¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

La autorización del Punto de acceso en Cisco unificó el ejemplo de la configuración de red inalámbrica

Opciones de descarga

  • PDF     (1.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (747.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:6 de marzo de 2019
ID del documento:98848
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    La Seguridad es siempre una preocupación hoy en día y asegurarse de que solamente los Puntos de acceso legítimos (APs) conecten con sus reguladores LAN de la Tecnología inalámbrica (WLCs) puede ser necesario.

    Este documento explica cómo configurar WLC para autorizar los APs basados en la dirección MAC de los APs.

    Prerrequisitos

    Requisitos

    Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

    • Conocimiento básico de cómo configurar un Cisco Identity Services Engine (ISE).

    • Conocimiento de la configuración de Cisco APs y de Cisco WLCs.

    • El conocimiento de Cisco unificó las soluciones de la seguridad de red inalámbrica.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

      • WLCs que funciona con el software de AireOS 8.8.111.0.

      • Wave1 APs: 1700/2700/3700 y 3500 (1600/2600/3600 todavía se utiliza pero los extremos de la ayuda de AireOS en la versión 8.5.x).
      • Wave2 APs: 1800/2800/3800/4800, 1540 y 1560. 
      • Versión 2.3.0.298 ISE.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

    Convenciones

    Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

    Autorización ligera del punto de acceso

    Durante el proceso de inscripción AP, los APs y el WLCs autentican mutuamente usando los Certificados X.509.

    Los Certificados X.509 son quemados en el flash protegido en el punto de acceso y WLC en la fábrica por Cisco.

    En el AP, los Certificados instalados en fábrica se llaman fabricación los Certificados instalados (MIC). Todo el Cisco APs fabricó después de julio 18, 2005 tiene MICs.

    Además de esta autenticación recíproca que ocurra durante el proceso de inscripción, el WLCs puede también restringir los APs que se registran con ellos basaron en la dirección MAC del AP.

    La falta de una contraseña fuerte por el uso de la dirección MAC AP no debe ser un problema porque el regulador utiliza el MIC para autenticar el AP antes de autorizar el AP a través del servidor de RADIUS. El uso del MIC proporciona a la autenticación robusta.

    La autorización AP se puede realizar en dos maneras:

    • Usando la lista interna de la autorización en el WLC.

    • Usando la base de datos de la dirección MAC en un servidor AAA.

    Los comportamientos de los APs diferencian basado en el certificado usado:

    • APs con SSCs — El WLC utilizará solamente la lista interna de la autorización y no transmitirá a una petición un servidor de RADIUS para estos APs.

    • APs con MICs — WLC puede utilizar la lista interna de la autorización configurada en el WLC o utilizar a un servidor de RADIUS para autorizar los APs.

    Este documento discute la autorización AP usando la lista interna de la autorización y el servidor AAA.

    Configurar

    Configuración usando la lista interna de la autorización en el WLC

    En el WLC, utilice la lista de la autorización AP para restringir los APs basados en su dirección MAC. La lista de la autorización AP está disponible bajo la Seguridad > directivas AP en el GUI WLC.

    Este ejemplo muestra cómo agregar el AP con la dirección MAC 4c:77:6d:9e:61:62.

    1. Del GUI del regulador WLC, la Seguridad del tecleo > el AP Policies.and la página de las directivas AP aparece.

    2. Haga clic el botón Add en el Lado derecho de la pantalla.

    3. Bajo agregue el AP a la lista de la autorización, ingresan el MAC address AP (NO el MAC address de la radio AP). Entonces, elija el tipo de certificado y el tecleo agrega.

      En este ejemplo, un AP con el certificado MIC se agrega.

      Nota: Para los APs con SSCs, elija SSC bajo el tipo de certificado.

      El AP se agrega a la lista de la autorización AP y es mencionado conforme a la lista de la autorización AP.

    4. Bajo configuración de la política, controle el cuadro para saber si hay Authorize MIC APs contra la auténtico-lista o el AAA.

      Cuando se selecciona este parámetro, el WLC controla la lista local de la autorización primero. Si el MAC AP no está presente, controla al servidor de RADIUS.

    Verificación

    Para verificar esta configuración, usted necesita conectar el AP con la dirección MAC 4c:77:6d:9e:61:62 a la red y al monitor. Utilice los eventos del capwap de la depuración/el permiso y los comandos debug aaa all enable de los errores de realizar esto.

    Esta salida muestra las depuraciones cuando la dirección MAC AP no está presente en la lista de la autorización AP:

    Nota: Algunas de las líneas en la salida se han movido a la segunda línea debido a los apremios del espacio.

    (Cisco Controller) >debug capwap events enable
    (Cisco Controller) >debug capwap errors enable
    (Cisco Controller) >debug aaa all enable

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5256

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5256, already allocated index 277

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 AP Allocate request at index 277 (reserved)
    *spamApTask4: Feb 27 10:15:25.593: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5256 from temporary database.
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5256) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Request failed!

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 State machine handler: Failed to process msg type = 3 state = 0 from 192.168.79.151:5256

    *aaaQueueReader: Feb 27 10:15:25.593: Unable to find requested user entry for 4c776d9e6162
    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : -9
    *aaaQueueReader: Feb 27 10:15:25.593: ReProcessAuthentication previous proto 8, next proto 40000001
    *aaaQueueReader: Feb 27 10:15:25.593: AuthenticationRequest: 0x7f01b4083638

    *aaaQueueReader: Feb 27 10:15:25.593: Callback.....................................0xd6cef02166

    *aaaQueueReader: Feb 27 10:15:25.593: protocolType.................................0x40000001

    *aaaQueueReader: Feb 27 10:15:25.593: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 10:15:25.593: Packet contains 9 AVPs:

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[01] User-Name................................4c776d9e6162 (12 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[02] Called-Station-Id........................70-69-5a-51-4e-c0 (17 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[03] Calling-Station-Id.......................4c-77-6d-9e-61-62 (17 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[04] Nas-Port.................................0x00000001 (1) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[05] Nas-Ip-Address...........................0x0a304714 (170936084) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[06] NAS-Identifier...........................0x6e6f (28271) (2 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[07] User-Password............................[...]

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[08] Service-Type.............................0x0000000a (10) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[09] Message-Authenticator....................DATA (16 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Error Response code for AAA Authentication : -7
    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Returning AAA Error 'No Server' (-7) for mobile 70:69:5a:51:4e:c0 serverIdx 0
    *aaaQueueReader: Feb 27 10:15:25.593: AuthorizationResponse: 0x7f017adf5770


    *aaaQueueReader: Feb 27 10:15:25.593: RadiusIndexSet(0), Index(0)
    *aaaQueueReader: Feb 27 10:15:25.593: resultCode...................................-7

    *aaaQueueReader: Feb 27 10:15:25.593: protocolUsed.................................0xffffffff

    *aaaQueueReader: Feb 27 10:15:25.593: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 10:15:25.593: Packet contains 0 AVPs:

    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 User entry not found in the Local FileDB for the client.

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Failure Response sent to 0.0.0.0:5256

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Radius Authentication failed. Closing dtls Connection.
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Disconnecting DTLS Capwap-Ctrl session 0xd6f0724fd8 for AP (192:168:79:151/5256). Notify(true)
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 CAPWAP State: Dtls tear down

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 acDtlsPlumbControlPlaneKeys: lrad:192.168.79.151(5256) mwar:10.48.71.20(5246)

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 DTLS keys for Control Plane deleted successfully for AP 192.168.79.151

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 DTLS connection closed event receivedserver (10.48.71.20/5246) client (192.168.79.151/5256)
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Entry exists for AP (192.168.79.151/5256)
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP Delete request 
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP Delete request 
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Unable to find AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 No AP entry exist in temporary database for 192.168.79.151:5256

    Esta demostración de la salida las depuraciones cuando la dirección MAC del REVESTIMIENTO se agrega a la lista de la autorización AP:

    Nota: Algunas de las líneas en la salida se han movido a la segunda línea debido a los apremios del espacio.

    (Cisco Controller) >debug capwap events enable
    (Cisco Controller) >debug capwap errors enable
    (Cisco Controller) >debug aaa all enable

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5256

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 using already alloced index 274
    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5256, already allocated index 274

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 AP Allocate request at index 274 (reserved)
    *spamApTask4: Feb 27 09:50:25.393: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5256 from temporary database.
    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5256) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Message type Capwap_wtp_event_response is not allowed to send in state Capwap_no_state for AP 192.168.79.151

    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Request failed!


    *aaaQueueReader: Feb 27 09:50:25.394: User 4c776d9e6162 authenticated
    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : 0
    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Returning AAA Success for mobile 70:69:5a:51:4e:c0
    *aaaQueueReader: Feb 27 09:50:25.394: AuthorizationResponse: 0x7f0288a66408


    *aaaQueueReader: Feb 27 09:50:25.394: structureSize................................194

    *aaaQueueReader: Feb 27 09:50:25.394: resultCode...................................0

    *aaaQueueReader: Feb 27 09:50:25.394: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 09:50:25.394: Packet contains 2 AVPs:

    *aaaQueueReader: Feb 27 09:50:25.394: AVP[01] Service-Type.............................0x00000065 (101) (4 bytes)

    *aaaQueueReader: Feb 27 09:50:25.394: AVP[02] Airespace / WLAN-Identifier..............0x00000000 (0) (4 bytes)

    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 User authentication Success with File DB on WLAN ID :0 
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Response sent to 0.0.0.0:5256

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 CAPWAP State: Join

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 capwap_ac_platform.c:2095 - Operation State 0 ===> 4
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Capwap State Change Event (Reg) from capwap_ac_platform.c 2136

    *apfReceiveTask: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Register LWAPP event for AP 70:69:5a:51:4e:c0 slot 0

    Autorización AP contra un servidor AAA

    Usted puede también configurar WLCs para utilizar a los servidores de RADIUS para autorizar los APs usando MICs. El WLC utiliza la dirección MAC AP como ambos el nombre de usuario y contraseña al enviar la información a un servidor de RADIUS. Por ejemplo, si la dirección MAC del AP es 4c:77:6d:9e:61:62, ambos el nombre de usuario y contraseña usado por el regulador para autorizar el AP serán ese MAC address usando el delimeter definido.

    Este ejemplo muestra cómo configurar el WLCs para autorizar los APs usando Cisco ISE.

    1. Del GUI del regulador WLC, Seguridad del tecleo > directivas AP. La página de las directivas AP aparece.  

    2. Bajo configuración de la política, controle el cuadro para saber si hay Authorize MIC APs contra la auténtico-lista o el AAA.

      Cuando se selecciona este parámetro, el WLC controla la lista local de la autorización primero. Si el MAC AP no está presente, controla al servidor de RADIUS.

    3. Vaya a la Seguridad > a la autenticación de RADIUS del GUI del regulador para visualizar la página de los servidores de autenticación de RADIUS. En esta página podemos definir el delimitador MAC. El WLC conseguirá el MAC address AP y lo enviará al servidor de RADIUS que usa el delimitador defnied aquí. esto es importante de modo que el username haga juego qué se configura en el servidor de RADIUS. En este ejemplo no utilizaremos ningún Delimeter de modo que el username sea 4c776d9e6162.

    4. Entonces, haga clic nuevo para definir a un servidor de RADIUS.

    5. Defina los parámetros del servidor de RADIUS en los servidores de autenticación de RADIUS > nueva página. Estos parámetros incluyen la dirección IP, el secreto compartido, el número del puerto, y el estado del servidor del servidor de RADIUS. Cuando está hecho, el tecleo se aplica. Este ejemplo utiliza Cisco ISE como el servidor de RADIUS con la dirección IP 10.48.39.128.

    Configure Cisco ISE para autorizar los APs

    Para permitir a Cisco ISE autorizar los APs, usted necesita completar estos pasos:

    1. Configure el WLC como cliente AAA en Cisco ISE.

    2. Agregue las direcciones MAC AP a la base de datos de usuarios en Cisco ISE.

    Configure el WLC como cliente AAA en Cisco ISE

    1. Vaya a la administración > a los recursos de red > a los dispositivos de red > agregan. La nueva página del dispositivo de red aparece.  

    2. En esta página, defina el nombre WLC, la dirección IP de la interfaz de administración y las configuraciones de las autenticaciones de RADIUS como el secreto compartido.

       

    3. Haga clic en Submit (Enviar).

    Agregue la dirección MAC AP a la base de datos de usuarios en Cisco ISE

    1. Vaya a la administración > a la Administración de la identidad. Aquí necesitamos asegurarnos de que la política de contraseña permita el uso del username mientras que la contraseña y la directiva deben también no prohibir al uso del whitout de los caracteres del MAC address la necesidad de diversos tipos de caracteres. Vaya a las configuraciones > a las configuraciones > a la política de contraseña de la autenticación de usuario

        

    2. Entonces vaya a las identidades > a los usuarios y el tecleo agrega. Cuando aparece la página de la configuración de usuario, defina el nombre de usuario y contraseña para este AP como se muestra. Consejo: utilice el campo Description (Descripción) para ingresar la contraseña más adelante para ser fácil conocer qué fue definida como contraseña.

      La contraseña debe también ser la dirección MAC AP. En este ejemplo, es 4c776d9e6162.

    3. Haga clic en Submit (Enviar). 

    Defina un conjunto de la directiva

    1. Necesitamos definir un conjunto de la directiva para hacer juego la petición de la autenticación que viene del WLC. Primero construimos una condición que va a la directiva > a los elementos > a las condiciones de la directiva, y creando una nueva condición para hacer juego la ubicación WLC, en este ejemplo, “LAB_WLC” y radio: Los iguales del tipo de servicio llaman el control que se utiliza para la autenticación del mac. Aquí la condición se nombra “AP_Authentic”.    
    2. Click Save.
    3. Entonces cree un nuevo servicio permitido de los protocolos para la autenticación AP. Asegúrese de que usted seleccionar “permita solamente PAP/ASCII”:   
    4.  Seleccione el servicio previamente creado en los protocolos/la secuencia permitidos del servidor. Amplíe la visión y bajo la política de autenticación > el uso > los usuarios internos de modo que ISE buscara el DB interno para el username/la contraseña del AP.
    5. Click Save.

    Verificación

    Para verificar esta configuración, usted necesita conectar el AP con la dirección MAC 4c:77:6d:9e:61:62 a la red y al monitor. Utilice los eventos del capwap de la depuración/el permiso y los comandos debug aaa all enable de los errores para realizar esto.

    Según lo visto de las depuraciones, el WLC pasajero en la dirección MAC AP al servidor de RADIUS 10.48.39.128, y el servidor ha autenticado con éxito el AP. El AP entonces se registra con el regulador.

    Nota: Algunas de las líneas en la salida se han movido a la segunda línea debido a los apremios del espacio.

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5248

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 using already alloced index 437
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5248, already allocated index 437

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 AP Allocate request at index 437 (reserved)
    *spamApTask4: Feb 27 14:58:07.566: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5248 from temporary database.
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5248) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Message type Capwap_wtp_event_response is not allowed to send in state Capwap_no_state for AP 192.168.79.151

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Join Request failed!

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 State machine handler: Failed to process msg type = 3 state = 0 from 192.168.79.151:5248

    *spamApTask4: Feb 27 14:58:07.566: 24:7e:12:19:41:ef Failed to parse CAPWAP packet from 192.168.79.151:5248

    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : -9
    *aaaQueueReader: Feb 27 14:58:07.566: ReProcessAuthentication previous proto 8, next proto 40000001
    *aaaQueueReader: Feb 27 14:58:07.566: AuthenticationRequest: 0x7f01b404f0f8


    *aaaQueueReader: Feb 27 14:58:07.566: Callback.....................................0xd6cef02166

    *aaaQueueReader: Feb 27 14:58:07.566: protocolType.................................0x40000001

    *aaaQueueReader: Feb 27 14:58:07.566: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 14:58:07.566: Packet contains 9 AVPs:

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[02] Called-Station-Id........................70:69:5a:51:4e:c0 (17 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[03] Calling-Station-Id.......................4c:77:6d:9e:61:62 (17 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[04] Nas-Port.................................0x00000001 (1) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[05] Nas-Ip-Address...........................0x0a304714 (170936084) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[06] NAS-Identifier...........................0x6e6f (28271) (2 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[08] Service-Type.............................0x0000000a (10) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[09] Message-Authenticator....................DATA (16 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 radiusServerFallbackPassiveStateUpdate: RADIUS server is ready 10.48.39.128 port 1812 index 1 active 1
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 NAI-Realm not enabled on Wlan, radius servers will be selected as usual
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Found the radius server : 10.48.39.128 from the global server list
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Send Radius Auth Request with pktId:185 into qid:0 of server at index:1
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Sending the packet to v4 host 10.48.39.128:1812 of length 130
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Successful transmission of Authentication Packet (pktId 185) to 10.48.39.128:1812 from server queue 0, proxy state 70:69:5a:51:4e:c0-00:00
    *aaaQueueReader: Feb 27 14:58:07.566: 00000000: 01 b9 00 82 d9 c2 ef 27 f1 bb e4 9f a8 88 5a 6d .......'......Zm
    *aaaQueueReader: Feb 27 14:58:07.566: 00000010: 4b 38 1a a6 01 0e 34 63 37 37 36 64 39 65 36 31 K8....4c776d9e61
    *aaaQueueReader: Feb 27 14:58:07.566: 00000020: 36 32 1e 13 37 30 3a 36 39 3a 35 61 3a 35 31 3a 62..70:69:5a:51:
    *aaaQueueReader: Feb 27 14:58:07.566: 00000030: 34 65 3a 63 30 1f 13 34 63 3a 37 37 3a 36 64 3a 4e:c0..4c:77:6d:
    *aaaQueueReader: Feb 27 14:58:07.566: 00000040: 39 65 3a 36 31 3a 36 32 05 06 00 00 00 01 04 06 9e:61:62........
    *aaaQueueReader: Feb 27 14:58:07.566: 00000050: 0a 30 47 14 20 04 6e 6f 02 12 54 46 96 61 2a 38 .0G...no..TF.a*8
    *aaaQueueReader: Feb 27 14:58:07.566: 00000060: 5a 57 22 5b 41 c8 13 61 97 6c 06 06 00 00 00 0a ZW"[A..a.l......
    *aaaQueueReader: Feb 27 14:58:07.566: 00000080: 15 f9 ..
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 User entry not found in the Local FileDB for the client.
    *radiusTransportThread: Feb 27 14:58:07.587: Vendor Specif Radius Attribute(code=26, avp_len=28, vId=9)
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 *** Counted VSA 150994944 AVP of length 28, code 1 atrlen 22)
    *radiusTransportThread: Feb 27 14:58:07.588: Vendor Specif Radius Attribute(code=26, avp_len=28, vId=9)
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 AVP: VendorId: 9, vendorType: 1, vendorLen: 22

    *radiusTransportThread: Feb 27 14:58:07.588: 00000000: 70 72 6f 66 69 6c 65 2d 6e 61 6d 65 3d 55 6e 6b profile-name=Unk
    *radiusTransportThread: Feb 27 14:58:07.588: 00000010: 6e 6f 77 6e nown
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Processed VSA 9, type 1, raw bytes 22, copied 0 bytes
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Access-Accept received from RADIUS server 10.48.39.128 (qid:0) with port:1812, pktId:185
    *radiusTransportThread: Feb 27 14:58:07.588: RadiusIndexSet(1), Index(1)
    *radiusTransportThread: Feb 27 14:58:07.588: structureSize................................432

    *radiusTransportThread: Feb 27 14:58:07.588: protocolUsed.................................0x00000001

    *radiusTransportThread: Feb 27 14:58:07.588: proxyState...................................70:69:5A:51:4E:C0-00:00

    *radiusTransportThread: Feb 27 14:58:07.588: Packet contains 4 AVPs:

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[01] User-Name................................4c776d9e6162 (12 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[02] State....................................ReauthSession:0a302780bNEx79SKIFosJ2ioAmIYNOiRe2iDSY3drcFsHuYpChs (65 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[03] Class....................................DATA (83 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[04] Message-Authenticator....................DATA (16 bytes)

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join Response sent to 0.0.0.0:5248

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 CAPWAP State: Join

    Troubleshooting

    Utilice estos comandos de resolver problemas su configuración:

    • ponga a punto el permiso de los eventos del capwap — Configura la depuración de los eventos LWAPP.

    • permiso del paquete del capwap de la depuración — Configura la depuración del rastro del paquete LWAPP.

    • permiso de los errores del capwap de la depuración — Configura la depuración de los errores de paquete LWAPP.
    • la depuración aaa todo activa — Configura la depuración de todos los mensajes AAA
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Tiago Antunes
      Ingeniero del TAC de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros