使用Catalyst 9800 WLC配置空間強制網路門戶

簡介

本文檔介紹如何在Cisco Spaces上配置強制網路門戶。

必要條件

本檔案允許Catalyst 9800無線LAN控制器(C9800 WLC)上的使用者端使用空間作為外部Web驗證登入頁面。

需求

思科建議您瞭解以下主題：

• 對9800無線控制器的命令列介面(CLI)或圖形使用者介面(GUI)訪問
• Cisco Spaces

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 9800-L控制器版本16.12.2s

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

Web驗證是一種簡單的第3層驗證方法，不需要請求方或客戶端實用程式。這可以做到

a)使用C9800 WLC上的內部頁面原樣修改或更改後修改。

b)自訂登入套件上傳到C9800 WLC。

c)外部伺服器上託管的自定義登入頁。

利用Spaces提供的強制網路門戶，實質上是在C9800 WLC上為客戶端實施外部Web身份驗證的一種方法。

外部webauth程式詳述於：Cisco Catalyst 9800系列控制器上的網路驗證

在C9800 WLC上，虛擬IP位址定義為全域引數映像，通常為192.0.2.1

設定

網路圖表

將9800控制器連線到Cisco Spaces

控制器需要使用以下任一選項連線到空間 — 直接連線、通過空間聯結器或CMX Tethering。

在本示例中，雖然強制網路門戶的配置方式對所有設定都相同，但直接連線選項仍在使用中。

若要將控制器連線到Cisco Spaces，它必須能夠通過HTTPS訪問Cisco Spaces Cloud。有關如何將9800控制器連線到空間的詳細資訊，請參閱以下連結：  空間 — 9800控制器直接連線

在空間上建立SSID

步驟1.在Spaces的控制面板中按一下Captive Portals:

步驟2.開啟強制網路門戶特定選單，按一下頁面左上角的三行圖示，然後按一下SSIDs:

步驟3.按一下Import/Configure SSID，選擇CUWN(CMX/WLC)作為「Wireless Network（無線網路）」型別，並輸入SSID 名稱:

9800控制器上的ACL和URL過濾器配置

在完成身份驗證之前，不允許來自無線客戶端的流量進入網路。進行Web驗證時，為了完成驗證，無線客戶端連線到此SSID，收到IP地址，然後將客戶端策略管理器狀態移動到Webauth_reqd狀態。由於客戶端尚未通過身份驗證，因此除了DHCP、DNS和HTTP（被攔截並重定向）之外，所有來自客戶端IP地址的流量都會被丟棄。

預設情況下，當您設定web-auth WLAN時，9800會建立硬式編碼預先驗證ACL。這些硬式編碼ACL允許DHCP、DNS和流量到達外部Web身份驗證伺服器。所有其餘部分像任何http流量一樣被重定向。

但是，如果您需要允許特定非HTTP流量型別通過，則可以配置預身份驗證ACL。然後，您需要模仿現有的硬式編碼預先驗證ACL的內容（在本節的步驟1中），並將其擴充到符合您的需要。

步驟1.檢驗當前的硬式編碼ACL。

CLI配置：

Andressi-9800L#show ip access list

Extended IP access list WA-sec-10.235.248.212
10 permit tcp any host 10.235.248.212 eq www
20 permit tcp any host 10.235.248.212 eq 443
30 permit tcp host 10.235.248.212 eq www any
40 permit tcp host 10.235.248.212 eq 443 any
50 permit tcp any any eq domain
60 permit udp any any eq domain
70 permit udp any any eq bootpc
80 permit udp any any eq bootps
90 deny ip any any

Extended IP access list WA-v4-int-10.235.248.212
10 deny tcp any host 10.235.248.212 eq www
20 deny tcp any host 10.235.248.212 eq 443
30 permit tcp any any eq www
40 permit tcp any host 192.0.2.1 eq 443

之所以這樣呼叫WA-sec-10.235.248.212，是因為它是自動Web驗證(WA)安全(sec)ACL或入口ip 10.235.248.212。安全ACL定義了允許的內容（允許時）或丟棄的內容（拒絕時）。Wa-v4-int是攔截ACL，即點選ACL或重定向ACL，並定義將哪些內容傳送到CPU進行重定向（允許時）或傳送到資料平面（拒絕時）。

