& Configureer probleemoplossing in downloadbare ACL’s op Catalyst 9800
Inhoud
Inleiding
Dit document beschrijft hoe u downloadbare ACL’s (dACL’s) op Catalyst 9800 draadloze LAN-controller (WLC) kunt configureren en problemen kunt oplossen.
Achtergrondinformatie
ACL’s worden al vele jaren ondersteund in Cisco IOS® en IOS XE® switches. Een dACL verwijst naar het feit dat het netwerkapparaat dynamisch de ACL-vermeldingen van de RADIUS-server downloadt wanneer verificatie plaatsvindt, in plaats van een lokale kopie van de ACL te hebben en gewoon de ACL-naam te krijgen. Er is een completer voorbeeld van Cisco ISE-configuratie beschikbaar. Dit document concentreert zich op Cisco Catalyst 9800 die dACL’s voor centrale switching sinds de 17.10-release ondersteunt.
Voorwaarden
Het idee achter dit document is het gebruik van dACL’s op Catalyst 9800 aan te tonen door middel van een eenvoudig voorbeeld van de SSID-configuratie, dat laat zien hoe deze volledig aanpasbaar kunnen zijn.
Op Catalyst 9800 draadloze controller zijn downloadbare ACL’s
- Ondersteund vanaf de Cisco IOS XE Dublin 17.10.1 release.
-
Alleen ondersteund voor gecentraliseerde controller met Local Mode Access points (of Flexconnect Central-switching). FlexConnect Local Switching ondersteunt geen dACL.
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Catalyst draadloze 9800 configuratiemodel.
- Cisco IP-toegangscontrolelijsten (ACL’s).
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Catalyst 9800-CL (v. Dublin 17.12.03).
- ISE (versie 3.2)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Door deze configuratiegids, zelfs als de methodes verschillend zijn (bijvoorbeeld WLAN-verificatie, beleidsconfiguratie, enzovoort), is het eindresultaat hetzelfde. In het hier weergegeven scenario worden twee gebruikersidentiteiten gedefinieerd als GEBRUIKER1 en GEBRUIKER2. Beiden krijgen toegang tot het draadloze netwerk. Aan elk van hen wordt, respectievelijk, ACL_USER1 en ACL_USER2 toegewezen die dACLs zijn die door Catalyst 9800 van ISE worden gedownload.
Gebruik van dACL’s met 802.1x SSID’s.
Netwerkdiagram
WLC-configuratie
Raadpleeg voor meer informatie over de configuratie en probleemoplossing van 802.1x SID's op Catalyst 9800 de configuratiehandleiding Configure 802.1X verificatie op Catalyst 9800 Wireless Controller Series.
WLC#configure terminal
WLC(config)#wlan DACL_DOT1X_SSID 2 DACL_DOT1X_SSID
WLC(config-wlan)#security dot1x authentication-list DOT1X
WLC(config-wlan)#no shutdownVia de GUI:
Navigeer naar Configuratie > Tags & profielen > Beleid, selecteer het gebruikte beleidsprofiel en configureer het zoals getoond.
Van de CLI:
WLC#configure terminal
WLC(config)#wireless profile policy DACL-8021X
WLC(config-wireless-policy)#aaa-override
WLC(config-wireless-policy)#vlan VLAN_1413
WLC(config-wireless-policy)#no shutdownStap 3. Wijs het beleidsprofiel en de SSID toe aan de gebruikte beleidstag.
Via de GUI:
Navigeren naar Configuratie > Tags & profielen > Tags. Maak (of selecteer) de gebruikte tag op het tabblad Policy en wijs er het WLAN- en beleidsprofiel aan toe dat tijdens stap 1-2 is gedefinieerd.
Van de CLI:
WLC#configure terminal
WLC(config)#wireless tag policy default-policy-tag
WLC(config-policy-tag)#description "default policy-tag"
WLC(config-policy-tag)#wlan DACL_DOT1X_SSID policy DACL-8021XStap 4. Sta leverancierspecifieke kenmerken toe.
Downloadbare ACL’s worden via leverancierspecifieke kenmerken (VSA) doorgegeven in de RADIUS-uitwisseling tussen ISE en WLC. De ondersteuning van deze eigenschappen kan worden ingeschakeld op de WLC, met behulp van deze CLI opdracht.
Van de CLI:
WLC#configure terminal
WLC(config)#radius-server vsa send authenticationStap 5. Standaardautorisatielijst configureren.
Wanneer het werken met dACL, moet de netwerkvergunning door RADIUS voor WLC worden afgedwongen om het even welke gebruiker te machtigen die aan 802.1x SSID wordt gevormd voor authentiek verklaart. Niet alleen de verificatie, maar ook de autorisatiefase wordt hier aan de kant van de RADIUS-server afgehandeld. Daarom is in dit geval een toelatingslijst vereist.
Zorg ervoor dat de standaardmethode voor netwerkautorisatie deel uitmaakt van de 9800-configuratie.
Via de GUI:
Navigeer naar Configuratie > Beveiliging > AAA en creëer vanuit het tabblad AAA-methodelijst > Autorisatie een autorisatiemethode die vergelijkbaar is met de methode die wordt getoond.
Van de CLI:
WLC#configure terminal
WLC(config)#aaa authorization network default group radiusISE-configuratie
Wanneer het uitvoeren van dACLs in draadloos milieu met ISE, zijn twee gemeenschappelijke configuraties mogelijk, om te weten:
- Configuratie per gebruiker van dACL. Met dit, heeft elke bepaalde identiteit een dACL toegewezen dankzij een gebied van de douaneidentiteit.
- Configuratie van dACL per resultaat. Terwijl het kiezen voor deze methode, wordt een bepaalde dACL toegewezen aan een gebruiker die op het vergunningsbeleid wordt gebaseerd het op de gebruikte beleidsreeks aanpaste.
dACL’s per gebruiker
Stap 1. Een aangepast dACL-gebruikerskenmerk definiëren
Om dACL aan een gebruikersidentiteit te kunnen toewijzen, moet eerst dit veld op de gecreëerde identiteit configureerbaar zijn. Standaard wordt op ISE het veld "ACL" niet gedefinieerd voor een nieuwe identiteit die wordt gemaakt. Om dit te overwinnen, kan men de "Custom User Attribute" gebruiken en een nieuw configuratieveld definiëren. Ga hiervoor naar Beheer > Identity Management > Instellingen > Aangepaste gebruikerskenmerken. Gebruik de knop "+" om een nieuw kenmerk toe te voegen dat gelijk is aan het kenmerk dat wordt weergegeven. In dit voorbeeld is de naam van het aangepaste kenmerk ACL.
Als dit is ingesteld, gebruikt u de knop "Opslaan" om de wijzigingen op te slaan.
Stap 2. Configureer de dACL
Navigeer naar Beleid > Beleidselementen > Resultaten > Autorisatie > Downloadbare ACL’s om dACL op ISE te zien en te definiëren. Gebruik de knop "Toevoegen" om een nieuwe te maken.
Hiermee opent u het configuratieformulier "Nieuwe downloadbare ACL". Configureer de volgende velden:
- Naam: de naam van de gedefinieerde dACL.
