Externe webverificatie configureren en oplossen op 9800 WLC

Inleiding

In dit document wordt beschreven hoe u externe webverificatie (EWA) configureert en problemen oplost op een Catalyst 9800 Wireless LAN Controller (WLC).

Voorwaarden

In dit document wordt ervan uitgegaan dat de webserver correct is geconfigureerd om externe communicatie mogelijk te maken en dat de webpagina correct is geconfigureerd om alle benodigde parameters te verzenden voor de WLC om de gebruiker te verifiëren en cliensessies te verplaatsen naar de status RUN.

Opmerking: Aangezien de toegang tot externe bronnen door de WLC wordt beperkt via toegangslijstmachtigingen, moeten alle scripts, lettertypen, afbeeldingen enzovoort die op de webpagina worden gebruikt, worden gedownload en lokaal op de webserver blijven.

Noodzakelijke parameters voor gebruikersverificatie zijn:

• buttonClicked: Deze parameter moet worden ingesteld op de waarde "4" voor de WLC om de actie te detecteren als een verificatiepoging.
• redirectUrl: De waarde in deze parameter wordt door de controller gebruikt om de client naar een specifieke website te leiden na succesvolle authenticatie.
• err_flag: Deze parameter wordt gebruikt om een fout aan te geven, zoals onvolledige informatie of onjuiste referenties, op succesvolle authenticaties is deze ingesteld op "0".
• gebruikersnaam: Deze parameter wordt alleen gebruikt voor webauth-parameterkaarten, als parametertoewijzing is ingesteld op toestemming, kan deze worden genegeerd. Deze moet worden ingevuld met de gebruikersnaam van de draadloze client.
• wachtwoord: Deze parameter wordt alleen gebruikt voor webauth-parameterkaarten, als parametertoewijzing is ingesteld op toestemming, kan deze worden genegeerd. Deze moet worden ingevuld met het wachtwoord voor de draadloze client.

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Webontwikkeling Hyper Text Markup Language (HTML)
• Cisco IOS®-XE draadloze functies
• Ontwikkelaarstools voor webbrowsers

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• C9800-CL WLC Cisco IOS®-XE Versie 17.3.3
• Microsoft Windows Server 2012 met mogelijkheden voor Internet Information Services (IIS)
• 2802- en 9117-toegangspunten

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Externe webverificatie maakt gebruik van een webportaal dat buiten WLC wordt gehost op een speciale webserver of multifunctionele servers zoals Identity Services Engine (ISE) die granulaire toegang tot en beheer van webcomponenten mogelijk maken. De handshake die nodig is om een client met succes aan boord van een externe webverificatie WLAN wordt weergegeven in de afbeelding. In het image worden sequentiële interacties weergegeven tussen de draadloze client, WLC, de DNS-server (Domain Name System) die Uniform Resource Location (URL) oplost en de webserver waar WLC de gebruikersreferenties lokaal valideert. Deze workflow is nuttig om problemen met eventuele faalomstandigheden op te lossen. 

Opmerking: Als beveiligde webverificatie is ingeschakeld in de parametertoewijzing en als de WLC geen trustpoint heeft dat is ondertekend door een vertrouwde certificeringsinstantie, wordt een beveiligingswaarschuwing weergegeven in de browser voordat HTTP POST van client naar WLC wordt opgeroepen. De client moet deze waarschuwing omzeilen en het opnieuw indienen van formulieren accepteren, zodat de controller cliensessies in de status RUN kan plaatsen.

Configureren

Netwerkdiagram

Instellingen webparameter configureren

Stap 1. Navigeer naar Configuratie > Beveiliging > Web Auth en kies de globale parametermap. Controleer of het virtuele IPv4-adres en Trustpoint zijn geconfigureerd om de juiste omleidingsmogelijkheden te bieden. Als IPv6 is ingeschakeld in uw netwerk, is het ook verplicht om een virtueel IPv6-adres te configureren. Zonder virtuele IP's kan de omleiding niet plaatsvinden en kunnen inloggegevens op een onveilige manier worden verzonden.

Opmerking: browsers gebruiken standaard een HTTP-website om het omleidingsproces te starten, als HTTPS-omleiding nodig is, moeten HTTP's worden gecontroleerd; deze configuratie wordt echter niet aanbevolen omdat het CPU-gebruik toeneemt.

CLI-configuratie:

9800#configure terminal
9800(config)#parameter-map type webauth global
9800(config-params-parameter-map)#virtual-ip ipv4 192.0.2.1
9800(config-params-parameter-map)#trustpoint CISCO_IDEVID_SUDI
9800(config-params-parameter-map)#secure-webauth-disable
9800(config-params-parameter-map)#webauth-http-enable

Stap 2. Selecteer + Toevoegen en configureer een naam voor de nieuwe parametertoewijzing die naar de externe server verwijst. Configureer optioneel het maximale aantal HTTP-verificatiefouten voordat de client wordt uitgesloten en de tijd (in seconden) dat een client in de webverificatiestatus kan blijven.

Stap 3. Selecteer de nieuw gemaakte parametertoewijzing op het tabblad Algemeen en configureer het verificatietype in de vervolgkeuzelijst Type. 

