Configureren van Central Web Verification (CWA) op Catalyst 9800 WLC en ISE

Inleiding

Dit document beschrijft hoe u een draadloos LAN van de CWA kunt configureren op een Catalyst 9800 WLC en ISE.

Voorwaarden

Vereisten

Cisco raadt u aan bekend te zijn met de configuratie van 9800 draadloze LAN-controllers (WLC).

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• 980 WLC Cisco IOS® XE Gibraltar v17.6.x
• Identity Service Engine (ISE) v3.0

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Het CWA-proces wordt hier getoond waar u het CWA-proces van een Apple-apparaat als voorbeeld kunt zien:

Configureren

Netwerkdiagram

AAA-configuratie op 9800 WLC

Stap 1. Voeg de ISE-server toe aan de 9800 WLC-configuratie.

Naar navigeren  Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add  en voer de RADIUS-serverinformatie in zoals in de afbeeldingen.

Zorg ervoor dat ondersteuning voor CoA is ingeschakeld als u van plan bent om in de toekomst gebruik te maken van Central Web Verification (of een ander soort beveiliging die CoA vereist).

Stap 2. Maak een lijst met autorisatiemethoden.

Naar navigeren  Configuration > Security > AAA >  AAA Method List > Authorization > + Add  zoals in de afbeelding.

Stap 3. (Optioneel) Maak een lijst met boekhoudmethoden zoals in de afbeelding.

Opmerking: CWA werkt niet als u besluit de taakverdeling (vanaf de Cisco IOS XE CLI-configuratie) voor uw radiusservers in te stellen vanwege Cisco bug-id CSCvh03827. Het gebruik van externe lastverdelers is prima.

Stap 4. (Optioneel) U kunt het AAA-beleid definiëren om de SSID-naam te verzenden als een Calling-station-id attribuut, dat nuttig kan zijn als u later in het proces van deze voorwaarde op ISE wilt profiteren.

Naar navigeren  Configuration > Security > Wireless AAA Policy en bewerk het standaard AAA-beleid of maak een nieuw beleid.

U kunt kiezen  SSID als optie 1. Vergeet niet dat zelfs wanneer u alleen SSID kiest, de aangeroepen station-id nog steeds het AP MAC-adres aan de SSID-naam toevoegt.

WLAN-configuratie

Stap 1. Maak het WLAN.

Naar navigeren  Configuration > Tags & Profiles > WLANs > + Add  en configureer het netwerk naar wens.

Stap 2. Voer de algemene informatie over WLAN in.

Stap 3. Naar het  Security  tabblad en kies de gewenste beveiligingsmethode. In dit geval maakt alleen 'MAC Filtering' en de AAA-autorisatielijst (die u in Stap 2 hebt aangemaakt) deel uit van het  AAA Configuration  deel) nodig zijn.

CLI:

#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown

Configuratie van beleidsprofiel

Binnen een beleidsprofiel kunt u beslissen de clients toe te wijzen aan wie VLAN, onder andere instellingen (zoals ACL’s (toegangscontrolelijst), Quality of Service (QoS), mobiliteitsanker, timers enzovoort).

U kunt uw standaardbeleidsprofiel gebruiken of u kunt een nieuw profiel maken.

GUI:

Stap 1. Een nieuwe map maken  Policy Profile.

Naar navigeren  Configuration > Tags & Profiles > Policy  en configureer uw  default-policy-profile  of maak een nieuwe.

Zorg ervoor dat het profiel is ingeschakeld.

Stap 2. Kies VLAN.

Naar het  Access Policies  tabblad en kies de VLAN-naam uit de vervolgkeuzelijst of typ handmatig de VLAN-ID. Configureer geen ACL in het beleidsprofiel.

Stap 3. Configureer het beleidsprofiel om ISE-overschrijvingen te accepteren (AAA-overschrijding toestaan) en wijziging van autorisatie (CoA) (NAC-status). U kunt optioneel ook een boekhoudingsmethode specificeren.

CLI:

# config
# wireless profile policy <policy-profile-name>
# aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown

Configuratie van beleidstag

Binnen de Policy Tag is waar u uw SSID koppelt aan uw Policy Profile. U kunt een nieuwe Policy Tag maken of de standaard-policy tag gebruiken.

Opmerking: De standaard-beleidstag brengt automatisch elke SSID met een WLAN-id tussen 1 en 16 in kaart aan het standaard-beleidsprofiel. Dit kan niet worden gewijzigd of verwijderd. Als u een WLAN met ID 17 of hoger hebt, kan de standaard-beleidstag niet worden gebruikt.

GUI:

Naar navigeren  Configuration > Tags & Profiles > Tags > Policy  en voeg indien nodig een nieuwe toe zoals in de afbeelding.

Koppel uw WLAN-profiel aan het gewenste beleidsprofiel.

CLI:

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

Toewijzing van beleidstags

Wijs de beleidstag toe aan de benodigde toegangspunten.

GUI:

Als u de tag wilt toewijzen aan één AP, navigeer dan naar  Configuration > Wireless > Access Points > AP Name > General Tags, maak de gewenste toewijzing en klik vervolgens op  Update & Apply to Device.

Opmerking: Houd er rekening mee dat nadat u de beleidstag op een AP hebt gewijzigd, deze de associatie met de 9800 WLC verliest en zich binnen ongeveer 1 minuut opnieuw aansluit.

Als u dezelfde beleidsmarkering aan meerdere toegangspunten wilt toewijzen, navigeer dan naar  Configuration > Wireless > Wireless Setup > Advanced > Start Now.

Kies de toegangspunten waaraan u de tag wilt toewijzen en klik op  + Tag APs  zoals in de afbeelding.

Kies de gekleurde tag en klik op  Save & Apply to Device zoals in de afbeelding.

CLI:

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

Configuratie ACL-omleiding

Stap 1. Naar navigeren  Configuration > Security > ACL > + Add  om een nieuwe ACL te maken. 

Kies een naam voor de ACL en maak deze  IPv4 Extended  typ en voeg elke regel toe als een reeks zoals in de afbeelding.

U moet verkeer naar uw ISE-PSN-knooppunten ontkennen en DNS weigeren en alle rest toestaan. Deze omleiden ACL is geen security ACL maar een punt ACL die bepaalt welk verkeer naar de CPU gaat (op vergunningen) voor verdere behandeling (zoals omleiding) en welk verkeer op het dataplatform blijft (op ontkennen) en omleiding vermijdt.

De ACL moet er zo uitzien (vervang 10.48.39.28 door uw ISE IP-adres in dit voorbeeld):

Opmerking: voor de omleiding ACL, denk aan de  deny actie als een ontkenningsomleiding (ontken geen verkeer) en de  permit actie als omleiding van de vergunning. De WLC kijkt alleen naar verkeer dat het kan omleiden (poorten 80 en 443 standaard).

CLI:

ip access-list extended REDIRECT
 deny ip any host <ISE-IP>
 deny ip host<ISE-IP> any
 deny udp any any eq domain
 deny udp any eq domain any
 permit tcp any any eq 80

Opmerking: als u de ACL met een  permit ip any any in plaats van een vergunning gericht op poort 80, de WLC ook omleidt HTTPS, wat vaak onwenselijk is omdat het zijn eigen certificaat moet verstrekken en altijd leidt tot een certificaatschending. Dit is de uitzondering op de vorige verklaring die zegt dat u geen certificaat op de WLC nodig hebt in het geval van CWA: u hebt er een nodig als u HTTPS-interceptie ingeschakeld hebt, maar het wordt toch nooit als geldig beschouwd.

U kunt de ACL verbeteren door actie om alleen de gastpoort 8443 aan de ISE-server te ontkennen.

Omleiding voor HTTP of HTTPS inschakelen

De web admin portal configuratie is verbonden met de web authenticatie portal configuratie en het moet luisteren op poort 80 om te leiden. Daarom moet HTTP ingeschakeld zijn om de omleiding goed te laten werken. U kunt ervoor kiezen om deze globaal in te schakelen (met behulp van de opdracht)  ip http server) of u kunt HTTP inschakelen voor de alleen webverificatiemodule (met behulp van de opdracht)  webauth-http-enable onder de parameterkaart).