WA-v4-int10.235.248.212首先應用於來自客戶端的流量，並將流向空間門戶IP 10.235.248.212的HTTP流量保留在資料平面上（尚未丟棄或轉發操作，只需切換到資料平面即可）。 它將所有HTTP(s)流量傳送到CPU（除了由Web伺服器服務的虛擬IP流量以外的重定向）。其他型別的流量會提供給資料平面。

WA-sec-10.235.248.212允許流向在Web驗證引數對映中配置的Cisco DNA空間IP 10.235.248.212的HTTP和HTTPS流量，還允許DNS和DHCP流量並丟棄其餘流量。要攔截的HTTP流量在到達此ACL之前已被攔截，因此不需要此ACL涵蓋這些流量。

注意：要獲取ACL中允許使用空格的IP地址，請在ACL配置部分下的在空格上建立SSID部分第3步中建立的SSID中按一下Configure Manually選項。示例位於文檔末尾的Spaces使用的IP地址部分。

空格使用2個IP地址，並且步驟1中的機制只允許使用一個入口IP。若要允許對更多HTTP資源進行預先驗證存取，需要使用URL過濾器，該過濾器會針對您在URL過濾器中輸入其URL的網站，動態地在擷取（重新導向）和安全(preauth)ACL中建立漏洞。DNS請求被動態探聽，以使9800獲知這些URL的IP地址並將其動態新增到ACL。

步驟2.配置URL 過濾器以允許Spaces域。

導覽至Configuration > Security > URL Filters。按一下+Add並配置清單名稱。選擇PRE-AUTH作為型別，PERMIT作為操作，然後選擇URL splash.dnaspaces.io（如果使用EMEA門戶，則選擇.eu）：

CLI配置：

Andressi-9800L(config)#urlfilter list 
Andressi-9800L(config-urlfilter-params)#action permit
Andressi-9800L(config-urlfilter-params)#url splash.dnaspaces.io

可以將SSID配置為使用RADIUS伺服器或不使用RADIUS伺服器。如果在Captive Portal Rule配置的Actions部分中配置了Session Duration、Bandwidth Limit或Inscilly Provision Internet，則需要使用RADIUS伺服器配置SSID，否則，無需使用RADIUS伺服器。兩種配置都支援空間上的所有型別的入口。

空間上沒有RADIUS伺服器的強制網路門戶

9800控制器上的Web驗證引數對映組態

步驟1。導覽至Configuration > Security > Web Auth。按一下+Add以建立一個新的引數映像。在彈出的視窗中，配置引數map name，然後選擇Consent作為型別：

步驟2.按一下上一步中配置的引數對映，導航到Advanced頁籤，然後輸入重新導向登入URL、Append for AP MAC Address、Append for Client MAC Address、Append for WLAN SSID and portal IPv4 Address（如圖所示）。按一下「Update & Apply」：

附註：要獲取啟動顯示頁面URL和IPv4重定向地址，請點選Spaces的SSID頁面中的Configure Manually選項。如文檔末尾的Spaces門戶使用的URL所示。

附註：Cisco Spaces門戶可以解析為兩個IP地址，但9800控制器僅允許配置一個IP地址。選擇其中任何IP地址，並在引數對映中將其配置為門戶IPv4地址。

附註：確保在全域性Web身份驗證引數對映中同時配置虛擬IPv4和IPv6地址。如果未配置虛擬IPv6，客戶端有時會被重定向到內部門戶，而不是已配置的空間門戶。這就是必須始終配置虛擬IP的原因。192.0.2.1可以配置為虛擬IPv4，而FE80:0:0:903A::11E4配置為虛擬IPV6。除了這些IP，使用其他IP幾乎沒有任何理由。

CLI配置：

Andressi-9800L(config)#parameter-map type webauth 
Andressi-9800L(config-params-parameter-map)#type consent
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login  
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4 
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled

在9800控制器上建立SSID

步驟1.導覽至Configuration > Tags & Profiles > WLANs。按一下+Add。配置Profile Name、SSID並啟用WLAN。確保SSID名稱與在空格上建立SSID一節的步驟3中配置的名稱相同。

步驟2.導覽至Security > Layer2。將Layer 2 Security Mode設定為None。確保MAC過濾已禁用。

步驟3.導覽至Security > Layer3。啟用Web Policy，並設定web auth引數映像。按一下Apply to Device。

在9800控制器上配置策略配置檔案

步驟1.導航到Configuration > Tags & Profiles > Policy，然後建立新的策略配置檔案或使用預設策略配置檔案。在access Policies索引標籤中，設定使用者端VLAN，並新增URLfilter。

在9800控制器上配置策略標籤

步驟1.導覽至Configuration > Tags & Profiles > Policy。建立新的策略標籤或使用預設策略標籤。將WLAN對映到策略標籤中的策略配置檔案。

步驟2.將策略標籤應用於AP以廣播SSID。導覽至Configuration > Wireless > Access Points。選擇有問題的AP並新增Policy標籤。這會導致AP重新啟動其CAPWAP隧道並返回到9800控制器：

CLI配置：

Andressi-9800L(config)#wlan   
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#security web-auth 
Andressi-9800L(config-wlan)#security web-auth parameter-map Andressi-9800L(config-wlan)#no shutdown

Andressi-9800L(config)#wireless profile policy 
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter 
Andressi-9800L(config-wireless-policy)#no shutdown

Andressi-9800L(config)#wireless tag policy 
Andressi-9800L(config-policy-tag)#wlan  policy 

空間上具有RADIUS伺服器的強制網路門戶

附註：空間RADIUS伺服器僅支援來自控制器的PAP身份驗證。

9800控制器上的Web驗證引數對映組態

步驟1.建立Web驗證引數映像。導覽至Configuration > Security > Web Auth。按一下+Add，然後設定parameter map name，然後選擇webauth作為型別：

步驟2.按一下步驟1中配置的引數對映。按一下Advanced並輸入用於登入的重新導向、Append for AP MAC Address、Append for Client MAC Address、Append for WLAN SSID and portal IPv4 Address。按一下「Update & Apply」：

附註：要獲取啟動顯示頁面URL和IPv4重定向地址，請分別按一下在WLC直接連線中建立SSID部分在空格上建立SSID部分步驟3中建立的SSID中的手動配置選項。

附註：Cisco Spaces門戶可以解析為兩個IP地址，但9800控制器僅允許配置一個IP地址，其中一個案例選擇引數對映中要配置的任何一個IP地址作為門戶IPv4地址。

附註：確保在全域性Web身份驗證引數對映中同時配置虛擬IPv4和IPv6地址。如果未配置虛擬IPv6，客戶端有時會被重定向到內部門戶，而不是已配置的空間門戶。這就是虛擬IP必須始終配置為192.0.2.1並且可以配置為虛擬IPv4和FE80:0:0:903A::11E4配置為虛擬IPV6的原因。除了這些IP外，使用其他IP幾乎沒有任何理由。

CLI配置：

Andressi-9800L(config)#parameter-map type webauth 
Andressi-9800L(config-params-parameter-map)#type webauth
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login  
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4 
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled

9800控制器上的RADIUS伺服器配置

步驟1.配置RADIUS伺服器。Cisco Spaces用作使用者身份驗證的RADIUS伺服器，它可以響應兩個IP地址。導覽至Configuration > Security > AAA。按一下+Add並配置兩台RADIUS伺服器：

注意：要獲取主伺服器和輔助伺服器的RADIUS IP地址和金鑰，請從在空間上建立SSID一節的步驟3中建立的SSID中按一下Configure Manually選項，然後導航到RADIUS Server Configuration一節。

步驟2.配置RADIUS伺服器組並新增兩個RADIUS伺服器。導覽至Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups，按一下+add，將Server Group name、MAC-Delimiter as Hyphen、MAC-Filtering as MAC，然後分配兩個RADIUS伺服器：

步驟3.配置身份驗證方法清單。導航到Configuration > Security > AAA > AAA Method List > Authentication。按一下+add。配置方法清單名稱，選擇login作為型別並分配伺服器組：

步驟4.配置授權方法清單。導覽至Configuration > Security > AAA > AAA Method List > Authorization，然後按一下+add。配置方法清單名稱，選擇network作為型別並分配Server組:

在9800控制器上建立SSID

步驟1.導覽至Configuration > Tags & Profiles > WLANs，然後按一下+Add。配置配置檔名稱、SSID並啟用WLAN。確保SSID名稱與在空格上建立SSID一節的步驟3中配置的名稱相同。

步驟2.導覽至Security > Layer2。將Layer 2 Security Mode設定為None，啟用MAC Filtering並新增Authorization List:

步驟3.導覽至Security > Layer3。啟用Web Policy，設定web auth引數對映和驗證清單。在Mac過濾器失敗時啟用，然後新增預身份驗證ACL。按一下Apply to Device。

