Einleitung
In diesem Dokument wird die Konfiguration eines CWA Wireless LAN auf einem Catalyst 9800 WLC und der ISE beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie mit der Konfiguration der 9800 Wireless LAN Controller (WLC) vertraut sind.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- 9800 WLC Cisco IOS® XE Gibraltar v17.6.x
- Identity Service Engine (ISE) v3.0
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Der CWA-Prozess ist hier dargestellt. Hier sehen Sie den CWA-Prozess eines Apple-Geräts als Beispiel:
Konfigurieren
Netzwerkdiagramm
AAA-Konfiguration auf dem 9800 WLC
Schritt 1: Fügen Sie den ISE-Server der 9800 WLC-Konfiguration hinzu.
Navigieren Sie zu Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add
und geben Sie die RADIUS-Serverinformationen wie in den Bildern dargestellt ein.
Stellen Sie sicher, dass die Unterstützung für CoA aktiviert ist, wenn Sie zukünftig Central Web Authentication (oder irgendeine Art der Sicherheit, die CoA erfordert) verwenden möchten.
Hinweis: Achten Sie bei Version 17.4.x und höher darauf, den CoA-Serverschlüssel auch zu konfigurieren, wenn Sie den RADIUS-Server konfigurieren. Verwenden Sie denselben Schlüssel wie den gemeinsamen geheimen Schlüssel (bei ISE sind sie standardmäßig identisch). Optional soll ein anderer Schlüssel für CoA als der gemeinsame geheime Schlüssel konfiguriert werden, wenn dies der Grund ist, für den der RADIUS-Server konfiguriert wurde. In Cisco IOS XE 17.3 wurde für die Webbenutzeroberfläche lediglich derselbe gemeinsame geheime Schlüssel wie für den CoA-Schlüssel verwendet.
Schritt 2: Erstellen Sie eine Liste mit Autorisierungsmethoden.
Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authorization > + Add
wie im Bild dargestellt.
Schritt 3. (Optional) Erstellen Sie eine Abrechnungsmethodenliste, wie im Bild dargestellt.
Hinweis: CWA funktioniert nicht, wenn Sie sich aufgrund der Cisco Bug-ID CSCvh03827 für den Lastenausgleich (über die CLI-Konfiguration von Cisco IOS XE) Ihrer Radius-Server entscheiden. Der Einsatz externer Load Balancer ist in Ordnung.
Schritt 4: (Optional) Sie können die AAA-Richtlinie so definieren, dass der SSID-Name als Attribut "Called-Station-ID" gesendet wird. Dies kann nützlich sein, wenn Sie diese Bedingung später im Prozess auf der ISE nutzen möchten.
Navigieren Sie zu Configuration > Security > Wireless AAA Policy
und entweder die AAA-Standardrichtlinie bearbeiten oder eine neue erstellen.
Sie können SSID
als Option 1. Beachten Sie, dass die angerufene Stations-ID auch dann die AP-MAC-Adresse an den SSID-Namen anhängt, wenn Sie nur SSID auswählen.
WLAN-Konfiguration
Schritt 1: WLAN erstellen.
Navigieren Sie zu Configuration > Tags & Profiles > WLANs > + Add
und konfigurieren Sie das Netzwerk nach Bedarf.
Schritt 2: Geben Sie die allgemeinen WLAN-Informationen ein.
Schritt 3: Navigieren Sie zum Security
und wählen Sie die benötigte Sicherheitsmethode aus. In diesem Fall werden nur die MAC-Filterung und die AAA-Autorisierungsliste (die Sie in Schritt 2 erstellt haben) im AAA Configuration
Abschnitt) erforderlich sind.
CLI:
#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown
Richtlinienprofilkonfiguration
In einem Richtlinienprofil können Sie den Clients neben anderen Einstellungen (wie Zugriffskontrolllisten (ACLs), Quality of Service (QoS), Mobility Anchor, Timer usw.) festlegen, welchem VLAN sie zugewiesen werden sollen.
Sie können entweder Ihr Standardrichtlinienprofil verwenden oder ein neues erstellen.
GUI:
Schritt 1: Erstellen Sie eine neue Policy Profile
.
