802.1x WLAN + VLAN overschrijven met Mobility Express (ME) 8.2 en ISE 2.1
Inhoud
Inleiding
In dit document wordt beschreven hoe u een WLAN (Wireless Local Area Network) met Wi-Fi Protected Access 2 (WPA2) Enterprise Security kunt instellen met een Mobility Express-controller en een externe RADIUS-server (Remote Authentication Dial-In User Service). Identity Service Engine (ISE) wordt gebruikt als voorbeeld van externe RADIUS-servers.
Het Extensible Authentication Protocol (EAP) dat in deze handleiding wordt gebruikt, is Protected Extensible Authentication Protocol (PEAP). Daarnaast wordt de client toegewezen aan een specifiek VLAN (anders dan degene die standaard aan het WLAN is toegewezen).
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- 802,1x
- PEAP
- Certificeringsinstantie (CA)
- certificaten
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
ME v8.2
ISE v2.1
Windows 10-laptop
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Configureren
Netwerkdiagram
Configuraties
De algemene stappen zijn:
- Maak de Service Set Identifier (SSID) in de ME en declareer RADIUS-server (ISE in dit voorbeeld) op ME
- ME declareren op RADIUS-server (ISE)
- Maak de authenticatieregel op ISE
- De autorisatieregel voor ISE maken
- Het eindpunt configureren
Configuratie op ME
Om communicatie tussen RADIUS-server en ME mogelijk te maken, is het nodig om RADIUS-server op ME te registreren en vice versa. Deze stap laat zien hoe RADIUS-server op ME kan worden geregistreerd.
Stap 1. Open de GUI van de ME en ga naar Draadloze instellingen > WLAN's > Nieuw WLAN toevoegen.
Stap 2. Selecteer een naam voor het WLAN.
Stap 3. Geef beveiligingsconfiguratie op onder het tabblad WLAN-beveiliging.
Kies WPA2 Enterprise, kies Externe RADIUS voor de verificatieserver. Klik op de bewerkingsoptie om het IP-adres van RADIUS toe te voegen en kies een gedeelde geheime sleutel.
<a.b.c.d> komt overeen met de RADIUS-server.
Stap 4. Wijs een VLAN toe aan de SSID.
Als de SSID moet worden toegewezen aan het VLAN van het toegangspunt, kan deze stap worden overgeslagen.
Als u de gebruikers voor deze SSID wilt toewijzen aan een specifiek VLAN (anders dan het VLAN van het toegangspunt), schakelt u VLAN-tagging gebruiken in en wijst u de gewenste VLAN-ID toe.
Stap 5. Klik op Toepassen om de configuratie te voltooien.
Stap 6. Optioneel configureert u het WLAN zodanig dat de VLAN-overschrijving wordt geaccepteerd.
Schakel AAA-overschrijving in op het WLAN en voeg de benodigde VLAN's toe. Hiervoor moet u een CLI-sessie openen naar de ME-beheerinterface en de volgende opdrachten geven:
>config wlan disable <wlan-id> >config wlan aaa-override enable <wlan-id> >config wlan enable <wlan-id>
>config flexconnect group default-flexgroup vlan add <vlan-id>
Declareer ME op ISE
Stap 1. Open de ISE-console en navigeer naar Beheer > Netwerkbronnen > Netwerkapparaten > Toevoegen.
Stap 2. Voer de informatie in.
Optioneel kan een modelnaam, softwareversie en beschrijving worden opgegeven en netwerkapparaatgroepen worden toegewezen op basis van apparaattypen, locatie of WLC's.
a.b.c.d. komt overeen met het IP-adres van de ME.
Zie deze link voor meer informatie over netwerkapparaatgroepen:
Een nieuwe gebruiker maken op ISE
Stap 1. Navigeer naar Beheer > Identiteitsbeheer > Identiteiten > Gebruikers > Toevoegen.
Stap 2. Voer de informatie in.
In dit voorbeeld behoort deze gebruiker tot een groep met de naam ALL_ACCOUNTS, maar deze kan naar behoefte worden aangepast.
De verificatieregel maken
Authenticatieregels worden gebruikt om te controleren of de referenties van de gebruikers juist zijn (Controleer of de gebruiker echt is wie hij zegt dat hij is) en beperk de authenticatiemethoden die door hem mogen worden gebruikt.
Stap 1. Navigeren naar Beleid > Authenticatie.
Stap 2. Voeg een nieuwe verificatieregel in.
Ga hiervoor naar Beleid > Authenticatie > Nieuwe rij boven/onder invoegen.
Stap 3. Voer de benodigde informatie in
Dit voorbeeld van de verificatieregel staat alle protocollen toe die worden vermeld in de lijst Standaardnetwerktoegang, dit is van toepassing op het verificatieverzoek voor draadloze 802.1x-clients en met de aangeroepen-station-ID en wordt afgesloten met ise-ssid.
Kies ook de Identiteitsbron voor de clients die overeenkomt met deze verificatieregel, in dit voorbeeld wordt deze gebruikt door Interne gebruikers
Als het klaar is, klikt u op Gereed en Opslaan
Voor meer informatie over het beleid voor protocollen toestaan raadpleegt u deze link:
Toegestane Protocollen Service
Voor meer informatie over Identiteitsbronnen raadpleeg deze link:
Een groep met gebruikersidentiteiten maken
De autorisatieregel maken
De autorisatieregel is de regel die bepaalt of de client al dan niet mag deelnemen aan het netwerk
Stap 1. Navigeer naar Beleid > Autorisatie.
Stap 2. Voeg een nieuwe regel in. Navigeer naar Beleid > Autorisatie > Nieuwe regel hierboven/hieronder invoegen.
Stap 3. Voer de informatie in.
Kies eerst een naam voor de regel en de Identity-groepen waarin de gebruiker is opgeslagen. In dit voorbeeld wordt de gebruiker opgeslagen in groep ALL_ACCOUNTS.
Kies daarna andere voorwaarden die ervoor zorgen dat het autorisatieproces onder deze regel valt. In dit voorbeeld komt het autorisatieproces op deze regel als het gebruik maakt van 802.1x Wireless en het wordt station-ID genoemd en eindigt met ise-ssid.
Kies ten slotte het Autorisatieprofiel waarmee de clients zich bij het netwerk kunnen aansluiten, klik op Gereed en Opslaan.
Maak optioneel een nieuw machtigingsprofiel waarmee de draadloze client aan een ander VLAN wordt toegewezen:
Voer de gegevens in:
Configuratie van eindapparaat
Configureer een Windows 10-laptop om verbinding te maken met een SSID met 802.1x-verificatie met behulp van PEAP/MS-CHAPv2 (Microsoft-versie van het Challenge-Handshake Authentication Protocol versie 2).
In dit configuratievoorbeeld gebruikt ISE haar zelf ondertekende certificaat om de verificatie uit te voeren.
U kunt het WLAN-profiel op het Windows-systeem als volgt maken:
- Installeer het zelf ondertekende certificaat op het systeem om de ISE-server te valideren en te vertrouwen om de verificatie te voltooien
- Omzeil de validatie van de RADIUS-server en vertrouw op elke RADIUS-server die wordt gebruikt om de verificatie uit te voeren (niet aanbevolen, omdat dit een beveiligingsprobleem kan worden)
De configuratie voor deze opties wordt uitgelegd in Eindapparaatconfiguratie - Het WLAN-profiel maken - Stap 7.
Configuratie van eindapparaat - Zelfondertekend ISE-certificaat installeren
Stap 1. Exporteer zelf ondertekend certificaat van ISE.
Log in bij ISE en navigeer naar Beheer > Systeem > Certificaten > Systeemcertificaten.
Selecteer vervolgens het certificaat dat wordt gebruikt voor EAP-verificatie en klik op Exporteren.
Sla het certificaat op de gewenste locatie op. Dit certificaat is geïnstalleerd op het Windows-systeem.
Stap 2. Installeer het certificaat op het Windows-systeem.
Kopieer het certificaat dat u hebt geëxporteerd naar het Windows-systeem, wijzig de extensie van het bestand van .pem in .crt, dubbelklik erop en selecteer Installatiecertificaat....
Kies ervoor om het te installeren in Local Machine en klik vervolgens op Volgende.
Selecteer Alle certificaten in het volgende archief plaatsen, blader en kies Vertrouwde basiscertificeringsinstanties. Klik vervolgens op Next (Volgende).
Klik vervolgens op Voltooien.
Klik aan het einde op Ja om de installatie van het certificaat te bevestigen.
Klik uiteindelijk op OK.
Configuratie van eindapparaat - Het WLAN-profiel maken
Stap 1. Klik met de rechtermuisknop op het pictogram Start en selecteer Configuratiescherm.
Stap 2. Navigeer naar Netwerk en Internet en vervolgens naar Netwerkcentrum en klik op Een nieuwe verbinding of netwerk instellen.
Stap 3. Selecteer Handmatig verbinding maken met een draadloos netwerk en klik op Volgende.
Stap 4. Voer de gegevens in met de naam van de SSID en het beveiligingstype WPA2-Enterprise en klik op Volgende.
Stap 5. Selecteer Verbindingsinstellingen wijzigen om de configuratie van het WLAN-profiel aan te passen.
Stap 6. Navigeer naar het tabblad Beveiliging en klik op Instellingen.
Stap 7. Kies of de RADIUS-server al dan niet is gevalideerd.
Zo ja, schakel Verificatie van de identiteit van de server in door het certificaat te valideren en Vertrouwde basiscertificeringsinstanties: lijst Selecteer het zelf ondertekende certificaat van ISE.
Selecteer daarna Configureren en uitschakelen Automatisch mijn Windows-aanmeldingsnaam en wachtwoord gebruiken... en klik vervolgens op OK
Stap 8. De gebruikersreferenties configureren
Wanneer u terug bent op het tabblad Beveiliging, selecteert u Geavanceerde instellingen, geeft u de verificatiemodus op als Gebruikersverificatie en slaat u de referenties op die zijn geconfigureerd op ISE om de gebruiker te verifiëren.
Verifiëren
De verificatiestroom kan worden geverifieerd vanuit WLC- of ISE-perspectief.
Authenticatieproces op ME
Voer deze opdracht uit om het verificatieproces voor een specifieke gebruiker te controleren:
> debug client <mac-add-client>
Voorbeeld van een geslaagde verificatie (sommige uitvoer is weggelaten):
*apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Processing assoc-req station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 thread:669ba80
*apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Association received from mobile on BSSID 38:ed:18:c6:7b:4d AP 1852-4
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying site-specific Local Bridging override for station 08:74:02:77:13:45 - vapId 3, site 'FlexGroup', interface 'management'
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying Local Bridging Interface Policy for station 08:74:02:77:13:45 - vlan 0, interface id 0, interface 'management'
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Set Clinet Non AP specific apfMsAccessVlan = 2400
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 This apfMsAccessVlan may be changed later from AAA after L2 Auth
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Received 802.11i 802.1X key management suite, enabling dot1x Authentication
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state START (0)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state AUTHCHECK (2)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 apfPemAddUser2:session timeout forstation 08:74:02:77:13:45 - Session Tout 0, apfMsTimeOut '0' and sessionTimerRunning flag is 0
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Stopping deletion of Mobile Station: (callerId: 48)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Func: apfPemAddUser2, Ms Timeout = 0, Session Timeout = 0
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending assoc-resp with status 0 station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 on apVapId 3
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending Assoc Response to station on BSSID 38:ed:18:c6:7b:4d (status 0) ApVapId 3 Slot 1
*spamApTask0: Nov 25 16:36:24.341: 08:74:02:77:13:45 Sent dot1x auth initiate message for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 reauth_sm state transition 0 ---> 1 for mobile 08:74:02:77:13:45 at 1x_reauth_sm.c:47
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 EAP-PARAM Debug - eap-params for Wlan-Id :3 is disabled - applying Global eap timers and retries
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Disable re-auth, use PMK lifetime.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Connecting state
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Sending EAP-Request/Identity to mobile 08:74:02:77:13:45 (EAP Id 1)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received EAPOL EAPPKT from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received Identity Response (count=1) from mobile 08:74:02:77:13:45
.
.
.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Processing Access-Accept for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Username entry (user1) created in mscb for mobile, length = 253
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Creating a PKC PMKID Cache entry for station 08:74:02:77:13:45 (RSN 2)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding BSSID 38:ed:18:c6:7b:4d to PMKID cache at index 0 for station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: New PMKID: (16)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding Audit session ID payload in Mobility handoff
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 0 PMK-update groupcast messages sent
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 PMK sent to mobility group
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Disabling re-auth since PMK lifetime can take care of same.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Sending EAP-Success to mobile 08:74:02:77:13:45 (EAP Id 70)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Freeing AAACB from Dot1xCB as AAA auth is done for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: Including PMKID in M1 (16)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: M1 - Key Data: (22)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] dd 14 00 0f ac 04 80 3a 20 8c 8f c2 4c 18 7d 4c
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0016] 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Starting key exchange to mobile 08:74:02:77:13:45, data packets will be dropped
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Entering Backend Auth Success state (id=70) for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Received Auth Success while in Authenticating state for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Authenticated state
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-Key from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-key in PTK_START state (message 2) from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Successfully computed PTK from PMK!!!
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received valid MIC in EAPOL Key Message M2!!!!!
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 30 14 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 0...............
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: 00 0f ac 01 0c 00 ......
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 00 0f ................
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: ac 01 0c 00 ....
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 PMK: Sending cache add
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Mobility query, PEM State: L2AUTHCOMPLETE
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Mobile Announce :
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Client Payload:
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Ip: 0.0.0.0
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vlan Ip: 172.16.0.136, Vlan mask : 255.255.255.224
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vap Security: 16384
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Virtual Ip: 192.0.2.1
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 ssid: ise-ssid
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building VlanIpPayload.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Not Using WMM Compliance code qosCap 00
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3 flex-acl-name:
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state L2AUTHCOMPLETE (4)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6623, Adding TMP rule
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule
type = Airespace AP - Learn IP address
on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
IPv4 ACL ID = 255, IPv
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) mobility role update request from Unassociated to Local
Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 172.16.0.136
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=Local, client state=APF_MS_STATE_ASSOCIATED
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6261, Adding TMP rule
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Replacing Fast Path rule
type = Airespace AP - Learn IP address
on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
IPv4 ACL ID = 255,
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 In apfRegisterIpAddrOnMscb_debug: regType=1 Invalid src IP address, 0.0.0.0 is part of reserved ip address range (caller apf_ms.c:3593)
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
*apfReceiveTask: Nov 25 16:36:27.840: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
*apfReceiveTask: Nov 25 16:36:27.841: 08:74:02:77:13:45 172.16.0.16 DHCP_REQD (7) Change state to RUN (20) last state DHCP_REQD (7)
Gebruik de tool Wireless debug analyzer voor een eenvoudige manier om foutopsporingsclientuitgangen te lezen:
Authenticatieproces op ISE
Navigeer naar Operations > RADIUS > Live Logs om te zien welk authenticatiebeleid, autorisatiebeleid en autorisatieprofiel aan de gebruiker is toegewezen.
Klik voor meer informatie op Details om een gedetailleerder verificatieproces te bekijken.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
05-Apr-2017
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)