Dit document biedt een configuratievoorbeeld voor een gastopcontact (WLAN) en een beveiligde interne WLAN-controller die WLAN-controllers (WLC’s) en lichtgewicht access points (LAP’s) gebruiken. In de configuratie in dit document gebruikt de gastWLAN’s web-verificatie om gebruikers te authentiseren en gebruikt de beveiligde interne WLAN-verificatie van het Extensible Authentication Protocol (EAP).
Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:
Kennis van de manier waarop u de WLC kunt configureren met fundamentele parameters
Kennis van het instellen van een DHCP- en Domain Name System (DNS)-server
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco WLC van 2006 dat met firmware release 4.0 werkt
Cisco 1000 Series LAP
Cisco 802.11a/b/g draadloze clientadapter voor firmware release 2.6
Cisco 2811 router met Cisco IOS® versie 12.4(2)XA
Cisco 3500 XL Series Switch met Cisco IOS-versie 12.0(5)WC3b
DNS-server die op een Microsoft Windows 2000-server draait
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Het configuratievoorbeeld in dit document gebruikt de instellingen die in dit diagram worden weergegeven. De LAP is geregistreerd bij de WLC. De WLC is aangesloten op Layer 2 switch. De router die de gebruikers aan WAN verbindt sluit ook aan op Layer 2 switch. U moet twee WLAN’s maken, één voor de gastgebruikers en de andere voor de interne LAN-gebruikers. U hebt ook een DHCP-server nodig om IP-adressen voor de gast en interne draadloze client te bieden. De gastgebruikers gebruiken web authenticatie om toegang tot het netwerk te krijgen. De interne gebruikers maken gebruik van MAP-authenticatie. De router van 2811 handelt ook als de server van DHCP voor de draadloze cliënten.
N.B.: Dit document gaat ervan uit dat de WLC is geconfigureerd met de fundamentele parameters en dat de LAP is geregistreerd op de WLC. Raadpleeg Lichtgewicht AP (LAP)-registratie naar een draadloze LAN-controller (WLC) voor informatie over het configureren van de basisparameters op een WLC en hoe u de LAP naar WLC kunt registreren.
Wanneer geconfigureerd als een DHCP-server, ondersteunen sommige firewalls geen DHCP-verzoeken van een relaisagent. De WLC is een tussenpersoon voor de cliënt. De firewall die als een server van DHCP wordt gevormd negeert deze verzoeken. Clients moeten rechtstreeks zijn aangesloten op de firewall en kunnen geen verzoeken via een andere relais-agent of router verzenden. De firewall kan als een eenvoudige DHCP-server werken voor interne hosts die direct met deze server verbonden zijn. Hierdoor kan de firewall zijn tabel behouden op basis van de MAC-adressen die direct zijn aangesloten en die hij kan zien. Dit is waarom een poging om adressen van een DHCP-relais toe te wijzen niet beschikbaar is en de pakketten worden verworpen. PIX-firewall heeft deze beperking.
Voltooi deze stappen om de apparaten voor deze netwerkinstelling te configureren:
Dynamische interfaces op de WLC configureren voor de Guest en de interne gebruikers
Configuratie van Layer 2 Switch Port die op de WLC aangesloten is als Trunk-poort
De eerste stap is het maken van twee dynamische interfaces op de WLC, één voor de gastgebruikers en één voor de interne gebruikers.
Het voorbeeld in dit document gebruikt deze parameters en waarden voor de dynamische interfaces:
Guest-WLAN Internal-WLAN VLAN Id : 10 VLAN Id : 20 IP address: 10.0.0.10 IP address: 20.0.0.10 Netmask: 255.0.0.0 Netmask: 255.0.0.0 Gateway: 10.0.0.50 Gateway: 20.0.0.50 Physical port on WLC: 1 Physical port on WLC: 1 DHCP server: 172.16.1.60 DHCP server: 172.16.1.60
Voer de volgende stappen uit:
Kies in de WLC GUI, controllers > interfaces.
Het venster Interfaces verschijnt. Dit venster toont de interfaces die op de controller zijn ingesteld. Dit omvat de standaardinterfaces, die de interface van het beheer, de verbinding van de manager, de virtuele interface en de interface van de servicepoort en de door de gebruiker gedefinieerde dynamische interfaces zijn.
Klik op Nieuw om een nieuwe dynamische interface te maken.
In het venster Interfaces > Nieuw voert u de interfacenaam en de VLAN-id in. Klik vervolgens op Toepassen.
In dit voorbeeld wordt de dynamische interface Guest-WLAN genoemd en wordt de VLAN-id toegewezen 10.
In het venster Interfaces > Bewerken voor de dynamische interface voert u het IP-adres, het subnetmasker en de standaardgateway in. Pas het aan een fysieke poort op WLC toe, en voer het IP adres van de DHCP-server in. Klik vervolgens op Toepassen.
Dit is het voorbeeld:
Dezelfde procedure moet worden voltooid om een dynamische interface voor de interne WLAN’s te maken.
In het venster Interfaces > New, voer Intern-WLAN in voor de dynamische interface voor de interne gebruikers en voer 20 voor de VLAN-id in. Klik vervolgens op Toepassen.
In het venster Interfaces > Bewerken voor de dynamische interface voert u het IP-adres, het subnetmasker en de standaardgateway in. Pas het aan een fysieke poort op WLC toe, en voer het IP adres van de DHCP-server in. Klik vervolgens op Toepassen.
Nu twee dynamische interfaces worden gecreëerd, vat het venster Interfaces de lijst samen van interfaces die op de controller zijn geconfigureerd.
De volgende stap is WLAN’s te maken voor de gastgebruikers en de interne gebruikers en de dynamische interface naar de WLAN’s in kaart te brengen. Tevens moeten de beveiligingsmethoden worden gedefinieerd die worden gebruikt om de gast- en draadloze gebruikers voor authentiek te verklaren. Voer de volgende stappen uit:
Klik op WLAN’s van de controller GUI om een WLAN-functie te maken.
Het WLAN-venster verschijnt. Dit venster toont de WLAN’s die op de controller zijn geconfigureerd.
Klik op New om een nieuwe WLAN te configureren.
In dit voorbeeld, wordt WLAN genoemd Guest en de WLAN-id is 2.
Klik op Toepassen in de rechterbovenhoek.
Het WLAN > Bewerken scherm verschijnt, dat verschillende tabbladen bevat.
Kies onder het tabblad General voor de gast WLAN een gastenplan uit het veld Interfacenaam. Dit brengt de dynamische interface gast-WLAN in kaart die eerder aan de WLAN-gast was gemaakt.
Zorg dat de status van WLAN is ingeschakeld.
Klik op het tabblad Beveiliging. Voor dit WLAN wordt Web Verificatie een Layer 3 security mechanisme gebruikt om klanten voor authentiek te verklaren. Kies daarom Geen onder het veld Layer 2 security. In het veld Layer 3 Security controleert u het vakje Web Policy en kiest u de optie Verificatie.
N.B.: Raadpleeg voor meer informatie over webverificatie het voorbeeld van de configuratie van draadloze LAN-controllers.
Klik op Apply (Toepassen).
Maak een WLAN voor de interne gebruikers. Voer in het WLAN’s > Nieuw venster intern in en kies 3 om een WLAN voor de interne gebruikers te maken. Klik vervolgens op Toepassen.
Het WLAN’s > Bewerken venster verschijnt. Selecteer onder het tabblad Algemeen de optie intern-netwerk in het veld Naam interface.
Dit brengt het dynamische interface intern-netwerk in kaart dat eerder aan het WLAN intern werd gecreëerd. Zorg dat de WLAN-functie is ingeschakeld.
Laat de optie Layer 2 security op de standaardwaarde 802.1x staan omdat EAP-verificatie voor de interne WLAN-gebruikers wordt gebruikt.
Klik op Apply (Toepassen).
Het WLAN-venster wordt weergegeven en toont de lijst van WLAN’s die worden gecreëerd.
Opmerking: Raadpleeg EAP-verificatie met WLAN-controllers (WLC) Configuratievoorbeeld voor meer gedetailleerde informatie over de manier waarop u een EAP-gebaseerde WLAN met WLC’s kunt configureren.
Klik in de WLC GUI op Save Configuration en klik vervolgens op Opdrachten vanuit de controller GUI. Kies vervolgens de optie Herstart om de WLC opnieuw op te starten zodat web authenticatie mogelijk wordt.
