.io（如果您使用EMEA门户，则选择.eu）：

CLI 配置：

Andressi-9800L(config)#urlfilter list <url-filter name>
Andressi-9800L(config-urlfilter-params)#action permit
Andressi-9800L(config-urlfilter-params)#url splash.dnaspaces.io

可以将SSID配置为使用RADIUS服务器或不使用RADIUS服务器。如果在强制网络门户规则配置的“操作”部分中配置了“会话持续时间”、“带宽限制”或“无缝调配Internet”，则需要使用RADIUS服务器配置SSID，否则无需使用RADIUS服务器。两种配置都支持空间上的所有类型的入口。

空间上没有RADIUS服务器的强制网络门户

9800控制器上的Web身份验证参数映射配置

步骤1:导航到配置>安全> Web身份验证。 单击+Add创建新的参数映射。在弹出的窗口中，配置参数映射名称，并选择Consent作为类型：

第二步：单击上一步中配置的参数映射，导航到Advanced选项卡，然后按图示输入重定向（用于登录URL）、追加（用于AP MAC地址）、追加（用于客户端MAC地址）、追加（用于WLAN SSID和门户IPv4地址）。单击Update & Apply：

CLI 配置：

Andressi-9800L(config)#parameter-map type webauth <map name>
Andressi-9800L(config-params-parameter-map)#type consent
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login <splashpage URL> 
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4 <IP Address>
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled

在9800控制器上创建SSID

步骤1:导航到配置>标签和配置文件> WLAN。 单击+Add。配置配置文件名称、SSID并启用WLAN。确保SSID名称与在空间上创建SSID部分的第3步中配置的名称相同。

第二步：导航到Security > Layer2。将第2层安全模式设置为None。确保MAC过滤已禁用。

第三步：导航到Security > Layer3。启用Web策略，并配置Web身份验证参数映射。单击Apply to Device。

在9800控制器上配置策略配置文件

步骤1:导航到配置>标签和配置文件>策略，创建新的策略配置文件或使用默认策略配置文件。在访问策略(Access Policies)选项卡中，配置客户端VLAN并添加URL过滤器。

在9800控制器上配置策略标记

步骤1:导航到配置>标签和配置文件>策略。创建新的策略标记或使用默认策略标记。将WLAN映射至Policy Tag中的Policy Profile。

第二步：对AP应用策略标签以广播SSID。导航到配置>无线>接入点。选择有问题的AP并添加策略标记。这会导致AP重新启动其CAPWAP隧道并返回到9800控制器：

CLI 配置：

Andressi-9800L(config)#wlan <Profile name> <WLAN ID> <SSID Name>
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#security web-auth 
Andressi-9800L(config-wlan)#security web-auth parameter-map <map name>
Andressi-9800L(config-wlan)#no shutdown

Andressi-9800L(config)#wireless profile policy <policy-profile-name>
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter <url-filter name>
Andressi-9800L(config-wireless-policy)#no shutdown

Andressi-9800L(config)#wireless tag policy <policy-tag-name>
Andressi-9800L(config-policy-tag)#wlan <Profile name> policy <policy-profile-name>

空间上具有RADIUS服务器的强制网络门户

注意：空间RADIUS服务器仅支持来自控制器的PAP身份验证。

9800控制器上的Web身份验证参数映射配置

步骤1:创建网络身份验证参数映射。导航到配置>安全> Web身份验证。 单击+Add，然后配置参数映射名称，并选择webauth作为类型：

第二步：单击步骤1中配置的参数映射。单击Advanced，然后输入用于登录的Redirect、Append for AP MAC Address、Append for Client MAC Address、Append for WLAN SSID and portal IPv4 Address。单击Update & Apply：

注意：要获取启动页URL和IPv4重定向地址，请分别点击在WLC直接连接中创建SSID部分创建访问控制列表配置部分下的在空间上创建SSID部分的第3步中创建的SSID中的手动配置选项。

CLI 配置：

Andressi-9800L(config)#parameter-map type webauth <map name>
Andressi-9800L(config-params-parameter-map)#type webauth
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login <splashpage URL> 
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4 <IP Address>
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled

9800控制器上的RADIUS服务器配置

步骤1:配置RADIUS服务器Cisco Spaces充当RADIUS服务器用于用户身份验证，它可以响应两个IP地址。导航到Configuration > Security > AAA。单击+Add并配置两台RADIUS服务器：

注意：要获取主服务器和辅助服务器的RADIUS IP地址和密钥，请从在空间上创建SSID部分的步骤3中创建的SSID中单击Configure Manually选项，并导航到RADIUS Server Configuration部分。

第二步：配置RADIUS服务器组并添加两个RADIUS服务器。导航到Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups，单击+add，然后配置Server Group名称，将MAC-Delimiter配置为Hyphen，将MAC-Filtering配置为MAC，并分配两个RADIUS服务器：

第三步：配置身份验证方法列表。导航到Configuration > Security > AAA > AAA Method List > Authentication。 单击+add。配置方法列表名称，选择login作为类型并分配服务器组：

第四步：配置授权方法列表。导航到Configuration > Security > AAA > AAA Method List > Authorization，单击+add。配置方法列表名称，选择network作为类型并分配服务器组：

在9800控制器上创建SSID

步骤1:导航到配置>标签和配置文件> WLAN，点击+添加。配置配置文件名称、SSID并启用WLAN。确保SSID名称与在空间上创建SSID部分的第3步中配置的名称相同。

第二步：导航到Security > Layer2。将第2层安全模式设置为None，启用MAC Filtering并添加Authorization List：

第三步：导航到Security > Layer3。启用Web Policy，配置Web身份验证参数映射和身份验证列表。启用On Mac Filter Failure并添加预身份验证ACL。单击Apply to Device。

在9800控制器上配置策略配置文件

步骤1:导航到配置>标签和配置文件>策略，创建新的策略配置文件或使用默认策略配置文件。在访问策略(Access Policies)选项卡中，配置客户端VLAN并添加URL过滤器。

第二步：在Advanced选项卡中，启用AAA Override，并根据需要配置记账方法列表：

在9800控制器上配置策略标记

步骤1:导航到配置>标签和配置文件>策略。创建新的策略标记或使用默认策略标记。将WLAN映射至Policy Tag中的Policy Profile。

第二步：对AP应用策略标签以广播SSID。导航到配置>无线>无线接入点，选择问题的AP，然后添加策略标记。这会导致AP重新启动其CAPWAP隧道并返回到9800控制器：

CLI 配置：

Andressi-9800L(config)#wlan <Profile name> <WLAN ID> <SSID Name>
Andressi-9800L(config-wlan)#ip access-group web <ACL Name>
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#mac-filtering <authz name>
Andressi-9800L(config-wlan)#security web-auth 
Andressi-9800L(config-wlan)#security web-auth authentication-list <auth name> 
Andressi-9800L(config-wlan)#security web-auth on-macfilter-failure
Andressi-9800L(config-wlan)#security web-auth parameter-map <map name>
Andressi-9800L(config-wlan)#no shutdown

Andressi-9800L(config)#wireless profile policy <policy-profile-name>
Andressi-9800L(config-wireless-policy)#aaa-override
Andressi-9800L(config-wireless-policy)#accounting-list <acct name>
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter <url-filter name>
Andressi-9800L(config-wireless-policy)#no shutdown

Andressi-9800L(config)#wireless tag policy <policy-tag-name>
Andressi-9800L(config-policy-tag)#wlan <Profile name> policy <policy-profile-name>

配置全局参数映射

不推荐的步骤：运行这些命令以允许HTTPS重定向，但请注意，如果客户端操作系统执行强制网络门户检测并导致更高的CPU使用率，并且始终抛出证书警告，则不需要在客户端HTTPS流量中重定向。建议避免进行配置，除非特定使用案例有此需要。

Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#intercept-https-enable

注意：您必须为安装在Cisco Catalyst 9800系列无线控制器中的虚拟IP提供有效的SSL证书。

步骤1:将扩展名为.p12的签名证书文件复制到TFTP服务器，并运行以下命令以传输证书并将其安装到9800控制器中：

Andressi-9800L(config)#crypto pki import <name> pkcs12 tftp://<tftp server ip>:/ password <certificate password>

第二步：要将已安装的证书映射到Web身份验证参数映射，请运行以下命令：

Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#trustpoint <installed trustpool name>

