Configurar a autenticação da Web central (CWA) no Catalyst 9800 WLC e ISE

Introduction

Este documento descreve como configurar uma LAN sem fio CWA em uma WLC Catalyst 9800 e ISE.

Prerequisites

Requisitos

A Cisco recomenda que você tenha conhecimento da configuração de 9800 Wireless LAN Controllers (WLC).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• 9800 WLC Cisco IOS® XE Gibraltar v17.6.x
• Identity Service Engine (ISE) v3.0

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

O processo do CWA é mostrado aqui, onde você pode ver como exemplo o processo do CWA de um dispositivo Apple:

Configurar

Diagrama de Rede

Configuração de AAA no 9800 WLC

Etapa 1. Adicionar o servidor ISE à configuração da WLC 9800

Navegue para Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add e insira as informações do servidor RADIUS como mostrado nas imagens.

Verifique se o suporte para CoA está ativado, caso você planeje usar a autenticação da Web central (ou qualquer tipo de segurança que exija o CoA) no futuro. 

Etapa 2. Crie uma lista de métodos de autorização.

Navegue até Configuração > Segurança > AAA > Lista de métodos de AAA > Autorização > + Adicionar, conforme mostrado na imagem.

Etapa 3 (opcional). Crie uma lista de métodos de auditoria, conforme mostrado na imagem.

Observação: o CWA não funcionará se você decidir fazer o balanceamento de carga (na configuração CLI do Cisco IOS® XE) de seus servidores radius devido à ID de bug da Cisco CSCvh03827. O uso de balanceadores de carga externos é adequado.

Etapa 4 (opcional).

Você pode definir a política de AAA para enviar o nome da SSID como atributo Called-station-id, o que pode ser útil caso queira aproveitar essa condição no ISE posteriormente no processo.

Navegue para Configuration > Security > Wireless AAA Policy e edite a política aaa padrão ou crie uma nova.

Você pode escolher a SSID como opção 1. Lembre-se de que, mesmo quando você escolhe apenas o SSID, o ID da estação chamada ainda anexa o endereço MAC do AP ao nome do SSID.

Configuração de WLAN

Etapa 1. Criar a WLAN

Navegue até Configuração > Marcas e perfis > WLANs > + Adicionar e configure a rede conforme necessário.

Etapa 2. Insira as informações gerais da WLAN.

Etapa 3. Navegue até a guia Segurança e selecione o método de segurança necessário. Nesse caso, somente "Filtragem MAC" e a lista de autorização AAA (que você criou na Etapa 2 na seção Configuração AAA) são necessários.

CLI:

#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown

Configuração de perfil de política

Em um perfil de política, é possível decidir à qual VLAN você atribuirá os clientes, entre outras configurações (como lista de controles de acesso [ACLs], qualidade de serviço [QoS], âncora de mobilidade, temporizadores e assim por diante).

Você pode usar o perfil de política padrão ou criar um novo.

GUI:

Etapa 1. Crie um novo perfil de política.

Navegue até Configuração > Marcas e perfis > Política e configure o default-policy-profile ou crie um novo.

Verifique se o perfil está ativado.

Etapa 2. Selecione a VLAN.

Navegue até a guia Políticas de acesso e selecione o nome da VLAN no menu suspenso ou digite manualmente a VLAN-ID. Não configure uma ACL no perfil de política.

Etapa 3.  Configure o perfil de política para aceitar as substituições do ISE (Permitir substituição de AAA) e a alteração de autorização (CoA) (estado NAC). Como opção, você também pode especificar um método de auditoria.

CLI:

# config
# wireless profile policy <policy-profile-name>
# aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown

Configuração de marca de política

Dentro da marca de política, você vincula a SSID ao perfil de política. Você pode criar uma nova marca de política ou usar a marca default-policy.

Observação: a default-policy-tag mapeia automaticamente as SSIDs com uma ID da WLAN entre 1 e 16 para o default-policy-profile. Não é possível modificar nem excluir.   Se você tiver uma WLAN com a ID 17 ou superior, a default-policy-tag não poderá ser usada.

GUI:

Navegue até Configuração > Marcas e perfis > Marcas > Política e adicione uma nova, se necessário, conforme mostrado na imagem.

Vincule o perfil de WLAN ao perfil de política desejado.

CLI:

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

Atribuição de marca de política

Atribua a marca de política aos APs necessários.

GUI:

Para atribuir a marca a um AP, navegue até Configuração > Conexão sem fio > Access points > Nome do AP > Marcas gerais , faça a atribuição necessária e clique em Atualizar e aplicar ao dispositivo.

