Guest

Servicios de red basados en la identidad del Troubleshooting (IBNS) 2.0

Opciones de descarga

  • PDF     (122.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (116.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (120.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:15 de julio de 2016
ID del documento:200570
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe el procedimiento para resolver problemas las autenticaciones en el Switches que utilizan los servicios de red basados en la identidad (IBNS) 2.0

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Motor del servicio de la identidad (ISE)
  • Conceptos del IEEE 802.1X (dot1x)
  • Puente de la autenticación de MAC (MAB)

Componentes Utilizados

La información en este documento se basa en estas versiones de software y hardware pero no lmited a:

  • Switch Cisco - C3750X-48PF-S con IOS 15.2.1E3(ED)
  • 2.1 del motor del servicio de la identidad

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

IBNS 2.0 es un nuevo motor de directivas que substituye al auténtico-administrador tradicional. Se equipa de un conjunto de las capacidades mejoradas que ofrecen la configuración flexible con el lenguaje de la directiva de la clasificación típica de Cisco (C3PL). Ahora llamó al administrador de sesión del acceso, IBNS 2.0 da a administradores las opciones para configurar las directivas y las acciones basadas en las condiciones y los eventos específicos del punto final. En vez de las condiciones regulares, C3PL se utiliza para definir las condiciones de la autenticación, los parámetros y las acciones. Para más información sobre IBNS 2.0, siga el link dado en la sección de información relacionada.

Hay diversos tipos de correspondencias de políticas que se utilicen para los diversos propósitos. Este párrafo se centra en el tipo del suscriptor. Hay tres secciones en una correspondencia de políticas que se observará.

  • Sección del evento
  • Sección de la clase
  • Sección de la acción

Siguen el evento > la clase > la acción de la jerarquía. Cuando una correspondencia de políticas se aplica a una interfaz, todos los eventos definidos en la correspondencia de políticas se evalúan. Basado sobre el evento actual, la acción apropiada definida en la correspondencia de políticas es aplicada en el nivel de la interfaz.

Una vez que el evento se corresponde con, hay una opción para evaluar las clases basadas en el evento/el método/el resultado de la autenticación/de la autorización. Los resultados de estas clases pueden ser EJECUTAN o llamaron SIEMPRE en las correspondencias adicionales de la clase.

En la sección de la acción, las acciones importantes que pueden ser incluidas son:

  • Especifique un método de autentificación con una prioridad

     event session-started match-all  10 class <class-map> do-until-failure   10 authenticate using <dot1x or mab or local webauth> priority <Value>
  • Especifique una lista del método de autentificación para un método de autenticación determinado

    event session-started match-all  10 class <class-map> do-until-failure   10 authenticate using <dot1x or mab or local webauth> aaa authc-list <method-list name>
  • Especifique una lista del método de autorización para un método de autentificación

    event session-started match-all  10 class <class-map> do-until-failure   10 authenticate using <dot1x or mab or local webauth> aaa authz-list <method-list name>
  • Especifique el número de recomprobaciones

    event session-started match-all  10 class <class-map> do-until-failure   10 authenticate using <dot1x or mab or local webauth> retries <value>
  • Substituya los datos existentes del authntication/de la autorización por los nuevos datos de la autenticación/de la autorización

    event timer-expiry match-all  10 class <class-map> do-until-failure   10 authenticate using <dot1x or mab or local webauth> replace aaa <authc-list/authz-list>
  • Fuerce la autorización

    event session-started match-all  10 class <class-map> do-until-failure   10 authorize
  • Fuerce Unauthorization 
    event timer-expiry match-all  10 class <class-map> do-until-failure   10 unauthorize
  • Active una plantilla del servicio

    event timer-expiry match-all  10 class <class-map> do-until-failure   10 activate service-template <Name of the template>

En el Switches tradicional IOS, no había opción para aplicar un específico de la lista de métodos a una sesión autenticada. IBNS 2.0 proporciona esta capacidad usando las servicio-plantillas. La plantilla del servicio se configura localmente en el Switch y la autorización aplicada de la sesión exitosa del poste. Hay también una opción para avanzar la plantilla del servicio solicitado de un servidor de AAA.

El atributo de RADIUS que se utiliza para hacer lo mismo es suscriptor: servicio-nombre = <name del template> del servicio. En el motor del servicio de la identidad (ISE), usted puede nombrar el perfil de la autorización exactamente lo mismo a partir de la servicio-plantilla local configurada en el Switch y marcar la casilla de verificación de la plantilla del servicio. Este perfil de la autorización junto con cualquier otro perfil de la autorización se puede avanzar como resultado de la autorización. 

En el informe del resultado de la autorización, hay un Cisco-av-pair nombrado suscriptor: servicio-nombre = <name del template> del servicio. Este indiacates que el swich se ha notificado para aplicar esa plantilla del servicio para esa sesión.

Aquí está una imagen que muestra el significado exacto de cada entidad de una correspondencia de políticas de la muestra.

Configurar

Configuración AAA

aaa new-modelaaa authentication dot1x default group radiusaaa authorization exec default localaaa authorization network default group radiusaaa accounting identity default start-stop group radiusaaa session-id common 

dot1x system-auth-control

Configuración de servidor de RADIUS 

radius server ise address ipv4 X.X.X.X auth-port 1812 acct-port 1813 automate-tester username probe-user key XXXXXXXXXX

Configuración de correspondencia de políticas

policy-map type control subscriber Inter_Gi_3/0/48 event session-started match-all           //On session-start event  10 class always do-until-failure         //Both mab and dot1x start at the same time   10 authenticate using dot1x priority 10   20 authenticate using mab priority 20 event authentication-failure match-first  //On authentication event failure  10 class DOT1X_NO_RESP do-until-failure  //If dot1x fails   10 terminate dot1x   20 authenticate using mab priority 20  20 class MAB_FAILED do-until-failure     //If mab fails   10 terminate mab   20 authentication-restart 60  30 class always do-until-failure         //If both mab and dot1x fail   10 terminate dot1x   20 terminate mab   30 authentication-restart 60 event agent-found match-all               //On dot1x agent found event  10 class always do-until-failure            10 terminate mab   20 authenticate using dot1x priority 10

La clase asocia la configuración

class-map type control subscriber match-all DOT1X_NO_RESP //If dot1x and no response from client match method dot1x match result-type method dot1x agent-not-found
class-map type control subscriber match-all MAB_FAILED    //On mab failure match method mab match result-type method mab authoritative

Configuración de la interfaz

interface GigabitEthernet3/0/48 description ** Access Port ** switchport access vlan 100 switchport mode access switchport voice vlan 10 ip access-group IPV4-PRE-AUTH-ACL in access-session port-control auto mab dot1x pae authenticator spanning-tree portfast service-policy type control subscriber Inter_Gi_3/0/48

Troubleshooting

La mejor manera de resolver problemas es comparar los registros de trabajo y los registros festivos. Se sabe esta manera, el paso exacto en el cual el proceso salió mal. Hay algunos debugs que son necesarios ser habilitados para resolver problemas los problemas mab/dot1x. Aquí están los comandos de habilitar esos debugs.

  • debug aaa authentication
  • debug aaa authorization
  • debug mab todo
  • dot1x todo del debug
  • debug radius

Aquí están los registros de trabajo con el dot1x y el mab habilitados al mismo tiempo.

