Sem fio/Mobilidade : LAN Wireless (WLAN)

Exemplo de Configuração de WLAN Convidada e WLAN Interna Usando WLCs

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (4 Maio 2009) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração de Rede
Configuração
      Configuração das Interfaces Dinâmicas na WLC para os Usuários Convidados e Internos
      Criação de WLANs para os Usuários Convidados e Internos
      Configuração da Porta do Switch da Camada 2 que se Conecta à WLC como Porta de Tronco
      Configuração do Roteador para as Duas WLANs
Verificação
Troubleshooting
      Procedimento de Troubleshooting
      Comandos de Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece um exemplo de configuração de uma LAN sem fio (WLAN) convidada e uma WLAN interna segura que utiliza controladoras de WLAN (WLCs) e pontos de acesso lightweight (LAPs) Na configuração neste documento, a WLAN convidada utiliza autenticação da Web para autenticar os usuários e a WLAN interna segura utiliza o Extensible Authentication Protocol (EAP).

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento sobre como configurar a WLC com parâmetros básicos

  • Conhecimento sobre como configurar um servidor DHCP e um servidor de nomes de domínio (DNS)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 2006 WLC com firmware versão 4.0

  • Cisco 1000 Series LAP

  • Cisco 802.11a/b/g Wireless Client Adapter com firmware release 2.6

  • Cisco 2811 Router com Cisco IOS® versão 12.4(2)XA

  • Cisco 3500 XL Series Switch com Cisco IOS versão 12.0(5)WC3b

  • Servidor DNS em um Microsoft Windows 2000 Server

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração de Rede

O exemplo de configuração neste documento utiliza as configurações exibidas neste diagrama. O LAP é registrado na WLC. A WLC se conecta ao switch da Camada 2. O roteador que conecta os usuários à WAN também se conecta ao switch da Camada 2. Você precisa criar duas WLANs, uma para os usuários convidados e outra para os usuários internos da LAN. Você também necessita de um servidor DHCP para fornecer endereços IP para os clientes de rede sem fio convidados e internos. Os usuários convidados usam autenticação da Web para acessar a rede. Os usuários internos usam autenticação EAP. O roteador 2811 também age como servidor DHCP para os clientes da rede sem fio.

guest-internal-wlan-network.gif

Nota: Este documento pressupõe que a WLC esteja configurada com os parâmetros básicos e o LAP esteja registrado junto à WLC. Consulte Registro do AP Lightweight (LAP) em uma Controladora de LAN Sem Fio (WLC) para obter informações sobre como configurar os parâmetros básicos em uma WLC e como registrar o LAP na WLC.

Quando configurados como servidores DHCP, alguns firewalls não suportam solicitações de DHCP de um agente de retransmissão. A WLC é um agente de retransmissão para o cliente. O firewall configurado como servidor DHCP ignora essas solicitações. Os clientes devem estar conectados diretamente ao firewall e não podem enviar solicitações por outro agente de transmissão ou roteador. O firewall pode trabalhar como um servidor DHCP simples para hosts internos que estejam diretamente conectados a ele. Isso permite que o firewall mantenha sua tabela com base nos endereços MAC diretamente conectados que ele pode ver. Essa é a razão pela qual tentativas de atribuição de endereços a partir de um retransmissor de DHCP não estão disponíveis e os pacotes são descartados. O PIX Firewall possui essa limitação.

Configuração

Execute estes passos para configurar os dispositivos nesta configuração de rede:

  1. Configuração das Interfaces Dinâmicas na WLC para os Usuários Convidados e Internos

  2. Criação de WLANs para os Usuários Convidados e Internos

  3. Configuração da Porta do Switch da Camada 2 que se Conecta à WLC como Porta de Tronco

  4. Configuração do Roteador para as Duas WLANs

Configuração das Interfaces Dinâmicas na WLC para os Usuários Convidados e Internos

O primeiro passo é criar duas interfaces dinâmicas na WLC, umas para os usuários convidados e outra para os usuários internos.

O exemplo deste documento usa estes parâmetros e valores para as interfaces dinâmicas:

Guest-WLAN                                                       Internal-WLAN
VLAN Id : 10  				                         VLAN Id : 20
IP address: 10.0.0.10			                         IP address: 20.0.0.10
Netmask: 255.0.0.0						 Netmask: 255.0.0.0
Gateway: 10.0.0.50			                         Gateway: 20.0.0.50
Physical port on WLC: 1			                         Physical port on WLC: 1
DHCP server: 172.16.1.60 		                         DHCP server: 172.16.1.60

Execute estes passos:

  1. Na GUI da WLC, escolha Controllers > Interfaces.

    A janela Interfaces será exibida. Essa janela lista as interfaces configuradas na controladora. Isso inclui as interfaces padrão, que são a interface de gerenciamento, a interface de gerenciamento de AP, a interface virtual e a interface de porta de serviço e as interfaces dinâmicas definidas pelo usuário.

    guest-internal-wlan-1.gif

  2. Clique em New para criar uma nova interface dinâmica.

  3. Na janela Interfaces > New, insira o nome da interface e o ID da VLAN. Em seguida, clique em Apply.

    Neste exemplo, a interface dinâmica se chama Guest-WLAN, e o ID da VLAN é 10.

    guest-internal-wlan-2.gif

  4. Na janela Interfaces > Edit da interface dinâmica, insira o endereço IP, a máscara de sub-rede e o gateway padrão. Atribua-os a uma porta física na WLC e insira o endereço IP do servidor DHCP. Em seguida, clique em Apply.

    Este é um exemplo:

    guest-internal-wlan-3.gif

    O mesmo procedimento deve ser efetuado para a criação de uma interface dinâmica para a WLAN interna.

  5. Na janela Interfaces > New, insira Internal-WLAN pra a interface dinâmica para os usuários internos e insira 20 para o ID da VLAN. Em seguida, clique em Apply.

    guest-internal-wlan-4.gif

  6. Na janela Interfaces > Edit da interface dinâmica, insira o endereço IP, a máscara de sub-rede e o gateway padrão. Atribua-os a uma porta física na WLC e insira o endereço IP do servidor DHCP. Em seguida, clique em Apply.

    guest-internal-wlan-5.gif

    Agora que as duas interfaces dinâmicas foram criadas, a janela Interfaces resume a lista de interfaces configuradas na controladora.

    guest-internal-wlan-6.gif

Criação de WLANs para os Usuários Convidados e Internos

O próximo passo é criar WLANS para os usuários convidados e para os usuários internos e mapear as interfaces dinâmicas às WLANs. Além disso, os métodos de segurança utilizados para autenticar os usuários de rede sem fio e os convidados devem ser definidos. Execute estes passos:

  1. Clique em WLANs na interface gráfica do usuário da controladora para criar uma WLAN.

    A janela WLANs será exibida. Essa janela lista as WLANs configuradas na controladora.

  2. Clique em New para configurar uma nova WLAN.

    Neste exemplo, a WLAN se chama Guest e o ID da WLAN é 2.

    guest-internal-wlan-7.gif

  3. Clique em Apply.

  4. Na janela WLAN > Edit, defina os parâmetros específicos da WLAN.

    1. Para a WLAN dos convidados, selecione guest-wlan no campo Interface Name.

      Isso mapeará a interface dinâmica guest-wlan previamente criada à WLAN Guest.

    2. No campo Layer 3 Security, marque a caixa Web Policy e selecione a opção Authentication.

      Essa opção é escolhida porque a autenticação da Web é utilizada para autenticar os clientes convidados da rede sem fio.

    3. Clique em Apply.

    Exemplo:

    guest-internal-wlan-8.gif

    Nota: Neste exemplo, os métodos de segurança da Camada 2 para a autenticação de usuários convidados não são utilizados. Dessa forma, selecione None no campo Layer 2 Security. Por padrão, a opção Layer 2 Security é 802.1x.

    Nota: Consulte Exemplo de Configuração de Autenticação da Web em Controladoras de LAN Sem Fio para obter informações mais detalhadas sobre como configurar WLANs baseadas em autenticação da Web com WLCs.

  5. Crie uma VLAN para os usuários internos. Na janela WLANs > New, insira Internal e escolha 3 para criar uma WLAN para os usuários internos. Em seguida, clique em Apply.

    guest-internal-wlan-9.gif

  6. Na janela WLANs > Edit, escolha internal-wlan no campo Interface Name.

    Isso mapeará a interface dinâmica internal-wlan previamente criada à WLAN Internal.

    Mantenha a opção Layer 2 Security em seu valor padrão 802.1x, pois a autenticação EAP é utilizada para os usuários internos da WLAN.

    guest-internal-wlan-10.gif

  7. Clique em Apply.

    Esta janela exibirá a lista de WLANs criadas.

    guest-internal-wlan-11.gif

    Nota: Consulte Exemplo de Configuração de Autenticação EAP com Controladoras de WLAN (WLC) para obter informações mais detalhadas sobre como configurar WLANs baseadas em EAP com WLCs.

  8. Clique em Commands na GUI da controladora e selecione a opção Reboot para reinicializar a WLC para permitir que a autenticação da Web tenha efeito.

  9. Na janela seguinte, clique em Save And Reboot para salvar as alterações efetuadas na configuração da controladora.

    guest-internal-wlan-12.gif

Configuração da Porta do Switch da Camada 2 que se Conecta à WLC como Porta de Tronco

Você precisa configurar a porta do switch para oferecer suporte às várias VLANs configuradas na WLC, pois a WLC está conectada a um switch da Camada 2. Você deve configurar a porta do switch como uma porta de tronco 802.1Q.

Cada conexão de porta da controladora é um tronco 802.1Q e deve ser configurado dessa forma no switch vizinho. Nos switches Cisco, a VLAN nativa de um tronco 802.1Q é uma VLAN não marcada. Dessa forma, se você configurar uma interface para utilizar a VLAN nativa em um switch Cisco vizinho, certifique-se de configurar a interface na controladora como não marcada.

Um valor de zero para o identificador da VLAN (na janela Controller > Interfaces) significa que a interface é não marcada. No exemplo deste documento, as interfaces do gerenciador de AP e de gerenciamento são configuradas na VLAN não marcada padrão.

A VLAN nativa padrão (não marcada) nos switches Cisco é a VLAN 1. Quando as interfaces da controladora são configuradas como marcadas, o que significa que o identificador de VLAN é definido como um valor diferente de zero, a VLAN deve ser permitida na configuração do tronco 802.1Q no switch vizinho e não ser a VLAN não marcada nativa. Neste exemplo, a VLAN 60 está configurada como VLAN nativa na porta do switch que se conecta à controladora.

Este é o arquivo de configuração da porta do switch que se conecta à WLC:

interface f0/12
Description Connected to the WLC
switchport trunk encapsulation dot1q
switchport trunk native vlan 60
switchport trunk allowed vlan 10,20,60
switchport mode trunk
no ip address

Esta é a configuração para a porta do switch que se conecta ao roteador como porta de tronco:

interface f0/10
Description Connected to the Router
switchport trunk encapsulation dot1q
switchport trunk native vlan 60
switchport trunk allowed vlan 10,20,60
switchport mode trunk
no ip address

Este é o arquivo de configuração da porta do switch que se conecta ao LAP. Esta porta é configurada como uma porta de acesso:

interface f0/9
Description Connected to the LAP
Switchport access vlan 60
switchport mode access
no ip address

Configuração do Roteador para as Duas WLANs

No exemplo deste documento, o roteador 2811 conecta os usuários convidados à Internet e também conecta os usuários internos com fio aos usuários internos sem fio. Você também precisa configurar o roteador para fornecer serviços de DHCP.

No roteador, crie uma subinterface sob a interface FastEthernet que conecta a porta de tronco do switch para todas as VLANs. Atribua a subinterface à VLAN correspondente e configure um endereço IP das sub-redes respectivas.

Nota: Somente partes relevantes da configuração do roteador são fornecidas, e não a configuração completa.

Esta é a configuração necessária no roteador para que isso seja efetuado.

Estes são os comandos que precisam ser executados para configurar os serviços de DHCP no roteador:

!
ip dhcp excluded-address 10.0.0.10

!--- IP excluído por que ele está atribuído à interface dinâmica
!--- criada na WLC.

ip dhcp excluded-address 10.0.0.50

!--- IP excluído por que ele está atribuído à
!--- subinterface no roteador.

ip dhcp excluded-address 20.0.0.10

!--- IP excluído por que ele está atribuído à interface dinâmica
!--- criada na WLC.

ip dhcp excluded-address 20.0.0.50

!--- IP excluído porque ele está atribuído à subinterface no roteador.

!
ip dhcp pool Guest

!--- Cria um pool de DHCP para os usuários convidados.

   network 10.0.0.0 255.0.0.0
   default-router 10.0.0.50
   dns-server 172.16.1.1

!--- Define o servidor DNS.

!
ip dhcp pool Internal
   network 20.0.0.0 255.0.0.0
   default-router 20.0.0.50

!--- Cria um pool de DHCP para os usuários internos.

!

Estes comandos precisam ser executados na interface FastEthernet da configuração de exemplo:

!
interface FastEthernet0/0
 description Connected to L2 Switch
 ip address 172.16.1.60 255.255.0.0
 duplex auto
 speed auto

!--- Interface conectada ao switch da Camada 2.

!
interface FastEthernet0/0.1
 description Guest VLAN
 encapsulation dot1Q 10
 ip address 10.0.0.50 255.0.0.0


!--- Cria uma subinterface no roteador para a VLAN convidada.

!
interface FastEthernet0/0.2
 description Internal VLAN
 encapsulation dot1Q 20
 ip address 20.0.0.50 255.0.0.0


!--- Cria uma subinterface no roteador para a VLAN interna.

!

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

Conecte dois clientes de rede sem fio, um usuário convidado (com identificador de conjunto de serviço [SSID] Guest) e um usuário interno (com SSID Internal), para verificar se a configuração funciona conforme desejado.

Quando o cliente de rede sem fio convidado se tornar ativo, insira um URL qualquer no navegador da Web. Você será solicitado a fornecer um nome de usuário e uma senha. Assim que o usuário convidado inserir um nome de usuário e uma senha válida, a WLC autenticará o usuário convidado e permitirá seu acesso à rede (possivelmente a Internet). Este exemplo mostra a janela de autenticação da Web que o usuário recebe e a saída de uma autenticação bem-sucedida:

guest-internal-wlan-13.gif

guest-internal-wlan-14.gif

Quando o cliente da WLAN interna torna-se ativo, o cliente usa autenticação EAP. Após uma autenticação bem-sucedida, o usuário poderá acessar a rede interna. Este exemplo mostra um cliente de rede sem fio interno que usa autenticação Lightweight Extensible Authentication Protocol (LEAP):

guest-internal-wlan-15.gif

guest-internal-wlan-16.gif

Troubleshooting

Procedimento de Troubleshooting

Use esta seção para fazer troubleshooting da sua configuração.

Se a configuração não funcionar conforme esperado, execute estes passos:

  1. Certifique-se que todas as VLANs configuradas na WLC sejam permitidas na porta do switch conectado à WLC.

  2. Certifique-se que a porta do switch que se conecta à WLC e ao roteador esteja configurada como uma porta de tronco.

  3. Certifique-se que os IDs das VLANs utilizadas sejam os mesmos na WLC e no roteador.

  4. Verifique se o cliente recebe os endereços de DHCP do servidor DHCP. Caso contrário, verifique se o servidor DHCP está corretamente configurado.

Um dos problemas mais frequentes que ocorrem com a autenticação da Web é quando o redirecionamento para a página de autenticação da Web não funciona. O usuário não vê a janela de autenticação da Web quando o navegador é iniciado. Em vez disso, o usuário insere https://1.1.1.1/login.html manualmente para obter a janela de autenticação da Web. Isso tem a ver com a consulta ao DNS, a qual precisa ser feita antes que ocorra o redirecionamento para a página de autenticação da Web. Se a página inicial do navegador no cliente de rede sem fio apontar para um nome de domínio, você precisará executar um nslookup bem-sucedido quando o cliente se associar para que o redirecionamento funcione.

Além disso, em um cliente que executa uma versão anterior à 3.2.150.10, a maneira como a autenticação da Web funciona é quando um usuário nesse SSID tenta acessar a Internet, a interface de gerenciamento da controladora efetua uma consulta ao DNS para ver se o URL é válido. Caso seja válida, o URL exibe a página de autorização com o endereço IP das interfaces virtuais. Após o usuário se conectar com êxito, a solicitação original retorna ao cliente. Isso se deve ao bug da Cisco ID CSCsc68105 (somente clientes registrados).

Comandos de Troubleshooting

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Você pode usar os comandos de depuração a seguir para fazer o troubleshooting da configuração:

  • debug mac addr <client-MAC-address xx:xx:xx:xx:xx:xx> — Configura a depuração de endereços MAC para o cliente.

  • debug aaa all enable — Configura a depuração de todas as mensagens de AAA.

  • debug pem state enable — Configura a depuração da máquina de estados do gerenciador de políticas.

  • debug pem events enable — Configura a depuração de eventos do gerenciador de políticas.

  • debug dhcp message enable — Use este comando para exibir informações de depuração das atividades dos clientes DHCP e monitorar o status dos pacotes de DHCP.

  • debug dhcp packet enable — Use este comando para exibir as informações de nível de pacotes do DHCP.

  • debug pm ssh-appgw enable — Configura a depuração de gateways de aplicativos.

  • debug pm ssh-tcp enable — Configura a depuração do gerenciamento de TCP do gerenciador de políticas.

Aqui estão saídas de exemplo de alguns desses comandos debug:

Nota: Alguns dos comandos exibidos nesta saída estão dispostos em duas linhas por razão de espaço.

(Cisco Controller) >debug dhcp message enable
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option len,
including the magic cookie = 64
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: received DHCP REQUEST msg
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 61, len 7
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: requested ip = 10.0.0.1
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 12, len 3
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 81, len 7
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option:
vendor class id = MSFT5.0 (len 8)
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 55, len 11
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcpParseOptions:
options end, len 64, actual 64
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 Forwarding DHCP packet
(332 octets)from 00:40:96:ac:e6:57
-- packet received on direct-connect port requires forwarding to external DHCP server.
Next-hop is 10.0.0.50
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option len,
including the magic cookie = 64
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: received DHCP ACK msg
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: server id = 10.0.0.50
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: lease time (seconds) =86400
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 58, len 4
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 59, len 4
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 81, len 6
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: netmask = 255.0.0.0
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: gateway = 10.0.0.50
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcpParseOptions:
options end, len 64, actual 64
(Cisco Controller) >debug dhcp packet enable

Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 dhcpProxy: Received packet:
Client 00:40:96:ac:e6:57 DHCP Op: BOOTREQUEST(1), IP len: 300, switchport: 1,
encap: 0xec03
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 dhcpProxy: dhcp request,
client: 00:40:96:ac:e6:57: dhcp op: 1, port: 1, encap 0xec03, old mscb
port number: 1
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 Determing relay for 00:40:96:ac:e6:57
dhcpServer: 10.0.0.50, dhcpNetmask: 255.0.0.0, dhcpGateway: 10.0.0.50,
dhcpRelay: 10.0.0.10  VLAN: 30
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 Relay settings for 00:40:96:ac:e6:57
Local Address: 10.0.0.10, DHCP Server: 10.0.0.50, Gateway Addr: 10.0.0.50,
VLAN: 30, port: 1
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 DHCP Message Type received:
DHCP REQUEST msg
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   op: BOOTREQUEST, htype:
Ethernet,hlen: 6, hops: 1
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   xid: 1674228912, secs: 0, flags: 0
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   chaddr: 00:40:96:ac:e6:57
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   ciaddr: 10.0.0.1,  yiaddr: 0.0.0.0
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   siaddr: 0.0.0.0,  giaddr: 10.0.0.10
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 DHCP request to 10.0.0.50,
len 350,switchport 1, vlan 30
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 dhcpProxy: Received packet:
Client 00:40:96:ac:e6:57  DHCP Op: BOOTREPLY(2), IP len: 300, switchport: 1,
encap: 0xec00
Fri Mar  2 16:06:35 2007: DHCP Reply to AP client: 00:40:96:ac:e6:57, frame len412,
switchport 1
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 DHCP Message Type received: DHCP ACK msg
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   op: BOOTREPLY, htype:
Ethernet, hlen: 6, hops: 0
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   xid: 1674228912, secs: 0, flags: 0
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   chaddr: 00:40:96:ac:e6:57
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   ciaddr: 10.0.0.1,  yiaddr: 10.0.0.1
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   siaddr: 0.0.0.0,  giaddr: 0.0.0.0
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   server id: 1.1.1.1
rcvd server id: 10.0.0.50
(Cisco Controller) >debug aaa all enable

Fri Mar  2 16:22:40 2007: User user1 authenticated
Fri Mar  2 16:22:40 2007: 00:40:96:ac:e6:57
Returning AAA Error 'Success' (0) for mobile 00:40:96:ac:e6:57
Fri Mar  2 16:22:40 2007: AuthorizationResponse: 0xbadff97c
Fri Mar  2 16:22:40 2007: structureSize................................70
Fri Mar  2 16:22:40 2007: resultCode...................................0
Fri Mar  2 16:22:40 2007: protocolUsed.................................0x00000008
Fri Mar  2 16:22:40 2007: proxyState...............00:40:96:AC:E6:57-00:00
Fri Mar  2 16:22:40 2007:  Packet contains 2 AVPs:
Fri Mar  2 16:22:40 2007: AVP[01] Service-Type............0x00000001 (1) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[02] Airespace /
WLAN-Identifier......0x00000001 (1) (4 bytes)
Fri Mar  2 16:22:40 2007: 00:40:96:ac:e6:57 Applying new AAA override
for station 00:40:96:ac:e6:57
Fri Mar  2 16:22:40 2007: 00:40:96:ac:e6:57 Override values for station
00:40:96:ac:e6:57
                source: 48, valid bits: 0x1
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
        dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
         vlanIfName: '', aclName:
Fri Mar  2 16:22:40 2007: 00:40:96:ac:e6:57 Unable to apply override
policy for station 00:40:96:ac:e6:57
- VapAllowRadiusOverride is FALSE
Fri Mar  2 16:22:40 2007: AccountingMessage Accounting Start: 0xa62700c
Fri Mar  2 16:22:40 2007: Packet contains 13 AVPs:
Fri Mar  2 16:22:40 2007: AVP[01] User-Name................user1 (5 bytes)
Fri Mar  2 16:22:40 2007: AVP[02] Nas-Port.............0x00000001 (1) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[03]
Nas-Ip-Address.......0x0a4df4d2 (172881106) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[04]
NAS-Identifier......0x574c4331 (1464615729) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[05]
Airespace / WLAN-Identifier..............0x00000001 (1) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[06]
Acct-Session-Id..........................45e84f50/00:40:96:ac:e6:57/9 (28 bytes)
Fri Mar  2 16:22:40 2007: AVP[07]
Acct-Authentic...........................0x00000002 (2) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[08]
Tunnel-Type..............................0x0000000d (13) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[09]
Tunnel-Medium-Type.......................0x00000006 (6) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[10]
Tunnel-Group-Id..........................0x3330 (13104) (2 bytes)
Fri Mar  2 16:22:40 2007: AVP[11]
Acct-Status-Type.........................0x00000001 (1) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[12]
Calling-Station-Id.......................10.0.0.1 (8 bytes)
Fri Mar  2 16:22:40 2007: AVP[13]
Called-Station-Id........................10.77.244.210 (13 bytes)


when web authentication is closed by user:

(Cisco Controller) >Fri Mar  2 16:25:47 2007: AccountingMessage
Accounting Stop: 0xa627c78
Fri Mar  2 16:25:47 2007: Packet contains 20 AVPs:
Fri Mar  2 16:25:47 2007:
AVP[01] User-Name................................user1 (5 bytes)
Fri Mar  2 16:25:47 2007:
AVP[02] Nas-Port.................................0x00000001 (1) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[03] Nas-Ip-Address...........................0x0a4df4d2 (172881106) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[04] NAS-Identifier...........................0x574c4331 (1464615729) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[05] Airespace / WLAN-Identifier..............0x00000001 (1) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[06] Acct-Session-Id...............45e84f50/00:40:96:ac:e6:57/9 (28 bytes)
Fri Mar  2 16:25:47 2007:
AVP[07] Acct-Authentic...........................0x00000002 (2) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[08] Tunnel-Type..............................0x0000000d (13) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[09] Tunnel-Medium-Type.......................0x00000006 (6) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[10] Tunnel-Group-Id..........................0x3330 (13104) (2 bytes)
Fri Mar  2 16:25:47 2007:
AVP[11] Acct-Status-Type.........................0x00000002 (2) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[12] Acct-Input-Octets........................0x0001820e (98830) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[13] Acct-Output-Octets.......................0x00005206 (20998) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[14] Acct-Input-Packets.......................0x000006ee (1774) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[15] Acct-Output-Packets......................0x00000041 (65) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[16] Acct-Terminate-Cause.....................0x00000001 (1) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[17] Acct-Session-Time........................0x000000bb (187) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[18] Acct-Delay-Time..........................0x00000000 (0) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[19] Calling-Station-Id.......................10.0.0.1 (8 bytes)
Fri Mar  2 16:25:47 2007:
AVP[20] Called-Station-Id........................10.77.244.210 (13 bytes)
(Cisco Controller) >debug pem state enable

Fri Mar  2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1
WEBAUTH_REQD (8) Change state to START (0)
Fri Mar  2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1
START (0) Change state to AUTHCHECK (2)
Fri Mar  2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1
AUTHCHECK (2) Change stateto L2AUTHCOMPLETE (4)
Fri Mar  2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1
L2AUTHCOMPLETE (4) Change state to WEBAUTH_REQD (8)
Fri Mar  2 16:28:16 2007: 00:16:6f:6e:36:2b 0.0.0.0
START (0) Change state to AUTHCHECK (2)
Fri Mar  2 16:28:16 2007: 00:16:6f:6e:36:2b 0.0.0.0
AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4)
Fri Mar  2 16:28:16 2007: 00:16:6f:6e:36:2b 0.0.0.0
L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7)
Fri Mar  2 16:28:19 2007: 00:40:96:ac:e6:57 10.0.0.1
WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14)
Fri Mar  2 16:28:19 2007: 00:40:96:ac:e6:57 10.0.0.1
WEBAUTH_NOL3SEC (14) Change state to RUN (20)
Fri Mar  2 16:28:20 2007: 00:16:6f:6e:36:2b 0.0.0.0
START (0) Change state to AUTHCHECK (2)
Fri Mar  2 16:28:20 2007: 00:16:6f:6e:36:2b 0.0.0.0
AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4)
Fri Mar  2 16:28:20 2007: 00:16:6f:6e:36:2b 0.0.0.0
L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7)
Fri Mar  2 16:28:24 2007: 00:40:96:af:a3:40 0.0.0.0
START (0) Change state to AUTHCHECK (2)
Fri Mar  2 16:28:24 2007: 00:40:96:af:a3:40 0.0.0.0
AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4)
Fri Mar  2 16:28:24 2007: 00:40:96:af:a3:40 0.0.0.0
L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7)
Fri Mar  2 16:28:25 2007: 00:40:96:af:a3:40 40.0.0.1
DHCP_REQD (7) Change stateto RUN (20)
Fri Mar  2 16:28:30 2007: 00:16:6f:6e:36:2b 0.0.0.0
START (0) Change state to AUTHCHECK (2)
Fri Mar  2 16:28:30 2007: 00:16:6f:6e:36:2b 0.0.0.0
AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4)
Fri Mar  2 16:28:30 2007: 00:16:6f:6e:36:2b 0.0.0.0
L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7)
Fri Mar  2 16:28:34 2007: 00:16:6f:6e:36:2b 30.0.0.2
DHCP_REQD (7) Change stateto WEBAUTH_REQD (8)
(Cisco Controller) >debug pem events enable

Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 START (0) Initializing policy
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 L2AUTHCOMPLETE (4)
Plumbed mobile LWAPP rule on AP 00:0b:85:5b:fb:d0
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8)
Adding TMP rule
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8)
Replacing Fast Path rule
  type = Temporary Entry
  on AP 00:0b:85:5b:fb:d0, slot 0, interface = 1
  ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 1506
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8)
Successfully plumbed mobile rule (ACL ID 255)
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8)
Deleting mobile policy rule 27
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 Adding Web RuleID 28 for
mobile 00:40:96:ac:e6:57
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8)
Adding TMP rule
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8)
ReplacingFast Path rule
  type = Temporary Entry
  on AP 00:0b:85:5b:fb:d0, slot 0, interface = 1
  ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 1506
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8)
Successfully plumbed mobile rule (ACL ID 255)
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 Removed NPU entry.
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 Added NPU entry of type 8
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 Added NPU entry of type 8

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 70937