N.B.: Klik op Save Configuration om de configuratie in geval van herstart op te slaan.
U moet de poort van de switch configureren om de meerdere VLAN’s te ondersteunen die ingesteld zijn op de WLC omdat de WLC is aangesloten op een Layer 2-switch. U moet de poort van de switch configureren als een 802.1Q startpoort.
Elke controller-poortverbinding is een 802.1Q stam en moet als volgt worden geconfigureerd op de buurswitch. Op Cisco switches, het inheemse VLAN van een 802.1Q stam, bijvoorbeeld VLAN 1, wordt niet gelabeld. Daarom, als u de interface van een controller configureren om het native VLAN op een nabijgelegen Cisco-switch te gebruiken, zorg er dan voor dat u de interface op de controller als niet-getagd configureren.
Een nul waarde voor de VLAN-identifier (in het venster Controller > Interfaces) betekent dat de interface niet wordt getagd. In het voorbeeld in dit document worden de AP-Manager en Management Interfaces ingesteld in het standaard niet-gelabeld VLAN.
Wanneer een controller-interface op een niet-nulwaarde is ingesteld, mag deze niet worden gelabeld aan het native VLAN van de switch en moet het VLAN op de switch zijn toegestaan. In dit voorbeeld wordt VLAN 60 geconfigureerd als het native VLAN in de switch poort die wordt aangesloten op de controller.
Dit is de configuratie voor de switch poort die op de WLC wordt aangesloten:
interface f0/12 Description Connected to the WLC switchport trunk encapsulation dot1q switchport trunk native vlan 60 switchport trunk allowed vlan 10,20,60 switchport mode trunk no ip address
Dit is de configuratie voor de poort van de switch die op de router als boompoort verbindt:
interface f0/10 Description Connected to the Router switchport trunk encapsulation dot1q switchport trunk native vlan 60 switchport trunk allowed vlan 10,20,60 switchport mode trunk no ip address
Dit is de configuratie voor de switch poort die op de LAP wordt aangesloten. Deze poort is ingesteld als een toegangspoort:
interface f0/9 Description Connected to the LAP Switchport access vlan 60 switchport mode access no ip address
In het voorbeeld in dit document, sluit de router van 2811 de gastgebruikers aan op het internet en verbindt ook de interne verbonden gebruikers met de interne draadloze gebruikers. U moet ook de router configureren om DHCP-services te leveren.
Op de router, creeer sub-interfaces onder de FastEthernet interface die aan de boomstampoort op de switch voor elk VLAN verbindt. Pas de subinterfaces aan de corresponderende VLAN’s en configureren een IP-adres vanuit de respectievelijke subnetwerken.
Opmerking: er worden alleen relevante delen van de routerconfiguratie gegeven en niet de volledige configuratie.
Dit is de configuratie die op de router vereist is om dit te bereiken.
Dit zijn de opdrachten die moeten worden verstrekt om de DHCP-services op de router te configureren:
! ip dhcp excluded-address 10.0.0.10 !--- IP excluded because this IP is assigned to the dynamic !--- interface created on the WLC. ip dhcp excluded-address 10.0.0.50 !--- IP excluded because this IP is assigned to the !--- sub-interface on the router. ip dhcp excluded-address 20.0.0.10 !--- IP excluded because this IP is assigned to the dynamic !--- interface created on the WLC. ip dhcp excluded-address 20.0.0.50 !--- IP excluded because this IP is assigned to the sub-interface on the router. ! ip dhcp pool Guest !--- Creates a DHCP pool for the guest users. network 10.0.0.0 255.0.0.0 default-router 10.0.0.50 dns-server 172.16.1.1 !--- Defines the DNS server. ! ip dhcp pool Internal network 20.0.0.0 255.0.0.0 default-router 20.0.0.50 !--- Creates a DHCP pool for the internal users. !
Deze opdrachten moeten worden verstrekt op de FastEthernet-interface voor de voorbeeldinstelling:
! interface FastEthernet0/0 description Connected to L2 Switch ip address 172.16.1.60 255.255.0.0 duplex auto speed auto !--- Interface connected to the Layer 2 switch. ! interface FastEthernet0/0.1 description Guest VLAN encapsulation dot1Q 10 ip address 10.0.0.50 255.0.0.0 !--- Creates a sub-interface under FastEthernet0/0 for the guest VLAN. ! interface FastEthernet0/0.2 description Internal VLAN encapsulation dot1Q 20 ip address 20.0.0.50 255.0.0.0 !--- Creates a sub-interface under FastEthernet0/0 for the internal VLAN. !
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Sluit twee draadloze klanten aan, één gastgebruiker (met de dienst set-ID [SSID] Guest) en één interne gebruiker (met SSID Intern) om de configuratiewerken zoals verwacht te controleren.
Onthoud dat de gast WLAN voor Web Verificatie was geconfigureerd. Als de gast draadloze client komt, voer dan elke URL in op de webbrowser. De standaard webauthenticatiepagina verschijnt en vraagt u om de gebruikersnaam en het wachtwoord in te voeren. Zodra de gastgebruiker een geldige gebruikersnaam/wachtwoord invoert, authenticeert de WLC de gastgebruiker en verleent toegang tot het netwerk (wellicht het Internet). Dit voorbeeld toont het venster van de web authenticatie dat de gebruiker ontvangt en de output bij een succesvolle authenticatie:
Het interne WLAN in dit voorbeeld is geconfigureerd voor 802.1x-verificatie. Wanneer de interne WLAN-client naar voren komt, gebruikt de client MAP-verificatie. Raadpleeg voor meer informatie over het configureren van de client voor EAP-verificatie het gedeelte EAP-verificatie van Cisco Aironet 802.11a/b/g Wireless LAN-clientadapters (CB21AG en PI21AG) als installatie- en configuratiegids. Na succesvolle authenticatie kan de gebruiker toegang krijgen tot het interne netwerk. Dit voorbeeld laat een interne draadloze client zien die gebruik maakt van Lichtgewicht Extensible Authentication Protocol (LEAP) authenticatie:
Gebruik dit gedeelte om de configuratie van het probleem op te lossen.
Als de configuratie niet werkt zoals verwacht, dient u deze stappen te voltooien:
Zorg ervoor dat alle VLAN’s die op de WLC zijn geconfigureerd zijn toegestaan op de switch die is aangesloten op de WLC.
Zorg ervoor dat de poort op de switch die op de WLC aangesloten is en op de router als boompoort is ingesteld.
Zorg ervoor dat de VLAN-id's op de WLC en de router hetzelfde zijn.
Controleer of de clients DHCP-adressen van de DHCP-server ontvangen. Als dit niet het geval is, controleert u of de DHCP-server correct is geconfigureerd. Raadpleeg voor meer informatie over problemen met klanten bij het oplossen van problemen clientproblemen in het Cisco Unified Wireless Network.
Eén van de veelvuldige problemen die zich voordoen bij de webauthenticatie is wanneer de herleiding naar de webauthenticatiepagina niet werkt. De gebruiker ziet het venster voor webverificatie niet wanneer de browser wordt geopend. In plaats daarvan moet de gebruiker https://1.1.1.1/login.html handmatig invoeren om naar het venster voor webverificatie te gaan. Dit heeft te maken met de DNS-raadpleging, die eerst moet werken voordat de webverificatiepagina opnieuw wordt gericht. Als de browser homepage op de draadloze client naar een domeinnaam wijst, moet u nslookup met succes uitvoeren zodra de client associeert om de redirect te laten werken.
Bovendien doet de beheerinterface van de controller voor een WLC die een versie eerder dan 3.2.150.10 uitvoert, voor een WLC-versie die een versie eerder dan 3.2.150.10 uitvoert, een DNS-zoekopdracht om te zien of de URL geldig is. Als deze geldig is, toont de URL de autoridingspagina met het virtuele IP-adres van interfaces. Nadat de gebruiker met succes inlogt, mag het oorspronkelijke verzoek aan de cliënt teruggeven. Dit komt door Cisco bug-ID CSCsc68105 (alleen geregistreerde klanten). Raadpleeg voor meer informatie de webverificatie voor probleemoplossing bij een draadloze LAN-controller (WLC).
Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.
U kunt deze debug-opdrachten gebruiken om problemen met de configuratie op te lossen:
debug mac addr <client-MAC-adres xx:xx:xx:xx:xx:xx>—hiermee wordt MAC-adresdebugging voor de client ingesteld.
debug van alle volgende AAA-berichten: hiermee wordt het debug van alle AAA-berichten hersteld.
debug pem state wellicht— Configuration debug of policy Manager State Machine.
debug van pem gebeurtenissen: configuratie debug van beleidsbeheergebeurtenissen.
debug dhcp bericht om deze opdracht te gebruiken om debuginformatie over de DHCP client activiteiten weer te geven en de status van DHCP-pakketten te controleren.
debug DHCP-pakketsnelheid; gebruik deze opdracht om informatie op DHCP-pakketniveau weer te geven.
debug pm ssh-appgw laat toe-Configureert debug van toepassingsgateways.
debug pm ssh-tcp activeren—hiermee wordt het debug van de tcp-behandeling van beleidsmanager ingesteld.
Hier zijn voorbeelduitgangen van sommige van deze debug opdrachten:
Opmerking: Sommige productielijnen zijn om ruimtelijke redenen in een tweede regel omgezet.
(Cisco Controller) >debug dhcp message enable Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option len, including the magic cookie = 64 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: received DHCP REQUEST msg Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 61, len 7 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: requested ip = 10.0.0.1 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 12, len 3 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 81, len 7 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: vendor class id = MSFT5.0 (len 8) Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 55, len 11 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcpParseOptions: options end, len 64, actual 64 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 Forwarding DHCP packet (332 octets)from 00:40:96:ac:e6:57 -- packet received on direct-connect port requires forwarding to external DHCP server. Next-hop is 10.0.0.50 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option len, including the magic cookie = 64 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: received DHCP ACK msg Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: server id = 10.0.0.50 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: lease time (seconds) =86400 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 58, len 4 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 59, len 4 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 81, len 6 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: netmask = 255.0.0.0 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: gateway = 10.0.0.50 Fri Mar 2 16:01:43 2007: 00:40:96:ac:e6:57 dhcpParseOptions: options end, len 64, actual 64
(Cisco Controller) >debug dhcp packet enable Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 dhcpProxy: Received packet: Client 00:40:96:ac:e6:57 DHCP Op: BOOTREQUEST(1), IP len: 300, switchport: 1, encap: 0xec03 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 dhcpProxy: dhcp request, client: 00:40:96:ac:e6:57: dhcp op: 1, port: 2, encap 0xec03, old mscb port number: 2 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 Determing relay for 00:40:96:ac:e6:57 dhcpServer: 10.0.0.50, dhcpNetmask: 255.0.0.0, dhcpGateway: 10.0.0.50, dhcpRelay: 10.0.0.10 VLAN: 30 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 Relay settings for 00:40:96:ac:e6:57 Local Address: 10.0.0.10, DHCP Server: 10.0.0.50, Gateway Addr: 10.0.0.50, VLAN: 30, port: 2 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 DHCP Message Type received: DHCP REQUEST msg Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 op: BOOTREQUEST, htype: Ethernet,hlen: 6, hops: 1 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 xid: 1674228912, secs: 0, flags: 0 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 chaddr: 00:40:96:ac:e6:57 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 ciaddr: 10.0.0.1, yiaddr: 0.0.0.0 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 siaddr: 0.0.0.0, giaddr: 10.0.0.10 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 DHCP request to 10.0.0.50, len 350,switchport 2, vlan 30 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 dhcpProxy: Received packet: Client 00:40:96:ac:e6:57 DHCP Op: BOOTREPLY(2), IP len: 300, switchport: 2, encap: 0xec00 Fri Mar 2 16:06:35 2007: DHCP Reply to AP client: 00:40:96:ac:e6:57, frame len412, switchport 2 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 DHCP Message Type received: DHCP ACK msg Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 xid: 1674228912, secs: 0, flags: 0 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 chaddr: 00:40:96:ac:e6:57 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 ciaddr: 10.0.0.1, yiaddr: 10.0.0.1 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 siaddr: 0.0.0.0, giaddr: 0.0.0.0 Fri Mar 2 16:06:35 2007: 00:40:96:ac:e6:57 server id: 1.1.1.1 rcvd server id: 10.0.0.50
(Cisco Controller) >debug aaa all enable Fri Mar 2 16:22:40 2007: User user1 authenticated Fri Mar 2 16:22:40 2007: 00:40:96:ac:e6:57 Returning AAA Error 'Success' (0) for mobile 00:40:96:ac:e6:57 Fri Mar 2 16:22:40 2007: AuthorizationResponse: 0xbadff97c Fri Mar 2 16:22:40 2007: structureSize................................70 Fri Mar 2 16:22:40 2007: resultCode...................................0 Fri Mar 2 16:22:40 2007: protocolUsed.................................0x00000008 Fri Mar 2 16:22:40 2007: proxyState...............00:40:96:AC:E6:57-00:00 Fri Mar 2 16:22:40 2007: Packet contains 2 AVPs: Fri Mar 2 16:22:40 2007: AVP[01] Service-Type............0x00000001 (1) (4 bytes) Fri Mar 2 16:22:40 2007: AVP[02] Airespace / WLAN-Identifier......0x00000001 (1) (4 bytes) Fri Mar 2 16:22:40 2007: 00:40:96:ac:e6:57 Applying new AAA override for station 00:40:96:ac:e6:57 Fri Mar 2 16:22:40 2007: 00:40:96:ac:e6:57 Override values for station 00:40:96:ac:e6:57 source: 48, valid bits: 0x1 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfName: '', aclName: Fri Mar 2 16:22:40 2007: 00:40:96:ac:e6:57 Unable to apply override policy for station 00:40:96:ac:e6:57 - VapAllowRadiusOverride is FALSE Fri Mar 2 16:22:40 2007: AccountingMessage Accounting Start: 0xa62700c Fri Mar 2 16:22:40 2007: Packet contains 13 AVPs: Fri Mar 2 16:22:40 2007: AVP[01] User-Name................user1 (5 bytes) Fri Mar 2 16:22:40 2007: AVP[02] Nas-Port.............0x00000001 (1) (4 bytes) Fri Mar 2 16:22:40 2007: AVP[03] Nas-Ip-Address.......0x0a4df4d2 (172881106) (4 bytes) Fri Mar 2 16:22:40 2007: AVP[04] NAS-Identifier......0x574c4331 (1464615729) (4 bytes) Fri Mar 2 16:22:40 2007: AVP[05] Airespace / WLAN-Identifier..............0x00000001 (1) (4 bytes) Fri Mar 2 16:22:40 2007: AVP[06] Acct-Session-Id..........................45e84f50/00:40:96:ac:e6:57/9 (28 bytes) Fri Mar 2 16:22:40 2007: AVP[07] Acct-Authentic...........................0x00000002 (2) (4 bytes) Fri Mar 2 16:22:40 2007: AVP[08] Tunnel-Type..............................0x0000000d (13) (4 bytes) Fri Mar 2 16:22:40 2007: AVP[09] Tunnel-Medium-Type.......................0x00000006 (6) (4 bytes) Fri Mar 2 16:22:40 2007: AVP[10] Tunnel-Group-Id..........................0x3330 (13104) (2 bytes) Fri Mar 2 16:22:40 2007: AVP[11] Acct-Status-Type.........................0x00000001 (1) (4 bytes) Fri Mar 2 16:22:40 2007: AVP[12] Calling-Station-Id.......................10.0.0.1 (8 bytes) Fri Mar 2 16:22:40 2007: AVP[13] Called-Station-Id........................10.77.244.210 (13 bytes) when web authentication is closed by user: (Cisco Controller) >Fri Mar 2 16:25:47 2007: AccountingMessage Accounting Stop: 0xa627c78 Fri Mar 2 16:25:47 2007: Packet contains 20 AVPs: Fri Mar 2 16:25:47 2007: AVP[01] User-Name................................user1 (5 bytes) Fri Mar 2 16:25:47 2007: AVP[02] Nas-Port.................................0x00000001 (1) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[03] Nas-Ip-Address...........................0x0a4df4d2 (172881106) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[04] NAS-Identifier...........................0x574c4331 (1464615729) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[05] Airespace / WLAN-Identifier..............0x00000001 (1) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[06] Acct-Session-Id...............45e84f50/00:40:96:ac:e6:57/9 (28 bytes) Fri Mar 2 16:25:47 2007: AVP[07] Acct-Authentic...........................0x00000002 (2) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[08] Tunnel-Type..............................0x0000000d (13) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[09] Tunnel-Medium-Type.......................0x00000006 (6) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[10] Tunnel-Group-Id..........................0x3330 (13104) (2 bytes) Fri Mar 2 16:25:47 2007: AVP[11] Acct-Status-Type.........................0x00000002 (2) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[12] Acct-Input-Octets........................0x0001820e (98830) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[13] Acct-Output-Octets.......................0x00005206 (20998) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[14] Acct-Input-Packets.......................0x000006ee (1774) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[15] Acct-Output-Packets......................0x00000041 (65) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[16] Acct-Terminate-Cause.....................0x00000001 (1) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[17] Acct-Session-Time........................0x000000bb (187) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[18] Acct-Delay-Time..........................0x00000000 (0) (4 bytes) Fri Mar 2 16:25:47 2007: AVP[19] Calling-Station-Id.......................10.0.0.1 (8 bytes) Fri Mar 2 16:25:47 2007: AVP[20] Called-Station-Id........................10.77.244.210 (13 bytes)
(Cisco Controller) >debug pem state enable Fri Mar 2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) Change state to START (0) Fri Mar 2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1 START (0) Change state to AUTHCHECK (2) Fri Mar 2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1 AUTHCHECK (2) Change stateto L2AUTHCOMPLETE (4) Fri Mar 2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1 L2AUTHCOMPLETE (4) Change state to WEBAUTH_REQD (8) Fri Mar 2 16:28:16 2007: 00:16:6f:6e:36:2b 0.0.0.0 START (0) Change state to AUTHCHECK (2) Fri Mar 2 16:28:16 2007: 00:16:6f:6e:36:2b 0.0.0.0 AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4) Fri Mar 2 16:28:16 2007: 00:16:6f:6e:36:2b 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) Fri Mar 2 16:28:19 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14) Fri Mar 2 16:28:19 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_NOL3SEC (14) Change state to RUN (20) Fri Mar 2 16:28:20 2007: 00:16:6f:6e:36:2b 0.0.0.0 START (0) Change state to AUTHCHECK (2) Fri Mar 2 16:28:20 2007: 00:16:6f:6e:36:2b 0.0.0.0 AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4) Fri Mar 2 16:28:20 2007: 00:16:6f:6e:36:2b 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) Fri Mar 2 16:28:24 2007: 00:40:96:af:a3:40 0.0.0.0 START (0) Change state to AUTHCHECK (2) Fri Mar 2 16:28:24 2007: 00:40:96:af:a3:40 0.0.0.0 AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4) Fri Mar 2 16:28:24 2007: 00:40:96:af:a3:40 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) Fri Mar 2 16:28:25 2007: 00:40:96:af:a3:40 40.0.0.1 DHCP_REQD (7) Change stateto RUN (20) Fri Mar 2 16:28:30 2007: 00:16:6f:6e:36:2b 0.0.0.0 START (0) Change state to AUTHCHECK (2) Fri Mar 2 16:28:30 2007: 00:16:6f:6e:36:2b 0.0.0.0 AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4) Fri Mar 2 16:28:30 2007: 00:16:6f:6e:36:2b 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) Fri Mar 2 16:28:34 2007: 00:16:6f:6e:36:2b 30.0.0.2 DHCP_REQD (7) Change stateto WEBAUTH_REQD (8)
(Cisco Controller) >debug pem events enable Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 START (0) Initializing policy Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:0b:85:5b:fb:d0 Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) Adding TMP rule Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) Replacing Fast Path rule type = Temporary Entry on AP 00:0b:85:5b:fb:d0, slot 0, interface = 1 ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 1506 Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) Successfully plumbed mobile rule (ACL ID 255) Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) Deleting mobile policy rule 27 Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 Adding Web RuleID 28 for mobile 00:40:96:ac:e6:57 Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) Adding TMP rule Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) ReplacingFast Path rule type = Temporary Entry on AP 00:0b:85:5b:fb:d0, slot 0, interface = 1 ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 1506 Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) Successfully plumbed mobile rule (ACL ID 255) Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 Removed NPU entry. Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 Added NPU entry of type 8 Fri Mar 2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 Added NPU entry of type 8