تكوين المصادقة المركزية للويب (CWA) على Catalyst 9800 WLC و ISE

المقدمة

يصف هذا وثيقة كيف أن يشكل CWA Wireless LAN على مادة حفازة 9800 WLC و ISE.

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من 9800 لاسلكي lan جهاز تحكم (WLC) تشكيل.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• 9800 WLC برنامج Cisco IOS® XE Gibraltar الإصدار 17.6.x
• Identity Service Engine (ISE) v3.0

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يتم عرض عملية CWA هنا حيث يمكنك رؤية عملية CWA لجهاز Apple كمثال:

التكوين

الرسم التخطيطي للشبكة

تكوين AAA على 9800 WLC

الخطوة 1. إضافة خادم ISE إلى تكوين 9800 WLC.

انتقل إلى  Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add  وأدخل معلومات خادم RADIUS كما هو موضح في الصور.

تأكد من تمكين دعم عملية تغيير التفويض(CoA) إذا كنت تخطط لاستخدام مصادقة الويب المركزية (أو أي نوع من أنواع الأمان يتطلب CoA) في المستقبل. 

الخطوة 2. إنشاء قائمة أساليب التخويل.

انتقل إلى  Configuration > Security > AAA >  AAA Method List > Authorization > + Add  كما هو موضح في الصورة.

الخطوة 3. (إختياري) قم بإنشاء قائمة أساليب المحاسبة كما هو موضح في الصورة.

ملاحظة: لا تعمل CWA إذا قررت أن تتوازن (من تكوين واجهة سطر الأوامر من Cisco IOS XE) خوادم RADIUS الخاصة بك بسبب معرف تصحيح الأخطاء من Cisco CSCvh03827. لا بأس باستخدام موازن الأحمال الخارجية.

الخطوة 4. (إختياري) يمكنك تحديد سياسة AAA لإرسال اسم SSID كسمة Call-station-id، والتي يمكن أن تكون مفيدة إذا كنت تريد الاستفادة من هذا الشرط على ISE لاحقا في العملية.

انتقل إلى  Configuration > Security > Wireless AAA Policy وإما أن تقوم بتحرير سياسة AAA الافتراضية أو إنشاء سياسة جديدة.

يمكنك أن تختار  SSID كخيار 1. تذكر أنه حتى عندما تختار SSID فقط، فإن معرف المحطة المستدعى لا يزال إلحاق عنوان MAC لنقطة الوصول باسم SSID.

تكوين شبكة WLAN

الخطوة 1. قم بإنشاء شبكة WLAN.

انتقل إلى  Configuration > Tags & Profiles > WLANs > + Add  وتهيئة الشبكة حسب الحاجة.

الخطوة 2. أدخل المعلومات العامة لشبكة WLAN.

الخطوة 3. انتقل إلى  Security  ثم أختر طريقة التأمين المطلوبة. في هذه الحالة، فقط "تصفية MAC" وقائمة تفويض AAA (التي قمت بإنشائها في الخطوة 2. في  AAA Configuration  قسم) مطلوب.

CLI:

#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown

تكوين ملف تعريف السياسة

داخل ملف تعريف سياسة، يمكنك أن تقرر تخصيص العملاء الذين لديهم شبكة VLAN، من بين الإعدادات الأخرى (مثل قائمة التحكم في الوصول (ACLs)، جودة الخدمة (QoS)، Mobility Anchor، أجهزة التوقيت، وما إلى ذلك).

يمكنك إما استخدام ملف تعريف السياسة الافتراضي الخاص بك أو إنشاء ملف تعريف جديد.

GUI:

الخطوة 1. إنشاء جديد  Policy Profile.

انتقل إلى  Configuration > Tags & Profiles > Policy  وإما أن تشكل  default-policy-profile  أو إنشاء واحد جديد.

تأكد من تمكين ملف التعريف.

الخطوة 2. أخترت ال VLAN.

انتقل إلى  Access Policies  علامة التبويب واختر اسم شبكة VLAN من القائمة المنسدلة أو اكتب معرف شبكة VLAN يدويا. لا تقم بتكوين قائمة التحكم في الوصول (ACL) في ملف تعريف السياسة.

