تكوين معرّفات SSID وشبكات VLAN على نقاط الوصول الذاتية

المقدمة

يوضّح هذا المستند كيفية تكوين نقاط الوصول (AP) الذاتية لـ:

• شبكات المنطقة المحلية الظاهرية (VLANs)
• فتح المصادقة
• 802.1x مع خدمة مصادقة طلب اتصال المستخدم البعيد الداخلية (RADIUS)
• 802.1x مع RADIUS الخارجي
• مفتاح مشترك مسبقا (PSK)
• مصادقة عنوان MAC
• مصادقة الويب (نصف القطر الداخلي)
• مرور الويب

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة أساسية بالمواضيع التالية:

• 802٫1x
• PSK
• RADIUS
• مصادقة الويب

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى الإصدار 15.3(3)JBB من AP 3700.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

تلميح: تنطبق هذه الأمثلة أيضا على نقطة الوصول في الوضع الذاتي داخل ASA 5506، الفرق هو أنه بدلا من تكوين منفذ المحول حيث تكون نقطة الوصول متصلة، يتم تطبيق التكوين على gig 1/9 الخاص ب ASA.

التكوين

ملاحظة: لا يمكن تطبيق معرفات مجموعة الخدمات (SSIDs) التي تنتمي إلى شبكة VLAN نفسها على راديو في نفس الوقت. لم يتم تمكين أمثلة التكوين الخاصة ب SSIDs ذات شبكة VLAN نفسها في نفس الوقت على نقطة الوصول نفسها.

تكوين محول VLAN و AP

قم بتكوين شبكات VLAN المطلوبة على كل من نقطة الوصول والمحول. هذا ال VLANs يستعمل في هذا مثال:

• VLAN 2401 (أصلي)
• VLAN 2402
• VLAN 2403

تكوين نقاط الوصول وشبكات VLAN

تكوين الواجهة Gigabit Ethernet

# conf t

# interface gig 0.2401
# encapsulation dot1q 2401 native

# interface gig 0.2402
# encapsulation dot1q 2402
# bridge-group 242

# interface gig 0.2403
# encapsulation dot1q 2403
# bridge-group 243

تكوين راديو الواجهة 802.11a 

# interface dot11radio 1.2401
# encapsulation dot1q 2401 native
 
# interface dot11radio 1.2402
# encapsulation dot1q 2402
# bridge-group 242

# interface dot11radio 1.2403
# encapsulation dot1q 2403
# bridge-group 243

ملاحظة: لم يتم تكوين راديو 802.11b (واجهة dot11radio 0)، لأنه يستخدم شبكة VLAN الأصلية لنقطة الوصول.

شكلت مفتاح VLAN

# conf t
# vlan 2401-2403

   

شكلت القارن حيث ال ap يكون ربطت:

# conf t
# interface <port-id-where-AP-is-connected>
# switchport trunk encapsulation dot1q
# switchport mode trunk
# switchport trunk native vlan 2401
# switchport trunk allowed vlan 2401-2403
# spanning-tree portfast trunk

مصادقة SSID المفتوحة - شبكة VLAN الأصلية لنقطة الوصول

لا يحتوي معرف SSID هذا على تأمين، ويتم عرضه (مرئي للعملاء) ويتم تخصيص العملاء اللاسلكيين الذين ينضمون إلى شبكة WLAN لشبكة VLAN الأصلية.

الخطوة 1. قم بتكوين SSID.

# dot11 ssid OPEN
# authentication open
# guest-mode

   

الخطوة 2. قم بتخصيص SSID إلى راديو 802. 11b.

# interface dot11radio 0
# ssid OPEN

SSID 802.1x - RADIUS الداخلي

يستخدم SSID هذا نقطة الوصول كخادم RADIUS. اعلم أن نقطة الوصول كخادم RADIUS تدعم فقط مصادقة LEAP و EAP-FAST و MAC.

الخطوة 1. تمكين نقطة الوصول كخادم RADIUS.

عنوان IP لخادم الوصول إلى الشبكة (NAS) هو عنوان BVI لنقطة الوصول، نظرا لأن عنوان IP هذا هو الذي يرسل طلب المصادقة إلى نفسه. أيضا، قم بإنشاء اسم مستخدم وكلمة مرور.

# aaa new-model
# radius-server local
# nas <a.b.c.d> key 0 <shared-key>
# user <username> password 0 <password>

   

الخطوة 2. قم بتكوين خادم RADIUS الذي ترسل إليه نقطة الوصول طلب المصادقة، بما أنه RADIUS المحلي، فإن عنوان IP هو الذي يتم تعيينه لواجهة بروتوكول جسر AP (BVI).

# radius server <radius-server-name>
# address ipv4 <a.b.c.d> auth-port 1812 acct-port 1813
# timeout 10
# retransmit 3
# key 0 <shared-key>

   

الخطوة 3. تعيين خادم RADIUS هذا لمجموعة RADIUS.   

# aaa group server radius <radius-group>
# server name <radius-server-name>

   

الخطوة 4. قم بتعيين مجموعة نصف القطر هذه لأسلوب مصادقة.

# aaa authentication login <eap-method-name> group <radius-group>  

 

الخطوة 5. قم بإنشاء SSID، وتعيينه على VLAN 2402.

#  dot11 ssid internal-radius
#  vlan 2402
#  authentication open eap <eap-method-name>
#  authentication network-eap <eap-method-name>
#  authentication key-management wpa version 2
#  mbssid guest-mode

   

الخطوة 6. قم بتعيين SSID على الواجهة 802.11a وحدد وضع التشفير.  

# interface dot11radio 1
# mbssid
# encryption vlan 2402 mode ciphers aes-ccm
# ssid internal-radius

SSID 802.1x - RADIUS الخارجي

التكوين هو نفسه تقريبا ل RADIUS الداخلي.

الخطوة 1. تكوين نموذج AAA جديد.

الخطوة 2، بدلا من عنوان IP لنقطة الوصول، أستخدم عنوان IP الخارجي لنصف القطر.

  

SSID - PSK

يستخدم SSID هذا WPA2/PSK للأمان ويتم تخصيص المستخدمين على SSID هذا لشبكة VLAN 2402.

الخطوة 1. قم بتكوين SSID.

# conf t
# dot11 ssid PSK-ex
# authentication open
# authentication key-management wpa version 2
# wpa-psk ascii 0 <password>
# mbssid guest-mode
# vlan 2402

   

الخطوة 2. قم بتخصيص SSID لواجهة الراديو وتشكيل وضع التشفير.  

# interface dot11radio 1
# encryption vlan 2402 mode ciphers aes-ccm
# ssid PSK-ex

SSID - مصادقة عنوان MAC

يصادق SSID هذا الأجهزة العميلة اللاسلكية استنادا إلى عنوان MAC الخاص بها. وهو يستخدم عنوان MAC كاسم مستخدم/كلمة مرور. في هذا مثال يعمل ال ap كمحلي RADIUS، لذلك ال ap يخزن ماك عنوان قائمة. ويمكن تطبيق نفس التكوين على خادم RADIUS الخارجي.

الخطوة 1. تمكين نقطة الوصول كخادم RADIUS. عنوان NAS IP هو BVI الخاص بنقطة الوصول. قم بإنشاء الإدخال للعميل باستخدام عنوان MAC AABBCCCC.

# aaa new-model
# radius-server local
# nas <a.b.c.d> key 0 <shared-key>
# user aaaabbbbcccc password 0 aaaabbbbcccc mac-auth-only

 

الخطوة 2. قم بتكوين خادم RADIUS الذي ترسل إليه نقطة الوصول طلب المصادقة (وهو نقطة الوصول نفسها).   

# radius server <radius-server-name>
# address ipv4 <a.b.c.d> auth-port 1812 acct-port 1813
# timeout 10
# retransmit 3
# key 0 <shared-key>

الخطوة 3. تعيين خادم RADIUS هذا لمجموعة RADIUS.

# aaa group server radius <radius-group>
# server name <radius-server-name>

   

الخطوة 4. قم بتعيين مجموعة نصف القطر هذه لأسلوب مصادقة.  

# aaa authentication login <mac-method> group <radius-group>

الخطوة 5. قم بإنشاء SSID، يقوم هذا المثال بتعيينه لشبكة VLAN رقم 2402.

#  dot11 ssid mac-auth
#  vlan 2402
#  authentication open mac-address <mac-method>
#  mbssid guest-mode

الخطوة 6. قم بتخصيص SSID للواجهة 802. 11a.  

# interface dot11radio 1
# mbssid
# ssid mac-auth

SSID - مصادقة الويب الداخلية

تتم إعادة توجيه المستخدمين الذين يتصلون ب SSID هذا إلى مدخل مصادقة ويب لإدخال اسم مستخدم/كلمة مرور صالحة، وفي حالة نجاح المصادقة، يصبح لديهم حق الوصول إلى الشبكة. في هذا المثال، يتم تخزين المستخدمين على خادم RADIUS المحلي.

في هذا المثال، يتم تخصيص SSID لشبكة VLAN رقم 2403.

الخطوة 1. تمكين نقطة الوصول كخادم RADIUS. عنوان NAS IP هو BVI الخاص بنقطة الوصول.  

# aaa new-model
# radius-server local
# nas <a.b.c.d> key 0 <shared-key>

   

الخطوة 2. قم بتكوين خادم RADIUS الذي ترسل إليه نقطة الوصول طلب المصادقة (وهو نقطة الوصول نفسها).  

# radius server <radius-name>
# address ipv4 <a.b.c.d> auth-port 1812 acct-port 1813
# timeout 10
# retransmit 3
# key 0 <shared-key>

   

الخطوة 3. تعيين خادم RADIUS هذا إلى مجموعة RADIUS.   

# aaa group server radius <radius-group>
# server name <radius-name>

الخطوة 4. قم بتعيين مجموعة نصف القطر هذه لأسلوب مصادقة.  

# aaa authentication login <web-method> group <radius-group>

   

الخطوة 5. قم بإنشاء سياسات القبول.   

# ip admission name webauth-pol proxy http
# ip admission name webauth-pol method-list authentication <web-method>

   

الخطوة 6. قم بتكوين SSID.   

# conf t
# dot11 ssid webauth-autonomous
# authentication open
# web-auth
# vlan 2403
# mbssid guest-mode

 

الخطوة 7. قم بتعيين SSID للواجهة.  

# conf t
# int dot11radio 1
# ssid webauth-autonomous

   

الخطوة 8. قم بتعيين النهج إلى الواجهة الفرعية اليمنى.   

# conf t
# int dot11radio 1.2403
# ip admission webauth-pol

   

ملاحظة: إذا كان SSID يعمل على الأصل، فسيتم تطبيق السياسة مباشرة على الواجهة، وليس على الواجهة الفرعية (dot11radio 0 أو dot11radio 1).

الخطوة 9. قم بإنشاء اسم المستخدم/كلمة المرور للمستخدمين الضيوف.  

# conf t
# dot11 guest
# username <username> lifetime 35000 password <password>

SSID - مرور الويب

عند اتصال عميل ب SSID بتكوين تمرير عبر الويب، ستتم إعادة توجيهه إلى مدخل ويب لقبول بنود وشروط إستخدام الشبكة، وإذا لم يكن الأمر كذلك، فلن يتمكن المستخدم من إستخدام الخدمة.

يقوم هذا المثال بتعيين SSID لشبكة VLAN الأصلية.

الخطوة 1. قم بإنشاء سياسة الدخول.

# config t
# ip admission name web-passth consent

الخطوة 2. حدد الرسالة التي سيتم عرضها عند اتصال العملاء ب SSID هذا. 

# ip admission consent-banner text %
                                    ======= WELCOME ======
                                   Message to be displayed to clients
                                                          .........
                                                          .........
                                                          .........
                                                          .........
                                                          .........
%

الخطوة 3. قم بإنشاء SSID.

# dot11 ssid webpassth-autonomous
# web-auth
# authentication open
# guest-mode

  

الخطوة 4. تعيين SSID وسياسة الدخول إلى الراديو  

# interface dot11radio { 0 | 1 }
# ssid webpassth-autonomous
# ip admission web-passth

  

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

# عرض اقترانات dot11

وهذا يظهر عنوان MAC وعنوان IPv4 و IPv6 واسم SSID الخاص بالعملاء اللاسلكيين المتصلين.

ap# show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [webpassth-autonomous] :

MAC Address    IP address      IPV6 address                           Device        Name            Parent         State
c4b3.01d8.5c9d 172.16.0.122    ::                                     unknown       -               self           Assoc

 #  show dot11 associations aaa.bbbb.cccc

وهذا يوضح المزيد من تفاصيل العميل اللاسلكي المحدد في عنوان MAC على أنه RSSI و SNR ومعدلات البيانات المدعومة وغيرها. 

ap# show dot11 associations c4b3.01d8.5c9d

Address : c4b3.01d8.5c9d                     Name : NONE
IP Address : 172.16.0.122                    IPv6 Address : ::
Gateway Address : 0.0.0.0
Netmask Address : 0.0.0.0                    Interface : Dot11Radio 0
Bridge-group : 1
reap_flags_1 : 0x0                 ip_learn_type : 0x0 transient_static_ip : 0x0
Device : unknown                             Software Version : NONE
CCX Version : NONE                           Client MFP : Off

State : Assoc                                Parent : self
SSID : webpassth-autonomous
VLAN : 0
Hops to Infra : 1                            Association Id : 1
Clients Associated: 0 Repeaters associated: 0
Tunnel Address : 0.0.0.0
Key Mgmt type : NONE                         Encryption : Off
Current Rate : m15b2                          Capability : WMM ShortHdr ShortSlot
Supported Rates : 1.0 2.0 5.5 11.0 6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 m0-2 m1-2 m2-2 m3-2 m4-2 m5-2 m6-2 m7-2 m8-2 m9-2 m10-2 m11-2 m12-2 m13-2 m14-2 m15-2
Voice Rates : disabled                       Bandwidth : 20 MHz
Signal Strength : -30 dBm                    Connected for : 447 seconds
Signal to Noise : 56 dB                      Activity Timeout : 56 seconds
Power-save : On                              Last Activity : 4 seconds ago
Apsd DE AC(s) : NONE

Packets Input : 1035                         Packets Output : 893
Bytes Input : 151853                         Bytes Output : 661627
Duplicates Rcvd : 1                          Data Retries : 93
Decrypt Failed : 0                           RTS Retries : 0
MIC Failed : 0                               MIC Missing : 0
Packets Redirected: 0                        Redirect Filtered: 0
IP source guard failed : 0                   PPPoE passthrough failed : 0
DAI failed : IP mismatch : 0                    src MAC mismatch : 0 target MAC mismatch : 0
Existing IP failed : 0               New IP failed : 0
11w Status       : Off

# show dot11 webauth-session

وهذا يوضح عنوان MAC وعنوان IPv4 لمصادقة الويب أو تمرير الويب واسم المستخدم إذا تم تكوين SSID لمصادقة الويب.

ap# show dot11 webauth-sessions
c4b3.01d8.5c9d 172.16.0.122  connected

# show dot11 bssid

هذا يعرض BSSIDs المرتبطة بشبكات WLAN لكل واجهة راديو.

ap# show dot11 bssid

Interface      BSSID         Guest  SSID
Dot11Radio0   00c8.8b1b.49f0  Yes  webpassth-autonomous
Dot11Radio1   00c8.8b04.ffb0  Yes  PSK-ex
Dot11Radio1   00c8.8b04.ffb1  Yes  mac-auth

# عرض عرض عرض الجسر

وهذا يوضح العلاقة بين الواجهات الفرعية ومجموعات الجسر.

ap# show bridge verbose

Total of 300 station blocks, 297 free
Codes: P - permanent, S - self


Flood ports (BG 1)           RX count    TX count
Dot11Radio0                         0           0
Dot11Radio1.2401                    0           7
GigabitEthernet0.2401              31         225


Flood ports (BG 242)         RX count    TX count
Dot11Radio1.2402                    0           0
GigabitEthernet0.2402               0           0


Flood ports (BG 243)         RX count    TX count
Dot11Radio1.2403                    0           0
GigabitEthernet0.2403               0           0

  

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

# clear dot11 client aaa.bbbb.cccc

يساعد هذا الأمر في قطع اتصال عميل لاسلكي بالشبكة.

# اسم مستخدم مستخدم مصادقة ويب نقطة 11 واضحة

يساعد هذا الأمر في حذف جلسة مصادقة ويب للمستخدم المحدد.

  

قم بتشغيل أوامر تصحيح الأخطاء هذه للتحقق من عملية المصادقة للعميل:

# debug condition mac-address <H.H.H>
# debug dot11 client
# debug radius authentication
# debug dot11 mgmt ssid
# debug dot11 mgmt interface

PSK

*Apr 16 02:06:47.885: (6c94.f871.3b73): SM: ---Open Authentication 0x9630924: AuthReq (0)SM:    Init (0) --> Auth_not_Assoc (1)
*Apr 16 02:06:47.885: dot11_mgmt: [2A937303] send auth=0, status[0] to dst=6c94.f871.3b73, src=f07f.06f4.4430, bssid=f07f.06f4.4430, seq=2, if=Dot11Radio1
*Apr 16 02:06:47.885: (6c94.f871.3b73): SM: ---Open Authentication 0x9630924: AssocReq (1)SM:    Auth_not_Assoc (1) --> DONT CHANGE STATE (255)
*Apr 16 02:06:47.889: (0000.0000.0000): dot11_mgmt: insert mac 6c94.f871.3b73 into ssid[PSK-ex] tree
 
!----- Authentication frame received from the client and response

*Apr 16 02:06:47.889: (6c94.f871.3b73): SM: ---Open Authentication 0x9630924: IAPP-Resp (3)SM:    IAPP_get (5) --> DONT CHANGE STATE (255)
*Apr 16 02:06:47.889: (6c94.f871.3b73): SM: ---Open Authentication 0x9630924: Drv Add Resp (8)SM:    Drv_Add_InProg (8) --> DONT CHANGE STATE (255)
*Apr 16 02:06:47.889: (0000.0000.0000): dot11_mgmt: [2A937B59] send assoc resp, status[0] to dst=6c94.f871.3b73, aid[1] on Dot11Radio1
 
!------ Association frame received from client and response

*Apr 16 02:06:47.889: (0000.0000.0000): dot11_aaa: Starting wpav2 4-way handshake for PSK or pmk cache supplicant 6c94.f871.3b73
*Apr 16 02:06:47.889: (0000.0000.0000): dot11_aaa: sending eapol to client on BSSID f07f.06f4.4430
*Apr 16 02:06:47.889: (0000.0000.0000): dot11_aaa: [count = 1] Sent PTK msg 1 to client, no timer set
*Apr 16 02:06:47.893: (0000.0000.0000): dot11_aaa: Received wpav2 ptk msg2
*Apr 16 02:06:47.901: (0000.0000.0000): dot11_aaa: sending eapol to client on BSSID f07f.06f4.4430
*Apr 16 02:06:47.901: (0000.0000.0000): dot11_aaa: [count = 1] Sent PTK msg 3 to client, no timer set
*Apr 16 02:06:47.901: (0000.0000.0000): dot11_aaa: Received EAPOL packet from client
*Apr 16 02:06:47.901: (0000.0000.0000): dot11_aaa: wpav2 recv PTK MSG4
*Apr 16 02:06:47.901: (0000.0000.0000): dot11_aaa: 4-way Handshake pass for client
 
!----- Successfull 4-way-handshake 

*Apr 16 02:06:47.901: (0000.0000.0000): dot11_aaa: Sending auth response: 2 for client
*Apr 16 02:06:47.901: (6c94.f871.3b73): SM: ---Open Authentication 0x9630924: AAA Auth OK (5)SM:    AAA_Auth (6) --> Assoc (2)
*Apr 16 02:06:47.901: %DOT11-6-ASSOC: Interface Dot11Radio1, Station   6c94.f871.3b73 Associated KEY_MGMT[WPAv2 PSK]
*Apr 16 02:06:47.901: (0000.0000.0000): dot11_aaa: client Associated
 
!----- Authentication completed

*Apr 16 02:06:50.981: (0000.0000.0000): dot11_mgmt: Updating the client IP (172.16.0.91) to the controller
 
!-------Client's IP address updated on the AP database

802٫1x

 *Apr 14 09:54:03.083: (38b1.db54.26ff): SM: ---Open Authentication 0x9630924: AuthReq (0)SM:    Init (0) --> Auth_not_Assoc (1)
*Apr 14 09:54:03.083: dot11_mgmt: [75F0D029] send auth=0, status[0] to dst=38b1.db54.26ff, src=f07f.06f4.4430, bssid=f07f.06f4.4430, seq=2, if=Dot11Radio1
 
!----- Authentication frame received from the client and response
 

*Apr 14 09:54:03.091: (38b1.db54.26ff): SM: ---Open Authentication 0x9630924: AssocReq (1)SM:    Auth_not_Assoc (1) --> DONT CHANGE STATE (255)
*Apr 14 09:54:03.091: (0000.0000.0000): dot11_mgmt: insert mac 38b1.db54.26ff into ssid[internal-radius] tree
*Apr 14 09:54:03.091: (0000.0000.0000): dot11_mgmt: [75F0F8AE] send assoc resp, status[0] to dst=38b1.db54.26ff, aid[1] on Dot11Radio1
 
!------ Association frame received from client and response


*Apr 14 09:54:03.091: (0000.0000.0000): dot11_aaa: Received dot11_aaa_auth_request for clientSSID: internal-radius, auth_algorithm 0, key_mgmt 1027073
*Apr 14 09:54:03.095: (0000.0000.0000): dot11_aaa: eap list name: eap-method
*Apr 14 09:54:03.095: (0000.0000.0000): dot11_aaa: Send auth request for this client to local Authenticator
*Apr 14 09:54:03.095: (0000.0000.0000): dot11_auth: Sending EAPOL to requestor
*Apr 14 09:54:03.095: (0000.0000.0000): dot11_aaa: Received DOT11_AAA_EAP from Local Authenticator
*Apr 14 09:54:03.095: (0000.0000.0000): dot11_aaa: sending eapol to client on BSSID f07f.06f4.4430
*Apr 14 09:54:05.103: (0000.0000.0000): dot11_aaa: Received EAPOL packet from client

*Apr 14 09:54:05.107: RADIUS(0000003B): Send Access-Request to 172.16.0.48:1812 id 1645/12, len 194
*Apr 14 09:54:05.107: RADIUS:  User-Name           [1]   7   "user1"
.
.
.
*Apr 14 09:54:05.119: RADIUS: Received from id 1645/14 172.16.0.48:1812, Access-Accept, len 214
*Apr 14 09:54:05.119: RADIUS:  User-Name           [1]   28  "user1                     "
 
!------ 802.1x Authentication success

*Apr 14 09:54:05.119: (0000.0000.0000): dot11_auth: Checking for Airespace-Vlan-Name in server attributes
*Apr 14 09:54:05.119: (0000.0000.0000): dot11_auth: Checking for VLAN ID in server attributes
*Apr 14 09:54:05.119: (0000.0000.0000): dot11_auth: Checking for Airespace-Acl-Name in server attributes
*Apr 14 09:54:05.119: (0000.0000.0000): dot11_auth: client authenticated, node_type 64 for application 0x1
 
!------ AP verifies if there is any attribute pushed by the RADIUS server
 

*Apr 14 09:54:05.119: (0000.0000.0000): dot11_aaa: [count = 1] Sent PTK msg 1 to client, no timer set
*Apr 14 09:54:05.123: (0000.0000.0000): dot11_aaa: Received wpav2 ptk msg2
*Apr 14 09:54:05.131: (0000.0000.0000): dot11_aaa: [count = 1] Sent PTK msg 3 to client, no timer set
*Apr 14 09:54:05.131: (0000.0000.0000): dot11_aaa: wpav2 recv PTK MSG4
*Apr 14 09:54:05.131: (0000.0000.0000): dot11_aaa: 4-way Handshake pass for client
*Apr 14 09:54:05.131: (38b1.db54.26ff): SM: ---Open Authentication 0x9630924: AAA Auth OK (5)SM:    AAA_Auth (6) --> Assoc (2)
 
!------ 4-way-handshake process completed
 

*Apr 14 09:54:05.131: %DOT11-6-ASSOC: Interface Dot11Radio1, Station   38b1.db54.26ff Associated KEY_MGMT[WPAv2]
*Apr 14 09:54:05.131: (0000.0000.0000): dot11_aaa: client Associated
 
!----- Authentication completed
 
 

*Apr 14 09:54:05.611: (0000.0000.0000): dot11_mgmt: Updating the client IP (172.16.0.90) to the controller
 
 !-------Client's IP address updated on the AP database

مصادقة MAC

 *Apr 16 03:42:14.819: (2477.033a.e00c): SM: ---Open Authentication 0x947A804: AuthReq (0)SM:    Init (0) --> Auth_not_Assoc (1)
*Apr 16 03:42:14.819: dot11_mgmt: [EE8DFCD2] send auth=0, status[0] to dst=2477.033a.e00c, src=f07f.06f4.4430, bssid=f07f.06f4.4430, seq=2, if=Dot11Radio1
 
!----- Authentication frame received from the client and response
 

*Apr 16 03:42:14.823: (2477.033a.e00c): SM: ---Open Authentication 0x947A804: AssocReq (1)SM:    Auth_not_Assoc (1) --> DONT CHANGE STATE (255)
*Apr 16 03:42:14.823: (0000.0000.0000): dot11_mgmt: insert mac 2477.033a.e00c into ssid[mac-auth] tree
*Apr 16 03:42:14.823: (0000.0000.0000): dot11_mgmt: [EE8E12C4] send assoc resp, status[0] to dst=2477.033a.e00c, aid[1] on Dot11Radio1
 
!------ Association frame received from client and response

*Apr 16 03:42:14.823: (0000.0000.0000): dot11_aaa: Received dot11_aaa_auth_request for clientSSID: mac-auth, auth_algorithm 0, key_mgmt 0
*Apr 16 03:42:14.823: (0000.0000.0000): dot11_aaa: Start local Authenticator request
*Apr 16 03:42:14.823: (0000.0000.0000): dot11_auth: Start auth method MAC

*Apr 16 03:42:14.827: RADIUS(00000050): Send Access-Request to 172.16.0.48:1812 id 1645/81, len 169
*Apr 16 03:42:14.827: RADIUS:  User-Name           [1]   14  "2477033ae00c"
*Apr 16 03:42:14.827: RADIUS:  Calling-Station-Id  [31]  16  "2477.033a.e00c"

*Apr 16 03:42:14.827: RADIUS: Received from id 1645/81 172.16.0.48:1812, Access-Accept, len 116
*Apr 16 03:42:14.827: RADIUS:  User-Name           [1]   28  "2477033ae00c             

!------ MAC Authentication success
 

*Apr 16 03:42:14.827: (0000.0000.0000): dot11_auth: Checking for SSID in server attributes
*Apr 16 03:42:14.827: (0000.0000.0000): dot11_auth: Checking for Airespace-Vlan-Name in server attributes
*Apr 16 03:42:14.827: (0000.0000.0000): dot11_auth: Checking for VLAN ID in server attributes
*Apr 16 03:42:14.827: (0000.0000.0000): dot11_auth: Checking for Airespace-Acl-Name in server attributes
 
!------ AP verifies if there is any attribute pushed by the RADIUS server
 

*Apr 16 03:42:14.827: (0000.0000.0000): dot11_auth: client authenticated, node_type 64 for application 0x1
*Apr 16 03:42:14.827: (0000.0000.0000): dot11_aaa: Received DOT11_AAA_SUCCESS from Local Authenticator
*Apr 16 03:42:14.827: (2477.033a.e00c): SM: ---Open Authentication 0x947A804: AAA Auth OK (5)SM:    AAA_Auth (6) --> Assoc (2)
*Apr 16 03:42:14.827: %DOT11-6-ASSOC: Interface Dot11Radio1, Station   2477.033a.e00c Associated KEY_MGMT[NONE]

!----- Authentication completed
 

*Apr 16 03:42:16.895: (0000.0000.0000): dot11_mgmt: Updating the client IP (172.16.0.92) to the controller
 
 !-------Client's IP address updated on the AP database