- Beschrijving (optioneel): een korte beschrijving over het gebruik van de gemaakte dACL.
- IP-versie: de IP-protocolversie die in de gedefinieerde dACL wordt gebruikt (versie 4, 6 of beide).
- DACL-inhoud: de inhoud van de dACL, zoals per Cisco IOS XE ACL-syntaxis
In dit document is de gebruikte dACL "ACL_USER1" en deze dACL staat elk verkeer toe behalve het verkeer dat bestemd is voor 10.48.39.186 en 10.48.39.13.
Zodra de velden geconfigureerd zijn, gebruikt u de knop "Indienen" om de dACL te maken.
Herhaal de stap om de dACL voor de tweede gebruiker, ACL_USER2, te definiëren zoals in de afbeelding.
Stap 3. Wijs de dACL toe aan een gemaakte identiteit
Nadat de dACL is gemaakt, kan deze aan elke ISE-identiteit worden toegewezen met behulp van de aangepaste gebruikerskenmerken die in Stap 1 zijn gemaakt. Ga hiervoor naar Beheer > Identity Management > Identity > Identities > Gebruikers. Gebruik zoals gebruikelijk de knop "Toevoegen" om een gebruiker aan te maken.
Definieer op het configuratieformulier "Nieuwe gebruiker netwerktoegang" de gebruikersnaam en het wachtwoord voor de gemaakte gebruiker. Gebruik het aangepaste kenmerk "ACL" om de dACL die in Stap 2 is gemaakt, aan de identiteit toe te wijzen. In het voorbeeld, wordt de identiteit USER1 die ACL_USER1 gebruikt bepaald.
Zodra de velden goed zijn geconfigureerd kunt u de knop "Verzenden" gebruiken om de identiteit aan te maken.
Herhaal deze stap om USER2 te maken en ACL_USER2 hieraan toe te wijzen.
Stap 4. Configureer het resultaat van het autorisatiebeleid.
Zodra de identiteit is geconfigureerd en de dACL is toegewezen, moet het autorisatiebeleid nog steeds worden geconfigureerd om het aangepaste gebruikerskenmerk "ACL" te matchen dat is gedefinieerd voor een bestaande autorisatie en gemeenschappelijke taak. Hiervoor navigeer je naar Policy > Policy Elements > Results > Authorisation > Authorisation Profiles. Gebruik de knop "Toevoegen" om een nieuw autorisatiebeleid te definiëren.
- Naam: de naam van het vergunningsbeleid, hier "9800-DOT1X-GEBRUIKERS".
- Toegangstype: het type toegang dat wordt gebruikt wanneer dit beleid wordt aangepast, hier ACCESS_ACCEPTEREN.
- Gemeenschappelijke taak: stem "DACL-naam" af op Interne Gebruiker:<naam van aangepaste attribuut gemaakt> voor interne gebruiker.Volgens de namen die in dit document worden gebruikt, wordt het profiel 9800-DOT1X-GEBRUIKERS geconfigureerd met de dACL geconfigureerd als Interne Gebruiker:ACL.
Stap 5. Gebruik het autorisatieprofiel in de beleidsset.
Zodra het autorisatieprofiel correct is gedefinieerd, moet dit deel uitmaken van de beleidsset die wordt gebruikt voor het verifiëren en autoriseren van draadloze gebruikers. Navigeer naar Policy > Policy Sets en open de gebruikte policy set.
In dit geval komt de verificatieregel "Dot1X" overeen met elke verbinding die via bekabelde of draadloze 802.1x wordt gemaakt. De autorisatieregel "802.1x Gebruikers dACL" implementeert een voorwaarde op de gebruikte SSID (dat is Radius-Calling-ID bevat DACL_DOT1X_SSID). Als een autorisatie wordt uitgevoerd op het "DACL_DOT1X_SSID" WLAN, wordt het profiel "9800-DOT1X-GEBRUIKERS", gedefinieerd in stap 4, gebruikt om de gebruiker te autoriseren.
dACL’s per resultaat
Om de enorme taak te vermijden om een bepaalde dACL aan elke identiteit toe te wijzen die op ISE wordt gemaakt, kan men kiezen voor het toepassen van dACL op een bepaald beleidsresultaat. Dit resultaat wordt vervolgens toegepast op basis van elke voorwaarde die wordt afgemeten aan de vergunningsregels uit de gebruikte beleidsreeks.
Stap 1. Configureer de dACL
Voer dezelfde stap 2 uit vanuit de sectie Per-gebruiker dACL’s om de benodigde dACL’s te definiëren. Hier, zijn dit ACL_USER1 en ACL_USER2.
Stap 2. Identiteiten maken
Ga naar Beheer > Identity Management > Identity > Gebruikers en gebruik de knop "Add" om een gebruiker aan te maken.
Definieer op het configuratieformulier "Nieuwe gebruiker netwerktoegang" de gebruikersnaam en het wachtwoord voor de gemaakte gebruiker.
Herhaal deze stap om USER2 te maken.
Stap 4. Configureer het resultaat van het autorisatiebeleid.
Zodra de identiteit en de dACL zijn geconfigureerd, moet het autorisatiebeleid nog steeds worden geconfigureerd om een bepaalde dACL toe te wijzen aan gebruiker die de voorwaarde aanpast om dit beleid te gebruiken. Hiervoor navigeer je naar Policy > Policy Elements > Results > Authorisation > Authorisation Profiles. Gebruik de knop "Toevoegen" om een nieuw autorisatiebeleid te definiëren en deze velden te voltooien.
- Naam: de naam van het vergunningsbeleid, hier "9800-DOT1X-USER1".
- Toegangstype: het type toegang dat wordt gebruikt wanneer dit beleid wordt aangepast, hier ACCESS_ACCEPTEERT.
- Gemeenschappelijke Taak: pas "DACL Naam"aan "ACL_USER1"voor interne gebruiker aan. Volgens de namen die in dit document worden gebruikt, wordt het profiel 9800-DOT1X-USER1 geconfigureerd met de dACL geconfigureerd als "ACL_USER1".
Herhaal deze stap om het beleidsresultaat "9800-DOT1X-USER2" te maken en wijs "ACL_USER2" als DACL toe aan het.
Stap 5. Gebruik autorisatieprofielen in de beleidsset.
Zodra het autorisatieprofiel correct is gedefinieerd, moet het nog steeds deel uitmaken van de beleidsset die wordt gebruikt voor het verifiëren en autoriseren van draadloze gebruikers. Navigeer naar Policy > Policy Sets en open de gebruikte policy set.
In dit geval komt de verificatieregel "Dot1X" overeen met elke verbinding die via bekabelde of draadloze 802.1X wordt gemaakt. De autorisatieregel "802.1X Gebruiker 1 dACL" implementeert een voorwaarde op de gebruikte gebruikersnaam (dat is Interne Gebruiker-Naam BEVAT USER1). Als een autorisatie wordt uitgevoerd met de gebruikersnaam USER1, dan wordt het profiel "9800-DOT1X-USER1", gedefinieerd in Stap 4, gebruikt om de gebruiker te autoriseren en wordt dus ook de dACL uit dit resultaat (ACL_USER1) toegepast op de gebruiker. Hetzelfde wordt ingesteld voor de gebruikersnaam USER2, waarvoor "9800-DOT1X-USER1" wordt gebruikt.
