簡介
本文檔介紹如何在Cisco Spaces上配置強制網路門戶。
必要條件
本檔案允許Catalyst 9800無線LAN控制器(C9800 WLC)上的使用者端使用空間作為外部Web驗證登入頁面。
需求
思科建議您瞭解以下主題:
- 對9800無線控制器的命令列介面(CLI)或圖形使用者介面(GUI)訪問
- Cisco Spaces
採用元件
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
Web驗證是一種簡單的第3層驗證方法,不需要請求方或客戶端實用程式。這可以做到
a)使用C9800 WLC上的內部頁面原樣修改或更改後修改。
b)自訂登入套件上傳到C9800 WLC。
c)外部伺服器上託管的自定義登入頁。
利用Spaces提供的強制網路門戶,實質上是在C9800 WLC上為客戶端實施外部Web身份驗證的一種方法。
外部webauth程式詳述於:Cisco Catalyst 9800系列控制器上的基於Web的驗證
在C9800 WLC上,虛擬IP位址定義為全域引數映像,通常為192.0.2.1
設定
網路圖表
將9800控制器連線到Cisco Spaces
控制器需要使用以下任一選項連線到空間 — 直接連線、通過空間聯結器或CMX Tethering。
在本示例中,雖然強制網路門戶的配置方式對所有設定都相同,但直接連線選項仍在使用中。
若要將控制器連線到Cisco Spaces,它必須能夠通過HTTPS訪問Cisco Spaces Cloud。有關如何將9800控制器連線到空間的詳細資訊,請參閱以下連結: Spaces - 9800 Controller Direct Connect
在空間上建立SSID
步驟 1.在空間的儀表板中按一下Captive Portals:
步驟 2.開啟強制網路門戶特定選單,按一下頁面左上角的三行圖示,然後按一下SSIDs:
步驟 3.按一下Import/Configure SSID,選擇CUWN(CMX/WLC)作為「Wireless Network(無線網路)」型別,然後輸入SSID名稱:
9800控制器上的ACL和URL過濾器配置
在完成身份驗證之前,不允許來自無線客戶端的流量進入網路。進行Web驗證時,為了完成驗證,無線客戶端連線到此SSID,收到IP地址,然後將客戶端策略管理器狀態移至Webauth_reqd狀態。由於客戶端尚未通過身份驗證,因此除了DHCP、DNS和HTTP(被攔截並重定向)之外,所有來自客戶端IP地址的流量都會被丟棄。
預設情況下,當您設定web-auth WLAN時,9800會建立硬式編碼預先驗證ACL。這些硬式編碼ACL允許DHCP、DNS和流量到達外部Web身份驗證伺服器。所有其餘部分像任何http流量一樣被重定向。
但是,如果您需要允許特定非HTTP流量型別通過,則可以配置預身份驗證ACL。然後,您需要模仿現有的硬式編碼預先驗證ACL的內容(在本節的步驟1中),並將其擴充到符合您的需要。
步驟 1.驗證目前的硬式編碼ACL。
CLI配置:
Andressi-9800L#show ip access list
Extended IP access list WA-sec-10.235.248.212
10 permit tcp any host 10.235.248.212 eq www
20 permit tcp any host 10.235.248.212 eq 443
30 permit tcp host 10.235.248.212 eq www any
40 permit tcp host 10.235.248.212 eq 443 any
50 permit tcp any any eq domain
60 permit udp any any eq domain
70 permit udp any any eq bootpc
80 permit udp any any eq bootps
90 deny ip any any
Extended IP access list WA-v4-int-10.235.248.212
10 deny tcp any host 10.235.248.212 eq www
20 deny tcp any host 10.235.248.212 eq 443
30 permit tcp any any eq www
40 permit tcp any host 192.0.2.1 eq 443
之所以這樣呼叫WA-sec-10.235.248.212,是因為它是自動Web驗證(WA)安全(sec)ACL或入口ip 10.235.248.212。 安全ACL定義了允許的(允許時)或丟棄的(拒絕時)內容。 Wa-v4-int是攔截ACL,即點選ACL或重定向ACL,並定義將哪些內容傳送到CPU進行重定向(在允許時)或傳送到資料平面(在拒絕時)。
WA-v4-int10.235.248.212首先應用於來自客戶端的流量,並將流向空間門戶IP 10.235.248.212的HTTP流量保留在資料平面上(尚未丟棄或轉發操作,只需切換到資料平面即可)。它將所有HTTP(s)流量傳送到CPU(除了由Web伺服器服務的虛擬IP流量以外的重定向)。其他型別的流量會提供給資料平面。
WA-sec-10.235.248.212允許流向在Web驗證引數對映中配置的Cisco DNA空間IP 10.235.248.212的HTTP和HTTPS流量,還允許DNS和DHCP流量並丟棄其餘流量。要攔截的HTTP流量在到達此ACL之前已被攔截,因此不需要此ACL涵蓋這些流量。
注意:要獲取ACL中允許使用空格的IP地址,請在ACL配置部分下的在空格上建立SSID部分第3步中建立的SSID中按一下Configure Manually選項。示例位於文檔末尾的Spaces使用的IP地址部分。