Observação: lembre-se de que, depois de alterar a marca de política em um AP, ele perde sua associação com a WLC 9800 e se junta novamente em cerca de 1 minuto.

Para atribuir a mesma etiqueta de política a vários APs, navegue para Configuration > Wireless > Wireless Setup > Advanced > Start Now

Selecione os APs aos quais deseja atribuir a marca e clique em + Marcar APs , conforme mostrado na imagem.

Selecione a marca desejada e clique em Salvar e aplicar ao dispositivo , conforme mostrado na imagem.

CLI:

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

Configuração de ACL de redirecionamento

Etapa 1. Navegue até Configuração > Segurança > ACL > + Adicionar para criar uma nova ACL. 

Selecione um nome para a ACL, transforme-a no tipo IPv4 estendido e adicione cada regra como sequência, conforme mostrado na imagem.

Você precisa negar o tráfego para os nós de ISE PSNs, bem como negar o DNS e permitir todo o restante. Essa ACL de redirecionamento não é uma ACL de segurança, mas uma ACL de punt que define qual tráfego vai para a CPU (em permissões) para tratamento posterior (como redirecionamento) e qual tráfego permanece no painel de dados (em negação) e evita o redirecionamento.

A ACL deve ser semelhante a esta (substitua 10.48.39.28 pelo endereço IP do ISE neste exemplo):

Observação: para a ACL de redirecionamento, pense na ação deny como um redirecionamento de negação (e não negação de tráfego) e na ação permit como um redirecionamento de permissão. A WLC examina apenas o tráfego que pode redirecionar (portas 80 e 443 por padrão).

CLI:

ip access-list extended REDIRECT
 deny ip any host <ISE-IP>
 deny ip host<ISE-IP> any
 deny udp any any eq domain
 deny udp any eq domain any
 permit tcp any any eq 80

Observação: se você terminar a ACL com um permit ip any any any em vez de uma permissão focada na porta 80, a WLC também redirecionará o HTTPS, que geralmente é indesejável, pois tem que fornecer seu próprio certificado e sempre cria uma violação de certificado. Esta é a exceção à instrução anterior que diz que você não precisa de um certificado no WLC no caso do CWA : você precisa de um se você tem https interrecepção habilitada, mas nunca é considerado válido de qualquer maneira.

Você pode melhorar a ACL pela ação de negar somente a porta de convidado 8443 em direção ao servidor ISE.

Habilitar Redirecionamento para HTTP ou HTTPs

A configuração do portal do administrador da Web está vinculada à configuração do portal de autenticação da Web e precisa escutar na porta 80 para ser redirecionada. Portanto, o HTTP precisa ser habilitado para que o redirecionamento funcione corretamente. Você pode optar por ativá-lo globalmente (usando o comando "ip http server") ou pode ativar o HTTP apenas para o módulo de autenticação da Web (usando o comando "webauth-http-enable" no mapa de parâmetros).

Se você quiser ser redirecionado ao tentar acessar um URL HTTPs, adicione o comando "intercept-https-enable" no mapa de parâmetros, mas observe que essa não é uma configuração ideal, pois ela tem um impacto na CPU da WLC e gera erros de certificado de qualquer forma:

parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx

Você também pode fazê-lo através da GUI com a opção "Web Auth intercept HTTPs" marcada no Mapa de Parâmetros (Configuração > Segurança > Web Auth   

Configuração do ISE

Adicionar o 9800 WLC ao ISE

Etapa 1.Abra o console do ISE e navegue atéAdministration > Network Resources > Network Devices > Add conforme mostrado na imagem

 Etapa 2. Configure o dispositivo de rede.

Opcionalmente, pode ser um nome de Modelo, versão de software, descrição e atribuir grupos de Dispositivos de Rede com base em tipos de dispositivo, localização ou WLCs.

O endereço IP aqui corresponde à interface da WLC que envia as solicitações de autenticação. Por padrão, é a interface de gerenciamento, como mostrado na imagem:

Para obter mais informações sobre Grupos de dispositivos de rede, consulte o guia administrativo do ISE Capítulo: Gerenciar dispositivos de rede: ISE - Grupos de dispositivos de rede

Criar novo usuário no ISE

Etapa 1. Navegue até Administração > Gerenciamento de identidade > Identidades > Usuários > Adicionar , conforme mostrado na imagem.

Etapa 2. Inserir informações.

Neste exemplo, este usuário pertence a um grupo chamado ALL_ACCOUNTS, mas pode ser ajustado conforme necessário, como mostrado na imagem.

Criar perfil de autorização

O perfil de política é o resultado atribuído a um cliente com base nos parâmetros (como endereço MAC, credenciais, WLAN usada e assim por diante). Pode atribuir configurações específicas, como rede de área local virtual (VLAN), listas de controle de acesso (ACLs), redirecionamentos de Uniform Resource Locator (URL) e assim por diante. 

Observe que, nas versões recentes do ISE, já existe um resultado de autorização Cisco_Webauth. Aqui, você pode editá-lo para modificar o nome da ACL de redirecionamento para corresponder à que você configurou no WLC.

Etapa 1. Navegue até Política > Elementos de política > Resultados > Autorização > Perfis de autorização. Clique em Adicionar para criar seu próprio resultado ou editar o resultado padrão Cisco_Webauth.

Etapa 2. Insira as informações de redirecionamento. Verifique se o nome da ACL é o mesmo que foi configurado no 9800 WLC.

Configurar regra de autenticação

Etapa 1. Um conjunto de políticas define uma coleção de regras de Autenticação e Autorização. Para criar um, vá paraPolicy > Policy Sets, clique na engrenagem do primeiro Conjunto de políticas na lista e selecioneInsert new row above or select the defaut Policy Set by clicking the blue arrow on the right. 

Etapa 2. Expanda a política de autenticação. Para a regra MAB (combinar no MAB com ou sem fio), expanda Options e escolha a opção CONTINUE no caso de "If User not found".

Etapa 3. Clique em Salvar para salvar as alterações.

Configurar regras de autorização

A regra de autorização é responsável por determinar qual resultado de permissões (qual perfil de autorização) é aplicado ao cliente.

Etapa 1. Na mesma página Conjunto de políticas, feche a política de autenticação e expanda a política de autorização, conforme mostrado na imagem.

Etapa 2. Versões recentes do ISE começam com uma regra pré-criada chamada Wifi_Redirect_to_Guest_Login que corresponde principalmente às nossas necessidades. Gire o sinal cinza à esquerda para ativar.

Etapa 3. Essa regra corresponde apenas a Wireless_MAB e retorna os atributos de redirecionamento do CWA. Opcionalmente, adicionamos um pequeno toque e o tornamos compatível apenas com nosso SSID específico. Selecione a condição (Wireless_MAB a partir de agora) para fazer com que o Estúdio de Condições seja exibido. Adicione uma condição à direita e escolha o dicionário Radius com o atributo Called-Station-ID. Faça com que ele corresponda ao nome da SSID. Valide com o selecione o "Use" na parte inferior da tela como mostrado na imagem.

Etapa 4. Agora você precisa de uma segunda regra, definida com uma prioridade mais alta, que corresponda à condição Fluxo de convidado para retornar os detalhes de acesso à rede depois que o usuário tiver se autenticado no portal. Você pode usar a regra de acesso para convidado Wi-Fi, que também é pré-criada por padrão nas versões recentes do ISE. Basta ativar a regra com uma marca verde à esquerda.    Você pode retornar o PermAccess padrão ou configurar restrições de listas de acesso mais precisas.

Etapa 5. Salve as regras.

Clique em Salvar na parte inferior das regras.

SOMENTE access points de switching local do FlexConnect

E se você tiver WLANs e access points de switching local do FlexConnect? As seções anteriores ainda serão válidas. No entanto, precisamos de uma etapa adicional para enviar a ACL de redirecionamento para os APs com antecedência.

Navegue até Configuration > Tags & Profiles > Flex e selecione seu perfil do Flex. Navegue até a guia ACL de política.

Clique em Adicionar, conforme mostrado na imagem.

Escolha o nome da ACL de redirecionamento e ative a "autenticação da Web central". Essa caixa de seleção inverte automaticamente a ACL no próprio AP (isso ocorre porque uma instrução "deny" significa "não redirecionar para esse IP" na WLC no Cisco IOS® XE; no entanto, no AP, a instrução "deny" significa o oposto; portanto, essa caixa de seleção troca automaticamente todas as permissões e nega quando faz o envio para o AP. Você pode verificar isso com show ip access list na CLI do AP).

Observação: no cenário de switching local do Flexconnect, a ACL DEVE mencionar especificamente instruções de retorno (que não são necessariamente exigidas no modo local) para garantir que todas as regras da ACL cubram os dois modos de tráfego (de e para o ISE, por exemplo).

Não se esqueça de clicar em Salvar e, em seguida, em Atualizar e aplicar ao dispositivo.

Certificados

Para que o cliente confie no certificado de autenticação da Web, não é necessário instalar nenhum certificado na WLC, pois o único certificado apresentado é o certificado ISE (que deve ser confiável para o cliente).

Verificar

Você pode usar estes comandos para verificar a configuração atual.

# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

Aqui está a parte relevante da configuração da WLC que corresponde a este exemplo:

aaa new-model
!
aaa authorization network CWAauthz group radius
aaa accounting identity CWAacct start-stop group radius
!
aaa server radius dynamic-author
 client <ISE-IP> server-key cisco123
!
aaa session-id common
!
!
radius server ISE-server
 address ipv4 <ISE-IP> auth-port 1812 acct-port 1813
 key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile

wireless profile policy default-policy-profile
 aaa-override
 nac
 vlan 1416
 no shutdown
wireless tag policy cwa-policy-tag
 wlan cwa-ssid policy default-policy-profile
wlan cwa-ssid 4 cwa-ssid
 mac-filtering CWAauthz
 no security ft adaptive
 no security wpa
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 no security wpa akm dot1x
 no shutdown

ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server

Troubleshoot

Lista de verificação

 -Certifique-se de que o cliente se conecte e obtenha um endereço IP válido.

 - Se o redirecionamento não for automático, abra um navegador e tente um endereço IP aleatório. Por exemplo, 10.0.0.1. Se o redirecionamento funcionar, é possível que você tenha um problema de resolução DNS. Verifique se você tem um servidor DNS válido fornecido via DHCP e se ele pode resolver nomes de host. 

 - Certifique-se de que o comando "ip http server" esteja configurado para que o redirecionamento em HTTP funcione. A configuração do portal do administrador da Web está vinculada à configuração do portal de autenticação da Web e precisa ser ouvida na porta 80 para ser redirecionada. Você pode optar por ativá-lo globalmente (usando o comando "ip http server") ou pode ativar o HTTP apenas para o módulo de autenticação da Web (usando o comando "webauth-http-enable" no mapa de parâmetros).

 - Se você não for redirecionado ao tentar acessar um URL HTTPs e isso for necessário, verifique se você tem o comando "intercept-https-enable" no mapa de parâmetros:

parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx

Você também pode verificar através da GUI se a opção "Web Auth intercept HTTPs" está marcada no Mapa de Parâmetros:  

Suporte de porta de serviço para RADIUS

O Cisco Catalyst 9800 Series Wireless Controller tem uma porta de serviço que é chamada de porta GigabitEthernet 0. A partir da versão 17.6.1, o RADIUS (incluindo CoA) é suportado por meio dessa porta.

Se quiser usar a Porta de serviço para RADIUS, você precisará desta configuração:

aaa server radius dynamic-author 
client 10.48.39.28 vrf Mgmt-intf server-key cisco123

interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 ip address x.x.x.x x.x.x.x

!if using aaa group server:
aaa group server radius group-name
 server name nicoISE
 ip vrf forwarding Mgmt-intf
 ip radius source-interface GigabitEthernet0

Coletar depurações

O WLC 9800 fornece recursos de rastreamento sempre conectados. Isso garante que todos os erros relacionados à conectividade do cliente, mensagens de aviso e de nível de aviso sejam registradas constantemente e você possa exibir registros de uma condição de incidente ou falha após sua ocorrência. 

Observação: você pode retornar de algumas horas para vários dias nos logs, mas isso depende do volume de logs gerados.

Para visualizar os rastreamentos que a WLC 9800 coletou por padrão, você pode se conectar via SSH/Telnet à WLC 9800 e executar essas etapas (certifique-se de registrar a sessão em um arquivo de texto).

Etapa 1. Verifique a hora atual da WLC para que você possa rastrear os logs no tempo de volta para quando o problema ocorreu.

# show clock

 Etapa 2. Colete syslogs do buffer da WLC ou do syslog externo, conforme ditado pela configuração do sistema. Isso fornece uma visão rápida dos erros, se houver, e da integridade do sistema.

# show logging

Etapa 3. Verifique se as condições de depuração estão ativadas.

# show debugging
Cisco IOS XE Conditional Debug Configs:

Conditional Debug Global State: Stop

Cisco IOS XE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Observação: se você vir qualquer condição listada, isso significa que os rastreamentos são registrados no nível de depuração para todos os processos que encontram as condições habilitadas (endereço mac, endereço ip, etc.). Isso aumentaria o volume de registros. Portanto, recomenda-se limpar todas as condições quando não estiver depurando ativamente

Etapa 4. Com a suposição de que o endereço mac em teste não foi listado como uma condição na Etapa 3, colete os rastreamentos de nível de aviso sempre ativo para o endereço mac específico.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

Você pode exibir o conteúdo da sessão ou copiar o arquivo para um servidor TFTP externo.

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Depuração condicional e rastreamento radioativo  

Se os rastreamentos sempre ativos não fornecerem informações suficientes para determinar o disparador do problema sob investigação, você poderá habilitar a depuração condicional e capturar o rastreamento de Radio Ative (RA), que fornece rastreamentos no nível de depuração para todos os processos que interagem com a condição especificada (endereço mac do cliente, neste caso). Para habilitar a depuração condicional, continue com estas etapas.

Etapa 5. Verifique se não há condições de depuração ativadas.

# clear platform condition all

Etapa 6. Ative a condição de depuração para o endereço MAC do cliente sem fio que você deseja monitorar.

Estes comandos começam a monitorar o endereço MAC fornecido por 30 minutos (1.800 segundos). Como alternativa, você pode aumentar esse tempo para até 2.085.978.494 segundos.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

Observação: para monitorar mais de um cliente de cada vez, execute o comando debug wireless mac<aaaa.bbbb.cccc> por endereço MAC.

Observação: você não vê a saída da atividade do cliente na sessão de terminal, pois tudo é armazenado em buffer internamente para ser exibido mais tarde.

Passo 7. Reproduza o problema ou comportamento que você deseja monitorar.

Etapa 8. Interrompa as depurações se o problema for reproduzido antes que o tempo de monitoramento padrão ou configurado acabe.

# no debug wireless mac <aaaa.bbbb.cccc>

Depois que o monitor-time tiver passado ou a conexão sem fio de depuração for interrompida, o 9800 WLC gerará um arquivo local com o nome:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Etapa 9.   Colete o arquivo da atividade do endereço MAC.      Você pode copiar o registro de rastreamento de RA para um servidor externo ou exibir a saída diretamente na tela.

Verifique o nome do arquivo de rastreamentos de RA.

# dir bootflash: | inc ra_trace

Copie o arquivo para um servidor externo:

# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log  tftp://a.b.c.d/ra-FILENAME.txt

 Mostre o conteúdo:

# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log 

Etapa 10. Se a causa do problema ainda não for evidente, colete os registros internos, que são uma visualização mais detalhada dos registros de nível de depuração. Você não precisa depurar o cliente novamente, pois examinamos detalhadamente os logs de depuração já coletados e armazenados internamente.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Observação: a saída desse comando retorna rastros para todos os níveis de log de todos os processos e é bastante volumosa. Entre em contato com o Cisco TAC para ajudar a analisar esses rastreamentos.

Você pode copiar o ra-internal-FILENAME.txt para um servidor externo ou exibir a saída diretamente na tela.

Copie o arquivo para um servidor externo:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

Mostre o conteúdo:

# more bootflash:ra-internal-<FILENAME>.txt

 Etapa 11. Remova as condições de depuração.

# clear platform condition all

Observação: certifique-se de sempre remover as condições de depuração após uma sessão de solução de problemas.

Examples

Se o resultado da autenticação não for o esperado, é importante navegar até a página Operações do ISE > Registros ao vivo e obter os detalhes do resultado da autenticação.

 Você verá o motivo da falha (se houver uma falha) e todos os atributos Radius recebidos pelo ISE.

No próximo exemplo, o ISE rejeitou a autenticação porque nenhuma regra de autorização correspondeu. Isso ocorre porque vemos o atributo Called-station-ID enviado como o nome da SSID anexado ao endereço MAC do AP, enquanto a autorização corresponde exatamente ao nome do SSID. Ele é corrigido com a alteração dessa regra para "contém" em vez de "igual".

Depois de resolver isso, o cliente WiFi ainda não pode se associar ao SSID enquanto o ISE afirma que a autorização foi bem-sucedida e retornou os atributos corretos do CWA.

Você pode navegar para a página Troubleshooting > Radioative trace da interface do usuário da Web da WLC.

na maioria dos casos, você pode confiar nos logs sempre ativos e até mesmo obter logs de tentativas de conexão anteriores sem a reprodução do problema mais uma vez.

Adicione o endereço MAC do cliente e clique em Gerar, conforme mostrado na imagem.

Nesse caso, o problema está no fato de que fizemos um erro de digitação quando você criou o nome da ACL e ele não corresponde ao nome da ACL retornado pelos ISEs ou a WLC reclama que não existe uma ACL como a solicitada pelo ISE:

2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162  client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42, 
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.