Introdução
Este documento descreve como configurar uma LAN sem fio CWA em uma WLC Catalyst 9800 e ISE.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento da configuração de 9800 Wireless LAN Controllers (WLC).
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- 9800 WLC Cisco IOS® XE Gibraltar v17.6.x
- Identity Service Engine (ISE) v3.0
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
O processo do CWA é mostrado aqui, onde você pode ver o processo do CWA de um dispositivo Apple como exemplo:
Configurar
Diagrama de Rede
Configuração de AAA no 9800 WLC
Etapa 1. Adicione o servidor ISE à configuração da WLC 9800.
Navegue até Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add
e insira as informações do servidor RADIUS conforme mostrado nas imagens.
Verifique se o suporte para CoA está ativado, caso você planeje usar a autenticação da Web central (ou qualquer tipo de segurança que exija o CoA) no futuro.
Observação: na versão 17.4.X e posterior, certifique-se de configurar também a chave do servidor CoA ao configurar o servidor RADIUS. Use a mesma chave que o segredo compartilhado (eles são os mesmos por padrão no ISE). A finalidade é, opcionalmente, configurar uma chave para CoA diferente do segredo compartilhado, se for isso que o servidor RADIUS configurou. No Cisco IOS XE 17.3, a interface do usuário da Web simplesmente usava o mesmo segredo compartilhado que a chave de CoA.
Etapa 2. Crie uma lista de métodos de autorização.
Navegue até Configuration > Security > AAA > AAA Method List > Authorization > + Add
conforme mostrado na imagem.
Etapa 3. (Opcional) Crie uma lista de métodos contábeis, conforme mostrado na imagem.
Observação: o CWA não funcionará se você decidir fazer o balanceamento de carga (a partir da configuração CLI do Cisco IOS XE) de seus servidores radius devido à ID de bug da Cisco CSCvh03827. O uso de balanceadores de carga externos é adequado.
Etapa 4. (Opcional) Você pode definir a política AAA para enviar o nome SSID como um atributo Called-station-id, que pode ser útil se você quiser aproveitar essa condição no ISE posteriormente no processo.
Navegue até Configuration > Security > Wireless AAA Policy
e edite a política AAA padrão ou crie uma nova.
Você pode escolher SSID
como a opção 1. Lembre-se de que, mesmo quando você escolhe apenas o SSID, o ID da estação chamada ainda anexa o endereço MAC do AP ao nome do SSID.
Configuração de WLAN
Etapa 1. Criar a WLAN.
Navegue até Configuration > Tags & Profiles > WLANs > + Add
e configurar a rede conforme necessário.
Etapa 2. Insira as informações gerais da WLAN.
Etapa 3. Navegue até a página Security
e escolha o método de segurança necessário. Nesse caso, apenas a 'Filtragem MAC' e a lista de autorização AAA (que você criou na Etapa 2. no AAA Configuration
seção).
CLI:
#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown
Configuração de perfil de política
Dentro de um Perfil de política, você pode decidir atribuir os clientes a qual VLAN, entre outras configurações (como Lista de controles de acesso (ACLs), Qualidade de serviço (QoS), Âncora de mobilidade, Temporizadores, etc.).
Você pode usar o perfil de política padrão ou criar um novo.
GUI:
Etapa 1. Crie um novo Policy Profile
.
Navegue até Configuration > Tags & Profiles > Policy
e configurar seu default-policy-profile
ou criar um novo.
Verifique se o perfil está ativado.
Etapa 2. Escolha a VLAN.
Navegue até a página Access Policies
e escolha o nome da VLAN na lista suspensa ou digite manualmente o VLAN-ID. Não configure uma ACL no perfil de política.
Etapa 3. Configure o perfil de política para aceitar as substituições do ISE (Permitir substituição de AAA) e a alteração de autorização (CoA) (estado NAC). Como opção, você também pode especificar um método de auditoria.