空格使用2個IP地址,並且步驟1中的機制只允許使用一個入口IP。若要允許對更多HTTP資源進行預先驗證存取,需要使用URL過濾器,該過濾器會針對您在URL過濾器中輸入其URL的網站,動態地在擷取(重新導向)和安全(preauth)ACL中建立漏洞。DNS請求被動態探聽,以使9800獲知這些URL的IP地址並將其動態新增到ACL。
步驟 2.配置URL過濾器以允許Spaces域。
導覽至Configuration > Security > URL Filters。按一下+Add並配置清單名稱。選擇PRE-AUTH作為型別,PERMIT作為操作,然後選擇URL splash.dnaspaces.io(如果使用EMEA門戶,則選擇.eu):
CLI配置:
Andressi-9800L(config)#urlfilter list <url-filter name>
Andressi-9800L(config-urlfilter-params)#action permit
Andressi-9800L(config-urlfilter-params)#url splash.dnaspaces.io
可以將SSID配置為使用RADIUS伺服器或不使用RADIUS伺服器。如果在Captive Portal Rule配置的Actions部分中配置了Session Duration、Bandwidth Limit或Inscilly Provision Internet,則需要使用RADIUS伺服器配置SSID,否則,無需使用RADIUS伺服器。兩種配置都支援空間上的所有型別的入口。
空間上沒有RADIUS伺服器的強制網路門戶
9800控制器上的Web驗證引數對映組態
步驟 1.導覽至Configuration > Security > Web Auth。 按一下+Add以建立新的引數對映。在彈出的視窗中,配置引數對映名稱,然後選擇Consent作為型別:
步驟 2.按一下上一步中配置的引數對映,導航到Advanced頁籤,然後輸入重新定向以查詢登入URL、Append for AP MAC Address、Append for Client MAC Address、Append for WLAN SSID and portal IPv4 Address,如圖所示。按一下「Update & Apply」:
注意:要獲取啟動顯示頁面URL和IPv4重定向地址,請點選Spaces的SSID頁面中的Configure Manually選項。如文檔末尾的Spaces門戶使用的URL所示。
注意:Cisco Spaces門戶可以解析為兩個IP地址,但9800控制器僅允許配置一個IP地址。選擇其中任何IP地址,並在引數對映中將其配置為門戶IPv4地址。
注意:確保在全域性Web身份驗證引數對映中同時配置虛擬IPv4和IPv6地址。如果未配置虛擬IPv6,客戶端有時會被重定向到內部門戶,而不是已配置的空間門戶。這就是必須始終配置虛擬IP的原因。192.0.2.1可以配置為虛擬IPv4,FE80:0:0:903A::11E4配置為虛擬IPV6。除了這些IP,很少有或根本沒有理由使用其他IP。
CLI配置:
Andressi-9800L(config)#parameter-map type webauth <map name>
Andressi-9800L(config-params-parameter-map)#type consent
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login <splashpage URL>
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4 <IP Address>
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled
在9800控制器上建立SSID
步驟 1.導覽至Configuration > Tags & Profiles > WLANs。 按一下「+Add」。配置配置檔名稱、SSID並啟用WLAN。確保SSID名稱與在空格上建立SSID一節的步驟3中配置的名稱相同。
步驟 2.導覽至Security > Layer2。將第2層安全模式設定為None。確保MAC過濾已禁用。
步驟 3.導覽至Security > Layer3。啟用Web策略,並配置Web身份驗證引數對映。按一下Apply to Device。
在9800控制器上配置策略配置檔案
步驟 1.導航到Configuration > Tags & Profiles > Policy,然後建立新的策略配置檔案或使用預設策略配置檔案。在訪問策略頁籤中,配置客戶端VLAN並新增URL過濾器。
在9800控制器上配置策略標籤
步驟 1.導覽至Configuration > Tags & Profiles > Policy。建立新的策略標籤或使用預設策略標籤。將WLAN對映到策略標籤中的策略配置檔案。
步驟 2.將Policy Tag(策略標籤)應用於AP以廣播SSID。導覽至Configuration > Wireless > Access Points。選擇有問題的AP並新增策略標籤。這會導致AP重新啟動其CAPWAP隧道並返回到9800控制器:
CLI配置:
Andressi-9800L(config)#wlan <Profile name> <WLAN ID> <SSID Name>
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#security web-auth
Andressi-9800L(config-wlan)#security web-auth parameter-map <map name>
Andressi-9800L(config-wlan)#no shutdown
Andressi-9800L(config)#wireless profile policy <policy-profile-name>
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter <url-filter name>
Andressi-9800L(config-wireless-policy)#no shutdown
Andressi-9800L(config)#wireless tag policy <policy-tag-name>
Andressi-9800L(config-policy-tag)#wlan <Profile name> policy <policy-profile-name>
空間上具有RADIUS伺服器的強制網路門戶
注意:空間RADIUS伺服器僅支援來自控制器的PAP身份驗證。
9800控制器上的Web驗證引數對映組態
步驟 1.建立web auth引數映像。導覽至Configuration > Security > Web Auth。 按一下+Add,並配置引數對映名稱,然後選擇webauth作為型別:
步驟 2.按一下步驟1中配置的引數對映。按一下「Advanced」,然後輸入「Redirect for log-in」、「Append for AP MAC Address」、「Append for Client MAC Address」、「Append for WLAN SSID and portal IPv4 Address」。按一下「Update & Apply」:
註:要獲取啟動顯示頁面URL和IPv4重定向地址,請分別在在WLC直接連線中建立SSID一節Creating the SSID on Spaces 下,按一下步驟3中建立的SSID中的Configure Manually選項。
註:Cisco Spaces門戶可以解析為兩個IP地址,但9800控制器僅允許配置一個IP地址,其中一個案例選擇引數對映中要配置的任何一個IP地址作為門戶IPv4地址。
注意:確保在全域性Web身份驗證引數對映中同時配置虛擬IPv4和IPv6地址。如果未配置虛擬IPv6,客戶端有時會被重定向到內部門戶,而不是已配置的空間門戶。這就是虛擬IP必須始終配置為192.0.2.1且可以配置為虛擬IPv4和FE80:0:0:903A::11E4配置為虛擬IPV6的原因。除了這些IP,很少有或根本沒有理由使用其他IP。
CLI配置:
Andressi-9800L(config)#parameter-map type webauth <map name>
Andressi-9800L(config-params-parameter-map)#type webauth
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login <splashpage URL>
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4 <IP Address>
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled
9800控制器上的RADIUS伺服器配置
步驟 1.配置RADIUS伺服器。Cisco Spaces用作使用者身份驗證的RADIUS伺服器,它可以響應兩個IP地址。導覽至Configuration > Security > AAA。按一下+Add並配置兩台RADIUS伺服器:
注意:要獲取主伺服器和輔助伺服器的RADIUS IP地址和金鑰,請從在空間上建立SSID一節的步驟3中建立的SSID中按一下Configure Manually選項,然後導航到RADIUS Server Configuration一節。
步驟 2.配置RADIUS伺服器組並新增兩個RADIUS伺服器。導覽至Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups,按一下+add,將Server Group name、MAC-Delimiter as Hyphen、MAC-Filtering as MAC,然後分配兩個RADIUS伺服器:
步驟 3.配置身份驗證方法清單。導覽至Configuration > Security > AAA > AAA Method List > Authentication。 按一下「+add」。配置方法清單名稱,選擇login作為型別並分配伺服器組:
步驟 4.配置授權方法清單。導覽至Configuration > Security > AAA > AAA Method List > Authorization,然後按一下+add。配置方法清單名稱,選擇network作為型別並分配伺服器組:
在9800控制器上建立SSID
步驟 1.導覽至Configuration > Tags & Profiles > WLANs,然後按一下+Add。配置配置檔名稱、SSID並啟用WLAN。確保SSID名稱與在空格上建立SSID一節的步驟3中配置的名稱相同。
步驟 2.導覽至Security > Layer2。將第2層安全模式設定為None,啟用MAC Filtering並新增Authorization List:
步驟 3.導覽至Security > Layer3。啟用Web Policy,配置Web身份驗證引數對映和身份驗證清單。在Mac過濾器失敗時啟用,然後新增預身份驗證ACL。按一下Apply to Device。
在9800控制器上配置策略配置檔案
步驟 1.導航到Configuration > Tags & Profiles > Policy,然後建立新的策略配置檔案或使用預設策略配置檔案。在訪問策略頁籤中,配置客戶端VLAN並新增URL過濾器。