• Parameter-map name = Naam toegewezen aan de WebAuth Parameter map
• Maximale HTTP-verbindingen = aantal verificatiefouten voordat client wordt uitgesloten
• Init-State Timeout (sec) = Seconden waarop een client de webverificatiestatus kan gebruiken
• Type = Type webverificatie 

webauth	authbypass	instemming	webtoestemming
	De client maakt verbinding met de SSID en krijgt een IP-adres en vervolgens de 9800 WLC controleert of het MAC-adres  is toegestaan om de Netwerk, zo ja, dan wordt het verplaatst om de staat uit te voeren, als dat niet het geval is Niet toegestaan om mee te doen. (Het valt niet terug op webauthenticatie)

Stap 4. Configureer op het tabblad Geavanceerd de omleiding voor aanmeldings- en IPV4-portaaladres met respectievelijk de specifieke URL en het IP-adres van de serversite.

CLI-configuratie voor stap 2, 3 en 4:

9800(config)#parameter-map type webauth EWA-Guest
9800(config-params-parameter-map)#type consent
9800(config-params-parameter-map)#redirect for-login http://172.16.80.8/webauth/login.html
9800(config-params-parameter-map)#redirect portal ipv4 172.16.80.8

Stap 5. (Optioneel) WLC kan de extra parameters verzenden via Query String. Dit is vaak nodig om 9800 compatibel te maken met externe portals van derden. De velden "Omleiden toevoegen voor MAC-adres van AP", "Omleiden toevoegen voor MAC-adres van client" en "Omleiden toevoegen voor WLAN-SSID" maken het mogelijk extra parameters toe te voegen aan de omleiding ACL met een aangepaste naam. Selecteer de nieuw gemaakte parametertoewijzing en navigeer naar het tabblad Geavanceerd, configureer de naam voor de benodigde parameters. Beschikbare parameters zijn:

• AP MAC-adres (in de indeling aa:bb:cc:dd:ee:ff)
• MAC-adres van client (in de indeling aa:bb:cc:dd:ee:ff)
• SSID-naam

CLI-configuratie:

9800(config)#parameter-map type webauth EWA-Guest
9800(config-params-parameter-map)#redirect append ap-mac tag ap_mac
9800(config-params-parameter-map)#redirect append wlan-ssid tag ssid
9800(config-params-parameter-map)#redirect append client-mac tag client_mac

In dit voorbeeld resulteert de URL voor omleiding die naar de client is verzonden in:

 http://172.16.80.8/webauth/consent.html?switch_url=http://192.0.2.1/login.html&ap_mac=&ssid=&client_mac=

Opmerking: wanneer u het IPV4-adres van het portaal toevoegt informatie die het automatisch een ACL toevoegt die het HTTP- en HTTPS-verkeer van de draadloze clients naar de externe webverificatieserver mogelijk maakt, zodat u geen extra pre-authentische ACL hoeft te configureren Als u meerdere IP-adressen of URL's wilt toestaan, is de enige optie om een URL-filter te configureren zodat eventuele IP-overeenkomende gegeven URL's zijn toegestaan voordat de verificatie plaatsvindt. Het is niet mogelijk om statisch meer dan één portaal IP-adres toe te voegen, tenzij u URL-filters gebruikt.

Opmerking: Globale parametertoewijzing is de enige manier waarop u een virtueel IPv4- en IPv6-adres kunt definiëren, HTTP's kunt onderscheppen, een intern bypassportaal kunt gebruiken, de wachtlijst kunt inschakelen en de time-outinstellingen voor het verstrijken van de wachtlijst kunt inschakelen.    

Overzicht van CLI-configuratie:

Lokale webserver

parameter-map type webauth <web-parameter-map-name>
 type { webauth | authbypass | consent | webconsent }
 timeout init-state sec 300
 banner text ^Cbanner login^C

Externe webserver

parameter-map type webauth <web-parameter-map-name>
 type webauth
 timeout init-state sec 300
 redirect for-login <URL-for-webauth>
 redirect portal ipv4 <external-server's-IP
 max-http-conns 10

AAA-instellingen configureren

Dit configuratiegedeelte is alleen nodig voor parameters en kaarten die zijn geconfigureerd voor het verificatietype webauth of webconsent.

Stap 1. Navigeer naar Configuratie > Beveiliging > AAA en selecteer vervolgens AAA-methodenlijst. Configureer een nieuwe methodenlijst, selecteer + Toevoegen en vul de lijstdetails in; zorg ervoor dat Type is ingesteld op "login" zoals weergegeven in de afbeelding.

Stap 2. Selecteer Autorisatie en selecteer + Toevoegen om een nieuwe methodenlijst te maken. Noem het standaard met Type als netwerk zoals weergegeven in de afbeelding.

Opmerking: Zoals door de controller wordt geadverteerd tijdens de beveiligingsconfiguratie van WLAN layer 3: Zorg ervoor dat de configuratie 'aaa authorisation network default local' op het apparaat bestaat, zodat de lijst met lokale aanmeldingsmethoden werkt. Dit betekent dat de lijst met autorisatiemethoden met de standaardnaam moet worden gedefinieerd om lokale webverificatie correct te configureren. In deze sectie wordt deze specifieke autorisatiemethode geconfigureerd.

