Radius DTLS configureren op ISE en 9800 WLC
Inhoud
Inleiding
In dit document wordt een methode beschreven voor het maken van de benodigde certificaten voor het configureren van RADIUS DTLS tussen ISE en de 9800 WLC.
Achtergrond
RADIUS DTLS is een beveiligde vorm van het RADIUS-protocol waarbij de RADIUS-berichten worden verzonden via een DTLS-tunnel (Data Transport Layer Security). Om deze tunnel tussen de verificatieserver en de verificator te maken, is een set certificaten nodig. Deze set certificaten vereist dat bepaalde Extended Key Usage (EKU) certificaatextensies worden ingesteld, met name clientverificatie op het WLC-certificaat en zowel serververificatie als clientverificatie voor het ISE-certificaat.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- De 9800 WLC configureren, het toegangspunt (AP) voor basisbediening
- Hoe de OpenSSL applicatie te gebruiken
- Public Key Infrastructure (PKI) en digitale certificaten
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- OpenSSL-toepassing (versie 3.0.2).
- ISE (versie 3.1.0.518)
- 9800 WLC (versie 17.12.3)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Overzicht
Het doel is om een certificeringsinstantie op twee niveaus te maken met een basiscertificeringsinstantie en een tussenliggende certificeringsinstantie om eindpuntcertificaten te ondertekenen. Zodra de certificaten zijn ondertekend, worden ze geïmporteerd naar de WLC en ISE. Ten slotte zijn de apparaten geconfigureerd om RADIUS DTLS-verificatie uit te voeren met die certificaten.
Opmerking: Dit document gebruikt Linux-specifieke opdrachten om bestanden te maken en te ordenen. De opdrachten worden uitgelegd zodat u dezelfde actie kunt uitvoeren op andere besturingssystemen waar OpenSSL beschikbaar is.
Optioneel - WLC- en ISE RADIUS DTLS-apparaatcertificaat maken
Het RADIUS DTLS-protocol moet certificaten uitwisselen tussen ISE en WLC om de DTLS-tunnel te maken. Als u nog geen geldige certificaten hebt, kunt u een lokale CA maken om de certificaten te genereren. Raadpleeg Een certificeringsinstantie op meerdere niveaus configureren voor OpenSSL om CIsco IOS® XE-compatibele certificaten te genereren en voer de stappen uit die vanaf het begin tot het einde van de stap in het document worden beschreven Een tussenliggend CA-certificaat maken.
Configuratiesecties toevoegen aan het bestand openssl.cnf
Open het configuratiebestand openssl.cnf en kopieer en plak onderaan de secties WLC en ISE die worden gebruikt om een geldige aanvraag voor een certificaatteken (CSR) te genereren.
Elke sectie ISE_device_req_ext en WLC_device_req_ext verwijst naar een lijst met SAN's die in de CSR moeten worden opgenomen:
#Section used for CSR generation, it points to the list of subject alternative names to add them to CSR
[ ISE_device_req_ext ]
subjectAltName = @ISE_alt_names
[ WLC_device_req_ext ]
subjectAltName = @WLC_alt_names
#DEFINE HERE SANS/IPs NEEDED for **ISE** device certificates
[ISE_alt_names]
DNS.1 = ISE.example.com
DNS.2 = ISE2.example.com
#DEFINE HERE SANS/IPs NEEDED for **WLC** device certificates
[WLC_alt_names]
DNS.1 = WLC.example.com
DNS.2 = WLC2.example.comAls beveiligingsmaatregel heeft de CA voorrang op alle SAN's die op een CSR aanwezig zijn om deze te ondertekenen, zodat onbevoegde apparaten geen geldig certificaat kunnen ontvangen voor een naam die ze niet mogen gebruiken. Als u de SAN's weer aan het ondertekende certificaat wilt toevoegen, gebruikt u de parameter subjectAltName om naar dezelfde SAN's in de lijst te verwijzen als de SAN's die worden gebruikt voor het genereren van CSR.
ISE vereist dat zowel serverAuth- als clientAuth-EKU's aanwezig zijn op het certificaat, terwijl de WLC alleen clientAuth nodig heeft. Ze worden toegevoegd aan het ondertekende certificaat met de parameter extendedKeyUsage.
Kopieer en plak de secties die worden gebruikt voor het certificaatteken onderaan het bestand openssl.cnf:
#This section contains the extensions used for the device certificate sign
[ ISE_cert ]
basicConstraints=CA:FALSE
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
#EKU client and server is needed for RADIUS DTLS on ISE
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @ISE_alt_names
[ WLC_cert ]
basicConstraints=CA:FALSE
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
#EKU client is needed for RADIUS DTLS on WLC
extendedKeyUsage = clientAuth
subjectAltName = @WLC_alt_names
WLC-apparaatcertificaat maken
Maak een nieuwe map om WLC-certificaten op te slaan op het systeem waarop OpenSSL is geïnstalleerd in de map Intermediate CA cert met de naam IntermCA.db.certs. De nieuwe map heet WLC:
mkdir ./IntermCA/IntermCA.db.certs/WLCWijzig de DNS-parameters in de [WLC_alt_names] sectie van het bestand openssl.cnf. Wijzig de voorbeeldnamen voor de gewenste waarden. Deze waarden vullen het veld SAN's van het WLC-certificaat in:
[WLC_alt_names]
DNS.1 = WLC.example.com <-----Change the values after the equals sign
DNS.2 = WLC2.example.com <-----Change the values after the equals signMaak de WLC-privésleutel en WLC-CSR met informatie uit de sectie WLC_device_req_ext voor SAN's:
openssl req -newkey rsa:4096 -keyout ./IntermCA/IntermCA.db.certs/WLC/WLC.key -nodes -config openssl.cnf -out ./IntermCA/IntermCA.db.certs/WLC/WLC.csr -reqexts WLC_device_req_extOpenSSL opent een interactieve prompt voor u om Distinguished Name (DN) details in te voeren:
Interactieve prompt voor WLC-certificaat Distinguished Name
Let op: De Common Name (CN) die u opgeeft in de interactieve prompt moet identiek zijn aan een van de namen in de sectie [WLC_alt_names] van het bestand openssl.cnf.
Gebruik de CA met de naam IntermCA om de WLC CSR met de naam WLC.csr te ondertekenen met de extensies die zijn gedefinieerd onder [WLC_cert] en sla het ondertekende certificaat op in ./IntermCA/IntermCA.db.certs/WLC. Het WLC-apparaatcertificaat wordt WLC.crt genoemd:
openssl ca -config openssl.cnf -extensions WLC_cert -name IntermCA -out ./IntermCA/IntermCA.db.certs/WLC/WLC.crt -infiles ./IntermCA/IntermCA.db.certs/WLC/WLC.csr9800 WLC heeft het certificaat nodig in pfx-formaat om het te importeren. Maak een nieuw bestand aan dat de keten van CA's bevat die het WLC-certificaat hebben ondertekend, dit wordt een certfile genoemd:
cat ./RootCA/RootCA.crt ./IntermCA/IntermCA.crt > ./IntermCA/IntermCA.db.certs/WLC/certfile.crt
Als u uw .pfx-bestand wilt maken, voert u een van deze opdrachten uit volgens de WLC-versie.
Voor versies ouder dan 17.12.1:
openssl pkcs12 -export -macalg sha1 -legacy -descert -out ./IntermCA/IntermCA.db.certs/WLC/WLC.pfx -inkey ./IntermCA/IntermCA.db.certs/WLC/WLC.key -in ./IntermCA/IntermCA.db.certs/WLC/WLC.crt -certfile ./IntermCA/IntermCA.db.certs/WLC/certfile.crt
Voor versie 17.12.1 of later:
openssl pkcs12 -export -out ./IntermCA/IntermCA.db.certs/WLC/WLC.pfx -inkey ./IntermCA/IntermCA.db.certs/WLC/WLC.key -in ./IntermCA/IntermCA.db.certs/WLC/WLC.crt -certfile ./IntermCA/IntermCA.db.certs/WLC/certfile.crtISE-apparaatcertificaat maken
Maak een nieuwe map om ISE-certificaten op te slaan op het systeem waarop OpenSSL is geïnstalleerd in de map Intermediate CA cert met de naam IntermCA.db.certs. De nieuwe map heet ISE:
mkdir ./IntermCA/IntermCA.db.certs/ISEWijzig de DNS-parameters in de [ISE_alt_names] sectie van het bestand openssl.cnf. Wijzig de voorbeeldnamen voor de gewenste waarden. Deze waarden vullen het veld SAN's van het WLC-certificaat in:
[ISE_alt_names]
DNS.1 = ISE.example.com <-----Change the values after the equals sign
DNS.2 = ISE2.example.com <-----Change the values after the equals sign
Maak de ISE-privésleutel en de ISE-CSR met informatie uit de sectie ISE_device_req_ext voor SAN's:
openssl req -newkey rsa:2048 -sha256 -keyout ./IntermCA/IntermCA.db.certs/ISE/ISE.key -nodes -config openssl.cnf -out ./IntermCA/IntermCA.db.certs/ISE/ISE.csr -reqexts ISE_device_req_extOpenSSL opent een interactieve prompt voor u om Distinguished Name (DN) details in te voeren:
ISE Certificate Distinguished Name Interactieve prompt
Let op: De CN die u opgeeft op de interactieve prompt moet exact hetzelfde zijn als een van de Namen in de sectie [ISE_alt_names] van het bestand openssl.cnf.
Gebruik de CA met de naam IntermCA om de ISE CSR met de naam ISE.csr te ondertekenen met de extensies die zijn gedefinieerd onder [ISE_cert] en sla het ondertekende certificaat op in ./IntermCA/IntermCA.db.certs/WLC. Het ISE-apparaatcertificaat wordt ISE.crt genoemd:
openssl ca -config openssl.cnf -extensions ISE_cert -name IntermCA -out ./IntermCA/IntermCA.db.certs/ISE/ISE.crt -infiles ./IntermCA/IntermCA.db.certs/ISE/ISE.csr
Optioneel - Gebruik zelf ondertekende certificaten voor zowel ISE als WLC
WLC-certificaat vertrouwen op ISE
- Het zelf ondertekende WLC-certificaat ophalen en uploaden naar ISE
9800-controller# show crypto pki certificates | include self
en noteer de naam van het certificaat (zoals <TP-Self>).
2. Om het CA-certificaat van het zelf ondertekende certificaat te verkrijgen
9800-controller# show crypto pki certificate pem < self signed cert name>Kopieer het certificaat en sla het op met de bestandsnaam <certname>.pem
3. Nadat u deze stap hebt voltooid, uploadt u het certificaat naar ISE onder Vertrouwde certificaten.
ISE-navigatiepad: Beheer → Systeem → Certificaten → Vertrouwde Certificaten
Vertrouwen op ISE Cert op WLC
Tot nu toe hebben we het WLC-certificaat op ISE vertrouwd. Nu moeten we het ISE-certificaat downloaden en configureren als vertrouwd op de WLC.
1. Navigeer op ISE naar:
Administratie → Systeem → Certificaten → Systeemcertificaten
2. Download het certificaat (gebruikt door RADIUS DTLS) in .pem formaat.
3. Open het bestand na het downloaden in tekstindeling en kopieer de certificaatinhoud in hexadecimale indeling.
4. Navigeer vervolgens naar de WLC, maak een trustpoint en plak het gekopieerde certificaat erin.
9800-controller# conf t
crypto pki trustpoint iseself
revocation-check none
enrollment none
exit
9800-controller# crypto pki trustpoint authenticate iseself
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
--- paste the hex certifcate ---
De server en client gebruiken voor DTLS
Gebruik de trustpoints als volgt: DTLS-server moet verwijzen naar het ISE-trustpoint en DTLS-client moet verwijzen naar het WLC-trustpoint.
Optioneel – Gebruik van een zelf ondertekend certificaat op de WLC versus een door derden ondertekend certificaat op ISE
Eerst certs uploaden om vertrouwd te raken op ise
Aangezien het hierbij gaat om een certificaat van een derde partij, moeten we om apparaatvertrouwen op te bouwen zowel de root- als tussenliggende certificaten importeren in het vertrouwde certificatenarchief. Raadpleeg de sectie "Certificaten importeren in apparaten" voor navigatie.
Vertrouwen op het certificaat van derden op de WLC voor DTLS-communicatie
Omdat de WLC CA en third party CA anders zijn, hebben we de nieuwe twee trustpoints op de WLC voor root gecreëerd door de ketenvalidatie van intermediate voort te zetten.
9800-controller(config)#crypto pki trustpoint ISEroot
9800-controller(ca-trustpoint)#revocation-check none
9800-controller(ca-trustpoint)#enrollment terminal
9800-controller(ca-trustpoint)#chain-validation stop
9800-controller(ca-trustpoint)#exit
9800-controller(config)#crypto pki authenticate ISEroot
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
------Paste the ISE root CA-----
Importeer het volgende tussenliggende CA-certificaat in de ISE CA-keten, met andere woorden het CA-certificaat dat is afgegeven door de basisCA:
hamariomed1(config)#crypto pki trustpoint ISEintermediate
hamariomed1(ca-trustpoint)#revocation-check none
hamariomed1(ca-trustpoint)#chain-validation continue ISErootCA
hamariomed1(ca-trustpoint)#enrollment terminal
hamariomed1(ca-trustpoint)#exit
hamariomed1(config)#crypto pki authenticate ISEintermediate
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
------Paste the ISE intermediate CA-------
Voor elke extra CA in de keten is een apart trustpoint nodig. Elk trustpoint in de keten moet verwijzen naar het trustpoint dat het certificaat van de uitgever bevat van het certificaat dat u wilt importeren met de opdracht ketenvalidatie doorgaan <Naam van emittent trustpoint>.
Importeer zoveel CA-certificaten als uw CA-keten bevat. Als u klaar bent nadat u de uitgevende CA van het ISE-apparaatcertificaat hebt geïmporteerd, noteert u de naam van dit trustpoint.
U hoeft het ISE-apparaatcertificaat op de WLC niet te importeren om RADIUS DTLS te laten werken.
Certificaten importeren naar apparaten
Invoercertificaten naar ISE
1. Het basiscertificaat van CA importeren uit de ISE-certificaatketen naar het vertrouwde certificatenarchief.
2. Ga naar Beheer>Systeem>Certificaten>Vertrouwde certificaten.
3. Klik op Bladeren en selecteer het bestand Root.crt.
4. Schakel de selectievakjes Vertrouwen voor verificatie binnen ISE en Vertrouwen voor clientverificatie en Syslog in en klik op Indienen:
Dialoogvenster CA-certificaat importeren ISE Root
Doe hetzelfde voor het tussenliggende certificaat als het bestaat.
Opmerking: Herhaal de stappen voor elk CA-certificaat dat deel uitmaakt van de ISE-certificeringsketen. Begin altijd met het Root CA-certificaat en eindig met het laagste Intermediate CA-certificaat van de keten.
Dialoogvenster ISE Intermediate CA-certificaat importeren
Let op: Als het ISE-certificaat en het WLC-certificaat door verschillende CA's worden uitgegeven, moet u ook alle CA-certificaten importeren die deel uitmaken van de WLC-certificaatketen. ISE accepteert het WLC-certificaat op de DTLS-certificaatuitwisseling niet totdat u die CA-certificaten importeert.
Menu ISE-certificaat importeren
Tip: U hoeft alleen het ISE-apparaatcertificaat in deze stap te importeren. Dit certificaat is de enige ISE-uitwisselingen om de DTLS-tunnel tot stand te brengen. Het is niet nodig om het WLC-apparaatcertificaat en de privésleutel te importeren, omdat het WLC-certificaat wordt geverifieerd met het gebruik van de CA-certificaten die eerder zijn geïmporteerd.
Certificaten importeren naar WLC
- Navigeer naar Configuratie > Beveiliging > PKI-beheer op de WLC en ga naar het tabblad Certificaat toevoegen.
- Klik op de keuzelijst PKCS12-certificaat importeren en stel het transporttype in als Desktop (HTTPS).
- Klik op de knop Selecteer bestand en selecteer het bestand .pfx dat u eerder hebt voorbereid.
- Typ het importwachtwoord in en klik vervolgens op Importeren.
Dialoogvenster WLC-certificaat importeren
Voor gedetailleerde informatie over het importproces raadpleegt u MVO-certificaten genereren en downloaden op Catalyst 9800 WLC's.
Schakel de controle voor het intrekken van certificaten in elk automatisch aangemaakt vertrouwenspunt uit als de WLC geen lijst voor het intrekken van certificaten heeft die via het netwerk kan worden gecontroleerd:
9800#configure terminal
9800(config)#crypto pki trustpoint WLC.pfx
9800(config)#revocation-check none
9800(config)#exit
9800(config)#crypto pki trustpoint WLC.pfx-rrr1
9800(config)#revocation-check none
9800(config)#exitOpmerking: Als u een CA op meerdere niveaus hebt gemaakt op OpenSSL met de CA op meerdere niveaus op OpenSSL configureren om Cisco IOS XE-certificaatdocument te genereren, moet u de intrekkingscontrole uitschakelen omdat er geen CRL-server is gemaakt.
De geautomatiseerde import creëert de nodige trustpoints om het WLC-certificaat en de bijbehorende CA-certificaten te bevatten.
Tip: Als de WLC-certificaten zijn uitgegeven door dezelfde CA als de ISE-certificaten, kunt u dezelfde trustpoints gebruiken die automatisch zijn gemaakt vanuit het WLC-importcertificaat. Het is niet nodig om de ISE-certificaten afzonderlijk in te voeren.
RADIUS DTLS configureren
ISE-configuratie
Voeg de WLC als netwerkapparaat toe aan ISE en ga hiervoor naar Beheer>Netwerkbronnen>Netwerkapparaten>Toevoegen
Voer de naam van het apparaat in en het IP-adres van de WLC-interface die het RADIUS-verkeer genereert. Doorgaans wordt de beheerinterface voor draadloze verbindingen IP. Blader omlaag en controleer de RADIUS-verificatieinstellingen en de vereiste DTLS en klik op Indienen:
Configuratie nieuwe netwerkapparaten
Radius DTLS-instellingen voor het netwerkapparaat op ISE
WLC-configuratie
Definieer een nieuwe Radius-server samen met het ISE IP-adres en de standaardpoort voor Radius DTLS. Deze configuratie is alleen beschikbaar op de CLI:
9800#configure terminal
9800(config)#radius server ISE
9800(config-radius-server)#address ipv4
9800(config-radius-server)#dtls port 2083 Radius DTLS moet de gedeelde geheime radius/dtls gebruiken, de 9800 WLC negeert elke andere geconfigureerde sleutel dan deze:
9800(config-radius-server)#key radius/dtls
Gebruik de opdrachtdtls trustpoint client om het trustpoint te configureren dat het WLC-apparaatcertificaat bevat om te ruilen voor de DTLS-tunnel.
Gebruik de opdrachtdtls trustpoint server om het trustpoint te configureren dat de CA van de uitgever bevat voor het ISE-apparaatcertificaat.
Zowel de naam van het client- als van het server-trustpoint is alleen hetzelfde als de WLC- en ISE-certificaten door dezelfde CA zijn uitgegeven:
9800(config-radius-server)#dtls trustpoint client WLC.pfx
9800(config-radius-server)#dtls trustpoint server WLC.pfxConfigureer de WLC om te controleren op een van de alternatieve onderwerpnamen (SAN's) die op het ISE-certificaat aanwezig zijn. Deze configuratie moet exact overeenkomen met een van de SAN's in het SAN-veld van het certificaat.
De 9800 WLC voert geen reguliere expressieovereenkomst uit voor het SAN-veld. Dit betekent bijvoorbeeld dat de opdracht dtls match-server-identity hostname *.example.com voor een wildcard-certificaat met *.example.com op het SAN-veld juist is, maar dat dezelfde opdracht voor een certificaat met www.example.com op het SAN-veld niet juist is.
De WLC controleert deze naam niet met een nameserver:
9800(config-radius-server)#dtls match-server-identity hostname ISE.example.com
9800(config-radius-server)#exit Maak een nieuwe servergroep aan om de nieuwe Radius DTLS voor verificatie te gebruiken:
9800(config)#aaa group server radius Radsec
9800(config-sg-radius)#server name ISE
9800(config-sg-radius)#exit
Vanaf dit punt kunt u deze servergroep gebruiken zoals u elke andere servergroep op de WLC gebruikt. Raadpleeg 802.1X-verificatie configureren voor de Catalyst 9800 Wireless Controller Series om deze server te gebruiken voor verificatie van draadloze clients.
Verifiëren
Certificaatgegevens verifiëren
Voer de opdracht uit in de Linux-terminal om de certificaatgegevens voor de gemaakte certificaten te verifiëren:
openssl x509 -in -text -noout Het toont de volledige informatie van het certificaat. Dit is handig om de CA van de emittent van een bepaald certificaat te bepalen of als de certificaten de vereiste EKU's en SAN's bevatten:
Cisco IOS XE-apparaatcertificaatinformatie zoals weergegeven door OpenSSL
Testverificatie uitvoeren
Vanuit de WLC kun je de Radius DTLS functionaliteit met commando testen test aaa group
9800#test aaa group Radsec testuser Cisco123 new-code
User successfully authenticated
USER ATTRIBUTES
username 0 "testuser"
Opmerking: Een uitvoer voor toegangsweigering op de testopdracht betekent dat de WLC een RADIUS-bericht voor toegangsweigering heeft ontvangen, in welk geval RADIUS DTLS werkt. Het kan echter ook wijzen op het niet tot stand brengen van de DTLS-tunnel. De testopdracht maakt geen onderscheid tussen beide scenario's. Zie het gedeelte Problemen oplossen om te bepalen of er een probleem is.
Problemen oplossen
Als u de oorzaak van een mislukte verificatie wilt controleren, kunt u deze opdrachten inschakelen voordat u een verificatietest uitvoert.
9800#debug radius
9800#debug radius radsec
9800#terminal monitor Dit is de uitvoer van een succesvolle verificatie met ingeschakelde debugs:
9800#test aaa group Radsec testuser Cisco123 new-code
User successfully authenticated
USER ATTRIBUTES
username 0 "testuser"
9800#
Jul 18 21:24:38.301: %PARSER-5-HIDDEN: Warning!!! ' test platform-aaa group server-group Radsec user-name testuser Cisco123 new-code blocked count delay level profile rate users ' is a hidden command. Use of this command is not recommended/supported and will be removed in future.
Jul 18 21:24:38.313: RADIUS/ENCODE(00000000):Orig. component type = Invalid
Jul 18 21:24:38.313: RADIUS/ENCODE(00000000): dropping service type, "radius-server attribute 6 on-for-login-auth" is off
Jul 18 21:24:38.313: RADIUS(00000000): Config NAS IP: 0.0.0.0
Jul 18 21:24:38.313: vrfid: [65535] ipv6 tableid : [0]
Jul 18 21:24:38.313: idb is NULL
Jul 18 21:24:38.313: RADIUS(00000000): Config NAS IPv6: ::
Jul 18 21:24:38.313: RADIUS(00000000): sending
Jul 18 21:24:38.313: RADIUS/DECODE(00000000): There is no General DB. Want server details may not be specified
Jul 18 21:24:38.313: RADSEC: DTLS default secret
Jul 18 21:24:38.313: RADIUS/ENCODE: Best Local IP-Address 172.16.5.11 for Radius-Server 172.16.18.123
Jul 18 21:24:38.313: RADSEC: DTLS default secret
Jul 18 21:24:38.313: RADIUS(00000000): Send Access-Request to 172.16.18.123:2083 id 53808/10, len 54
RADIUS: authenticator C3 4E 34 0A 91 EF 42 53 - 7E C8 BB 50 F3 98 B3 14
Jul 18 21:24:38.313: RADIUS: User-Password [2] 18 *
Jul 18 21:24:38.313: RADIUS: User-Name [1] 10 "testuser"
Jul 18 21:24:38.313: RADIUS: NAS-IP-Address [4] 6 172.16.5.11
Jul 18 21:24:38.313: RADIUS_RADSEC_ENQ_WAIT_Q: Success Server(172.16.18.123)/Id(10)
Jul 18 21:24:38.313: RADIUS_RADSEC_CLIENT_PROCESS: Got DATA SEND MSG
Jul 18 21:24:38.313: RADIUS_RADSEC_SOCK_SET: 0 Success
Jul 18 21:24:38.313: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 18 21:24:38.313: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 18 21:24:38.313: RADIUS_RADSEC_HASH_KEY_ADD_CTX: add [radius_radsec ctx(0x7522CE91BAC0)] succeedd for sock_no(0)
Jul 18 21:24:38.313: RADIUS_RADSEC_GET_SOURCE_ADDR: Success
Jul 18 21:24:38.313: RADIUS_RADSEC_GET_SOCK_ADDR: Success
Jul 18 21:24:38.313: RADIUS_RADSEC_SET_LOCAL_SOCK: Success
Jul 18 21:24:38.313: RADIUS_RADSEC_SOCK_SET: Success
Jul 18 21:24:38.314: RADIUS_RADSEC_BIND_SOCKET: Success
Jul 18 21:24:38.314: RADIUS_RADSEC_CONN_SET_LPORT: Success
Jul 18 21:24:38.314: RADIUS_RADSEC_CONN_SET_SERVER_PORT: Success
Jul 18 21:24:38.314: RADIUS_RADSEC_CLIENT_HS_START: local port = 54509
Jul 18 21:24:38.314: RADIUS_RADSEC_SOCKET_CONNECT: Success
Jul 18 21:24:38.315: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got radsec_data
Jul 18 21:24:38.315: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got valid rctx, with server_handle B0000019
Jul 18 21:24:38.316: RADIUS_RADSEC_CLIENT_HS_START: TLS handshake in progress...(172.16.18.123/2083)
Jul 18 21:24:38.316: RADIUS_RADSEC_START_CONN_TIMER: Started (172.16.18.123/2083) for 5 secs
Jul 18 21:24:38.316: RADIUS_RADSEC_CONN_STATE_UPDATE: Success - State = 2
Jul 18 21:24:38.318: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.318: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 18 21:24:38.318: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 18 21:24:38.318: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 18 21:24:38.318: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 18 21:24:38.318: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 18 21:24:38.318: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 18 21:24:38.318: RADIUS_RADSEC_START_CONN_TIMER: Started (172.16.18.123/2083) for 5 secs
Jul 18 21:24:38.318: RADIUS_RADSEC_HS_CONTINUE: TLS handshake in progress...(172.16.18.123/2083)
Jul 18 21:24:38.318: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Success
Jul 18 21:24:38.318: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.327: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.327: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 18 21:24:38.327: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 18 21:24:38.327: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 18 21:24:38.327: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 18 21:24:38.327: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 18 21:24:38.327: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 18 21:24:38.391: RADIUS_RADSEC_START_CONN_TIMER: Started (172.16.18.123/2083) for 5 secs
Jul 18 21:24:38.391: RADIUS_RADSEC_HS_CONTINUE: TLS handshake in progress...(172.16.18.123/2083)
Jul 18 21:24:38.391: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Success
Jul 18 21:24:38.391: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.397: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.397: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 18 21:24:38.397: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 18 21:24:38.397: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 18 21:24:38.397: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 18 21:24:38.397: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 18 21:24:38.397: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 18 21:24:38.397: RADIUS_RADSEC_HS_CONTINUE: TLS handshake success!(172.16.18.123/2083) <-------- TLS tunnel establishes succesfully
Jul 18 21:24:38.397: RADIUS_RADSEC_CONN_STATE_UPDATE: Success - State = 3
Jul 18 21:24:38.397: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got radsec_data
Jul 18 21:24:38.397: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got valid rctx, with server_handle B0000019
Jul 18 21:24:38.397: RADIUS-RADSEC-HS-SUCCESS: Negotiated Cipher is ECDHE-RSA-AES256-GCM-SHA384
Jul 18 21:24:38.397: RADIUS_RADSEC_START_DATA_SEND: RADSEC HS Done, Start data send (172.16.18.123/2083)
Jul 18 21:24:38.397: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Success Server(172.16.18.123)/Id(10)
Jul 18 21:24:38.397: RADIUS_RADSEC_MSG_SEND: RADSEC Write SUCCESS(id=10)
Jul 18 21:24:38.397: RADIUS(00000000): Started 5 sec timeout
Jul 18 21:24:38.397: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Empty Server(172.16.18.123)/Id(-1)
Jul 18 21:24:38.397: RADIUS_RADSEC_START_DATA_SEND: no more data available
Jul 18 21:24:38.397: RADIUS_RADSEC_IDLE_TIMER: Started (172.16.18.123/2083)
Jul 18 21:24:38.397: RADIUS-RADSEC-HS-SUCCESS: Success
Jul 18 21:24:38.397: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Success
Jul 18 21:24:38.397: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.453: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.453: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 18 21:24:38.453: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 18 21:24:38.453: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 18 21:24:38.453: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 18 21:24:38.453: RADIUS_RADSEC_MSG_RECV: RADSEC Bytes read= 20, Err= 0
Jul 18 21:24:38.453: RADIUS_RADSEC_SOCK_READ_EVENT_HANDLE: Radius length is 113
Jul 18 21:24:38.453: RADIUS_RADSEC_SOCK_READ_EVENT_HANDLE: Going to read rest 93 bytes
Jul 18 21:24:38.453: RADIUS_RADSEC_MSG_RECV: RADSEC Bytes read= 93, Err= 0
Jul 18 21:24:38.453: RADIUS_RADSEC_SOCK_READ_EVENT_HANDLE: linktype = 7 - src port = 2083 - dest port = 54509 - udp len = 121 - datagram size = 141
Jul 18 21:24:38.453: RADIUS: Received from id 54509/10 172.16.18.123:2083, Access-Accept, len 113 <----------Radius response from ISE
RADIUS: authenticator 4E CE 96 63 41 4B 43 04 - C7 A2 B5 05 C2 78 A7 0D
Jul 18 21:24:38.453: RADIUS: User-Name [1] 10 "testuser"
Jul 18 21:24:38.453: RADIUS: Class [25] 83
RADIUS: 43 41 43 53 3A 61 63 31 30 31 32 37 62 64 38 74 [CACS:ac10127bd8t]
RADIUS: 47 58 50 47 4E 63 6C 57 76 2F 39 67 44 66 51 67 [GXPGNclWv/9gDfQg]
RADIUS: 63 4A 76 6C 35 47 72 33 71 71 47 36 4C 66 35 59 [cJvl5Gr3qqG6Lf5Y]
RADIUS: 52 42 2F 7A 57 55 39 59 3A 69 73 65 2D 76 62 65 [RB/zWU9Y:ise-vbe]
RADIUS: 74 61 6E 63 6F 2F 35 31 30 34 33 39 38 32 36 2F [tanco/510439826/]
RADIUS: 39 [ 9]
Jul 18 21:24:38.453: RADSEC: DTLS default secret
Jul 18 21:24:38.453: RADIUS/DECODE(00000000): There is no General DB. Reply server details may not be recorded
Jul 18 21:24:38.453: RADIUS(00000000): Received from id 54509/10Onbekende CA gemeld door WLC
Wanneer de WLC certificaten van ISE niet kan valideren, kan de DTLS-tunnel niet worden gemaakt en kunnen de verificaties niet worden uitgevoerd.
Dit is een voorbeeld van de foutopsporingsberichten die worden weergegeven wanneer dit het geval is:
9800#test aaa group Radsec testuser Cisco123 new-code
Jul 19 00:59:09.695: %PARSER-5-HIDDEN: Warning!!! ' test platform-aaa group server-group Radsec user-name testuser Cisco123 new-code blocked count delay level profile rate users ' is a hidden command. Use of this command is not recommended/supported and will be removed in future.
Jul 19 00:59:09.706: RADIUS/ENCODE(00000000):Orig. component type = Invalid
Jul 19 00:59:09.707: RADIUS/ENCODE(00000000): dropping service type, "radius-server attribute 6 on-for-login-auth" is off
Jul 19 00:59:09.707: RADIUS(00000000): Config NAS IP: 0.0.0.0
Jul 19 00:59:09.707: vrfid: [65535] ipv6 tableid : [0]
Jul 19 00:59:09.707: idb is NULL
Jul 19 00:59:09.707: RADIUS(00000000): Config NAS IPv6: ::
Jul 19 00:59:09.707: RADIUS(00000000): sending
Jul 19 00:59:09.707: RADIUS/DECODE(00000000): There is no General DB. Want server details may not be specified
Jul 19 00:59:09.707: RADSEC: DTLS default secret
Jul 19 00:59:09.707: RADIUS/ENCODE: Best Local IP-Address 172.16.5.11 for Radius-Server 172.16.18.123
Jul 19 00:59:09.707: RADSEC: DTLS default secret
Jul 19 00:59:09.707: RADIUS(00000000): Send Access-Request to 172.16.18.123:2083 id 52764/13, len 54
RADIUS: authenticator E8 09 1D B0 72 50 17 E6 - B4 27 F6 E3 18 25 16 64
Jul 19 00:59:09.707: RADIUS: User-Password [2] 18 *
Jul 19 00:59:09.707: RADIUS: User-Name [1] 10 "testuser"
Jul 19 00:59:09.707: RADIUS: NAS-IP-Address [4] 6 172.16.5.11
Jul 19 00:59:09.707: RADIUS_RADSEC_ENQ_WAIT_Q: Success Server(172.16.18.123)/Id(13)
Jul 19 00:59:09.707: RADIUS_RADSEC_CLIENT_PROCESS: Got DATA SEND MSG
Jul 19 00:59:09.707: RADIUS_RADSEC_SOCK_SET: 0 Success
Jul 19 00:59:09.707: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 19 00:59:09.707: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 19 00:59:09.707: RADIUS_RADSEC_HASH_KEY_ADD_CTX: add [radius_radsec ctx(0x7522CE91BAC0)] succeedd for sock_no(0)
Jul 19 00:59:09.707: RADIUS_RADSEC_GET_SOURCE_ADDR: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_GET_SOCK_ADDR: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_SET_LOCAL_SOCK: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_SOCK_SET: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_BIND_SOCKET: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_CONN_SET_LPORT: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_CONN_SET_SERVER_PORT: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_CLIENT_HS_START: local port = 49556
Jul 19 00:59:09.707: RADIUS_RADSEC_SOCKET_CONNECT: Success
Jul 19 00:59:09.709: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got radsec_data
Jul 19 00:59:09.709: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got valid rctx, with server_handle B0000019
Jul 19 00:59:09.709: RADIUS_RADSEC_CLIENT_HS_START: TLS handshake in progress...(172.16.18.123/2083)
Jul 19 00:59:09.709: RADIUS_RADSEC_START_CONN_TIMER: Started (172.16.18.123/2083) for 5 secsUser rejected
uwu-9800#
Jul 19 00:59:09.709: RADIUS_RADSEC_CONN_STATE_UPDATE: Success - State = 2
Jul 19 00:59:09.711: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 19 00:59:09.711: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 19 00:59:09.711: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 19 00:59:09.711: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 19 00:59:09.711: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 19 00:59:09.711: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 19 00:59:09.711: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 19 00:59:09.711: RADIUS_RADSEC_START_CONN_TIMER: Started (172.16.18.123/2083) for 5 secs
Jul 19 00:59:09.711: RADIUS_RADSEC_HS_CONTINUE: TLS handshake in progress...(172.16.18.123/2083)
Jul 19 00:59:09.711: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Success
Jul 19 00:59:09.713: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 19 00:59:09.720: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 19 00:59:09.720: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 19 00:59:09.720: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 19 00:59:09.720: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 19 00:59:09.720: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 19 00:59:09.720: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 19 00:59:09.720: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 19 00:59:09.722: RADIUS_RADSEC_HS_CONTINUE: TLS handshake failed!
Jul 19 00:59:09.722: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Success Server(172.16.18.123)/Id(13)
Jul 19 00:59:09.722: RADIUS_RADSEC_FAILOVER_HANDLER:Failng-over to new server = 0x0
Jul 19 00:59:09.722: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Empty Server(172.16.18.123)/Id(-1)
Jul 19 00:59:09.722: RADIUS_RADSEC_FAILOVER_HANDLER: no more data available
Jul 19 00:59:09.722: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 19 00:59:09.722: RADIUS_RADSEC_CONN_CLOSE: Cleaned up timers for Radius RADSEC ctx
Jul 19 00:59:09.722: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 19 00:59:09.722: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 19 00:59:09.722: RADIUS_RADSEC_HASH_KEY_DEL_CTX: remove [radius_radsec ctx(0x7522CE91BAC0)] succeeded for sock_no(0)
Jul 19 00:59:09.722: RADIUS_RADSEC_CONN_CLOSE: Hash table entry removed for RADSEC sock ctx
Jul 19 00:59:09.723: RADIUS_RADSEC_CONN_CLOSE: Success
Jul 19 00:59:09.723: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Failed to complete TLS handshake <----------DTLS tunnel failed to negociate
Jul 19 00:59:09.723: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 19 00:59:09.723: RADIUS_RADSEC_CONN_CLOSE: Cleaned up timers for Radius RADSEC ctx
Jul 19 00:59:09.723: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(-1) generated for sock(-1)
Jul 19 00:59:09.723: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(-1) generated for sock(-1)
uwu-9800#
Jul 19 00:59:09.723: RADIUS_RADSEC_HASH_KEY_DEL_CTX: remove [radius_radsec ctx(0x7522CE91BAC0)] succeeded for sock_no(-1)
Jul 19 00:59:09.723: RADIUS_RADSEC_CONN_CLOSE: Hash table entry removed for RADSEC sock ctx
Jul 19 00:59:09.723: RADIUS_RADSEC_CONN_CLOSE: Success
Jul 19 00:59:09.723: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Error
Jul 19 00:59:09.723: RADIUS_RADSEC_PROCESS_SOCK_EVENT: failed to hanlde radsec hs event
Jul 19 00:59:09.723: RADIUS/DECODE: No response from radius-server; parse response; FAIL
Jul 19 00:59:09.723: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL
Jul 19 00:59:09.723: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 19 00:59:10.718: %RADSEC_AUDIT_MESSAGE-3-FIPS_AUDIT_FCS_RADSEC_SERVER_CERTIFICATE_VALIDATION_FAILURE: Chassis 1 R0/0: sessmgrd: RADSEC server certificate validation failed with server 172.16.18.123
Jul 19 00:59:10.718: %RADSEC_AUDIT_MESSAGE-3-FIPS_AUDIT_FCS_RADSEC_SERVER_IDENTITY_CHECK_FAILURE: Chassis 1 R0/0: sessmgrd: RADSEC server identity check failed with server 172.16.18.123 <-----WLC fails to validate the identity on the certificate
Jul 19 00:59:10.718: %RADSEC_AUDIT_MESSAGE-6-FIPS_AUDIT_FCS_DTLSC_DTLS_SESSION_CLOSED: Chassis 1 R0/0: sessmgrd: RADSEC DTLS connection closed with peer 172.16.18.123Om dit te corrigeren, moet u ervoor zorgen dat de identiteit die op de WLC is geconfigureerd, exact overeenkomt met een van de SAN's die op het ISE-certificaat zijn opgenomen:
9800(config)#radius server
9800(config)#dtls match-server-identity hostname Zorg ervoor dat de CA-certificaatketen correct is geïmporteerd op de controller en dat de dtls trustpoint server
Onbekende CA gemeld door ISE
Wanneer ISE de certificaten die door de WLC worden geleverd niet kan valideren, kan de DTLS-tunnel niet worden gemaakt en kunnen de verificaties niet worden uitgevoerd. Dit wordt weergegeven als een fout in de RADIUS Live Logs. Navigeer naar Bewerkingen>Straal>Live-logs om te controleren.
ISE Live Log meldt DTLS-handshake-fout als gevolg van onbekende CA
Als u dit wilt corrigeren, controleert u of u zowel tussenliggende certificaten als basiscertificaten gebruikt, schakelt u de selectievakjes Vertrouwen voor clientverificatie en Syslog in onder Beheer>Systeem>Certificaten>Vertrouwde certificaten.
Intrekkingscontrole is ingeschakeld
Wanneer de certificaten in de WLC worden geïmporteerd, is de herroepingscontrole van de nieuw gemaakte trustpoints ingeschakeld. Hierdoor probeert de WLC te zoeken naar een lijst met ingetrokken certificaten die niet beschikbaar of bereikbaar is en niet voldoet aan de certificaatverificatie.
Zorg ervoor dat elk trustpoint in het verificatiepad voor de certificaten het revocation-check none commando bevat.
Jul 17 21:50:39.064: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 17 21:50:39.064: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec sock_ctx(0x780FB0715978:0) get for key sock_no(0) succeeded
Jul 17 21:50:39.064: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 17 21:50:39.064: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 17 21:50:39.068: %PKI-3-CRL_FETCH_FAIL: CRL fetch for trustpoint WLC1.pfx failed
Reason : Enrollment URL not configured. <------ WLC tries to perform revocation check
Jul 17 21:50:39.070: RADIUS_RADSEC_HS_CONTINUE: TLS handshake failed!
Jul 17 21:50:39.070: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Success Server(172.16.18.123)/Id(2)
Jul 17 21:50:39.070: RADIUS_RADSEC_FAILOVER_HANDLER:Failng-over to new server = 0x0
Jul 17 21:50:39.070: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Empty Server(172.16.18.123)/Id(-1)
Jul 17 21:50:39.070: RADIUS_RADSEC_FAILOVER_HANDLER: no more data available
Jul 17 21:50:39.070: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Cleaned up timers for Radius RADSEC ctx
Jul 17 21:50:39.070: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 17 21:50:39.070: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 17 21:50:39.070: RADIUS_RADSEC_HASH_KEY_DEL_CTX: remove [radius_radsec ctx(0x780FB0715978)] succeeded for sock_no(0)
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Hash table entry removed for RADSEC sock ctx
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Success
Jul 17 21:50:39.070: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Failed to complete TLS handshake
Jul 17 21:50:39.070: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Cleaned up timers for Radius RADSEC ctx
Jul 17 21:50:39.070: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(-1) generated for sock(-1)
Jul 17 21:50:39.070: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(-1) generated for sock(-1)
Jul 17 21:50:39.070: RADIUS_RADSEC_HASH_KEY_DEL_CTX: remove [radius_radsec ctx(0x780FB0715978)] succeeded for sock_no(-1)
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Hash table entry removed for RADSEC sock ctx
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Success
Jul 17 21:50:39.070: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Error
Jul 17 21:50:39.070: RADIUS_RADSEC_PROCESS_SOCK_EVENT: failed to hanlde radsec hs event
Jul 17 21:50:39.070: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket EventProblemen met DTLS Tunnel Establishment oplossen bij pakketafvang
De 9800 WLC biedt de functie Embedded Packet Capture (EPC) waarmee u al het verzonden en ontvangen verkeer voor een bepaalde interface kunt vastleggen. ISE biedt een vergelijkbare functie genaamd TCP dump om inkomend en uitgaand verkeer te bewaken. Wanneer ze tegelijkertijd worden gebruikt, kunt u het DTLS-sessieverkeer analyseren vanuit het perspectief van beide apparaten.
Raadpleeg de Beheerdershandleiding van de Cisco Identity Services Engine voor gedetailleerde stappen voor het configureren van TCP-dump op ISE. Raadpleeg ook de Catalyst 9800 Wireless LAN-controllers voor probleemoplossing voor informatie over het configureren van de EPC-functie op de WLC.
Dit is een voorbeeld van een succesvolle DTLS-tunnelinstallatie.
Pakketvastlegging van een RADIUS DTLS-tunnelonderhandeling en gecodeerde berichten
Pakketopnames laten zien hoe de DTLS-tunnelvestiging plaatsvindt. Als er een probleem is met de onderhandeling, met verloren verkeer tussen apparaten of DTLS-gecodeerde waarschuwingspakketten, helpt de pakketopname u het probleem te identificeren.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
10-Sep-2025
|
Eerste vrijgave |
1.0 |
24-Oct-2024
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)