步驟 2.在Advanced頁籤中,啟用AAA Override,然後可選地配置記帳方法清單:
在9800控制器上配置策略標籤
步驟 1.導覽至Configuration > Tags & Profiles > Policy。建立新的策略標籤或使用預設策略標籤。將WLAN對映到策略標籤中的策略配置檔案。
步驟 2.將Policy Tag(策略標籤)應用於AP以廣播SSID。導航到Configuration > Wireless > Access Points,選擇有問題的AP,然後新增策略標籤。這會導致AP重新啟動其CAPWAP隧道並返回到9800控制器:
CLI配置:
Andressi-9800L(config)#wlan <Profile name> <WLAN ID> <SSID Name>
Andressi-9800L(config-wlan)#ip access-group web <ACL Name>
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#mac-filtering <authz name>
Andressi-9800L(config-wlan)#security web-auth
Andressi-9800L(config-wlan)#security web-auth authentication-list <auth name>
Andressi-9800L(config-wlan)#security web-auth on-macfilter-failure
Andressi-9800L(config-wlan)#security web-auth parameter-map <map name>
Andressi-9800L(config-wlan)#no shutdown
Andressi-9800L(config)#wireless profile policy <policy-profile-name>
Andressi-9800L(config-wireless-policy)#aaa-override
Andressi-9800L(config-wireless-policy)#accounting-list <acct name>
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter <url-filter name>
Andressi-9800L(config-wireless-policy)#no shutdown
Andressi-9800L(config)#wireless tag policy <policy-tag-name>
Andressi-9800L(config-policy-tag)#wlan <Profile name> policy <policy-profile-name>
配置全域性引數對映
不推薦的步驟:運行這些命令以允許HTTPS重定向,但請注意,如果客戶端作業系統執行強制網路門戶檢測並導致CPU使用率增加,並且總是拋出證書警告,則不需要在客戶端HTTPS流量中進行重定向。建議避免進行配置,除非需要針對非常具體的使用案例。
Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#intercept-https-enable
註:您必須擁有安裝在Cisco Catalyst 9800系列無線控制器中的虛擬IP的有效SSL證書。
步驟 1.將副檔名為.p12的已簽名證書檔案複製到TFTP伺服器,並運行此命令以傳輸證書並將其安裝到9800控制器中:
Andressi-9800L(config)#crypto pki import <name> pkcs12 tftp://<tftp server ip>:/ password <certificate password>
步驟 2.若要將已安裝憑證對應到Web驗證引數對應,請執行以下命令:
Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#trustpoint <installed trustpool name>
在空間上建立門戶
步驟 1.在空間的儀表板中按一下Captive Portals:
步驟 2.按一下Create New,輸入門戶名稱,然後選擇可以使用該門戶的位置:
步驟 3.選擇身份驗證型別,選擇是否要在門戶首頁上顯示資料捕獲和使用者協定,以及是否允許使用者選擇接收消息。按一下「Next」:
步驟 4.配置資料捕獲元素。如果要從使用者捕獲資料,請選中Enable Data Capture框,然後按一下+Add Field Element以新增所需的欄位。按一下「Next」:
步驟 5.選中Enable Terms & Conditions,然後按一下Save & Configure Portal:
步驟 6.根據需要編輯門戶。按一下「Save:
在空間上配置強制網路門戶規則
步驟 1.在空間的儀表板中按一下Captive Portals:
步驟 2.開啟強制網路門戶選單,然後按一下強制網路門戶規則:
步驟 3.按一下「+ Create New Rule」。輸入規則名稱,並選擇之前配置的SSID。
步驟 4.選擇門戶可用的位置。在LOCATIONS部分中按一下+ Add Locations。從位置層次結構中選擇所需的一個。
步驟 5.選擇強制網路門戶的操作。在這種情況下,當規則被命中時,將顯示入口。按一下「Save & Publish」。
從空間獲取特定資訊
空格使用的IP地址是什麼
