Hebt u een account?

  •   Gepersonaliseerde content
  •   Uw producten en ondersteuning

Hebt u een account nodig?

Account maken

Verificatie van access point in een Cisco Unified Wireless Network Configuration-voorbeeld

Downloadopties

  • PDF     (886.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (701.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (842.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 juni 2021
Document-id:98848
Over de vertaling

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Beveiliging is vandaag de dag altijd een probleem. U kunt er zeker van zijn dat alleen legitieme access points (AP’s) verbinding met uw draadloze LAN-controllers (WLC’s) nodig zijn.

    Dit document legt uit hoe u WLC kunt configureren om AP's te autoriseren op basis van het MAC-adres van de AP's.

    Voorwaarden

    Vereisten

    Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:

    • Basiskennis van de manier waarop u een Cisco Identity Services Engine (ISE) kunt configureren.

    • Kennis van de configuratie van Cisco APs en Cisco WLCs.

    • Kennis van Cisco Unified Wireless Security Oplossingen.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

      • WLC's werken met AireOS 8.8.11.0-software.

      • Wave1 AP’s: 1700/2700/3700 en 3500 (1600/2600/3600 worden nog steeds ondersteund, maar de ondersteuning van AireOS eindigt bij versie 8.5.x).
      • Wave2 access points: 1800/2800/3800/4800, 1540 en 1560. 
      • ISE versie 2.3.0.298.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Conventies

    Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

    Licentie voor lichtgewicht access point (AP)

    Tijdens het AP registratieproces, bevestigen APs en WLCs wederzijds het gebruik van X.509 certificaten.

    De X.509 certificaten worden in beschermde flitser op zowel het access point (AP) als WLC in de fabriek door Cisco gebrand.

    Op AP, worden de fabrieksgeïnstalleerde certificaten genoemd productie geïnstalleerde certificaten (MIC). Alle Cisco APs die na 18 juli 2005 worden geproduceerd hebben MICs.

    Naast deze wederzijdse authenticatie die zich voordoet tijdens het registratieproces, kunnen de WLC's ook de AP's beperken die zich bij hen registreren op basis van het MAC-adres van het AP.

    Het ontbreken van een sterk wachtwoord door het gebruik van het MAC-adres van het AP zou geen kwestie moeten zijn omdat de controller MIC gebruikt om het AP te authentificeren alvorens het AP via de RADIUS-server toe te staan. Het gebruik van MIC levert een sterke authenticatie op.

    Een AP-vergunning kan op twee manieren worden uitgevoerd:

    • Gebruik van de interne machtigingslijst op het WLC.

    • Gebruik van de MAC-adresdatabase op een AAA-server.

    De gedragingen van de AP's verschillen op basis van het gebruikte certificaat:

    • AP's met SSC's - De WLC zal alleen de interne machtigingslijst gebruiken en zal geen verzoek voor deze AP's naar een RADIUS-server doorsturen.

    • APs met MICs-WLC kan of de Interne Vergunningslijst gebruiken die op WLC wordt gevormd of een server van RADIUS gebruiken om APs toe te staan.

    In dit document wordt de AP-vergunning besproken met behulp van zowel de interne machtigingslijst als de AAA-server.

    Configureren

    Configuratie met behulp van de interne machtigingslijst in de WLC

    Op de WLC, gebruik de AP autorisatielijst om APs te beperken gebaseerd op hun MAC adres. De AP autorisatie lijst is beschikbaar onder Security > AP Policies in de WLC GUI.

    Dit voorbeeld toont hoe te om AP met het adres van MAC toe te voegen 4c:77:6d:9e:61:62.

    1. Klik vanuit de WLC-controller GUI op Security > AP-beleid. en de pagina AP-beleid verschijnt.

    2. Klik op de knop Toevoegen aan de rechterkant van het scherm.

    3. Voer onder AP aan de Vergunningslijst toe, het AP MAC adres (NIET het AP Radio LAN adres) in. Kies vervolgens het certificaattype en klik op Toevoegen.

      In dit voorbeeld wordt een AP met MIC certificaat toegevoegd.

      Opmerking: Kies SSC's met SSC's onder certificaattype.

