Introduzione
Questo documento descrive come configurare una LAN wireless CWA su uno switch Catalyst 9800 WLC e ISE.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza della configurazione dei Wireless LAN Controller (WLC) 9800.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- 9800 WLC Cisco IOS® XE Gibraltar v17.6.x
- Identity Service Engine (ISE) v3.0
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Il processo CWA è illustrato di seguito, ad esempio il processo CWA di un dispositivo Apple:
Configurazione
Esempio di rete
Configurazione AAA sui controller 9800 WLC
Passaggio 1. Aggiungere il server ISE alla configurazione WLC 9800.
Passa a Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add
e immettere le informazioni sul server RADIUS come mostrato nelle immagini.
Verificare che l'opzione Support for CoA (Supporto per CoA) sia abilitata se si pensa di usare in futuro l'autenticazione Web centralizzata o altro tipo di sicurezza che richieda una modifica di autorizzazione, o CoA (Change of Authorization).
Nota: nella versione 17.4.X e successive, assicurarsi di configurare anche la chiave del server CoA quando si configura il server RADIUS. Utilizzare la stessa chiave del segreto condiviso (per impostazione predefinita, sono le stesse in ISE). Lo scopo è quello di configurare facoltativamente una chiave diversa per il certificato di autenticità (CoA) rispetto al segreto condiviso, se questo è ciò che è stato configurato dal server RADIUS. In Cisco IOS XE 17.3, l'interfaccia utente Web ha semplicemente utilizzato lo stesso segreto condiviso della chiave CoA.
Passaggio 2. Creare un elenco di metodi di autorizzazione.
Passa a Configuration > Security > AAA > AAA Method List > Authorization > + Add
come mostrato nell'immagine.
Passaggio 3. (Facoltativo) Creare un elenco di metodi contabili come mostrato nell'immagine.
Nota: CWA non funziona se si decide di bilanciare il carico (dalla configurazione CLI di Cisco IOS XE) dei server radius a causa dell'ID bug Cisco CSCvh03827. L'utilizzo dei servizi di bilanciamento del carico esterni è corretto.
Passaggio 4. (Facoltativo) È possibile definire la policy AAA per inviare il nome SSID come attributo ID stazione chiamata. Questa condizione può essere utile se si desidera sfruttare questa condizione su ISE in un secondo momento del processo.
Passa a Configuration > Security > Wireless AAA Policy
e modificare la policy AAA predefinita o crearne una nuova.
È possibile scegliere SSID
1. Tenere presente che anche quando si sceglie solo SSID, l'ID stazione chiamato continua ad aggiungere l'indirizzo MAC AP al nome SSID.
Configurazione della WLAN
Passaggio 1. Creare la WLAN.
Passa a Configuration > Tags & Profiles > WLANs > + Add
e configurare la rete in base alle esigenze.
Passaggio 2. Immettere le informazioni generali sulla WLAN.
Passaggio 3. Passare alla Security
e scegliere il metodo di protezione necessario. In questo caso, solo 'Filtro MAC' e l'elenco di autorizzazioni AAA (creato nel Passaggio 2. del AAA Configuration
sezione).
CLI:
#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown
Configurazione del profilo di policy
All'interno di un profilo di policy, è possibile decidere di assegnare ai client la VLAN desiderata, tra le altre impostazioni (ad esempio, Access Controls List (ACL), Quality of Service (QoS), Mobility Anchor, Timer e così via).
È possibile usare il profilo di policy predefinito oppure crearne uno nuovo.
GUI:
Passaggio 1. Crea un nuovo Policy Profile
.
Passa a Configuration > Tags & Profiles > Policy
e configurare default-policy-profile
o crearne uno nuovo.
Verificare che il profilo sia abilitato.
Passaggio 2. Selezionare la VLAN.
Passare alla Access Policies
e scegliere il nome della VLAN dall'elenco a discesa o digitare manualmente l'ID VLAN. Non configurare un ACL nel profilo di policy.
Passaggio 3. Configurare il profilo della policy in modo che accetti le sostituzioni ISE (consenti override AAA) e la modifica dell'autorizzazione (CoA) (stato NAC). È possibile anche specificare un metodo di accounting.
CLI:
# config
# wireless profile policy <policy-profile-name>
# aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown
Configurazione del tag di policy
Il tag di policy permette di collegare l'SSID al profilo di policy. È possibile creare un nuovo tag o utilizzare il tag predefinito.
Nota: il tag default-policy mappa automaticamente qualsiasi SSID con ID WLAN compreso tra 1 e 16 al profilo default-policy. Non può essere modificata o eliminata. Se si dispone di una WLAN con ID 17 o successivo, il tag default-policy non può essere utilizzato.
GUI:
Passa a Configuration > Tags & Profiles > Tags > Policy
e aggiungerne uno nuovo, se necessario, come mostrato nell'immagine.
Associare il profilo WLAN al profilo di policy desiderato.
CLI:
# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>
Assegnazione di un tag di policy
Assegnare il tag di policy agli access point desiderati.
GUI:
Per assegnare il tag a un punto di accesso, passare a Configuration > Wireless > Access Points > AP Name > General Tags
, creare l'assegnazione necessaria e quindi fare clic su Update & Apply to Device
.
Nota: dopo aver modificato il tag di policy su un access point, quest'ultimo perde l'associazione con il WLC 9800 e si unisce di nuovo entro circa 1 minuto.
Per assegnare lo stesso codice di matricola a più access point, passare a Configuration > Wireless > Wireless Setup > Advanced > Start Now
.
Scegliere gli access point a cui assegnare il tag e fare clic su + Tag APs
come mostrato nell'immagine.
Scegliete il tag whished e fate clic su Save & Apply to Device
come mostrato nell'immagine.
CLI:
# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end
Configurazione degli ACL di reindirizzamento
Passaggio 1. Passa a Configuration > Security > ACL > + Add
per creare un nuovo ACL.
Scegliere un nome per l'ACL e impostarlo IPv4 Extended
digitate e aggiungete ogni regola come sequenza, come mostrato nell'immagine.
È necessario bloccare il traffico diretto ai nodi ISE PSN e al DNS; tutto il resto del traffico può essere autorizzato. Questo ACL di reindirizzamento non è un ACL di sicurezza, ma un ACL punt che definisce il traffico diretto alla CPU (sui permessi) per un ulteriore trattamento (come il reindirizzamento) e il traffico rimanente sul piano dati (su rifiuto) e impedisce il reindirizzamento.
L'ACL deve essere simile al seguente (sostituire 10.48.39.28 con l'indirizzo IP ISE nell'esempio):
Nota: per l'ACL di reindirizzamento, pensare alla deny
come un reindirizzamento di negazione (non di negazione del traffico) e permit
azione come reindirizzamento dell'autorizzazione. Il WLC analizza solo il traffico che può reindirizzare (per impostazione predefinita, le porte 80 e 43).
CLI:
ip access-list extended REDIRECT
deny ip any host <ISE-IP>
deny ip host<ISE-IP> any
deny udp any any eq domain
deny udp any eq domain any
permit tcp any any eq 80
Nota: se si termina l'ACL con un permit ip any any
invece di un permesso focalizzato sulla porta 80, il WLC reindirizza anche HTTPS, che è spesso indesiderabile in quanto deve fornire il proprio certificato e crea sempre una violazione del certificato. Questa è l'eccezione alla dichiarazione precedente che dice che non è necessario un certificato sul WLC nel caso di CWA: ne serve uno se l'intercettazione HTTPS è abilitata, ma non è mai considerata valida in ogni caso.
È possibile migliorare l'ACL intervenendo per negare solo la porta guest 8443 al server ISE.
Abilita reindirizzamento per HTTP o HTTPS
La configurazione del portale di amministrazione Web è collegata alla configurazione del portale di autenticazione Web e deve essere in ascolto sulla porta 80 per poter essere reindirizzata. Per il corretto funzionamento del reindirizzamento, è pertanto necessario attivare il protocollo HTTP. È possibile scegliere di attivarla globalmente (con il comando ip http server
) oppure attivare HTTP per solo modulo di autenticazione web (con l'uso del comando webauth-http-enable
nella mappa dei parametri).
Per essere reindirizzati quando si tenta di accedere a un URL HTTPS, aggiungere il comando intercept-https-enable
nella mappa dei parametri, ma si noti che questa non è una configurazione ottimale, che ha un impatto sulla CPU del WLC e genera comunque errori di certificato:
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
È possibile farlo anche tramite la GUI con l'opzione 'Web Auth intercept HTTPS' selezionata nella mappa dei parametri (Configuration > Security > Web Auth
).
Nota: per impostazione predefinita, i browser utilizzano un sito Web HTTP per avviare il processo di reindirizzamento. Se è necessario il reindirizzamento HTTPS, è necessario controllare l'intercettazione HTTPS di Web Auth. Questa configurazione non è tuttavia consigliata in quanto aumenta l'utilizzo della CPU.
Configurazione di ISE
Aggiunta di controller 9800 WLC a ISE
Passaggio 1. Aprire la console ISE e selezionareAdministration > Network Resources > Network Devices > Add
come mostrato nell'immagine.
Passaggio 2. Configurare il dispositivo di rete.
Facoltativamente, è possibile specificare il nome del modello, la versione del software e la descrizione, nonché assegnare gruppi di dispositivi di rete in base al tipo di dispositivo, alla posizione o ai WLC.
L'indirizzo IP corrisponde all'interfaccia WLC che invia le richieste di autenticazione. Per impostazione predefinita è l'interfaccia di gestione, come mostrato nell'immagine:
Per ulteriori informazioni sui gruppi di dispositivi di rete, vedere il capitolo della guida per l'amministratore di ISE: Manage Network Devices: ISE - Network Device Groups.
Creazione di un nuovo utente in ISE
Passaggio 1. Passa a Administration > Identity Management > Identities > Users > Add
come mostrato nell'immagine.
Passaggio 2. Immettere le informazioni.
In questo esempio, l'utente appartiene a un gruppo denominato ALL_ACCOUNTS
ma può essere regolata in base alle necessità, come mostrato nell'immagine.
Creazione del profilo di autorizzazione
Il profilo dei criteri è il risultato assegnato a un client in base ai relativi parametri, ad esempio indirizzo MAC, credenziali, WLAN utilizzata e così via. Può assegnare impostazioni specifiche come VLAN (Virtual Local Area Network), elenchi di controllo di accesso (ACL), reindirizzamenti URL (Uniform Resource Locator) e così via.
Tenere presente che nelle versioni recenti di ISE esiste già un profilo di autorizzazione Cisco_Webauth. Qui è possibile modificarlo per cambiare il nome dell'ACL di reindirizzamento in modo che corrisponda a quello configurato nel WLC.
Passaggio 1. Passa a Policy > Policy Elements > Results > Authorization > Authorization Profiles
. Fare clic su add
per creare o modificare il Cisco_Webauth
risultato predefinito.
Passaggio 2. Immettere le informazioni di reindirizzamento. Verificare che il nome ACL sia lo stesso di quello configurato sul WLC 9800.
Configurazione della regola di autenticazione
Passaggio 1. Un set di criteri definisce un insieme di regole di autenticazione e autorizzazione. Per crearne uno, passare aPolicy > Policy Sets
, fare clic sull'ingranaggio del primo set di criteri nell'elenco e scegliereInsert new row
or click the blue arrow on the right to choose the defaut Policy Set.
Passaggio 2. Espansione Authentication
policy. Per il MAB
regola (corrispondenza su MAB cablato o wireless), espandere Options
e scegliere il pulsante CONTINUE
nel caso in cui venga visualizzato 'Se l'utente non è stato trovato'.
Passaggio 3. Fare clic su Save
per salvare le modifiche.
Configurazione delle regole di autorizzazione
La regola di autorizzazione permette di stabilire quali autorizzazioni (ovvero quale profilo di autorizzazione) vengono applicate al client.
Passaggio 1. Nella stessa pagina di set di criteri, chiudere il Authentication Policy
ed espandi Authorziation Policy
come mostrato nell'immagine.
Passaggio 2. Le versioni ISE recenti iniziano con una regola precreata chiamata Wifi_Redirect_to_Guest_Login
per soddisfare le nostre esigenze. Ruotare il simbolo grigio a sinistra per enable
.
Passaggio 3. Questa regola corrisponde solo a Wireless_MAB e restituisce gli attributi di reindirizzamento CWA. Ora, è possibile aggiungere una piccola torsione e far corrispondere solo l'SSID specifico. Scegliere la condizione (Wireless_MAB a partire da questo momento) per visualizzare Conditions Studio (Studio condizioni). Aggiungere una condizione a destra e scegliere Radius
dizionario con Called-Station-ID
attributo. facendo corrispondere la condizione al nome SSID. Convalida con Use
nella parte inferiore dello schermo, come illustrato nell'immagine.
Passaggio 4. È ora necessaria una seconda regola, definita con una priorità più alta, che corrisponda alla Guest Flow
condizione per restituire i dettagli di accesso alla rete dopo l'autenticazione dell'utente sul portale. È possibile utilizzare il Wifi Guest Access
che viene creata in precedenza per impostazione predefinita anche sulle versioni ISE recenti. Per abilitare la regola, è sufficiente inserire un segno di spunta verde a sinistra. È possibile restituire il valore predefinito di PermitAccess o configurare restrizioni più precise per gli elenchi degli accessi.
Passaggio 5. Salvate le regole.
Fare clic su Save
in fondo alle regole.
SOLO FlexConnect Access Point con switching locale
Qual è la procedura per i FlexConnect Access Point con switching locale e WLAN? Le sezioni precedenti sono ancora valide. Tuttavia, è necessario un passaggio aggiuntivo per eseguire il push dell'ACL di reindirizzamento agli access point in anticipo.
Passa a Configuration > Tags & Profiles > Flex
e scegliere il profilo Flex. Passare quindi alla Policy ACL
scheda.
Fare clic su Add
come mostrato nell'immagine.
Scegliere il nome dell'ACL di reindirizzamento e abilitare l'autenticazione Web centrale. Questa casella di controllo inverte automaticamente l'ACL sull'access point (in quanto un'istruzione 'deny' significa 'non reindirizzare a questo IP' sul WLC in Cisco IOS XE). Tuttavia, nell'AP l'istruzione 'deny' significa il contrario. Pertanto, questa casella di controllo scambia automaticamente tutti i permessi e li nega quando esegue il push nell'access point. È possibile verificare questa condizione con un show ip access list
dalla CLI).
Nota: nello scenario di switching locale per Flexconnect, l'ACL deve menzionare specificamente le istruzioni return (che non sono necessariamente richieste in modalità locale), in modo che tutte le regole ACL coprano entrambe le modalità di traffico (ad esempio, da e verso l'ISE).
Non dimenticare di premere Save
e poi Update and apply to the device
.
Certificati
Affinché il client consideri attendibile il certificato di autenticazione Web, non è necessario installare alcun certificato sul WLC, poiché l'unico certificato presentato è il certificato ISE (che deve essere considerato attendibile dal client).
Verifica
Usare questi comandi per verificare la configurazione corrente.
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Di seguito è riportata la parte pertinente della configurazione del WLC che corrisponde al presente esempio:
aaa new-model
!
aaa authorization network CWAauthz group radius
aaa accounting identity CWAacct start-stop group radius
!
aaa server radius dynamic-author
client <ISE-IP> server-key cisco123
!
aaa session-id common
!
!
radius server ISE-server
address ipv4 <ISE-IP> auth-port 1812 acct-port 1813
key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile
wireless profile policy default-policy-profile
aaa-override
nac
vlan 1416
no shutdown
wireless tag policy cwa-policy-tag
wlan cwa-ssid policy default-policy-profile
wlan cwa-ssid 4 cwa-ssid
mac-filtering CWAauthz
no security ft adaptive
no security wpa
no security wpa wpa2
no security wpa wpa2 ciphers aes
no security wpa akm dot1x
no shutdown
ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server
Risoluzione dei problemi
Elenco di controllo
- Verificare che il client si connetta e ottenga un indirizzo IP valido.
- Se il reindirizzamento non è automatico, aprire un browser e provare con un indirizzo IP casuale. Ad esempio, 10.0.0.1. Se il reindirizzamento funziona, è possibile che si sia verificato un problema di risoluzione DNS. Verificare di disporre di un server DNS valido fornito tramite DHCP e che sia in grado di risolvere i nomi host.
- Assicurarsi di disporre del comando
ip http server
configurato per il reindirizzamento su HTTP. La configurazione del portale di amministrazione Web è collegata alla configurazione del portale di autenticazione Web e deve essere elencata sulla porta 80 per poter essere reindirizzata. È possibile scegliere di attivarla globalmente (con il comando ip http server
) oppure attivare HTTP per solo modulo di autenticazione web (con l'uso del comando webauth-http-enable
nella mappa dei parametri).
- Se non si viene reindirizzati quando si tenta di accedere a un URL HTTPS e questo è necessario, verificare di disporre del comando
intercept-https-enable
nella mappa dei parametri:
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
È inoltre possibile verificare tramite la GUI che l'opzione 'Web Auth intercept HTTPS' sia selezionata nella mappa dei parametri:
Supporto porta servizio per RADIUS
Cisco Catalyst serie 9800 Wireless Controller ha una porta servizio che viene indicata come GigabitEthernet 0
port. A partire dalla versione 17.6.1, questa porta supporta RADIUS (che include CoA).
Se si desidera utilizzare la porta di servizio per RADIUS, è necessaria la configurazione seguente:
aaa server radius dynamic-author
client 10.48.39.28 vrf Mgmt-intf server-key cisco123
interface GigabitEthernet0
vrf forwarding Mgmt-intf
ip address x.x.x.x x.x.x.x
!if using aaa group server:
aaa group server radius group-name
server name nicoISE
ip vrf forwarding Mgmt-intf
ip radius source-interface GigabitEthernet0
Raccogli debug
WLC 9800 offre funzionalità di traccia ALWAYS-ON. In questo modo, tutti gli errori, gli avvisi e i messaggi relativi alla connettività del client vengono registrati costantemente ed è possibile visualizzare i registri relativi a un evento imprevisto o a una condizione di errore dopo che si è verificato.
Nota: è possibile tornare indietro di alcune ore a diversi giorni nei log, ma dipende dal volume dei log generati.
Per visualizzare le tracce raccolte per impostazione predefinita dal protocollo 9800 WLC, è possibile connettersi al protocollo 9800 WLC tramite SSH/Telnet e procedere come segue (accertarsi di registrare la sessione su un file di testo).
Passaggio 1. Controllare l'ora corrente del WLC in modo da poter tenere traccia dei log nel tempo che precede il momento in cui si è verificato il problema.
# show clock
Passaggio 2. Raccogliere i syslog dal buffer WLC o dal syslog esterno in base alla configurazione del sistema. In questo modo è possibile visualizzare rapidamente lo stato del sistema e gli eventuali errori.
# show logging
Passaggio 3. Verificare se sono abilitate le condizioni di debug.
# show debugging
Cisco IOS XE Conditional Debug Configs:
Conditional Debug Global State: Stop
Cisco IOS XE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Nota: se nell'elenco è presente una condizione, le tracce vengono registrate a livello di debug per tutti i processi che soddisfano le condizioni abilitate (indirizzo MAC, indirizzo IP e così via). In questo modo si aumenta il volume dei registri. Pertanto, si consiglia di cancellare tutte le condizioni quando non si esegue il debug attivo.
Passaggio 4. Supponendo che l'indirizzo MAC in fase di test non sia stato elencato come condizione nel passaggio 3., raccogliere le tracce del livello di avviso always on per l'indirizzo MAC specifico.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
È possibile visualizzare il contenuto della sessione oppure copiare il file su un server TFTP esterno.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Debug condizionale e traccia Radioactive (RA)
Se le tracce sempre attive non forniscono informazioni sufficienti per determinare il trigger del problema in esame, è possibile abilitare il debug condizionale e acquisire la traccia Radio attiva (RA), che fornisce le tracce a livello di debug per tutti i processi che interagiscono con la condizione specificata (in questo caso l'indirizzo MAC del client). Per abilitare il debug condizionale, procedere come segue.
Passaggio 5. Verificare che non vi siano condizioni di debug abilitate.
# clear platform condition all
Passaggio 6. Abilitare la condizione di debug per l'indirizzo MAC del client wireless che si desidera monitorare.
Questi comandi iniziano a monitorare l'indirizzo MAC fornito per 30 minuti (1800 secondi). È possibile aumentare questo tempo fino a 2085978494 secondi.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Nota: per monitorare più client alla volta, eseguire debug wireless mac
per indirizzo mac.
Nota: non è possibile visualizzare l'output dell'attività del client nella sessione terminale, in quanto tutto viene memorizzato internamente nel buffer per essere visualizzato successivamente.
Passaggio 7". Riprodurre il problema o il comportamento che si desidera monitorare.
Passaggio 8. Interrompere i debug se il problema viene riprodotto prima che il tempo di monitoraggio predefinito o configurato sia attivo.
# no debug wireless mac <aaaa.bbbb.cccc>
Allo scadere del tempo di monitoraggio o dopo aver interrotto il debug wireless, il WLC 9800 genera un file locale con il nome:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Passaggio 9. Raccogliere il file dell'attività dell'indirizzo MAC. È possibile copiare ra trace .log
su un server esterno o visualizzare l'output direttamente sullo schermo.
Controllare il nome del file delle tracce RA.
# dir bootflash: | inc ra_trace
Copiare il file su un server esterno:
# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Visualizzare il contenuto:
# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Passaggio 10. Se la causa principale non è ancora ovvia, raccogliere i log interni che offrono una visualizzazione più dettagliata dei log a livello di debug. non è necessario eseguire di nuovo il debug del client. Per ulteriori informazioni, vedere i log di debug già raccolti e archiviati internamente.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Nota: questo output del comando restituisce tracce per tutti i livelli di log per tutti i processi ed è piuttosto voluminoso. Coinvolgere Cisco TAC per analizzare queste tracce.
È possibile copiare ra-internal-FILENAME.txt
su un server esterno o visualizzare l'output direttamente sullo schermo.
Copiare il file su un server esterno:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Visualizzare il contenuto:
# more bootflash:ra-internal-<FILENAME>.txt
Passaggio 11. Rimuovere le condizioni di debug.
# clear platform condition all
Nota: assicurarsi di rimuovere sempre le condizioni di debug dopo una sessione di risoluzione dei problemi.
Esempi
Se il risultato dell'autenticazione non è quello previsto, è importante passare all'ISE Operations > Live logs
e ottenere i dettagli del risultato dell'autenticazione.
Viene visualizzato il motivo dell'errore (se si verifica un errore) e tutti gli attributi Radius ricevuti da ISE.
Nell'esempio seguente, ISE ha rifiutato l'autenticazione perché non ha trovato una regola di autorizzazione corrispondente. Questo perché l'attributo ID stazione chiamata viene inviato come nome SSID aggiunto all'indirizzo MAC dell'access point, mentre l'autorizzazione corrisponde esattamente al nome SSID. Viene corretto quando la regola viene modificata in 'contains' anziché 'equal'.
Dopo aver risolto questo problema, il client wifi non può ancora associarsi all'SSID mentre ISE dichiara che l'autorizzazione è riuscita e ha restituito gli attributi CWA corretti.
È possibile passare alla Troubleshooting > Radioactive trace
della pagina Web WLC.
nella maggior parte dei casi, è possibile fare affidamento sui log sempre attivi e persino ottenere log da tentativi di connessione precedenti senza la riproduzione del problema ancora una volta.
Aggiungere l'indirizzo MAC del client e fare clic su Generate
come mostrato nell'immagine.
In questo caso, il problema è che è stato digitato un nome ACL non corrispondente al nome ACL restituito dall'ISE oppure il WLC lamenta che non esiste alcun ACL come quello richiesto da ISE:
2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162 client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42,
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.