在共享空间上创建门户

步骤1:在空间的控制面板中点击强制网络门户：

第二步：单击Create New，输入门户名称，并选择可以使用门户的位置： 

第三步：选择身份验证类型，选择是否要在门户主页上显示数据捕获和用户协议，以及是否允许用户选择接收消息。单击“下一步”:

第四步：配置数据捕获元素。如果要从用户捕获数据，请选中Enable Data Capture 框，然后单击+Add Field Element添加所需的字段。单击“下一步”:

第五步：选中Enable Terms & Conditions 并单击Save & Configure Portal：

第六步：根据需要编辑门户。点击Save：

在空间上配置强制网络门户规则

步骤1:在空间的控制面板中点击强制网络门户：

第二步：打开强制网络门户菜单并单击Captive Portal Rules：

第三步：点击+ Create New Rule。输入规则名称，并选择以前配置的SSID。

第四步：选择门户可用的位置。在位置部分中点击+添加位置。从Location Hierarchy（位置层次结构）中选择所需的一个。

第五步：选择强制网络门户的操作。在这种情况下，当命中规则时，系统会显示门户。单击保存并发布。

从空间获取特定信息

空间使用哪些IP地址 

要验证您所在地区的门户使用哪些IP地址空间，请导航到Cisco DNA Space主页上的Captival Portal页面。单击左侧菜单中的SSID，然后单击SSID下的Configure manually。ACL示例中提到了IP地址。这些是用于ACL和Web身份验证参数映射的门户的IP地址。空间使用其他IP地址来实现控制平面的整体NMSP/云连接。

在显示的弹出窗口的第一部分，步骤7为您显示ACL定义中提到的IP地址。您无需执行这些说明并创建任何ACL，只需记下IP地址即可。这些是您所在区域的门户所使用的IP

空间登录门户使用哪个URL 

要验证门户URL空间中的门户使用什么登录，请导航到Cisco DNA Space主页上的Captival Portal页面。单击左侧菜单中的SSID，然后单击SSID下的Configure manually。

向下滚动到显示的弹出窗口，在第二部分中，步骤7显示您必须在9800的参数映射中配置的URL。

什么是空间的RADIUS服务器详细信息

要了解您需要使用的RADIUS服务器IP地址以及共享密钥，请导航到Cisco DNA Space主页上的Captival Portal页面。单击左侧菜单中的SSID，然后单击SSID下的Configure manually。 

在显示的弹出窗口中，向下滚动第3部分(RADIUS)，第7步为您提供IP/端口和用于RADIUS身份验证的共享密钥。记帐是可选的，将在第12步中介绍。

验证

要确认连接到SSID的客户端的状态，请导航到Monitoring > Clients。点击设备的MAC地址并查找策略管理器状态：

故障排除

常见问题

1. 如果控制器上的虚拟接口未配置IP地址，客户端将被重定向到内部门户，而不是在参数映射中配置的重定向门户。

2. 如果客户端在重定向到空间上的门户时收到503错误，请确保在空间的位置层次结构中配置控制器。

永远在线跟踪

WLC 9800 提供无间断跟踪功能。这样可以确保始终记录所有客户端连接相关的错误、警告和通知级别消息，并且可以在发生事故或故障情况后查看日志。 

注意：根据生成的日志量，您可以将时间从几小时缩短到几天。

要查看9800 WLC在默认情况下收集的跟踪，可以通过SSH/Telnet连接到9800 WLC并执行以下步骤。确保您将会话记录到文本文件。

步骤1:检查控制器的当前时间，这样您就可以跟踪问题发生时的登录时间。

# show clock

 第二步：根据系统配置的指示，从控制器缓冲区或外部系统日志收集系统日志。这样可以快速查看系统运行状况和错误（如果有）。

# show logging

第三步：验证是否启用了任何调试条件。

# show debugging
Cisco IOS XE Conditional Debug Configs:

Conditional Debug Global State: Stop

Cisco IOS XE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

注意：如果看到列出了任何条件，则意味着遇到已启用条件（MAC地址、IP地址等）的所有进程的跟踪都将记录到调试级别。这会增加日志量。因此，建议在非主动调试时清除所有条件

第四步：如果测试的mac地址未列为步骤3中的条件，请收集特定mac地址的“永远在线”通知级别跟踪。

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

您可以显示会话内容，也可以将文件复制到外部 TFTP 服务器。

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

条件调试和无线电主动跟踪 

如果永远在线(always-on)跟踪不能为您提供足够的信息来确定所调查问题的触发因素，您可以启用条件调试并捕获无线活动(RA)跟踪，该跟踪为与指定条件（本例中为客户端MAC地址）交互的所有进程提供调试级别跟踪。要启用条件调试，请执行以下步骤。

步骤1:确保没有启用调试条件。

# clear platform condition all

第二步：启用要监控的无线客户端mac地址的调试条件。

这些命令用于开始监控所提供的 MAC 地址，持续 30 分钟（1800 秒）。您可以选择延长监控时间，最多监控 2,085,978,494 秒。

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

注意：要同时监控多个客户端，请针对mac地址运行debug wireless mac <aaaa.bbbb.cccc>命令。

注意：您不会在终端会话中看到客户端活动的输出，因为所有内容都在内部缓冲以备日后查看。

  

第三步：重现要监控的问题或行为。

第四步：如果在默认之前重现问题或配置的监控时间为正常状态，则停止调试。

# no debug wireless mac <aaaa.bbbb.cccc>

一旦监控时间过后，或调试无线停止，9800 WLC将生成一个本地文件，其名称为：

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

第五步： 收集 MAC 地址活动的文件。    您可以将ra trace.log复制到外部服务器，或直接在屏幕上显示输出。

检查RA跟踪文件的名称

# dir bootflash: | inc ra_trace

将文件复制到外部服务器：

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

显示内容：

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

第六步：如果根本原因仍不明显，请收集内部日志，这些日志是调试级别日志的更详细视图。您无需再次调试客户端，因为您只需进一步详细查看已收集和内部存储的调试日志。

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

注意：此命令输出返回所有进程的所有日志记录级别的跟踪，而且非常大。在解析跟踪信息时如需帮助，请联系 Cisco TAC。

您可以将 ra-internal-FILENAME.txt 复制到外部服务器，也可以直接在屏幕上显示输出。

将文件复制到外部服务器：

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

显示内容：

# more bootflash:ra-internal-<FILENAME>.txt

步骤 7.删除调试条件。

# clear platform condition all

注意：请确保在故障排除会话后始终删除调试条件。

成功尝试的示例

以下是RA_traces的输出结果，表明在连接到没有RADIUS服务器的SSID时，在关联/身份验证过程中成功尝试识别每个阶段。

802.11关联/身份验证：

Association received. BSSID 10b3.d694.00ee, WLAN 9800DNASpaces, Slot 1 AP 10b3.d694.00e0, 2802AP-9800L
Received Dot11 association request. Processing started,SSID: 9800DNASpaces1, Policy profile: DNASpaces-PP, AP Name: 2802AP-9800L, Ap Mac Address: 10b3.d694.00e0 BSSID MAC0000.0000.0000 wlan ID: 1RSSI: 0, SNR: 32
Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
dot11 send association response. Sending association response with resp_status_code: 0 
dot11 send association response. Sending assoc response of length: 144 with resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS
Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False 
DOT11 state transition: S_DOT11_INIT -> S_DOT11_ASSOCIATED
Station Dot11 association is successful

IP学习过程：

IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
Client IP learn successful. Method: ARP IP: 10.10.30.42
IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
Received ip learn response. method: IPLEARN_METHOD_AR

第3层身份验证：

Triggered L3 authentication. status = 0x0, Success
Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
L3 Authentication initiated. LWA 
Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING


Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in INIT state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.107.4.52] url [http://www.msftconnecttest.com/connecttest.txt]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Microsoft NCSI
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in LOGIN state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.101.24.81] url [http://www.bbc.com/]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]POST rcvd when in LOGIN state

第3层身份验证成功。将客户端移动到RUN状态：

[34e1.2d23.a668:capwap_90000005] Received User-Name 34E1.2D23.A668 for client 34e1.2d23.a668
L3 Authentication Successful. ACL:[]
Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
%CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: Username entry (34E1.2D23.A668) joined with ssid (9800DNASpaces) for device with MAC: 34e1.2d23.a668
Managed client RUN state notification: 34e1.2d23.a668 
Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RU