      Het AP wordt toegevoegd aan de AP autorisatielijst en is opgenomen onder AP Authorization List.

    4. Selecteer onder Policy Configuration het vakje voor MIC-AP's autoriseren tegen de autorijlijst of AAA.

      Wanneer deze parameter geselecteerd is, controleert de WLC eerst de lokale machtigingslijst. Als de MAC van AP niet aanwezig is, controleert het de server van de RADIUS.

    Verifiëren

    Om deze configuratie te verifiëren moet u AP met MAC-adres 4c:77:6d:9e:61:62 verbinden met het netwerk en de monitor. Gebruik de debug capwap gebeurtenissen/fouten maken het mogelijk en debug om opdrachten in staat te stellen dit uit te voeren.

    Deze uitvoer toont de details wanneer het AP MAC-adres niet in de AP autorisatielijst aanwezig is:

    Opmerking: Sommige lijnen in de uitvoer zijn naar de tweede regel verplaatst als gevolg van ruimtebeperkingen.

    (Cisco Controller) >debug capwap events enable
    (Cisco Controller) >debug capwap errors enable
    (Cisco Controller) >debug aaa all enable

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5256

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5256, already allocated index 277

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 AP Allocate request at index 277 (reserved)
    *spamApTask4: Feb 27 10:15:25.593: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5256 from temporary database.
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5256) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Request failed!

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 State machine handler: Failed to process msg type = 3 state = 0 from 192.168.79.151:5256

    *aaaQueueReader: Feb 27 10:15:25.593: Unable to find requested user entry for 4c776d9e6162
    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : -9
    *aaaQueueReader: Feb 27 10:15:25.593: ReProcessAuthentication previous proto 8, next proto 40000001
    *aaaQueueReader: Feb 27 10:15:25.593: AuthenticationRequest: 0x7f01b4083638

    *aaaQueueReader: Feb 27 10:15:25.593: Callback.....................................0xd6cef02166

    *aaaQueueReader: Feb 27 10:15:25.593: protocolType.................................0x40000001

    *aaaQueueReader: Feb 27 10:15:25.593: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 10:15:25.593: Packet contains 9 AVPs:

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[01] User-Name................................4c776d9e6162 (12 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[02] Called-Station-Id........................70-69-5a-51-4e-c0 (17 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[03] Calling-Station-Id.......................4c-77-6d-9e-61-62 (17 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[04] Nas-Port.................................0x00000001 (1) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[05] Nas-Ip-Address...........................0x0a304714 (170936084) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[06] NAS-Identifier...........................0x6e6f (28271) (2 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[07] User-Password............................[...]

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[08] Service-Type.............................0x0000000a (10) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[09] Message-Authenticator....................DATA (16 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Error Response code for AAA Authentication : -7
    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Returning AAA Error 'No Server' (-7) for mobile 70:69:5a:51:4e:c0 serverIdx 0
    *aaaQueueReader: Feb 27 10:15:25.593: AuthorizationResponse: 0x7f017adf5770


    *aaaQueueReader: Feb 27 10:15:25.593: RadiusIndexSet(0), Index(0)
    *aaaQueueReader: Feb 27 10:15:25.593: resultCode...................................-7

    *aaaQueueReader: Feb 27 10:15:25.593: protocolUsed.................................0xffffffff

    *aaaQueueReader: Feb 27 10:15:25.593: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 10:15:25.593: Packet contains 0 AVPs:

    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 User entry not found in the Local FileDB for the client.

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Failure Response sent to 0.0.0.0:5256

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Radius Authentication failed. Closing dtls Connection.
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Disconnecting DTLS Capwap-Ctrl session 0xd6f0724fd8 for AP (192:168:79:151/5256). Notify(true)
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 CAPWAP State: Dtls tear down

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 acDtlsPlumbControlPlaneKeys: lrad:192.168.79.151(5256) mwar:10.48.71.20(5246)

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 DTLS keys for Control Plane deleted successfully for AP 192.168.79.151

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 DTLS connection closed event receivedserver (10.48.71.20/5246) client (192.168.79.151/5256)
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Entry exists for AP (192.168.79.151/5256)
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP Delete request 
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP Delete request 
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Unable to find AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 No AP entry exist in temporary database for 192.168.79.151:5256

    Deze output toont de debugs wanneer het MAC-adres van de LAP wordt toegevoegd aan de AP autoriselijst:

    Opmerking: Sommige lijnen in de uitvoer zijn naar de tweede regel verplaatst als gevolg van ruimtebeperkingen.

