Explorar Cisco
Cómo comprar

¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Ejemplo de Configuración de la Autorización de Punto de Acceso en una Red Inalámbrica Unificada de Cisco

Opciones de descarga

  • PDF     (886.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (703.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (844.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de junio de 2021
ID del documento:98848

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    La seguridad siempre es un problema en la actualidad y asegurarse de que sólo se puedan necesitar puntos de acceso (AP) legítimos para conectarse a los controladores de LAN inalámbrica (WLC).

    Este documento explica cómo configurar el WLC para autorizar los AP basados en la dirección MAC de los AP.

    Prerequisites

    Requirements

    Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

    • Conocimientos básicos sobre cómo configurar Cisco Identity Services Engine (ISE).

    • Conocimiento de la configuración de Cisco AP y Cisco WLC.

    • Conocimiento de las soluciones de seguridad inalámbrica de Cisco Unified.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

      • WLC que ejecutan AireOS 8.8.111.0 Software.

      • AP Wave1: 1700/2700/3700 y 3500 (1600/2600/3600 siguen siendo compatibles, pero la compatibilidad con AireOS finaliza en la versión 8.5.x).
      • AP Wave2: 1800/2800/3800/4800, 1540 y 1560. 
      • ISE versión 2.3.0.298.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Convenciones

    Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

    Autorización del punto de acceso ligero (AP)

    Durante el proceso de registro de AP, los AP y los WLC se autentican mutuamente usando certificados X.509.

    Los certificados X.509 se queman en la memoria flash protegida tanto en el punto de acceso (AP) como en el WLC de fábrica por Cisco.

    En el AP, los certificados instalados de fábrica se denominan certificados instalados de fabricación (MIC). Todos los AP de Cisco fabricados después del 18 de julio de 2005 tienen MIC.

    Además de esta autenticación mutua que ocurre durante el proceso de registro, los WLC también pueden restringir los AP que se registran con ellos en base a la dirección MAC del AP.

    La falta de una contraseña segura por el uso de la dirección MAC del AP no debería ser un problema porque el controlador usa MIC para autenticar el AP antes de autorizar el AP a través del servidor RADIUS. El uso de MIC proporciona una autenticación sólida.

    La autorización AP se puede realizar de dos maneras:

    • Uso de la lista de autorización interna en el WLC.

    • Uso de la base de datos de direcciones MAC en un servidor AAA.

    Los comportamientos de los AP difieren según el certificado utilizado:

    • AP con SSC: el WLC sólo usará la lista de autorización interna y no reenviará una solicitud a un servidor RADIUS para estos AP.

    • AP con MIC: el WLC puede utilizar la lista de autorización interna configurada en el WLC o un servidor RADIUS para autorizar los AP.

    Este documento explica la autorización AP usando la lista de autorización interna y el servidor AAA.

    Configurar

    Configuración mediante la Lista de Autorización Interna en el WLC

    En el WLC, use la lista de autorización AP para restringir los APs según su dirección MAC. La lista de autorización AP está disponible bajo Security > AP Policies en la GUI del WLC.

    Este ejemplo muestra cómo agregar el AP con la dirección MAC 4c:77:6d:9e:61:62.

    1. Desde la GUI del controlador del WLC, haga clic en Security > AP Policies.y aparecerá la página AP Policies .

    2. Haga clic en el botón Add en el lado derecho de la pantalla.

    3. En Add AP to Authorization List, ingrese la dirección AP MAC (NO la dirección MAC de radio AP). A continuación, elija el tipo de certificado y haga clic en Agregar.

      En este ejemplo, se agrega un AP con el certificado MIC.

      Nota: Para los AP con SSC, elija SSC en Tipo de certificado.

      El AP se agrega a la lista de autorización AP y se enumera en Lista de autorización AP.

    4. En Policy Configuration , marque la casilla de verificación Authorize MIC APs contra auth-list o AAA.

      Cuando se selecciona este parámetro, el WLC verifica primero la lista de autorización local. Si el MAC del AP no está presente, verifica el servidor RADIUS.

    Verificación

    Para verificar esta configuración, necesita conectar el AP con la dirección MAC 4c:77:6d:9e:61:62 a la red y monitorear. Utilice los comandos debug capwap events/errors enable y debug aaa all enable para realizar esto.

    Este resultado muestra los debugs cuando la dirección MAC del AP no está presente en la lista de autorización AP:

    Nota: Algunas de las líneas de la salida se han movido a la segunda línea debido a restricciones de espacio.