在9800控制器上配置策略配置檔案

步驟1.導航到Configuration > Tags & Profiles > Policy，然後建立新的策略配置檔案或使用預設策略配置檔案。在Access Policies頁籤中，配置客戶端VLAN並新增URL過濾器。

步驟2.在Advanced頁籤中，啟用AAA Override，然後可選地配置記帳方法清單：

在9800控制器上配置策略標籤

步驟1.導覽至Configuration > Tags & Profiles > Policy。建立新的策略標籤或使用預設策略標籤。將WLAN對映到策略標籤中的策略配置檔案。

步驟2.將策略標籤應用於AP以廣播SSID。導航到Configuration > Wireless > Access Points，選擇有問題的AP，然後新增策略標籤。這會導致AP重新啟動其CAPWAP隧道並返回到9800控制器：

CLI配置：

Andressi-9800L(config)#wlan   
Andressi-9800L(config-wlan)#ip access-group web 
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#mac-filtering 
Andressi-9800L(config-wlan)#security web-auth 
Andressi-9800L(config-wlan)#security web-auth authentication-list  
Andressi-9800L(config-wlan)#security web-auth on-macfilter-failure
Andressi-9800L(config-wlan)#security web-auth parameter-map Andressi-9800L(config-wlan)#no shutdown

Andressi-9800L(config)#wireless profile policy 
Andressi-9800L(config-wireless-policy)#aaa-override
Andressi-9800L(config-wireless-policy)#accounting-list 
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter 
Andressi-9800L(config-wireless-policy)#no shutdown

Andressi-9800L(config)#wireless tag policy 
Andressi-9800L(config-policy-tag)#wlan  policy 

配置全域性引數對映

不推薦的步驟：運行這些命令以允許HTTPS重定向，但請注意，如果客戶端作業系統執行強制網路門戶檢測並導致CPU使用率增加，並且總是拋出證書警告，則不需要在客戶端HTTPS流量中進行重定向。建議避免進行配置，除非需要針對非常具體的使用案例。

Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#intercept-https-enable

附註：您必須擁有安裝在Cisco Catalyst 9800系列無線控制器中的虛擬IP的有效SSL證書。

步驟1.將具有extension.p12的已簽名證書檔案複製到TFTP伺服器，並運行此命令以傳輸證書並將其安裝到9800控制器中：

Andressi-9800L(config)#crypto pki import  pkcs12 tftp://:/ password 

步驟2.若要將已安裝的憑證對應到Web驗證引數映像，請運行以下命令：

Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#trustpoint 

僅限 FlexConnect 本機交換存取點

在Flexconnect設定或EWC中，您需要一個額外的步驟，以便通過定義增強型URL過濾器清單將URL過濾器推送到AP:

導覽至Configuration > Security > URL Filters,Under Enhanced URL filter，按一下+Addand設定list name。將URL splash.dnaspaces.io和Action新增為Permit。

CLI配置：

EWC (config) #urlfilter enhanced-list DNASpaces-URLfilter
EWC (config—urIfilter-enhanced-params)#url splash.dnaspaces.io preference 1 action permit
EWC (config-urlfilter-params)#end

將URL篩選器清單應用於Flex配置檔案

導覽至Configuration > Tags & Profiles > Flexand然後選擇您的Flex配置檔案。然後導航到Policy ACL頁籤。

選擇WA-sec-10.235.248.212 ACL名稱，然後新增增強型URL過濾器，如下圖所示。不要忘記點選Save，然後點選Update and apply to the device:

CLI配置：

EWC(config)# wireless profile flex default-flex-profile
EWC(config-wireless-flex-profile)# acl-policy WA-sec-10.235.248.212
EWC(config-wireless-flex-profile-acl)# urlfilter list DNASpaces-URLfilter

您可以使用以下命令（從AP CLI）驗證ACL是否推送到AP:

show flexconnect url-acl
show ip access-lists

附註：增強型URL過濾器未應用於AP，除非您由於思科錯誤ID CSCwi16553而編輯它。作為一種解決辦法，請將DNAspacess的IP地址手動新增到新ACL中，並將該ACL新增到flex profile中。接著在Security > Layer3 > preauth ACL下將其新增到WLAN中。

在空間上建立門戶

步驟1.在Spaces的控制面板中按一下Captive Portals:

