WLAN de convidado e WLAN interna usando o exemplo de configuração de WLCs

Introduction

Este documento fornece um exemplo de configuração para um LAN Wireless (WLAN) de convidado e uma WLAN interna segura que usa Controllers de LAN Wireless (WLCs) e lightweight access points (LAPs) Na configuração neste documento, a WLAN convidada usa a autenticação web para autenticar usuários e a WLAN interna segura usa a autenticação Extensible Authentication Protocol (EAP).

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• Conhecimento de como configurar a WLC com parâmetros básicos

• Conhecimento de como configurar um servidor DHCP e Domain Name System (DNS)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• O Cisco 2006 WLC que executa firmware com release 4.0

• LAP Cisco 1000 Series

• Adaptador de cliente wireless da Cisco 802.11a/b/g que executa firmware com release 2.6

• Roteador Cisco 2811 que executa o Cisco IOS® versão 12.4(2)XA

• Switch Cisco 3500 XL Series que executa o Cisco IOS versão 12.0(5)WC3b

• Servidor DNS executado em um servidor Microsoft Windows 2000

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Instalação de rede

O exemplo de configuração neste documento usa a configuração exibida neste diagrama. O LAP está registrado na WLC. A WLC está conectada ao switch de Camada 2. O roteador que conecta os usuários à WAN também se conecta ao switch da camada 2. Você precisa criar duas WLANs, uma para os usuários convidados e outra para os usuários internos da LAN. Você também precisa de um servidor DHCP para fornecer endereços IP para os clientes sem fio internos e convidados. Os usuários convidados usam a autenticação da Web para acessar a rede. Os usuários internos usam autenticação EAP. O roteador 2811 também atua como servidor DHCP para os clientes sem fio.

Observação: este documento pressupõe que a WLC está configurada com os parâmetros básicos e que o LAP está registrado na WLC. Consulte Registro de AP Leve (LAP - Lightweight AP) em um Controlador de LAN Sem Fio (WLC - Wireless LAN Controller) para obter informações sobre como configurar os parâmetros básicos em uma WLC e como registrar o LAP em WLC.

Quando configurados como um servidor DHCP, alguns dos firewalls não suportam solicitações DHCP de um agente de retransmissão. A WLC é um agente de retransmissão para o cliente. O firewall configurado como um servidor DHCP ignora essas solicitações. Os clientes devem estar diretamente conectados ao firewall e não podem enviar solicitações por meio de outro agente ou roteador de retransmissão. O firewall pode funcionar como um servidor DHCP simples para hosts internos que estão diretamente conectados a ele. Isso permite que o firewall mantenha sua tabela com base nos endereços MAC que estão diretamente conectados e que ele pode ver. É por isso que uma tentativa de atribuir endereços de um relé DHCP não está disponível e os pacotes são descartados. O PIX Firewall tem esta limitação.

Configurar

Conclua estes passos para configurar os dispositivos para esta configuração de rede:

1. Configurar interfaces dinâmicas no WLC para usuários convidados e internos

2. Crie WLANs para os usuários convidados e internos

3. Configurar a porta do switch de Camada 2 que se conecta à WLC como porta de tronco

4. Configurar o roteador para as duas VLANs

Configurar interfaces dinâmicas no WLC para usuários convidados e internos

A primeira etapa é criar duas interfaces dinâmicas na WLC, uma para os usuários convidados e outra para os usuários internos.

O exemplo neste documento usa estes parâmetros e valores para as interfaces dinâmicas:

Guest-WLAN                                                       Internal-WLAN
VLAN Id : 10  				                         VLAN Id : 20
IP address: 10.0.0.10			                         IP address: 20.0.0.10
Netmask: 255.0.0.0						 Netmask: 255.0.0.0
Gateway: 10.0.0.50			                         Gateway: 20.0.0.50
Physical port on WLC: 1			                         Physical port on WLC: 1
DHCP server: 172.16.1.60 		                         DHCP server: 172.16.1.60

Conclua estes passos:

1. Na GUI do WLC, escolha Controllers > Interfaces.

   A janela Interfaces é exibida. Essa janela lista as interfaces configuradas no controlador. Isso inclui as interfaces padrão, que são a interface de gerenciamento, a interface ap-manager, a interface virtual e a interface da porta de serviço, e as interfaces dinâmicas definidas pelo usuário.

   

2. Clique em New para criar uma nova interface dinâmica.

3. Na janela Interfaces > New, insira o Nome da Interface e a ID da VLAN. Em seguida, clique em Apply.

   Neste exemplo, a interface dinâmica é chamada Guest-WLAN e a ID da VLAN é atribuída a 10.

   

4. Na janela Interfaces > Edit, para a interface dinâmica, insira o endereço IP, a máscara de sub-rede e o gateway padrão. Atribua a uma porta física na WLC e insira o endereço IP do servidor DHCP. Em seguida, clique em Aplicar.

   Este é o exemplo:

   

   O mesmo procedimento deve ser concluído para criar uma interface dinâmica para a WLAN interna.

5. Na janela Interfaces > New, insira Internal-WLAN para a interface dinâmica dos usuários internos e digite 20 para a ID da VLAN. Em seguida, clique em Apply.

   

6. Na janela Interfaces > Edit, para a interface dinâmica, insira o endereço IP, a máscara de sub-rede e o gateway padrão. Atribua a uma porta física na WLC e insira o endereço IP do servidor DHCP. Em seguida, clique em Aplicar.

   

   Agora que duas interfaces dinâmicas são criadas, a janela Interfaces resume a lista de interfaces configuradas no controlador.

   

Crie WLANs para os usuários convidados e internos

A próxima etapa é criar WLANs para os usuários convidados e os usuários internos e mapear a interface dinâmica para as WLANs. Além disso, os métodos de segurança usados para autenticar usuários convidados e sem fio devem ser definidos. Conclua estes passos:

1. Clique em WLANs na GUI do controlador para criar uma WLAN.

   A janela WLANs será exibida. Essa janela lista as WLANs configuradas no controlador.

2. Clique em Novo para configurar uma nova WLAN.

   Neste exemplo, a WLAN é denominada Guest e a ID da WLAN é 2.

   

3. Clique em Apply no canto superior direito.

4. A tela WLAN > Edit é exibida, que contém várias guias.

   1. Na guia Geral da WLAN de convidado, escolha guest-wlan no campo Nome da interface. Isso mapeia a interface dinâmica guest-wlan criada anteriormente para o convidado da WLAN.

   2. Verifique se o Status da WLAN está ativado.

      

   3. Clique na guia Security. Para esta WLAN, a autenticação da Web usa um mecanismo de segurança de Camada 3 para autenticar clientes. Portanto, escolha Nenhum no campo Segurança da Camada 2. No campo Layer 3 Security, marque a caixa Web Policy e escolha a opção Authentication.

      

      Observação: para obter mais informações sobre a autenticação da Web, consulte o Exemplo de Configuração da Autenticação da Web da Controladora Wireless LAN.

   4. Clique em Apply.

5. Crie uma WLAN para os usuários internos. Na janela WLANs > New, insira Internal e escolha 3 para criar uma WLAN para os usuários internos. Em seguida, clique em Aplicar.

6. A janela WLANs > Edit é exibida. Na guia Geral, escolha internal-wlan no campo Nome da interface.

   Isso mapeia a interface dinâmica internal-wlan que foi criada anteriormente para a WLAN Internal. Verifique se a WLAN está habilitada.

   

   Deixe a opção Layer 2 Security no valor padrão 802.1x porque a autenticação EAP é usada para os usuários internos de WLAN.

   

7. Clique em Apply.

   A janela WLAN é exibida e mostra a lista de WLANs criadas.

   

   Observação: consulte o Exemplo de Configuração da Autenticação EAP com Controladores WLAN (WLC) para obter informações mais detalhadas sobre como configurar uma WLAN baseada em EAP com WLCs.

8. Na GUI do WLC, clique em Save Configuration e, em seguida, clique em Commands na GUI do controlador. Em seguida, escolha a opção Reiniciar para reinicializar a WLC para permitir que a autenticação da Web entre em vigor.

   

   Observação: clique em Save Configuration para salvar a configuração durante as reinicializações.

Configurar a porta do switch de Camada 2 que se conecta à WLC como porta de tronco

Você precisa configurar a porta do switch para suportar as várias VLANs configuradas na WLC porque a WLC está conectada a um switch de Camada 2. Você deve configurar a porta do switch como uma porta de tronco 802.1Q.

Cada conexão de porta do controlador é um tronco 802.1Q e deve ser configurada como isso no switch vizinho. Nos switches Cisco, a VLAN nativa de um tronco 802.1Q, por exemplo VLAN 1, é deixada sem rótulo. Portanto, se você configurar a interface de um controlador para usar a VLAN nativa em um switch Cisco vizinho, certifique-se de configurar a interface no controlador como não marcada.

Um valor zero para o identificador VLAN (na janela Controller > Interfaces) significa que a interface não está marcada. No exemplo deste documento, o gerenciador de AP e as interfaces de gerenciamento são configurados na VLAN não rotulada padrão.

Quando uma interface do controlador é definida com um valor diferente de zero, ela não deve ser marcada para a VLAN nativa do switch e a VLAN deve ser permitida no switch. Neste exemplo, a VLAN 60 é configurada como a VLAN nativa na porta do switch que se conecta ao controlador.

Esta é a configuração da porta do switch que se conecta à WLC:

interface f0/12
Description Connected to the WLC
switchport trunk encapsulation dot1q
switchport trunk native vlan 60
switchport trunk allowed vlan 10,20,60
switchport mode trunk
no ip address

Esta é a configuração da porta do switch que se conecta ao roteador como uma porta de tronco:

interface f0/10
Description Connected to the Router
switchport trunk encapsulation dot1q
switchport trunk native vlan 60
switchport trunk allowed vlan 10,20,60
switchport mode trunk
no ip address

Essa é a configuração da porta do switch que se conecta ao LAP. Esta porta está configurada como uma porta de acesso:

interface f0/9
Description Connected to the LAP
Switchport access vlan 60
switchport mode access
no ip address

Configurar o roteador para as duas WLANs

No exemplo deste documento, o roteador 2811 conecta os usuários convidados à Internet e também conecta os usuários com fio internos aos usuários sem fio internos. Você também precisa configurar o roteador para fornecer serviços DHCP.

No roteador, crie subinterfaces na interface FastEthernet que se conecta à porta de tronco no switch para cada VLAN. Atribua as subinterfaces às VLANs correspondentes e configure um endereço IP das respectivas sub-redes.

Observação: somente partes relevantes da configuração do roteador são fornecidas, e não a configuração completa.

Essa é a configuração necessária no roteador para fazer isso.

Estes são os comandos que devem ser emitidos para configurar serviços DHCP no roteador:

!
ip dhcp excluded-address 10.0.0.10

!--- IP excluded because this IP is assigned to the dynamic !--- interface created on the WLC.

ip dhcp excluded-address 10.0.0.50

!--- IP excluded because this IP is assigned to the !--- sub-interface on the router.

ip dhcp excluded-address 20.0.0.10

!--- IP excluded because this IP is assigned to the dynamic !--- interface created on the WLC.

ip dhcp excluded-address 20.0.0.50

!--- IP excluded because this IP is assigned to the sub-interface on the router.

!
ip dhcp pool Guest

!--- Creates a DHCP pool for the guest users.

   network 10.0.0.0 255.0.0.0
   default-router 10.0.0.50 
   dns-server 172.16.1.1 

!--- Defines the DNS server.

!
ip dhcp pool Internal
   network 20.0.0.0 255.0.0.0
   default-router 20.0.0.50

!--- Creates a DHCP pool for the internal users.
 
!

Esses comandos devem ser emitidos na interface FastEthernet para a configuração de exemplo:

!
interface FastEthernet0/0
 description Connected to L2 Switch
 ip address 172.16.1.60 255.255.0.0
 duplex auto
 speed auto

!--- Interface connected to the Layer 2 switch.

!
interface FastEthernet0/0.1
 description Guest VLAN
 encapsulation dot1Q 10
 ip address 10.0.0.50 255.0.0.0
 

!--- Creates a sub-interface under FastEthernet0/0 for the guest VLAN.

!
interface FastEthernet0/0.2
 description Internal VLAN
 encapsulation dot1Q 20
 ip address 20.0.0.50 255.0.0.0


!--- Creates a sub-interface under FastEthernet0/0 for the internal VLAN.

!

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Conecte dois clientes sem fio, um usuário convidado (com convidado do SSID [Service Set Identifier]) e um usuário interno (com SSID Internal), para verificar se a configuração funciona como esperado.

Lembre-se de que a WLAN do convidado foi configurada para a Autenticação da Web. Quando o cliente sem fio convidado aparecer, digite qualquer URL no navegador da Web. A página de autenticação da Web padrão é exibida e solicita que você digite o nome de usuário e a senha. Quando o usuário convidado digita um nome de usuário/senha válidos, a WLC autentica o usuário convidado e permite o acesso à rede (possivelmente à Internet). Este exemplo mostra a janela de autenticação da Web que o usuário recebe e a saída em uma autenticação bem-sucedida:

A WLAN interna neste exemplo está configurada para autenticação 802.1x. Quando o cliente WLAN interno é ativado, o cliente usa a autenticação EAP. Para obter mais informações sobre como configurar o cliente para autenticação EAP, consulte a seção Usando a autenticação EAP do Guia de Instalação e Configuração dos Adaptadores de Cliente LAN Wireless Cisco Aironet 802.11a/b/g (CB21AG e PI21AG). Após a autenticação bem-sucedida, o usuário pode acessar a rede interna. Este exemplo mostra um cliente sem fio interno que usa a autenticação LEAP (Lightweight Extensible Authentication Protocol):

Troubleshoot

Procedimento de Troubleshooting

Use esta seção para resolver problemas de configuração.

Se a configuração não funcionar como esperado, faça o seguinte:

1. Certifique-se de que todas as VLANs configuradas na WLC sejam permitidas na porta do switch conectado à WLC.

2. Verifique se a porta do switch que se conecta à WLC e ao roteador está configurada como uma porta de tronco.

3. Certifique-se de que as IDs de VLAN usadas sejam as mesmas na WLC e no roteador.

4. Verifique se os clientes recebem endereços DHCP do servidor DHCP. Caso contrário, verifique se o servidor DHCP está configurado corretamente. Para obter mais informações sobre solução de problemas de clientes, consulte Solução de problemas de clientes na Cisco Unified Wireless Network.

Um dos problemas frequentes que ocorrem com a autenticação da Web é quando o redirecionamento para a página de autenticação da Web não funciona. O usuário não vê a janela de autenticação da Web quando o navegador é aberto. Em vez disso, o usuário deve inserir manualmente https://1.1.1.1/login.html para chegar à janela de autenticação da Web. Isso tem a ver com a pesquisa de DNS, que precisa funcionar antes que o redirecionamento para a página de autenticação da Web ocorra. Se a página inicial do navegador no cliente sem fio apontar para um nome de domínio, você precisará executar o nslookup com êxito quando o cliente se associar para que o redirecionamento funcione.

Além disso, para uma WLC que executa uma versão anterior à 3.2.150.10, a forma como a autenticação da Web funciona é quando um usuário no SSID tenta acessar a Internet, a interface de gerenciamento do controlador faz uma consulta DNS para ver se a URL é válida. Se for válido, o URL mostrará a página de autorização com o endereço IP das interfaces virtuais. Depois que o usuário inicia sessão com êxito, a solicitação original recebe permissão para retornar ao cliente. Isso ocorre devido à ID de bug da Cisco CSCsc68105 (somente clientes registrados) . Para obter mais informações, consulte Troubleshooting de Autenticação da Web em um Wireless LAN Controller (WLC).

Comandos para Troubleshooting

Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Você pode usar estes comandos debug para solucionar problemas da configuração:

• debug mac addr <client-MAC-address xx:xx:xx:xx:xx:xx> — Configura a depuração de endereços MAC para o cliente.

• debug aaa all enable — Configura a depuração de todas as mensagens AAA.

• debug pem state enable — Configura a depuração da Máquina de Estado do gerenciador de políticas.

• debug pem events enable — Configura a depuração de eventos do gerenciador de políticas.

• debug dhcp message enable —Use este comando para exibir informações de depuração sobre as atividades do cliente DHCP e para monitorar o status dos pacotes DHCP.

• debug dhcp packet enable —Use este comando para exibir informações de nível de pacote DHCP.

• debug pm ssh-appgw enable — Configura a depuração de gateways de aplicativos.

• debug pm ssh-tcp enable — Configura a depuração do gerenciamento tcp do policy manager.

Aqui estão exemplos de saídas de alguns desses comandos debug:

Observação: algumas linhas de saída foram inseridas em uma segunda linha devido a razões espaciais.

(Cisco Controller) >debug dhcp message enable
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option len, 
including the magic cookie = 64
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: received DHCP REQUEST msg
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 61, len 7
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: requested ip = 10.0.0.1
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 12, len 3
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 81, len 7
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: 
vendor class id = MSFT5.0 (len 8)
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 55, len 11
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcpParseOptions: 
options end, len 64, actual 64
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 Forwarding DHCP packet 
(332 octets)from 00:40:96:ac:e6:57
-- packet received on direct-connect port requires forwarding to external DHCP server. 
Next-hop is 10.0.0.50
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option len, 
including the magic cookie = 64
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: received DHCP ACK msg
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: server id = 10.0.0.50
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: lease time (seconds) =86400
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 58, len 4
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 59, len 4
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: skipping option 81, len 6
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: netmask = 255.0.0.0
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcp option: gateway = 10.0.0.50
Fri Mar  2 16:01:43 2007: 00:40:96:ac:e6:57 dhcpParseOptions: 
options end, len 64, actual 64

(Cisco Controller) >debug dhcp packet enable

Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 dhcpProxy: Received packet: 
Client 00:40:96:ac:e6:57 DHCP Op: BOOTREQUEST(1), IP len: 300, switchport: 1, 
encap: 0xec03
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 dhcpProxy: dhcp request, 
client: 00:40:96:ac:e6:57: dhcp op: 1, port: 2, encap 0xec03, old mscb 
port number: 2
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 Determing relay for 00:40:96:ac:e6:57 
dhcpServer: 10.0.0.50, dhcpNetmask: 255.0.0.0, dhcpGateway: 10.0.0.50, 
dhcpRelay: 10.0.0.10  VLAN: 30
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 Relay settings for 00:40:96:ac:e6:57 
Local Address: 10.0.0.10, DHCP Server: 10.0.0.50, Gateway Addr: 10.0.0.50, 
VLAN: 30, port: 2
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 DHCP Message Type received: 
DHCP REQUEST msg
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   op: BOOTREQUEST, htype: 
Ethernet,hlen: 6, hops: 1
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   xid: 1674228912, secs: 0, flags: 0
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   chaddr: 00:40:96:ac:e6:57
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   ciaddr: 10.0.0.1,  yiaddr: 0.0.0.0
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   siaddr: 0.0.0.0,  giaddr: 10.0.0.10
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 DHCP request to 10.0.0.50, 
len 350,switchport 2, vlan 30
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 dhcpProxy: Received packet: 
Client 00:40:96:ac:e6:57  DHCP Op: BOOTREPLY(2), IP len: 300, switchport: 2, 
encap: 0xec00
Fri Mar  2 16:06:35 2007: DHCP Reply to AP client: 00:40:96:ac:e6:57, frame len412, 
switchport 2
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57 DHCP Message Type received: DHCP ACK msg
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   op: BOOTREPLY, htype: 
Ethernet, hlen: 6, hops: 0
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   xid: 1674228912, secs: 0, flags: 0
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   chaddr: 00:40:96:ac:e6:57
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   ciaddr: 10.0.0.1,  yiaddr: 10.0.0.1
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   siaddr: 0.0.0.0,  giaddr: 0.0.0.0
Fri Mar  2 16:06:35 2007: 00:40:96:ac:e6:57   server id: 1.1.1.1  
rcvd server id: 10.0.0.50

(Cisco Controller) >debug aaa all enable

Fri Mar  2 16:22:40 2007: User user1 authenticated
Fri Mar  2 16:22:40 2007: 00:40:96:ac:e6:57 
Returning AAA Error 'Success' (0) for mobile 00:40:96:ac:e6:57
Fri Mar  2 16:22:40 2007: AuthorizationResponse: 0xbadff97c
Fri Mar  2 16:22:40 2007: structureSize................................70
Fri Mar  2 16:22:40 2007: resultCode...................................0
Fri Mar  2 16:22:40 2007: protocolUsed.................................0x00000008
Fri Mar  2 16:22:40 2007: proxyState...............00:40:96:AC:E6:57-00:00
Fri Mar  2 16:22:40 2007:  Packet contains 2 AVPs:
Fri Mar  2 16:22:40 2007: AVP[01] Service-Type............0x00000001 (1) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[02] Airespace / 
WLAN-Identifier......0x00000001 (1) (4 bytes)
Fri Mar  2 16:22:40 2007: 00:40:96:ac:e6:57 Applying new AAA override 
for station 00:40:96:ac:e6:57
Fri Mar  2 16:22:40 2007: 00:40:96:ac:e6:57 Override values for station 
00:40:96:ac:e6:57
                source: 48, valid bits: 0x1
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
        dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
         vlanIfName: '', aclName:
Fri Mar  2 16:22:40 2007: 00:40:96:ac:e6:57 Unable to apply override 
policy for station 00:40:96:ac:e6:57 
- VapAllowRadiusOverride is FALSE
Fri Mar  2 16:22:40 2007: AccountingMessage Accounting Start: 0xa62700c
Fri Mar  2 16:22:40 2007: Packet contains 13 AVPs:
Fri Mar  2 16:22:40 2007: AVP[01] User-Name................user1 (5 bytes)
Fri Mar  2 16:22:40 2007: AVP[02] Nas-Port.............0x00000001 (1) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[03] 
Nas-Ip-Address.......0x0a4df4d2 (172881106) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[04] 
NAS-Identifier......0x574c4331 (1464615729) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[05] 
Airespace / WLAN-Identifier..............0x00000001 (1) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[06] 
Acct-Session-Id..........................45e84f50/00:40:96:ac:e6:57/9 (28 bytes)
Fri Mar  2 16:22:40 2007: AVP[07] 
Acct-Authentic...........................0x00000002 (2) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[08] 
Tunnel-Type..............................0x0000000d (13) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[09] 
Tunnel-Medium-Type.......................0x00000006 (6) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[10] 
Tunnel-Group-Id..........................0x3330 (13104) (2 bytes)
Fri Mar  2 16:22:40 2007: AVP[11] 
Acct-Status-Type.........................0x00000001 (1) (4 bytes)
Fri Mar  2 16:22:40 2007: AVP[12] 
Calling-Station-Id.......................10.0.0.1 (8 bytes)
Fri Mar  2 16:22:40 2007: AVP[13] 
Called-Station-Id........................10.77.244.210 (13 bytes)


when web authentication is closed by user:

(Cisco Controller) >Fri Mar  2 16:25:47 2007: AccountingMessage 
Accounting Stop: 0xa627c78
Fri Mar  2 16:25:47 2007: Packet contains 20 AVPs:
Fri Mar  2 16:25:47 2007: 
AVP[01] User-Name................................user1 (5 bytes)
Fri Mar  2 16:25:47 2007: 
AVP[02] Nas-Port.................................0x00000001 (1) (4 bytes)
Fri Mar  2 16:25:47 2007: 
AVP[03] Nas-Ip-Address...........................0x0a4df4d2 (172881106) (4 bytes)
Fri Mar  2 16:25:47 2007: 
AVP[04] NAS-Identifier...........................0x574c4331 (1464615729) (4 bytes)
Fri Mar  2 16:25:47 2007: 
AVP[05] Airespace / WLAN-Identifier..............0x00000001 (1) (4 bytes)
Fri Mar  2 16:25:47 2007: 
AVP[06] Acct-Session-Id...............45e84f50/00:40:96:ac:e6:57/9 (28 bytes)
Fri Mar  2 16:25:47 2007: 
AVP[07] Acct-Authentic...........................0x00000002 (2) (4 bytes)
Fri Mar  2 16:25:47 2007: 
AVP[08] Tunnel-Type..............................0x0000000d (13) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[09] Tunnel-Medium-Type.......................0x00000006 (6) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[10] Tunnel-Group-Id..........................0x3330 (13104) (2 bytes)
Fri Mar  2 16:25:47 2007:
AVP[11] Acct-Status-Type.........................0x00000002 (2) (4 bytes)
Fri Mar  2 16:25:47 2007:
AVP[12] Acct-Input-Octets........................0x0001820e (98830) (4 bytes)
Fri Mar  2 16:25:47 2007:           
AVP[13] Acct-Output-Octets.......................0x00005206 (20998) (4 bytes)
Fri Mar  2 16:25:47 2007:           
AVP[14] Acct-Input-Packets.......................0x000006ee (1774) (4 bytes)
Fri Mar  2 16:25:47 2007:           
AVP[15] Acct-Output-Packets......................0x00000041 (65) (4 bytes)
Fri Mar  2 16:25:47 2007:           
AVP[16] Acct-Terminate-Cause.....................0x00000001 (1) (4 bytes)
Fri Mar  2 16:25:47 2007:           
AVP[17] Acct-Session-Time........................0x000000bb (187) (4 bytes)
Fri Mar  2 16:25:47 2007:           
AVP[18] Acct-Delay-Time..........................0x00000000 (0) (4 bytes)
Fri Mar  2 16:25:47 2007:           
AVP[19] Calling-Station-Id.......................10.0.0.1 (8 bytes)
Fri Mar  2 16:25:47 2007:           
AVP[20] Called-Station-Id........................10.77.244.210 (13 bytes)

(Cisco Controller) >debug pem state enable

Fri Mar  2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1 
WEBAUTH_REQD (8) Change state to START (0)
Fri Mar  2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1 
START (0) Change state to AUTHCHECK (2)
Fri Mar  2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1 
AUTHCHECK (2) Change stateto L2AUTHCOMPLETE (4)
Fri Mar  2 16:27:39 2007: 00:40:96:ac:e6:57 10.0.0.1 
L2AUTHCOMPLETE (4) Change state to WEBAUTH_REQD (8)
Fri Mar  2 16:28:16 2007: 00:16:6f:6e:36:2b 0.0.0.0 
START (0) Change state to AUTHCHECK (2)
Fri Mar  2 16:28:16 2007: 00:16:6f:6e:36:2b 0.0.0.0 
AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4)
Fri Mar  2 16:28:16 2007: 00:16:6f:6e:36:2b 0.0.0.0 
L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7)
Fri Mar  2 16:28:19 2007: 00:40:96:ac:e6:57 10.0.0.1 
WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14)
Fri Mar  2 16:28:19 2007: 00:40:96:ac:e6:57 10.0.0.1 
WEBAUTH_NOL3SEC (14) Change state to RUN (20)
Fri Mar  2 16:28:20 2007: 00:16:6f:6e:36:2b 0.0.0.0 
START (0) Change state to AUTHCHECK (2)
Fri Mar  2 16:28:20 2007: 00:16:6f:6e:36:2b 0.0.0.0 
AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4)
Fri Mar  2 16:28:20 2007: 00:16:6f:6e:36:2b 0.0.0.0 
L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7)
Fri Mar  2 16:28:24 2007: 00:40:96:af:a3:40 0.0.0.0 
START (0) Change state to AUTHCHECK (2)
Fri Mar  2 16:28:24 2007: 00:40:96:af:a3:40 0.0.0.0 
AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4)
Fri Mar  2 16:28:24 2007: 00:40:96:af:a3:40 0.0.0.0 
L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7)
Fri Mar  2 16:28:25 2007: 00:40:96:af:a3:40 40.0.0.1 
DHCP_REQD (7) Change stateto RUN (20)
Fri Mar  2 16:28:30 2007: 00:16:6f:6e:36:2b 0.0.0.0 
START (0) Change state to AUTHCHECK (2)
Fri Mar  2 16:28:30 2007: 00:16:6f:6e:36:2b 0.0.0.0 
AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4)
Fri Mar  2 16:28:30 2007: 00:16:6f:6e:36:2b 0.0.0.0 
L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7)
Fri Mar  2 16:28:34 2007: 00:16:6f:6e:36:2b 30.0.0.2 
DHCP_REQD (7) Change stateto WEBAUTH_REQD (8)

(Cisco Controller) >debug pem events enable

Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 START (0) Initializing policy
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 L2AUTHCOMPLETE (4) 
Plumbed mobile LWAPP rule on AP 00:0b:85:5b:fb:d0
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) 
Adding TMP rule
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) 
Replacing Fast Path rule
  type = Temporary Entry
  on AP 00:0b:85:5b:fb:d0, slot 0, interface = 1
  ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 1506
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) 
Successfully plumbed mobile rule (ACL ID 255)
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) 
Deleting mobile policy rule 27
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 Adding Web RuleID 28 for 
mobile 00:40:96:ac:e6:57
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) 
Adding TMP rule
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) 
ReplacingFast Path rule
  type = Temporary Entry
  on AP 00:0b:85:5b:fb:d0, slot 0, interface = 1
  ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 1506
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 WEBAUTH_REQD (8) 
Successfully plumbed mobile rule (ACL ID 255)
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 Removed NPU entry.
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 Added NPU entry of type 8
Fri Mar  2 16:31:06 2007: 00:40:96:ac:e6:57 10.0.0.1 Added NPU entry of type 8

Informações Relacionadas

• Perguntas frequentes sobre acesso de convidado sem fio
• Exemplo de Configuração de Acesso Convidado com Fio usando Cisco WLAN Controllers
• Exemplo de configuração de autenticação em controladores de LAN sem fio
• Exemplo de configuração de autenticação de web externa com Wireless LAN Controllers
• Guia de Configuração da Cisco Wireless LAN Controller Release 4.0
• Suporte de produtos Wireless
• Suporte Técnico e Documentação - Cisco Systems