Inleiding
Dit document beschrijft hoe u een draadloos LAN van de CWA kunt configureren op een Catalyst 9800 WLC en ISE.
Voorwaarden
Vereisten
Cisco raadt u aan bekend te zijn met de configuratie van 9800 draadloze LAN-controllers (WLC).
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- 980 WLC Cisco IOS® XE Gibraltar v17.6.x
- Identity Service Engine (ISE) v3.0
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Het CWA-proces wordt hier getoond waar u het CWA-proces van een Apple-apparaat als voorbeeld kunt zien:
Configureren
Netwerkdiagram
AAA-configuratie op 9800 WLC
Stap 1. Voeg de ISE-server toe aan de 9800 WLC-configuratie.
Naar navigeren Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add
en voer de RADIUS-serverinformatie in zoals in de afbeeldingen.
Zorg ervoor dat ondersteuning voor CoA is ingeschakeld als u van plan bent om in de toekomst gebruik te maken van Central Web Verification (of een ander soort beveiliging die CoA vereist).
Opmerking: Zorg er bij versie 17.4.X en hoger voor dat u de CoA-servertoets ook configureert wanneer u de RADIUS-server configureert. Gebruik dezelfde sleutel als het gedeelde geheim (deze zijn standaard hetzelfde bij ISE). Het doel is om optioneel een andere sleutel voor CoA dan het gedeelde geheim te configureren als dat is wat uw RADIUS-server heeft geconfigureerd. In Cisco IOS XE 17.3 gebruikte de web-UI gewoon hetzelfde gedeelde geheim als de CoA-toets.
Stap 2. Maak een lijst met autorisatiemethoden.
Naar navigeren Configuration > Security > AAA > AAA Method List > Authorization > + Add
zoals in de afbeelding.
Stap 3. (Optioneel) Maak een lijst met boekhoudmethoden zoals in de afbeelding.
Opmerking: CWA werkt niet als u besluit de taakverdeling (vanaf de Cisco IOS XE CLI-configuratie) voor uw radiusservers in te stellen vanwege Cisco bug-id CSCvh03827. Het gebruik van externe lastverdelers is prima.
Stap 4. (Optioneel) U kunt het AAA-beleid definiëren om de SSID-naam te verzenden als een Calling-station-id attribuut, dat nuttig kan zijn als u later in het proces van deze voorwaarde op ISE wilt profiteren.
Naar navigeren Configuration > Security > Wireless AAA Policy
en bewerk het standaard AAA-beleid of maak een nieuw beleid.
U kunt kiezen SSID
als optie 1. Vergeet niet dat zelfs wanneer u alleen SSID kiest, de aangeroepen station-id nog steeds het AP MAC-adres aan de SSID-naam toevoegt.
WLAN-configuratie
Stap 1. Maak het WLAN.
Naar navigeren Configuration > Tags & Profiles > WLANs > + Add
en configureer het netwerk naar wens.
Stap 2. Voer de algemene informatie over WLAN in.
Stap 3. Naar het Security
tabblad en kies de gewenste beveiligingsmethode. In dit geval maakt alleen 'MAC Filtering' en de AAA-autorisatielijst (die u in Stap 2 hebt aangemaakt) deel uit van het AAA Configuration
deel) nodig zijn.
CLI:
#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown
Configuratie van beleidsprofiel
Binnen een beleidsprofiel kunt u beslissen de clients toe te wijzen aan wie VLAN, onder andere instellingen (zoals ACL’s (toegangscontrolelijst), Quality of Service (QoS), mobiliteitsanker, timers enzovoort).
U kunt uw standaardbeleidsprofiel gebruiken of u kunt een nieuw profiel maken.
GUI:
Stap 1. Een nieuwe map maken Policy Profile
.
Naar navigeren Configuration > Tags & Profiles > Policy
en configureer uw default-policy-profile
of maak een nieuwe.
Zorg ervoor dat het profiel is ingeschakeld.
Stap 2. Kies VLAN.
Naar het Access Policies
tabblad en kies de VLAN-naam uit de vervolgkeuzelijst of typ handmatig de VLAN-ID. Configureer geen ACL in het beleidsprofiel.
Stap 3. Configureer het beleidsprofiel om ISE-overschrijvingen te accepteren (AAA-overschrijding toestaan) en wijziging van autorisatie (CoA) (NAC-status). U kunt optioneel ook een boekhoudingsmethode specificeren.
CLI:
# config
# wireless profile policy <policy-profile-name>
# aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown
Configuratie van beleidstag
Binnen de Policy Tag is waar u uw SSID koppelt aan uw Policy Profile. U kunt een nieuwe Policy Tag maken of de standaard-policy tag gebruiken.
Opmerking: De standaard-beleidstag brengt automatisch elke SSID met een WLAN-id tussen 1 en 16 in kaart aan het standaard-beleidsprofiel. Dit kan niet worden gewijzigd of verwijderd. Als u een WLAN met ID 17 of hoger hebt, kan de standaard-beleidstag niet worden gebruikt.
GUI:
Naar navigeren Configuration > Tags & Profiles > Tags > Policy
en voeg indien nodig een nieuwe toe zoals in de afbeelding.
Koppel uw WLAN-profiel aan het gewenste beleidsprofiel.
CLI:
# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>
Toewijzing van beleidstags
Wijs de beleidstag toe aan de benodigde toegangspunten.
GUI:
Als u de tag wilt toewijzen aan één AP, navigeer dan naar Configuration > Wireless > Access Points > AP Name > General Tags
, maak de gewenste toewijzing en klik vervolgens op Update & Apply to Device
.
Opmerking: Houd er rekening mee dat nadat u de beleidstag op een AP hebt gewijzigd, deze de associatie met de 9800 WLC verliest en zich binnen ongeveer 1 minuut opnieuw aansluit.
Als u dezelfde beleidsmarkering aan meerdere toegangspunten wilt toewijzen, navigeer dan naar Configuration > Wireless > Wireless Setup > Advanced > Start Now
.
Kies de toegangspunten waaraan u de tag wilt toewijzen en klik op + Tag APs
zoals in de afbeelding.
Kies de gekleurde tag en klik op Save & Apply to Device
zoals in de afbeelding.
CLI:
# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end
Configuratie ACL-omleiding
Stap 1. Naar navigeren Configuration > Security > ACL > + Add
om een nieuwe ACL te maken.
Kies een naam voor de ACL en maak deze IPv4 Extended
typ en voeg elke regel toe als een reeks zoals in de afbeelding.
U moet verkeer naar uw ISE-PSN-knooppunten ontkennen en DNS weigeren en alle rest toestaan. Deze omleiden ACL is geen security ACL maar een punt ACL die bepaalt welk verkeer naar de CPU gaat (op vergunningen) voor verdere behandeling (zoals omleiding) en welk verkeer op het dataplatform blijft (op ontkennen) en omleiding vermijdt.
De ACL moet er zo uitzien (vervang 10.48.39.28 door uw ISE IP-adres in dit voorbeeld):
Opmerking: voor de omleiding ACL, denk aan de deny
actie als een ontkenningsomleiding (ontken geen verkeer) en de permit
actie als omleiding van de vergunning. De WLC kijkt alleen naar verkeer dat het kan omleiden (poorten 80 en 443 standaard).
CLI:
ip access-list extended REDIRECT
deny ip any host <ISE-IP>
deny ip host<ISE-IP> any
deny udp any any eq domain
deny udp any eq domain any
permit tcp any any eq 80
Opmerking: als u de ACL met een permit ip any any
in plaats van een vergunning gericht op poort 80, de WLC ook omleidt HTTPS, wat vaak onwenselijk is omdat het zijn eigen certificaat moet verstrekken en altijd leidt tot een certificaatschending. Dit is de uitzondering op de vorige verklaring die zegt dat u geen certificaat op de WLC nodig hebt in het geval van CWA: u hebt er een nodig als u HTTPS-interceptie ingeschakeld hebt, maar het wordt toch nooit als geldig beschouwd.
U kunt de ACL verbeteren door actie om alleen de gastpoort 8443 aan de ISE-server te ontkennen.
Omleiding voor HTTP of HTTPS inschakelen
De web admin portal configuratie is verbonden met de web authenticatie portal configuratie en het moet luisteren op poort 80 om te leiden. Daarom moet HTTP ingeschakeld zijn om de omleiding goed te laten werken. U kunt ervoor kiezen om deze globaal in te schakelen (met behulp van de opdracht) ip http server
) of u kunt HTTP inschakelen voor de alleen webverificatiemodule (met behulp van de opdracht) webauth-http-enable
onder de parameterkaart).
Als u wilt worden omgeleid wanneer u probeert om toegang te krijgen tot een HTTPS URL, voeg dan de opdracht toe intercept-https-enable
onder de parameterkaart maar merk op dit geen optimale configuratie is, dat het een invloed op de WLC CPU heeft en hoe dan ook certificaatfouten genereert:
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
U kunt dit ook doen via de GUI met de optie 'Web Auth intercept HTTPS' ingeschakeld in de Parameter Map (Configuration > Security > Web Auth
).
Opmerking: browsers gebruiken standaard een HTTP-website om het omleidingsproces te starten. Als er een HTTPS-omleiding nodig is, moet Web Auth Intercept HTTPS worden gecontroleerd. Deze configuratie wordt echter niet aanbevolen omdat deze het CPU-gebruik verhoogt.
ISE-configuratie
De 9800 WLC toevoegen aan ISE
Stap 1. Open de ISE-console en ga naarAdministration > Network Resources > Network Devices > Add
zoals in de afbeelding.
Stap 2. Configureer het netwerkapparaat.
Optioneel kan het een opgegeven modelnaam, softwareversie en beschrijving zijn en netwerkapparaatgroepen toewijzen op basis van apparaattypen, locatie of WLC's.
Het IP-adres komt hier overeen met de WLC-interface die de verificatieaanvragen verstuurt. Standaard is dit de beheerinterface zoals in het afbeelding:
Raadpleeg voor meer informatie over netwerkapparaatgroepen het hoofdstuk van de ISE-beheerhandleiding: Netwerkapparaten beheren: ISE - Network Device Groepen.
Nieuwe gebruiker maken op ISE
Stap 1. Naar navigeren Administration > Identity Management > Identities > Users > Add
zoals in de afbeelding.
Stap 2. Voer de informatie in.
In dit voorbeeld, behoort deze gebruiker tot een groep genoemd ALL_ACCOUNTS
maar het kan naar behoefte worden aangepast, zoals wordt aangegeven in de afbeelding.
Autorisatieprofiel maken
Het beleidsprofiel is het resultaat dat aan een client is toegewezen op basis van de parameters (zoals mac-adres, referenties, gebruikt WLAN, enzovoort). Het kan specifieke instellingen toewijzen, zoals Virtual Local Area Network (VLAN), Access Control Lists (ACL’s), Uniform Resource Locator (URL) omleidingen, enzovoort.
Let op dat in recente versies van ISE al een Cisco_Webauth-autorisatieresultaat bestaat. Hier, kunt u het bewerken om de omleiding ACL naam te wijzigen om aan te passen wat u op de WLC hebt geconfigureerd.
Stap 1. Naar navigeren Policy > Policy Elements > Results > Authorization > Authorization Profiles
. Klik op de knop add
om uw eigen bestand te maken of het bestand te bewerken Cisco_Webauth
standaardresultaat.
Stap 2. Voer de omleidingsinformatie in. Zorg ervoor dat de ACL-naam hetzelfde is als de naam die op de 9800 WLC is geconfigureerd.
Verificatieregel configureren
Stap 1. Een beleidsset definieert een verzameling verificatie- en autorisatieregels. Om een studie te maken, navigeer naarPolicy > Policy Sets
Klik op het tandwiel van de eerste beleidsset in de lijst en kiesInsert new row
or click the blue arrow on the right to choose the defaut Policy Set.
Stap 2. Uitbreiden Authentication
beleid. Voor de MAB
regel (match op bekabeld of draadloos MAB), uitbreiden Options
, en kies de CONTINUE
optie voor het geval dat u 'Als Gebruiker niet gevonden' ziet.
Stap 3. Klik op de knop Save
om de wijzigingen op te slaan.
Autorisatieregels configureren
De autorisatieregel is de regel die bepaalt welke permissies (welk autorisatieprofiel) op de client worden toegepast.
Stap 1. Op dezelfde pagina met beleidsregels sluit u de Authentication Policy
en uitbreiden Authorziation Policy
zoals in de afbeelding.
Stap 2. Recente ISE-versies beginnen met een vooraf gemaakte regel met de naam Wifi_Redirect_to_Guest_Login
die grotendeels aan onze behoeften voldoet. Draai het grijze teken links naar enable
.
Stap 3. Die regel past alleen Wireless_MAB aan en geeft de CWA-omleidingskenmerken terug. Nu kunt u optioneel een kleine draai toevoegen en het alleen laten overeenkomen met de specifieke SSID. Kies de voorwaarde (Wireless_MAB vanaf nu) om de Condities Studio te laten verschijnen. Voeg een voorwaarde aan de rechterkant toe en kies de Radius
woordenboek met de Called-Station-ID
kenmerken. Zorg dat het overeenkomt met uw SSID naam. Valideren met de Use
onder op het scherm zoals in het beeld wordt weergegeven.
Stap 4. U hebt nu een tweede regel nodig, gedefinieerd met een hogere prioriteit, die overeenkomt met de Guest Flow
voorwaarde om de netwerktoegangsgegevens terug te sturen zodra de gebruiker een verificatie heeft uitgevoerd op de portal. U kunt de Wifi Guest Access
regel die standaard ook is gemaakt bij recente ISE-versies. Dan hoeft u de regel alleen maar in te schakelen met een groen teken aan de linkerkant. U kunt de standaard PermitAccess teruggeven of preciezere toegangslijstbeperkingen configureren.
Stap 5. Sla de regels op.
Klik op de knop Save
aan de onderkant van de regels.
Alleen FlexConnect lokale switching-access points
Wat als u Flexconnect lokale switching access points en WLAN’s hebt? De vorige secties zijn nog steeds geldig. U moet echter een extra stap zetten om de doorverwijzing van ACL naar de AP's van te voren in te drukken.
Naar navigeren Configuration > Tags & Profiles > Flex
en kies uw Flex-profiel. Navigeer vervolgens naar het Policy ACL
tabblad.
Klik op de knop Add
zoals in de afbeelding.
Kies uw omleiden ACL naam en laat centrale webverificatie toe. Dit selectievakje zal automatisch de ACL op de AP zelf omkeren (dit komt doordat een 'deny' statement betekent 'niet omleiden naar dit IP' op de WLC in Cisco IOS XE. Op het toegangspunt betekent de verklaring 'ontkennen' echter het tegenovergestelde. Dus, deze checkbox ruilt automatisch alle vergunningen en ontkent ze wanneer het de druk naar de AP. U kunt dit verifiëren met een show ip access list
van de AP CLI).
Opmerking: in Flexconnect lokaal switchingscenario moet de ACL specifiek terugkeerverklaringen vermelden (wat niet per se vereist is in de lokale modus), zodat al uw ACL-regels betrekking hebben op beide manieren van verkeer (van en naar de ISE bijvoorbeeld).
Vergeet niet te raken Save
en vervolgens Update and apply to the device
.
Certificaten
Om de client vertrouwen te hebben in het web authenticatie certificaat, is het niet nodig om een certificaat te installeren op de WLC, aangezien het enige certificaat dat wordt gepresenteerd het ISE certificaat is (dat moet worden vertrouwd door de client).
Verifiëren
U kunt deze opdrachten gebruiken om de huidige configuratie te verifiëren.
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Hier is het relevante deel van de configuratie van de WLC dat overeenkomt met dit voorbeeld:
aaa new-model
!
aaa authorization network CWAauthz group radius
aaa accounting identity CWAacct start-stop group radius
!
aaa server radius dynamic-author
client <ISE-IP> server-key cisco123
!
aaa session-id common
!
!
radius server ISE-server
address ipv4 <ISE-IP> auth-port 1812 acct-port 1813
key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile
wireless profile policy default-policy-profile
aaa-override
nac
vlan 1416
no shutdown
wireless tag policy cwa-policy-tag
wlan cwa-ssid policy default-policy-profile
wlan cwa-ssid 4 cwa-ssid
mac-filtering CWAauthz
no security ft adaptive
no security wpa
no security wpa wpa2
no security wpa wpa2 ciphers aes
no security wpa akm dot1x
no shutdown
ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server
Problemen oplossen
Checklist
- Zorg ervoor dat de client verbinding maakt en een geldig IP-adres krijgt.
- Als de omleiding niet automatisch is, open een browser en probeer een willekeurig IP-adres. Bijvoorbeeld 10.0.0.1. Als de omleiding werkt, is het mogelijk dat u een DNS resolutieprobleem hebt. Controleer dat u een geldige DNS-server via DHCP hebt en dat het hostnamen kan oplossen.
- Zorg ervoor dat u de opdracht heeft
ip http server
geconfigureerd voor omleiding op HTTP om te werken. De web admin portal configuratie is gekoppeld aan de web authenticatie portal configuratie en het moet worden vermeld op poort 80 om omleiden. U kunt ervoor kiezen om deze globaal in te schakelen (met behulp van de opdracht) ip http server
) of u kunt HTTP inschakelen voor de alleen webverificatiemodule (met behulp van de opdracht) webauth-http-enable
onder de parameterkaart).
- Als u niet wordt doorgestuurd wanneer u probeert om toegang te krijgen tot een HTTPS URL en dat is vereist, dan controleert u of u de opdracht heeft
intercept-https-enable
onder de parameterkaart:
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
U kunt ook via de GUI controleren of u de optie 'Web Auth intercept HTTPS' hebt ingeschakeld op de Parameter Map:
Ondersteuning van servicepoort voor RADIUS
De Cisco Catalyst 9800 Series draadloze controller heeft een servicepoort die wordt aangeduid als GigabitEthernet 0
port. Vanaf versie 17.6.1 wordt RADIUS (inclusief CoA) ondersteund via deze poort.
Als u de servicepoort voor RADIUS wilt gebruiken, hebt u deze configuratie nodig:
aaa server radius dynamic-author
client 10.48.39.28 vrf Mgmt-intf server-key cisco123
interface GigabitEthernet0
vrf forwarding Mgmt-intf
ip address x.x.x.x x.x.x.x
!if using aaa group server:
aaa group server radius group-name
server name nicoISE
ip vrf forwarding Mgmt-intf
ip radius source-interface GigabitEthernet0
Debugs verzamelen
WLC 9800 biedt ALTIJD-ON traceermogelijkheden. Dit zorgt ervoor dat alle client-connectiviteit gerelateerde fouten, waarschuwingen en meldingen voortdurend worden vastgelegd en u kunt logbestanden bekijken voor een incident of storing nadat het is opgetreden.
Opmerking: u kunt een paar uur terug naar meerdere dagen in de logbestanden, maar het hangt af van het volume van de gegenereerde logbestanden.
Om de sporen te bekijken die 9800 WLC standaard heeft verzameld, kunt u via SSH/Telnet verbinding maken met de 9800 WLC en deze stappen uitvoeren (zorg ervoor dat u de sessie aan een tekstbestand registreert).
Stap 1. Controleer de WLC huidige tijd zodat u de logbestanden kunt volgen in de tijd terug naar toen het probleem gebeurde.
# show clock
Stap 2. Verzamel syslogs van de buffer WLC of externe syslog zoals die door de systeemconfiguratie wordt gedicteerd. Dit geeft een snel overzicht van de gezondheid van het systeem en eventuele fouten.
# show logging
Stap 3. Controleer of de debug-voorwaarden zijn ingeschakeld.
# show debugging
Cisco IOS XE Conditional Debug Configs:
Conditional Debug Global State: Stop
Cisco IOS XE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Opmerking: als u een van de vermelde voorwaarden ziet, betekent dit dat de sporen zijn aangemeld om het debug-niveau te bereiken voor alle processen die de ingeschakelde voorwaarden ervaren (mac-adres, IP-adres, enzovoort). Dit verhoogt het volume van logboeken. Daarom wordt aanbevolen om alle voorwaarden te wissen wanneer u niet actief debug.
Stap 4. Met de aanname dat het te testen mac-adres niet als een voorwaarde in Stap 3 vermeld was., verzamel de altijd-op meldingen niveau sporen voor het specifieke mac-adres.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
U kunt de inhoud op de sessie weergeven of u kunt het bestand kopiëren naar een externe TFTP-server.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Voorwaardelijke debugging en radio actieve tracering
Als de altijd-op sporen u niet genoeg informatie geven om de trigger voor het probleem dat wordt onderzocht te bepalen, kunt u voorwaardelijke debugging inschakelen en Radio Active (RA)-spoor opnemen, dat debug-level sporen biedt voor alle processen die interacteren met de gespecificeerde voorwaarde (client mac-adres in dit geval). Ga verder met deze stappen om voorwaardelijke debugging mogelijk te maken.
Stap 5. Zorg ervoor dat geen debug voorwaarden zijn ingeschakeld.
# clear platform condition all
Stap 6. Schakel de debug-voorwaarde in voor het draadloze client-MAC-adres dat u wilt controleren.
Met deze opdrachten wordt het opgegeven MAC-adres 30 minuten (1800 seconden) bewaakt. U kunt deze tijd optioneel tot 2085978494 seconden verlengen.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Opmerking: als u meer dan één client tegelijk wilt bewaken, voert u debug draadloze mac uit
opdracht per mac-adres.
Opmerking: u ziet de output van de client activiteit niet op de terminal sessie, omdat alles intern wordt gebufferd om later bekeken te worden.
Stap 7". Reproduceer het probleem of gedrag dat u wilt controleren.
Stap 8. Stop de debugs als het probleem wordt gereproduceerd voordat de standaard of de ingestelde monitortijd is ingesteld.
# no debug wireless mac <aaaa.bbbb.cccc>
Zodra de monitortijd is verstreken of de debug-radio is gestopt, genereert de 9800 WLC een lokaal bestand met de naam:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Stap 9. Verzamel het bestand met de MAC-adresactiviteit. U kunt de ra trace .log
naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.
Controleer de naam van het RA traces bestand.
# dir bootflash: | inc ra_trace
Kopieert het bestand naar een externe server:
# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Geef de inhoud weer:
# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Stap 10. Als de worteloorzaak nog niet duidelijk is, verzamel de interne logboeken die een meer uitgebreide mening van debug-niveau logboeken zijn. U hoeft niet opnieuw te debuggen de client als we nemen alleen een verdere gedetailleerde kijk op debug logs die al zijn verzameld en intern opgeslagen.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Opmerking: deze opdrachtoutput geeft sporen voor alle logniveaus voor alle processen en is vrij omvangrijk. Neem Cisco TAC in om te helpen bij het doorlopen van deze sporen.
U kunt de ra-internal-FILENAME.txt
naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.
Kopieert het bestand naar een externe server:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Geef de inhoud weer:
# more bootflash:ra-internal-<FILENAME>.txt
Stap 11. Verwijder de debug-voorwaarden.
# clear platform condition all
Opmerking: Zorg ervoor dat u altijd de debug-voorwaarden verwijdert na een probleemoplossingssessie.
Voorbeelden
Als het verificatieresultaat niet is wat u verwacht, is het belangrijk om naar de ISE te navigeren Operations > Live logs
pagina en ontvang de details van het verificatieresultaat.
U krijgt de reden voor de storing (als er een storing is) en alle Radius-kenmerken die ISE heeft ontvangen.
In het volgende voorbeeld weigerde ISE verificatie omdat er geen autorisatieregel overeenkwam. Dit komt doordat het kenmerk Call-Station-ID wordt verzonden als de naam van de SSID wordt toegevoegd aan het MAC-adres van het AP, terwijl de autorisatie exact overeenkomt met de naam van de SSID. Met de wijziging van die regel wordt het probleem opgelost in "bevat" in plaats van "gelijk".
Nadat u dit hebt opgelost, kan de wifi-client nog steeds niet associëren met de SSID, terwijl ISE beweert dat de autorisatie een succes is en de juiste CWA-kenmerken heeft teruggegeven.
U kunt naar de Troubleshooting > Radioactive trace
pagina van de WLC web UI.
in de meeste gevallen kunt u vertrouwen op de altijd-on logboeken en zelfs krijgen logboeken van eerdere verbindingspogingen zonder de reproductie van het probleem opnieuw.
Voeg het mac-adres van de client toe en klik op Generate
zoals in de afbeelding.
In dit geval ligt het probleem bij het feit dat u een typo hebt gemaakt toen u de ACL-naam maakte en het komt niet overeen met de ACL-naam die door ISEs is geretourneerd of de WLC klaagt dat er geen dergelijke ACL is zoals de door ISE gevraagde ACL:
2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162 client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42,
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.