Opmerkingen over het gebruik van dACL’s met CWA-SSID’s.
Zoals beschreven in de Configure Central Web Verification (CWA) op Catalyst 9800 WLC en ISE-configuratiehandleiding, maakt CWA gebruik van MAB en bepaalde resultaten om gebruikers te verifiëren en te autoriseren. Downloadbare ACL’s kunnen aan de CWA-configuratie vanuit ISE-zijde op dezelfde manier worden toegevoegd als wat hierboven is beschreven.
Waarschuwing: downloadbare ACL’s kunnen alleen worden gebruikt als netwerktoegangslijst en worden niet ondersteund als pre-verificatie ACL’s. Daarom moet elke pre-authenticatie ACL die gebruikt wordt in een CWA-workflow worden gedefinieerd in de WLC-configuratie.
Verifiëren
Om de gemaakte configuratie te controleren, kunnen deze opdrachten worden gebruikt.
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
# show access-lists { acl-name }Hier wordt verwezen naar het relevante deel van de WLC-configuratie die overeenkomt met dit voorbeeld.
aaa new-model
!
!
aaa group server radius authz-server-group
server name DACL-RADIUS
!
aaa authentication login default local
aaa authentication dot1x default group radius
aaa authentication dot1x DOT1X group radius
aaa authorization exec default local
aaa authorization network default group radius
!
!
aaa server radius dynamic-author
client <ISE IP>
!
aaa session-id common
!
[...]
vlan 1413
name VLAN_1413
!
[...]
radius server DACL-RADIUS
address ipv4 <ISE IP> auth-port 1812 acct-port 1813
key 6 aHaOSX[QbbEHURGW`cXiG^UE]CR]^PVANfcbROb
!
!
[...]
wireless profile policy DACL-8021X
aaa-override
vlan VLAN_1413
no shutdown
[...]
wireless tag policy default-policy-tag
description "default policy-tag"
wlan DACL_DOT1X_SSID policy DACL-8021X
[...]
wlan DACL_DOT1X_SSID 2 DACL_DOT1X_SSID
security dot1x authentication-list DOT1X
no shutdownDe RADIUS-serverconfiguratie wordt weergegeven met de opdracht all in werking stellen-config van de show.
WLC#show running-config all | s radius-server
radius-server attribute 77 include-in-acct-req
radius-server attribute 77 include-in-access-req
radius-server attribute 11 default direction out
radius-server attribute nas-port format a
radius-server attribute wireless authentication call-station-id ap-macaddress-ssid
radius-server dead-criteria time 10 tries 10
radius-server cache expiry 24 enforce hours
radius-server transaction max-tries 8
radius-server retransmit 3
radius-server timeout 5
radius-server ipc-limit in 10
radius-server ipc-limit done 10
radius-server vsa send accounting
radius-server vsa send authenticationProblemen oplossen
Checklist
- Zorg ervoor dat de clients goed kunnen aansluiten op de 802.1X SSID die is geconfigureerd.
- Verzeker dat het RADIUS-toegangsverzoek/acceptatie de juiste attribuut-waarde paren (AVP’s) bevat.
- Zorg ervoor dat clients het juiste WLAN/beleidsprofiel gebruiken.
WLC One Stop-Shop Reflex
Om te controleren of de dACL correct aan een bepaalde draadloze client is toegewezen, kan men de opdracht show wireless client mac-address <H.H.H> detail gebruiken zoals getoond. Van daar, kan de verschillende nuttige het oplossen van probleeminformatie worden gezien, namelijk: de cliëntgebruikersbenaming, staat, beleidsprofiel, WLAN en, het belangrijkst hier, ACS-ACL.
WLC#show wireless client mac-address 08be.ac14.137d detail Client MAC Address : 08be.ac14.137d Client MAC Type : Universally Administered Address Client DUID: NA Client IPv4 Address : 10.14.13.240 Client Username : USER1 AP MAC Address : f4db.e65e.7bc0 AP Name: AP4800-E Client State : Associated Policy Profile : DACL-8021X Wireless LAN Id: 2 WLAN Profile Name: DACL_DOT1X_SSID Wireless LAN Network Name (SSID): DACL_DOT1X_SSID BSSID : f4db.e65e.7bc0 Association Id : 1 Authentication Algorithm : Open System Client Active State : In-Active [...] Client Join Time: Join Time Of Client : 03/28/2024 10:04:30 UTC Client ACLs : None Policy Manager State: Run Last Policy Manager State : IP Learn Complete Client Entry Create Time : 35 seconds Policy Type : WPA2 Encryption Cipher : CCMP (AES) Authentication Key Management : 802.1x EAP Type : PEAP VLAN Override after Webauth : No VLAN : VLAN_1413 [...] Session Manager: Point of Attachment : capwap_90000012 IIF ID : 0x90000012 Authorized : TRUE Session timeout : 28800 Common Session ID: 8227300A0000000C8484A22F Acct Session ID : 0x00000000 Last Tried Aaa Server Details: Server IP : 10.48.39.134 Auth Method Status List Method : Dot1x SM State : AUTHENTICATED SM Bend State : IDLE Local Policies: Service Template : wlan_svc_DACL-8021X_local (priority 254) VLAN : VLAN_1413 Absolute-Timer : 28800 Server Policies: ACS ACL : xACSACLx-IP-ACL_USER1-65e89aab Resultant Policies: ACS ACL : xACSACLx-IP-ACL_USER1-65e89aab VLAN Name : VLAN_1413 VLAN : 1413 Absolute-Timer : 28800 [...]WLC-opdrachten weergeven
Om alle ACL’s te zien die momenteel deel uitmaken van de Catalyst 9800 WLC-configuratie, kunt u de opdracht toegangslijsten tonen gebruiken. Dit bevel maakt een lijst van alle plaatselijk bepaalde ACLs of dACLs die door WLC wordt gedownload. Om het even welke dACLs die van ISE door WLC wordt gedownload heeft het formaat xACSACLx-IP-<ACL_NAME>-<ACL_HASH>.
Spoiler
Downloadbare ACL’s blijven in de configuratie zolang een client is gekoppeld en gebruikt in de draadloze infrastructuur. Zodra de laatste client die gebruik maakt van de dACL de infrastructuur verlaat, wordt de dACL verwijderd uit de configuratie.
WLC#show access-lists Extended IP access list IP-Adm-V4-Int-ACL-global [...] Extended IP access list IP-Adm-V4-LOGOUT-ACL [...] Extended IP access list implicit_deny [...] Extended IP access list implicit_permit [...] Extended IP access list meraki-fqdn-dns [...] Extended IP access list preauth-ise [...] Extended IP access list preauth_v4 [...] Extended IP access list xACSACLx-IP-ACL_USER1-65e89aab 1 deny ip any host 10.48.39.13 2 deny ip any host 10.48.39.15 3 deny ip any host 10.48.39.186 4 permit ip any any (56 matches) IPv6 access list implicit_deny_v6 [...] IPv6 access list implicit_permit_v6 [...] IPv6 access list preauth_v6 [...]Voorwaardelijke debugging en radio actieve tracering
Voorwaardelijke debugging en radio actieve tracering Tijdens het oplossen van problemen configuratie, kunt u radioactieve sporen verzamelen voor een client die verondersteld wordt te worden toegewezen met de gedefinieerde dACL. Hier worden de logboeken benadrukt die het interessante deel van de radioactieve sporen tijdens het proces van de cliëntenvereniging voor cliënt 08be.ac14.137d tonen.
24/03/28 10:43:04.321315612 {wncd_x_R0-0}{1}: [client-orch-sm] [19620]: (note): MAC: 08be.ac14.137d Association received. BSSID f4db.e65e.7bc0, WLAN DACL_DOT1X_SSID, Slot 0 AP f4db.e65e.7bc0, AP4800-E, Site tag default-site-tag, Policy tag default-policy-tag, Policy profile DACL-8021X, Switching Central, old BSSID 80e8.6fd5.73a0, Socket delay 0ms
2024/03/28 10:43:04.321414308 {wncd_x_R0-0}{1}: [client-orch-sm] [19620]: (debug): MAC: 08be.ac14.137d Received Dot11 association request. Processing started,SSID: DACL_DOT1X_SSID, Policy profile: DACL-8021X, AP Name: AP4800-E, Ap Mac Address: f4db.e65e.7bc0BSSID MAC80e8.6fd5.73a0wlan ID: 2RSSI: -58, SNR: 36
2024/03/28 10:43:04.321464486 {wncd_x_R0-0}{1}: [client-orch-state] [19620]: (note): MAC: 08be.ac14.137d Client state transition: S_CO_L2_AUTH_IN_PROGRESS -> S_CO_L2_AUTH_IN_PROGRESS
[...]
2024/03/28 10:43:04.322185953 {wncd_x_R0-0}{1}: [dot11] [19620]: (note): MAC: 08be.ac14.137d Association success. AID 2, Roaming = True, WGB = False, 11r = False, 11w = False Fast roam = False
2024/03/28 10:43:04.322199665 {wncd_x_R0-0}{1}: [dot11] [19620]: (info): MAC: 08be.ac14.137d DOT11 state transition: S_DOT11_ASSOCIATED -> S_DOT11_ASSOCIATED
[...]
2024/03/28 10:43:04.322860054 {wncd_x_R0-0}{1}: [client-orch-sm] [19620]: (debug): MAC: 08be.ac14.137d Starting L2 authentication. Bssid in state machine:f4db.e65e.7bc0 Bssid in request is:f4db.e65e.7bc0
2024/03/28 10:43:04.322881795 {wncd_x_R0-0}{1}: [client-orch-state] [19620]: (note): MAC: 08be.ac14.137d Client state transition: S_CO_L2_AUTH_IN_PROGRESS -> S_CO_L2_AUTH_IN_PROGRESS
[...]
2024/03/28 10:43:04.323379781 {wncd_x_R0-0}{1}: [client-auth] [19620]: (info): MAC: 08be.ac14.137d Client auth-interface state transition: S_AUTHIF_DOT1XAUTH_PENDING -> S_AUTHIF_DOT1XAUTH_PENDING
[...]
2024/03/28 10:43:04.330181613 {wncd_x_R0-0}{1}: [client-auth] [19620]: (info): MAC: 08be.ac14.137d Client auth-interface state transition: S_AUTHIF_DOT1XAUTH_PENDING -> S_AUTHIF_ADD_MOBILE_ACK_WAIT_DOT1X
2024/03/28 10:43:04.353413199 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [19620]: (info): [08be.ac14.137d:capwap_90000012] - authc_list: DOT1X
2024/03/28 10:43:04.353414496 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [19620]: (info): [08be.ac14.137d:capwap_90000012] - authz_list: Not present under wlan configuration
2024/03/28 10:43:04.353438621 {wncd_x_R0-0}{1}: [client-auth] [19620]: (note): MAC: 08be.ac14.137d L2 Authentication initiated. method DOT1X, Policy VLAN 0, AAA override = 1 , NAC = 0
2024/03/28 10:43:04.353443674 {wncd_x_R0-0}{1}: [client-auth] [19620]: (info): MAC: 08be.ac14.137d Client auth-interface state transition: S_AUTHIF_ADD_MOBILE_ACK_WAIT_DOT1X -> S_AUTHIF_DOT1XAUTH_PENDING
[...]
2024/03/28 10:43:04.381397739 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Send Access-Request to 10.48.39.134:1812 id 0/96, len 418
2024/03/28 10:43:04.381411901 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: authenticator e9 8b e2 87 a5 42 1e b7 - 96 d0 3a 32 3c d1 dc 71
2024/03/28 10:43:04.381425481 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: User-Name [1] 7 "USER1"
2024/03/28 10:43:04.381430559 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Service-Type [6] 6 Framed [2]
2024/03/28 10:43:04.381433583 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 27
2024/03/28 10:43:04.381437476 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 21 "service-type=Framed"
2024/03/28 10:43:04.381440925 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Framed-MTU [12] 6 1485
2024/03/28 10:43:04.381452676 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: EAP-Message [79] 12 ...
2024/03/28 10:43:04.381466839 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Message-Authenticator[80] 18 ...
2024/03/28 10:43:04.381482891 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: EAP-Key-Name [102] 2 *
2024/03/28 10:43:04.381486879 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 49
2024/03/28 10:43:04.381489488 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 43 "audit-session-id=8227300A000000A284A7BB88"
2024/03/28 10:43:04.381491463 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 20
2024/03/28 10:43:04.381494016 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 14 "method=dot1x"
2024/03/28 10:43:04.381495896 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 32
2024/03/28 10:43:04.381498320 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 26 "client-iif-id=2734691488"
2024/03/28 10:43:04.381500186 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 20
2024/03/28 10:43:04.381502409 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 14 "vlan-id=1413"
2024/03/28 10:43:04.381506029 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: NAS-IP-Address [4] 6 10.48.39.130
2024/03/28 10:43:04.381509052 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: NAS-Port-Type [61] 6 802.11 wireless [19]
2024/03/28 10:43:04.381511493 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: NAS-Port [5] 6 3913
2024/03/28 10:43:04.381513163 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 39
2024/03/28 10:43:04.381515481 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 33 "cisco-wlan-ssid=DACL_DOT1X_SSID"
2024/03/28 10:43:04.381517373 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 41
2024/03/28 10:43:04.381519675 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 35 "wlan-profile-name=DACL_DOT1X_SSID"
2024/03/28 10:43:04.381522158 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Called-Station-Id [30] 35 "f4-db-e6-5e-7b-c0:DACL_DOT1X_SSID"
2024/03/28 10:43:04.381524583 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Calling-Station-Id [31] 19 "08-be-ac-14-13-7d"
2024/03/28 10:43:04.381532045 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Airespace [26] 12
2024/03/28 10:43:04.381534716 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Airespace-WLAN-ID [1] 6 2
2024/03/28 10:43:04.381537215 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Nas-Identifier [32] 17 "DACL_DOT1X_SSID"
2024/03/28 10:43:04.381539951 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: wlan-group-cipher [187] 6 " "
2024/03/28 10:43:04.381542233 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: wlan-pairwise-cipher[186] 6 " "
2024/03/28 10:43:04.381544465 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: wlan-akm-suite [188] 6 " "
2024/03/28 10:43:04.381619890 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Started 5 sec timeout
[...]
2024/03/28 10:43:04.392544173 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Received from id 1812/96 10.48.39.134:0, Access-Challenge, len 117
2024/03/28 10:43:04.392557998 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: authenticator 08 6d fa 56 48 1c 43 f3 - 84 d6 20 24 7a 90 7d e5
2024/03/28 10:43:04.392564273 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: State [24] 71 ...
2024/03/28 10:43:04.392615218 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: EAP-Message [79] 8 ...
2024/03/28 10:43:04.392628179 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Message-Authenticator[80] 18 ...
2024/03/28 10:43:04.392738554 {wncd_x_R0-0}{1}: [radius] [19620]: (info): Valid Response Packet, Free the identifier
2024/03/28 10:43:04.726798622 {wncd_x_R0-0}{1}: [dot1x] [19620]: (info): [08be.ac14.137d:capwap_90000012] Raised identity update event for eap method PEAP
2024/03/28 10:43:04.726801212 {wncd_x_R0-0}{1}: [dot1x] [19620]: (info): [08be.ac14.137d:capwap_90000012] Received an EAP Success
2024/03/28 10:43:04.726896276 {wncd_x_R0-0}{1}: [dot1x] [19620]: (info): [08be.ac14.137d:capwap_90000012] Entering idle state
2024/03/28 10:43:04.726905248 {wncd_x_R0-0}{1}: [dot1x] [19620]: (info): [08be.ac14.137d:capwap_90000012] Posting AUTH_SUCCESS on Client
[...]
2024/03/28 10:43:04.727138915 {wncd_x_R0-0}{1}: [dot1x] [19620]: (info): [08be.ac14.137d:capwap_90000012] EAPOL packet sent to client
2024/03/28 10:43:04.727148212 {wncd_x_R0-0}{1}: [auth-mgr] [19620]: (info): [08be.ac14.137d:capwap_90000012] Authc success from Dot1X, Auth event success
2024/03/28 10:43:04.727164223 {wncd_x_R0-0}{1}: [auth-mgr] [19620]: (info): [08be.ac14.137d:capwap_90000012] Raised event APPLY_USER_PROFILE (14)
2024/03/28 10:43:04.727169069 {wncd_x_R0-0}{1}: [auth-mgr] [19620]: (info): [08be.ac14.137d:capwap_90000012] Raised event RX_METHOD_AUTHC_SUCCESS (3)
2024/03/28 10:43:04.727223736 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applying Attribute : username 0 "USER1"
2024/03/28 10:43:04.727233018 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applying Attribute : class 0 43 41 43 53 3a 38 32 32 37 33 30 30 41 30 30 30 30 30 30 41 32 38 34 41 37 42 42 38 38 3a 69 73 65 2f 34 39 39 36 31 30 38 38 35 2f 34 37
2024/03/28 10:43:04.727234046 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applying Attribute : EAP-Message 0 <hidden>
2024/03/28 10:43:04.727234996 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applying Attribute : Message-Authenticator 0 <hidden>
2024/03/28 10:43:04.727236141 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applying Attribute : EAP-session-id 0 "?f?GøflS‹‰PÁ3+%:2
M$®vf9∫Ø◊«? %ÿ0?ã@≤™ÇÑbWï6\Ë&\q·lU+QB–º®”≠∫JÑv?"
2024/03/28 10:43:04.727246409 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applying Attribute : CiscoSecure-Defined-ACL 0 "#ACSACL#-IP-ACL_USER1-65e89aab"
[...]
2024/03/28 10:43:04.727509267 {wncd_x_R0-0}{1}: [auth-mgr] [19620]: (info): [08be.ac14.137d:capwap_90000012] Method dot1x changing state from 'Running' to 'Authc Success'
2024/03/28 10:43:04.727513133 {wncd_x_R0-0}{1}: [auth-mgr] [19620]: (info): [08be.ac14.137d:capwap_90000012] Context changing state from 'Running' to 'Authc Success'
2024/03/28 10:43:04.727607738 {wncd_x_R0-0}{1}: [svm] [19620]: (info): SVM_INFO: SVM Apply user profile
2024/03/28 10:43:04.728003638 {wncd_x_R0-0}{1}: [svm] [19620]: (info): SVM_INFO: Activating EPM features with UP
2024/03/28 10:43:04.728144450 {wncd_x_R0-0}{1}: [epm-misc] [19620]: (info): [08be.ac14.137d:capwap_90000012] Username USER1 received
2024/03/28 10:43:04.728161361 {wncd_x_R0-0}{1}: [epm] [19620]: (info): [08be.ac14.137d:capwap_90000012] Feature (EPM MISC PLUG-IN) has been started (status Success)
2024/03/28 10:43:04.728177773 {wncd_x_R0-0}{1}: [epm] [19620]: (info): [08be.ac14.137d:capwap_90000012] Feature (SM ACCOUNTING PLUG-IN) has been started (status Success)
2024/03/28 10:43:04.728184975 {wncd_x_R0-0}{1}: [epm] [19620]: (info): [08be.ac14.137d:capwap_90000012] Feature (linksec) has been started (status Success)
2024/03/28 10:43:04.728218783 {wncd_x_R0-0}{1}: [epm-acl] [19620]: (info): [08be.ac14.137d:capwap_90000012] Downloadable ACL : #ACSACL#-IP-ACL_USER1-65e89aab received
2024/03/28 10:43:04.729005675 {wncd_x_R0-0}{1}: [epm] [19620]: (info): [08be.ac14.137d:capwap_90000012] Feature (EPM ACL PLUG-IN) has been started (status Accept)
2024/03/28 10:43:04.729019215 {wncd_x_R0-0}{1}: [svm] [19620]: (info): SVM_INFO: Response of epm is ASYNC with return code Success
[...]
2024/03/28 10:43:04.729422929 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Send Access-Request to 10.48.39.134:1812 id 0/107, len 138
2024/03/28 10:43:04.729428175 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: authenticator 20 06 3e 15 ff 9f f0 74 - aa c5 65 b2 13 5e e4 67
2024/03/28 10:43:04.729432771 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: NAS-IP-Address [4] 6 10.48.39.130
2024/03/28 10:43:04.729435487 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: User-Name [1] 32 "#ACSACL#-IP-ACL_USER1-65e89aab"
2024/03/28 10:43:04.729437912 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 32
2024/03/28 10:43:04.729440782 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 26 "aaa:service=ip_admission"
2024/03/28 10:43:04.729442854 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 30
2024/03/28 10:43:04.729445280 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 24 "aaa:event=acl-download"
2024/03/28 10:43:04.729447530 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Message-Authenticator[80] 18 ...
2024/03/28 10:43:04.729529806 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Started 5 sec timeout
2024/03/28 10:43:04.731972466 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Received from id 1812/107 10.48.39.134:0, Access-Accept, len 323
2024/03/28 10:43:04.731979444 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: authenticator 2a 24 8e 27 eb 04 0f 45 - 53 38 81 39 c0 a7 63 19
2024/03/28 10:43:04.731983966 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: User-Name [1] 32 "#ACSACL#-IP-ACL_USER1-65e89aab"
2024/03/28 10:43:04.731986470 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Class [25] 75 ...
2024/03/28 10:43:04.732032438 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Message-Authenticator[80] 18 ...
2024/03/28 10:43:04.732048785 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 47
2024/03/28 10:43:04.732051657 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 41 "ip:inacl#1=deny ip any host 10.48.39.13"
2024/03/28 10:43:04.732053782 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 47
2024/03/28 10:43:04.732056351 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 41 "ip:inacl#2=deny ip any host 10.48.39.15"
2024/03/28 10:43:04.732058379 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 48
2024/03/28 10:43:04.732060673 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 42 "ip:inacl#3=deny ip any host 10.48.39.186"
2024/03/28 10:43:04.732062574 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Vendor, Cisco [26] 36
2024/03/28 10:43:04.732064854 {wncd_x_R0-0}{1}: [radius] [19620]: (info): RADIUS: Cisco AVpair [1] 30 "ip:inacl#4=permit ip any any"
2024/03/28 10:43:04.732114294 {wncd_x_R0-0}{1}: [radius] [19620]: (info): Valid Response Packet, Free the identifier
[...]
2024/03/28 10:43:04.733046258 {wncd_x_R0-0}{1}: [svm] [19620]: (info): [08be.ac14.137d] Applied User Profile: :
2024/03/28 10:43:04.733058380 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applied User Profile: MS-MPPE-Send-Key 0 6f 24 a9 f7 71 e1 1f 57 a6 8d fc 8f 20 68 2e 5f eb 70 f5 be 73 55 47 8a cc 9a ec b6 7e af 69 e7
2024/03/28 10:43:04.733064555 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applied User Profile: MS-MPPE-Recv-Key 0 b7 14 c4 6a 07 2d d8 10 9b db f7 78 fb 01 fa e5 b4 f8 f8 56 99 4a c2 47 9a f8 5a a9 9c 90 ea 7a
2024/03/28 10:43:04.733065483 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applied User Profile: eap-emsk 0
2024/03/28 10:43:04.733066816 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applied User Profile: method 0 0 [dot1x]
2024/03/28 10:43:04.733068704 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applied User Profile: clid-mac-addr 0 08 be ac 14 13 7d
2024/03/28 10:43:04.733069947 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applied User Profile: intf-id 0 2415919122 (0x90000012)
2024/03/28 10:43:04.733070971 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applied User Profile: username 0 "USER1"
2024/03/28 10:43:04.733079208 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applied User Profile: class 0 43 41 43 53 3a 38 32 32 37 33 30 30 41 30 30 30 30 30 30 41 32 38 34 41 37 42 42 38 38 3a 69 73 65 2f 34 39 39 36 31 30 38 38 35 2f 34 37
2024/03/28 10:43:04.733080328 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applied User Profile: EAP-session-id 0 "?f?GøflS‹‰PÁ3+%:2
M$®vf9∫Ø◊«? %ÿ0?ã@≤™ÇÑbWï6\Ë&\q·lU+QB–º®”≠∫JÑv?"
2024/03/28 10:43:04.733091441 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applied User Profile: eap-msk 0 b7 14 c4 6a 07 2d d8 10 9b db f7 78 fb 01 fa e5 b4 f8 f8 56 99 4a c2 47 9a f8 5a a9 9c 90 ea 7a 6f 24 a9 f7 71 e1 1f 57 a6 8d fc 8f 20 68 2e 5f eb 70 f5 be 73 55 47 8a cc 9a ec b6 7e af 69 e7
2024/03/28 10:43:04.733092470 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): Applied User Profile:CiscoSecure-Defined-ACL 0 "xACSACLx-IP-ACL_USER1-65e89aab"
[...]
2024/03/28 10:43:04.733396045 {wncd_x_R0-0}{1}: [auth-mgr] [19620]: (info): [08be.ac14.137d:capwap_90000012] Raised event AUTHZ_SUCCESS (11)
2024/03/28 10:43:04.733486604 {wncd_x_R0-0}{1}: [client-auth] [19620]: (note): MAC: 08be.ac14.137d L2 Authentication Key Exchange Start. Resolved VLAN: 1413, Audit Session id: 8227300A000000A284A7BB88
2024/03/28 10:43:04.734665244 {wncd_x_R0-0}{1}: [client-auth] [19620]: (info): MAC: 08be.ac14.137d Client auth-interface state transition: S_AUTHIF_DOT1XAUTH_PENDING -> S_AUTHIF_DOT1XAUTH_KEY_XCHNG_PENDING
2024/03/28 10:43:04.734894043 {wncd_x_R0-0}{1}: [client-keymgmt] [19620]: (info): MAC: 08be.ac14.137d EAP key M1 Sent successfully
2024/03/28 10:43:04.734904452 {wncd_x_R0-0}{1}: [client-keymgmt] [19620]: (info): MAC: 08be.ac14.137d Client key-mgmt state transition: S_INITPMK -> S_PTK_START
2024/03/28 10:43:04.734915743 {wncd_x_R0-0}{1}: [dot1x] [19620]: (info): [08be.ac14.137d:capwap_90000012] Posting AUTHZ_SUCCESS on Client
2024/03/28 10:43:04.740499944 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: 'ip access-list extended xACSACLx-IP-ACL_USER1-65e89aab' SUCCESS 2024/03/28 10:43:04.733 UTC
2024/03/28 10:43:04.742238941 {iosrp_R0-0}{1}: [og] [26311]: (info): OG_PI_ACL_INFO: ogacl_configured: ACL name = xACSACLx-IP-ACL_USER1-65e89aab
2024/03/28 10:43:04.744387633 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: 'ip access-list extended xACSACLx-IP-ACL_USER1-65e89aab' SUCCESS 2024/03/28 10:43:04.740 UTC
[...]
2024/03/28 10:43:04.745245318 {iosrp_R0-0}{1}: [buginf] [26311]: (debug): AUTH-FEAT-IAL-EVENT: epm acl list changed: aclname: xACSACLx-IP-ACL_USER1-65e89aab fqdn: 0
2024/03/28 10:43:04.745294050 {iosrp_R0-0}{1}: [buginf] [26311]: (debug): AUTH-FEAT-IAL-EVENT: Allocated hash entry 0x7F0DB460D688
2024/03/28 10:43:04.745326416 {iosrp_R0-0}{1}: [buginf] [26311]: (debug): AUTH-FEAT-IAL-EVENT: Index in hash table for acl name xACSACLx-IP-ACL_USER1-65e89aab is 187
2024/03/28 10:43:04.751291844 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: '1 deny ip any host 10.48.39.13' SUCCESS 2024/03/28 10:43:04.744 UTC
2024/03/28 10:43:04.751943577 {iosrp_R0-0}{1}: [og] [26311]: (info): OG_PI_ACL_INFO: ogacl_configured: ACL name = xACSACLx-IP-ACL_USER1-65e89aab
2024/03/28 10:43:04.752686055 {wncd_x_R0-0}{1}: [client-auth] [19620]: (info): MAC: 08be.ac14.137d Client auth-interface state transition: S_AUTHIF_DOT1XAUTH_KEY_XCHNG_PENDING -> S_AUTHIF_DOT1XAUTH_DONE
2024/03/28 10:43:04.755505991 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: 'ip access-list extended xACSACLx-IP-ACL_USER1-65e89aab' SUCCESS 2024/03/28 10:43:04.752 UTC
2024/03/28 10:43:04.756746153 {wncd_x_R0-0}{1}: [mm-transition] [19620]: (info): MAC: 08be.ac14.137d MMIF FSM transition: S_MA_INIT_WAIT_ANNOUNCE_RSP -> S_MA_NAK_PROCESSED_TR on E_MA_NAK_RCVD
2024/03/28 10:43:04.757801556 {wncd_x_R0-0}{1}: [client-auth] [19620]: (note): MAC: 08be.ac14.137d ADD MOBILE sent. Client state flags: 0x76 BSSID: MAC: f4db.e65e.7bc0 capwap IFID: 0x90000012, Add mobiles sent: 1
2024/03/28 10:43:04.758843625 {wncd_x_R0-0}{1}: [client-orch-state] [19620]: (note): MAC: 08be.ac14.137d Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
2024/03/28 10:43:04.759064834 {wncd_x_R0-0}{1}: [client-iplearn] [19620]: (info): MAC: 08be.ac14.137d IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
2024/03/28 10:43:04.761186727 {iosrp_R0-0}{1}: [buginf] [26311]: (debug): AUTH-FEAT-IAL-EVENT: epm acl list changed: aclname: xACSACLx-IP-ACL_USER1-65e89aab fqdn: 0
2024/03/28 10:43:04.761241972 {iosrp_R0-0}{1}: [buginf] [26311]: (debug): AUTH-FEAT-IAL-EVENT: Index in hash table for acl name xACSACLx-IP-ACL_USER1-65e89aab is 187
2024/03/28 10:43:04.763131516 {wncd_x_R0-0}{1}: [client-auth] [19620]: (info): MAC: 08be.ac14.137d Client auth-interface state transition: S_AUTHIF_DOT1XAUTH_DONE -> S_AUTHIF_DOT1XAUTH_DONE
2024/03/28 10:43:04.764575895 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: '2 deny ip any host 10.48.39.15' SUCCESS 2024/03/28 10:43:04.760 UTC
2024/03/28 10:43:04.764755847 {iosrp_R0-0}{1}: [og] [26311]: (info): OG_PI_ACL_INFO: ogacl_configured: ACL name = xACSACLx-IP-ACL_USER1-65e89aab
2024/03/28 10:43:04.769965195 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: 'ip access-list extended xACSACLx-IP-ACL_USER1-65e89aab' SUCCESS 2024/03/28 10:43:04.766 UTC
2024/03/28 10:43:04.770727027 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: 'no 3 ' SUCCESS 2024/03/28 10:43:04.770 UTC
2024/03/28 10:43:04.772314586 {iosrp_R0-0}{1}: [buginf] [26311]: (debug): AUTH-FEAT-IAL-EVENT: epm acl list changed: aclname: xACSACLx-IP-ACL_USER1-65e89aab fqdn: 0
2024/03/28 10:43:04.772362837 {iosrp_R0-0}{1}: [buginf] [26311]: (debug): AUTH-FEAT-IAL-EVENT: Index in hash table for acl name xACSACLx-IP-ACL_USER1-65e89aab is 187
2024/03/28 10:43:04.773070456 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: '3 deny ip any host 10.48.39.186' SUCCESS 2024/03/28 10:43:04.770 UTC
2024/03/28 10:43:04.773661861 {iosrp_R0-0}{1}: [og] [26311]: (info): OG_PI_ACL_INFO: ogacl_configured: ACL name = xACSACLx-IP-ACL_USER1-65e89aab
2024/03/28 10:43:04.775537766 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: 'ip access-list extended xACSACLx-IP-ACL_USER1-65e89aab' SUCCESS 2024/03/28 10:43:04.773 UTC
2024/03/28 10:43:04.777154567 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: 'no 4 ' SUCCESS 2024/03/28 10:43:04.775 UTC
2024/03/28 10:43:04.778756670 {iosrp_R0-0}{1}: [buginf] [26311]: (debug): AUTH-FEAT-IAL-EVENT: epm acl list changed: aclname: xACSACLx-IP-ACL_USER1-65e89aab fqdn: 0
2024/03/28 10:43:04.778807076 {iosrp_R0-0}{1}: [buginf] [26311]: (debug): AUTH-FEAT-IAL-EVENT: Index in hash table for acl name xACSACLx-IP-ACL_USER1-65e89aab is 187
2024/03/28 10:43:04.778856100 {iosrp_R0-0}{1}: [mpls_ldp] [26311]: (info): LDP LLAF: Registry notification prefix list changed
2024/03/28 10:43:04.779401863 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: '4 permit ip any any' SUCCESS 2024/03/28 10:43:04.777 UTC
2024/03/28 10:43:04.779879864 {iosrp_R0-0}{1}: [og] [26311]: (info): OG_PI_ACL_INFO: ogacl_configured: ACL name = xACSACLx-IP-ACL_USER1-65e89aab
2024/03/28 10:43:04.780510740 {iosrp_R0-0}{1}: [parser_cmd] [26311]: (note): id= console@console:user= cmd: 'end' SUCCESS 2024/03/28 10:43:04.779 UTC
2024/03/28 10:43:04.786433419 {wncd_x_R0-0}{1}: [sisf-packet] [19620]: (info): RX: DHCPv4 from interface capwap_90000012 on vlan 1413 Src MAC: 08be.ac14.137d Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPREQUEST, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: 08be.ac14.137d
2024/03/28 10:43:04.786523172 {wncd_x_R0-0}{1}: [sisf-packet] [19620]: (info): TX: DHCPv4 from interface capwap_90000012 on vlan 1413 Src MAC: 08be.ac14.137d Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPREQUEST, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: 08be.ac14.137d
2024/03/28 10:43:04.787787313 {wncd_x_R0-0}{1}: [sisf-packet] [19620]: (info): RX: DHCPv4 from interface Gi2 on vlan 1413 Src MAC: 6cab.0512.dd0f Dst MAC: ffff.ffff.ffff src_ip: 10.14.13.254, dst_ip: 255.255.255.255, BOOTPREPLY, SISF_DHCPACK, giaddr: 0.0.0.0, yiaddr: 10.14.13.240, CMAC: 08be.ac14.137d
2024/03/28 10:43:04.788160929 {wncd_x_R0-0}{1}: [sisf-packet] [19620]: (info): TX: DHCPv4 from interface Gi2 on vlan 1413 Src MAC: 6cab.0512.dd0f Dst MAC: 08be.ac14.137d src_ip: 10.14.13.254, dst_ip: 255.255.255.255, BOOTPREPLY, SISF_DHCPACK, giaddr: 0.0.0.0, yiaddr: 10.14.13.240, CMAC: 08be.ac14.137d
2024/03/28 10:43:04.788491833 {wncd_x_R0-0}{1}: [client-iplearn] [19620]: (note): MAC: 08be.ac14.137d Client IP learn successful. Method: DHCP IP: 10.14.13.240
2024/03/28 10:43:04.788576063 {wncd_x_R0-0}{1}: [auth-mgr] [19620]: (info): [08be.ac14.137d:capwap_90000012] auth mgr attr add/change notification is received for attr addr(8)
2024/03/28 10:43:04.788741337 {wncd_x_R0-0}{1}: [webauth-sess] [19620]: (info): Change address update, Could not find webauth session for mac 08be.ac14.137d
2024/03/28 10:43:04.788761575 {wncd_x_R0-0}{1}: [auth-mgr-feat_acct] [19620]: (info): [08be.ac14.137d:capwap_90000012] SM Notified attribute Add/Update addr 10.14.13.240
2024/03/28 10:43:04.788877999 {wncd_x_R0-0}{1}: [epm] [19620]: (info): [0000.0000.0000:unknown] HDL = 0x0 vlan 1413 fail count 0 dirty_counter 0 is_dirty 0
2024/03/28 10:43:04.789333126 {wncd_x_R0-0}{1}: [client-iplearn] [19620]: (info): MAC: 08be.ac14.137d IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
2024/03/28 10:43:04.789410101 {wncd_x_R0-0}{1}: [client-orch-sm] [19620]: (debug): MAC: 08be.ac14.137d Received ip learn response. method: IPLEARN_METHOD_DHCP
2024/03/28 10:43:04.789622587 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): [ Applied attribute : username 0 "USER1" ]
2024/03/28 10:43:04.789632684 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): [ Applied attribute : class 0 43 41 43 53 3a 38 32 32 37 33 30 30 41 30 30 30 30 30 30 41 32 38 34 41 37 42 42 38 38 3a 69 73 65 2f 34 39 39 36 31 30 38 38 35 2f 34 37 ]
2024/03/28 10:43:04.789642576 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): [ Applied attribute :CiscoSecure-Defined-ACL 0 "xACSACLx-IP-ACL_USER1-65e89aab" ]
2024/03/28 10:43:04.789651931 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): [ Applied attribute :bsn-vlan-interface-name 0 "VLAN_1413" ]
2024/03/28 10:43:04.789653490 {wncd_x_R0-0}{1}: [aaa-attr-inf] [19620]: (info): [ Applied attribute : timeout 0 28800 (0x7080) ]
2024/03/28 10:43:04.789735556 {wncd_x_R0-0}{1}: [ewlc-qos-client] [19620]: (info): MAC: 08be.ac14.137d Client QoS run state handler
2024/03/28 10:43:04.789800998 {wncd_x_R0-0}{1}: [rog-proxy-capwap] [19620]: (debug): Managed client RUN state notification: 08be.ac14.137d
2024/03/28 10:43:04.789886011 {wncd_x_R0-0}{1}: [client-orch-state] [19620]: (note): MAC: 08be.ac14.137d Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUNPacketCapture
PacketCaptureEen andere interessante reflex is pakketopnamen van de RADIUS-stroom voor een clientassociatie te nemen en te analyseren. Downloadbare ACL’s zijn afhankelijk van RADIUS, niet alleen om te worden toegewezen aan een draadloze client, maar ook om te worden gedownload door de WLC. Terwijl u pakketopname neemt voor het oplossen van problemen met de configuratie van dACL’s, moet u daarom op de interface opnemen die door de controller wordt gebruikt om met de RADIUS-server te communiceren. Dit document toont hoe u gemakkelijk ingesloten pakketvastlegging op Catalyst 9800 kunt configureren, die zijn gebruikt om de in dit artikel geanalyseerde opname te verzamelen.
RADIUS-clientverificatie
RADIUS-clientverificatieU kunt de client-RADIUS-toegangsaanvraag zien die van de WLC naar de RADIUS-server wordt verzonden om de gebruiker USER1 (AVP-gebruikersnaam) op de DACL_DOT1X_SSID SSID (AVP NAS-Identifier) te verifiëren.
Wanneer de verificatie slaagt, antwoordt de RADIUS-server met een access-accept, nog steeds voor gebruiker USER1 (AVP-gebruikersnaam) en past de AAA-kenmerken toe, in het bijzonder de verkoper-specifieke AVP ACS:CiscoSecure-Defined-ACL die hier "#ACSACL#-IP-ACL_USER1-65e89aab" is.
DACL-download
DACL-downloadAls dACL al deel uitmaakt van de WLC-configuratie, wordt deze simpelweg toegewezen aan de gebruiker en worden de RADIUS-sessies beëindigd. Anders downloadt de WLC de ACL, nog steeds met RADIUS. Om dit te doen, doet de WLC een RADIUS access-request, dit keer met behulp van de dACL naam ("#ACSACL#-IP-ACL_USER1-65e89aab") voor de AVP User-Name. Tegelijkertijd informeert de WLC de RADIUS-server dat deze access-acceptatie een ACL-download initieert met behulp van het Cisco AV-paar aaa:event=acl-download.
De RADIUS-toegang-acceptatie die is teruggestuurd naar de controller bevat de gevraagde dACL, zoals aangegeven op de afbeelding. Elke ACL-regel bevindt zich in een andere Cisco AVP van het type "ip:inacl#<X>=<ACL_REGEL>", waarbij <X> het regelnummer is.
Spoiler
Als de inhoud van een download ACL wordt gewijzigd nadat het op WLC is gedownload, wordt de verandering voor deze ACL niet weerspiegeld tot een gebruiker die deze gebruikt opnieuw verifieert (en WLC voert opnieuw een RADIUS-verificatie voor dergelijke gebruiker uit).
Een wijziging in de ACL wordt weerspiegeld door een wijziging in het hashgedeelte van de ACL-naam. Daarom moet de volgende keer dat deze ACL aan een gebruiker wordt toegewezen, de naam anders zijn en moet de ACL dus geen deel uitmaken van de WLC-configuratie en moet worden gedownload. Clients die voor de wijziging op de ACL authenticeren, blijven echter de vorige gebruiken totdat ze volledig opnieuw worden geauthenticeerd.
ISE-functielogboeken
ISE-functielogboekenRADIUS-clientverificatie
RADIUS-clientverificatieDe verrichtingslogbestanden tonen een succesvolle verificatie van de gebruiker "USER1", waarop de downloadbare ACL "ACL_USER1" wordt toegepast. Delen van belang voor het oplossen van problemen worden in rood weergegeven.
DACL-download
DACL-downloadDe verrichtingslogboeken tonen een succesvolle download van ACL "ACL_USER1". Delen van belang voor het oplossen van problemen worden in rood weergegeven.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
25-Apr-2024 |
Eerste vrijgave |
1.0 |
25-Apr-2024 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)