Als u wilt worden omgeleid wanneer u probeert om toegang te krijgen tot een HTTPS URL, voeg dan de opdracht toe  intercept-https-enable onder de parameterkaart maar merk op dit geen optimale configuratie is, dat het een invloed op de WLC CPU heeft en hoe dan ook certificaatfouten genereert:

parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx

U kunt dit ook doen via de GUI met de optie 'Web Auth intercept HTTPS' ingeschakeld in de Parameter Map (Configuration > Security > Web Auth).
  

ISE-configuratie

De 9800 WLC toevoegen aan ISE

Stap 1. Open de ISE-console en ga naarAdministration > Network Resources > Network Devices > Add zoals in de afbeelding.

Stap 2. Configureer het netwerkapparaat.

Optioneel kan het een opgegeven modelnaam, softwareversie en beschrijving zijn en netwerkapparaatgroepen toewijzen op basis van apparaattypen, locatie of WLC's.

Het IP-adres komt hier overeen met de WLC-interface die de verificatieaanvragen verstuurt. Standaard is dit de beheerinterface zoals in het afbeelding:

Raadpleeg voor meer informatie over netwerkapparaatgroepen het hoofdstuk van de ISE-beheerhandleiding: Netwerkapparaten beheren: ISE - Network Device Groepen.

Nieuwe gebruiker maken op ISE

Stap 1. Naar navigeren  Administration > Identity Management > Identities > Users > Add  zoals in de afbeelding.

Stap 2. Voer de informatie in.

In dit voorbeeld, behoort deze gebruiker tot een groep genoemd  ALL_ACCOUNTS maar het kan naar behoefte worden aangepast, zoals wordt aangegeven in de afbeelding.

Autorisatieprofiel maken

Het beleidsprofiel is het resultaat dat aan een client is toegewezen op basis van de parameters (zoals mac-adres, referenties, gebruikt WLAN, enzovoort). Het kan specifieke instellingen toewijzen, zoals Virtual Local Area Network (VLAN), Access Control Lists (ACL’s), Uniform Resource Locator (URL) omleidingen, enzovoort.

Let op dat in recente versies van ISE al een Cisco_Webauth-autorisatieresultaat bestaat. Hier, kunt u het bewerken om de omleiding ACL naam te wijzigen om aan te passen wat u op de WLC hebt geconfigureerd.

Stap 1. Naar navigeren  Policy > Policy Elements > Results > Authorization > Authorization Profiles. Klik op de knop   add om uw eigen bestand te maken of het bestand te bewerken  Cisco_Webauth standaardresultaat.

Stap 2. Voer de omleidingsinformatie in. Zorg ervoor dat de ACL-naam hetzelfde is als de naam die op de 9800 WLC is geconfigureerd.

Verificatieregel configureren

Stap 1. Een beleidsset definieert een verzameling verificatie- en autorisatieregels. Om een studie te maken, navigeer naarPolicy > Policy SetsKlik op het tandwiel van de eerste beleidsset in de lijst en kiesInsert new row or click the blue arrow on the right to choose the defaut Policy Set.


Stap 2. Uitbreiden  Authentication beleid. Voor de  MAB regel (match op bekabeld of draadloos MAB), uitbreiden  Options, en kies de  CONTINUE optie voor het geval dat u 'Als Gebruiker niet gevonden' ziet.

Stap 3. Klik op de knop   Save  om de wijzigingen op te slaan.

Autorisatieregels configureren

De autorisatieregel is de regel die bepaalt welke permissies (welk autorisatieprofiel) op de client worden toegepast.

Stap 1. Op dezelfde pagina met beleidsregels sluit u de  Authentication Policy en uitbreiden  Authorziation Policy  zoals in de afbeelding.

Stap 2. Recente ISE-versies beginnen met een vooraf gemaakte regel met de naam  Wifi_Redirect_to_Guest_Login die grotendeels aan onze behoeften voldoet. Draai het grijze teken links naar  enable.