CLI-configuratie voor stap 1 en 2:

9800(config)#aaa new-model
9800(config)#aaa authentication login local-auth local
9800(config)#aaa authorization network default local

Opmerking: als externe RADIUS-verificatie nodig is, leest u deze instructies voor de RADIUS-serverconfiguratie op 9800 WLC's: AAA Config op 9800 WLC. Zorg ervoor dat de lijst met verificatiemethoden "login" als type heeft ingesteld in plaats van punt1x.

Stap 3. Ga naar Configuratie > Beveiliging > Gastgebruiker. Selecteer + Add and configure guest user account details.

CLI-configuratie:

9800(config)#user-name guestuser
9800(config-user-name)#description "WebAuth user"
9800(config-user-name)#password 0 
9800(config-user-name)#type network-user description "WebAuth user" guest-user lifetime year 1
If permanent users are needed then use this command:
9800(config)#username guestuserperm privilege 0 secret 0 

Stap 4. (Optioneel) Bij de definitie van de parameterkaart worden automatisch een aantal toegangscontrolelijsten (ACL's) gemaakt. Deze ACL's worden gebruikt om te bepalen welk verkeer een omleiding naar een webserver triggert en welk verkeer mag passeren. Als er specifieke vereisten bestaan, zoals meerdere IP-adressen of URL-filters van de webserver, gaat u naar Configuratie > Beveiliging > ACL selecteren + Toevoegen en definieert u de benodigde regels; machtigingsverklaringen worden omgeleid terwijl weigeringsverklaringen definiëren waar verkeer doorheen gaat.

Automatisch aangemaakte ACL-regels zijn:

alz-9800#show ip access-list
Extended IP access list WA-sec-172.16.80.8
10 permit tcp any host 172.16.80.8 eq www
20 permit tcp any host 172.16.80.8 eq 443
30 permit tcp host 172.16.80.8 eq www any
40 permit tcp host 172.16.80.8 eq 443 any
50 permit tcp any any eq domain
60 permit udp any any eq domain
70 permit udp any any eq bootpc
80 permit udp any any eq bootps
90 deny ip any any (1288 matches)
Extended IP access list WA-v4-int-172.16.80.8
10 deny tcp any host 172.16.80.8 eq www
20 deny tcp any host 172.16.80.8 eq 443
30 permit tcp any any eq www
40 permit tcp any host 192.0.2.1 eq 443

Beleid en tags configureren

Stap 1. Navigeer naar Configuratie > Tags en profielen > WLAN's, selecteer + Toevoegen om een nieuw WLAN te maken. Definieer profiel en SSID-naam en status op het tabblad Algemeen.

Stap 2. Selecteer het tabblad Beveiliging en stel Layer 2-verificatie in op Geen als u geen coderingsmechanisme via de ether nodig hebt. Selecteer op het tabblad Laag 3 het vak Webbeleid, selecteer de parametertoewijzing in de vervolgkeuzelijst en kies de verificatielijst in het vervolgkeuzemenu. Als eerder een aangepaste ACL is gedefinieerd, selecteert u Geavanceerde instellingen tonen en selecteert u de juiste ACL in het vervolgkeuzemenu.

CLI-configuraties:

9800(config)#wlan EWA-Guest 4 EWA-Guest
9800(config-wlan)# no security ft adaptive
9800(config-wlan)# no security wpa
9800(config-wlan)# no security wpa wpa2
9800(config-wlan)# no security wpa wpa2 ciphers aes
9800(config-wlan)# no security wpa akm dot1x
9800(config-wlan)# security web-auth
9800(config-wlan)# security web-auth authentication-list local-auth
9800(config-wlan)# security web-auth parameter-map EWA-Guest
9800(config-wlan)# no shutdown

Stap 3. Navigeer naar Configuratie > Tags en profielen > Beleid en selecteer + Toevoegen. Definieer de naam en status van het beleid en zorg ervoor dat de centrale instellingen onder het WLAN-switchbeleid zijn ingeschakeld voor toegangspunten in de lokale modus. Selecteer op het tabblad Toegangsbeleid het juiste VLAN in het vervolgkeuzemenu VLAN/VLAN-groep, zoals weergegeven in de afbeelding.

CLI-configuratie:

9800(config)#wireless profile policy Guest-Policy
9800(config-wireless-policy)#description "Policy for guest access"
9800(config-wireless-policy)#vlan VLAN2621
9800(config-wireless-policy)#no shutdown

Stap 4. Navigeer naar Configuratie > Tags & Profielen > Tags, selecteer + Toevoegen op het tabblad Beleid. Definieer een tagnaam en selecteer vervolgens onder WLAN-POLICY Maps + Toevoegen en voeg het eerder gemaakte WLAN- en beleidsprofiel toe.

CLI-configuratie:

9800(config)#wireless tag policy EWA-Tag
9800(config-policy-tag)#wlan EWA-Guest policy Guest-Policy

Stap 5. Navigeer naar Configuratie > Draadloos > Toegangspunten en selecteer het toegangspunt dat wordt gebruikt om deze SSID uit te zenden. Selecteer in het menu AP bewerken de nieuw gemaakte tag in het vervolgkeuzemenu Beleid.

Als meerdere toegangspunten tegelijkertijd moeten worden gelabeld, zijn er twee opties beschikbaar:

Optie A. Navigeer naar Configuratie > Draadloze installatie > Geavanceerd en selecteer Nu starten om de configuratiemenu weer te geven. Selecteer het lijstpictogram naast Tag-AP's, dit geeft de lijst weer van alle AP's in de status Join, controleer de benodigde AP's en selecteer + Tag-AP's, selecteer de gemaakte beleidstag in het vervolgkeuzemenu.

Optie B. Navigeer naar Configuratie > Tags & Profielen > Tags. Selecteer vervolgens het tabblad AP. Selecteer op het tabblad Filter de optie + Toevoegen. Definieer de naam van de regel, de naam van het toegangspunt regex (met deze instelling kan de controller bepalen welke toegangspunten zijn gecodeerd), de prioriteit (lagere nummers hebben een hogere prioriteit) en de benodigde tags.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt:

9800#show running-config wlan
9800#show running-config aaa
9800#show aaa servers
9800#show ap tag summary
9800#show ap name  config general 
9800#show ap name  tag detail
9800#show wlan [summary | id | name | all]
9800#show wireless tag policy detailed 
9800#show wireless profile policy detailed 

Controleer de status en beschikbaarheid van de http-server met toon de status van de ip-http-server:

9800#show ip http server status
HTTP server status: Enabled
HTTP server port: 80
HTTP server active supplementary listener ports: 21111
HTTP server authentication method: local
HTTP server auth-retry 0 time-window 0
HTTP server digest algorithm: md5
HTTP server access class: 0
HTTP server IPv4 access class: None
HTTP server IPv6 access class: None
[...]
HTTP server active session modules: ALL
HTTP secure server capability: Present
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: rsa-aes-cbc-sha2 rsa-aes-gcm-sha2
dhe-aes-cbc-sha2 dhe-aes-gcm-sha2 ecdhe-rsa-aes-cbc-sha2
ecdhe-rsa-aes-gcm-sha2 ecdhe-ecdsa-aes-gcm-sha2
HTTP secure server TLS version: TLSv1.2 TLSv1.1
HTTP secure server client authentication: Disabled
HTTP secure server PIV authentication: Disabled
HTTP secure server PIV authorization only: Disabled
HTTP secure server trustpoint: CISCO_IDEVID_SUDI
HTTP secure server peer validation trustpoint:
HTTP secure server ECDHE curve: secp256r1
HTTP secure server active session modules: ALL

Verifieer de sessie van ACL-loodgieter naar client met de volgende opdrachten:

9800#show platform software wireless-client chassis active R0 mac-address 
ID : 0xa0000002
MAC address : aaaa.bbbb.cccc
Type : Normal
Global WLAN ID : 4
SSID : EWA-Guest
Client index : 0
Mobility state : Local
Authentication state : L3 Authentication
VLAN ID : 2621
[...]
Disable IPv6 traffic : No
Dynamic policy template : 0x7b 0x73 0x0b 0x1e 0x46 0x2a 0xd7 0x8f 0x23 0xf3 0xfe 0x9e 0x5c 0xb0 0xeb 0xf8

9800#show platform software cgacl chassis active F0
Template ID Group Index Lookup ID Number of clients
---------------------------------------------------------------------------------------------------------------------------------------------
0x7B 0x73 0x0B 0x1E 0x46 0x2A 0xD7 0x8F 0x23 0xF3 0xFE 0x9E 0x5C 0xB0 0xEB 0xF8 0x0000000a 0x0000001a 1

9800#show platform software cgacl chassis active F0 group-idx  acl
Acl ID Acl Name CGACL Type Protocol Direction Sequence
---------------------------------------------------------------------------------------------------------
16 IP-Adm-V6-Int-ACL-global Punt IPv6 IN 1
25 WA-sec-172.16.80.8 Security IPv4 IN 2
26 WA-v4-int-172.16.80.8 Punt IPv4 IN 1
19 implicit_deny Security IPv4 IN 3
21 implicit_deny_v6 Security IPv6 IN 3
18 preauth_v6 Security IPv6 IN 2

Problemen oplossen

Always-on tracing

De WLC 9800 biedt Always-ON-traceringsmogelijkheden. Dit zorgt ervoor dat alle connectiviteitsgerelateerde fouten, waarschuwingen en meldingen op meldingsniveau voortdurend worden geregistreerd en dat u logboeken kunt bekijken voor een incident of een storing nadat deze zich heeft voorgedaan.

Opmerking: op basis van het volume van de gegenereerde logs kunt u teruggaan van enkele uren naar meerdere dagen.

Om de sporen te bekijken die 9800 WLC standaard heeft verzameld, kunt u via SSH/Telnet verbinding maken met de 9800 WLC en deze stappen lezen (zorg ervoor dat u de sessie aanmeldt bij een tekstbestand).

Stap 1. Controleer de huidige tijd van de controller, zodat u de logs kunt volgen in de tijd terug naar het moment waarop het probleem zich voordeed.

9800#show clock

Stap 2. Verzamel syslogs van de controllerbuffer of de externe syslog zoals voorgeschreven door de systeemconfiguratie. Dit geeft een snel overzicht van de systeemstatus en eventuele fouten.

9800#show logging

Stap 3. Controleer of eventuele foutopsporingsvoorwaarden zijn ingeschakeld.

9800#show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address                                               Port
------------------------------------------------------|----------

Opmerking: Als u een voorwaarde ziet die wordt vermeld, betekent dit dat de sporen zijn aangemeld op foutopsporingsniveau voor alle processen die de ingeschakelde voorwaarden tegenkomen (mac-adres, IP-adres, enzovoort). Dit zou het volume van de logboeken vergroten. Daarom wordt aanbevolen om alle voorwaarden te wissen wanneer niet actief debuggen.

Stap 4. Met de aanname dat het geteste mac-adres niet als voorwaarde in stap 3 werd vermeld. Verzamel de altijd-aan-meldingsniveausporen voor het specifieke mac-adres.

9800# show logging profile wireless filter [mac | ip] [ | ] to-file always-on-

U kunt de inhoud van de sessie weergeven of het bestand kopiëren naar een externe TFTP-server.

9800# more bootflash:always-on-
or
9800# copy bootflash:always-on- tftp:////always-on-

Voorwaardelijke foutopsporing en radioactieve tracering

Als de always-on traces u niet genoeg informatie geven om de trigger voor het onderzochte probleem te bepalen, kunt u voorwaardelijke debugging inschakelen en Radio Active (RA)-tracering vastleggen, die foutopsporingsniveau-traces biedt voor alle processen die interageren met de opgegeven voorwaarde (client-MAC-adres in dit geval). Lees deze stappen om voorwaardelijk foutopsporing in te schakelen.

Stap 1. Zorg ervoor dat er geen foutopsporingsvoorwaarden zijn ingeschakeld.

9800#clear platform condition all

Stap 2. Schakel de foutopsporingsvoorwaarde in voor het draadloze MAC-adres van de client dat u wilt controleren.

Met deze opdrachten wordt het opgegeven MAC-adres gedurende 30 minuten (1800 seconden) gecontroleerd. U kunt deze tijd optioneel verhogen tot 2085978494 seconden.

9800#debug wireless mac  {monitor-time }

Opmerking: Als u meer dan één client tegelijk wilt controleren, voert u de opdracht foutopsporing draadloze mac per mac-adres uit.

Opmerking: de activiteit van de draadloze client wordt niet weergegeven op de terminalsessie, omdat alle logs intern worden gebufferd om later te kunnen worden bekeken.

Stap 3. Reproduceer het probleem of gedrag dat u wilt controleren.

Stap 4. Stop de foutopsporing als het probleem wordt gereproduceerd voordat de standaard of geconfigureerde monitortijd is verstreken.

9800#no debug wireless mac 

Nadat de monitortijd is verstreken of het draadloze foutopsporingsbericht is gestopt, genereert de 9800 WLC een lokaal bestand met de naam:

ra_trace_MAC_aabbbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Stap 5. Verzamel het bestand van de MAC-adresactiviteit.  U kunt het log voor het traceren van gegevens kopiëren naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.

Controleer de naam van het RA-traces-bestand.

9800#dir bootflash: | inc ra_trace

Kopieer het bestand naar een externe server:

9800#copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp:///ra-FILENAME.txt

De inhoud weergeven:

9800#more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Stap 6. Als de hoofdoorzaak nog steeds niet duidelijk is, verzamelt u de interne logs die een uitgebreidere weergave zijn van logboeken op debugniveau. U hoeft de client niet opnieuw te debuggen, omdat de opdracht debug-logs biedt die al zijn verzameld en intern zijn opgeslagen.

9800#show logging profile wireless internal filter [mac | ip] [ | ] to-file ra-internal-.txt

Opmerking: deze opdrachtuitvoer retourneert sporen voor alle logboekniveaus voor alle processen en is vrij omvangrijk. Neem contact op met Cisco TAC om deze sporen te ontleden.

9800#copy bootflash:ra-internal-.txt tftp:///ra-internal-.txt

De inhoud weergeven:

9800#more bootflash:ra-internal-.txt

Stap 7. Verwijder de foutopsporingsvoorwaarden.

Opmerking: zorg ervoor dat u altijd de foutopsporingsvoorwaarden verwijdert na een probleemoplossingssessie.

Ingebouwde pakketopnamen

9800-controllers kunnen pakketten native snuiven; dit maakt het gemakkelijker om problemen op te lossen als de zichtbaarheid van de pakketverwerking van het controlevliegtuig.

Stap 1. Definieer een ACL om verkeer van interesse te filteren. Voor webverificatie wordt aanbevolen verkeer van en naar de webserver toe te staan, evenals verkeer van en naar een paar toegangspunten waarmee clients zijn verbonden.

9800(config)#ip access-list extended EWA-pcap
9800(config-ext-nacl)#permit ip any host 
9800(config-ext-nacl)#permit ip host  any
9800(config-ext-nacl)#permit ip any host 
9800(config-ext-nacl)#permit ip host  any

Stap 2. Definieer de parameters voor het vastleggen van de monitor. Zorg ervoor dat de besturing van het vliegtuigverkeer in beide richtingen is ingeschakeld, interface verwijst naar de fysieke uplink van uw controller.