    (Cisco Controller) >debug capwap events enable
    (Cisco Controller) >debug capwap errors enable
    (Cisco Controller) >debug aaa all enable

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5256

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5256, already allocated index 277

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 AP Allocate request at index 277 (reserved)
    *spamApTask4: Feb 27 10:15:25.593: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5256 from temporary database.
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5256) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Request failed!

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 State machine handler: Failed to process msg type = 3 state = 0 from 192.168.79.151:5256

    *aaaQueueReader: Feb 27 10:15:25.593: Unable to find requested user entry for 4c776d9e6162
    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : -9
    *aaaQueueReader: Feb 27 10:15:25.593: ReProcessAuthentication previous proto 8, next proto 40000001
    *aaaQueueReader: Feb 27 10:15:25.593: AuthenticationRequest: 0x7f01b4083638

    *aaaQueueReader: Feb 27 10:15:25.593: Callback.....................................0xd6cef02166

    *aaaQueueReader: Feb 27 10:15:25.593: protocolType.................................0x40000001

    *aaaQueueReader: Feb 27 10:15:25.593: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 10:15:25.593: Packet contains 9 AVPs:

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[01] User-Name................................4c776d9e6162 (12 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[02] Called-Station-Id........................70-69-5a-51-4e-c0 (17 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[03] Calling-Station-Id.......................4c-77-6d-9e-61-62 (17 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[04] Nas-Port.................................0x00000001 (1) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[05] Nas-Ip-Address...........................0x0a304714 (170936084) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[06] NAS-Identifier...........................0x6e6f (28271) (2 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[07] User-Password............................[...]

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[08] Service-Type.............................0x0000000a (10) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[09] Message-Authenticator....................DATA (16 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Error Response code for AAA Authentication : -7
    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Returning AAA Error 'No Server' (-7) for mobile 70:69:5a:51:4e:c0 serverIdx 0
    *aaaQueueReader: Feb 27 10:15:25.593: AuthorizationResponse: 0x7f017adf5770


    *aaaQueueReader: Feb 27 10:15:25.593: RadiusIndexSet(0), Index(0)
    *aaaQueueReader: Feb 27 10:15:25.593: resultCode...................................-7

    *aaaQueueReader: Feb 27 10:15:25.593: protocolUsed.................................0xffffffff

    *aaaQueueReader: Feb 27 10:15:25.593: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 10:15:25.593: Packet contains 0 AVPs:

    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 User entry not found in the Local FileDB for the client.

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Failure Response sent to 0.0.0.0:5256

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Radius Authentication failed. Closing dtls Connection.
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Disconnecting DTLS Capwap-Ctrl session 0xd6f0724fd8 for AP (192:168:79:151/5256). Notify(true)
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 CAPWAP State: Dtls tear down

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 acDtlsPlumbControlPlaneKeys: lrad:192.168.79.151(5256) mwar:10.48.71.20(5246)

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 DTLS keys for Control Plane deleted successfully for AP 192.168.79.151

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 DTLS connection closed event receivedserver (10.48.71.20/5246) client (192.168.79.151/5256)
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Entry exists for AP (192.168.79.151/5256)
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP Delete request 
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP Delete request 
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Unable to find AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 No AP entry exist in temporary database for 192.168.79.151:5256

    Este resultado muestra las depuraciones cuando la dirección MAC del LAP se agrega a la lista de autorización AP:

    Nota: Algunas de las líneas de la salida se han movido a la segunda línea debido a restricciones de espacio.

    (Cisco Controller) >debug capwap events enable
    (Cisco Controller) >debug capwap errors enable
    (Cisco Controller) >debug aaa all enable

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5256

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 using already alloced index 274
    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5256, already allocated index 274

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 AP Allocate request at index 274 (reserved)
    *spamApTask4: Feb 27 09:50:25.393: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5256 from temporary database.
    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5256) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Message type Capwap_wtp_event_response is not allowed to send in state Capwap_no_state for AP 192.168.79.151

    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Request failed!


    *aaaQueueReader: Feb 27 09:50:25.394: User 4c776d9e6162 authenticated
    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : 0
    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Returning AAA Success for mobile 70:69:5a:51:4e:c0
    *aaaQueueReader: Feb 27 09:50:25.394: AuthorizationResponse: 0x7f0288a66408


    *aaaQueueReader: Feb 27 09:50:25.394: structureSize................................194

    *aaaQueueReader: Feb 27 09:50:25.394: resultCode...................................0

    *aaaQueueReader: Feb 27 09:50:25.394: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 09:50:25.394: Packet contains 2 AVPs:

    *aaaQueueReader: Feb 27 09:50:25.394: AVP[01] Service-Type.............................0x00000065 (101) (4 bytes)