要驗證您所在區域的Portal使用的IP地址,請導航至Cisco DNA Space首頁上的Captival Portal頁面。按一下左側選單中的SSID,然後按一下SSID下的Configure manually。ACL範例中會提到IP位址。這些是ACL和webauth引數對映中使用的入口的IP地址。空間使用其他IP地址進行控制平面的整體NMSP/雲連線。
在出現的彈出視窗的第一部分,步驟7顯示了ACL定義中提到的IP地址。您不需要執行這些說明並建立任何ACL,只需記下IP地址即可。這些是您所在地區的門戶使用的IP
空間登入門戶使用的URL是什麼
要驗證門戶URL空間中您所在地區的門戶使用什麼登入,請導航至Cisco DNA Space首頁上的Captival Portal頁面。按一下左側選單中的SSID,然後按一下SSID下的Configure manually。
向下滾動到顯示的彈出視窗,在第二部分中,步驟7顯示您在9800上的引數對映中必須配置的URL。
什麼是空間的RADIUS伺服器詳細資訊
要瞭解您需要使用的RADIUS伺服器IP地址以及共用金鑰,請導航至Cisco DNA Space首頁上的Captival Portal頁面。按一下左側選單中的SSID,然後按一下SSID下的Configure manually。
在顯示的彈出視窗中,向下滾動第3部分(RADIUS),第7步為您提供IP/埠和用於RADIUS身份驗證的共用金鑰。記帳是可選的,在步驟12中進行了說明。
驗證
要確認連線到SSID的客戶端的狀態,請導航至Monitoring > Clients。按一下裝置的MAC地址並查詢Policy Manager State(策略管理器狀態):
疑難排解
常見問題
1.如果控制器上的虛擬介面未設定IP位址,則使用者端會重新導向到內部入口網站,而不是在引數對映中設定的重新導向入口網站。
2.如果客戶端在重定向到Spaces上的入口時收到503錯誤,請確保在Spaces上的Location Hierarchy中配置控制器。
永遠線上跟蹤
WLC 9800 提供永不間斷的追蹤功能。這可確保所有與客戶端連線相關的錯誤、警告和通知級別消息持續記錄,並且您可以在發生事故或故障情況後檢視其日誌。
註:根據生成的日誌量,您可以將時間從幾小時縮短到幾天。
若要檢視9800 WLC在預設情況下蒐集的追蹤,可以透過SSH/Telnet連線至9800 WLC並執行這些步驟。確保您將會話記錄到文本檔案。
步驟 1.檢查控制器當前時間,這樣您就可以跟蹤問題發生時之前的日誌。
# show clock
步驟 2.根據系統配置的指示,從控制器緩衝區或外部系統日誌中收集系統日誌。這樣可以快速檢視系統運行狀況和錯誤(如果有)。
# show logging
步驟 3.驗證是否已啟用任何調試條件。
# show debugging
Cisco IOS XE Conditional Debug Configs:
Conditional Debug Global State: Stop
Cisco IOS XE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
註:如果您看到列出了任何條件,則表示遇到啟用條件(MAC地址、IP地址等)的所有進程的跟蹤將記錄到調試級別。如此可能會增加記錄量。因此,建議您在未主動偵錯時清除所有條件。
步驟 4.如果測試的mac地址未作為步驟3中的條件列出,請收集特定mac地址的always-on通知級別跟蹤。
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
您可顯示作業階段中的內容,或可將檔案複製到外部 TFTP 伺服器。
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
條件式偵錯和無線電主動式追蹤
如果全天候運作的追蹤未提供充足資訊,使您在調查之下無法判斷問題的觸發原因,則您可啟用條件式偵錯並擷取無線電主動式 (RA) 追蹤,如此可將偵錯層級追蹤提供給所有與指定條件(在此案例中為用戶端 MAC 位址)互動的所有程序。要啟用條件調試,請執行以下步驟。
步驟 1.確保未啟用調試條件。
# clear platform condition all
步驟 2.為要監控的無線客戶端mac地址啟用調試條件。
以下命令會開始監控提供的 MAC 位址 30 分鐘(1800 秒)。您可選擇將此時間增加至 2,085,978,494 秒。
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
附註:若要同時監控多個用戶端,請針對每個 MAC 位址執行 debug wireless mac <aaaa.bbbb.cccc> 指令。
注意:您看不到終端會話上客戶端活動的輸出,因為所有內容都在內部緩衝,供以後檢視。
步驟 3.重現您要監控的問題或行為。
步驟 4.如果在預設之前重現問題,或者配置的監控器時間已啟動,則停止調試。
# no debug wireless mac <aaaa.bbbb.cccc>
監控時間過後,或偵錯無線功能停止後,9800 WLC會產生具有以下名稱的本地檔案:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
步驟 5. 收集 MAC 位址活動的檔案。 可以將ra trace.log複製到外部伺服器,也可以直接在螢幕上顯示輸出。
檢查 RA 追蹤檔案的名稱
# dir bootflash: | inc ra_trace
將檔案複製到外部伺服器:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
顯示內容:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
步驟 6.如果根本原因仍不明顯,請收集內部日誌,這些日誌是調試級別日誌的更詳細檢視。您無需再次調試客戶端,因為您只需進一步詳細檢視已收集和內部儲存的調試日誌。
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
注意:此命令輸出返回所有進程的所有日誌記錄級別的跟蹤,而且非常大。請聯絡 Cisco TAC 協助剖析此類追蹤。
您可將 ra-internal-FILENAME.txt 複製到外部伺服器,或將輸出內容直接顯示於螢幕上。
將檔案複製到外部伺服器:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
顯示內容:
# more bootflash:ra-internal-<FILENAME>.txt
步驟 7.移除偵錯條件。
# clear platform condition all
注意:請確保在故障排除會話後始終刪除調試條件。
成功嘗試的示例
這是RA_trace的輸出,表示在連線到沒有RADIUS伺服器的SSID時,在關聯/身份驗證過程中成功嘗試識別每個階段。
802.11關聯/身份驗證:
Association received. BSSID 10b3.d694.00ee, WLAN 9800DNASpaces, Slot 1 AP 10b3.d694.00e0, 2802AP-9800L
Received Dot11 association request. Processing started,SSID: 9800DNASpaces1, Policy profile: DNASpaces-PP, AP Name: 2802AP-9800L, Ap Mac Address: 10b3.d694.00e0 BSSID MAC0000.0000.0000 wlan ID: 1RSSI: 0, SNR: 32
Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
dot11 send association response. Sending association response with resp_status_code: 0
dot11 send association response. Sending assoc response of length: 144 with resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS
Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False
DOT11 state transition: S_DOT11_INIT -> S_DOT11_ASSOCIATED
Station Dot11 association is successful
IP學習流程:
IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
Client IP learn successful. Method: ARP IP: 10.10.30.42
IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
Received ip learn response. method: IPLEARN_METHOD_AR
第3層身份驗證:
Triggered L3 authentication. status = 0x0, Success
Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
L3 Authentication initiated. LWA
Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in INIT state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.107.4.52] url [http://www.msftconnecttest.com/connecttest.txt]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Microsoft NCSI
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in LOGIN state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.101.24.81] url [http://www.bbc.com/]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]POST rcvd when in LOGIN state
第3層身份驗證成功。將客戶端移動到RUN狀態:
[34e1.2d23.a668:capwap_90000005] Received User-Name 34E1.2D23.A668 for client 34e1.2d23.a668
L3 Authentication Successful. ACL:[]
Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
%CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: Username entry (34E1.2D23.A668) joined with ssid (9800DNASpaces) for device with MAC: 34e1.2d23.a668
Managed client RUN state notification: 34e1.2d23.a668
Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RU