debug mab todo 

mab-ev: [28d2.4496.5376, Gi3/0/48] Received MAB context create from AuthMgr // New mac-address detectedmab-ev: MAB authorizing 28d2.4496.5376 //mab authorization event should startmab-ev: Created MAB client context 0xB0000001mab : initial state mab_initialize has enter //Initialize mabmab-ev: [28d2.4496.5376, Gi3/0/48] Sending create new context event to EAP from MAB for 0xB0000001 (28d2.4496.5376)mab-ev: [28d2.4496.5376, Gi3/0/48] MAB authentication started for 0x0782A870 (28d2.4496.5376) //mab authentication initialized%AUTHMGR-5-START: Starting 'mab' for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003300C586C2mab-ev: [28d2.4496.5376, Gi3/0/48] Invalid EVT 9 from EAP mab-sm: [28d2.4496.5376, Gi3/0/48] Received event 'MAB_CONTINUE' on handle 0xB0000001mab : during state mab_initialize, got event 1(mabContinue)@@@ mab : mab_initialize -> mab_authorizing //mab authorizing event startedmab-ev: [28d2.4496.5376] formatted mac = 28d244965376 //mac-address formatted as requiredmab-ev: [28d2.4496.5376] created mab pseudo dot1x profile dot1x_mac_auth_28d2.4496.5376 //peuso dot1x profile formed (username=macaddress)mab-ev: [28d2.4496.5376, Gi3/0/48] Starting MAC-AUTH-BYPASS for 0xB0000001 (28d2.4496.5376) //starting mab authenticationmab-ev: [28d2.4496.5376, Gi3/0/48] Invalid EVT 9 from EAPmab-ev: [28d2.4496.5376, Gi3/0/48] MAB received an Access-Accept for 0xB0000001 (28d2.4496.5376) //received mab success from the server%MAB-5-SUCCESS: Authentication successful for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003300C586C2mab-sm: [28d2.4496.5376, Gi3/0/48] Received event 'MAB_RESULT' on handle 0xB0000001 // mab authorization result receivedmab : during state mab_authorizing, got event 5(mabResult)@@@ mab : mab_authorizing -> mab_terminate //mab authorization process terminatemab-ev: [28d2.4496.5376, Gi3/0/48] Deleted credentials profile for 0xB0000001 (dot1x_mac_auth_28d2.4496.5376) //deleted pseudo dot1x profile%AUTHMGR-5-SUCCESS: Authorization succeeded for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003300C586C2 // posting mab authorization succeeded

dot1x todo del debug

Puesto que el dot1x tiene muchos intercambios del mensaje debido a las negociaciones del protocolo, los intercambios del certificado y así sucesivamente, no todas las los registros del debug se han mencionado aquí. El flujo de eventos en la orden en la cual se suponen para ocurrir y sus registros correspondientes del debug se han documentado aquí.

dot1x-packet:EAPOL pak rx - Ver: 0x1  type: 0x1 // Initial EAPoL packet received by switchdot1x-packet: length: 0x0000dot1x-ev:[28d2.4496.5376, Gi3/0/48] New client detected, sending session start event for 28d2.4496.5376 // dot1x client detecteddot1x-ev:[28d2.4496.5376, Gi3/0/48] Dot1x authentication started for 0x26000007 (28d2.4496.5376)  //dot1x started%AUTHMGR-5-START: Starting 'dot1x' for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003500C9CFC3 dot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting !EAP_RESTART on Client 0x26000007 //requesting client to restart the EAP Procesdot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting RX_REQ on Client 0x26000007 //waiting fot the EAPoL packet fromt he clientdot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting AUTH_START for 0x26000007 // Starting authentication processdot1x-ev:[28d2.4496.5376, Gi3/0/48] Sending out EAPOL packet // Identity Requestdot1x-packet:EAPOL pak Tx - Ver: 0x3  type: 0x0 dot1x-packet: length: 0x0005dot1x-packet:EAP code: 0x1  id: 0x1  length: 0x0005dot1x-packet: type: 0x1 dot1x-packet:[28d2.4496.5376, Gi3/0/48] EAPOL packet sent to client 0x26000007 dot1x-ev:[Gi3/0/48] Received pkt saddr =28d2.4496.5376 , daddr = 0180.c200.0003, pae-ether-type = 888e.0100.000adot1x-packet:EAPOL pak rx - Ver: 0x1  type: 0x0              // Identity Responsedot1x-packet: length: 0x000Adot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting EAPOL_EAP for 0x26000007 //EAPoL packet(EAP Response) received, preparing request to serverdot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting EAP_REQ for 0x26000007 //Server response received, EAP Request is being prepareddot1x-ev:[28d2.4496.5376, Gi3/0/48] Sending out EAPOL packetdot1x-packet:EAPOL pak Tx - Ver: 0x3  type: 0x0 dot1x-packet: length: 0x0006dot1x-packet:EAP code: 0x1  id: 0xE5 length: 0x0006dot1x-packet: type: 0xD dot1x-packet:[28d2.4496.5376, Gi3/0/48] EAPOL packet sent to client 0x26000007 //EAP request sent outdot1x-ev:[Gi3/0/48] Received pkt saddr =28d2.4496.5376 , daddr = 0180.c200.0003, pae-ether-type = 888e.0100.0006 //EAP response receiveddot1x-packet:EAPOL pak rx - Ver: 0x1  type: 0x0 dot1x-packet: length: 0x0006 |||||||| Here a lot of EAPOL-EAP and EAP_REQ events occur as a lot of information is exchanged between the switch and the client
|| If the events after this do not follow, then the timers and the information sent till now need to be checked||||||dot1x-packet:[28d2.4496.5376, Gi3/0/48] Received an EAP Success //EAP Success recieved from Serverdot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting EAP_SUCCESS for 0x26000007 //Posting EAP Success eventdot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting AUTH_SUCCESS on Client 0x26000007 //Posting Authentication success%DOT1X-5-SUCCESS: Authentication successful for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003500C9CFC3 
dot1x-packet:[28d2.4496.5376, Gi3/0/48] EAP Key data detected adding to attribute list //Additional key data detected sent by server
%AUTHMGR-5-SUCCESS: Authorization succeeded for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003500C9CFC3dot1x-ev:[28d2.4496.5376, Gi3/0/48] Received Authz Success for the client 0x26000007 (28d2.4496.5376) //Authorization Successdot1x-ev:[28d2.4496.5376, Gi3/0/48] Sending out EAPOL packet //Sending EAP Success to the clientdot1x-packet:EAPOL pak Tx - Ver: 0x3  type: 0x0 dot1x-packet: length: 0x0004dot1x-packet:EAP code: 0x3  id: 0xED length: 0x0004dot1x-packet:[28d2.4496.5376, Gi3/0/48] EAPOL packet sent to client 0x26000007