Stap 3. Die regel past alleen Wireless_MAB aan en geeft de CWA-omleidingskenmerken terug. Nu kunt u optioneel een kleine draai toevoegen en het alleen laten overeenkomen met de specifieke SSID. Kies de voorwaarde (Wireless_MAB vanaf nu) om de Condities Studio te laten verschijnen. Voeg een voorwaarde aan de rechterkant toe en kies de  Radius woordenboek met de  Called-Station-ID kenmerken. Zorg dat het overeenkomt met uw SSID naam. Valideren met de Use onder op het scherm zoals in het beeld wordt weergegeven.

Stap 4. U hebt nu een tweede regel nodig, gedefinieerd met een hogere prioriteit, die overeenkomt met de  Guest Flow voorwaarde om de netwerktoegangsgegevens terug te sturen zodra de gebruiker een verificatie heeft uitgevoerd op de portal. U kunt de  Wifi Guest Access regel die standaard ook is gemaakt bij recente ISE-versies. Dan hoeft u de regel alleen maar in te schakelen met een groen teken aan de linkerkant.  U kunt de standaard PermitAccess teruggeven of preciezere toegangslijstbeperkingen configureren.

Stap 5. Sla de regels op.

Klik op de knop   Save  aan de onderkant van de regels.

Alleen FlexConnect lokale switching-access points

Wat als u Flexconnect lokale switching access points en WLAN’s hebt? De vorige secties zijn nog steeds geldig. U moet echter een extra stap zetten om de doorverwijzing van ACL naar de AP's van te voren in te drukken.

Naar navigeren  Configuration > Tags & Profiles > Flex en kies uw Flex-profiel. Navigeer vervolgens naar het  Policy ACL tabblad.

Klik op de knop   Add  zoals in de afbeelding.

Kies uw omleiden ACL naam en laat centrale webverificatie toe. Dit selectievakje zal automatisch de ACL op de AP zelf omkeren (dit komt doordat een 'deny' statement betekent 'niet omleiden naar dit IP' op de WLC in Cisco IOS XE. Op het toegangspunt betekent de verklaring 'ontkennen' echter het tegenovergestelde. Dus, deze checkbox ruilt automatisch alle vergunningen en ontkent ze wanneer het de druk naar de AP. U kunt dit verifiëren met een  show ip access list van de AP CLI).

Opmerking: in Flexconnect lokaal switchingscenario moet de ACL specifiek terugkeerverklaringen vermelden (wat niet per se vereist is in de lokale modus), zodat al uw ACL-regels betrekking hebben op beide manieren van verkeer (van en naar de ISE bijvoorbeeld).

Vergeet niet te raken  Save en vervolgens  Update and apply to the device.

Certificaten

Om de client vertrouwen te hebben in het web authenticatie certificaat, is het niet nodig om een certificaat te installeren op de WLC, aangezien het enige certificaat dat wordt gepresenteerd het ISE certificaat is (dat moet worden vertrouwd door de client).

Verifiëren

U kunt deze opdrachten gebruiken om de huidige configuratie te verifiëren.

# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

Hier is het relevante deel van de configuratie van de WLC dat overeenkomt met dit voorbeeld:

aaa new-model
!
aaa authorization network CWAauthz group radius
aaa accounting identity CWAacct start-stop group radius
!
aaa server radius dynamic-author
 client <ISE-IP> server-key cisco123
!
aaa session-id common
!
!
radius server ISE-server
 address ipv4 <ISE-IP> auth-port 1812 acct-port 1813
 key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile

wireless profile policy default-policy-profile
 aaa-override
 nac
 vlan 1416
 no shutdown
wireless tag policy cwa-policy-tag
 wlan cwa-ssid policy default-policy-profile
wlan cwa-ssid 4 cwa-ssid
 mac-filtering CWAauthz
 no security ft adaptive
 no security wpa
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 no security wpa akm dot1x
 no shutdown

ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server

Problemen oplossen

Checklist

• Zorg ervoor dat de client verbinding maakt en een geldig IP-adres krijgt.
• Als de omleiding niet automatisch is, open een browser en probeer een willekeurig IP-adres. Bijvoorbeeld 10.0.0.1. Als de omleiding werkt, is het mogelijk dat u een DNS resolutieprobleem hebt. Controleer dat u een geldige DNS-server via DHCP hebt en dat het hostnamen kan oplossen. 
• Zorg ervoor dat u de opdracht heeft  ip http server geconfigureerd voor omleiding op HTTP om te werken. De web admin portal configuratie is gekoppeld aan de web authenticatie portal configuratie en het moet worden vermeld op poort 80 om omleiden. U kunt ervoor kiezen om deze globaal in te schakelen (met behulp van de opdracht)  ip http server) of u kunt HTTP inschakelen voor de alleen webverificatiemodule (met behulp van de opdracht)  webauth-http-enable onder de parameterkaart).
• Als u niet wordt doorgestuurd wanneer u probeert om toegang te krijgen tot een HTTPS URL en dat is vereist, dan controleert u of u de opdracht heeft  intercept-https-enable onder de parameterkaart:
  
  

parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx

U kunt ook via de GUI controleren of u de optie 'Web Auth intercept HTTPS' hebt ingeschakeld op de Parameter Map:
  

Ondersteuning van servicepoort voor RADIUS

De Cisco Catalyst 9800 Series draadloze controller heeft een servicepoort die wordt aangeduid als  GigabitEthernet 0port. Vanaf versie 17.6.1 wordt RADIUS (inclusief CoA) ondersteund via deze poort.

Als u de servicepoort voor RADIUS wilt gebruiken, hebt u deze configuratie nodig:

aaa server radius dynamic-author 
client 10.48.39.28 vrf Mgmt-intf server-key cisco123

interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 ip address x.x.x.x x.x.x.x

!if using aaa group server:
aaa group server radius group-name
 server name nicoISE
 ip vrf forwarding Mgmt-intf
 ip radius source-interface GigabitEthernet0

Debugs verzamelen

WLC 9800 biedt ALTIJD-ON traceermogelijkheden. Dit zorgt ervoor dat alle client-connectiviteit gerelateerde fouten, waarschuwingen en meldingen voortdurend worden vastgelegd en u kunt logbestanden bekijken voor een incident of storing nadat het is opgetreden.

Opmerking: u kunt een paar uur terug naar meerdere dagen in de logbestanden, maar het hangt af van het volume van de gegenereerde logbestanden.

Om de sporen te bekijken die 9800 WLC standaard heeft verzameld, kunt u via SSH/Telnet verbinding maken met de 9800 WLC en deze stappen uitvoeren (zorg ervoor dat u de sessie aan een tekstbestand registreert).

Stap 1. Controleer de WLC huidige tijd zodat u de logbestanden kunt volgen in de tijd terug naar toen het probleem gebeurde.

# show clock

Stap 2. Verzamel syslogs van de buffer WLC of externe syslog zoals die door de systeemconfiguratie wordt gedicteerd. Dit geeft een snel overzicht van de gezondheid van het systeem en eventuele fouten.

# show logging

Stap 3. Controleer of de debug-voorwaarden zijn ingeschakeld.

# show debugging
Cisco IOS XE Conditional Debug Configs:

Conditional Debug Global State: Stop

Cisco IOS XE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Opmerking: als u een van de vermelde voorwaarden ziet, betekent dit dat de sporen zijn aangemeld om het debug-niveau te bereiken voor alle processen die de ingeschakelde voorwaarden ervaren (mac-adres, IP-adres, enzovoort). Dit verhoogt het volume van logboeken. Daarom wordt aanbevolen om alle voorwaarden te wissen wanneer u niet actief debug.

Stap 4. Met de aanname dat het te testen mac-adres niet als een voorwaarde in Stap 3 vermeld was., verzamel de altijd-op meldingen niveau sporen voor het specifieke mac-adres.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

U kunt de inhoud op de sessie weergeven of u kunt het bestand kopiëren naar een externe TFTP-server.

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Voorwaardelijke debugging en radio actieve tracering

Als de altijd-op sporen u niet genoeg informatie geven om de trigger voor het probleem dat wordt onderzocht te bepalen, kunt u voorwaardelijke debugging inschakelen en Radio Active (RA)-spoor opnemen, dat debug-level sporen biedt voor alle processen die interacteren met de gespecificeerde voorwaarde (client mac-adres in dit geval). Ga verder met deze stappen om voorwaardelijke debugging mogelijk te maken.

Stap 5. Zorg ervoor dat geen debug voorwaarden zijn ingeschakeld.

# clear platform condition all

Stap 6. Schakel de debug-voorwaarde in voor het draadloze client-MAC-adres dat u wilt controleren.

Met deze opdrachten wordt het opgegeven MAC-adres 30 minuten (1800 seconden) bewaakt. U kunt deze tijd optioneel tot 2085978494 seconden verlengen.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

Opmerking: als u meer dan één client tegelijk wilt bewaken, voert u debug draadloze mac uit   opdracht per mac-adres.

Opmerking: u ziet de output van de client activiteit niet op de terminal sessie, omdat alles intern wordt gebufferd om later bekeken te worden.

Stap 7". Reproduceer het probleem of gedrag dat u wilt controleren.

Stap 8. Stop de debugs als het probleem wordt gereproduceerd voordat de standaard of de ingestelde monitortijd is ingesteld.

# no debug wireless mac <aaaa.bbbb.cccc>

Zodra de monitortijd is verstreken of de debug-radio is gestopt, genereert de 9800 WLC een lokaal bestand met de naam:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Stap 9. Verzamel het bestand met de MAC-adresactiviteit. U kunt de  ra trace .log naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.

Controleer de naam van het RA traces bestand.

# dir bootflash: | inc ra_trace

Kopieert het bestand naar een externe server:

# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log  tftp://a.b.c.d/ra-FILENAME.txt

Geef de inhoud weer:

# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log 

Stap 10. Als de worteloorzaak nog niet duidelijk is, verzamel de interne logboeken die een meer uitgebreide mening van debug-niveau logboeken zijn. U hoeft niet opnieuw te debuggen de client als we nemen alleen een verdere gedetailleerde kijk op debug logs die al zijn verzameld en intern opgeslagen.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Opmerking: deze opdrachtoutput geeft sporen voor alle logniveaus voor alle processen en is vrij omvangrijk. Neem Cisco TAC in om te helpen bij het doorlopen van deze sporen.

U kunt de  ra-internal-FILENAME.txt naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.

Kopieert het bestand naar een externe server:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

Geef de inhoud weer:

# more bootflash:ra-internal-<FILENAME>.txt

Stap 11. Verwijder de debug-voorwaarden.

# clear platform condition all

Opmerking: Zorg ervoor dat u altijd de debug-voorwaarden verwijdert na een probleemoplossingssessie.

Voorbeelden

Als het verificatieresultaat niet is wat u verwacht, is het belangrijk om naar de ISE te navigeren  Operations > Live logs pagina en ontvang de details van het verificatieresultaat.

U krijgt de reden voor de storing (als er een storing is) en alle Radius-kenmerken die ISE heeft ontvangen.

In het volgende voorbeeld weigerde ISE verificatie omdat er geen autorisatieregel overeenkwam. Dit komt doordat het kenmerk Call-Station-ID wordt verzonden als de naam van de SSID wordt toegevoegd aan het MAC-adres van het AP, terwijl de autorisatie exact overeenkomt met de naam van de SSID. Met de wijziging van die regel wordt het probleem opgelost in "bevat" in plaats van "gelijk".

Nadat u dit hebt opgelost, kan de wifi-client nog steeds niet associëren met de SSID, terwijl ISE beweert dat de autorisatie een succes is en de juiste CWA-kenmerken heeft teruggegeven.

U kunt naar de  Troubleshooting > Radioactive trace pagina van de WLC web UI.

in de meeste gevallen kunt u vertrouwen op de altijd-on logboeken en zelfs krijgen logboeken van eerdere verbindingspogingen zonder de reproductie van het probleem opnieuw.

Voeg het mac-adres van de client toe en klik op  Generate  zoals in de afbeelding.

In dit geval ligt het probleem bij het feit dat u een typo hebt gemaakt toen u de ACL-naam maakte en het komt niet overeen met de ACL-naam die door ISEs is geretourneerd of de WLC klaagt dat er geen dergelijke ACL is zoals de door ISE gevraagde ACL:

2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162  client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42, 
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.