CLI:
# config
# wireless profile policy <policy-profile-name>
# aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown
Configuração de marca de política
Dentro da marca de política, você vincula a SSID ao perfil de política. Você pode criar uma nova marca de política ou usar a marca default-policy.
Observação: a tag default-policy mapeia automaticamente qualquer SSID com um ID de WLAN entre 1 e 16 para o perfil de política padrão. Ele não pode ser modificado nem excluído. Se você tiver uma WLAN com ID 17 ou posterior, a tag default-policy não poderá ser usada.
GUI:
Navegue até Configuration > Tags & Profiles > Tags > Policy
e adicionar um novo, se necessário, como mostrado na imagem.
Vincule o perfil de WLAN ao perfil de política desejado.
CLI:
# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>
Atribuição de marca de política
Atribua a marca de política aos APs necessários.
GUI:
Para atribuir a marca a um AP, navegue até Configuration > Wireless > Access Points > AP Name > General Tags
, faça a atribuição necessária e clique em Update & Apply to Device
.
Observação: lembre-se de que depois que você altera a tag de política em um AP, ele perde sua associação com a WLC 9800 e se junta novamente em cerca de 1 minuto.
Para atribuir a mesma etiqueta de política a vários APs, navegue até Configuration > Wireless > Wireless Setup > Advanced > Start Now
.
Escolha os APs aos quais você deseja atribuir a tag e clique em + Tag APs
conforme mostrado na imagem.
Escolha a Tag desejada e clique em Save & Apply to Device
conforme mostrado na imagem.
CLI:
# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end
Configuração de ACL de redirecionamento
Etapa 1. Navegue até Configuration > Security > ACL > + Add
para criar uma nova ACL.
Escolha um nome para a ACL e torne-a IPv4 Extended
digite e adicione cada regra como uma sequência, conforme mostrado na imagem.
Você precisa negar o tráfego para os nós de ISE PSNs, bem como negar o DNS e permitir todo o restante. Essa ACL de redirecionamento não é uma ACL de segurança, mas uma ACL de punt que define qual tráfego vai para a CPU (em permissões) para tratamento posterior (como redirecionamento) e qual tráfego permanece no plano de dados (em negação) e evita o redirecionamento.
A ACL deve ser semelhante a esta (substitua 10.48.39.28 pelo endereço IP do ISE neste exemplo):
Observação: para a ACL de redirecionamento, pense na deny
ação como um redirecionamento de negação (e não de negação de tráfego) e o comando permit
ação como redirecionamento de permissão. A WLC examina apenas o tráfego que pode redirecionar (portas 80 e 443 por padrão).
CLI:
ip access-list extended REDIRECT
deny ip any host <ISE-IP>
deny ip host<ISE-IP> any
deny udp any any eq domain
deny udp any eq domain any
permit tcp any any eq 80
Observação: se você finalizar a ACL com um permit ip any any
em vez de uma permissão com foco na porta 80, a WLC também redireciona o HTTPS, que geralmente é indesejável, pois tem que fornecer seu próprio certificado e sempre cria uma violação de certificado. Esta é a exceção à instrução anterior que diz que você não precisa de um certificado no WLC no caso do CWA: você precisa de um se tiver a interceptação HTTPS habilitada, mas nunca é considerado válido de qualquer maneira.
Você pode melhorar a ACL negando somente a porta de convidado 8443 ao servidor ISE.
Habilitar redirecionamento para HTTP ou HTTPS
A configuração do portal do administrador da Web está vinculada à configuração do portal de autenticação da Web e precisa escutar na porta 80 para ser redirecionada. Portanto, o HTTP precisa ser habilitado para que o redirecionamento funcione corretamente. Você pode optar por ativá-lo globalmente (com o uso do comando ip http server
) ou você pode habilitar HTTP para o módulo de autenticação da Web somente (com o uso do comando webauth-http-enable
sob o mapa de parâmetros).
Se quiser ser redirecionado ao tentar acessar um URL HTTPS, adicione o comando intercept-https-enable
no mapa de parâmetros, mas observe que essa não é uma configuração ideal, que tem um impacto na CPU da WLC e gera erros de certificado de qualquer forma:
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
Você também pode fazer isso através da GUI com a opção 'Web Auth intercept HTTPS' marcada no Mapa de parâmetros (Configuration > Security > Web Auth
).
Observação: por padrão, os navegadores usam um site HTTP para iniciar o processo de redirecionamento. Se o redirecionamento de HTTPS for necessário, será necessário verificar o HTTPS de interceptação de Autenticação da Web; no entanto, essa configuração não é recomendada, pois aumenta o uso da CPU.
Configuração do ISE
Adicionar o 9800 WLC ao ISE
Etapa 1. Abra o console do ISE e navegue atéAdministration > Network Resources > Network Devices > Add
conforme mostrado na imagem.
Etapa 2. Configure o dispositivo de rede.
Opcionalmente, pode ser um nome de Modelo, versão de software e descrição especificados e atribuir grupos de Dispositivos de Rede com base em tipos de dispositivo, localização ou WLCs.
O endereço IP aqui corresponde à interface da WLC que envia as solicitações de autenticação. Por padrão, é a interface de gerenciamento, como mostrado na imagem:
Para obter mais informações sobre Grupos de dispositivos de rede, consulte o Capítulo do guia administrativo do ISE: Gerenciar dispositivos de rede: ISE - Grupos de dispositivos de rede.
Criar novo usuário no ISE
Etapa 1. Navegue até Administration > Identity Management > Identities > Users > Add
conforme mostrado na imagem.
Etapa 2. Inserir informações.
Neste exemplo, este usuário pertence a um grupo chamado ALL_ACCOUNTS
mas pode ser ajustado conforme necessário, como mostrado na imagem.
Criar perfil de autorização
O perfil de política é o resultado atribuído a um cliente com base em seus parâmetros (como endereço MAC, credenciais, WLAN usada etc.). Ele pode atribuir configurações específicas, como VLAN (Virtual Local Area Network, rede local virtual), ACLs (Access Control Lists, listas de controle de acesso), redirecionamentos de URL (Uniform Resource Locator, localizador uniforme de recursos) etc.
Observe que, nas versões recentes do ISE, já existe um resultado de autorização Cisco_Webauth. Aqui, você pode editá-lo para modificar o nome da ACL de redirecionamento para corresponder à que você configurou no WLC.
Etapa 1. Navegue até Policy > Policy Elements > Results > Authorization > Authorization Profiles
. Clique em add
para criar seu próprio ou editar o Cisco_Webauth
resultado padrão.
Etapa 2. Insira as informações de redirecionamento. Certifique-se de que o nome da ACL seja o mesmo que foi configurado na WLC 9800.
Configurar regra de autenticação
Etapa 1. Um conjunto de políticas define uma coleção de regras de Autenticação e Autorização. Para criar um, navegue atéPolicy > Policy Sets
, clique na engrenagem do primeiro Conjunto de políticas na lista e escolhaInsert new row
or click the blue arrow on the right to choose the defaut Policy Set.
Etapa 2. Expandir Authentication
política. Para a MAB
(corresponder no MAB com ou sem fio), expandir Options
, e escolha o CONTINUE
caso você veja 'If User not found'.
Etapa 3. Clique em Save
para salvar as alterações.
Configurar regras de autorização
A regra de autorização é responsável por determinar qual resultado de permissões (qual perfil de autorização) é aplicado ao cliente.
Etapa 1. Na mesma página Conjunto de políticas, feche a Authentication Policy
e expandir Authorziation Policy
conforme mostrado na imagem.