9800#monitor capture EWA buffer size 
9800#monitor capture EWA access-list EWA-pcap
9800#monitor capture EWA control-plane both interface  both

9800#show monitor capture EWA
Status Information for Capture EWA
Target Type:
Interface: Control Plane, Direction: BOTH
Interface: TenGigabitEthernet0/1/0, Direction: BOTH
Status : Inactive
Filter Details:
Access-list: EWA-pcap
Inner Filter Details:
Buffer Details:
Buffer Type: LINEAR (default)
Buffer Size (in MB): 100
Limit Details:
Number of Packets to capture: 0 (no limit)
Packet Capture duration: 0 (no limit)
Packet Size to capture: 0 (no limit)
Packet sampling rate: 0 (no sampling)

Stap 3. Start de monitor om het probleem vast te leggen en te reproduceren.

9800#monitor capture EWA start
Started capture point : EWA

Stap 4. Stop de monitor met vastleggen en exporteren.

9800#monitor capture EWA stop
Stopped capture point : EWA
9800#monitor capture EWA export tftp://<a.b.c.d>/EWA.pcap

U kunt de opname ook downloaden via de GUI, naar Problemen oplossen > Pakketvastlegging gaan en Exporteren selecteren op de geconfigureerde opname. Selecteer desktop in het vervolgkeuzemenu om de opname via HTTP te downloaden naar de gewenste map.

Problemen oplossen aan clientzijde

WLAN's voor webverificatie zijn afhankelijk van het gedrag van de client. Op basis hiervan is kennis en informatie over het gedrag van de client de sleutel voor het identificeren van de hoofdoorzaak van fouten bij webverificatie.

Problemen met HAR Browser oplossen

Veel moderne browsers, zoals Mozilla Firefox en Google Chrome, bieden tools voor consoleontwikkelaars om interacties met webtoepassingen te debuggen. HAR-bestanden zijn records van client-serverinteracties en bieden een tijdlijn van HTTP-interacties samen met verzoek- en antwoordinformatie (headers, statuscode, parameters, enzovoort).

HAR-bestanden kunnen worden geëxporteerd vanuit de clientbrowser en geïmporteerd in een andere browser voor verdere analyse. In dit document wordt beschreven hoe u het HAR-bestand van Mozilla Firefox kunt verzamelen.

Stap 1. Open Web Developer Tools met Ctrl + Shift + I, of klik met de rechtermuisknop in de browserinhoud en selecteer Inspect.

Stap 2. Navigeer naar Netwerk, zorg ervoor dat "Alles" is geselecteerd om alle aanvraagtypen vast te leggen. Selecteer het tandwielpictogram en zorg ervoor dat er een pijl naast het logbestand blijft staan, anders worden logboekaanvragen gewist wanneer een domeinwijziging wordt geactiveerd.

Stap 3. Reproduceer het probleem en zorg ervoor dat de browser alle verzoeken registreert. Zodra het probleem is gereproduceerd, stopt u de netwerklogboekregistratie en selecteert u het tandwielpictogram en selecteert u Alles opslaan als HAR.

Vastleggen van pakketten aan clientzijde

Draadloze clients met een besturingssysteem zoals Windows of MacOS kunnen pakketten op hun draadloze kaartadapter ruiken. Hoewel ze geen directe vervanging zijn van pakketopnames over de lucht, kunnen ze een blik werpen op de algehele webauthenticatiestroom.

DNS-verzoek:

Eerste TCP-handshake en HTTP GET voor omleiding:

TCP-handshake met externe server:

HTTP GET naar externe server (captive portal request):

HTTP POST naar virtueel IP voor verificatie:

Voorbeeld van een geslaagde poging

Dit is de uitvoer van een geslaagde verbindingspoging vanuit het perspectief van Radio Active trace. Gebruik dit als referentie om cliensessiefasen te identificeren voor clients die verbinding maken met een Layer 3-webverificatie-SSID.

802.11 Authenticatie en associatie:

2021/09/28 12:59:51.781967 {wncd_x_R0-0}{1}: [client-orch-sm] [26328]: (note): MAC: 3423.874c.6bf7 Association received. BSSID 0cd0.f897.ae60, WLAN EWA-Guest, Slot 0 AP 0cd0.f897.ae60, C9117AXI-lobby
2021/09/28 12:59:51.782009 {wncd_x_R0-0}{1}: [client-orch-sm] [26328]: (debug): MAC: 3423.874c.6bf7 Received Dot11 association request. Processing started,SSID: EWA-Guest, Policy profile: Guest-Policy, AP Name: C9117AXI-lobby, Ap Mac Address: 0cd0.f897.ae60 BSSID MAC0000.0000.0000 wlan ID: 4RSSI: -39, SNR: 0
2021/09/28 12:59:51.782152 {wncd_x_R0-0}{1}: [client-orch-state] [26328]: (note): MAC: 3423.874c.6bf7 Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
2021/09/28 12:59:51.782357 {wncd_x_R0-0}{1}: [dot11-validate] [26328]: (info): MAC: 3423.874c.6bf7 WiFi direct: Dot11 validate P2P IE. P2P IE not present.
2021/09/28 12:59:51.782480 {wncd_x_R0-0}{1}: [dot11] [26328]: (debug): MAC: 3423.874c.6bf7 dot11 send association response. Sending association response with resp_status_code: 0 
2021/09/28 12:59:51.782483 {wncd_x_R0-0}{1}: [dot11] [26328]: (debug): MAC: 3423.874c.6bf7 Dot11 Capability info byte1 1, byte2: 14
2021/09/28 12:59:51.782509 {wncd_x_R0-0}{1}: [dot11-frame] [26328]: (info): MAC: 3423.874c.6bf7 WiFi direct: skip build Assoc Resp with P2P IE: Wifi direct policy disabled
2021/09/28 12:59:51.782519 {wncd_x_R0-0}{1}: [dot11] [26328]: (info): MAC: 3423.874c.6bf7 dot11 send association response. Sending assoc response of length: 115 with resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS
2021/09/28 12:59:51.782611 {wncd_x_R0-0}{1}: [dot11] [26328]: (note): MAC: 3423.874c.6bf7 Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False 
2021/09/28 12:59:51.782626 {wncd_x_R0-0}{1}: [dot11] [26328]: (info): MAC: 3423.874c.6bf7 DOT11 state transition: S_DOT11_INIT -> S_DOT11_ASSOCIATED
2021/09/28 12:59:51.782676 {wncd_x_R0-0}{1}: [client-orch-sm] [26328]: (debug): MAC: 3423.874c.6bf7 Station Dot11 association is successful. 

Layer 2-verificatie overgeslagen:

2021/09/28 12:59:51.782727 {wncd_x_R0-0}{1}: [client-orch-sm] [26328]: (debug): MAC: 3423.874c.6bf7 Starting L2 authentication. Bssid in state machine:0cd0.f897.ae60 Bssid in request is:0cd0.f897.ae60 
2021/09/28 12:59:51.782745 {wncd_x_R0-0}{1}: [client-orch-state] [26328]: (note): MAC: 3423.874c.6bf7 Client state transition: S_CO_ASSOCIATING -> S_CO_L2_AUTH_IN_PROGRESS
2021/09/28 12:59:51.782785 {wncd_x_R0-0}{1}: [client-auth] [26328]: (note): MAC: 3423.874c.6bf7 L2 Authentication initiated. method WEBAUTH, Policy VLAN 2621,AAA override = 0
2021/09/28 12:59:51.782803 {wncd_x_R0-0}{1}: [sanet-shim-translate] [26328]: (ERR): 3423.874c.6bf7 wlan_profile Not Found : Device information attributes not populated
[...]
2021/09/28 12:59:51.787912 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_PENDING -> S_AUTHIF_L2_WEBAUTH_PENDING
2021/09/28 12:59:51.787953 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_PENDING -> S_AUTHIF_L2_WEBAUTH_DONE
2021/09/28 12:59:51.787966 {wncd_x_R0-0}{1}: [client-orch-sm] [26328]: (debug): MAC: 3423.874c.6bf7 L2 Authentication of station is successful., L3 Authentication : 1

ACL-lood:

2021/09/28 12:59:51.785227 {wncd_x_R0-0}{1}: [webauth-sm] [26328]: (info): [ 0.0.0.0]Starting Webauth, mac [34:23:87:4c:6b:f7],IIF 0 , audit-ID 041510AC0000000E2C7D71DB
2021/09/28 12:59:51.785307 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [26328]: (info): [0000.0000.0000:unknown] Retrieved zone id 0x0 for bssid 12364632846202045372
2021/09/28 12:59:51.785378 {wncd_x_R0-0}{1}: [webauth-acl] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 0.0.0.0]Applying IPv4 intercept ACL via SVM, name: WA-v4-int-172.16.80.8, priority: 50, IIF-ID: 0
2021/09/28 12:59:51.785738 {wncd_x_R0-0}{1}: [epm-redirect] [26328]: (info): [0000.0000.0000:unknown] URL-Redirect-ACL = WA-v4-int-172.16.80.8
2021/09/28 12:59:51.786324 {wncd_x_R0-0}{1}: [webauth-acl] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 0.0.0.0]Applying IPv6 intercept ACL via SVM, name: IP-Adm-V6-Int-ACL-global, priority: 52, IIF-ID: 0
2021/09/28 12:59:51.786598 {wncd_x_R0-0}{1}: [epm-redirect] [26328]: (info): [0000.0000.0000:unknown] URL-Redirect-ACL = IP-Adm-V6-Int-ACL-global
2021/09/28 12:59:51.787904 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_AWAIT_L2_WEBAUTH_START_RESP -> S_AUTHIF_L2_WEBAUTH_PENDING

IP Learn-proces:

2021/09/28 12:59:51.799515 {wncd_x_R0-0}{1}: [client-orch-state] [26328]: (note): MAC: 3423.874c.6bf7 Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
2021/09/28 12:59:51.799716 {wncd_x_R0-0}{1}: [client-iplearn] [26328]: (info): MAC: 3423.874c.6bf7 IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
2021/09/28 12:59:51.802213 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_L2_WEBAUTH_DONE
2021/09/28 12:59:51.916777 {wncd_x_R0-0}{1}: [sisf-packet] [26328]: (debug): RX: ARP from interface capwap_9000000b on vlan 2621 Source MAC: 3423.874c.6bf7 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 3423.874c.6bf7 ARP target MAC: 0000.0000.0000 ARP sender IP: 0.0.0.0, ARP target IP: 172.16.21.153
[...]
2021/09/28 12:59:52.810136 {wncd_x_R0-0}{1}: [client-iplearn] [26328]: (note): MAC: 3423.874c.6bf7 Client IP learn successful. Method: ARP IP: 172.16.21.153
2021/09/28 12:59:52.810185 {wncd_x_R0-0}{1}: [epm] [26328]: (info): [0000.0000.0000:unknown] HDL = 0x0 vlan 2621 fail count 0 dirty_counter 0 is_dirty 0
2021/09/28 12:59:52.810404 {wncd_x_R0-0}{1}: [auth-mgr] [26328]: (info): [3423.874c.6bf7:capwap_9000000b] auth mgr attr change notification is received for attr (8)
2021/09/28 12:59:52.810794 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [26328]: (info): [0000.0000.0000:unknown] Retrieved zone id 0x0 for bssid 12364632846202045372
2021/09/28 12:59:52.810863 {wncd_x_R0-0}{1}: [client-iplearn] [26328]: (info): MAC: 3423.874c.6bf7 IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE

Layer 3-verificatie en omleidingsproces:

2021/09/28 12:59:52.811141 {wncd_x_R0-0}{1}: [client-auth] [26328]: (note): MAC: 3423.874c.6bf7 L3 Authentication initiated. LWA 
2021/09/28 12:59:52.811154 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
2021/09/28 12:59:55.324550 {wncd_x_R0-0}{1}: [webauth-httpd] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]GET rcvd when in LOGIN state
2021/09/28 12:59:55.324565 {wncd_x_R0-0}{1}: [webauth-httpd] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]HTTP GET request
2021/09/28 12:59:55.324588 {wncd_x_R0-0}{1}: [webauth-httpd] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]Parse GET, src [172.16.21.153] dst [x.x.x.x] url [http://browser-test-website/]
[...]
2021/09/28 13:01:29.859434 {wncd_x_R0-0}{1}: [webauth-httpd] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]POST rcvd when in LOGIN state
2021/09/28 13:01:29.859636 {wncd_x_R0-0}{1}: [webauth-acl] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]Unapply IPv4 intecept ACL via SVM, name "WA-v4-int-172.16.80.8", pri 50, IIF 0 
2021/09/28 13:01:29.860335 {wncd_x_R0-0}{1}: [webauth-acl] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]Unapply IPv6 intecept ACL via SVM, name "IP-Adm-V6-Int-ACL-global", pri 52, IIF 0
2021/09/28 13:01:29.861092 {wncd_x_R0-0}{1}: [auth-mgr] [26328]: (info): [3423.874c.6bf7:capwap_9000000b] Authc success from WebAuth, Auth event success
2021/09/28 13:01:29.861151 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [26328]: (note): Authentication Success. Resolved Policy bitmap:0 for client 3423.874c.6bf7
2021/09/28 13:01:29.862867 {wncd_x_R0-0}{1}: [client-auth] [26328]: (note): MAC: 3423.874c.6bf7 L3 Authentication Successful. ACL:[]
2021/09/28 13:01:29.862871 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE

Overgang naar de status RUN:

2021/09/28 13:01:29.863176 {wncd_x_R0-0}{1}: [client-auth] [26328]: (note): MAC: 3423.874c.6bf7 ADD MOBILE sent. Client state flags: 0x78 BSSID: MAC: 0cd0.f897.ae60 capwap IFID: 0x9000000b
2021/09/28 13:01:29.863272 {wncd_x_R0-0}{1}: [errmsg] [26328]: (info): %CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: Username entry (3423.874C.6BF7) joined with ssid (EWA-Guest) for device with MAC: 3423.874c.6bf7
2021/09/28 13:01:29.863334 {wncd_x_R0-0}{1}: [aaa-attr-inf] [26328]: (info): [ Applied attribute :bsn-vlan-interface-name 0 "VLAN2621" ]
2021/09/28 13:01:29.863336 {wncd_x_R0-0}{1}: [aaa-attr-inf] [26328]: (info): [ Applied attribute : timeout 0 1800 (0x708) ]
2021/09/28 13:01:29.863343 {wncd_x_R0-0}{1}: [aaa-attr-inf] [26328]: (info): [ Applied attribute : url-redirect-acl 0 "IP-Adm-V4-LOGOUT-ACL" ]
2021/09/28 13:01:29.863387 {wncd_x_R0-0}{1}: [ewlc-qos-client] [26328]: (info): MAC: 3423.874c.6bf7 Client QoS run state handler
2021/09/28 13:01:29.863409 {wncd_x_R0-0}{1}: [rog-proxy-capwap] [26328]: (debug): Managed client RUN state notification: 3423.874c.6bf7 
2021/09/28 13:01:29.863451 {wncd_x_R0-0}{1}: [client-orch-state] [26328]: (note): MAC: 3423.874c.6bf7 Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RUN