الخطوة 3. قم بتكوين ملف تعريف السياسة لقبول تخطيات ISE (السماح بتجاوز AAA) وتغيير التفويض (CoA) (حالة NAC). يمكنك تحديد طريقة محاسبة بشكل اختياري أيضًا.

CLI:

# config
# wireless profile policy <policy-profile-name>
# aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown

تكوين علامة السياسة

داخل علامة السياسة هو المكان الذي تقوم فيه بربط SSID بملف تعريف السياسة الخاص بك. يمكنك إما إنشاء علامة سياسة جديدة أو استخدام علامة السياسة الافتراضية.

ملاحظة: تترجم علامة النهج الافتراضي تلقائيا أي SSID بمعرف WLAN بين 1 و 16 إلى ملف تعريف النهج الافتراضي. لا يمكن تعديله أو حذفه. إذا كانت لديك شبكة WLAN بالمعرف 17 أو إصدار أحدث، لا يمكن إستخدام علامة النهج الافتراضي.

GUI:

انتقل إلى  Configuration > Tags & Profiles > Tags > Policy  وإضافة جديد إذا لزم الأمر كما هو موضح في الصورة.

قم بربط ملف تعريف WLAN بملف تعريف السياسة المطلوب.

CLI:

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

تعيين علامة السياسة

قم بتعيين علامة السياسة لنقاط الوصول المطلوبة.

GUI:

لتعيين العلامة لنقطة وصول واحدة، انتقل إلى  Configuration > Wireless > Access Points > AP Name > General Tags، قم بعمل المهمة المطلوبة، ثم انقر  Update & Apply to Device.

ملاحظة: اعلم أنه بعد تغيير علامة السياسة على نقطة وصول، فإنها تفقد إرتباطها مع عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 وترجع للانضمام في غضون دقيقة واحدة تقريبا.

لتعيين نفس علامة السياسة إلى نقاط وصول متعددة، انتقل إلى  Configuration > Wireless > Wireless Setup > Advanced > Start Now.

أختر نقاط الوصول التي تريد تعيين علامة التمييز لها وانقر  + Tag APs  كما هو موضح في الصورة.

أختر علامة التمييز ذات اللون الأبيض وانقر  Save & Apply to Device كما هو موضح في الصورة.

CLI:

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

إعادة توجيه تكوين قائمة التحكم في الوصول (ACL)

الخطوة 1. انتقل إلى  Configuration > Security > ACL > + Add  لإنشاء قائمة تحكم في الوصول (ACL) جديدة. 

أختر اسما لقائمة التحكم بالوصول (ACL)، وابدأ باستخدامها  IPv4 Extended  اكتب وأضف كل قاعدة كتسلسل كما هو موضح في الصورة.

تحتاج إلى رفض حركة المرور إلى عُقد خدمة السياسة (PSN) لمحرك ISE وكذلك رفض DNS والسماح بالباقي. قائمة التحكم في الوصول (ACL) المعاد توجيهها هذه ليست قائمة تحكم في الوصول (ACL) أمنية ولكنها قائمة تحكم في الوصول إلى النقطة التي تحدد حركة المرور التي تنتقل إلى وحدة المعالجة المركزية (على التراخيص) لمزيد من المعالجة (مثل إعادة التوجيه) وما هي حركة المرور التي تبقى على مستوى البيانات (عند الرفض) وتجنب إعادة التوجيه.

يجب أن تبدو قائمة التحكم في الوصول (ACL) كما يلي (استبدل 10.48.39.28 بعنوان IP الخاص بك في هذا المثال):

ملاحظة: للحصول على قائمة التحكم في الوصول (ACL) الخاصة بإعادة التوجيه، فكر في  deny الإجراء كإعادة توجيه رفض (لا ينكر حركة المرور) و  permit فعل يسمح بإعادة التوجيه. تنظر عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) فقط في حركة المرور التي يمكنها إعادة التوجيه (المنافذ 80 و 443 بشكل افتراضي).

CLI:

ip access-list extended REDIRECT
 deny ip any host <ISE-IP>
 deny ip host<ISE-IP> any
 deny udp any any eq domain
 deny udp any eq domain any
 permit tcp any any eq 80

ملاحظة: إذا قمت بإنهاء قائمة التحكم في الوصول (ACL) باستخدام  permit ip any any بدلا من التصريح الذي يركز على المنفذ 80، تعيد عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أيضا توجيه HTTPS، وهو غالبا ما يكون غير مرغوب فيه لأنه يتعين عليه توفير شهادته الخاصة وإنشاء انتهاك للشهادة دائما. هذا إستثناء من الجملة السابقة التي تقول أنك لا تحتاج إلى شهادة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في حالة CWA: تحتاج إلى شهادة إذا تم تمكين اعتراض HTTPS ولكنها لا تعتبر صالحة على أية حال.

يمكنك تحسين قائمة التحكم في الوصول (ACL) من خلال الإجراء لرفض منفذ الضيف 8443 فقط إلى خادم ISE.

تمكين إعادة التوجيه ل HTTP أو HTTPS

يتم ربط تكوين مدخل مسؤول الويب بتكوين مدخل مصادقة الويب ويجب أن يستمع على المنفذ 80 لإعادة التوجيه. لذلك، يجب تمكين HTTP حتى تعمل إعادة التوجيه بشكل صحيح. يمكنك إما إختيار تمكينها بشكل عام (باستخدام الأمر  ip http server) أو يمكنك تمكين HTTP ل وحدة مصادقة الويب فقط (باستخدام الأمر  webauth-http-enable تحت خريطة المعلمة).

إذا كنت ترغب في إعادة التوجيه عند محاولة الوصول إلى عنوان URL ل HTTPS، فقم بإضافة الأمر  intercept-https-enable تحت خريطة المعلمة ولكن لاحظ أن هذا التكوين ليس مثاليا، وأن له تأثير على وحدة المعالجة المركزية الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) ويقوم بإنشاء أخطاء شهادات على أي حال:

parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx

يمكنك أيضا القيام بذلك عبر واجهة المستخدم الرسومية مع تحديد الخيار 'اعتراض مصادقة الويب ل HTTPS' في خريطة المعلمة (Configuration > Security > Web Auth).
  

تكوين ISE

إضافة 9800 WLC إلى محرك خدمات كشف الهوية (ISE)

الخطوة 1. افتح وحدة تحكم ISE وانتقل إلىAdministration > Network Resources > Network Devices > Add كما هو موضح في الصورة.

الخطوة 2. قم بتكوين جهاز الشبكة.

وبشكل إختياري، يمكن أن يكون اسم طراز محدد أو إصدار برنامج أو وصف محدد، وتعيين مجموعات أجهزة الشبكة استنادا إلى أنواع الأجهزة أو الموقع أو أدوات التحكم في الشبكة المحلية اللاسلكية (WLC).

يماثل عنوان IP هنا واجهة WLC التي ترسل طلبات المصادقة. بشكل افتراضي، تكون هي واجهة الإدارة كما هو موضح في الصورة:

لمزيد من المعلومات حول مجموعات أجهزة الشبكة، راجع فصل دليل إدارة ISE: إدارة أجهزة الشبكة: ISE - مجموعات أجهزة الشبكة.

إنشاء مستخدم جديد على ISE

الخطوة 1. انتقل إلى  Administration > Identity Management > Identities > Users > Add  كما هو موضح في الصورة.

الخطوة 2. أدخل المعلومات.

في هذا المثال، ينتمي هذا المستخدم إلى مجموعة تسمى  ALL_ACCOUNTS ولكن يمكن ضبطه حسب الحاجة، كما هو موضح في الصورة.

إنشاء ملف تعريف التفويض

ملف تعريف النهج هو النتيجة المعينة لعميل استنادا إلى المعلمات الخاصة به (مثل عنوان MAC وبيانات الاعتماد وشبكة WLAN المستخدمة وما إلى ذلك). يمكنه تعيين إعدادات معينة مثل شبكة المنطقة المحلية الظاهرية (VLAN) وقوائم التحكم في الوصول (ACL) وإعادة توجيه محدد موقع الموارد الموحد (URL) وما إلى ذلك.

لاحظ أنه في الإصدارات الحديثة من ISE، توجد نتيجة تفويض Cisco_Webauth بالفعل. الآن يمكنك تحريره لتعديل اسم قائمة التحكم في الوصول (ACL) لإعادة التوجيه لمطابقة ما قمت بتكوينه على WLC.

