Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar tres casos del uso del invitado en Identity Services Engine (ISE) con Cisco AireOS y reguladores inalámbricos siguientes LAN de Generation(NGWC) (WLCs).
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Los pasos cubiertos en este documento describen la configuración típica en el acceso unificado y convergido WLCs para utilizar cualquier flujo del invitado con ISE.
Sin importar el caso del uso configurado en ISE, de la perspectiva WLC todo comienza con un punto final de red inalámbrica que conecte con un SSID abierto con la filtración MAC activada (más la invalidación y RADIUS NAC AAA) esas puntas a ISE como la autenticación y el servidor de contabilidad. Esto se asegura de que ISE pueda empujar dinámicamente los atributos necesarios al WLC para la aplicación acertada de una reorientación al portal del invitado ISE.
1. Agregue ISE global como una autenticación y servidor de contabilidad.
Nota: Este ejemplo de la configuración determinada incluye 2 casos ISE
2. Configuración del retraso.
En el entorno unificado una vez que se acciona el descanso del servidor el WLC se mueve al servidor configurado siguiente. Después en la línea de la red inalámbrica (WLAN). Si no otro está disponible entonces el WLC selecciona el siguiente en la lista de los servidores globales. Cuando configuran a los servidores múltiples en el SSID (primario, secundario, etc) una vez que ocurre la Conmutación por falla el WLC por abandono continúa enviando el tráfico de la autenticación y (o) de las estadísticas permanentemente al caso secundario incluso si el servidor primario está detrás en línea.
Para atenuar este retraso del permiso del comportamiento. Navegue a la Seguridad >AAA > RADIUS > retraso. El comportamiento predeterminado está apagado. La única forma de recuperarse de un evento del servidor-abajo requiere la intervención admin (global despida el estado del administrador del servidor).
Para activar el retraso usted tiene dos opciones:
En este modo el WLC le requiere ingresar un username y un intervalo de la punta de prueba en los segundos (180 a 3600).
Nota: La punta de prueba WLC no requiere una autenticación satisfactoria. Cualquier manera, las autenticaciones acertadas o falladas se considera una respuesta del servidor que sea bastante para promover el servidor a la cola activa.
Discapacitado: La característica se inhabilita totalmente.
Activado con 0 intervalos: El WLC envía las actualizaciones de las estadísticas a ISE cada vez que hay un cambio en la entrada móvil de Block(MSCB) del control de la estación del cliente (IE. Se envían IPv4 o la asignación de dirección o el cambio del IPv6, el evento de itinerancia del cliente, los etc.) ningunas actualizaciones periódicas adicionales.
Activado con un intervalo interino configurado: En este modo el WLC envía las notificaciones a ISE sobre los cambios de la entrada MSCB del cliente y también envía las notificaciones periódicas adicionales de las estadísticas en el intervalo configurado (sin importar cualquier cambios).
Este ACL es referido por ISE y determina qué tráfico consigue reorientado y qué tráfico será permitido a través.
Este ACL debe permitir el acceso a y desde los servicios DNS y los Nodos ISE sobre el puerto 8443 TCP. Hay un implícito niega en la parte inferior que significa que el resto del tráfico consigue reorientado al invitado URL porta ISE.
Esta característica se utiliza en las versiones 8.0.x de AireOS y sube pero se apaga por abandono. Para activar la ayuda HTTPS vaya a la Administración WLC > al HTTP-HTTPS > al redireccionamiento HTTPS y fíjelo activado o aplique el este comando en el CLI:
(Cisco Controller) >config network web-auth https-redirect enable
Las advertencias del certificado después del HTTPS reorientan se activan
Después de que https-reoriente se active, el usuario pueda experimentar los problemas de la confianza del certificado durante la reorientación. Se ve esto incluso si hay un certificado encadenado válido en el regulador e incluso si este certificado es firmado por una autoridad de certificación confiada en las de otras compañías. La razón es que el certificado instalado en el WLC está publicado a su hostname o dirección IP de la interfaz virtual. Cuando el cliente intenta los https: //cisco.com, el navegador espera que el certificado sea publicado a cisco.com. Sin embargo, porque el WLC a poder interceptar GET publicado por el cliente, primero necesita establecer la sesión HTTPS para la cual el WLC presenta su certificado de la interfaz virtual durante la fase del contacto SSL. Esto hace al navegador visualizar una advertencia pues el certificado presentado durante el contacto SSL no se ha publicado al sitio web original que el cliente está intentando tener acceso (IE. cisco.com se opuso al hostname de la interfaz virtual WLC). Usted puede ser que vea diversos mensajes de error del certificado en diversos navegadores pero todos relacionarse con el mismo problema.
Esta característica se activa por abandono en AireOS WLCs. Cuando se activa la Conmutación por falla agresiva, el WLC marca el servidor AAA mientras que insensible y él se mueve al servidor configurado siguiente AAA después de que un evento de tiempo de espera del radio afecte a un cliente.
Cuando se inhabilita la característica el WLC falla encima al servidor siguiente solamente si el evento de tiempo de espera RADIUS ocurre con por lo menos 3 sesiones de cliente. Esta característica se puede inhabilitar por este comando (no se requiere ninguna reinicialización para este comando):
(Cisco Controller) >config radius aggressive-failover disable
Para verificar el estado actual de la característica:
(Cisco Controller) >show radius summary Vendor Id Backward Compatibility................. Disabled Call Station Id Case............................. lower Acct Call Station Id Type........................ Mac Address Auth Call Station Id Type........................ AP's Radio MAC Address:SSID Extended Source Ports Support.................... Enabled Aggressive Failover.............................. Disabled
Las puntos finales que utilizan un mecanismo auxiliar de la red prisionera (PUEDA) para descubrir un cautivo-porta y el auto-lanzamiento una página del inicio hacen generalmente esto a través de un pseudo-navegador en una ventana controlada mientras que otras puntos finales ponen en marcha a un navegador completamente capaz para accionar esto. Para las puntos finales en donde la PODER pone en marcha a un pseudo-navegador, esto puede romper el flujo cuando está reorientada a un portal prisionero ISE. Esto afecta típicamente a los dispositivos IOS de Apple y tiene especialmente efectos negativos en los flujos que requieren el registro del dispositivo, el DHCP-Rlease del VLA N, el control de la conformidad, el etc.
Dependiendo de la complejidad del flujo funcionando puede ser recomendado para activar puente prisionero. En tal decorado, el WLC ignora el mecanismo porta del descubrimiento de la PODER y el cliente necesita abrir a un navegador para iniciar el proceso de la reorientación.
Verifique el estatus de la característica:
(Cisco Controller) >show network summary Web Auth CMCC Support ...................... Disabled Web Auth Redirect Ports .................... 80,3128 Web Auth Proxy Redirect ................... Disable Web Auth Captive-Bypass .................. Disabled Web Auth Secure Web ....................... Enable Web Auth Secure Redirection ............... Enable
Para activar este tipo de la característica este comando:
(Cisco Controller) >config network web-auth captive-bypass enable Web-auth support for Captive-Bypass will be enabled. You must reset system for this setting to take effect.
El WLC alerta al usuario que para que los cambios tomen a efecto un restauración-sistema (reinicio) son necesarios.
A este punto un resumen de la red de la demostración muestra la característica según lo activado, pero para que los cambios tomen a efecto el WLC necesitan ser recomenzados.
1. Agregue ISE global como una autenticación y servidor de contabilidad
2. Cree al grupo de servidores ISE
3. Global active Dot1x
4. Configure las listas de métodos
5. Cree el método del MAC-filtro de la autorización.
Esto se llama de las configuraciones SSID más adelante.
1. Cree al invitado SSID
Este ACL es referido por ISE más adelante al acceso-validar en respuesta a la petición inicial MAB. El NGWC lo utiliza para determinar qué tráfico a reorientar y qué tráfico se debe permitir a través.
Nota: La línea 10 es opcional. Esto se agrega generalmente para resolver problemas propone. Este ACL debe permitir el acceso al DHCP, los servicios DNS y también a los as del puerto de servidores ISE TCP 8443(Deny). El tráfico HTTP y HTTPS consigue reorientado (los as del permiso).
Toda la configuración discutida en los pasos anteriores puede también ser aplicada con el CLI.
802.1x global activado
dot1x system-auth-control
Configuración global AAA
aaa new-model ! aaa authentication dot1x ISE_Method group ISE_Group aaa authorization network ISE_Method group ISE_Group aaa authorization network MacFilterMethod group ISE_Group aaa accounting Identity ISE_Method start-stop group ISE_Group ! aaa server radius dynamic-author client 14.36.157.210 server-key ***** client 14.36.157.21 server-key ***** auth-type any ! radius server ISE1 address ipv4 14.36.157.210 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key ***** ! radius server ISE2 address ipv4 14.36.157.21 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key ***** ! ! aaa group server radius ISE_Group server name ISE2 server name ISE1 deadtime 10 mac-delimiter colon !
Configuración de Wlan
wlan Guest 1 Guest aaa-override accounting-list ISE_Method client vlan VLAN0301 mac-filtering MacFilterMethod nac no security wpa no security wpa akm dot1x no security wpa wpa2 no security wpa wpa2 ciphers aes security dot1x authentication-list ISE_Method no security ft over-the-ds session-timeout 28800 no shutdown
Reoriente el Ejemplo de ACL
3850#show ip access-lists Guest_Redirect Extended IP access list Guest_Redirect 10 deny icmp any any 20 deny udp any any eq bootps 30 deny udp any any eq bootpc 40 deny udp any any eq domain 50 deny tcp any host 14.36.157.210 eq 8443 60 deny tcp any host 14.36.157.21 eq 8443 70 permit tcp any any eq www 80 permit tcp any any eq 443
Ayuda HTTP y HTTPS
3850#show run | inc http ip http server ip http secure-server
Nota: Si usted aplica un ACL para restringir el acceso al WLC sobre el HTTP, afecta al cambio de dirección.
Esta sección describe la configuración requerida en ISE para utilizar todos los casos de las aplicaciones discutida en este documento.
4. Navegue a la directiva > a la autenticación y bajo tecleo MAB corrija y asegure eso bajo uso: Las puntos finales internas la opción si no encuentran al usuario se fijan para continuar (debe estar allí por abandono).
Descripción del flujo
Este proceso se relanza cada vez que el usuario conecta con el SSID.
Configuración
3. Navegue a la directiva > a los elementos de la directiva > a los resultados > a la autorización > a los perfiles de la autorización. Haga clic en Add (Agregar).
4. Este perfil se empuja hacia abajo al WLC el Reorientar-URL y el Reorientar-URL-ACL en respuesta a la petición inicial de puente de la autenticación del mac (MAB).
El perfil debe mirar similar el que está en esta imagen. Entonces haga clic la salvaguardia.
Los detalles del atributo en la parte inferior de la página el valor de atributo Pairs(AVPs) como son se empujen al WLC
5. Navegue a la directiva > a la autorización e inserte una nueva regla. Esta regla es la que acciona el proceso de la reorientación en respuesta a la petición inicial de la autenticación MAC de WLC. (En este caso llamado Wireless_Guest_Redirect).
6. Bajo condiciones elija la condición existente selecta de la biblioteca, después bajo condición compuesta selecta del nombre de condición. Seleccione una condición compuesta predefinida llamada Wireless_MAB.