    (Cisco Controller) >debug capwap events enable
    (Cisco Controller) >debug capwap errors enable
    (Cisco Controller) >debug aaa all enable

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5256

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 using already alloced index 274
    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5256, already allocated index 274

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 AP Allocate request at index 274 (reserved)
    *spamApTask4: Feb 27 09:50:25.393: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5256 from temporary database.
    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5256) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Message type Capwap_wtp_event_response is not allowed to send in state Capwap_no_state for AP 192.168.79.151

    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Request failed!


    *aaaQueueReader: Feb 27 09:50:25.394: User 4c776d9e6162 authenticated
    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : 0
    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Returning AAA Success for mobile 70:69:5a:51:4e:c0
    *aaaQueueReader: Feb 27 09:50:25.394: AuthorizationResponse: 0x7f0288a66408


    *aaaQueueReader: Feb 27 09:50:25.394: structureSize................................194

    *aaaQueueReader: Feb 27 09:50:25.394: resultCode...................................0

    *aaaQueueReader: Feb 27 09:50:25.394: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 09:50:25.394: Packet contains 2 AVPs:

    *aaaQueueReader: Feb 27 09:50:25.394: AVP[01] Service-Type.............................0x00000065 (101) (4 bytes)

    *aaaQueueReader: Feb 27 09:50:25.394: AVP[02] Airespace / WLAN-Identifier..............0x00000000 (0) (4 bytes)

    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 User authentication Success with File DB on WLAN ID :0 
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Response sent to 0.0.0.0:5256

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 CAPWAP State: Join

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 capwap_ac_platform.c:2095 - Operation State 0 ===> 4
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Capwap State Change Event (Reg) from capwap_ac_platform.c 2136

    *apfReceiveTask: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Register LWAPP event for AP 70:69:5a:51:4e:c0 slot 0

    AP-autorisatie tegen een AAA-server

    U kunt ook WLC's configureren om RADIUS-servers te gebruiken om AP's te autoriseren met MIC's. De WLC gebruikt het MAC-adres van een AP als zowel de gebruikersnaam als het wachtwoord bij het verzenden van de informatie naar een RADIUS-server. Als het MAC-adres van het AP bijvoorbeeld 4c:77:6d:9e:61:62 is, zijn zowel de gebruikersnaam als het wachtwoord dat door de controller wordt gebruikt om het AP te autoriseren dat hoofdadres met de gedefinieerde grenzen.

    Dit voorbeeld toont hoe te om de WLCs te vormen om APs toe te staan die Cisco ISE gebruiken.

    1. Klik vanuit de WLC-controller GUI op Security > AP-beleid. De pagina AP Policy verschijnt.  

    2. Selecteer onder Policy Configuration het vakje voor MIC-AP's autoriseren tegen de autorijlijst of AAA.

      Wanneer deze parameter geselecteerd is, controleert de WLC eerst de lokale machtigingslijst. Als de MAC van AP niet aanwezig is, controleert het de server van de RADIUS.

    3. Ga naar Security > RADIUS-verificatie van de controller GUI om de pagina RADIUS-verificatieservers weer te geven. In deze pagina kunnen we de MAC Delimiter definiëren. WLC zal het AP Mac adres krijgen en het naar de Radius Server sturen met behulp van de hier gedefinieerde scheidingsteken. Dit is belangrijk zodat de gebruikersnaam overeenkomt met wat in de Radius-server is ingesteld. In dit voorbeeld gebruiken we geen Delimeter zodat de gebruikersnaam 4c776d9e6162 is.

    4. Klik vervolgens op New om een RADIUS-server te definiëren.

    5. Defineert de parameters van de RADIUS-server op de RADIUS-verificatieservers > Nieuwe pagina. Deze parameters omvatten het IP-adres van de RADIUS-server, gedeeld geheim, poortnummer en serverstatus. Als u dit hebt gedaan, klikt u op Toepassen. Dit voorbeeld gebruikt Cisco ISE als de RADIUS-server met IP-adres 10.48.39.128.

    Configureer de Cisco ISE om AP’s te autoriseren

    Om Cisco ISE in staat te stellen om APs toe te staan, moet u deze stappen voltooien:

    1. Configureer de WLC als een AAA-client in Cisco ISE.

    2. Voeg de AP MAC-adressen toe aan de Database op Cisco ISE.

    U kunt echter wel het AP MAC-adres als endpoints (de beste manier) of als gebruikers toevoegen (wier wachtwoorden ook het MAC-adres zijn), maar dit betekent dat u de vereisten voor de wachtwoordbeveiliging moet verlagen.

    Vanwege het feit dat de WLC de NAS-Port-Type-eigenschap niet verstuurt, die een vereiste op ISE is om de Mac-adresverificatie (MAB) te koppelen, zal u dit moeten bijsturen.

    Configureer een nieuw apparaatprofiel waarvoor MAB geen NAS-poorts attribuut-type nodig heeft

    Navigeren in op Beheer -> Netwerkprofiel en een nieuw apparaatprofiel maken. Schakel RADIUS in en stel de bekabelde MAB-stroom in om service-type=Call-controle te vereisen zoals hieronder wordt weergegeven. U kunt andere instellingen uit het klassieke Cisco-profiel kopiëren maar het idee is om geen "Nas-port-type" eigenschap te vereisen voor een bekabeld MAB-werkschema.

    Configureer de WLC als een AAA-client in Cisco ISE

    1. Ga naar Beheer > Netwerkbronnen > Netwerkapparaten > Toevoegen. De pagina Nieuw Netwerkapparaat verschijnt.  

    2. Op deze pagina definieert u de WLC-naam, IP-adres van beheerinterface en RADIUS-verificatie-instellingen zoals gedeeld geheim. Als u van plan bent om de AP MAC-adressen als eindpunten in te voeren, zorg er dan voor dat u het aangepaste apparaatprofiel dat eerder dan de standaard Cisco is geconfigureerd gebruikt!

       

    3. Klik op Inzenden.

    Voeg het AP MAC-adres aan de Endpoint Database op Cisco ISE toe

    Ga naar beheer -> identiteitsbeheer -> Identificaties en voeg de MAC-adressen toe aan de endpointdatabase.

    (optioneel)Voeg het AP MAC-adres toe aan de gebruikersdatabase in Cisco ISE

    Als u het bekabelde MAB-profiel niet wilt wijzigen en er voor hebt gekozen om het AP MAC-adres als gebruiker te plaatsen, dan moet u de vereisten voor het wachtwoordbeleid verlagen.

    1. Ga naar Administratie > identiteitsbeheer. Hier moeten we ervoor zorgen dat het wachtwoordbeleid het gebruik van de gebruikersnaam als wachtwoord toestaat en het beleid moet ook het gebruik van de hoofdadrestekens toestaan zonder dat er verschillende typen tekens nodig zijn. Ga naar instellingen > Instellingen gebruikersverificatie > Wachtwoordbeleid

        

    2. Ga vervolgens naar Identiteiten > Gebruikers en klik op Toevoegen. Wanneer de pagina Gebruikersinstellingen verschijnt, definieert u de gebruikersnaam en het wachtwoord voor deze AP zoals aangegeven. Tip: Gebruik het veld Description om het wachtwoord in te voeren om later eenvoudig te weten wat als wachtwoord werd gedefinieerd.

      Het wachtwoord zou ook het MAC-adres van AP moeten zijn. In dit voorbeeld is het 4c776d9e6162.

    3. Klik op Inzenden

    Een beleidsset definiëren

    1. We moeten een beleidslijn definiëren die overeenkomt met de verificatieaanvraag van de WLC. Eerst bouwen we een conditionering die naar Beleidselementen > Beleidselementen > Voorwaarden gaat, en creëren we een nieuwe conditie om de WLC locatie aan te passen, in dit voorbeeld, "LAB_WLC" en Radius:Service-Type is Gesprekscontrole die voor Mac authenticatie wordt gebruikt. Hier wordt de voorwaarde "AP_Auth" genoemd.    
    2. Klik op Opslaan.
    3. Maak vervolgens een nieuwe Geautomatiseerde Protocols voor de AP-verificatie. Zorg ervoor dat u alleen "PAP/ASCII toestaan" selecteert:   
    4.  Selecteer de eerder gemaakte service in de toegestane reeks protocollen/servers. Uitbreidt de Beeld en onder Verificatiebeleid > Gebruik > Interne gebruikers zodat ISE de interne DB naar de gebruikersnaam/het wachtwoord van de AP heeft doorzocht.
    5. Klik op Opslaan.

    Verifiëren

    Om deze configuratie te verifiëren moet u AP met het MAC-adres 4c:77:6d:9e:61:62 verbinden met het netwerk en de monitor. Gebruik de debug capwap gebeurtenissen/fouten maken het mogelijk en debug om opdrachten in te schakelen om dit uit te voeren.

    Zoals gezien vanaf de debugs, ging WLC op het AP MAC-adres aan de RADIUS server 10.48.39.128 over, en de server heeft met succes AP voor authentiek verklaard. Het AP registreert vervolgens bij de controller.

    Opmerking: Sommige lijnen in de uitvoer zijn naar de tweede regel verplaatst als gevolg van ruimtebeperkingen.

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5248

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 using already alloced index 437
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5248, already allocated index 437

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 AP Allocate request at index 437 (reserved)
    *spamApTask4: Feb 27 14:58:07.566: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5248 from temporary database.
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5248) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Message type Capwap_wtp_event_response is not allowed to send in state Capwap_no_state for AP 192.168.79.151

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Join Request failed!

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 State machine handler: Failed to process msg type = 3 state = 0 from 192.168.79.151:5248

    *spamApTask4: Feb 27 14:58:07.566: 24:7e:12:19:41:ef Failed to parse CAPWAP packet from 192.168.79.151:5248

    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : -9
    *aaaQueueReader: Feb 27 14:58:07.566: ReProcessAuthentication previous proto 8, next proto 40000001
    *aaaQueueReader: Feb 27 14:58:07.566: AuthenticationRequest: 0x7f01b404f0f8


    *aaaQueueReader: Feb 27 14:58:07.566: Callback.....................................0xd6cef02166

    *aaaQueueReader: Feb 27 14:58:07.566: protocolType.................................0x40000001

    *aaaQueueReader: Feb 27 14:58:07.566: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 14:58:07.566: Packet contains 9 AVPs:

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[02] Called-Station-Id........................70:69:5a:51:4e:c0 (17 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[03] Calling-Station-Id.......................4c:77:6d:9e:61:62 (17 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[04] Nas-Port.................................0x00000001 (1) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[05] Nas-Ip-Address...........................0x0a304714 (170936084) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[06] NAS-Identifier...........................0x6e6f (28271) (2 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[08] Service-Type.............................0x0000000a (10) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[09] Message-Authenticator....................DATA (16 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 radiusServerFallbackPassiveStateUpdate: RADIUS server is ready 10.48.39.128 port 1812 index 1 active 1
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 NAI-Realm not enabled on Wlan, radius servers will be selected as usual
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Found the radius server : 10.48.39.128 from the global server list
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Send Radius Auth Request with pktId:185 into qid:0 of server at index:1
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Sending the packet to v4 host 10.48.39.128:1812 of length 130
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Successful transmission of Authentication Packet (pktId 185) to 10.48.39.128:1812 from server queue 0, proxy state 70:69:5a:51:4e:c0-00:00
    *aaaQueueReader: Feb 27 14:58:07.566: 00000000: 01 b9 00 82 d9 c2 ef 27 f1 bb e4 9f a8 88 5a 6d .......'......Zm
    *aaaQueueReader: Feb 27 14:58:07.566: 00000010: 4b 38 1a a6 01 0e 34 63 37 37 36 64 39 65 36 31 K8....4c776d9e61
    *aaaQueueReader: Feb 27 14:58:07.566: 00000020: 36 32 1e 13 37 30 3a 36 39 3a 35 61 3a 35 31 3a 62..70:69:5a:51:
    *aaaQueueReader: Feb 27 14:58:07.566: 00000030: 34 65 3a 63 30 1f 13 34 63 3a 37 37 3a 36 64 3a 4e:c0..4c:77:6d:
    *aaaQueueReader: Feb 27 14:58:07.566: 00000040: 39 65 3a 36 31 3a 36 32 05 06 00 00 00 01 04 06 9e:61:62........
    *aaaQueueReader: Feb 27 14:58:07.566: 00000050: 0a 30 47 14 20 04 6e 6f 02 12 54 46 96 61 2a 38 .0G...no..TF.a*8
    *aaaQueueReader: Feb 27 14:58:07.566: 00000060: 5a 57 22 5b 41 c8 13 61 97 6c 06 06 00 00 00 0a ZW"[A..a.l......
    *aaaQueueReader: Feb 27 14:58:07.566: 00000080: 15 f9 ..
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 User entry not found in the Local FileDB for the client.
    *radiusTransportThread: Feb 27 14:58:07.587: Vendor Specif Radius Attribute(code=26, avp_len=28, vId=9)
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 *** Counted VSA 150994944 AVP of length 28, code 1 atrlen 22)
    *radiusTransportThread: Feb 27 14:58:07.588: Vendor Specif Radius Attribute(code=26, avp_len=28, vId=9)
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 AVP: VendorId: 9, vendorType: 1, vendorLen: 22

    *radiusTransportThread: Feb 27 14:58:07.588: 00000000: 70 72 6f 66 69 6c 65 2d 6e 61 6d 65 3d 55 6e 6b profile-name=Unk
    *radiusTransportThread: Feb 27 14:58:07.588: 00000010: 6e 6f 77 6e nown
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Processed VSA 9, type 1, raw bytes 22, copied 0 bytes
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Access-Accept received from RADIUS server 10.48.39.128 (qid:0) with port:1812, pktId:185
    *radiusTransportThread: Feb 27 14:58:07.588: RadiusIndexSet(1), Index(1)
    *radiusTransportThread: Feb 27 14:58:07.588: structureSize................................432

    *radiusTransportThread: Feb 27 14:58:07.588: protocolUsed.................................0x00000001

    *radiusTransportThread: Feb 27 14:58:07.588: proxyState...................................70:69:5A:51:4E:C0-00:00

    *radiusTransportThread: Feb 27 14:58:07.588: Packet contains 4 AVPs:

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[01] User-Name................................4c776d9e6162 (12 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[02] State....................................ReauthSession:0a302780bNEx79SKIFosJ2ioAmIYNOiRe2iDSY3drcFsHuYpChs (65 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[03] Class....................................DATA (83 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[04] Message-Authenticator....................DATA (16 bytes)

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join Response sent to 0.0.0.0:5248

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 CAPWAP State: Join

    Problemen oplossen

    Gebruik deze opdrachten om de configuratie van het probleem op te lossen:

    • debug van Capwap gebeurtenissen om te zetten in configuratie-debug van LWAPP gebeurtenissen.

    • debug van Capwap Packet-pakket configuratie debug van LWAPP Packet Tracker.

    • debug van kapWAP fouten toelaten-Configureert debug van LWAPP Packet fouten.
    • debug van alle AAA-berichten in deze modus:

    In het geval dat de ISE-rapporten in de RADIUS-live-documenten de gebruikersnaam "INVALID" bevatten op het moment dat AP's zijn geautoriseerd tegen ISE, betekent dit dat de verificatie wordt geverifieerd aan de hand van de endpointdatabase en u hebt het bekabelde MAB-profiel niet gewijzigd zoals in dit document wordt uitgelegd. ISE beschouwt een MAC-adresverificatie ongeldig als deze niet overeenkomt met het Wired/Wireless MAB-profiel, waarvoor standaard de NAS-poort-type eigenschap vereist is die niet door WLC wordt verstuurd

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Tiago Antunes
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten

    Over Ons
    Contact
    Samenwerken