debug radius

Puesto que hay porción de mensajes EAP, los paquetes RADIUS enviaron al servidor y recibido también sea más. No cada autenticación del dot1x acaba apagado con en el pedido de acceso. Por lo tanto los registros mostrados aquí son los que son importantes y pues va el flujo.

   //mab and dot1x start at the same time as per the configuration
   %AUTHMGR-5-START: Starting 'dot1x' for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC037   %AUTHMGR-5-START: Starting 'mab' for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC037   RADIUS/ENCODE(00000000):Orig. component type = Invalid   RADIUS(00000000): Config NAS IP: 0.0.0.0   //Since dot1x client didn't respond yet, mab authentication is done
   RADIUS(00000000): sending   RADIUS/ENCODE: Best Local IP-Address 10.106.37.142 for Radius-Server 10.106.73.143   RADIUS(00000000): Send Access-Request to 10.106.73.143:1812 id 1645/56, len 267   RADIUS:  authenticator F0 E4 E3 28 7E EA E6 83 - 43 55 7F DC 96 19 EB 42   RADIUS:  User-Name           [1]   14  "28d244965376"   RADIUS:  User-Password       [2]   18  *   RADIUS:  Service-Type        [6]   6   Call Check                [10]   RADIUS:  Vendor, Cisco       [26]  31     RADIUS:   Cisco AVpair       [1]   25  "service-type=Call Check"    RADIUS:  Framed-MTU          [12]  6   1500                         RADIUS:  Called-Station-Id   []  19  "CC-EF-48-AD-6B-"   RADIUS:  Calling-Station-Id  [31]  19  "28-D2-44-96-53-76"   RADIUS:  Message-Authenticato[80]  18     RADIUS:   AD DC 22 D7 83 8C 02 C5 1E 11 B2 94 80 85 2F 3D               [ "/=]   RADIUS:  EAP-Key-Name        [102] 2   *   RADIUS:  Vendor, Cisco       [26]  49     RADIUS:   Cisco AVpair       [1]   43  "audit-session-id=0A6A258E0000003600CCC037"   RADIUS:  Vendor, Cisco       [26]  18     RADIUS:   Cisco AVpair       [1]   12  "method=mab"   RADIUS:  Framed-IP-Address   [8]   6   1.1.1.2                      RADIUS:  NAS-IP-Address      [4]   6   10.106.37.142                RADIUS:  NAS-Port            [5]   6   60000                        RADIUS:  NAS-Port-Id         [87]  23  "GigabitEthernet3/0/48"   RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]    RADIUS(00000000): Sending a IPv4 Radius Packet   RADIUS(00000000): Started 5 sec timeout   RADIUS: Received from id 1645/56 10.106.73.143:1812, Access-Accept, len 176   RADIUS:  authenticator 7B D6 DA E1 70 49 6E 6D - 3D AC 5C 1D C0 AC CF D0   RADIUS:  User-Name           [1]   19  "28-D2-44-96-53-76"   RADIUS:  State               [24]  40     RADIUS:   52 65 61 75 74 68 53 65 73 73 69 6F 6E 3A  41  [ReauthSession:0A]   RADIUS:   36 41 32 35 38 45       33 36    [6A258E0000003600]   RADIUS:   43 43 43  33 37            [ CCC037]   RADIUS:  Class               [25]  51     RADIUS:   43 41 43 53 3A  41 36 41 32 35 38 45     [CACS:0A6A258E000]   RADIUS:      33 36   43 43 43  33 37 3A 69 73  [0003600CCC037:is]   RADIUS:   65 31 34 2F 32 35 35 38 35 37 38  34 2F 36 34  [e14/255857804/64]   RADIUS:   36                 [ 6]   RADIUS:  Message-Authenticato[80]  18     RADIUS:   D3 F3 6E 9A 25 09 01 8C D6 B1 20 D6 84 D3 18 3D              [ n? =]    RADIUS:  Vendor, Cisco       [26]  28     RADIUS:   Cisco AVpair       [1]   22  "profile-name=Unknown"   //mab succeeds   %MAB-5-SUCCESS: Authentication successful for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC037   %AUTHMGR-5-SUCCESS: Authorization succeeded for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC037    //A dot1x client is detected and mab is stopped as per the configuration and dot1x authentication starts
   %AUTHMGR-7-STOPPING: Stopping 'mab' for client 28d2.4496.5376 on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC037   RADIUS/ENCODE(00000000):Orig. component type = Invalid   RADIUS(00000000): Config NAS IP: 0.0.0.0   RADIUS(00000000): sending   RADIUS/ENCODE: Best Local IP-Address 10.106.37.142 for Radius-Server 10.106.73.143   RADIUS(00000000): Send Access-Request to 10.106.73.143:1812 id 1645/57, len 252   RADIUS:  authenticator 1B E9 37 F4 AC C7 73 BE - F4 95 CB 5F FC 2D 3D E1   RADIUS:  User-Name           [1]   7   "cisco"   RADIUS:  Service-Type        [6]   6   Framed                    [2]   RADIUS:  Vendor, Cisco       [26]  27     RADIUS:   Cisco AVpair       [1]   21  "service-type=Framed"   RADIUS:  Framed-MTU          [12]  6   1500                         RADIUS:  Called-Station-Id   []  19  "CC-EF-48-AD-6B-"   RADIUS:  Calling-Station-Id  [31]  19  "28-D2-44-96-53-76"   RADIUS:  EAP-Message         [79]  12     RADIUS:   02 01 00 0A 01 63 69 73 63 6F             [ cisco]   RADIUS:  Message-Authenticato[80]  18     RADIUS:   7B 42 C2 C2 69 CB 73 49 1A 40 81 28 71 CF CC 86          [ {BisI@(q]   RADIUS:  EAP-Key-Name        [102] 2   *   RADIUS:  Vendor, Cisco       [26]  49     RADIUS:   Cisco AVpair       [1]   43  "audit-session-id=0A6A258E0000003600CCC037"   RADIUS:  Vendor, Cisco       [26]  20     RADIUS:   Cisco AVpair       [1]   14  "method=dot1x"   RADIUS:  Framed-IP-Address   [8]   6   1.1.1.2                      RADIUS:  NAS-IP-Address      [4]   6   10.106.37.142                RADIUS:  NAS-Port            [5]   6   60000                        RADIUS:  NAS-Port-Id         [87]  23  "GigabitEthernet3/0/48"   RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]   RADIUS(00000000): Sending a IPv4 Radius Packet    //More information is being requested by the AAA Server   RADIUS: Received from id 1645/57 10.106.73.143:1812, Access-Challenge, len 120    RADIUS:  authenticator A7 2A 6E 8C 75 9C 28 6F - 32 85 B9 87 5B D2 E4 FB   RADIUS:  State               [24]  74     RADIUS:   33 37 43 50 4D 53 65 73 73 69 6F 6E 49 44 3D   [37CPMSessionID=0]   RADIUS:   41 36 41 32 35 38 45       33 36   [A6A258E000000360]   RADIUS:    43 43 43  33 37 3B 32 39 53 65 73 73 69 6F  [0CCC037;29Sessio]   RADIUS:   6E 49 44 3D 69 73 65 31 34 2F 32 35 35 38 35 37  [nID=ise14/255857]   RADIUS:   38  34 2F 36 34 38 3B          [ 804/648;]   RADIUS:  EAP-Message         [79]  8      RADIUS:   01 0A 00 06 0D 20                 [  ]   RADIUS:  Message-Authenticato[80]  18     RADIUS:   E2 7C 2B 0E CA AB E3 21 B8 CD 04 8A 7F 23 7A D2             [ |+!#z] |||||||| As mentioned before, the excess logs of Access-Requestes and Access-Challenges come here||||||    //Authentication and Authorization succeeds for dot1x
   RADIUS: Received from id 1645/66 10.106.73.143:1812, Access-Accept, len 325   RADIUS:  authenticator F0 CF EE 59 3A 26 25 8F - F7 0E E4 03 E1 11 7E 86   RADIUS:  User-Name           [1]   7   "cisco"   RADIUS:  State               [24]  40     RADIUS:   52 65 61 75 74 68 53 65 73 73 69 6F 6E 3A  41  [ReauthSession:0A]   RADIUS:   36 41 32 35 38 45       33 36    [6A258E0000003600]   RADIUS:   43 43 43  33 37            [ CCC037]    RADIUS:  Class               [25]  51     RADIUS:   43 41 43 53 3A  41 36 41 32 35 38 45     [CACS:0A6A258E000]   RADIUS:      33 36   43 43 43  33 37 3A 69 73  [0003600CCC037:is]   RADIUS:   65 31 34 2F 32 35 35 38 35 37 38  34 2F 36 34  [e14/255857804/64]   RADIUS:   38                 [ 8]   RADIUS:  EAP-Message         [79]  6      RADIUS:   03 12 00 04    RADIUS:  Message-Authenticato[80]  18     RADIUS:   3F 7A DA 59 F7 8A DE 1D 33 4B 07 88 62 F3 3B 71          [ ?zY3Kb;q]   RADIUS:  EAP-Key-Name        [102] 67  *   RADIUS:  Vendor, Microsoft   [26]  58     RADIUS:   MS-MPPE-Send-Key   [16]  52  *   RADIUS:  Vendor, Microsoft   [26]  58     RADIUS:   MS-MPPE-Recv-Key   [17]  52  *   RADIUS(00000000): Received from id 1645/66   RADIUS/DECODE: EAP-Message fragments, 4, total 4 bytes   //Dot1x succeeds
   %DOT1X-5-SUCCESS: Authentication successful for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC03

autenticación/autorización aaa del debug

haga el debug de la autenticación aaa y la información útil de las demostraciones del debug aaa authorization durante la diversos autenticación/métodos de autorización. En este caso, es solamente una sola línea que especifica la lista de métodos que es utilizada.

AAA/AUTHEN/8021X (00000000): Pick method list 'default'

Esto muestra si los métodos de autentificación uces de los son inasequibles/no habilitados.

El procedimiento para resolver problemas CWA/Posture/DACLs etc., es lo mismo que el del Switches tradicional IOS. La verificación de la configuración es el primer paso en el troubleshooting. Asegúrese que la configuración cumpla los requisitos. Si la configuración de la correspondencia de políticas, correspondencia de la clase está hasta la marca, después los problemas del debugg si ningunos, pueden ser muy fáciles. Para otros detalles en la configuración usando IBNS 2.0, refiera la sección de información relacionada.

Información Relacionada

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Surendra Reddy
    Ingeniero de Cisco TAC

¿Resultó útil este documento?

Comentarios

Déjenos ayudarlo