    *aaaQueueReader: Feb 27 09:50:25.394: AVP[02] Airespace / WLAN-Identifier..............0x00000000 (0) (4 bytes)

    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 User authentication Success with File DB on WLAN ID :0 
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Response sent to 0.0.0.0:5256

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 CAPWAP State: Join

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 capwap_ac_platform.c:2095 - Operation State 0 ===> 4
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Capwap State Change Event (Reg) from capwap_ac_platform.c 2136

    *apfReceiveTask: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Register LWAPP event for AP 70:69:5a:51:4e:c0 slot 0

    Autorización AP contra un Servidor AAA

    También puede configurar los WLC para utilizar servidores RADIUS para autorizar APs usando MICs. El WLC utiliza una dirección MAC de AP como nombre de usuario y contraseña cuando envía la información a un servidor RADIUS. Por ejemplo, si la dirección MAC del AP es 4c:77:6d:9e:61:62, tanto el nombre de usuario como la contraseña utilizados por el controlador para autorizar el AP serán esa dirección mac usando el delímetro definido.

    Este ejemplo muestra cómo configurar los WLC para autorizar APs usando Cisco ISE.

    1. Desde la GUI del controlador del WLC, haga clic en Security > AP Policies. Aparecerá la página Políticas de AP.  

    2. En Policy Configuration , marque la casilla de verificación Authorize MIC APs contra auth-list o AAA.

      Cuando se selecciona este parámetro, el WLC verifica primero la lista de autorización local. Si el MAC del AP no está presente, verifica el servidor RADIUS.

    3. Vaya a Seguridad > Autenticación RADIUS desde la GUI del controlador para mostrar la página Servidores de Autenticación RADIUS. En esta página podemos definir el Delimitador MAC. El WLC obtendrá la dirección AP Mac y la enviará al servidor Radius usando el delimitador definido aquí. esto es importante para que el nombre de usuario coincida con lo que está configurado en el servidor Radius. En este ejemplo usaremos No Delimeter para que el nombre de usuario sea 4c776d9e6162.

    4. Luego, haga clic en Nuevo para definir un servidor RADIUS.

    5. Defina los parámetros del servidor RADIUS en la página Servidores de autenticación RADIUS > Nuevo. Estos parámetros incluyen la dirección IP del servidor RADIUS, secreto compartido, número de puerto y estado del servidor. Cuando haya terminado, haga clic en Aplicar. Este ejemplo utiliza Cisco ISE como servidor RADIUS con dirección IP 10.48.39.128.

    Configuración de Cisco ISE para Autorizar AP

    Para habilitar Cisco ISE para autorizar AP, debe completar estos pasos:

    1. Configure el WLC como un cliente AAA en el Cisco ISE.

    2. Agregue las direcciones MAC de AP a la base de datos en Cisco ISE.

    Sin embargo, podría estar agregando la dirección MAC de AP como terminales (la mejor manera) o como usuarios (cuyas contraseñas también serán la dirección MAC), pero esto requiere que reduzca los requisitos de las políticas de seguridad de la contraseña.

    Debido al hecho de que el WLC no envía el atributo NAS-Port-Type, que es un requisito para que ISE coincida con el flujo de trabajo de autenticación de direcciones MAC (MAB), entonces necesitará ajustar esto.

    Configure un nuevo perfil de dispositivo donde MAB no necesitará el atributo NAS-Port-Type

    Navegue hasta Administration -> Network device profile y cree un nuevo perfil de dispositivo. Habilite RADIUS y configure el flujo MAB con cables para que requiera service-type=Call-check como se muestra a continuación. Puede copiar otras configuraciones del perfil clásico de Cisco, pero la idea es no requerir el atributo "Nas-port-type" para un flujo de trabajo MAB con cables.

    Configure el WLC como un Cliente AAA en Cisco ISE

    1. Vaya a Administration > Network Resources > Network Devices > Add. Aparecerá la página Nuevo dispositivo de red.  

    2. En esta página, defina el nombre del WLC, la dirección IP de la interfaz de administración y las configuraciones de autenticación de RADIUS como secreto compartido. Si planea ingresar las direcciones MAC de AP como puntos finales, asegúrese de utilizar el perfil de dispositivo personalizado configurado anteriormente en lugar del predeterminado de Cisco !

       

    3. Haga clic en Submit (Enviar).

    Agregue la dirección MAC del AP a la base de datos del terminal en el Cisco ISE

    Vaya a Administration -> identity management -> Identities y agregue las direcciones MAC a la base de datos de terminales.