Navigieren Sie zu Configuration > Tags & Profiles > Policy
und konfigurieren Sie default-policy-profile
oder eine neue erstellen.
Stellen Sie sicher, dass das Profil aktiviert ist.
Schritt 2: Wählen Sie das VLAN aus.
Navigieren Sie zum Access Policies
und wählen Sie den VLAN-Namen aus dem Dropdown-Menü aus, oder geben Sie die VLAN-ID manuell ein. Konfigurieren Sie keine ACL im Richtlinienprofil.
Schritt 3: Konfigurieren Sie das Richtlinienprofil so, dass es ISE-Überschreibungen (Allow AAA Override) und Change of Authorization (CoA) (NAC State) zulässt. Sie können optional auch eine Abrechnungsmethode angeben.
CLI:
# config
# wireless profile policy <policy-profile-name>
# aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown
Richtlinien-Tag-Konfiguration
Sie verbinden Ihre SSID innerhalb des Richtlinien-Tags mit Ihrem Richtlinienprofil. Sie können entweder ein neues Richtlinien-Tag erstellen oder das Standard-Richtlinien-Tag verwenden.
Hinweis: Das default-policy-Tag ordnet dem default-policy-Profil automatisch alle SSIDs mit einer WLAN-ID zwischen 1 und 16 zu. Es kann nicht geändert oder gelöscht werden. Wenn Sie über ein WLAN mit der ID 17 oder höher verfügen, kann das default-policy-Tag nicht verwendet werden.
GUI:
Navigieren Sie zu Configuration > Tags & Profiles > Tags > Policy
und fügen Sie ggf. eine neue hinzu, wie im Bild dargestellt.
Verknüpfen Sie Ihr WLAN-Profil mit dem gewünschten Richtlinienprofil.
CLI:
# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>
Richtlinien-Tag-Zuweisung
Weisen Sie den erforderlichen APs das Richtlinien-Tag zu.
GUI:
Um das Tag einem AP zuzuweisen, navigieren Sie zu Configuration > Wireless > Access Points > AP Name > General Tags
, nehmen Sie die benötigte Zuweisung vor, und klicken Sie dann auf Update & Apply to Device
.
Hinweis: Beachten Sie, dass nach dem Ändern des Richtlinien-Tags an einem AP die Verknüpfung mit dem 9800 WLC verloren geht und die Verbindung innerhalb von ca. 1 Minute wiederhergestellt wird.
Um dieselbe Policy Tag mehreren APs zuzuweisen, navigieren Sie zu Configuration > Wireless > Wireless Setup > Advanced > Start Now
.
Wählen Sie die APs aus, denen Sie das Tag zuweisen möchten, und klicken Sie auf + Tag APs
wie im Bild dargestellt.
Wählen Sie den gewünschten Tag aus, und klicken Sie auf Save & Apply to Device
wie im Bild dargestellt.
CLI:
# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end
Umleiten der ACL-Konfiguration
Schritt 1: Navigieren Sie zu Configuration > Security > ACL > + Add
um eine neue ACL zu erstellen.
Wählen Sie einen Namen für die ACL aus, und legen Sie fest, IPv4 Extended
Geben Sie jede Regel wie im Bild dargestellt als Sequenz ein, und fügen Sie sie hinzu.
Sie müssen den Traffic zu Ihren ISE-PSNs-Knoten sowie DNS verweigern und den Rest zulassen. Bei dieser Umleitungs-ACL handelt es sich nicht um eine Sicherheits-ACL, sondern um eine Punkt-ACL, die festlegt, welcher Datenverkehr zur Weiterbehandlung (z. B. Umleitung) an die CPU weitergeleitet wird (bei entsprechender Berechtigung) und welcher Datenverkehr auf der Datenebene verbleibt (bei Ablehnung), um eine Umleitung zu vermeiden.
Die ACL muss wie folgt aussehen (ersetzen Sie in diesem Beispiel 10.48.39.28 durch Ihre ISE-IP-Adresse):
Hinweis: Bei der ACL für die Umleitung denken Sie an deny
Aktion wie eine Weiterleitung verweigern (Datenverkehr nicht verweigern) und die permit
Aktion als Umleitung zulassen. Der WLC untersucht nur den Datenverkehr, den er umleiten kann (standardmäßig die Ports 80 und 443).
CLI:
ip access-list extended REDIRECT
deny ip any host <ISE-IP>
deny ip host<ISE-IP> any
deny udp any any eq domain
deny udp any eq domain any
permit tcp any any eq 80
Hinweis: Wenn Sie die ACL mit einem permit ip any any
Anstelle einer auf Port 80 fokussierten Genehmigung leitet der WLC auch HTTPS um, was oft unerwünscht ist, da er sein eigenes Zertifikat zur Verfügung stellen muss und immer eine Zertifikatverletzung verursacht. Dies ist die Ausnahme zu der vorherigen Aussage, die besagt, dass Sie im Fall von CWA kein Zertifikat auf dem WLC benötigen: Sie benötigen ein Zertifikat, wenn HTTPS-Interception aktiviert ist, es jedoch ohnehin nie als gültig angesehen wird.
Sie können die ACL verbessern, indem Sie dem ISE-Server nur den Gast-Port 8443 vorenthalten.
Umleitung für HTTP oder HTTPS aktivieren
Die Konfiguration des Web-Admin-Portals ist mit der Konfiguration des Web-Authentifizierungsportals verknüpft und muss Port 80 überwachen, um eine Umleitung zu ermöglichen. Daher muss HTTP aktiviert sein, damit die Umleitung ordnungsgemäß funktioniert. Sie können sie entweder global aktivieren (mit dem Befehl ip http server
), oder Sie können HTTP für die Nur Web-Authentifizierungsmodul (mit dem Befehl webauth-http-enable
unter der Parameterzuordnung).
Wenn Sie beim Zugriff auf eine HTTPS-URL umgeleitet werden möchten, fügen Sie den Befehl intercept-https-enable
unter der Parameterzuordnung, aber beachten Sie, dass dies keine optimale Konfiguration ist, dass dies Auswirkungen auf die WLC-CPU hat und trotzdem Zertifikatfehler generiert:
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
Sie können dies auch über die GUI mit der Option 'Web Auth intercept HTTPS' in der Parameterzuordnung (Configuration > Security > Web Auth
).
Hinweis: Browser verwenden standardmäßig eine HTTP-Website, um den Umleitungsprozess zu starten. Wenn HTTPS-Umleitung erforderlich ist, muss Web Auth HTTPS abfangen aktiviert werden. Diese Konfiguration wird jedoch nicht empfohlen, da sie die CPU-Auslastung erhöht.
ISE-Konfiguration
Hinzufügen von 9800 WLC zu ISE
Schritt 1: Öffnen Sie die ISE-Konsole, und navigieren Sie zuAdministration > Network Resources > Network Devices > Add
wie im Bild dargestellt.
Schritt 2: Konfigurieren des Netzwerkgeräts
Optional kann es sich um einen angegebenen Modellnamen, eine angegebene Softwareversion und eine Beschreibung handeln sowie Netzwerkgerätegruppen basierend auf Gerätetyp, Standort oder WLCs zuweisen.
Die IP-Adresse entspricht dabei der WLC-Schnittstelle, die die Authentifizierungsanforderungen sendet. Standardmäßig ist dies die Management-Schnittstelle, wie im Bild gezeigt:
Weitere Informationen zu Netzwerk-Gerätegruppen finden Sie im ISE Admin Guide Chapter: Manage Network Devices: ISE - Network Device Groups.
Neuen Benutzer auf ISE erstellen
Schritt 1: Navigieren Sie zu Administration > Identity Management > Identities > Users > Add
wie im Bild dargestellt.
Schritt 2: Geben Sie die Informationen ein.
In diesem Beispiel gehört dieser Benutzer zu einer Gruppe mit der Bezeichnung ALL_ACCOUNTS
aber es kann nach Bedarf angepasst werden, wie im Bild gezeigt.
Erstellen des Autorisierungsprofils
Das Richtlinienprofil ist das Ergebnis, das einem Client basierend auf dessen Parametern zugewiesen wird (z. B. MAC-Adresse, Anmeldeinformationen, verwendetes WLAN usw.). Sie kann spezifische Einstellungen wie VLAN (Virtual Local Area Network), Zugriffskontrolllisten (ACLs), URL-Umleitungen usw. zuweisen.
Beachten Sie, dass in aktuellen Versionen der ISE bereits ein Autorisierungsergebnis von Cisco_Webauth vorhanden ist. Hier können Sie es bearbeiten und den Namen der Umleitungs-ACL so ändern, dass er mit der Konfiguration im WLC übereinstimmt.
Schritt 1: Navigieren Sie zu Policy > Policy Elements > Results > Authorization > Authorization Profiles
. Klicken Sie auf add
um Ihre eigene zu erstellen oder zu bearbeiten Cisco_Webauth
Standardergebnis.
Schritt 2: Geben Sie die Weiterleitungsinformationen ein. Stellen Sie sicher, dass der ACL-Name mit dem Namen übereinstimmt, der auf dem 9800 WLC konfiguriert wurde.
Konfiguration der Authentifizierungsregel
Schritt 1: Ein Richtliniensatz definiert eine Sammlung von Authentifizierungs- und Autorisierungsregeln. Navigieren Sie zum Erstellen eines Elements zuPolicy > Policy Sets
, klicken Sie auf das Zahnrad des ersten Policy Set in der Liste und wählen SieInsert new row
or click the blue arrow on the right to choose the defaut Policy Set.
Schritt 2: Erweitern Authentication
richtlinie. Für die MAB
Regel (Übereinstimmung auf kabelgebundenem oder Wireless-MAB), erweitern Options
, und wählen Sie CONTINUE
, falls Sie 'If User not found' sehen.
Schritt 3: Klicken Sie auf Save
um die Änderungen zu speichern.
Konfiguration der Authentifizierungsregeln
Die Autorisierungsregel bestimmt, welche Berechtigungen (welches Autorisierungsprofil) auf den Client angewendet werden.
Schritt 1: Schließen Sie auf derselben Seite mit dem Richtliniensatz den Authentication Policy
und erweitern Authorziation Policy
wie im Bild dargestellt.
Schritt 2: Die aktuellen ISE-Versionen beginnen mit einer vorab erstellten Regel namens Wifi_Redirect_to_Guest_Login
die größtenteils unseren Bedürfnissen entspricht. Drehen Sie das graue Schild links nach enable
.
Schritt 3: Diese Regel stimmt nur mit Wireless_MAB überein und gibt die CWA-Umleitungsattribute zurück. Jetzt können Sie optional eine kleine Wendung hinzufügen und festlegen, dass diese nur mit der spezifischen SSID übereinstimmt. Wählen Sie die Bedingung (ab sofort Wireless_MAB), damit das Bedingungsstudio angezeigt wird. Fügen Sie rechts eine Bedingung hinzu, und wählen Sie Radius
Wörterbuch Called-Station-ID
-Attribut. Passen Sie es an Ihren SSID-Namen an. Validieren Sie mit dem Use
am unteren Rand des Bildschirms, wie im Bild dargestellt.
Schritt 4: Sie benötigen nun eine zweite Regel, die mit einer höheren Priorität definiert wird und mit der Guest Flow
um die Netzwerkzugriffsdetails zurückzugeben, sobald sich der Benutzer im Portal authentifiziert hat. Sie können die Wifi Guest Access
-Regel, die standardmäßig auch für die neuesten ISE-Versionen erstellt wurde. Sie müssen dann die Regel nur mit einer grünen Markierung auf der linken Seite aktivieren. Sie können die Standardeinstellung "PermitAccess" zurückgeben oder präzisere Zugriffslisteneinschränkungen konfigurieren.
Schritt 5: Speichern Sie die Regeln.
Klicken Sie auf Save
auf dem Boden der Regeln.
NUR Flexconnect Local Switching Access Points
Was ist, wenn Sie über lokale Flexconnect Switching Access Points und WLANs verfügen? Die vorherigen Abschnitte sind weiterhin gültig. Sie benötigen jedoch einen zusätzlichen Schritt, um die Umleitungszugriffskontrollliste im Voraus an die APs zu senden.
Navigieren Sie zu Configuration > Tags & Profiles > Flex
und wählen Sie Ihr Flex-Profil aus. Navigieren Sie anschließend zum Policy ACL
aus.
Klicken Sie auf Add
wie im Bild dargestellt.
Wählen Sie den Namen der Umleitungszugriffskontrollliste aus, und aktivieren Sie die zentrale Webauthentifizierung. Dieses Kontrollkästchen invertiert automatisch die ACL auf dem Access Point selbst (da eine "deny"-Anweisung bedeutet, dass auf dem WLC in Cisco IOS XE keine Umleitung zu dieser IP erfolgt). Auf dem AP bedeutet die "deny"-Anweisung jedoch das Gegenteil. Daher tauscht dieses Kontrollkästchen automatisch alle Berechtigungen aus und verweigert sie, wenn es den Push zum AP durchführt. Sie können dies mit einem show ip access list
über die AP-CLI).
Hinweis: In einem lokalen Flexconnect Switching-Szenario muss die ACL explizit Rückgabeanweisungen angeben (was im lokalen Modus nicht unbedingt erforderlich ist). Stellen Sie daher sicher, dass alle ACL-Regeln beide Datenverkehrsarten (z. B. zur und von der ISE) abdecken.
Vergessen Sie nicht zu schlagen Save
und dann Update and apply to the device
.
Zertifikate
Damit der Client dem Web-Authentifizierungszertifikat vertrauen kann, ist es nicht erforderlich, ein Zertifikat auf dem WLC zu installieren, da das einzige vorgelegte Zertifikat das ISE-Zertifikat ist (das vom Client als vertrauenswürdig eingestuft werden muss).
Überprüfung
Sie können diese Befehle verwenden, um die aktuelle Konfiguration zu überprüfen.
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Nachfolgend der relevante Teil der Konfiguration des WLC, der diesem Beispiel entspricht:
aaa new-model
!
aaa authorization network CWAauthz group radius
aaa accounting identity CWAacct start-stop group radius
!
aaa server radius dynamic-author
client <ISE-IP> server-key cisco123
!
aaa session-id common
!
!
radius server ISE-server
address ipv4 <ISE-IP> auth-port 1812 acct-port 1813
key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile
wireless profile policy default-policy-profile
aaa-override
nac
vlan 1416
no shutdown
wireless tag policy cwa-policy-tag
wlan cwa-ssid policy default-policy-profile
wlan cwa-ssid 4 cwa-ssid
mac-filtering CWAauthz
no security ft adaptive
no security wpa
no security wpa wpa2
no security wpa wpa2 ciphers aes
no security wpa akm dot1x
no shutdown
ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server
Fehlerbehebung
Checkliste
- Stellen Sie sicher, dass der Client eine Verbindung herstellt und eine gültige IP-Adresse erhält.
- Wenn die Umleitung nicht automatisch erfolgt, öffnen Sie einen Browser, und versuchen Sie eine zufällige IP-Adresse. Beispiel: 10.0.0.1. Wenn die Umleitung funktioniert, liegt möglicherweise ein DNS-Auflösungsproblem vor. Stellen Sie sicher, dass Sie über DHCP einen gültigen DNS-Server bereitgestellt haben und dass dieser Hostnamen auflösen kann.
- Stellen Sie sicher, dass Sie den Befehl
ip http server
konfiguriert, damit die Umleitung auf HTTP funktioniert. Die Konfiguration des Web-Admin-Portals ist mit der Konfiguration des Web-Authentifizierungsportals verknüpft und muss auf Port 80 aufgeführt werden, um eine Umleitung zu ermöglichen. Sie können sie entweder global aktivieren (mit dem Befehl ip http server
), oder Sie können HTTP für die Nur Web-Authentifizierungsmodul (mit dem Befehl webauth-http-enable
unter der Parameterzuordnung).
- Wenn Sie beim Zugriff auf eine HTTPS-URL nicht umgeleitet werden und dies erforderlich ist, stellen Sie sicher, dass der Befehl
intercept-https-enable
unter der Parameterzuordnung:
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
Sie können auch über die GUI überprüfen, ob die Option 'Web Auth intercept HTTPS' in der Parameterzuordnung aktiviert ist:
Service-Port-Unterstützung für RADIUS
Der Cisco Catalyst Wireless Controller der Serie 9800 verfügt über einen Service-Port, der als GigabitEthernet 0
anschluss. Ab Version 17.6.1 wird RADIUS (einschließlich CoA) über diesen Port unterstützt.
Wenn Sie den Service-Port für RADIUS verwenden möchten, benötigen Sie folgende Konfiguration:
aaa server radius dynamic-author
client 10.48.39.28 vrf Mgmt-intf server-key cisco123
interface GigabitEthernet0
vrf forwarding Mgmt-intf
ip address x.x.x.x x.x.x.x
!if using aaa group server:
aaa group server radius group-name
server name nicoISE
ip vrf forwarding Mgmt-intf
ip radius source-interface GigabitEthernet0
Debuggen sammeln
WLC 9800 bietet ALWAYS-ON-Tracing-Funktionen (immer aktiv). So wird sichergestellt, dass alle verbindungsbezogenen Fehler, Warnungen und Benachrichtigungen auf Client-Ebene ständig protokolliert werden und Sie nach einem Vorfall oder Fehler Protokolle anzeigen können.
Hinweis: Sie können in den Protokollen einige Stunden bis mehrere Tage zurückgehen, dies hängt jedoch von der Menge der generierten Protokolle ab.
Um die Traces anzuzeigen, die der 9800 WLC standardmäßig erfasst, können Sie sich über SSH/Telnet mit dem 9800 WLC verbinden und diese Schritte ausführen (stellen Sie sicher, dass Sie die Sitzung in einer Textdatei protokollieren).
Schritt 1: Überprüfen Sie die aktuelle WLC-Zeit, damit Sie die Protokolle bis zum Zeitpunkt des Problems nachverfolgen können.
# show clock
Schritt 2: Erfassen Sie die Syslogs aus dem WLC-Puffer oder dem externen Syslog gemäß der Systemkonfiguration. Dadurch erhalten Sie einen kurzen Überblick über den Systemzustand und etwaige Fehler.
# show logging
Schritt 3: Überprüfen Sie, ob Debug-Bedingungen aktiviert sind.
# show debugging
Cisco IOS XE Conditional Debug Configs:
Conditional Debug Global State: Stop
Cisco IOS XE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Hinweis: Wenn eine Bedingung aufgeführt wird, bedeutet dies, dass die Ablaufverfolgungen für alle Prozesse, bei denen die aktivierten Bedingungen auftreten (MAC-Adresse, IP-Adresse usw.) protokolliert werden. Dadurch erhöht sich die Anzahl der Protokolle. Es wird daher empfohlen, alle Bedingungen zu löschen, wenn Sie das Debuggen nicht aktiv durchführen.
Schritt 4: Unter der Annahme, dass die zu testende MAC-Adresse in Schritt 3. nicht als Bedingung aufgeführt wurde, werden die Nachverfolgungen auf permanenter Benachrichtigungsebene für die spezifische MAC-Adresse erfasst.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Sie können entweder den Inhalt der Sitzung anzeigen oder die Datei auf einen externen TFTP-Server kopieren.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Bedingtes Debugging und Radio Active Tracing
Wenn die stets verfügbaren Ablaufverfolgungen nicht genügend Informationen bereitstellen, um den Auslöser für das zu untersuchende Problem zu ermitteln, können Sie das bedingte Debuggen aktivieren und die Radio Active (RA)-Ablaufverfolgung erfassen, die Ablaufverfolgungen auf Debugebene für alle Prozesse bereitstellt, die mit der angegebenen Bedingung interagieren (in diesem Fall Client-MAC-Adresse). Um das bedingte Debuggen zu aktivieren, gehen Sie wie folgt vor.
Schritt 5: Stellen Sie sicher, dass keine Debugbedingungen aktiviert sind.
# clear platform condition all
Schritt 6: Aktivieren Sie die Debug-Bedingung für die MAC-Adresse des Wireless-Clients, die Sie überwachen möchten.
Mit diesen Befehlen wird die angegebene MAC-Adresse 30 Minuten (1800 Sekunden) lang überwacht. Sie können diese Zeit optional auf bis zu 2085978494 Sekunden erhöhen.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Hinweis: Um mehr als einen Client gleichzeitig zu überwachen, führen Sie debug wireless mac aus.
-Befehl pro MAC-Adresse aus.
Hinweis: Die Ausgabe der Client-Aktivität wird in der Terminal-Sitzung nicht angezeigt, da alles intern gepuffert wird, um später angezeigt zu werden.
Schritt 7". Reproduzieren Sie das Problem oder Verhalten, das Sie überwachen möchten.
Schritt 8: Stoppen Sie die Debugs, wenn das Problem reproduziert wird, bevor die standardmäßige oder konfigurierte Monitoring-Zeit abgelaufen ist.
# no debug wireless mac <aaaa.bbbb.cccc>
Wenn die Überwachungszeit abgelaufen ist oder das Wireless-Debugging beendet wurde, generiert der 9800 WLC eine lokale Datei mit dem Namen:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Schritt 9: Sammeln Sie die Datei der MAC-Adressaktivität. Sie können die ra trace .log
auf einen externen Server oder zeigen die Ausgabe direkt auf dem Bildschirm an.
Überprüfen Sie den Namen der RA-Tracing-Datei.
# dir bootflash: | inc ra_trace
Datei auf externen Server kopieren:
# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Inhalt anzeigen:
# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Schritt 10. Wenn die Ursache immer noch nicht offensichtlich ist, sammeln Sie die internen Protokolle, die eine ausführlichere Ansicht der Protokolle auf Debugebene darstellen. Sie müssen den Client nicht noch einmal debuggen, da wir nur einen weiteren detaillierten Blick auf Debug-Protokolle werfen, die bereits gesammelt und intern gespeichert wurden.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Hinweis: Diese Befehlsausgabe gibt Ablaufverfolgungen für alle Protokollstufen für alle Prozesse zurück und ist sehr umfangreich. Wenden Sie sich an das Cisco TAC, um diese Traces zu analysieren.
Sie können die ra-internal-FILENAME.txt
auf einen externen Server oder zeigen die Ausgabe direkt auf dem Bildschirm an.
Datei auf externen Server kopieren:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Inhalt anzeigen:
# more bootflash:ra-internal-<FILENAME>.txt
Schritt 11. Entfernen Sie die Debug-Bedingungen.
# clear platform condition all
Hinweis: Stellen Sie sicher, dass die Debug-Bedingungen nach einer Fehlerbehebungssitzung immer entfernt werden.
Beispiele
Wenn das Authentifizierungsergebnis nicht Ihren Erwartungen entspricht, müssen Sie zur ISE navigieren. Operations > Live logs
, um die Details des Authentifizierungsergebnisses abzurufen.
Sie erhalten den Grund für den Fehler (falls ein Fehler vorliegt) und alle Radius-Attribute, die von der ISE empfangen wurden.
Im nächsten Beispiel hat ISE die Authentifizierung abgelehnt, da keine Autorisierungsregel zutraf. Der Grund hierfür ist, dass das Attribut "Called-Station-ID" als an die MAC-Adresse des AP angehängter SSID-Name gesendet wird, während die Autorisierung genau mit dem SSID-Namen übereinstimmt. Es wird mit der Änderung dieser Regel auf 'enthält' anstelle von 'gleich' korrigiert.
Nach der Behebung dieses Problems kann der Wi-Fi-Client immer noch keine Verbindung mit der SSID herstellen, während die ISE behauptet, die Autorisierung sei erfolgreich, und die richtigen CWA-Attribute zurückgegeben hat.
Sie können zu den Troubleshooting > Radioactive trace
der WLC-Webbenutzeroberfläche.
In den meisten Fällen können Sie sich auf die stets verfügbaren Protokolle verlassen und sogar Protokolle früherer Verbindungsversuche abrufen, ohne dass das Problem erneut reproduziert werden muss.
Fügen Sie die Client-MAC-Adresse hinzu, und klicken Sie auf Generate
wie im Bild dargestellt.
In diesem Fall liegt das Problem darin, dass Sie einen Tippfehler gemacht haben, als Sie den ACL-Namen erstellt haben und dieser nicht mit dem ACL-Namen übereinstimmt, der von den ISEs zurückgegeben wurde, oder der WLC beklagt, dass es keine ACL gibt, die der von der ISE angeforderten entspricht:
2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162 client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42,
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.