Bekabelde gast configureren en controleren in draadloze LAN-controller
Inhoud
Inleiding
In dit document wordt beschreven hoe bekabelde gasttoegang in 9800 en IRCM met externe webverificatie kan worden geconfigureerd, geverifieerd en opgelost.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
9800 WLC
AireOS WLC
mobiliteitstunnel
ISE
Er wordt aangenomen dat een mobiliteitstunnel tussen de twee WLC's is ingesteld voordat bekabelde gasttoegang wordt geconfigureerd.
Dit aspect valt buiten het bereik van dit configuratievoorbeeld. Raadpleeg voor gedetailleerde instructies het bijgevoegde document getiteld Configuring Mobility Topologies on 9800
Gebruikte componenten
9800 WLC versie 17.12.1
5520 WLC versie 8.10.185.0
ISE versie 3.1.0.518
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Bekabelde gast configureren op katalysator 9800 verankerd op een andere katalysator 9800
Netwerkdiagram
Netwerktopologie
Configuratie op Foreign 9800 WLC
Web Parameter Map configureren
Stap 1: Navigeer naar Configuratie > Beveiliging > Web Auth, selecteer Global, controleer het virtuele IP-adres van de controller en Trustpoint-toewijzing en zorg ervoor dat het type is ingesteld op webauth.
Globale parameterkaart
Opmerking: Web Auth Intercept HTTP's is een optionele instelling. Als HTTPS-omleiding vereist is, moet de optie Web Auth Intercept HTTPS zijn ingeschakeld. Deze configuratie wordt echter niet aanbevolen omdat het CPU-gebruik toeneemt.
Stap 2: Configureer onder het tabblad Geavanceerd de URL van de externe webpagina voor clientomleiding. Stel "Redirect URL for Login" en "Redirect On-Failure" in; "Redirect On-Success" is optioneel. Eenmaal geconfigureerd, wordt een voorbeeld van de omleidings-URL weergegeven in het Web Auth-profiel.
Tabblad Geavanceerd
CLI-configuratie
parameter-map type webauth global
type webauth
virtual-ip ipv4 192.0.2.1
redirect for-login http://10.127.196.171/webauth/login.html
redirect on-success http://10.127.196.171/webauth/logout.html
redirect on-failure http://10.127.196.171/webauth/failed.html
redirect portal ipv4 10.127.196.171
intercept-https-enable
trustpoint TP-self-signed-3915430211
webauth-http-enable
Opmerking: In dit scenario wordt de globale parameterkaart gebruikt. Configureer per vereiste een aangepaste webparametertoewijzing door Toevoegen te selecteren en stel de URL voor omleiden in onder het tabblad Geavanceerd. De instellingen Trustpoint en Virtual IP worden overgenomen van het algemene profiel.
AAA-instellingen:
Stap 1: Een Radius-server maken:
Navigeer naar Configuratie > Beveiliging > AAA, klik op "Toevoegen" onder het gedeelte Server/Groep en voer op de pagina "AAA Radius Server maken" de servernaam, het IP-adres en het gedeelde geheim in.
Radius-serverconfiguratie
CLI-configuratie
radius server ISE-Auth
address ipv4 10.197.224.122 auth-port 1812 acct-port 1813
key *****
server name ISE-Auth
Stap 2: Een RADIUS-servergroep maken:
Selecteer "Toevoegen" onder het gedeelte Servergroepen om een servergroep te definiëren en de servers te schakelen die in de groepsconfiguratie moeten worden opgenomen.
Radius-servergroep
CLI-configuratie
aaa group server radius ISE-Group
server name ISE-Auth
ip radius source-interface Vlan2074
deadtime 5
Stap 3: AAA-methodenlijst configureren:
Navigeer naar het tabblad AAA-methodenlijst, selecteer Toevoegen onder Authenticatie, definieer een methodenlijstnaam met Type als "login" en Groepstype als "Groep" en wijs de geconfigureerde verificatieservergroep toe onder het gedeelte Toegewezen servergroep.
Lijst met verificatiemethoden
CLI-configuratie
aaa authentication login ISE-List group ISE-Group
Beleidsprofiel configureren
Stap 1: Navigeer naar Configuratie > Tags en profielen > Beleid, geef uw nieuwe profiel een naam op het tabblad Algemeen en schakel het in met de statusschakelaar.
Beleidsprofiel
Stap 2: Wijs op het tabblad Toegangsbeleid een willekeurig vlan toe terwijl de toewijzing van het vlan op de ankercontroller is voltooid. In dit voorbeeld is vlan 1 geconfigureerd
Tabblad Toegangsbeleid
Stap 3: Schakel onder het tabblad Mobiliteit de Ankercontroller in op Primair (1) en configureer optioneel secundaire en tertiaire mobiliteitstunnels voor redundantievereisten
Mobiliteitskaart
CLI-configuratie
wireless profile policy GuestLANPolicy
mobility anchor 10.76.118.70 priority 1
no shutdown
Gast-LAN-profiel configureren
Stap 1: Navigeer naar Configuratie > Draadloos > Gastnetwerk, selecteer Toevoegen, configureer een unieke profielnaam, schakel het bekabelde VLAN in, voer de VLAN-ID voor bekabelde gastgebruikers in en schakel de profielstatus in op Ingeschakeld.
Profiel van gastnetwerk
Tabblad Beveiliging van gastnetwerkCLI-configuratie
guest-lan profile-name Guest-Profile 1 wired-vlan 2024
security web-auth authentication-list ISE-List
security web-auth parameter-map globalGastLAN-MAP
Ga naar Configuratie > Draadloos > Gastnetwerk.
Selecteer in het gedeelte Gastnetwerkbeheerdersconfiguratie de optie Beleidsprofiel en gastnetwerkprofiel toevoegen en toewijzen
GastLAN-MAP
CLI-configuratie
wireless guest-lan map GuestMap
guest-lan Guest-Profile policy GuestLANPolicy
Configuratie op Anchor 9800 WLC
Web Parameter Map configureren
Stap 1: Navigeer naar Configuratie > Beveiliging > Web Auth, selecteer Global, controleer het virtuele IP-adres van de controller en Trustpoint-toewijzing en zorg ervoor dat het type is ingesteld op webauth.
Globale parameterkaart
Stap 2: Configureer onder het tabblad Geavanceerd de URL van de externe webpagina voor clientomleiding. Stel "Redirect URL for Login" en "Redirect On-Failure" in; "Redirect On-Success" is optioneel.
Eenmaal geconfigureerd, wordt een voorbeeld van de omleidings-URL weergegeven in het Web Auth-profiel.
Tabblad Geavanceerd
CLI-configuratie
parameter-map type webauth global
type webauth
virtual-ip ipv4 192.0.2.1
redirect for-login http://10.127.196.171/webauth/login.html
redirect on-success http://10.127.196.171/webauth/logout.html
redirect on-failure http://10.127.196.171/webauth/failed.html
redirect portal ipv4 10.127.196.171
intercept-https-enable.
trustpoint TP-self-signed-3915430211
webauth-http-enable
AAA-instellingen:
Stap 1: Een Radius-server maken:
Navigeer naar Configuratie > Beveiliging > AAA, klik op Toevoegen onder het gedeelte Server/Groep en voer op de pagina "AAA Radius Server maken" de servernaam, het IP-adres en het gedeelde geheim in.
Radius-serverconfiguratie
CLI-configuratie
radius server ISE-Auth
address ipv4 10.197.224.122 auth-port 1812 acct-port 1813
key *****
server name ISE-Auth
Stap 2: Een RADIUS-servergroep maken:
Selecteer Toevoegen onder de sectie Servergroepen om een servergroep te definiëren en de servers die in de groepsconfiguratie moeten worden opgenomen, te schakelen.
Radiusgroep anker
CLI-configuratie
aaa group server radius ISE-Group
server name ISE-Auth
ip radius source-interface Vlan2081
deadtime 5
Stap 3: AAA-methodenlijst configureren:
Navigeer naar het tabblad AAA-methodenlijst, selecteer Toevoegen onder Verificatie, definieer een methodenlijstnaam met Type als "login" en Groepstype als "Groep" en wijs de geconfigureerde verificatieservergroep toe onder de sectie Toegewezen servergroep.
Lijst met verificatiemethoden
CLI-configuratie
aaa authentication login ISE-List group ISE-GroupBeleidsprofiel configureren
Stap 1: Navigeer naar Configuratie > Tag & Profielen > Beleid, configureer het beleidsprofiel met dezelfde naam als op de buitenlandse controller en schakel het profiel in.
Ankerbeleidsprofiel
Stap 2: Onder het toegangsbeleid kunt u het bekabelde client-vlan toewijzen in de vervolgkeuzelijst
Tabblad Toegangsbeleid
Opmerking: de configuratie van het beleidsprofiel moet overeenkomen op de controllers Foreign en Anchor, met uitzondering van het VLAN.
Stap 3: Schakel onder het tabblad Mobiliteit het selectievakje Anker exporteren in.
Exportanker
Opmerking: deze configuratie wijst de 9800 Wireless LAN Controller (WLC) aan als het WLC-ankerpunt voor elk WLAN dat is gekoppeld aan het opgegeven beleidsprofiel. Wanneer een buitenlandse 9800 WLC clients doorstuurt naar het WLC-anker, worden details over het WLAN en het beleidsprofiel dat aan de client is toegewezen, weergegeven. Hierdoor kan het WLC-anker het juiste lokale beleidsprofiel toepassen op basis van de ontvangen informatie.
CLI-configuratie
wireless profile policy GuestLANPolicy
mobility anchor
vlan VLAN2024
no shutdown
Gastprofiel configureren
Stap 1: Navigeer naar Configuratie > Draadloos > Gast-LAN en selecteer vervolgens Toevoegen om het Gast-LAN-profiel te maken en te configureren. Zorg ervoor dat de profielnaam overeenkomt met die van de buitenlandse controller. Houd er rekening mee dat het bekabelde VLAN moet zijn uitgeschakeld op de Anchor-controller.
Profiel van gastnetwerk
Stap 2: Schakel in de beveiligingsinstellingen Web Auth in en configureer vervolgens de parameter map Web Auth en de verificatielijst.
Opmerking: de configuratie van het gastnetwerkprofiel moet identiek zijn tussen de Foreign en Anchor-controllers, behalve voor de bekabelde VLAN-status
CLI-configuratie
guest-lan profile-name Guest-Profile 1
security web-auth authentication-list ISE-List
security web-auth parameter-map global
GastLAN-MAP
Stap 1: Navigeer naar Configuratie > Draadloos > Gastnetwerk. Selecteer in het gedeelte Configuratie gastnetwerkkaart de optie Beleidsprofiel toevoegen en toewijzen aan het gastnetwerkprofiel.
GastLAN-MAP
wireless guest-lan map GuestMap
guest-lan Guest-Profile policy GuestLANPolicy
Bekabelde gast configureren op katalysator 9800 die is verankerd op AireOS 5520-controller
Netwerktopologie
Configuratie op Foreign 9800 WLC
Web Parameter Map configureren
Stap 1: Navigeer naar Configuratie > Beveiliging > Web Auth en selecteer Globaal. Controleer of het virtuele IP-adres van de controller en het Trustpoint correct zijn toegewezen aan het profiel, waarbij het type is ingesteld op webauth.
Web Parameter Map
Stap 2: Geef op het tabblad Geavanceerd de URL van de externe webpagina op waarnaar clients moeten worden omgeleid. Configureer de omleidings-URL voor aanmelden en omleiden bij uitval. De instelling Redirect On-Success is een optionele configuratie.
Tabblad Geavanceerd
CLI-configuratie
parameter-map type webauth global
type webauth
virtual-ip ipv4 192.0.2.1
redirect for-login http://10.127.196.171/webauth/login.html
redirect on-success http://10.127.196.171/webauth/logout.html
redirect on-failure http://10.127.196.171/webauth/failed.html
redirect portal ipv4 10.127.196.171
trustpoint TP-self-signed-3010594951
webauth-http-enable
Opmerking: raadpleeg voor AAA-configuratie de configuratiedetails in de sectie "" voor de Foreign 9800 WLC.
Beleidsprofiel configureren
Stap 1: Navigeer naar Configuratie > Tags en profielen > Beleid. Selecteer Toevoegen en geef op het tabblad Algemeen een naam op voor het profiel en schakel de statusschakelaar in.
Beleidsprofiel
Stap 2: Wijs op het tabblad Toegangsbeleid een willekeurig VLAN toe.
Toegangsbeleid
Stap 3: Schakel op het tabblad Mobiliteit de Ankercontroller in en stel de prioriteit in op Primair (1)
Tabblad Mobiliteit
Opmerking: het beleidsprofiel van de 9800 Foreign WLC moet overeenkomen met het gastnetwerkprofiel van de 5520 Anchor WLC, behalve voor de vlan-configuratie
CLI-configuratie
wireless profile policy Guest
no accounting-interim
exclusionlist timeout 180
no flex umbrella dhcp-dns-option
mobility anchor 10.76.118.74 priority 1
no shutdown
Gast-LAN-profiel configureren
Stap 1: Navigeer naar Configuratie > Draadloos > Gastnetwerk en selecteer Toevoegen. Configureer een unieke profielnaam en schakel bekabeld VLAN in, waarbij u de VLAN-ID opgeeft die is toegewezen aan bekabelde gastgebruikers. Schakel ten slotte de profielstatus in op Ingeschakeld.
Gastbeleid voor LAN
Stap 2: Schakel op het tabblad Beveiliging Web Auth in, breng de parameter Web Auth in kaart en selecteer de RADIUS-server in de vervolgkeuzelijst Authenticatie.
Tabblad Beveiliging
Opmerking: de naam van het gastnetwerkprofiel moet hetzelfde zijn voor de 9800 Foreign en de 5520 Anchor-controller
CLI-configuratie
guest-lan profile-name Guest 2 wired-vlan 11
security web-auth authentication-list ISE-List
security web-auth parameter-map global
GastLAN-MAP
Stap 1: Navigeer naar Configuratie > Draadloos > Gastnetwerk. Selecteer in het gedeelte Map voor gastnetwerk de optie Beleidsprofiel toevoegen en toewijzen aan het profiel voor gastnetwerk.
GastLAN-MAP
CLI-configuratie
wireless guest-lan map GuestMap
guest-lan Guest policy Guest
Configuratie op Anchor 5520 WLC
Webverificatie configureren
Stap 1: Navigeer naar Beveiliging > Web Auth > Web Login Page. Stel het webverificatietype in op Extern (omleiden naar externe server) en configureer de externe URL voor Web Auth. De URL voor omleiden na aanmelding is optioneel en kan worden geconfigureerd als clients na succesvolle verificatie naar een speciale pagina moeten worden omgeleid.
Web Auth-instellingen
AAA-instellingen:
Stap 1: RADIUS-server configureren
Navigeer naar Beveiliging > Straal > Authenticatie > Nieuw.
RADIUS-server
Stap 2: Configureer het IP-adres van de RADIUS-server en het gedeelde geheim op de controller. Schakel de status van de server in op Ingeschakeld en schakel het selectievakje Netwerkgebruiker in.
Serverconfiguratie
Toegangscontrolelijst configureren
Stap 1: Navigeer naar Beveiliging > Toegangscontrolelijst en selecteer Nieuw. Maak een Pre-Authentication ACL die verkeer naar DNS en de externe webserver toestaat.
Toegangslijst om verkeer naar webserver toe te staan
Gast-LAN-profiel configureren
Stap 1: Navigeer naar WLAN's > selecteer Nieuwe maken.
Selecteer Type als gastnetwerk en configureer dezelfde naam als het beleidsprofiel van de 9800 Foreign-controller.
Gastnetwerk maken
Profiel van gastnetwerk
Stap 2: Breng de Ingress- en Egress-interfaces in het gast-LAN-profiel in kaart.
De Ingress-interface is in dit geval geen omdat de ingress-interface de EoIP-tunnel van de Foreign-controller is.
De Egress-interface is het VLAN waarmee de bekabelde client fysiek verbinding maakt.
Profiel van gastnetwerk
Stap 3: Selecteer op het tabblad Beveiliging de optie Layer 3-beveiliging als webverificatie en koppel de ACL vóór verificatie toe.
Tabblad Beveiliging van gastnetwerk
Stap 4: Navigeer naar Beveiliging > AAA-server.
Selecteer de vervolgkeuzelijst en koppel de radiusserver aan het gastnetwerkprofiel.
Straalserver toewijzen aan gastprofiel LAN
Stap 5: Navigeer naar WLAN. Beweeg de muis over het keuzepictogram van het gastnetwerkprofiel en selecteer Mobiliteitsankers.
Stap 6: Selecteer Mobiliteitsanker maken om de controller te configureren als exportanker voor dit gastprofiel.
Mobiliteitsanker maken
Bekabelde gast configureren op AireOS 5520 verankerd in katalysator 9800
Netwerktopologie
Configuratie op Foreign 5520 WLC
Configuratie van controllerinterface
Stap 1: Navigeer naar Controller > Interfaces > Nieuw. Configureer een interfacenaam, VLAN-ID en schakel gastnetwerk in.
Wired Guest heeft twee dynamische interfaces nodig.
Ingress-interface
Stap 2: Navigeer naar Controller > Interfaces > Nieuw. Configureer een interfacenaam, VLAN ID.
De tweede dynamische interface moet een Layer 3-interface op de controller zijn, de bekabelde clients ontvangen het IP-adres van dit vlan-subnet. Deze interface fungeert als de uitgang-interface voor het gast-LAN-profiel.
egress-interface
Switch-poortconfiguratie
Als bekabelde gastgebruikers verbinding maken met Access Layer switch, moeten deze toegewezen poorten worden geconfigureerd met VLAN waarin gastnetwerk is ingeschakeld op de controller
Toegangslaag switch poortconfiguratie
Gigabit Ethernet-interface <x/x/x>
beschrijving Wired Guest Access
SwitchPort Access VLAN 2020
toegang in switchpoortmodus
einde
Configuratie uplinkpoort voor buitenlandse controller
TenGigabitEthernet-interface<x/x/x>
beschrijving Trunk poort naar de buitenlandse WLC
switchport mode trunk
SwitchPort Trunk native VLAN 2081
SwitchPort Trunk toegestaan VLAN 2081,2020
einde
Configuratie van uplinkpoort voor ankercontroller
TenGigabitEthernet-interface<x/x/x>
beschrijving Trunk poort naar het anker WLC
switchport mode trunk
SwitchPort Trunk native VLAN 2081
SwitchPort Trunk toegestaan VLAN 2081,2024
einde
Webverificatie configureren
Stap 1: Navigeer naar Beveiliging > Web Auth > Web Login Page. Stel het webverificatietype in op Extern (omleiden naar externe server) en configureer de externe URL voor Web Auth. De URL voor omleiden na aanmelding is optioneel en kan worden geconfigureerd als clients na succesvolle verificatie naar een speciale pagina moeten worden omgeleid.
Web Auth-instellingen
AAA-instellingen:
Stap 1: RADIUS-server configureren
Navigeer naar Beveiliging > Straal > Authenticatie > Nieuw.
RADIUS-server
Stap 2: Configureer het IP-adres van de RADIUS-server en het gedeelde geheim op de controller. Schakel de status van de server in op Ingeschakeld en schakel het selectievakje Netwerkgebruiker in.
Serverconfiguratie
Toegangscontrolelijst configureren
Stap 1: Navigeer naar Beveiliging > Toegangscontrolelijst en selecteer Nieuw. Maak een Pre-Authentication ACL die verkeer naar DNS en de externe webserver toestaat.
Toegangslijst om verkeer naar webserver toe te staan
Gast-LAN-profiel configureren
Stap 1: Navigeer naar WLAN > Nieuw maken > Go.
Profiel van gastnetwerk
Selecteer Type als gastnetwerk en configureer een profielnaam. Dezelfde naam moet worden geconfigureerd in het beleidsprofiel en het gastnetwerkprofiel van de 9800 Anchor-controller.
Profiel van gastnetwerk
Stap 2: Breng onder het tabblad Algemeen de Ingress- en Ingress-interface in het gast-LAN-profiel in kaart.
Ingress-interface is het vlan waarmee de bekabelde clients fysiek verbinding maken.
De Egress-interface is het vlan-subnet dat de clients om een IP-adres vragen.
Profiel van gastnetwerk
Stap 3: Navigeer naar Beveiliging > Laag 3.
Selecteer Layer 3 Security als webverificatie en geef de ACL vóór verificatie weer.
Tabblad Layer 3-beveiliging
Stap 4:
Breng onder het tabblad AAA-servers de Radius-server in kaart en vink het selectievakje Ingeschakeld aan.
Straalservers toewijzen aan profiel van gastnetwerk
Stap 5: Navigeer naar de WLAN-pagina en beweeg met de muis over het downdown-pictogram van het gastnetwerkprofiel en selecteer Mobiliteitsankers.
Mobiliteitsankers
Stap 6: Koppel het mobiliteitsanker in de vervolgkeuzelijst aan het gastnetwerkprofiel.
Mobiliteitsanker toewijzen aan gastnetwerk
Configuratie op Anchor 9800 WLC
Web Parameter Map configureren
Stap 1: Navigeer naar Configuratie > Beveiliging > Web Auth en selecteer Globaal. Controleer of het virtuele IP-adres van de controller en het Trustpoint correct zijn toegewezen aan het profiel, waarbij het type is ingesteld op webauth.
Web Parameter Map
Stap 2: Geef op het tabblad Geavanceerd de URL van de externe webpagina op waarnaar clients moeten worden omgeleid. Configureer de omleidings-URL voor aanmelden en omleiden bij uitval. De instelling Redirect On-Success is een optionele configuratie.
Tabblad Geavanceerd
CLI-configuratie
parameter-map type webauth global
type webauth
virtual-ip ipv4 192.0.2.1
redirect for-login http://10.127.196.171/webauth/login.html
redirect on-success http://10.127.196.171/webauth/logout.html
redirect on-failure http://10.127.196.171/webauth/failed.html
redirect portal ipv4 10.127.196.171
trustpoint TP-self-signed-3010594951
webauth-http-enableOpmerking: raadpleeg voor de AAA-configuratie de configuratiegegevens in de sectie "Bekabelde gast configureren op katalysator 9800 die is verankerd aan een andere katalysator 9800" voor de Foreign 9800 WLC.
Beleidsprofiel configureren
Stap 1: Navigeer naar Configuratie > Tags en profielen > Beleid. Configureer het beleidsprofiel met dezelfde naam die wordt gebruikt voor het gast-LAN-profiel van de buitenlandse controller.
Beleidsprofiel
Stap 2: Onder het tabblad Toegangsbeleid kunt u het bekabelde client-vlan toewijzen in de vervolgkeuzelijst
Toegangsbeleid
Stap 3: Schakel onder het tabblad Mobiliteit het selectievakje Anker exporteren in.
Tabblad Mobiliteit
CLI-configuratie
wireless profile policy Guest-Profile
no accounting-interim
exclusionlist timeout 180
no flex umbrella dhcp-dns-option
mobility anchor
vlan VLAN2024
no shutdown
Gast-LAN-profiel configureren
Stap 1: Navigeer naar Configuratie > Draadloos > Gastnetwerk en selecteer Toevoegen om het gastnetwerkprofiel te configureren en de bekabelde VLAN-status uit te schakelen.
De naam van het gast-LAN-profiel voor anker moet hetzelfde zijn als het gast-LAN-profiel voor buitenlandse WLC.
Profiel van gastnetwerk
Stap 2: Schakel onder het tabblad Beveiliging Web Auth in. Selecteer de map Web Auth-parameter en de verificatielijst in de vervolgkeuzelijst
Tabblad Gastbeveiliging LAN
CLI-configuratie
guest-lan profile-name Guest-Profile 1
security web-auth authentication-list ISE-List
security web-auth parameter-map global
GastLAN-MAP
Stap 1: Navigeer naar Configuratie > Draadloos > Gastnetwerk. Selecteer in het gedeelte Map voor gastnetwerk de optie Beleidsprofiel toevoegen en toewijzen aan het profiel voor gastnetwerk.
GastLAN-MAP
Verifiëren
Configuratie van controller valideren
#Guest-LAN-overzicht weergeven
GLAN GLAN Profile Name Status
------------------------------------------------
1 Guest-Profile UP
2 Guest UP
#Guest-LAN ID weergeven 1
Guest-LAN Profile Name : Guest
================================================
Guest-LAN ID : 2
Wired-Vlan : 11
Status : Enabled
Number of Active Clients : 0
Max Associated Clients : 2000
Security
WebAuth : Enabled
Webauth Parameter Map : global
Webauth Authentication List : ISE-List
Webauth Authorization List : Not configured
mDNS Gateway Status : Bridge
#show parameter-map type webauth global
Parameter Map Name : global
Type : webauth
Redirect:
For Login : http://10.127.196.171/webauth/login.html
On Success : http://10.127.196.171/webauth/logout.html
On Failure : http://10.127.196.171/webauth/failed.html
Portal ipv4 : 10.127.196.171
Virtual-ipv4 : 192.0.2.1
#show parameter-map type webauth name <profielnaam> (Als aangepaste webparameterprofiel wordt gebruikt)
Overzicht van #show wireless guest-lan-map
GLAN Profile Name Policy Name
------------------------------------------------------------------------------
Guest Guest
#Toon een overzicht van draadloze mobiliteit
IP Public Ip MAC Address Group Name Multicast IPv4 Multicast IPv6 Status PMTU
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.76.118.70 10.76.118.70 f4bd.9e59.314b cisco1 0.0.0.0 :: Up 1385
#Toon IP HTTP-serverstatus
HTTP server status: Enabled
HTTP server port: 80
HTTP server active supplementary listener ports: 21111
HTTP server authentication method: local
HTTP secure server capability: Present
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server trustpoint: TP-self-signed-3010594951
>Overzicht van gastennetwerk weergeven
Number of Guest LANs............................. 1
GLAN ID GLAN Profile Name Status Interface Name
------- ------------------------------------- -------- --------------------
2 Guest Enabled wired-vlan-11
>Gast-LAN 2 weergeven
Guest LAN Identifier............................. 2
Profile Name..................................... Guest
Status........................................... Enabled
Interface........................................ wired-vlan-11
Radius Servers
Authentication................................ 10.197.224.122 1812 *
Web Based Authentication...................... Enabled
Web Authentication Timeout.................... 300
IPv4 ACL........................................ Pre-Auth_ACL
Mobility Anchor List
GLAN ID IP Address Status
------- --------------- ------
2 10.76.118.74 Up
>Aangepaste webgegevens tonen
Radius Authentication Method..................... PAP
Cisco Logo....................................... Enabled
CustomLogo....................................... None
Custom Title..................................... None
Custom Message................................... None
Custom Redirect URL.............................. http://10.127.196.171/webauth/logout.html
Web Authentication Login Success Page Mode....... None
Web Authentication Type.......................... External
Logout-popup..................................... Enabled
External Web Authentication URL.................. http://10.127.196.171/webauth/login.html
QR Code Scanning Bypass Timer.................... 0
QR Code Scanning Bypass Count.................... 0
>Aangepaste webgast-LAN 2 weergeven
Guest LAN Status.............................. Enabled
Web Security Policy........................... Web Based Authentication
WebAuth Type.................................. External
Global Status................................. EnabledStatus clientbeleid valideren
op buitenlands gebied,
Samenvatting van de #show draadloze client
De status Client Policy Manager op de externe controller wordt UITGEVOERD nadat de client met succes is gekoppeld.
MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
a0ce.c8c3.a9b5 N/A GLAN 1 Run 802.3 Web Auth Export Foreign
>Toon clientdetails A0CE.C8C3.A9B5
Client MAC Address............................... a0:ce:c8:c3:a9:b5
Client Username ................................. N/A
Client Webauth Username ......................... N/A
Client State..................................... Associated
User Authenticated by ........................... None
Client User Group................................
Client NAC OOB State............................. Access
guest-lan........................................ 1
Wireless LAN Profile Name........................ Guest-Profile
Mobility State................................... Export Foreign
Mobility Anchor IP Address....................... 10.76.118.70
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Pre-auth IPv4 ACL Name........................... Pre-Auth_ACL
EAP Type......................................... Unknown
Interface........................................ wired-guest-egress
VLAN............................................. 2024
Quarantine VLAN.................................. 0
voor anker,
De overgang van de clientstatus moet worden gecontroleerd op de Anchor-controller.
De status van de clientbeleidsmanager is in Web Auth in behandeling.
MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
a0ce.c8c3.a9b5 10.76.6.156 GLAN 1 Webauth Pending 802.3 Web Auth Export Anchor
Wanneer de client zich heeft geverifieerd, wordt de status van de beleidsmanager omgezet in de status RUN.
MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
a0ce.c8c3.a9b5 10.76.6.156 GLAN 1 Run 802.3 Web Auth Export Anchor
#Toon draadloze client MAC-adres A0CE.C8C3.A9B5 detail
Client MAC Address : a0ce.c8c3.a9b5
Client MAC Type : Universally Administered Address
Client DUID: NA
Client IPv4 Address : 10.105.211.69
Client State : Associated
Policy Profile : Guest-Profile
Flex Profile : N/A
Guest Lan:
GLAN Id: 1
GLAN Name: Guest-Profile
Mobility:
Foreign IP Address : 10.76.118.74
Point of Attachment : 0xA0000003
Point of Presence : 0
Move Count : 1
Mobility Role : Export Anchor
Mobility Roam Type : L3 Requested
Policy Manager State: Webauth Pending
Last Policy Manager State : IP Learn Complete
Client Entry Create Time : 35 seconds
VLAN : VLAN2024
Session Manager:
Point of Attachment : mobility_a0000003
IIF ID : 0xA0000003
Authorized : FALSE
Session timeout : 28800
Common Session ID: 4a764c0a0000008ea0285466
Acct Session ID : 0x00000000
Auth Method Status List
Method : Web Auth
Webauth State : Login
Webauth Method : Webauth
Server Policies:
Resultant Policies:
URL Redirect ACL : WA-v4-int-10.127.196.171
Preauth ACL : WA-sec-10.127.196.171
VLAN Name : VLAN2024
VLAN : 2024
Absolute-Timer : 28800
De client wordt verplaatst naar de status RUN na succesvolle webverificatie.
Toon het draadloze MAC-adres van de cliënt A0CE.C8C3.A9B5 detail
Client MAC Address : a0ce.c8c3.a9b5
Client MAC Type : Universally Administered Address
Client DUID: NA
Client IPv4 Address : 10.105.211.69
Client Username : testuser
Client State : Associated
Policy Profile : Guest-Profile
Flex Profile : N/A
Guest Lan:
GLAN Id: 1
GLAN Name: Guest-Profile
Wireless LAN Network Name (SSID) : N/A
BSSID : N/A
Connected For : 81 seconds
Protocol : 802.3
Policy Manager State: Run
Last Policy Manager State : Webauth Pending
Client Entry Create Time : 81 seconds
VLAN : VLAN2024
Last Tried Aaa Server Details:
Server IP : 10.197.224.122
Auth Method Status List
Method : Web Auth
Webauth State : Authz
Webauth Method : Webauth
Resultant Policies:
URL Redirect ACL : IP-Adm-V4-LOGOUT-ACL
VLAN Name : VLAN2024
VLAN : 2024
Absolute-Timer : 28800
>Toon clientdetails A0:CE:C8:C3:A9:B5
Client MAC Address............................... a0:ce:c8:c3:a9:b5
Client Username ................................. N/A
Client Webauth Username ......................... N/A
Client State..................................... Associated
Wireless LAN Profile Name........................ Guest
WLAN Profile check for roaming................... Disabled
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 90 secs
IP Address....................................... 10.105.211.75
Gateway Address.................................. 10.105.211.1
Netmask.......................................... 255.255.255.128
Mobility State................................... Export Anchor
Mobility Foreign IP Address...................... 10.76.118.70
Security Policy Completed........................ No
Policy Manager State............................. WEBAUTH_REQD
Pre-auth IPv4 ACL Name........................... Pre-Auth_ACLPre-auth
IPv4 ACL Applied Status................. Yes
Pre-auth IPv4 ACL Applied Status................. Yes
Na verificatie wordt de client overgezet naar de status RUN.
show client detail a0:ce:c8:c3:a9:b5
Client MAC Address............................... a0:ce:c8:c3:a9:b5
Client Username ................................. testuser
Client Webauth Username ......................... testuser
Client State..................................... Associated
User Authenticated by ........................... RADIUS Server
Client User Group................................ testuser
Client NAC OOB State............................. Access
Connected For ................................... 37 secs
IP Address....................................... 10.105.211.75
Gateway Address.................................. 10.105.211.1
Netmask.......................................... 255.255.255.128
Mobility State................................... Export Anchor
Mobility Foreign IP Address...................... 10.76.118.70
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Pre-auth IPv4 ACL Name........................... Pre-Auth_ACL
Pre-auth IPv4 ACL Applied Status................. Yes
EAP Type......................................... Unknown
Interface........................................ wired-vlan-11
VLAN............................................. 11
Quarantine VLAN.................................. 0
Problemen oplossen
Foutopsporing AireOS-controller
Clientfoutopsporing inschakelen
>debug client <H.H.H>
Controleren of foutopsporing is ingeschakeld
>Foutopsporing weergeven
Foutopsporing uitschakelen
debug-disable-all
9800 Radioactief spoor
Activeer Radio Active Tracing om foutopsporingssporen voor de client te genereren voor het opgegeven MAC-adres in de CLI.
Stappen om radioactieve tracering in te schakelen:
Zorg ervoor dat alle voorwaardelijke fouten zijn uitgeschakeld.
clear platform condition allFoutopsporing inschakelen voor opgegeven MAC-adres.
debug wireless mac monitor-time Nadat u het probleem hebt gereproduceerd, schakelt u debuggen uit om de RA-traceringsverzameling te stoppen.
no debug wireless mac
Zodra de RA-trace is gestopt, wordt het debug-bestand gegenereerd in de bootflash van de controller.
show bootflash: | include ra_trace
2728 179 Jul 17 2024 15:13:54.0000000000 +00:00 ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Kopieer het bestand naar een externe server.
copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp:///ra-FILENAME.txt
Geef het debug log weer:
more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
RA-trace inschakelen in GUI,
RA-trace inschakelen op WebUI
Embedded Packet Capture
Ga naar Problemen oplossen > Pakketvastlegging. Voer de naam van de opname in en geef het MAC-adres van de client op als het binnenste MAC-filter. Stel de buffergrootte in op 100 en kies de uplinkinterface om inkomende en uitgaande pakketten te controleren.
Embedded Packet Capture
Opmerking: Selecteer de optie "Controleverkeer bewaken" om verkeer te bekijken dat naar de CPU van het systeem wordt omgeleid en opnieuw in het gegevensvlak wordt geïnjecteerd.
Navigeer naar Problemen oplossen > Pakketvastlegging en selecteer Start om pakketten vast te leggen.
Pakketvastlegging starten
CLI-configuratie
monitor capture TestPCap inner mac
monitor capture TestPCap buffer size 100
monitor capture TestPCap interface twoGigabitEthernet 0/0/0 both
monitor capture TestPCap start
monitor capture TestPCap stop show monitor capture TestPCap
Status Information for Capture TestPCap
Target Type:
Interface: TwoGigabitEthernet0/0/0, Direction: BOTH
Status : Inactive
Filter Details:
Capture all packets
Inner Filter Details:
Mac: 6c7e.67e3.6db9
Continuous capture: disabled
Buffer Details:
Buffer Type: LINEAR (default)
Buffer Size (in MB): 100
Limit Details:
Number of Packets to capture: 0 (no limit)
Packet Capture duration: 3600
Packet Size to capture: 0 (no limit)
Maximum number of packets to capture per second: 1000
Packet sampling rate: 0 (no sampling)
Packet capture exporteren naar externe TFTP-server.
monitor capture TestPCap export tftp:/// TestPCap.pcap
Navigeer naar Problemen oplossen > Pakketvastlegging en selecteer Exporteren om het vastlegbestand op het lokale systeem te downloaden.
EPC downloaden
Werklogfragmenten
Client-debuglogboek AireOS Foreign Controller
Bekabeld pakket ontvangen van bekabelde client
*apfReceiveTask: May 27 12:00:55.127: a0:ce:c8:c3:a9:b5 Wired Guest packet from 10.105.211.69 on mobile
Buitenlandse controller gebouw export anker verzoek
*apfReceiveTask: May 27 12:00:56.083: a0:ce:c8:c3:a9:b5 Attempting anchor export for mobile a0:ce:c8:c3:a9:b5
*apfReceiveTask: May 27 12:00:56.083: a0:ce:c8:c3:a9:b5 mmAnchorExportSend: Building ExportForeignLradMac Payload Lrad Mac: 00:00:00:00:00:00
*apfReceiveTask: May 27 12:00:56.083: a0:ce:c8:c3:a9:b5 SGT Payload built in Export Anchor Req 0
Buitenlandse controller stuurt ankerverzoek voor export naar de ankercontroller.
*apfReceiveTask: May 27 12:00:56.083: a0:ce:c8:c3:a9:b5 Export Anchor request sent to 10.76.118.70
Ankercontroller stuurt bevestiging voor het Ankerverzoek voor client
*Dot1x_NW_MsgTask_5: May 27 12:00:56.091: a0:ce:c8:c3:a9:b5 Recvd Exp Anchor Ack for mobile a0:ce:c8:c3:a9:b5 from 10.76.118.70
Mobiliteitsrol voor de klanten op de Foreign controller wordt bijgewerkt om Foreign te exporteren.
*apfReceiveTask: May 27 12:00:56.091: a0:ce:c8:c3:a9:b5 0.0.0.0 DHCP_REQD (7) mobility role update request from Unassociated to Export Foreign
Peer = 10.76.118.70, Old Anchor = 10.76.118.70, New Anchor = 10.76.118.70
Client overgezet naar de status RUN.
*apfReceiveTask: May 27 12:00:56.091: a0:ce:c8:c3:a9:b5 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=ExpForeign, client state=APF_MS_STATE_ASSOCIATED
*apfReceiveTask: May 27 12:00:56.091: a0:ce:c8:c3:a9:b5 Stopping deletion of Mobile Station: (callerId: 75)
*apfReceiveTask: May 27 12:00:56.091: a0:ce:c8:c3:a9:b5 Moving client to run state
9800 Vreemd controlemechanisme radioactief spoor
Cliënt associeert zich met de controller.
2024/07/15 04:10:29.087608331 {wncd_x_R0-0}{1}: [client-orch-state] [17765]: (note): MAC: a0ce.c8c3.a9b5 Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
Mobiliteitsdetectie vindt plaats na associatie.
2024/07/15 04:10:29.091585813 {wncd_x_R0-0}{1}: [client-orch-state] [17765]: (note): MAC: a0ce.c8c3.a9b5 Client state transition: S_CO_L2_AUTH_IN_PROGRESS -> S_CO_MOBILITY_DISCOVERY_IN_PROGRESS
2024/07/15 04:10:29.091605761 {wncd_x_R0-0}{1}: [client-orch-state] [17765]: (note): MAC: a0ce.c8c3.a9b5 Client state transition: S_CO_MOBILITY_DISCOVERY_IN_PROGRESS -> S_CO_MOBILITY_DISCOVERY_IN_PROGRESS
Zodra de mobiliteitsdetectie is verwerkt, wordt het roamingtype van de client bijgewerkt naar L3.
2024/07/15 04:10:29.091664605 {wncd_x_R0-0}{1}: [mm-transition] [17765]: (info): MAC: a0ce.c8c3.a9b5 MMIF FSM transition: S_MA_INIT -> S_MA_MOBILITY_DISCOVERY_PROCESSED_TR on E_MA_MOBILITY_DISCOVERY
2024/07/15 04:10:29.091693445 {wncd_x_R0-0}{1}: [mm-client] [17765]: (info): MAC: a0ce.c8c3.a9b5 Roam type changed - None -> L3 Requested
Buitenlandse controller stuurt het verzoek voor het exportanker naar het WLC-anker.
2024/07/15 04:10:32.093245394 {mobilityd_R0-0}{1}: [mm-client] [18316]: (debug): MAC: a0ce.c8c3.a9b5 Export Anchor Request successfully processed.
2024/07/15 04:10:32.093253788 {mobilityd_R0-0}{1}: [mm-client] [18316]: (debug): MAC: a0ce.c8c3.a9b5 Forwarding Export Anchor Request to Anchor.
2024/07/15 04:10:32.093274405 {mobilityd_R0-0}{1}: [mm-client] [18316]: (info): MAC: a0ce.c8c3.a9b5 Forwarding export_anchor_req, sub type: 0 of XID (6396) from (WNCD[0]) to (ipv4: 10.76.118.70 )
Het antwoord op Exportanker wordt ontvangen van de Anchor-controller en het vlan wordt toegepast vanuit het gebruikersprofiel.
2024/07/15 04:10:32.106775213 {mobilityd_R0-0}{1}: [mm-transition] [18316]: (info): MAC: a0ce.c8c3.a9b5 MMFSM transition: S_MC_WAIT_EXP_ANC_RSP -> S_MC_EXP_ANC_RSP_RCVD_TR on E_MC_EXP_ANC_RSP_RCVD from ipv4: 10.76.118.70
2024/07/15 04:10:32.106811183 {mobilityd_R0-0}{1}: [mm-client] [18316]: (debug): MAC: a0ce.c8c3.a9b5 Export Anchor Response successfully processed.
2024/07/15 04:10:32.107183692 {wncd_x_R0-0}{1}: [epm-misc] [17765]: (info): [a0ce.c8c3.a9b5:Tw0/0/0] Anchor Vlan-id 2024 processed
2024/07/15 04:10:32.107247304 {wncd_x_R0-0}{1}: [svm] [17765]: (info): [a0ce.c8c3.a9b5] Applied User Profile: :
2024/07/15 04:10:32.107250258 {wncd_x_R0-0}{1}: [aaa-attr-inf] [17765]: (info): Applied User Profile: anchor-vlan 0 2024 (0x7e8)
Zodra het verzoek voor Exportanker is verwerkt, wordt de mobiliteitsrol van de client bijgewerkt naar Exporteren naar Buitenland.
2024/07/15 04:10:32.107490972 {wncd_x_R0-0}{1}: [mm-client] [17765]: (debug): MAC: a0ce.c8c3.a9b5 Processed Export Anchor Response.
2024/07/15 04:10:32.107502336 {wncd_x_R0-0}{1}: [mm-client] [17765]: (info): MAC: a0ce.c8c3.a9b5 Mobility role changed - Unassoc -> Export Foreign
2024/07/15 04:10:32.107533732 {wncd_x_R0-0}{1}: [sanet-shim-translate] [17765]: (info): Anchor Vlan: 2024
2024/07/15 04:10:32.107592251 {wncd_x_R0-0}{1}: [mm-client] [17765]: (note): MAC: a0ce.c8c3.a9b5 Mobility Successful Guest Lan Client. Roam Type L3 Requested, Client IFID: 0xa0000007, Client Role: Export Foreign PoA: phy IfId PoP: 0xa0000005
Clientovergangen naar de IP-leerstatus.
2024/07/15 04:10:32.108210365 {wncd_x_R0-0}{1}: [client-orch-state] [17765]: (note): MAC: a0ce.c8c3.a9b5 Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
2024/07/15 04:10:32.108293096 {wncd_x_R0-0}{1}: [client-orch-sm] [17765]: (debug): MAC: a0ce.c8c3.a9b5 Received ip learn response. method: IPLEARN_METHOD_ROAMING
Na het leren van IP gaat de client naar de status RUN op de Foreign WLC.
2024/07/15 04:10:32.108521618 {wncd_x_R0-0}{1}: [client-orch-state] [17765]: (note): MAC: a0ce.c8c3.a9b5 Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN
Clientfoutopsporingslogboek van AireOS Anchor-controller
Verzoek voor uitvoeranker ontvangen van de buitenlandse controller.
*Dot1x_NW_MsgTask_5: May 28 10:46:27.831: a0:ce:c8:c3:a9:b5 Anchor Export Request Recvd for mobile a0:ce:c8:c3:a9:b5 from 10.76.118.70 type : 16 subtype : 0 seq no : 0 xid : 1292566528
*Dot1x_NW_MsgTask_5: May 28 10:46:27.831: a0:ce:c8:c3:a9:b5 mmAnchorExportRcv: Extracting mmPayloadExportForeignLradMac
*Dot1x_NW_MsgTask_5: May 28 10:46:27.831: a0:ce:c8:c3:a9:b5 mmAnchorExportRcv Ssid=Guest useProfileName=0 profileNameToUse=0Security Policy=0x2010
Lokale overbruggings-vlan wordt toegepast voor de client.
*Dot1x_NW_MsgTask_5: May 28 10:46:27.831: a0:ce:c8:c3:a9:b5 Updated local bridging VLAN to 11 while applying WLAN policy
*Dot1x_NW_MsgTask_5: May 28 10:46:27.831: a0:ce:c8:c3:a9:b5 Applying Interface(wired-vlan-11) policy on Mobile, role Unassociated. Ms NAC State 2 Quarantine Vlan 0 Access Vlan 0
*Dot1x_NW_MsgTask_5: May 28 10:46:27.831: a0:ce:c8:c3:a9:b5 After applying Interface(wired-vlan-11) policy on Mobile, role Unassociated. Ms NAC State 2 Quarantine Vlan 0 Access Vlan 11
Mobiliteitsrol wordt bijgewerkt naar Exportanker en client-status getransisteerd gekoppeld.
*Dot1x_NW_MsgTask_5: May 28 10:46:27.831: a0:ce:c8:c3:a9:b5 0.0.0.0 START (0) mobility role update request from Unassociated to Export Anchor
Peer = 10.76.118.70, Old Anchor = 0.0.0.0, New Anchor = 10.76.118.74
Dot1x_NW_MsgTask_5: May 28 10:46:27.831: a0:ce:c8:c3:a9:b5
add client MAC a0:ce:c8:c3:a9:b5 IP 10.76.118.70
*Dot1x_NW_MsgTask_5: May 28 10:46:27.831: a0:ce:c8:c3:a9:b5
Sent message to add a0:ce:c8:c3:a9:b5 on member IP 10.76.118.70
*Dot1x_NW_MsgTask_5: May 28 10:46:27.832: a0:ce:c8:c3:a9:b5 mmAnchorExportRcv (mm_listen.c:7933) Changing state for mobile a0:ce:c8:c3:a9:b5 on AP 00:00:00:00:00:00 from Idle to Associated
De mobiliteit is voltooid, de clientstatus is gekoppeld en de mobiliteitsrol is Exportanker.
*Dot1x_NW_MsgTask_5: May 28 10:46:27.832: a0:ce:c8:c3:a9:b5 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=ExpAnchor, client state=APF_MS_STATE_ASSOCIATED
Het IP-adres van de client wordt geleerd op de controller en de status wordt van DHCP naar Web-authenticatie overgezet.
*dtlArpTask: May 28 10:46:58.356: a0:ce:c8:c3:a9:b5 Static IP client associated to interface wired-vlan-11 which can support client subnet.
*dtlArpTask: May 28 10:46:58.356: a0:ce:c8:c3:a9:b5 dtlArpSetType: Changing ARP Type from 0 ---> 1 for station a0:ce:c8:c3:a9:b5
*dtlArpTask: May 28 10:46:58.356: a0:ce:c8:c3:a9:b5 10.105.211.75 DHCP_REQD (7) Change state to WEBAUTH_REQD (8) last state DHCP_REQD (7)
Webauth URL wordt geformuleerd door het toevoegen van de externe redirect URL en controller Virtueel IP-adres.
*webauthRedirect: May 28 10:46:58.500: a0:ce:c8:c3:a9:b5- Preparing redirect URL according to configured Web-Auth type
*webauthRedirect: May 28 10:46:58.500: a0:ce:c8:c3:a9:b5- Web-auth type External, using URL:http://10.127.196.171/webauth/login.html
*webauthRedirect: May 28 10:46:58.500: a0:ce:c8:c3:a9:b5- Added switch_url, redirect URL is now http://10.127.196.171/webauth/login.html?switch_url=https://192.0.2.1/login.html
Het MAC-adres en WLAN van de client zijn toegevoegd aan de URL.
*webauthRedirect: May 28 10:46:58.500: a0:ce:c8:c3:a9:b5- Added client_mac , redirect URL is now http://10.127.196.171/webauth/login.html?switch_url= https://192.0.2.1/login.html&client_mac=a0:ce:c8:c3:a9:b5
*webauthRedirect: May 28 10:46:58.500: a0:ce:c8:c3:a9:b5- Added wlan, redirect URL is now
*webauthRedirect: May 28 10:46:58.500: a0:ce:c8:c3:a9:b5- Added wlan, redirect URL is now http://10.127.196.171/webauth/login.html?switch_url= https://192.0.2.1/login.html&client_mac=a0:ce:c8:c3:a9:b5&wlan=Guest
Laatste URL na parseren van de HTTP GET voor host 10.105.211.1
*webauthRedirect: May 28 10:46:58.500: a0:ce:c8:c3:a9:b5- parser host is 10.105.211.1
*webauthRedirect: May 28 10:46:58.500: a0:ce:c8:c3:a9:b5- parser path is /auth/discovery
*webauthRedirect: May 28 10:46:58.500: a0:ce:c8:c3:a9:b5-added redirect=, URL is now http://10.127.196.171/webauth/login.html?switch_url=https://192.0.2.1/login.html&client_mac=a0:ce:c8:c3:a9:b5&wlan=Guest&redirect=10.105.211.1/auth/discovery?architecture=9
Redirect URL wordt naar de client verzonden in het 200 OK-antwoordpakket.
*webauthRedirect: May 28 10:46:58.500: a0:ce:c8:c3:a9:b5- 200 send_data =HTTP/1.1 200 OK
Location:http://10.127.196.171/webauth/login.html?switch_url=https://192.0.2.1/login.html&client_mac=a0:ce:c8:c3:a9:b5&wlan=Guest&redirect=10.105.211.1/auth/discovery?architecture=9 De client maakt een TCP-verbinding met de redirect-URL-host. Zodra de clients de inloggebruikersnaam en het wachtwoord op het portaal hebben ingediend, wordt een radiusverzoek door de controller naar de radiusserver verzonden
Nadat de controller een Access-Accept heeft ontvangen, heeft de client de TCP-sessie afgesloten en wordt de status RUN (UITVOEREN) ingeschakeld.
*aaaQueueReader: May 28 10:46:59:077: a0:ce:c8:c3:a9:b5 Sending the packet to v4 host 10.197.224.122:1812
*aaaQueueReader: May 28 10:46:59:077: a0:ce:c8:c3:a9:b5 Successful transmission of Authentication Packet (pktId 127) to 10.197.224.122:1812
*aaaQueueReader: May 28 10:46:59:077: AVP[01] User-Name................................testuser (17 bytes)
*aaaQueueReader: May 28 10:46:59:077: AVP[03] Calling-Station-Id.......................a0-ce-c8-c3-a9-b5 (17 bytes)
*aaaQueueReader: May 28 10:46:59:077: AVP[04] Nas-Port.................................0x00000008 (8) (4 bytes)
*aaaQueueReader: May 28 10:46:59:077: AVP[05] Nas-Ip-Address...........................0x0a4c7646 (184548604) (4 bytes)
*aaaQueueReader: May 28 10:46:59:077: AVP[06] NAS-Identifier...........................POD1586-CT5520 (14 bytes)
*aaaQueueReader: May 28 10:46:59:500: a0:ce:c8:c3:a9:b5 radiusServerFallbackPassiveStateUpdate: RADIUS server is ready 10.197.224.122 port 1812 index 0 active 1
*radiusTransportThread: May 28 10:46:59:500: a0:ce:c8:c3:a9:b5 Access-Accept received from RADIUS server 10.197.224.122 (qid:5) with port:1812, pktId:127
*Dot1x_NW_MsgTask_5: May 28 10:46:59:500: a0:ce:c8:c3:a9:b5 Processing Access-Accept for mobile a0:ce:c8:c3:a9:b5
*apfReceiveTask: May 28 10:46:59:500: a0:ce:c8:c3:a9:b5 Moving client to run state
9800 Ankerregelaar radioactieve sporen
Mobiliteit kondigt bericht voor de klant aan van de Foreign controller.
2024/07/15 15:10:20.614677358 {mobilityd_R0-0}{1}: [mm-client] [15259]: (debug): MAC: a0ce.c8c3.a9b5 Received mobile_announce, sub type: 0 of XID (6394) from (ipv4: 10.76.6.156 )
Exportankerverzoek ontvangen van de buitenlandse controller wanneer de klant associeert waarvoor Exportankerantwoord wordt verzonden door de Ankercontroller die kan worden geverifieerd op de Foreign controller RA-trace.
2024/07/15 15:10:22.615246594 {mobilityd_R0-0}{1}: [mm-transition] [15259]: (info): MAC: a0ce.c8c3.a9b5 MMFSM transition: S_MC_INIT -> S_MC_ANCHOR_EXP_ANC_REQ_RCVD_TR on E_MC_EXP_ANC_REQ_RCVD from ipv4: 10.76.6.156
De client wordt verplaatst naar de associatieve status en de mobiliteitsrol wordt overgezet naar Exportanker.
2024/07/15 15:10:22.616156811 {wncd_x_R0-0}{1}: [client-orch-state] [14709]: (note): MAC: a0ce.c8c3.a9b5 Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
2024/07/15 15:10:22.627358367 {wncd_x_R0-0}{1}: [mm-client] [14709]: (note): MAC: a0ce.c8c3.a9b5 Mobility Successful. Roam Type L3 Requested, Sub Roam Type MM_SUB_ROAM_TYPE_NONE, Client IFID: 0xa0000005, Client Role: Export Anchor PoA: 0xa0000001 PoP: 0x0
2024/07/15 15:10:22.627462963 {wncd_x_R0-0}{1}: [dot11] [14709]: (note): MAC: a0ce.c8c3.a9b5 Client datapath entry params - ssid:Guest-Profile,slot_id:0 bssid ifid: 0x0, radio_ifid: 0x0, wlan_ifid: 0xf0408001
2024/07/15 15:10:22.627490485 {mobilityd_R0-0}{1}: [mm-client] [15259]: (debug): MAC: a0ce.c8c3.a9b5 Export Anchor Response successfully processed.
2024/07/15 15:10:22.627494963 {mobilityd_R0-0}{1}: [mm-client] [15259]: (debug): MAC: a0ce.c8c3.a9b5 Forwarding Anchor Response to Foreign.
IP leren is voltooid, client IP geleerd via ARP.
2024/07/15 15:10:22.628124206 {wncd_x_R0-0}{1}: [client-iplearn] [14709]: (info): MAC: a0ce.c8c3.a9b5 IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
2024/07/15 15:10:23.627064171 {wncd_x_R0-0}{1}: [sisf-packet] [14709]: (info): RX: ARP from interface mobility_a0000001 on vlan 2024 Source MAC: a0ce.c8c3.a9b5 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: a0ce.c8c3.a9b5 ARP target MAC: 0000.0000.0000 ARP sender IP: 10.105.211.69, ARP target IP: 10.105.211.1,
2024/07/15 15:10:24.469704913 {wncd_x_R0-0}{1}: [client-iplearn] [14709]: (note): MAC: a0ce.c8c3.a9b5 Client IP learn successful. Method: ARP IP: 10.105.211.69
2024/07/15 15:10:24.470527056 {wncd_x_R0-0}{1}: [client-iplearn] [14709]: (info): MAC: a0ce.c8c3.a9b5 IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
2024/07/15 15:10:24.470587596 {wncd_x_R0-0}{1}: [client-orch-sm] [14709]: (debug): MAC: a0ce.c8c3.a9b5 Received ip learn response. method: IPLEARN_METHOD_ARP
2024/07/15 15:10:24.470613094 {wncd_x_R0-0}{1}: [client-orch-sm] [14709]: (debug): MAC: a0ce.c8c3.a9b5 Triggered L3 authentication. status = 0x0, Success
De status van het clientbeleid is in de herfst van het web in behandeling.
2024/07/15 15:10:24.470748350 {wncd_x_R0-0}{1}: [client-auth] [14709]: (info): MAC: a0ce.c8c3.a9b5 Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
TCP handshake wordt vervalst door de controller. Wanneer de client een HTTP GET verzendt, wordt een 200 OK-reactieframe verzonden dat de redirect-URL bevat.
De client moet een TCP-handshake maken met de omleidings-URL en de pagina laden.
2024/07/15 15:11:37.579177010 {wncd_x_R0-0}{1}: [webauth-httpd] [14709]: (info): mobility_a0000001[a0ce.c8c3.a9b5][ 10.105.211.69]HTTP GET request
2024/07/15 15:11:37.579190912 {wncd_x_R0-0}{1}: [webauth-httpd] [14709]: (info): mobility_a0000001[a0ce.c8c3.a9b5][ 10.105.211.69]Parse GET, src [10.105.211.69] dst [10.3.3.3] url [http://10.3.3.3/favicon.ico]
2024/07/15 15:11:37.579226658 {wncd_x_R0-0}{1}: [webauth-state] [14709]: (info): mobility_a0000001[a0ce.c8c3.a9b5][ 10.105.211.69]Param-map used: global
2024/07/15 15:11:37.579230650 {wncd_x_R0-0}{1}: [webauth-state] [14709]: (info): mobility_a0000001[a0ce.c8c3.a9b5][ 10.105.211.69]State LOGIN -> LOGIN
2024/07/15 15:11:47.123072893 {wncd_x_R0-0}{1}: [webauth-httpd] [14709]: (info): mobility_a0000001[a0ce.c8c3.a9b5][ 10.105.211.69]GET rcvd when in LOGIN state
2024/07/15 15:11:47.123082753 {wnc2024/07/15 15:12:04.280574375 {wncd_x_R0-0}{1}: [webauth-httpd] [14709]: (info): mobility_a0000001[a0ce.c8c3.a9b5][ 10.105.211.69]POST rcvd when in LOGIN state
Wanneer de client de aanmeldingsreferenties op de webportaalpagina indient, wordt een Access-Request-pakket naar de radiusserver verzonden voor verificatie.
2024/07/15 15:12:04.281076844 {wncd_x_R0-0}{1}: [radius] [14709]: (info): RADIUS: Send Access-Request to 10.197.224.122:1812 id 0/0, len 363
2024/07/15 15:12:04.281087672 {wncd_x_R0-0}{1}: [radius] [14709]: (info): RADIUS: authenticator e3 01 8f 5d 8e 52 fc cb - e0 d7 03 da c1 a2 09 e6
2024/07/15 15:12:04.281093278 {wncd_x_R0-0}{1}: [radius] [14709]: (info): RADIUS: Calling-Station-Id [31] 19 "a0-ce-c8-c3-a9-b5"
2024/07/15 15:12:04.281097034 {wncd_x_R0-0}{1}: [radius] [14709]: (info): RADIUS: User-Name [1] 10 "testuser"
2024/07/15 15:12:04.281148298 {wncd_x_R0-0}{1}: [radius] [14709]: (info): RADIUS: Cisco AVpair [1] 16 "method=webauth"
Access-Accept wordt ontvangen van de radiusserver, webauth is succesvol.
2024/07/15 15:12:04.683597101 {wncd_x_R0-0}{1}: [radius] [14709]: (info): RADIUS: Received from id 1812/0 10.197.224.122:0, Access-Accept, len 105
2024/07/15 15:12:04.683607762 {wncd_x_R0-0}{1}: [radius] [14709]: (info): RADIUS: authenticator 52 3e b0 13 99 ab a7 15 - 57 76 47 a1 fb e3 b8 99
2024/07/15 15:12:04.683614780 {wncd_x_R0-0}{1}: [radius] [14709]: (info): RADIUS: User-Name [1] 10 "testuser"
De verificatie is succesvol en de status van het clientbeleid is in RUN.
2024/07/15 15:12:04.683901842 {wncd_x_R0-0}{1}: [webauth-state] [14709]: (info): mobility_a0000001[a0ce.c8c3.a9b5][ 10.105.211.69]State AUTHENTICATING -> AUTHC_SUCCESS
2024/07/15 15:12:04.690643388 {wncd_x_R0-0}{1}: [errmsg] [14709]: (info): %CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: R0/0: wncd: Username entry (testuser) joined with ssid (Guest-Profile) for device with MAC: a0ce.c8c3.a9b5 on channel (0)
2024/07/15 15:12:04.690726966 {wncd_x_R0-0}{1}: [aaa-attr-inf] [14709]: (info): [ Applied attribute :bsn-vlan-interface-name 0 "VLAN2024" ]
2024/07/15 15:12:04.691064276 {wncd_x_R0-0}{1}: [client-orch-state] [14709]: (note): MAC: a0ce.c8c3.a9b5 Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RUN
Analyse van ingesloten pakketvastlegging
Cliënt wordt doorgestuurd naar de portaalpagina
De sessie wordt gesloten nadat de URL voor de omleiding is ontvangen.
TCP-sessie wordt gesloten na ontvangst van de omleidings-URL
Client initieert TCP 3-weg handshake naar de redirect URL-host en verzendt een HTTP GET-verzoek.
Zodra de pagina is geladen, worden de aanmeldingsreferenties ingediend op het portaal, de controller stuurt een toegangsverzoek naar de radiusserver om de client te verifiëren.
Nadat de verificatie is voltooid, wordt de TCP-sessie naar de webserver gesloten en wordt op de controller de status Client Policy Manager overgezet naar RUN.
De client verzendt een HTTP GET-verzoek naar de portalpagina en voltooit de verificatie met succes
Radius Access Request-pakket
Access Request Packet
Radius Access Accept-pakket
Access Accept-pakket
verwant artikel
WLAN Anchor Mobility Feature configureren op Catalyst 9800
Bekabelde gasttoegang met behulp van AirOS-controllers Configuratievoorbeeld
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
29-Jul-2024
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)