步驟2.按一下Create New，輸入portal 名稱，然後選擇可以使用該門戶的位置： 

步驟3.選擇驗證型別，選擇是否要在門戶首頁上顯示資料捕獲和使用者協定，以及是否允許使用者選擇接收消息。按一下「Next」：

步驟4.配置資料捕獲元素。如果要從使用者捕獲資料，請選中Enable Data Capture框，然後按一下+Add Field Element以新增所需的欄位。按一下「Next」：

步驟5.選中Enable Terms & Conditions，然後按一下Save & Configure Portal:

步驟6.根據需要編輯入口。按一下「Save」：

在空間上配置強制網路門戶規則

步驟1.在Spaces的控制面板中按一下Captive Portals:

步驟2.開啟強制網路門戶選單，然後按一下強制網路門戶規則:

步驟3.按一下+ Create New Rule。輸入規則名稱，然後選擇之前配置的SSID。

步驟4.選擇門戶可用的位置。在LOCATIONS部分中按一下+ Add Locations。從位置層次結構中選擇所需的一個。

步驟5.選擇強制網路門戶的操作。在這種情況下，當規則被命中時，將顯示入口。按一下「Save & Publish」。

從空間獲取特定資訊

空格使用的IP地址是什麼 

要驗證空間在您所在區域用於門戶的IP地址，請導航至Cisco DNA Space首頁上的Captival Portal頁面。按一下左側選單中的SSID，然後按一下SSID下的Configure manually。ACL範例中會提到IP位址。這些是ACL和webauth引數對映中使用的入口的IP地址。空間使用其他IP地址進行控制平面的整體NMSP/雲連線。

在出現的彈出視窗的第一部分，步驟7顯示了ACL定義中提到的IP地址。您不需要執行這些說明並建立任何ACL，只需記下IP地址即可。這些是您所在地區的門戶使用的IP

空間登入門戶使用的URL是什麼 

要驗證門戶URL空間中您所在地區的門戶使用什麼登入，請導航至Cisco DNA Space首頁上的Captival Portal頁面。按一下左側選單中的SSID，然後按一下SSID下的Configure manually。

向下滾動到顯示的彈出視窗，在第二部分中，步驟7顯示您在9800上的引數對映中必須配置的URL。

什麼是空間的RADIUS伺服器詳細資訊

若要瞭解您需要使用的RADIUS伺服器IP地址以及共用金鑰，請導航至Cisco DNA Space首頁上的Captival Portal頁面。按一下左側選單中的SSID，然後按一下SSID下的Configure manually。 

在顯示的彈出視窗中，向下滾動第3部分(RADIUS)，第7步為您提供IP/埠和用於RADIUS身份驗證的共用金鑰。記帳是可選的，在步驟12中進行了說明。

驗證

要確認連線到SSID的客戶端的狀態，請導航至Monitoring > Clients。按一下裝置的MAC地址，並查詢Policy Manager State（策略管理器狀態）：

疑難排解

常見問題

1.如果控制器上的虛擬介面未設定IP位址，則使用者端會重新導向到內部入口網站，而不是在引數對映中設定的重新導向入口網站。

2.如果客戶端在重定向到Spaces上的入口時收到503錯誤，請確保在Spaces上的Location Hierarchy中配置控制器。

永遠線上跟蹤

WLC 9800 提供永不間斷的追蹤功能。這可確保所有與客戶端連線相關的錯誤、警告和通知級別消息持續記錄，並且您可以在發生事故或故障情況後檢視其日誌。 

附註：根據生成的日誌量，您可以將時間返回幾小時到幾天。

若要檢視9800 WLC在預設情況下蒐集的追蹤，可以透過SSH/Telnet連線至9800 WLC並執行這些步驟。確保您將會話記錄到文本檔案。

步驟1.檢查控制器當前時間，以便您可以跟蹤問題發生時的記錄時間。

# show clock

 步驟 2. 從控制器的緩衝區或系統組態指定的外部系統日誌來收集系統日誌。這樣可以快速檢視系統運行狀況和錯誤（如果有）。

# show logging

步驟 3. 確認所有偵錯條件是否已啟用。

# show debugging
Cisco IOS XE Conditional Debug Configs:

Conditional Debug Global State: Stop

Cisco IOS XE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

附註：如果看到列出任何條件，則表示遇到啟用條件（mac地址、IP地址等）的所有進程的跟蹤將記錄到調試級別。 如此可能會增加記錄量。因此，建議您在未主動偵錯時清除所有條件。

步驟4.如果測試的MAC地址未作為步驟3中的條件列出，請收集特定MAC地址的always-on通知級別跟蹤。

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

您可顯示作業階段中的內容，或可將檔案複製到外部 TFTP 伺服器。

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

條件式偵錯和無線電主動式追蹤 

如果全天候運作的追蹤未提供充足資訊，使您在調查之下無法判斷問題的觸發原因，則您可啟用條件式偵錯並擷取無線電主動式 (RA) 追蹤，如此可將偵錯層級追蹤提供給所有與指定條件（在此案例中為用戶端 MAC 位址）互動的所有程序。 要啟用條件調試，請執行以下步驟。

步驟1.確保未啟用調試條件。

# clear platform condition all

步驟2.為要監控的無線客戶端mac地址啟用debug條件。

以下命令會開始監控提供的 MAC 位址 30 分鐘（1800 秒）。 您可選擇將此時間增加至 2,085,978,494 秒。

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

附註：若要同時監控多個用戶端，請針對每個 MAC 位址執行 debug wireless mac <aaaa.bbbb.cccc> 指令。

注意:您看不到終端會話上客戶端活動的輸出，因為所有內容都在內部緩衝，供以後檢視。

步驟3.重現您要監控的問題或行為。

步驟4.如果在預設之前重現問題，或者配置的監控器時間已啟動，則停止調試。

# no debug wireless mac <aaaa.bbbb.cccc>

監控時間過後，或偵錯無線功能停止後，9800 WLC會產生具有以下名稱的本地檔案：

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

步驟5. 收集mac地址活動的檔案。您可以將ra trace.log複製到外部伺服器，也可以直接在螢幕上顯示輸出。

檢查 RA 追蹤檔案的名稱

# dir bootflash: | inc ra_trace

將檔案複製到外部伺服器：

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

顯示內容：

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

步驟6.如果根本原因仍不明顯，請收集內部日誌，這些日誌是調試級別日誌的更詳細檢視。您無需再次調試客戶端，因為您只需進一步詳細檢視已收集和內部儲存的調試日誌。

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

附註：此命令輸出會傳回所有程序之所有記錄層級的追蹤，且資訊相當大量。請聯絡 Cisco TAC 協助剖析此類追蹤。

您可將 ra-internal-FILENAME.txt 複製到外部伺服器，或將輸出內容直接顯示於螢幕上。

將檔案複製到外部伺服器：

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

顯示內容：

# more bootflash:ra-internal-<FILENAME>.txt

步驟7.移除偵錯條件。

# clear platform condition all

附註：疑難排解作業階段後，請務必移除偵錯條件。

成功嘗試的示例

這是RA_trace的輸出，表示在連線到沒有RADIUS伺服器的SSID時，在關聯/身份驗證過程中成功嘗試識別每個階段。

802.11關聯/身份驗證：

Association received. BSSID 10b3.d694.00ee, WLAN 9800DNASpaces, Slot 1 AP 10b3.d694.00e0, 2802AP-9800L
Received Dot11 association request. Processing started,SSID: 9800DNASpaces1, Policy profile: DNASpaces-PP, AP Name: 2802AP-9800L, Ap Mac Address: 10b3.d694.00e0 BSSID MAC0000.0000.0000 wlan ID: 1RSSI: 0, SNR: 32
Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
dot11 send association response. Sending association response with resp_status_code: 0 
dot11 send association response. Sending assoc response of length: 144 with resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS
Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False 
DOT11 state transition: S_DOT11_INIT -> S_DOT11_ASSOCIATED
Station Dot11 association is successful

IP學習流程：

IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
Client IP learn successful. Method: ARP IP: 10.10.30.42
IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
Received ip learn response. method: IPLEARN_METHOD_AR

第3層身份驗證：

Triggered L3 authentication. status = 0x0, Success
Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
L3 Authentication initiated. LWA 
Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING


Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in INIT state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.107.4.52] url [http://www.msftconnecttest.com/connecttest.txt]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Microsoft NCSI
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in LOGIN state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.101.24.81] url [http://www.bbc.com/]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]POST rcvd when in LOGIN state

第3層身份驗證成功。將客戶端移動到RUN狀態：

[34e1.2d23.a668:capwap_90000005] Received User-Name 34E1.2D23.A668 for client 34e1.2d23.a668
L3 Authentication Successful. ACL:[]
Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
%CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: Username entry (34E1.2D23.A668) joined with ssid (9800DNASpaces) for device with MAC: 34e1.2d23.a668
Managed client RUN state notification: 34e1.2d23.a668 
Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RU