    (opcionalmente)Agregue la dirección MAC de AP a la base de datos de usuario en Cisco ISE

    Si no desea modificar el perfil MAB con cables y decide colocar la dirección MAC de AP como usuario, tendrá que reducir los requisitos de la política de contraseña.

    1. Vaya a Administration > Identity Management. Aquí tenemos que asegurarnos de que la política de contraseña permita el uso del nombre de usuario como contraseña y la política también debe permitir el uso de los caracteres de la dirección mac sin necesidad de diferentes tipos de caracteres. Vaya a Configuración > Configuración de autenticación de usuario > Política de contraseña

        

    2. A continuación, vaya a Identidades > Usuarios y haga clic en Agregar. Cuando aparezca la página User Setup (Configuración de usuario), defina el nombre de usuario y la contraseña para este AP como se muestra. Consejo: utilice el campo Descripción para introducir la contraseña para saber más adelante lo que se definió como contraseña.

      La contraseña también debe ser la dirección MAC del AP. En este ejemplo, es 4c776d9e6162.

    3. Haga clic en Submit (Enviar). 

    Definir un conjunto de políticas

    1. Necesitamos definir un conjunto de políticas para que coincida con la solicitud de autenticación proveniente del WLC. Primero construimos una Condición que va a Policy > Policy Elements > Condiciones, y creamos una nueva condición que coincida con la ubicación del WLC, en este ejemplo, "LAB_WLC" y Radius:Service-Type igual a Call Check que se utiliza para la autenticación Mac. Aquí la condición se denomina "AP_Auth".    
    2. Click Save.
    3. Luego cree un nuevo servicio de protocolos permitidos para la autenticación de AP. Asegúrese de seleccionar solamente "Permitir PAP/ASCII":   
    4.  Seleccione el Servicio creado anteriormente en la Secuencia de Protocolos/Servidor Permitidos. Expanda la Vista y bajo la Política de Autenticación > Usar > Usuarios Internos para que ISE busque en la base de datos interna el nombre de usuario/la contraseña del AP.
    5. Click Save.

    Verificación

    Para verificar esta configuración, debe conectar el AP con la dirección MAC 4c:77:6d:9e:61:62 a la red y monitorear. Utilice los comandos debug capwap events/errors enable y debug aaa all enable para realizar esto.

    Como se ve en los debugs, el WLC pasó en la dirección MAC AP al servidor RADIUS 10.48.39.128, y el servidor ha autenticado exitosamente el AP. El AP luego se registra con el controlador.

    Nota: Algunas de las líneas de la salida se han movido a la segunda línea debido a restricciones de espacio.

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5248

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 using already alloced index 437
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5248, already allocated index 437

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 AP Allocate request at index 437 (reserved)
    *spamApTask4: Feb 27 14:58:07.566: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5248 from temporary database.
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5248) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Message type Capwap_wtp_event_response is not allowed to send in state Capwap_no_state for AP 192.168.79.151

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Join Request failed!

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 State machine handler: Failed to process msg type = 3 state = 0 from 192.168.79.151:5248

    *spamApTask4: Feb 27 14:58:07.566: 24:7e:12:19:41:ef Failed to parse CAPWAP packet from 192.168.79.151:5248

    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : -9
    *aaaQueueReader: Feb 27 14:58:07.566: ReProcessAuthentication previous proto 8, next proto 40000001
    *aaaQueueReader: Feb 27 14:58:07.566: AuthenticationRequest: 0x7f01b404f0f8


    *aaaQueueReader: Feb 27 14:58:07.566: Callback.....................................0xd6cef02166

    *aaaQueueReader: Feb 27 14:58:07.566: protocolType.................................0x40000001

    *aaaQueueReader: Feb 27 14:58:07.566: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 14:58:07.566: Packet contains 9 AVPs:

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[02] Called-Station-Id........................70:69:5a:51:4e:c0 (17 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[03] Calling-Station-Id.......................4c:77:6d:9e:61:62 (17 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[04] Nas-Port.................................0x00000001 (1) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[05] Nas-Ip-Address...........................0x0a304714 (170936084) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[06] NAS-Identifier...........................0x6e6f (28271) (2 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[08] Service-Type.............................0x0000000a (10) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[09] Message-Authenticator....................DATA (16 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 radiusServerFallbackPassiveStateUpdate: RADIUS server is ready 10.48.39.128 port 1812 index 1 active 1
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 NAI-Realm not enabled on Wlan, radius servers will be selected as usual
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Found the radius server : 10.48.39.128 from the global server list
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Send Radius Auth Request with pktId:185 into qid:0 of server at index:1
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Sending the packet to v4 host 10.48.39.128:1812 of length 130
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Successful transmission of Authentication Packet (pktId 185) to 10.48.39.128:1812 from server queue 0, proxy state 70:69:5a:51:4e:c0-00:00
    *aaaQueueReader: Feb 27 14:58:07.566: 00000000: 01 b9 00 82 d9 c2 ef 27 f1 bb e4 9f a8 88 5a 6d .......'......Zm
    *aaaQueueReader: Feb 27 14:58:07.566: 00000010: 4b 38 1a a6 01 0e 34 63 37 37 36 64 39 65 36 31 K8....4c776d9e61
    *aaaQueueReader: Feb 27 14:58:07.566: 00000020: 36 32 1e 13 37 30 3a 36 39 3a 35 61 3a 35 31 3a 62..70:69:5a:51:
    *aaaQueueReader: Feb 27 14:58:07.566: 00000030: 34 65 3a 63 30 1f 13 34 63 3a 37 37 3a 36 64 3a 4e:c0..4c:77:6d:
    *aaaQueueReader: Feb 27 14:58:07.566: 00000040: 39 65 3a 36 31 3a 36 32 05 06 00 00 00 01 04 06 9e:61:62........
    *aaaQueueReader: Feb 27 14:58:07.566: 00000050: 0a 30 47 14 20 04 6e 6f 02 12 54 46 96 61 2a 38 .0G...no..TF.a*8
    *aaaQueueReader: Feb 27 14:58:07.566: 00000060: 5a 57 22 5b 41 c8 13 61 97 6c 06 06 00 00 00 0a ZW"[A..a.l......
    *aaaQueueReader: Feb 27 14:58:07.566: 00000080: 15 f9 ..
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 User entry not found in the Local FileDB for the client.
    *radiusTransportThread: Feb 27 14:58:07.587: Vendor Specif Radius Attribute(code=26, avp_len=28, vId=9)
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 *** Counted VSA 150994944 AVP of length 28, code 1 atrlen 22)
    *radiusTransportThread: Feb 27 14:58:07.588: Vendor Specif Radius Attribute(code=26, avp_len=28, vId=9)
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 AVP: VendorId: 9, vendorType: 1, vendorLen: 22

    *radiusTransportThread: Feb 27 14:58:07.588: 00000000: 70 72 6f 66 69 6c 65 2d 6e 61 6d 65 3d 55 6e 6b profile-name=Unk
    *radiusTransportThread: Feb 27 14:58:07.588: 00000010: 6e 6f 77 6e nown
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Processed VSA 9, type 1, raw bytes 22, copied 0 bytes
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Access-Accept received from RADIUS server 10.48.39.128 (qid:0) with port:1812, pktId:185
    *radiusTransportThread: Feb 27 14:58:07.588: RadiusIndexSet(1), Index(1)
    *radiusTransportThread: Feb 27 14:58:07.588: structureSize................................432

    *radiusTransportThread: Feb 27 14:58:07.588: protocolUsed.................................0x00000001

    *radiusTransportThread: Feb 27 14:58:07.588: proxyState...................................70:69:5A:51:4E:C0-00:00

    *radiusTransportThread: Feb 27 14:58:07.588: Packet contains 4 AVPs:

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[01] User-Name................................4c776d9e6162 (12 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[02] State....................................ReauthSession:0a302780bNEx79SKIFosJ2ioAmIYNOiRe2iDSY3drcFsHuYpChs (65 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[03] Class....................................DATA (83 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[04] Message-Authenticator....................DATA (16 bytes)

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join Response sent to 0.0.0.0:5248

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 CAPWAP State: Join

    Troubleshoot

    Utilice estos comandos para resolver problemas de su configuración:

    • debug capwap events enable: configura la depuración de eventos LWAPP.

    • debug capwap packet enable: configura la depuración del seguimiento de paquetes LWAPP.

    • debug capwap errors enable: configura la depuración de errores de paquetes LWAPP.
    • debug aaa all enable—Configura la depuración de todos los mensajes AAA

    En caso de que ISE informe en los registros activos RADIUS el nombre de usuario "INVÁLIDO" en el momento en que se autorizan los AP contra ISE, significa que la autenticación se verifica contra la base de datos de terminales y no se ha modificado el perfil MAB cableado como se explica en este documento. ISE considera que una autenticación de dirección MAC no es válida si no coincide con el perfil MAB por cable/inalámbrico, que de forma predeterminada requiere el atributo de tipo de puerto NAS que el WLC no envía.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Tiago Antunes
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos