¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

invalidación de la red inalámbrica (WLAN) + del VLA N del 802.1x con la movilidad (YO) 8.2 expresos y 2.1 ISE

Opciones de descarga

  • PDF     (1.2 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de agosto de 2017
ID del documento:210532
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Esto documenta describe cómo configurar una red inalámbrica (WLAN) (Wireless Local Area Network) con la Seguridad protegida Wi-Fi de la empresa del acceso 2 (WPA2) con un regulador expreso de la movilidad y un servidor externo del Remote Authentication Dial-In User Service (RADIUS). El motor del servicio de la identidad (ISE) se utiliza como ejemplo de los servidores RADIUS externos.

    El Protocolo de Autenticación Extensible (EAP) usado en esta guía es el protocolo extensible authentication protegido (PEAP). Además de eso asignan el cliente a un VLA N específico (con excepción del que está asignado al valor por defecto ny de la red inalámbrica (WLAN)).

    Prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • 802.1x
    • PEAP
    • Certification Authority (CA)
    • Certificados

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    YO v8.2

    ISE v2.1

    Laptop de Windows 10

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

    Configurar

    Diagrama de la red

    Configuraciones

    Los pasos generales son:

    1. Cree el Service Set Identifier (SSID) en YO y declare al servidor de RADIUS (ISE en este ejemplo) en MÍ
    2. Decláreme en el servidor de RADIUS (el ISE)
    3. Cree la regla de la autenticación en el ISE
    4. Cree la regla de la autorización en el ISE
    5. Configure el punto final

    Configuración en MÍ

    Para permitir la comunicación entre el servidor de RADIUS y MÍ es necesaria registrar al servidor de RADIUS en MÍ y vice versa. Este paso muestra cómo registrar al servidor de RADIUS en MÍ.

    Paso 1. Abra el GUI del YO y navegue a la nueva red inalámbrica (WLAN) inalámbrica de las configuraciones > WLAN > Add.

    Paso 2. Seleccione un nombre para la red inalámbrica (WLAN).

    Paso 3. Especifique la Configuración de seguridad bajo lengueta de la Seguridad de WLAN.

    Elija la empresa WPA2, porque el servidor de autenticación elige el externo RADIUS. Haga clic la opción del editar para agregar el IP Address RADIUS y para escoger una clave secreta compartida.

       

     <a.b.c.d> corresponde al servidor de RADIUS.

    Paso 4. Asigne un VLA N al SSID.

    Si el SSID necesita ser asignado al VLA N AP este paso puede ser saltado. 

    Para asignar a los usuarios para este SSID a un VLA N específico (con excepción del VLA N AP), al VLA N del uso del permiso que marca con etiqueta y asignar el VLAN ID deseado.

    Nota: Si se utiliza el marcar con etiqueta del VLA N, esté seguro que el switchport con donde el Punto de acceso está conectado, está configurado mientras que el puerto troncal y el VLA N AP se configura como natural.

    Paso 5. El tecleo se aplica para acabar la configuración.

    Paso 6. Opcional, configure la red inalámbrica (WLAN) para validar la invalidación del VLA N.

    Habilite la invalidación AAA en la red inalámbrica (WLAN) y agregue los VLA N necesarios. Para hacerle tan nee abrirá a una sesión CLI en YO interfaz de administración y publicará estos comandos:

    >config wlan disable <wlan-id>
>config wlan aaa-override enable <wlan-id>
>config wlan enable <wlan-id>
    >config flexconnect group default-flexgroup vlan add <vlan-id>

    Decláreme en el ISE

    Paso 1. Abra la consola ISE y navegue a la administración > a los recursos de red > a los dispositivos de red > Add.

    Paso 2. Ingrese la información.

    Puede ser especificada un nombre modelo, versión de software, descripción y asignar opcionalmente a los grupos de dispositivos de red basados en los tipos de dispositivo, la ubicación o el WLCs.

    el a.b.c.d corresponde a la dirección IP ME.

    Para más información sobre los grupos de dispositivos de red revise este link:

    ISE - Grupos de dispositivos de red

    Cree a un usuario nuevo en el ISE

    Paso 1. Navegue a la administración > a la Administración de la identidad > a las identidades > Users > Add.

    Paso 2. Ingrese la información.

    En este ejemplo este usuario pertenece a un grupo llamado ALL_ACCOUNTS pero puede ser ajustado según las necesidades.

    Cree la regla de la autenticación

    Las reglas de la autenticación se utilizan para verificar si las credenciales de los usuarios correcto (verifique si el usuario es realmente quién lo dice es) y limitar los métodos de autentificación que se permiten ser utilizados por él.

    Paso 1. Navegue a la directiva > a la autenticación.

    Paso 2. Inserte una nueva regla de la autenticación.

    Para hacer navegue tan nuevo sobre/abajo a la fila de la directiva > de la autenticación > del separador de millares.

    Paso 3. Ingrese la información requerida

    Este ejemplo de la regla de la autenticación permite todos los protocolos enumerados conforme a la lista de acceso de la red predeterminada, éste se aplica al pedido de autenticación para los clientes inalámbricos del 802.1x y con el Llamar-Estación-ID y los extremos con ISE-SSID.

    También, elija la fuente de la identidad para los clientes que hace juego esta regla de la autenticación, en este ejemplo que es usuarios internos usados

    Una vez que es tecleo acabado hecho y salvaguardia

    Para más información sobre permita los protocolos que las directivas consultan este link:

    Servicio permitido de los protocolos

    Para más información sobre la identidad las fuentes consultan este link:

    Cree un grupo de la Identificación del usuario

    Cree la regla de la autorización

    La regla de la autorización es la que está responsable determinar si se permite al cliente unirse a la red o no

    Paso 1. Navegue a la directiva > a la autorización.

    Paso 2. Inserte una nueva regla. Navegue a la directiva > a la autorización > a nuevo sobre/abajo de la regla del separador de millares.

    Paso 3. Ingrese la información.

    Primero elija un nombre para la regla y los grupos de la identidad donde salvan al usuario. En este ejemplo salvan al usuario en el grupo ALL_ACCOUNTS.

    Eso elige después otras condiciones que hagan el proceso de la autorización para bajar en esta regla. En este ejemplo el proceso de la autorización golpea esta regla si utiliza la Tecnología inalámbrica del 802.1x y es estación que recibe la llamada extremos ID con ISE-SSID.

    Finalmente elija el perfil de la autorización que permite que los clientes se unan a la red, para hacer clic hechosalvaguardia.

    Opcionalmente, cree un nuevo perfil de la autorización que asigne al cliente de red inalámbrica a un diverso VLA N:

    Ingrese la información:

    Configuración del dispositivo extremo

    Configure una laptop de Windows 10 para conectar con un SSID con la autenticación del 802.1x usando PEAP/MS-CHAPv2 (versión de Microsoft de la versión del protocolo challenge-handshake authentication 2).

    En este ejemplo de configuración el ISE utiliza su certificado autofirmado para realizar la autenticación.

    Para crear el perfil de la red inalámbrica (WLAN) en la máquina de las ventanas allí sea dos opciones:

    1. Instale el certificado autofirmado en la máquina para validar y para confiar en el servidor ISE para completar la autenticación
    2. Desvíe la validación del servidor de RADIUS y confíe en a cualquier servidor de RADIUS usado para realizar la autenticación (no recomendada, como puede convertirse en un problema de seguridad)

     La configuración para estas opciones se explica en la configuración de dispositivo extremo - cree el perfil de la red inalámbrica (WLAN) - el paso 7.

    Configuración de dispositivo extremo - Instale el certificado autofirmado ISE

    Paso 1. Certificado autofirmado de la exportación del ISE.

    Inicie sesión al ISE y navegue a la administración > al sistema > a los Certificados > a los Certificados del sistema.

    Después seleccione el certificado usado para la autenticación EAP y haga clic la exportación.

    Salve el certificado en la ubicación necesaria. Este certificado está instalado en la máquina de Windows.

    Paso 2. Instale el certificado en la máquina de Windows.

    Copie el certificado exportado antes en la máquina de Windows, cambie la extensión del archivo del .pem a .crt, después que doblen lo hagan clic en y selecto instale el certificado….

    Elija instalarlo en la máquina local, después haga clic después.

    Seleccione el lugar todos los Certificados en el almacén siguiente, después hojee y elija los Trusted Root Certification Authority. Después ese tecleo siguiente.

    Entonces clic en Finalizar.

    En el tecleo del final sí para confirmar la instalación del certificado.

    Finalmente AUTORIZACIÓN del tecleo.

    Configuración de dispositivo extremo - Cree el perfil de la red inalámbrica (WLAN)

    Paso 1. Click derecho en el icono del comienzo y el panel de control selecto.

    Paso 2. Navegue a la red y al Internet y entonces a la red y centro de la distribución y haga clic en configura una nueva conexión o una red.

    Paso 3. Seleccione conectan manualmente con una red inalámbrica y hacen clic después.

    Paso 4. Ingrese la información con el nombre del tipo WPA2-Enterprise SSID y de la Seguridad y haga clic después.

    Paso 5. Seleccione las configuraciones de la conexión del cambio para personalizar la configuración del perfil de la red inalámbrica (WLAN).

    Paso 6. Navegue a la ficha de seguridad y haga clic las configuraciones.

    Paso 7. Elija si validan al servidor de RADIUS o no.

    Si sí, el permiso verifica la identidad del servidor validando el certificado y de los Trusted Root Certification Authority: la lista selecciona el certificado autofirmado de ISE.

    Después esa configuración y neutralización selectas utilizan automáticamente mi nombre de inicio y contraseña de Windows…, después hacen clic la AUTORIZACIÓN

    Paso 8. Configure los credenciales de usuario

    Una vez de nuevo a la ficha de seguridad, seleccione las configuraciones avanzadas, especifique al modo de autenticación como autenticación de usuario y salve las credenciales que fueron configuradas en el ISE para autenticar al usuario. 

    Verificación

    El flujo de la autenticación se puede verificar del WLC o de la perspectiva ISE.

    Proceso de autenticación en MÍ

    Funcione con este comando de monitorear el proceso de autenticación para un usuario específico:

      

    > debug client <mac-add-client>

    Ejemplo de una autenticación satisfactoria (se ha omitido una cierta salida):

      

    *apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Processing assoc-req station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 thread:669ba80
    *apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Association received from mobile on BSSID 38:ed:18:c6:7b:4d AP 1852-4
    *apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying site-specific Local Bridging override for station 08:74:02:77:13:45 - vapId 3, site 'FlexGroup', interface 'management'
    *apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying Local Bridging Interface Policy for station 08:74:02:77:13:45 - vlan 0, interface id 0, interface 'management'
    *apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Set Clinet Non AP specific apfMsAccessVlan = 2400
    *apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 This apfMsAccessVlan may be changed later from AAA after L2 Auth
    *apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Received 802.11i 802.1X key management suite, enabling dot1x Authentication
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state START (0)
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state AUTHCHECK (2)
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 apfPemAddUser2:session timeout forstation 08:74:02:77:13:45 - Session Tout 0, apfMsTimeOut '0' and sessionTimerRunning flag is 0
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Stopping deletion of Mobile Station: (callerId: 48)
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Func: apfPemAddUser2, Ms Timeout = 0, Session Timeout = 0
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending assoc-resp with status 0 station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 on apVapId 3
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending Assoc Response to station on BSSID 38:ed:18:c6:7b:4d (status 0) ApVapId 3 Slot 1
    *spamApTask0: Nov 25 16:36:24.341: 08:74:02:77:13:45 Sent dot1x auth initiate message for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 reauth_sm state transition 0 ---> 1 for mobile 08:74:02:77:13:45 at 1x_reauth_sm.c:47
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 EAP-PARAM Debug - eap-params for Wlan-Id :3 is disabled - applying Global eap timers and retries
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Disable re-auth, use PMK lifetime.
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Connecting state
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Sending EAP-Request/Identity to mobile 08:74:02:77:13:45 (EAP Id 1)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received EAPOL EAPPKT from mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received Identity Response (count=1) from mobile 08:74:02:77:13:45
    .
    .
    .
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Processing Access-Accept for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Username entry (user1) created in mscb for mobile, length = 253
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Creating a PKC PMKID Cache entry for station 08:74:02:77:13:45 (RSN 2)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding BSSID 38:ed:18:c6:7b:4d to PMKID cache at index 0 for station 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: New PMKID: (16)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding Audit session ID payload in Mobility handoff
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 0 PMK-update groupcast messages sent
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 PMK sent to mobility group
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Disabling re-auth since PMK lifetime can take care of same.
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Sending EAP-Success to mobile 08:74:02:77:13:45 (EAP Id 70)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Freeing AAACB from Dot1xCB as AAA auth is done for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: Including PMKID in M1 (16)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: M1 - Key Data: (22)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] dd 14 00 0f ac 04 80 3a 20 8c 8f c2 4c 18 7d 4c
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0016] 28 e7 7f 10 11 03
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Starting key exchange to mobile 08:74:02:77:13:45, data packets will be dropped
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
     state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Entering Backend Auth Success state (id=70) for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Received Auth Success while in Authenticating state for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Authenticated state
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-Key from mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-key in PTK_START state (message 2) from mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Successfully computed PTK from PMK!!!
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received valid MIC in EAPOL Key Message M2!!!!!
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 30 14 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 0...............
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: 00 0f ac 01 0c 00 ......
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 00 0f ................
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: ac 01 0c 00 ....
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 PMK: Sending cache add
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
     state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Mobility query, PEM State: L2AUTHCOMPLETE
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Mobile Announce :
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Client Payload:
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Ip: 0.0.0.0
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vlan Ip: 172.16.0.136, Vlan mask : 255.255.255.224
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vap Security: 16384
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Virtual Ip: 192.0.2.1
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 ssid: ise-ssid
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building VlanIpPayload.
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Not Using WMM Compliance code qosCap 00
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3 flex-acl-name:
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state L2AUTHCOMPLETE (4)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6623, Adding TMP rule
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule
     type = Airespace AP - Learn IP address
     on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
     IPv4 ACL ID = 255, IPv
    *apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) mobility role update request from Unassociated to Local
     Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 172.16.0.136
    *apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=Local, client state=APF_MS_STATE_ASSOCIATED
    *apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6261, Adding TMP rule
    *apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Replacing Fast Path rule
     type = Airespace AP - Learn IP address
     on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
     IPv4 ACL ID = 255,
    *apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
    *pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
    *pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
    *apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
    *apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
    *apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 In apfRegisterIpAddrOnMscb_debug: regType=1 Invalid src IP address, 0.0.0.0 is part of reserved ip address range (caller apf_ms.c:3593)
    *apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
    *apfReceiveTask: Nov 25 16:36:27.840: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
    *apfReceiveTask: Nov 25 16:36:27.841: 08:74:02:77:13:45 172.16.0.16 DHCP_REQD (7) Change state to RUN (20) last state DHCP_REQD (7)

    Para que una forma sencilla lea las salidas del cliente del debug, utilice la herramienta inalámbrica del analizador del debug:

    Analizador inalámbrico del debug

    Proceso de autenticación en el ISE

    Navegue a las operaciones > al RADIUS > vivo abre una sesión la orden para ver qué política de autenticación, directiva de la autorización y perfil de la autorización asignados al usuario.

     Para más información haga clic en los detalles para ver un proceso de autenticación más detallado.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Karla Cisneros Galvan
      Ingeniero de Cisco TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros