Configuración de Central Web Authentication (CWA) en Catalyst 9800 WLC e ISE

Introducción

Este documento describe cómo configurar una LAN inalámbrica CWA en un WLC Catalyst 9800 e ISE.

Prerequisites

Requirements

Cisco recomienda conocer la configuración de los controladores LAN inalámbricos (WLC) 9800.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• 9800 WLC Cisco IOS® XE Gibraltar v17.6.x
• Identity Service Engine (ISE) v3.0

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

El proceso CWA se muestra aquí, donde puede ver el proceso CWA de un dispositivo Apple como ejemplo:

Configurar

Diagrama de la red

Configuración de AAA en WLC 9800

Paso 1. Agregue el servidor ISE a la configuración del WLC 9800.

Desplácese hasta  Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add  e introduzca la información del servidor RADIUS como se muestra en las imágenes.

Asegúrese de que el soporte para CoA esté habilitado si planea utilizar la autenticación web central (o cualquier tipo de seguridad que requiera CoA) en el futuro.

Paso 2. Cree una lista de métodos de autorización.

Desplácese hasta  Configuration > Security > AAA >  AAA Method List > Authorization > + Add  como se muestra en la imagen.

Paso 3. (Opcional) Cree una lista de métodos de contabilidad como se muestra en la imagen.

Nota: CWA no funciona si decide equilibrar la carga (desde la configuración CLI de Cisco IOS XE) de sus servidores RADIUS debido al ID de error de funcionamiento de Cisco CSCvh03827. El uso de balanceadores de carga externos es correcto.

Paso 4. (Opcional) Puede definir la política AAA para enviar el nombre SSID como un atributo Called-station-id, lo que puede ser útil si desea aprovechar esta condición en ISE más adelante en el proceso.

Desplácese hasta  Configuration > Security > Wireless AAA Policy y edite la política AAA predeterminada o cree una nueva.

Puede elegir  SSID como opción 1. Tenga en cuenta que incluso cuando elige solo SSID, el ID de la estación llamada sigue agregando la dirección MAC del AP al nombre SSID.

Configuración de WLAN

Paso 1. Cree la WLAN.

Desplácese hasta  Configuration > Tags & Profiles > WLANs > + Add  y configurar la red según sea necesario.

Paso 2. Introduzca la información general de WLAN.

Paso 3. Desplácese hasta el  Security  y seleccione el método de seguridad necesario. En este caso, sólo el 'filtrado de direcciones MAC' y la lista de autorización AAA (que creó en el paso 2) en el  AAA Configuration  ) son necesarias.

CLI:

#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown

Configuración del perfil de la política

Dentro de un perfil de política, puede decidir asignar los clientes a los que se aplicará la VLAN, entre otras configuraciones (como la lista de controles de acceso (ACL), la calidad de servicio (QoS), el ancla de movilidad, los temporizadores, etc.).

Puede utilizar su perfil de política predeterminado o puede crear uno nuevo.

GUI:

Paso 1. Crear un nuevo  Policy Profile.

Desplácese hasta  Configuration > Tags & Profiles > Policy  y configure su  default-policy-profile  o crear uno nuevo.

Asegúrese de que el perfil esté habilitado.

Paso 2. Elija la VLAN.

Desplácese hasta el  Access Policies  y elija el nombre de la VLAN en la lista desplegable o escriba manualmente el ID de la VLAN. No configure una ACL en el perfil de política.

Paso 3. Configure el perfil de política para aceptar anulaciones de ISE (Permitir anulación AAA) y cambios de autorización (CoA) (Estado NAC). Opcionalmente, también puede especificar un método de contabilidad.

CLI:

# config
# wireless profile policy <policy-profile-name>
# aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown

Configuración de etiquetas de políticas

Dentro de la etiqueta de política se encuentra el enlace del SSID con el perfil de política. Puede crear una nueva etiqueta de política o utilizar la etiqueta de política predeterminada.

Nota: La etiqueta default-policy asigna automáticamente cualquier SSID con un ID de WLAN entre 1 y 16 al perfil default-policy. No se puede modificar ni eliminar. Si tiene una WLAN con ID 17 o posterior, no se puede utilizar la etiqueta default-policy.

GUI:

Desplácese hasta  Configuration > Tags & Profiles > Tags > Policy  y añada uno nuevo si es necesario, como se muestra en la imagen.

Vincule su perfil de WLAN con el perfil de política deseado.

CLI:

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

Asignación de etiquetas de políticas

Asigne la etiqueta de política a los AP necesarios.

GUI:

Para asignar la etiqueta a un AP, navegue hasta  Configuration > Wireless > Access Points > AP Name > General Tags, realice la asignación necesaria y haga clic en  Update & Apply to Device.

Nota: Tenga en cuenta que después de cambiar la etiqueta de la política en un AP, pierde su asociación con el WLC 9800 y se une de nuevo dentro de aproximadamente 1 minuto.

Para asignar la misma etiqueta de política a varios AP, navegue hasta  Configuration > Wireless > Wireless Setup > Advanced > Start Now.

Elija los AP a los que desea asignar la etiqueta y haga clic en  + Tag APs  como se muestra en la imagen.

Elija la etiqueta deseada y haga clic en  Save & Apply to Device como se muestra en la imagen.

CLI:

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

Configuración de ACL de redireccionamiento

Paso 1. Desplácese hasta  Configuration > Security > ACL > + Add  para crear una nueva ACL. 

Elija un nombre para la ACL y conviértala  IPv4 Extended  escriba y agregue cada regla como una secuencia, tal como se muestra en la imagen.

Debe denegar el tráfico a los nodos de PSN de ISE, así como también debe denegar el DNS y permitir el resto. Esta ACL de redirección no es una ACL de seguridad, sino una ACL de punt que define qué tráfico va a la CPU (en permisos) para un tratamiento adicional (como la redirección) y qué tráfico permanece en el plano de datos (en negación) y evita la redirección.

La ACL debe tener el siguiente aspecto (reemplace 10.48.39.28 con su dirección IP de ISE en este ejemplo):

Nota: Para la ACL de redirección, piense en la  deny como una redirección de denegación (no de denegación de tráfico) y la  permit acción como permitir redirección. El WLC mira solamente en el tráfico que puede redirigir (los puertos 80 y 443 por defecto).

CLI:

ip access-list extended REDIRECT
 deny ip any host <ISE-IP>
 deny ip host<ISE-IP> any
 deny udp any any eq domain
 deny udp any eq domain any
 permit tcp any any eq 80

Nota: Si finaliza la ACL con un  permit ip any any en lugar de un permiso centrado en el puerto 80, el WLC también redirige HTTPS, que a menudo no es deseable ya que tiene que proporcionar su propio certificado y siempre crea una violación de certificado. Esta es la excepción a la declaración anterior que dice que no necesita un certificado en el WLC en caso de CWA: necesita uno si tiene la interceptación HTTPS habilitada pero nunca se considera válido de todos modos.

Puede mejorar la ACL mediante una acción para denegar solo el puerto de invitado 8443 al servidor ISE.

Habilitar redirección para HTTP o HTTPS

La configuración del portal de administración web está ligada a la configuración del portal de autenticación web y necesita escuchar en el puerto 80 para redirigir. Por lo tanto, HTTP debe estar habilitado para que la redirección funcione correctamente. Puede optar por habilitarlo globalmente (con el uso del comando  ip http server) o puede activar HTTP para el sólo el módulo de autenticación Web (con el uso del comando  webauth-http-enable en el mapa de parámetros).

Si desea que se le redirija cuando intente acceder a una URL HTTPS, agregue el comando  intercept-https-enable bajo el mapa de parámetro, pero tenga en cuenta que esta no es una configuración óptima, que tiene un impacto en la CPU del WLC y genera errores de certificado de todos modos:

parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx

También puede hacerlo a través de la GUI con la opción 'Web Auth intercept HTTPS' marcada en el mapa de parámetro (Configuration > Security > Web Auth).
  

Configuración de ISE

Adición del WLC 9800 a ISE

Paso 1. Abra la consola de ISE y navegue hastaAdministration > Network Resources > Network Devices > Add como se muestra en la imagen.

Paso 2. Configure el dispositivo de red.

Opcionalmente, puede ser un nombre de modelo, versión de software y descripción especificados, y asignar grupos de dispositivos de red basados en tipos de dispositivos, ubicación o WLC.

La dirección IP aquí corresponde a la interfaz WLC que envía las solicitudes de autenticación. De forma predeterminada, es la interfaz de administración tal como se muestra en la imagen:

Para obtener más información sobre los grupos de dispositivos de red, consulte el capítulo sobre la guía de administración de ISE: Administración de dispositivos de red: ISE - Grupos de dispositivos de red.

Creación de un usuario nuevo en ISE

Paso 1. Desplácese hasta  Administration > Identity Management > Identities > Users > Add  como se muestra en la imagen.

Paso 2. Introduzca la información.

En este ejemplo, este usuario pertenece a un grupo llamado  ALL_ACCOUNTS pero se puede ajustar según sea necesario, como se muestra en la imagen.

Creación del perfil de autorización

El perfil de política es el resultado asignado a un cliente en función de sus parámetros (como dirección MAC, credenciales, WLAN utilizada, etc.). Puede asignar configuraciones específicas, como redes de área local virtuales (VLAN), listas de control de acceso (ACL), redirecciones de localizador uniforme de recursos (URL), etc.

Tenga en cuenta que en versiones recientes de ISE ya existe un resultado de autorización Cisco_Webauth. Aquí puede editarlo para modificar el nombre de la ACL de redireccionamiento para que coincida con lo que configuró en el WLC.

Paso 1. Desplácese hasta  Policy > Policy Elements > Results > Authorization > Authorization Profiles. Haga clic en  add para crear el suyo propio o editar el  Cisco_Webauth resultado predeterminado.

Paso 2. Introduzca la información de redireccionamiento. Asegúrese de que el nombre de ACL sea el mismo que fue configurado en el WLC 9800.

Configuración de la regla de autenticación

Paso 1. Un conjunto de directivas define una colección de reglas de autenticación y autorización. Para crear una, vaya aPolicy > Policy Sets, haga clic en el engranaje del primer conjunto de políticas de la lista y seleccioneInsert new row or click the blue arrow on the right to choose the defaut Policy Set.


Paso 2. Expandir  Authentication política. Para el  MAB regla (coincidencia en MAB por cable o inalámbrico), expandir  Optionsy seleccione la opción  CONTINUE en caso de que vea "Si no se encuentra el usuario".

Paso 3. Haga clic en  Save  para guardar los cambios.

Configuración de las reglas de autorización

La regla de autorización es la encargada de determinar qué resultado de permiso (perfil de autorización) se aplica al cliente.

Paso 1. En la misma página Conjunto de directivas, cierre el  Authentication Policy y ampliar  Authorziation Policy  como se muestra en la imagen.

Paso 2. Las versiones recientes de ISE comienzan con una regla creada previamente llamada  Wifi_Redirect_to_Guest_Login que se adapta principalmente a nuestras necesidades. Gire el símbolo gris de la izquierda a  enable.

Paso 3. Esa regla coincide solo con Wireless_MAB y devuelve los atributos de redireccionamiento de la CWA. Ahora, puede agregar opcionalmente un pequeño giro y hacer que coincida solo con el SSID específico. Elija la condición (Wireless_MAB a partir de ahora) para que aparezcan las condiciones de Studio. Agregue una condición a la derecha y elija la  Radius diccionario con el  Called-Station-ID atributo. Haga que coincida con su nombre de SSID. Validar con el Use en la parte inferior de la pantalla, como se muestra en la imagen.

Paso 4. Ahora necesita una segunda regla, definida con una prioridad más alta, que coincida con el  Guest Flow condición para devolver los detalles de acceso a la red una vez que el usuario se haya autenticado en el portal. Puede utilizar el  Wifi Guest Access que también se crea previamente de forma predeterminada en las versiones recientes de ISE. Entonces, solo tiene que habilitar la regla con una marca verde a la izquierda.  Puede devolver el valor predeterminado PermitAccess o configurar restricciones de lista de acceso más precisas.

Paso 5. Guarde las reglas.

Haga clic en  Save  al final de las reglas.

SOLO puntos de acceso de switching local de FlexConnect

¿Qué sucede si tiene puntos de acceso de switching local y WLAN de FlexConnect? Las secciones anteriores siguen siendo válidas. Sin embargo, necesita un paso adicional para empujar la ACL de redirección a los AP con anticipación.

Desplácese hasta  Configuration > Tags & Profiles > Flex y elija su perfil de Flex. A continuación, vaya a la  Policy ACL ficha.

Haga clic en  Add  como se muestra en la imagen.

Elija su nombre de ACL de redirección y habilite la autenticación web central. Esta casilla de verificación invierte automáticamente la ACL en el propio AP (esto se debe a que una sentencia 'deny' significa 'no redirigir a esta IP' en el WLC en Cisco IOS XE. Sin embargo, en el AP, la sentencia "deny" significa lo contrario. Por lo tanto, esta casilla de verificación intercambia automáticamente todos los permisos y los niega cuando realiza la transferencia al AP. Puede comprobarlo con un  show ip access list desde la CLI del punto de acceso).

Nota: En el escenario de switching local de Flexconnect, la ACL debe mencionar específicamente las sentencias de retorno (lo que no es necesario en el modo local), de modo que asegúrese de que todas las reglas de la ACL cubran ambos modos de tráfico (hacia y desde ISE, por ejemplo).

No te olvides de golpear  Save y luego  Update and apply to the device.

Certificados

Para que el cliente confíe en el certificado de autenticación web, no es necesario instalar ningún certificado en el WLC ya que el único certificado presentado es el certificado ISE (que tiene que ser de confianza por el cliente).

Verificación

Puede utilizar estos comandos para verificar la configuración actual.

# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

Aquí está la parte relevante de la configuración del WLC que corresponde a este ejemplo:

aaa new-model
!
aaa authorization network CWAauthz group radius
aaa accounting identity CWAacct start-stop group radius
!
aaa server radius dynamic-author
 client <ISE-IP> server-key cisco123
!
aaa session-id common
!
!
radius server ISE-server
 address ipv4 <ISE-IP> auth-port 1812 acct-port 1813
 key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile

wireless profile policy default-policy-profile
 aaa-override
 nac
 vlan 1416
 no shutdown
wireless tag policy cwa-policy-tag
 wlan cwa-ssid policy default-policy-profile
wlan cwa-ssid 4 cwa-ssid
 mac-filtering CWAauthz
 no security ft adaptive
 no security wpa
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 no security wpa akm dot1x
 no shutdown

ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server

Troubleshoot

Lista de Verificación

• Asegúrese de que el cliente se conecta y obtiene una dirección IP válida.
• Si la redirección no es automática, abra un explorador y pruebe con una dirección IP aleatoria. Por ejemplo, 10.0.0.1. Si la redirección funciona, es posible que tenga un problema de resolución de DNS. Verifique que tiene un servidor DNS válido proporcionado a través de DHCP y que puede resolver los nombres de host. 
• Asegúrese de que dispone del comando  ip http server configurado para que funcione la redirección en HTTP. La configuración del portal de administración web está vinculada a la configuración del portal de autenticación web y debe aparecer en el puerto 80 para poder redirigir. Puede optar por habilitarlo globalmente (con el uso del comando  ip http server) o puede activar HTTP para el sólo el módulo de autenticación Web (con el uso del comando  webauth-http-enable en el mapa de parámetros).
• Si no se le redirige cuando intenta acceder a una URL HTTPS y eso es necesario, verifique que tenga el comando  intercept-https-enable en el mapa de parámetros:
  
  

parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx

También puede verificar a través de la GUI que tiene la opción 'Web Auth intercept HTTPS' marcada en el mapa de parámetro:
  

Soporte de Puerto de Servicio para RADIUS

El controlador inalámbrico Catalyst de Cisco serie 9800 tiene un puerto de servicio al que se hace referencia como  GigabitEthernet 0puerto. A partir de la versión 17.6.1, RADIUS (que incluye CoA) es compatible con este puerto.

Si desea utilizar el puerto de servicio para RADIUS, necesita esta configuración:

aaa server radius dynamic-author 
client 10.48.39.28 vrf Mgmt-intf server-key cisco123

interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 ip address x.x.x.x x.x.x.x

!if using aaa group server:
aaa group server radius group-name
 server name nicoISE
 ip vrf forwarding Mgmt-intf
 ip radius source-interface GigabitEthernet0

Recopilar depuraciones

El WLC 9800 ofrece capacidades de seguimiento SIEMPRE ACTIVAS. Esto garantiza que todos los errores, advertencias y mensajes de nivel de notificación relacionados con la conectividad del cliente se registren constantemente y que pueda ver los registros de una condición de incidente o error después de que se haya producido.

Nota: Puede retroceder unas horas a varios días en los registros, pero depende del volumen de registros generados.

Para ver los seguimientos que 9800 WLC recolectó por defecto, puede conectarse vía SSH/Telnet al 9800 WLC y realizar estos pasos (asegúrese de registrar la sesión en un archivo de texto).

Paso 1. Verifique la hora actual del WLC para que pueda rastrear los registros en el tiempo hasta cuando ocurrió el problema.

# show clock

Paso 2. Recopile los syslogs del buffer del WLC o del syslog externo según lo dicte la configuración del sistema. Esto proporciona una vista rápida del estado del sistema y de los errores, si los hubiera.

# show logging

Paso 3. Verifique si hay alguna condición de depuración habilitada.

# show debugging
Cisco IOS XE Conditional Debug Configs:

Conditional Debug Global State: Stop

Cisco IOS XE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Nota: Si ve alguna condición en la lista, significa que los seguimientos se registran en el nivel de depuración para todos los procesos que encuentran las condiciones habilitadas (dirección MAC, dirección IP, etc.). Esto aumenta el volumen de registros. Por lo tanto, se recomienda borrar todas las condiciones cuando no se realiza una depuración activa.

Paso 4. Suponiendo que la dirección MAC en prueba no se enumeró como una condición en el Paso 3., recopile los seguimientos del nivel de aviso siempre activo para la dirección MAC específica.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

Puede mostrar el contenido de la sesión o copiar el archivo en un servidor TFTP externo.

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Depuración condicional y seguimiento activo por radio

Si los seguimientos siempre activos no proporcionan suficiente información para determinar el desencadenador del problema que se está investigando, puede habilitar la depuración condicional y capturar el seguimiento de Radio Active (RA), que proporciona seguimientos de nivel de depuración para todos los procesos que interactúan con la condición especificada (dirección MAC del cliente en este caso). Para habilitar la depuración condicional, continúe con estos pasos.

Paso 5. Asegúrese de que no hay condiciones de depuración habilitadas.

# clear platform condition all

Paso 6. Habilite la condición de depuración para la dirección MAC del cliente inalámbrico que desea monitorear.

Estos comandos comienzan a monitorear la dirección MAC proporcionada durante 30 minutos (1800 segundos). Opcionalmente, puede aumentar este tiempo hasta 2 085 978 494 segundos.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

Nota: Para monitorear más de un cliente a la vez, ejecute debug wireless mac   por dirección mac.

Nota: Usted no ve la salida de la actividad del cliente en la sesión de terminal, ya que todo se almacena en buffer internamente para ser visto más tarde.

Paso 7". Reproduzca el problema o el comportamiento que desea monitorear.

Paso 8. Detenga las depuraciones si el problema se reproduce antes de que se agote el tiempo de monitoreo predeterminado o configurado.

# no debug wireless mac <aaaa.bbbb.cccc>

Una vez que ha transcurrido el tiempo del monitor o se ha detenido el debug wireless, el WLC 9800 genera un archivo local con el nombre:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Paso 9. Recopile el archivo de la actividad de direcciones MAC. Puede copiar el archivo  ra trace .log a un servidor externo o muestre el resultado directamente en la pantalla.

Verifique el nombre del archivo de seguimiento activo por radio.

# dir bootflash: | inc ra_trace

Copie el archivo en un servidor externo:

# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log  tftp://a.b.c.d/ra-FILENAME.txt

Muestre el contenido:

# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log 

Paso 10. Si la causa raíz aún no es obvia, recopile los registros internos que son una vista más detallada de los registros de nivel de depuración. No es necesario depurar el cliente de nuevo, ya que solo examinamos con más detalle los registros de depuración que ya se han recopilado y almacenado internamente.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Nota: Esta salida de comando devuelve seguimientos para todos los niveles de registro para todos los procesos y es bastante voluminosa. Póngase en contacto con el TAC de Cisco para analizar estos seguimientos.

Puede copiar el archivo  ra-internal-FILENAME.txt a un servidor externo o muestre el resultado directamente en la pantalla.

Copie el archivo en un servidor externo:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

Muestre el contenido:

# more bootflash:ra-internal-<FILENAME>.txt

Paso 11. Elimine las condiciones de depuración.

# clear platform condition all

Nota: Asegúrese de eliminar siempre las condiciones de depuración después de una sesión de solución de problemas.

Examples

Si el resultado de la autenticación no es el esperado, es importante desplazarse hasta ISE  Operations > Live logs y obtener los detalles del resultado de la autenticación.

Se le indica el motivo del error (si se produce) y todos los atributos Radius recibidos por ISE.

En el siguiente ejemplo, ISE rechazó la autenticación porque no coincidía ninguna regla de autorización. Esto se debe a que ve el atributo Called-station-ID enviado como el nombre SSID agregado a la dirección MAC del AP, mientras que la autorización es una coincidencia exacta con el nombre SSID. Se fija con el cambio de esa regla a 'contiene' en lugar de 'igual'.

Una vez solucionado esto, el cliente wifi sigue sin poder asociarse con el SSID, mientras que ISE afirma que la autorización se ha realizado correctamente y devuelve los atributos de CWA adecuados.

Puede desplazarse hasta la página  Troubleshooting > Radioactive trace de la interfaz de usuario web del WLC.

en la mayoría de los casos, puede confiar en los registros siempre activos e incluso obtener registros de intentos de conexión anteriores sin la reproducción del problema una vez más.

Agregue la dirección MAC del cliente y haga clic en  Generate  como se muestra en la imagen.

En este caso, el problema radica en el hecho de que cometió un error tipográfico cuando creó el nombre de ACL y no coincide con el nombre de ACL devuelto por ISE o el WLC se queja de que no existe tal ACL como la solicitada por ISE:

2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162  client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42, 
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.