الخطوة 1. انتقل إلى  Policy > Policy Elements > Results > Authorization > Authorization Profiles. انقر  add لإنشاء ملكك الخاص أو تحرير  Cisco_Webauth النتيجة الافتراضية.

الخطوة 2. أدخل معلومات إعادة التوجيه. تأكد من أن اسم قائمة التحكم في الوصول (ACL) هو نفسه الذي تم تكوينه على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800.

تكوين قاعدة المصادقة

الخطوة 1. تحدد مجموعة النهج مجموعة من قواعد المصادقة والتفويض. لإنشاء واحد، انتقل إلىPolicy > Policy Sets، انقر على الأدوات الخاصة بأول مجموعة سياسات في القائمة واخترInsert new row or click the blue arrow on the right to choose the defaut Policy Set.


الخطوة 2. الأمر Expand  Authentication السياسة. من أجل  MAB القاعدة (مطابقة على MAB سلكي أو لاسلكي)، توسيع  Options، واختيار  CONTINUE في حالة ظهور الخيار 'إذا لم يتم العثور على المستخدم'.

الخطوة 3. انقر  Save  لحفظ التغييرات.

تكوين قواعد المصادقة

قاعدة التفويض هي القاعدة المسؤولة لتحديد أي نتيجة الأذونات (أي ملف تعريف تفويض) التي يتم تطبيقها على العميل.

الخطوة 1. في نفس صفحة مجموعة النهج، قم بإغلاق  Authentication Policy وتوسع  Authorziation Policy  كما هو موضح في الصورة.

الخطوة 2. تبدأ إصدارات ISE الأخيرة بقاعدة تم إنشاؤها مسبقا تسمى  Wifi_Redirect_to_Guest_Login الذي يطابق تقريبا إحتياجاتنا. تشغيل علامة الرمادي الموجودة على اليسار إلى  enable.

الخطوة 3. تتطابق هذه القاعدة مع Wireless_MAB فقط وترجع سمات إعادة توجيه CWA. الآن، يمكنك إختياريا إضافة التفاف صغير وجعله يطابق SSID المحدد فقط. أختر الشرط (Wireless_MAB اعتبارا من الآن) لإظهار الشرط Studio. قم بإضافة شرط إلى اليمين واختر  Radius قاموس مع  Called-Station-ID السمة. اجعله يتطابق مع اسم SSID الخاص بك. التحقق من الصحة باستخدام Use في أسفل الشاشة كما هو موضح في الصورة.

الخطوة 4. تحتاج الآن إلى قاعدة ثانية، معرفة بأولوية أعلى، والتي تطابق  Guest Flow شرط لإرجاع تفاصيل الوصول إلى الشبكة بمجرد مصادقة المستخدم على البوابة. يمكنك إستخدام  Wifi Guest Access القاعدة التي يتم إنشاؤها مسبقا أيضا بشكل افتراضي على إصدارات ISE الأخيرة. سيكون عليك حينئذٍ فقط تمكين القاعدة بوضع علامة خضراء على اليسار.   يمكنك إرجاع PermitAccess الافتراضي أو تكوين قيود قائمة الوصول الأكثر دقة.

الخطوة 5. قم بحفظ القواعد.

انقر  Save  أسفل القواعد.

نقاط الوصول إلى مبدلات Flexconnect المحلية فقط

ماذا لو كانت لديك شبكات WLAN ونقاط الوصول إلى مبدلات Flexconnect المحلية؟ الأقسام السابقة لا تزال صالحة. ومع ذلك، فأنت بحاجة إلى خطوة إضافية من أجل دفع قائمة التحكم في الوصول (ACL) لإعادة التوجيه إلى نقاط الوصول (AP) مسبقا.

انتقل إلى  Configuration > Tags & Profiles > Flex واختر ملف تعريف Flex الخاص بك. بعد ذلك، انتقل إلى  Policy ACL علامة تبويب.

انقر  Add  كما هو موضح في الصورة.

أختر اسم قائمة التحكم في الوصول (ACL) المعاد توجيهه وقم بتمكين المصادقة المركزية للويب. يعكس خانة الاختيار هذه قائمة التحكم في الوصول (ACL) تلقائيا على نقطة الوصول نفسها (وذلك لأن عبارة 'deny' تعني 'لا تقم بإعادة التوجيه إلى هذا IP' على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في Cisco IOS XE. غير أن بيان "الرفض" يعني العكس على الأسوشيتد برس. لذا، فإن خانة الاختيار هذه تقوم تلقائيا بتبديل جميع التصاريح ورفضها عندما تقوم بالدفع إلى نقطة الوصول. يمكنك التحقق من ذلك باستخدام  show ip access list من واجهة سطر الأوامر (CLI) لنقطة الوصول (AP).

ملاحظة: في سيناريو التحويل المحلي ل FlexConnect، يجب أن تشير قائمة التحكم في الوصول (ACL) بشكل خاص إلى عبارات الإرجاع (وهو أمر غير مطلوب بالضرورة في الوضع المحلي)، لذا تأكد من أن جميع قواعد قائمة التحكم في الوصول (ACL) لديك تغطي كلا من طرق حركة المرور (إلى واجهة سطر الأوامر (ISE) ومنه على سبيل المثال).

لا تنس أن تضرب  Save ومن ثم  Update and apply to the device.

الشهادات

لجعل العميل يثق بشهادة مصادقة الويب، لا يلزم تثبيت أي شهادة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حيث إن الشهادة الوحيدة المقدمة هي شهادة ISE (التي يجب أن تكون موثوق بها من قبل العميل).

التحقق من الصحة

يمكنك استخدام هذه الأوامر للتحقق من التكوين الحالي.

# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

هنا الجزء ذو الصلة من تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الذي يماثل هذا المثال:

aaa new-model
!
aaa authorization network CWAauthz group radius
aaa accounting identity CWAacct start-stop group radius
!
aaa server radius dynamic-author
 client <ISE-IP> server-key cisco123
!
aaa session-id common
!
!
radius server ISE-server
 address ipv4 <ISE-IP> auth-port 1812 acct-port 1813
 key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile

wireless profile policy default-policy-profile
 aaa-override
 nac
 vlan 1416
 no shutdown
wireless tag policy cwa-policy-tag
 wlan cwa-ssid policy default-policy-profile
wlan cwa-ssid 4 cwa-ssid
 mac-filtering CWAauthz
 no security ft adaptive
 no security wpa
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 no security wpa akm dot1x
 no shutdown

ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server

استكشاف الأخطاء وإصلاحها

قائمة التحقق

• تأكد من اتصال العميل وعنوان IP صالح وحصوله عليه.
• إذا لم تكن عملية إعادة التوجيه تلقائية، فافتح المستعرض وحاول إستخدام عنوان IP عشوائي. على سبيل المثال، 10.0.0.1. إذا عملت إعادة التوجيه، فمن المحتمل أن تكون لديك مشكلة في حل DNS. تحقق من توفر خادم DNS صالح لديك عبر DHCP ومن قدرته على حل أسماء المضيف. 
• تأكد من حصولك على الأمر  ip http server تم تكوينه لإعادة التوجيه على HTTP للعمل. يتم ربط تكوين مدخل مسؤول الويب بتكوين مدخل مصادقة الويب ويجب إدراجه على المنفذ 80 لإعادة التوجيه. يمكنك إما إختيار تمكينها بشكل عام (باستخدام الأمر  ip http server) أو يمكنك تمكين HTTP ل وحدة مصادقة الويب فقط (باستخدام الأمر  webauth-http-enable تحت خريطة المعلمة).
• إذا لم تتم إعادة توجيهك عند محاولة الوصول إلى عنوان URL ل HTTPS وهو مطلوب، فتحقق من توفر الأمر لديك  intercept-https-enable تحت خريطة المعلمة:
  
  

parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx

أنت يستطيع أيضا فحصت عن طريق ال gui أن أنت تتلقى الخيار Web Auth يعترض HTTPS' فحصت في المعلمة خريطة:
  

دعم منفذ الخدمة ل RADIUS

تحتوي وحدة التحكم اللاسلكية Cisco Catalyst 9800 Series على منفذ خدمة يشار إليه باسم  GigabitEthernet 0المنفذ. اعتبارا من الإصدار 17.6.1، يتم دعم RADIUS (الذي يتضمن CoA) من خلال هذا المنفذ.

إذا كنت ترغب في إستخدام منفذ الخدمة ل RADIUS، فأنت بحاجة إلى هذا التكوين:

aaa server radius dynamic-author 
client 10.48.39.28 vrf Mgmt-intf server-key cisco123

interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 ip address x.x.x.x x.x.x.x

!if using aaa group server:
aaa group server radius group-name
 server name nicoISE
 ip vrf forwarding Mgmt-intf
 ip radius source-interface GigabitEthernet0

تجميع تصحيح الأخطاء

يوفر WLC 9800 إمكانات التتبع الدائمة. وهذا يضمن تسجيل جميع الأخطاء المتعلقة باتصال العميل والتحذيرات ورسائل مستوى الإشعار بشكل مستمر، كما يمكنك عرض السجلات الخاصة بحادثة أو حالة فشل بعد حدوثها.

ملاحظة: يمكنك الرجوع بضع ساعات إلى عدة أيام في السجلات ولكنها تعتمد على حجم السجلات التي تم إنشاؤها.

لعرض المسارات التي تم تجميعها بواسطة 9800 WLC بشكل افتراضي، يمكنك الاتصال عبر SSH/Telnet ب 9800 WLC وإجراء هذه الخطوات (تأكد من تسجيل الجلسة إلى ملف نصي).

الخطوة 1. فحصت ال WLC حالي وقت لذلك أنت يستطيع تتبعت السجل في الوقت back to عندما الإصدار حدث.

# show clock

الخطوة 2. قم بتجميع syslog من المخزن المؤقت ل WLC أو syslog الخارجي كما هو محدد بواسطة تكوين النظام. يوفر ذلك طريقة عرض سريعة لسلامة النظام والأخطاء إن وجدت.

# show logging

الخطوة 3. تحقق ما إذا تم تمكين أي شروط تصحيح أخطاء.

# show debugging
Cisco IOS XE Conditional Debug Configs:

Conditional Debug Global State: Stop

Cisco IOS XE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

ملاحظة: إذا رأيت أي شرط مدرج في القائمة، فهذا يعني أن التتبع يتم تسجيله إلى مستوى تصحيح الأخطاء لجميع العمليات التي تواجه الشروط الممكنة (عنوان MAC وعنوان IP وما إلى ذلك). وهذا يزيد من حجم السجلات. لذلك، يوصى بمسح جميع الشروط عندما لا تقوم بتصحيح الأخطاء بشكل فعال.

الخطوة 4. بافتراض أن عنوان MAC تحت الاختبار لم يتم إدراجه كشرط في الخطوة 3.، قم بتجميع آثار مستوى الإشعار الموجودة دائما لعنوان MAC المحدد.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

يمكنك إما عرض المحتوى على الجلسة أو يمكنك نسخ الملف إلى خادم TFTP خارجي.

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

التصحيح الشرطي والتتبع النشط اللاسلكلي 

إذا لم تمنحك المسارات الدائمة معلومات كافية لتحديد مشغل المشكلة قيد التحقيق، يمكنك تمكين تصحيح الأخطاء المشروط والتقاط تتبع Radio Active (RA)، الذي يوفر تتبع مستوى تصحيح الأخطاء لجميع العمليات التي تتفاعل مع الشرط المحدد (عنوان MAC للعميل في هذه الحالة). لتمكين تصحيح الأخطاء المشروط، استمر في هذه الخطوات.

الخطوة 5. تأكد من عدم تمكين شروط تصحيح الأخطاء.

# clear platform condition all

الخطوة 6. قم بتمكين شرط تصحيح الأخطاء لعنوان MAC للعميل اللاسلكي الذي تريد مراقبته.

تبدأ هذه الأوامر بمراقبة عنوان mac المتوفر لمدة 30 دقيقة (1800 ثانية). يمكنك زيادة هذا الوقت اختياريًا حتى 2085978494 ثانية.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

ملاحظة: من أجل مراقبة أكثر من عميل في وقت واحد، قم بتشغيل debug wireless mac   أمر لكل عنوان MAC.

ملاحظة: لا ترى إخراج نشاط العميل على جلسة العمل الطرفية، حيث يتم تخزين كل شيء مؤقتا داخليا لعرضه لاحقا.

الخطوة 7'. قم بإعادة إنتاج المشكلة أو السلوك الذي تريد مراقبته.

الخطوة 8. قم بإيقاف تصحيح الأخطاء إذا تم نسخ المشكلة قبل انتهاء وقت المراقبة الافتراضي أو المكون.

# no debug wireless mac <aaaa.bbbb.cccc>

ما إن انقضى وقت المدرب أو ال debug لاسلكي يكون، ال 9800 WLC يلد مبرد محلي مع الإسم:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

الخطوة 9. تجميع ملف نشاط عنوان MAC. يمكنك إما نسخ  ra trace .log إلى خادم خارجي أو عرض المخرجات مباشرة على الشاشة.

التحقق من اسم ملف تتبع مسار RA.

# dir bootflash: | inc ra_trace

نسخ الملف إلى خادم خارجي:

# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log  tftp://a.b.c.d/ra-FILENAME.txt

عرض المحتوى:

# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log 

الخطوة 10. إذا كان السبب الجذري لا يزال غير واضح، فقم بجمع السجلات الداخلية التي تعد طريقة عرض توضيحية أكبر للسجلات على مستوى تصحيح الأخطاء. لا تحتاج إلى تصحيح أخطاء العميل مرة أخرى حيث إننا نلقي نظرة أكثر تفصيلا على سجلات تصحيح الأخطاء التي تم تجميعها بالفعل وتخزينها داخليا.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

ملاحظة: ينتج هذا الأمر آثارا لجميع مستويات السجل لجميع العمليات وهو كبير الحجم إلى حد ما. أشرك cisco TAC للمساعدة في التحليل خلال هذه المسارات.

يمكنك إما نسخ  ra-internal-FILENAME.txt إلى خادم خارجي أو عرض المخرجات مباشرة على الشاشة.

نسخ الملف إلى خادم خارجي:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

عرض المحتوى:

# more bootflash:ra-internal-<FILENAME>.txt

الخطوة 11. قم بإزالة شروط تصحيح الأخطاء.

# clear platform condition all

ملاحظة: تأكد من إزالة شروط تصحيح الأخطاء دائما بعد جلسة أستكشاف الأخطاء وإصلاحها.

الأمثلة

إذا لم تكن نتيجة المصادقة كما تتوقع، فمن المهم الانتقال إلى ISE  Operations > Live logs والحصول على تفاصيل نتيجة المصادقة.

تعرض عليك مع سبب الفشل (إذا كان هناك فشل) وجميع سمات Radius التي تلقاها ISE.

في المثال التالي، رفض محرك خدمات كشف الهوية (ISE) المصادقة لأنه لا توجد قاعدة تفويض مطابقة. وذلك لأنك ترى سمة معرف المحطة المستدعى مرسلة كاسم SSID ملحق بعنوان AP MAC، بينما يكون التخويل مطابقا تماما لاسم SSID. يتم إصلاحها مع تغيير هذه القاعدة إلى "يحتوي" بدلا من "يساوي".

بعد حل هذه المشكلة، لا يزال عميل WiFi غير قادر على الاقتران ب SSID بينما يدعي ISE أن التخويل ناجح وأرجع سمات CWA الصحيحة.

يمكنك الانتقال إلى  Troubleshooting > Radioactive trace صفحة واجهة مستخدم ويب WLC.

في معظم الحالات، يمكنك الاعتماد على السجلات التي تعمل باستمرار وحتى الحصول على السجلات من محاولات الاتصال السابقة دون إعادة إنتاج المشكلة مرة أخرى.

إضافة عنوان التحكم في الوصول للوسائط الخاص بالعميل وانقر فوق  Generate  كما هو موضح في الصورة.

في هذه الحالة، تكمن المشكلة في حقيقة أنك قمت بعمل خطأ إملائي عندما قمت بإنشاء اسم قائمة التحكم في الوصول وهو لا يطابق اسم قائمة التحكم في الوصول الذي تم إرجاعه من قبل ISE أو أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يشتكي من عدم وجود قائمة التحكم في الوصول (ACL) كتلك التي طلبها ISE:

2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162  client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42, 
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.