Etapa 2. As versões recentes do ISE começam com uma regra criada previamente chamada Wifi_Redirect_to_Guest_Login
que atenda principalmente às nossas necessidades. Vire o sinal cinza à esquerda para enable
.
Etapa 3. Essa regra corresponde apenas a Wireless_MAB e retorna os atributos de redirecionamento do CWA. Agora, você pode, opcionalmente, adicionar uma pequena torção e fazê-la corresponder apenas ao SSID específico. Escolha a condição (Wireless_MAB a partir de agora) para fazer com que o Estúdio de Condições seja exibido. Adicione uma condição à direita e escolha a Radius
dicionário com o comando Called-Station-ID
atributo. Faça com que ele corresponda ao nome da SSID. Validar com o Use
na parte inferior da tela, como mostrado na imagem.
Etapa 4. Agora você precisa de uma segunda regra, definida com uma prioridade mais alta, que corresponda à Guest Flow
para retornar os detalhes de acesso à rede depois que o usuário tiver se autenticado no portal. Você pode usar o comando Wifi Guest Access
que também é pré-criada por padrão em versões recentes do ISE. Basta ativar a regra com uma marca verde à esquerda. Você pode retornar o padrão PermitAccess ou configurar restrições de lista de acesso mais precisas.
Etapa 5. Salve as regras.
Clique em Save
na parte inferior das regras.
SOMENTE access points de switching local do FlexConnect
E se você tiver WLANs e access points de switching local do FlexConnect? As seções anteriores ainda serão válidas. No entanto, você precisa de uma etapa extra para enviar a ACL de redirecionamento aos APs com antecedência.
Navegue até Configuration > Tags & Profiles > Flex
e escolha seu perfil Flex. Em seguida, navegue até o menu Policy ACL
guia.
Clique em Add
conforme mostrado na imagem.
Escolha o nome da ACL de redirecionamento e habilite a autenticação da Web Central. Essa caixa de seleção inverte automaticamente a ACL no próprio AP (isso ocorre porque uma instrução 'deny' significa 'não redirecione para esse IP' na WLC no Cisco IOS XE. No entanto, no AP, a instrução 'deny' significa o oposto. Portanto, essa caixa de seleção troca automaticamente todas as permissões e as nega quando faz o envio para o AP. Você pode verificar isso com um show ip access list
a partir da CLI do AP).
Observação: no cenário de switching local do Flexconnect, a ACL deve mencionar especificamente instruções de retorno (que não são necessariamente necessárias no modo local), portanto, certifique-se de que todas as regras de ACL abranjam os dois modos de tráfego (de e para o ISE, por exemplo).
Não se esqueça de acertar Save
e depois Update and apply to the device
.
Certificados
Para que o cliente confie no certificado de autenticação da Web, não é necessário instalar nenhum certificado na WLC, pois o único certificado apresentado é o certificado ISE (que deve ser confiável para o cliente).
Verificar
Você pode usar estes comandos para verificar a configuração atual.
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Aqui está a parte relevante da configuração da WLC que corresponde a este exemplo:
aaa new-model
!
aaa authorization network CWAauthz group radius
aaa accounting identity CWAacct start-stop group radius
!
aaa server radius dynamic-author
client <ISE-IP> server-key cisco123
!
aaa session-id common
!
!
radius server ISE-server
address ipv4 <ISE-IP> auth-port 1812 acct-port 1813
key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile
wireless profile policy default-policy-profile
aaa-override
nac
vlan 1416
no shutdown
wireless tag policy cwa-policy-tag
wlan cwa-ssid policy default-policy-profile
wlan cwa-ssid 4 cwa-ssid
mac-filtering CWAauthz
no security ft adaptive
no security wpa
no security wpa wpa2
no security wpa wpa2 ciphers aes
no security wpa akm dot1x
no shutdown
ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server
Troubleshooting
Lista de verificação
- Verifique se o cliente se conecta e obtém um endereço IP válido.
- Se o redirecionamento não for automático, abra um navegador e tente um endereço IP aleatório. Por exemplo, 10.0.0.1. Se o redirecionamento funcionar, é possível que você tenha um problema de resolução DNS. Verifique se você tem um servidor DNS válido fornecido via DHCP e se ele pode resolver nomes de host.
- Certifique-se de que você tenha o comando
ip http server
configurado para que o redirecionamento em HTTP funcione. A configuração do portal do administrador da Web está vinculada à configuração do portal de autenticação da Web e precisa ser listada na porta 80 para ser redirecionada. Você pode optar por ativá-lo globalmente (com o uso do comando ip http server
) ou você pode habilitar HTTP para o módulo de autenticação da Web somente (com o uso do comando webauth-http-enable
sob o mapa de parâmetros).
- Se você não for redirecionado ao tentar acessar um URL HTTPS e isso for necessário, verifique se você tem o comando
intercept-https-enable
sob o mapa de parâmetros:
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
Você também pode verificar, através da GUI, se a opção 'Web Auth intercept HTTPS' está marcada no Mapa de parâmetros:
Suporte de porta de serviço para RADIUS
O Cisco Catalyst 9800 Series Wireless Controller tem uma porta de serviço que é chamada de GigabitEthernet 0
porta. A partir da versão 17.6.1, o RADIUS (que inclui CoA) é suportado por meio dessa porta.
Se quiser usar a Porta de serviço para RADIUS, você precisará desta configuração:
aaa server radius dynamic-author
client 10.48.39.28 vrf Mgmt-intf server-key cisco123
interface GigabitEthernet0
vrf forwarding Mgmt-intf
ip address x.x.x.x x.x.x.x
!if using aaa group server:
aaa group server radius group-name
server name nicoISE
ip vrf forwarding Mgmt-intf
ip radius source-interface GigabitEthernet0
Coletar depurações
O WLC 9800 fornece recursos de rastreamento sempre conectados. Isso garante que todos os erros, avisos e mensagens de nível de aviso relacionados à conectividade do cliente sejam constantemente registrados e que você possa exibir registros de uma condição de incidente ou falha após sua ocorrência.
Observação: você pode retornar de algumas horas para vários dias nos logs, mas isso depende do volume de logs gerados.
Para visualizar os rastreamentos que a WLC 9800 coletou por padrão, você pode se conectar via SSH/Telnet à WLC 9800 e executar estas etapas (certifique-se de registrar a sessão em um arquivo de texto).
Etapa 1. Verifique a hora atual da WLC para que você possa rastrear os logs no tempo de volta para quando o problema ocorreu.
# show clock
Etapa 2. Colete syslogs do buffer da WLC ou do syslog externo, conforme ditado pela configuração do sistema. Isso fornece uma visão rápida da integridade do sistema e dos erros, se houver.
# show logging
Etapa 3. Verifique se as condições de depuração estão ativadas.
# show debugging
Cisco IOS XE Conditional Debug Configs:
Conditional Debug Global State: Stop
Cisco IOS XE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Observação: se você vir qualquer condição listada, isso significa que os rastreamentos são registrados no nível de depuração para todos os processos que encontram as condições ativadas (endereço mac, endereço IP e assim por diante). Isso aumenta o volume de registros. Portanto, é recomendável limpar todas as condições quando você não depurar ativamente.
Etapa 4. Com a suposição de que o endereço mac em teste não foi listado como uma condição na Etapa 3, colete os rastreamentos de nível de aviso sempre ativo para o endereço mac específico.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Você pode exibir o conteúdo da sessão ou copiar o arquivo para um servidor TFTP externo.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Depuração condicional e rastreamento radioativo
Se os rastreamentos sempre ativos não fornecerem informações suficientes para determinar o disparador do problema sob investigação, você poderá habilitar a depuração condicional e capturar o rastreamento de Radio Ative (RA), que fornece rastreamentos em nível de depuração para todos os processos que interagem com a condição especificada (endereço mac do cliente, neste caso). Para habilitar a depuração condicional, continue com estas etapas.
Etapa 5. Verifique se não há condições de depuração habilitadas.
# clear platform condition all
Etapa 6. Ative a condição de depuração para o endereço MAC do cliente sem fio que você deseja monitorar.
Estes comandos começam a monitorar o endereço MAC fornecido por 30 minutos (1.800 segundos). Como alternativa, você pode aumentar esse tempo para até 2.085.978.494 segundos.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Observação: para monitorar mais de um cliente por vez, execute debug wireless mac
por endereço mac.
Observação: você não vê a saída da atividade do cliente na sessão do terminal, pois tudo é armazenado em buffer internamente para ser exibido posteriormente.
Etapa 7". Reproduza o problema ou comportamento que você deseja monitorar.
Etapa 8. Interrompa as depurações se o problema for reproduzido antes que o tempo de monitoramento padrão ou configurado acabe.
# no debug wireless mac <aaaa.bbbb.cccc>
Quando o tempo do monitor tiver decorrido ou a depuração sem fio tiver sido interrompida, a WLC 9800 gerará um arquivo local com o nome:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Etapa 9. Colete o arquivo da atividade de endereço MAC. Você pode copiar o ra trace .log
a um servidor externo ou exibir a saída diretamente na tela.
Verifique o nome do arquivo de rastreamentos de RA.
# dir bootflash: | inc ra_trace
Copie o arquivo para um servidor externo:
# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Mostre o conteúdo:
# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Etapa 10. Se a causa raiz ainda não for óbvia, colete os logs internos, que são uma visualização mais detalhada dos logs de depuração. Não é necessário depurar o cliente novamente, pois examinamos detalhadamente os logs de depuração já coletados e armazenados internamente.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Observação: a saída desse comando retorna rastros para todos os níveis de log de todos os processos e é bastante volumosa. Envolva o Cisco TAC para ajudar a analisar esses rastreamentos.
Você pode copiar o ra-internal-FILENAME.txt
a um servidor externo ou exibir a saída diretamente na tela.
Copie o arquivo para um servidor externo:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Mostre o conteúdo:
# more bootflash:ra-internal-<FILENAME>.txt
Etapa 11. Remova as condições de depuração.
# clear platform condition all
Observação: certifique-se de sempre remover as condições de depuração após uma sessão de solução de problemas.
Examples
Se o resultado da autenticação não for o esperado, é importante navegar para o ISE Operations > Live logs
e obtenha os detalhes do resultado da autenticação.
Você verá o motivo da falha (se houver uma falha) e todos os atributos Radius recebidos pelo ISE.
No próximo exemplo, o ISE rejeitou a autenticação porque nenhuma regra de autorização correspondeu. Isso ocorre porque você vê o atributo Called-station-ID enviado como o nome SSID anexado ao endereço MAC do AP, enquanto a autorização é uma correspondência exata ao nome SSID. Ele é corrigido com a alteração dessa regra para 'contém' em vez de 'igual'.
Depois que você resolver isso, o cliente WiFi ainda não poderá se associar ao SSID enquanto o ISE afirmar que a autorização foi bem-sucedida e retornou os atributos corretos do CWA.
Você pode navegar até a página Troubleshooting > Radioactive trace
página da IU da Web da WLC.
na maioria dos casos, você pode confiar nos logs sempre ativos e até mesmo obter logs de tentativas de conexão anteriores sem a reprodução do problema mais uma vez.
Adicione o endereço mac do cliente e clique em Generate
conforme mostrado na imagem.
Nesse caso, o problema está no fato de que você cometeu um erro de digitação quando criou o nome da ACL e ele não corresponde ao nome da ACL retornado pelos ISEs ou a WLC reclama que não há nenhuma ACL como a solicitada pelo ISE:
2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162 client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42,
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.