Nota: Esta condición consiste en 2 atributos de RADIUS esperados en la forma originada petición del acceso el WLC (802.11 de NAS-Port-Type= IEEE <present en todo el requests> y tipo de servicio = llamada inalámbricos Check< que refiere a una petición específica un bypass> de la autenticación del mac)
7. Bajo resultados, estándar selecto > CWA_Redirect (perfil de la autorización creado en el paso anterior). Entonces haga clic hecho y salvaguardia
8. Navegue al final de la regla de CWA_Redirect y haga clic la flecha al lado de corrigen. Entonces seleccione el duplicado arriba.
9. Modifique el nombre pues ésta es la directiva que la punto final hace juego la sesión re-se autentica una vez sobre el CoA ISE (en este caso Wireless_Guest_Access).
10. Al lado de la condición compuesta de Wireless_MAB haga clic + símbolo para ampliar las condiciones y para el final del tecleo de la condición de Wireless_MAB agregue el atributo/el valor.
11. Bajo “atributo selecto” eligió el acceso a la red > el flujo del invitado de los iguales de UseCase
12. Bajo los permisos seleccione PermitAccess. Entonces haga clic hecho y salvaguardia
Las dos directivas deben parecer similares a esto:
Descripción del flujo
En este escenario de laboratorio, la autenticación se aplica una vez al día. el activador de la Re-autenticación es la directiva de la purgación de la punto final que quita todas las puntos finales de la identidad usada de la punto final agrupa cada día.
Nota: Es posible aplicar el evento de la autenticación del invitado basado el tiempo transcurrido desde la aceptación pasada AUP. Esto puede ser una opción si usted necesita aplicar el inicio del invitado más a menudo que una vez al día (en el ejemplo cada 4 horas).
Configuración
3. Navegue al centro > al acceso de invitado de trabajo > configuran > los tipos del invitado o apenas hacen clic en el acceso directo especificado bajo configuraciones del registro del dispositivo del invitado en el portal.
4. Cuando el usuario del patrocinador crea una cuenta de invitado, él le asigna un tipo del invitado. Cada tipo individual del invitado puede tener una punto final registradoa que pertenezca a una diversa identidad Group.To de la punto final asigne al grupo de la identidad de la punto final que el dispositivo debe ser agregado a, seleccione el tipo del invitado las aplicaciones del patrocinador para estos Usuarios invitados (este caso del uso se basa en el semanario (valor por defecto)).
5. Una vez en el tipo del invitado, bajo opciones de la clave seleccione al grupo de la punto final del grupo de la identidad de la punto final del menú desplegable para el registro del dispositivo del invitado
6. Navegue a la directiva > a los elementos de la directiva > a los resultados > a la autorización > a los perfiles de la autorización. Haga clic en Add (Agregar).
7. Este perfil se empuja hacia abajo al WLC el Reorientar-URL y el Reorientar-URL-ACL en respuesta a la petición inicial de puente de la autenticación del mac (MAB).
8. Navegue a la directiva > a la autorización e inserte una nueva regla. Esta regla es la que acciona el proceso de la reorientación en respuesta a la petición inicial de la autenticación MAC de WLC. (En este caso llamado Wireless_Guest_Redirect).
9. Bajo condiciones eligió la condición existente selecta de la biblioteca, después bajo condición compuesta selecta del nombre de condición. Seleccione una condición compuesta predefinida llamada Wireless_MAB.
10. Bajo resultados, estándar selecto > CWA_DeviceRegistration (perfil de la autorización creado en el paso anterior). Entonces haga clic hecho y salvaguardia
11. Duplique la directiva arriba, modifique su nombre pues ésta es la directiva que la punto final golpea después de que vuelva del evento de la re-autenticación (llamado Wireless_Guest_Access).
12. Bajo detalles del grupo de la identidad encajone, grupo selecto de la identidad de la punto final y seleccione al grupo que usted se refirió bajo el invitado Type(GuestEndpoints).
13. Bajo resultados seleccione PermitAccess. Haga clic hecho y salve los cambios.
14. Cree y la directiva de la purgación de la punto final que borra el grupo de GuestEndpoint diario.
En este caso la condición es miembros de GuestEndpoints con los días transcurridos menos de 1 día
Descripción del flujo
Configuración
2. Navegue a los centros > al acceso de invitado de trabajo > configuran > los portales del invitado > portal selecto del hotspot (valor por defecto).
3. Amplíe las configuraciones porta y bajo grupo selecto de HostSpot_Endpoints del grupo de la identidad de la punto final bajo grupo de la identidad de la punto final. Esto envía los dispositivos registrados al grupo especificado.
4. Salve los cambios.
5. Cree el perfil de la autorización que llama el portal del hotspot sobre la autenticación MAB originada por el WLC.
6. Cree la directiva de la autorización que acciona el resultado de HotSpotRedirect por el requerimiento inicial MAB de WLC.
7. Cree la segunda directiva de la autorización.
8. Configure la directiva de la purgación que borra las puntos finales con mayores de 5 días de un tiempo transcurrido.
Flujo de los registros vivos ISE RADIUS:
Flujo de los registros vivos ISE RADIUS:
Cuando se configura la transferencia local de FlexConnect la red Admin necesita asegurar eso:
O agregando la directiva el ACL al grupo de FlexConnect pertenece a (la Tecnología inalámbrica > los grupos de FlexConnect > seleccionan el grupo correcto > la asignación > las directivas ACL seleccionan la reorientación ACL y el tecleo agregan)
La adición de la directiva ACL acciona el WLC para empujar el ACL configurado hacia abajo a los miembros AP del grupo de FlexConnect. El error hacer esto da lugar a una red reorienta el problema.
En el auto-ancla (no nativa – Los decorados del ancla) es importante destacar los hechos siguientes:
Un “cliente de la demostración detalló xx: xx: xx: xx: xx: xx” revela que pegan al cliente en el COMIENZO. Esto es generalmente un indicador del WLC que no puede aplicar un atributo ese las devoluciones del servidor AAA.
Verifique que el nombre de la reorientación ACL empujara por las coincidencias ISE exactamente el nombre del ACL predefinido en el WLC.
El mismo principio se aplica a cualquier otro atributo que usted ha configurado ISE para empujar hacia abajo al WLC (IDs del VLA N, nombres del interfaz, Airespace-ACL, etc). El cliente debe entonces transición al DHCP y entonces a CENTRAL_WEB_AUTH.
Verifique que el estado del encargado de la directiva del cliente sea CENTRAL_WEB_AUTH con una dirección IP válida según el interfaz dinámico configurado para el SSID y también que la reorientación ACL y URL-reoriente los atributos se aplican a la sesión de cliente.
Reoriente el ACL
En AIreOS WLCs la reorientación ACL debe permitir explícitamente el tráfico que no debe ser reorientado, como el DNS e ISE en el puerto 8443 TCP en ambas direcciones y el implícitos niegan a IP cualquier cualquier activador el resto del tráfico que se reorientará.
En el acceso convergido la lógica es el contrario. Niegue los as que puentes reorientan mientras que el permiso ACEs los activadores la reorientación. Esta es la razón por la cual se recomienda para permitir explícitamente el puerto 80 y 443 TCP.
Verifique el acceso a ISE sobre el puerto 8443 del VLA N del invitado. Si todo parece bueno de la perspectiva de la configuración la manera más fácil de moverse adelante es asir una captura detrás del adaptador de red inalámbrica del cliente y verificar adonde la reorientación se rompe.
Una vez que el cliente asió una dirección IP al principio del flujo (pre reoriente el estado), si un cambio del VLA N se empuja hacia abajo después de que suceda la autenticación del invitado (CoA del poste re-autentique), la única forma de forzar una versión del DHCP/renueva en el invitado que el flujo (sin el agente de la postura) está a través de un Java applet que en los dispositivos móviles no trabaja.
Esto deja el cliente negro-agujereado en el VLA N X con una dirección IP del VLAN Y. Esto debe ser considerada mientras que planea la solución.
Esto es generalmente un indicador de la pérdida de la sesión en ISE (se ha terminado la sesión). La mayoría de las razones comunes para esto están considerando configuraron en el ancla WLC cuando se ha desplegado el No nativo-ancla. Para fijar estas estadísticas de la neutralización en el ancla y dejar la autenticación y las estadísticas no nativas de la manija.
5. Las desconexiones del cliente y siguen siendo disconnected o conectan con un diverso SSID después de validar el AUP en el portal del hotspot ISE.
Esto se puede esperar en el hotspot debido al cambio dinámico de la autorización (CoA) implicado en este flujo (CoA Admin reajustado) ese las causas el WLC para publicar un deauth a la estación inalámbrica. La mayoría de los puntos finales de red inalámbrica no tiene ninguna problemas a volver al SSID después de que suceda la de-autenticidad, pero el cliente conecta en algunos casos con otro SSID preferido en respuesta al de-authenitcate event. Nada se puede hacer de ISE o de WLC para prevenir esto como incumbe al cliente de red inalámbrica a pegarse al SSID original, o para conectar con otro SSID (preferido) disponible.
En este caso el usuario de red inalámbrica debe conectar manualmente de nuevo al hotspot SSID.
(Cisco Controller) >debug client <MAC addr>
El cliente de la depuración fija PARA PONER A PUNTO un conjunto de los componentes implicados en los cambios de la máquina de estado del cliente.
(Cisco Controller) >show debug MAC Addr 1.................................. AA:AA:AA:AA:AA:AA Debug Flags Enabled: dhcp packet enabled. dot11 mobile enabled. dot11 state enabled dot1x events enabled. dot1x states enabled. mobility client handoff enabled. pem events enabled. pem state enabled. 802.11r event debug enabled. 802.11w event debug enabled. CCKM client debug enabled.
Componentes AAA de la depuración
(Cisco Controller) >debug aaa {events, detail and packets} enable
Éste puede ser recursos del impacto dependiendo de la cantidad de usuarios que conecten con MAB o Dot1X SSID. Estos componentes en el nivel de la DEPURACIÓN registran las transacciones AAA entre WLC e ISE e imprimen los paquetes RADIUS en la pantalla.
Esto es crítico si usted que ISE puede no entregar los atributos previstos, o si el WLC no los procesa correctamente.
La red-Auth reorienta
(Cisco Controller) >debug web-auth redirect enable mac aa:aa:aa:aa:aa:aa
Esto se puede utilizar para verificar que el WLC está accionando con éxito la reorientación. Éste es un ejemplo de cómo la reorientación debe parecer de las depuraciones:
*webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- parser host is 10.10.10.10 *webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- parser path is / *webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- added redirect=, URL is now https://TORISE21A.RTPAAA.NET:8443/portal/gateway?sessionId=0e249a0500000682577ee2a2&portal=9fc44212-2da2-11e6-a5e2-005056a15f11&action=cwa&to *webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- str1 is now https://TORISE21A.RTPAAA.NET:8443/portal/gateway?sessionId=0e249a0500000682577ee2a2&portal=9fc44212-2da2-11e6-a5e2-005056a15f11&action=cwa&token=c455b075d20c *webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- clen string is Content-Length: 430 *webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- Message to be sent is HTTP/1.1 200 OK Location: https://TORISE21A.RTPAAA.NET:8443/portal/gateway?sessionId=0e249a0500000682577ee2a2&portal=9fc44212-2da2-11e6-a5e2-0050
El cliente de la depuración fija PARA PONER A PUNTO un conjunto de los componentes implicados en los cambios de la máquina de estado del cliente.
3850#debug client mac-address <client MAC>
Este componente imprime los paquetes RADIUS (autenticación y las estadísticas) en la pantalla. Esto es práctico cuando usted necesita verificar que ISE entregue el AVPs derecho y también verificar que el CoA se está enviando y se está procesando correctamente.
3850#debug radius
Esto todas las transiciones AAA (autenticación, autorización y estadísticas) donde están implicados los clientes de red inalámbrica. Esto es crítico verificar que WLC analiza correctamente el AVPs y los aplica a la sesión de cliente.
3850#debug aaa wireless all
Esto puede activado cuando usted sospecha un problema de la reorientación en el NGWC.
3850#debug epm plugin redirect all 3850#debug ip http transactions 3850#debug ip http url
Registros vivos RADIUS
Verifique que la petición inicial MAB se haya procesado correctamente en ISE y ese ISE echa los atributos atrás previstos. Navegue a las operaciones > al RADIUS > los registros vivos y filtre la salida usando el cliente MAC bajo ID del punto final. Una vez que se encuentra el evento de la autenticación, haga clic en los detalles y después verifique los resultados empujados como parte del validar.
TCPDump
Esta característica puede ser utilizada cuando una mirada más profunda en el intercambio del paquete RADIUS entre ISE y el WLC es necesaria. Esta manera usted puede probar que ISE envía los atributos correctos en el acceso-validar sin tener que activar las depuraciones en el lado WLC. Para comenzar una captura usando TCDDump para navegar a las operaciones > al Troubleshooting > a las herramientas >General > a TCPDump de las herramientas de diagnóstico.
Éste es un ejemplo de un flujo correcto capturado con TCPDump
Aquí está el AVPs enviado en respuesta a la petición inicial MAB (segundo paquete en el tiro de pantalla antedicho).
RADIUS Protocol Code: Access-Accept (2) Packet identifier: 0x0 (0) Length: 401 Authenticator: f1eaaffcfaa240270b885a9ba8ccd06d [This is a response to a request in frame 1] [Time from request: 0.214509000 seconds] Attribute Value Pairs AVP: l=19 t=User-Name(1): 00-05-4E-41-19-FC AVP: l=40 t=State(24): 52656175746853657373696f6e3a30653234396130353030... AVP: l=55 t=Class(25): 434143533a30653234396130353030303030616130353536... AVP: l=37 t=Vendor-Specific(26) v=ciscoSystems(9) VSA: l=31 t=Cisco-AVPair(1): url-redirect-acl=Gues_Redirect AVP: l=195 t=Vendor-Specific(26) v=ciscoSystems(9) VSA: l=189 t=Cisco-AVPair(1): url-redirect=https://ise21a.rtpaaa.net:8443/portal/gateway?sessionId=0e249a0500000aa05565e1c9&portal=194a5780-5e4e-11e4-b905-005056bf2f0a&action=cwa&token=c6c8a6b0d683ea0c650282b4372a7622 AVP: l=35 t=Vendor-Specific(26) v=ciscoSystems(9)
Depuraciones de la punto final:
Si usted necesita zambullirse más profundo en los procesos ISE que implican las decisiones de políticas, la selección porta, la autenticación del invitado, el CoA que dirige, el etc la manera más fácil de acercarse a esto es activar las depuraciones de Endpoit en vez de tener que fijar los componentes completos para poner a punto el nivel.
Para activar esto, navegue a las operaciones > al troubleshooting > a DiagnosticTools > las herramientas > depuración generales de la punto final.
Una vez en la punto final ponga a punto la página, ingrese el MAC address de la punto final y haga clic el comienzo cuando está listo para reconstruir el problema.
La depuración se ha parado una vez hace clic en el link que identifica el ID del punto final para descargar la salida de la depuración.
TAC recomendó las estructuras de AireOS
Guía de configuración inalámbrica del regulador de Cisco, versión 8.0.
Guía de administrador del Cisco Identity Services Engine, 2.1 de la versión
Configuración de red inalámbrica universal NGWC con el Identity Services Engine