PEAP, ISE 2.1 및 WLC 8.3을 사용하여 802.1x 인증 구성

다운로드 옵션

  • PDF     (465.8 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (909.8 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (1.8 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2018년 10월 31일 (수)
문서 ID:201044

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 802.1x 보안 및 VLAN(Virtual Local Area Network) 재지정을 PEAP(Protected Extensible Authentication Protocol)로 EAP(Extensible Authentication Protocol)로 설정하는 방법을 설명합니다.

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • 802.1x
    • PEAP
    • 인증 기관(CA)
    • 인증서

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • WLC v8.3.102.0
    • ISE(Identity Service Engine) v2.1
    • Windows 10 랩톱 

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    구성

    네트워크 다이어그램

    201044-802-1x-authentication-with-PEAP-ISE-2-1-00.jpeg

    구성

    일반적인 단계는 다음과 같습니다.

    1. WLC에서 RADIUS 서버를 선언하거나 그 반대로 서로 통신을 허용합니다.
    2. WLC에서 SSID(Service Set Identifier)를 생성합니다.
    3. ISE에서 인증 규칙을 생성합니다.
    4. ISE에서 권한 부여 프로파일을 생성합니다.
    5. ISE에서 권한 부여 규칙을 생성합니다.
    6. 엔드포인트를 구성합니다.

    WLC에서 RADIUS 서버 선언

    RADIUS 서버와 WLC 간의 통신을 허용하려면 WLC에 RADIUS 서버를 등록하거나 그 반대로 해야 합니다.

    GUI:

    1단계. WLC의 GUI를 열고 이미지에 표시된 대로 SECURITY > RADIUS > Authentication > New로 이동합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-01.png

    2단계. 이미지에 표시된 대로 RADIUS 서버 정보를 입력합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-02.png

    CLI:

    > config radius auth add <index> <a.b.c.d> 1812 ascii <shared-key>
> config radius auth disable <index>
> config radius auth retransmit-timeout <index> <timeout-seconds>
> config radius auth enable <index>

    <a.b.c.d>는 RADIUS 서버에 해당합니다.

    SSID 생성

    GUI:

    1단계. WLC의 GUI를 열고 이미지에 표시된 대로 WLANs > Create New > Go로 이동합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-03.png

    2단계. SSID 및 프로파일의 이름을 선택한 다음 이미지 표시된 대로 Apply를 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-04.png

    CLI:

    > config wlan create <id> <profile-name> <ssid-name>

    3단계. WLAN에 RADIUS 서버를 할당합니다.

    CLI:

    > config wlan radius_server auth add <wlan-id> <radius-index>

    GUI:

    Security(보안) > AAA Servers(AAA 서버)로 이동하고 원하는 RADIUS 서버를 선택한 다음 이미지에 표시된 대로 Apply(적용)를 누릅니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-05.png

      

    4단계. Allow AAA Override(AAA 재정의 허용)를 활성화하고 선택적으로 세션 시간 제한을 늘립니다.

    CLI:

    > config wlan aaa-override enable <wlan-id> 
    > config wlan session-timeout <wlan-id> <session-timeout-seconds>

    GUI:

    WLANs(WLAN) > WLAN ID(WLAN ID) > Advanced(고급)로 이동하고 Allow AAA Override(AAA 재정의 허용)를 활성화하며, 선택적으로 이미지에 표시된 대로 세션 시간 제한을 지정합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-06.png

    5단계. WLAN을 활성화합니다.

    CLI:

    > config wlan enable <wlan-id>

    GUI:

    WLANs(WLANs) > WLAN ID(WLAN ID) > General(일반)으로 이동하고 이미지에 표시된 대로 SSID를 활성화합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-07.png

    ISE에서 WLC 선언

    1단계. ISE 콘솔을 열고 이미지에 표시된 대로 Administration(관리) > Network Resources(네트워크 리소스) > Network Devices(네트워크 디바이스) > Add(추가)로 이동합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-08.png

    2단계. 값을 입력합니다.

    선택적으로, 지정된 모델 이름, 소프트웨어 버전, 설명이 될 수 있으며 디바이스 유형, 위치 또는 WLC에 따라 네트워크 디바이스 그룹을 할당할 수 있습니다.

    a.b.c.d는 요청된 인증을 전송하는 WLC의 인터페이스에 해당합니다.기본적으로 이미지에 표시된 관리 인터페이스입니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-09.png

    네트워크 디바이스 그룹에 대한 자세한 내용은 다음 링크를 참조하십시오.

    ISE - 네트워크 디바이스 그룹

    ISE에서 새 사용자 생성

    1단계. 이미지에 표시된 대로 관리 > 신원 관리 > ID > 사용자 > 추가로 이동합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-10.png

    2단계. 정보를 입력합니다.

    이 예에서는 이 사용자가 ALL_ACCOUNTS라는 그룹에 속하지만 이미지에 표시된 대로 필요에 따라 조정할 수 있습니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-11.png

    인증 규칙 생성

    인증 규칙은 사용자의 자격 증명이 올바른지 확인하고(사용자가 실제로 자신이 누구인지 확인), 사용자가 사용할 수 있는 인증 방법을 제한하는 데 사용됩니다.

    1단계. 이미지에 표시된 대로 Policy(정책) > Authentication(인증)으로 이동합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-12.png

    2단계. 이미지에 표시된 대로 새 인증 규칙을 삽입합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-13.jpeg

    3단계. 값을 입력합니다.

    이 인증 규칙은 Default Network Access(기본 네트워크 액세스) 목록 아래에 나열된 모든 프로토콜을 허용합니다. 이는 Wireless 802.1x 클라이언트 및 Called-Station-ID에 대한 인증 요청에 적용되며 이미지에 표시된 대로 ise-ssid로 끝납니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-14.png

    또한 이 인증 규칙과 일치하는 클라이언트의 ID 소스를 선택합니다.이 예에서는 이미지에 표시된 대로 내부 사용자 ID 소스 목록을 사용합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-15.png

    완료되면 완료 및 이미지에 표시된 대로 저장을 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-16.png

    Allow Protocols Policies(프로토콜 정책 허용)에 대한 자세한 내용은 다음 링크를 참조하십시오.

    허용되는 프로토콜 서비스

    ID 소스에 대한 자세한 내용은 다음 링크를 참조하십시오.

    사용자 ID 그룹 생성

    권한 부여 프로파일 생성

    권한 부여 프로파일은 클라이언트가 네트워크에 액세스할 수 있는지 여부, ACL(Access Control Lists) 푸시, VLAN 재정의 또는 기타 매개변수를 결정합니다.이 예에 표시된 권한 부여 프로파일은 클라이언트에 대한 액세스 승인을 전송하고 클라이언트를 VLAN 2404에 할당합니다.

    1단계. 이미지에 표시된 대로 정책 > 정책 요소 > 결과로 이동합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-17.png

    2단계. 새 권한 부여 프로파일을 추가합니다.이미지에 표시된 대로 Authorization > Authorization Profiles > Add로 이동합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-18.png

    3단계. 이미지에 표시된 대로 값을 입력합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-19.png

    권한 부여 규칙 생성

    권한 부여 규칙은 어떤 권한(어떤 권한 부여 프로파일) 결과가 클라이언트에 적용되는지 결정하는 담당자입니다.

    1단계. 이미지에 표시된 대로 Policy(정책) > Authorization(권한 부여)으로 이동합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-20.png

    2단계. 이미지에 표시된 대로 새 규칙을 삽입합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-21.png

    3단계. 값을 입력합니다.

    먼저, 이미지에 표시된 대로 규칙 이름과 사용자가 저장된 ID 그룹(ALL_ACCOUNTS)을 선택합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-22.png

    그런 다음 권한 부여 프로세스를 수행하는 다른 조건을 선택하여 이 규칙에 속합니다.이 예에서 권한 부여 프로세스는 802.1x Wireless를 사용하고 이미지에 표시된 ise-ssid로 명명된 스테이션 ID를 사용하는 경우 이 규칙에 적용됩니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-23.png

    마지막으로, 해당 규칙을 적중시킨 클라이언트에 할당된 권한 부여 프로파일을 선택하고 Done을 클릭하고 이미지에 표시된 대로 저장합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-24.png

    엔드 디바이스 구성

    802.1x 인증 및 PEAP/MS-CHAPv2(Microsoft 버전의 Challenge-Handshake Authentication Protocol) 버전 2를 사용하여 SSID에 연결하도록 랩톱 Windows 10 시스템을 구성합니다.

    이 컨피그레이션 예에서 ISE는 자체 서명 인증서를 사용하여 인증을 수행합니다.

    Windows 시스템에서 WLAN 프로파일을 생성하려면 다음 두 가지 옵션이 있습니다.

    1. 인증을 완료하기 위해 ISE 서버를 검증하고 신뢰하도록 시스템에 자체 서명 인증서를 설치합니다.
    2. RADIUS 서버의 검증을 건너뛰고 인증을 수행하는 데 사용되는 모든 RADIUS 서버를 신뢰합니다(보안 문제가 될 수 있으므로 권장하지 않음).

    이러한 옵션에 대한 컨피그레이션은 엔드 디바이스 컨피그레이션 - Create the WLAN Profile - 7단계에서 설명합니다.

    최종 디바이스 컨피그레이션 - ISE 자체 서명 인증서 설치

    1단계. 자체 서명 인증서를 내보냅니다.

    ISE에 로그인하고 Administration(관리) > System(시스템) > Certificates(인증서) > System Certificates(시스템 인증서)로 이동합니다.

    그런 다음 EAP 인증에 사용되는 인증서 선택하고 이미지에 표시된 대로 Export(내보내기)를 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-25.png

    필요한 위치에 인증서를 저장합니다.이 인증서는 이미지에 표시된 대로 Windows 시스템에 설치해야 합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-26.png

    2단계. Windows 시스템에 인증서를 설치합니다.

    ISE에서 Windows 시스템으로 내보낸 인증서를 복사하고, 파일 확장명을 .pem에서 .crt로 변경한 후 이미지에 표시된 대로 설치하기 위해 두 번 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-27.png

    3단계. Local Machine(로컬 머신)에서 설치를 선택하고 이미지에 표시된 대로 Next(다음)를 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-28.png

    4단계. 다음 저장소에 모든 인증서를 넣기를 선택한 다음 신뢰할 수 있는 루트 인증 기관을 찾아 선택합니다.그런 다음 이미지에 표시된 대로 Next를 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-29.png

    5단계. 이미지에 표시된 대로 마침을 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-30.png

    6단계. 인증서 설치를 확인하고 이미지에 표시된 를 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-31.png

    7단계. 마지막으로 이미지에 표시된 대로 확인을 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-32.png

    엔드 디바이스 컨피그레이션 - WLAN 프로파일 생성

    1단계. 시작 아이콘을 마우스 오른쪽 버튼으로 클릭하고 이미지에 표시된 대로 제어판을 선택합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-33.png

    2단계. 네트워크 및 인터넷으로 이동한 후 네트워크 및 공유 센터로 이동하고 이미지 표시된 대로 새 연결 또는 네트워크 설정을 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-34.png

    3단계. 무선 네트워크에 수동으로 연결을 선택하고 이미지에 표시된 대로 다음을 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-35.png

    4단계. SSID 및 보안 유형 WPA2-Enterprise의 이름으로 정보를 입력하고 이미지에 표시된 대로 Next(다음)를 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-36.png

    5단계. 이미지에 표시된 대로 WLAN 프로파일 컨피그레이션을 사용자 지정하려면 연결 설정 변경을 선택합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-37.png

    6단계. 보안 탭으로 이동하고 이미지에 표시된 대로 설정을 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-38.png

    7단계. RADIUS 서버의 유효성을 검사했는지 여부를 선택합니다.

    대답이 "예"인 경우 인증서 신뢰할 수 있는 루트 인증 기관에서 인증서를 검증하여 서버 ID 확인을 활성화합니다.list ISE의 자체 서명 인증서를 선택합니다.

    그런 다음 Configure and disable Automatically use my Windows logon name and password...를 선택하고 이미지 표시된 대로 OK(확인)를 클릭합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-39.png

    201044-802-1x-authentication-with-PEAP-ISE-2-1-40.png

    8단계. 사용자 자격 증명을 구성합니다.

    Security(보안) 탭으로 돌아간 후 Advanced(고급) 설정을 선택하고 인증 모드를 User authentication(사용자 인증)으로 지정하고 이미지에 표시된 대로 사용자를 인증하기 위해 ISE에 구성된 자격 증명을 저장합니다. 

    201044-802-1x-authentication-with-PEAP-ISE-2-1-41.png

    201044-802-1x-authentication-with-PEAP-ISE-2-1-42.png

    201044-802-1x-authentication-with-PEAP-ISE-2-1-43.png

    다음을 확인합니다.

    이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

    인증 흐름은 WLC 또는 ISE 관점에서 확인할 수 있습니다.

    WLC의 인증 프로세스

    특정 사용자에 대한 인증 프로세스를 모니터링하려면 다음 명령을 실행합니다.

    > debug client <mac-add-client>
> debug dot1x event enable
> debug dot1x aaa enable

    성공적인 인증의 예(일부 출력이 생략됨):

    *apfMsConnTask_1: Nov 24 04:30:44.317: e4:b3:18:7c:30:58 Processing assoc-req station:e4:b3:18:7c:30:58 AP:00:c8:8b:26:2c:d0-00 thread:1a5cc288
*apfMsConnTask_1: Nov 24 04:30:44.317: e4:b3:18:7c:30:58 Reassociation received from mobile on BSSID 00:c8:8b:26:2c:d1 AP AP-1700-sniffer
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 Applying Interface(management) policy on Mobile, role Unassociated. Ms NAC State 0 Quarantine Vlan 0 Access Vlan 0
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 Applying site-specific Local Bridging override for station e4:b3:18:7c:30:58 - vapId 2, site 'default-group', interface 'management'
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 Applying Local Bridging Interface Policy for station e4:b3:18:7c:30:58 - vlan 2400, interface id 0, interface 'management'
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 RSN Capabilities:  60
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 Marking Mobile as non-e4:b3:18:7c:30:58 Received 802.11i 802.1X key management suite, enabling dot1x Authentication11w Capable
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 Received RSN IE with 1 PMKIDs from mobile e4:b3:18:7c:30:58
*apfMsConnTask_1: Nov 24 04:30:44.319: Received PMKID:  (16)
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 Searching for PMKID in MSCB PMKID cache for mobile e4:b3:18:7c:30:58
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 No valid PMKID found in the MSCB PMKID cache for mobile e4:b3:18:7c:30:58
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 0.0.0.0 START (0) Initializing policy
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state START (0)
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state AUTHCHECK (2)
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 0.0.0.0 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 00:c8:8b:26:2c:d0 vapId 2 apVapId 2 flex-acl-name:
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 apfMsAssoStateInc
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 apfPemAddUser2 (apf_policy.c:437) Changing state for mobile e4:b3:18:7c:30:58 on AP 00:c8:8b:26:2c:d0 from Idle to Associated
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 apfPemAddUser2:session timeout forstation e4:b3:18:7c:30:58 - Session Tout 0, apfMsTimeOut '0' and sessionTimerRunning flag is  0
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 Stopping deletion of Mobile Station: (callerId: 48)
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 Func: apfPemAddUser2, Ms Timeout = 0, Session Timeout = 0
*apfMsConnTask_1: Nov 24 04:30:44.320: e4:b3:18:7c:30:58 Sending Assoc Response to station on BSSID 00:c8:8b:26:2c:d1 (status 0) ApVapId 2 Slot 0
*spamApTask2: Nov 24 04:30:44.323: e4:b3:18:7c:30:58 Successful transmission of LWAPP Add-Mobile to AP 00:c8:8b:26:2c:d0
*spamApTask2: Nov 24 04:30:44.325: e4:b3:18:7c:30:58 Received ADD_MOBILE ack - Initiating 1x to STA e4:b3:18:7c:30:58 (idx 55)
*spamApTask2: Nov 24 04:30:44.325: e4:b3:18:7c:30:58 Sent dot1x auth initiate message for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 reauth_sm state transition 0 ---> 1 for mobile e4:b3:18:7c:30:58 at 1x_reauth_sm.c:47
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 EAP-PARAM Debug - eap-params for Wlan-Id :2 is disabled - applying Global eap timers and retries
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 Disable re-auth, use PMK lifetime.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 Station e4:b3:18:7c:30:58 setting dot1x reauth timeout = 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 Stopping reauth timeout for e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 dot1x - moving mobile e4:b3:18:7c:30:58 into Connecting state
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 Sending EAP-Request/Identity to mobile e4:b3:18:7c:30:58 (EAP Id 1)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 Received EAPOL EAPPKT from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 Received Identity Response (count=1) from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 Resetting reauth count 1 to 0 for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 EAP State update from Connecting to Authenticating for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 dot1x - moving mobile e4:b3:18:7c:30:58 into Authenticating state
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 Entering Backend Auth Response state for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 Created Acct-Session-ID (58366cf4/e4:b3:18:7c:30:58/367) for the mobile
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.386: e4:b3:18:7c:30:58 Processing Access-Challenge for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.387: e4:b3:18:7c:30:58 Entering Backend Auth Req state (id=215) for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.387: e4:b3:18:7c:30:58 WARNING: updated EAP-Identifier 1 ===> 215 for STA e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.387: e4:b3:18:7c:30:58 Sending EAP Request from AAA to mobile e4:b3:18:7c:30:58 (EAP Id 215)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.387: e4:b3:18:7c:30:58 Allocating EAP Pkt for retransmission to mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.390: e4:b3:18:7c:30:58 Received EAPOL EAPPKT from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.390: e4:b3:18:7c:30:58 Received EAP Response from mobile e4:b3:18:7c:30:58 (EAP Id 215, EAP Type 3)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.390: e4:b3:18:7c:30:58 Resetting reauth count 0 to 0 for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.390: e4:b3:18:7c:30:58 Entering Backend Auth Response state for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.393: e4:b3:18:7c:30:58 Processing Access-Challenge for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.393: e4:b3:18:7c:30:58 Entering Backend Auth Req state (id=216) for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.393: e4:b3:18:7c:30:58 Sending EAP Request from AAA to mobile e4:b3:18:7c:30:58 (EAP Id 216)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.393: e4:b3:18:7c:30:58 Reusing allocated memory for  EAP Pkt for retransmission to mobile e4:b3:18:7c:30:58
.
.
.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Processing Access-Accept for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Resetting web IPv4 acl from 255 to 255
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Resetting web IPv4 Flex acl from 65535 to 65535
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Username entry (user1) created for mobile, length = 253
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Found an interface name:'vlan2404' corresponds to interface name received: vlan2404
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 override for default ap group, marking intgrp NULL
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Applying Interface(management) policy on Mobile, role Unassociated. Ms NAC State 2 Quarantine Vlan 0 Access Vlan 2400
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Re-applying interface policy for client
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 apfApplyWlanPolicy: Apply WLAN Policy over PMIPv6 Client Mobility Type, Tunnel User - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Inserting AAA Override struct for mobile
        MAC: e4:b3:18:7c:30:58, source 4
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Applying override policy from source Override Summation: with value 200
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Found an interface name:'vlan2404' corresponds to interface name received: vlan2404
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Applying Interface(vlan2404) policy on Mobile, role Unassociated. Ms NAC State 2 Quarantine Vlan 0 Access Vlan 2400
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Re-applying interface policy for client
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Setting re-auth timeout to 0 seconds, got from WLAN config.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Station e4:b3:18:7c:30:58 setting dot1x reauth timeout = 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Stopping reauth timeout for e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Creating a PKC PMKID Cache entry for station e4:b3:18:7c:30:58 (RSN 2)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Resetting MSCB PMK Cache Entry 0 for station e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Adding BSSID 00:c8:8b:26:2c:d1 to PMKID cache at index 0 for station e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: New PMKID: (16)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531:      [0000] cc 3a 3d 26 80 17 8b f1 2d c5 cd fd a0 8a c4 39
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 unsetting PmkIdValidatedByAp
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Updating AAA Overrides from local for station
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Adding Audit session ID payload in Mobility handoff
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 0 PMK-update groupcast messages sent
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 PMK sent to mobility group
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Disabling re-auth since PMK lifetime can take care of same.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Sending EAP-Success to mobile e4:b3:18:7c:30:58 (EAP Id 223)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Freeing AAACB from Dot1xCB as AAA auth is done for  mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 key Desc Version FT - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Found an cache entry for BSSID 00:c8:8b:26:2c:d1 in PMKID cache at index 0 of station e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: Including PMKID in M1  (16)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532:      [0000] cc 3a 3d 26 80 17 8b f1 2d c5 cd fd a0 8a c4 39
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: M1 - Key Data: (22)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532:      [0000] dd 14 00 0f ac 04 cc 3a 3d 26 80 17 8b f1 2d c5
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532:      [0016] cd fd a0 8a c4 39
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Starting key exchange to mobile e4:b3:18:7c:30:58, data packets will be dropped
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Sending EAPOL-Key Message to mobile e4:b3:18:7c:30:58
state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Reusing allocated memory for  EAP Pkt for retransmission to mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Entering Backend Auth Success state (id=223) for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Received Auth Success while in Authenticating state for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 dot1x - moving mobile e4:b3:18:7c:30:58 into Authenticated state
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.547: e4:b3:18:7c:30:58 Received EAPOL-Key from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.547: e4:b3:18:7c:30:58 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.547: e4:b3:18:7c:30:58 key Desc Version FT - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.547: e4:b3:18:7c:30:58 Received EAPOL-key in PTK_START state (message 2) from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Successfully computed PTK from PMK!!!
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Received valid MIC in EAPOL Key Message M2!!!!!
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Not Flex client. Do not distribute PMK Key cache.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Stopping retransmission timer for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 key Desc Version FT - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Sending EAPOL-Key Message to mobile e4:b3:18:7c:30:58
state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Reusing allocated memory for  EAP Pkt for retransmission to mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Received EAPOL-Key from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 key Desc Version FT - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Stopping retransmission timer for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Freeing EAP Retransmit Bufer for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 apfMs1xStateInc
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 apfMsPeapSimReqCntInc
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 apfMsPeapSimReqSuccessCntInc
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Mobility query, PEM State: L2AUTHCOMPLETE
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Building Mobile Announce :
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58   Building Client Payload:
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58     Client Ip: 0.0.0.0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58     Client Vlan Ip: 172.16.0.134, Vlan mask : 255.255.255.224
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58     Client Vap Security: 16384
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58     Virtual Ip: 7.7.7.7
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58     ssid: ise-ssid
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58   Building VlanIpPayload.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Not Using WMM Compliance code qosCap 00
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:c8:8b:26:2c:d0 vapId 2 apVapId 2 flex-acl-name:
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state L2AUTHCOMPLETE (4)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6677, Adding TMP rule
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule
  type = Airespace AP - Learn IP address
  on AP 00:c8:8b:26:2c:d0, slot 0, interface = 1, QOS = 0
  IPv4 ACL ID = 255, IPv
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 12  Local Bridging Vlan = 2400, Local Bridging intf id = 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 0, AppToken = 15206  AverageRate = 0, BurstRate = 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Successfully Plumbed PTK session Keysfor mobile e4:b3:18:7c:30:58
*spamApTask2: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Successful transmission of LWAPP Add-Mobile to AP 00:c8:8b:26:2c:d0
*pemReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) mobility role update request from Unassociated to Local
  Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 172.16.0.3
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=Local, client state=APF_MS_STATE_ASSOCIATED
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6315, Adding TMP rule
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Replacing Fast Path rule
  IPv4 ACL ID = 255,
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 12  Local Bridging Vlan = 2400, Local Bridging intf id = 0
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 0, AppToken = 15206  AverageRate = 0, BurstRate = 0
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255)
*pemReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 Sent an XID frame
*dtlArpTask: Nov 24 04:30:47.932: e4:b3:18:7c:30:58 Static IP client associated to interface vlan2404 which can support client subnet.
*dtlArpTask: Nov 24 04:30:47.933: e4:b3:18:7c:30:58 apfMsRunStateInc
*dtlArpTask: Nov 24 04:30:47.933: e4:b3:18:7c:30:58 172.16.0.151 DHCP_REQD (7) Change state to RUN (20) last state DHCP_REQD (7)

    디버그 클라이언트 출력을 쉽게 읽을 수 있도록 무선 디버그 분석기 도구를 사용합니다.

    무선 디버그 분석기

    ISE의 인증 프로세스

    Operations(작업) > RADIUS > Live Logs(라이브 로그)로 이동하여 사용자에게 할당된 인증 정책, 권한 부여 정책 및 권한 부여 프로파일을 확인합니다. 

    자세한 내용을 보려면 Details(세부 정보)를 클릭하여 이미지에 표시된 대로 더 자세한 인증 프로세스를 확인합니다.

    201044-802-1x-authentication-with-PEAP-ISE-2-1-44.png

    문제 해결

    현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.

    TAC Authored

    Cisco 엔지니어가 작성

    • Karla Cisneros Galvan
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품