تكوين مصادقة 802.1X باستخدام PEAP و ISE 2.1 و WLC 8.3
المحتويات
المقدمة
يوضح هذا المستند كيفية إعداد شبكة محلية لاسلكية (WLAN) مع تجاوز 802.1x Security and Virtual Local Area Network (VLAN).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- 802٫1x
- بروتوكول المصادقة المتوسع المحمي (PEAP)
- هيئة الشهادات (CA)
- الشهادات
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- WLC v8.3.102.0
- Identity Service Engine (ISE) v2.1
- الكمبيوتر المحمول طراز Windows 10
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
عندما تقوم بإعداد شبكة محلية لاسلكية (WLAN) مع تأمين 802.1x وشبكة محلية ظاهرية (VLAN)، يمكنك التجاوز ببروتوكول المصادقة المتوسع المحمي كبروتوكول مصادقة موسع (EAP).
التكوين
الرسم التخطيطي للشبكة
التكوين
والخطوات العامة هي:
- إظهار خادم RADIUS على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) والعكس للسماح بالاتصال ببعضها البعض.
- قم بإنشاء معرف مجموعة الخدمة (SSID) في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
- قم بإنشاء قاعدة المصادقة على ISE.
- قم بإنشاء ملف تعريف التخويل على ISE.
- قم بإنشاء قاعدة التخويل على ISE.
- قم بتكوين نقطة النهاية.
إعلان خادم RADIUS على WLC
للسماح بالاتصال بين خادم RADIUS وخادم WLC، يلزمك تسجيل خادم RADIUS على WLC والعكس.
GUI:
الخطوة 1. افتح واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) وتصفح للوصول إلى الأمان > RADIUS > المصادقة > جديد كما هو موضح في الصورة.
الخطوة 2. قم بإدخال معلومات خادم RADIUS كما هو موضح في الصورة.
CLI:
> config radius auth add <index> <a.b.c.d> 1812 ascii <shared-key> > config radius auth disable <index> > config radius auth retransmit-timeout <index> <timeout-seconds> > config radius auth enable <index>
<a.b.c.d> يماثل خادم RADIUS.
إنشاء SSID
GUI:
الخطوة 1. افتح واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) وانتقل إلى شبكات WLAN > إنشاء جديد > انتقال كما هو موضح في الصورة.
الخطوة 2. أختر اسم لتوصيف SSID ثم انقر على تطبيق كما هو موضح في الصورة.
CLI:
> config wlan create <id> <profile-name> <ssid-name>
الخطوة 3. قم بتعيين خادم RADIUS إلى شبكة WLAN.
CLI:
> config wlan radius_server auth add <wlan-id> <radius-index>
GUI:
انتقل إلى التأمين > خوادم AAA واختر خادم RADIUS المطلوب، ثم اضغط تطبيق كما هو موضح في الصورة.
الخطوة 4. قم بتمكين السماح بتجاوز AAA وزيادة مهلة الجلسة بشكل إختياري
CLI:
> config wlan aaa-override enable <wlan-id>
> config wlan session-timeout <wlan-id> <session-timeout-seconds>
GUI:
انتقل إلى شبكات WLAN > معرف الشبكة المحلية اللاسلكية (WLAN) > خيارات متقدمة وتمكين السماح بتجاوز AAA. حدد إختياريا مهلة الجلسة كما هو موضح في الصورة.
الخطوة 5. قم بتمكين شبكة WLAN.
CLI:
> config wlan enable <wlan-id>
GUI:
انتقل إلى شبكات WLAN > معرف شبكة WLAN > عام وقم بتمكين SSID كما هو موضح في الصورة.
إعلان WLC على ISE
الخطوة 1. افتح وحدة تحكم ISE وانتقل إلى الإدارة > موارد الشبكة > أجهزة الشبكة > إضافة كما هو موضح في الصورة.
الخطوة 2. قم بإدخال القيم.
وبشكل إختياري، يمكن أن يكون اسم طراز محدد أو إصدار برنامج أو وصف وتعيين مجموعات أجهزة الشبكة استنادا إلى أنواع الأجهزة أو الموقع أو أدوات التحكم في الشبكة المحلية اللاسلكية (WLC).
يتوافق a.b.c.d مع واجهة WLC التي ترسل المصادقة المطلوبة. بشكل افتراضي، تكون هي واجهة الإدارة كما هو موضح في الصورة.
للحصول على مزيد من المعلومات حول مجموعات أجهزة الشبكة:
إنشاء مستخدم جديد على ISE
الخطوة 1. انتقل إلى إدارة > إدارة الهوية > هويات > مستخدمين > إضافة كما هو موضح في الصورة.
الخطوة 2. أدخل المعلومات.
في هذا المثال، ينتمي هذا المستخدم إلى مجموعة تسمى all_accounts، ولكن يمكن ضبطه حسب الحاجة، كما هو موضح في الصورة.
إنشاء قاعدة مصادقة
يتم إستخدام قواعد المصادقة للتحقق من صحة بيانات اعتماد المستخدمين (التحقق من صحة المستخدم إذا كان بالفعل هو الشخص الذي يقولونه)، والحد من طرق المصادقة المسموح باستخدامها من قبل المستخدم.
الخطوة 1. انتقل إلى نهج > مصادقة كما هو موضح في الصورة.
الخطوة 2. قم بإدراج قاعدة مصادقة جديدة كما هو موضح في الصورة.
الخطوة 3. قم بإدخال القيم.
تسمح قاعدة المصادقة هذه لجميع البروتوكولات المدرجة ضمن قائمة الوصول إلى الشبكة الافتراضية. ينطبق هذا على طلب المصادقة لعملاء 802.1x اللاسلكيين، ومع معرف Call-Station، وينتهي مع ISE-SSID كما هو موضح في الصورة.
أختر أيضا مصدر الهوية للعملاء الذين تطابق قاعدة المصادقة هذه. يستخدم هذا المثال قائمة مصدر هوية المستخدمين الداخليين كما هو موضح في الصورة.
بمجرد الإنتهاء، انقر تم وحفظ كما هو موضح في الصورة.
للحصول على مزيد من المعلومات حول مصادر الهوية راجع هذا الارتباط:
إنشاء ملف تعريف التفويض
يحدد ملف تعريف التخويل ما إذا كان لديك حق وصول إلى الشبكة أم لا. دفع قوائم التحكم في الوصول (ACLs) أو تجاوز شبكة VLAN أو أي معلمة أخرى. يرسل ملف تعريف التخويل الظاهر في هذا المثال قبول وصول إليك، ويعين شبكة VLAN 2404.
الخطوة 1. انتقل إلى السياسة > عناصر السياسة > النتائج كما هو موضح في الصورة.
الخطوة 2. إضافة ملف تعريف تخويل جديد. انتقل إلى تخويل > تخويل ملفات تخصيص > إضافة كما هو موضح في الصورة.
الخطوة 3. قم بإدخال القيم كما هو موضح في الصورة.
إنشاء قاعدة تخويل
قاعدة التخويل هي القاعدة المسؤولة عن تحديد الأذون (أي ملف تعريف التخويل) التي يتم تطبيقها عليك.
الخطوة 1. انتقل إلى نهج > تفويض كما هو موضح في الصورة.
الخطوة 2. قم بإدراج قاعدة جديدة كما هو موضح في الصورة.
الخطوة 3. قم بإدخال القيم.
أولا، حدد اسم للقاعدة ومجموعة الهوية حيث يتم تخزين المستخدم (ALL_ACCOUNTS) كما هو موضح في الصورة.
بعد ذلك، حدد الشروط الأخرى التي تتسبب في وقوع عملية التخويل في هذه القاعدة. في هذا المثال، تتجاوز عملية التخويل هذه القاعدة إذا كانت تستخدم 802.1x Wireless وينتهي معرف المحطة المتصل به ب ISE-SSID كما هو موضح في الصورة.
وأخيرا، حدد ملف تعريف التخويل الذي تم تعيينه لك والذي يقوم بالوصول إلى هذه القاعدة. انقر فوق تم وحفظ كما هو موضح في الصورة.
تكوين الجهاز الطرفي
قم بتكوين جهاز كمبيوتر محمول يعمل بنظام التشغيل Windows 10 للاتصال بمعرف SSID بمصادقة 802. 1x وبروتوكول PEAP/MS-CHAPv2 (إصدار Microsoft من بروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي) الإصدار 2.
في مثال التكوين هذا، يستخدم ISE شهادته الموقعة ذاتيا لتنفيذ المصادقة.
لإنشاء ملف تعريف WLAN على جهاز Windows، هناك خياران:
- قم بتثبيت الشهادة الموقعة ذاتيا على الجهاز للتحقق من الصحة، وثقة في خادم ISE من أجل إكمال المصادقة.
- تجاوز التحقق من خادم RADIUS، والثقة في أي خادم RADIUS يستخدم لإجراء المصادقة (غير مستحسن، كما يمكن أن يصبح مشكلة تأمين).
يتم شرح التكوين لهذه الخيارات في تكوين الجهاز الطرفي - إنشاء ملف تعريف WLAN - الخطوة 7.
إنهاء تكوين الجهاز - تثبيت شهادة ISE الموقعة ذاتيا
الخطوة 1. تصدير الشهادة الموقعة ذاتيا.
سجل الدخول إلى ISE وانتقل إلى إدارة > نظام > شهادات > شهادات النظام.
ثم أختر الشهادة المستخدمة لمصادقة EAP وانقر تصدير كما هو موضح في الصورة.
قم بحفظ الشهادة في الموقع المطلوب. يجب تثبيت هذه الشهادة على جهاز Windows كما هو موضح في الصورة.
الخطوة 2. قم بتثبيت الشهادة في جهاز Windows.
انسخ الشهادة المصدرة من ISE إلى جهاز Windows، وغير امتداد الملف من .pem إلى .crt، ثم انقر نقرا مزدوجا لتثبيته كما هو موضح في الصورة.
الخطوة 3. حدد تثبيته في الجهاز المحلي وانقر فوق التالي كما هو موضح في الصورة.
الخطوة 4. حدد وضع كل الشهادات في هذا المتجر، ثم استعرض وحدد مراجع التصديق الجذر الموثوق فيها. بعد ذلك، انقر التالي كما هو موضح في الصورة.
الخطوة 5. ثم انقر فوق إنهاء كما هو موضح في الصورة.
الخطوة 6. تأكيد تثبيت الشهادة. انقر على نعم كما هو موضح في الصورة.
الخطوة 7. أخيرا، انقر موافق كما هو موضح في الصورة.
إنهاء تكوين الجهاز - إنشاء ملف تعريف WLAN
الخطوة 1. انقر بزر الماوس الأيمن على أيقونة البدء وحدد لوحة التحكم كما هو موضح في الصورة.
الخطوة 2. انتقل إلى الشبكة والإنترنت، وبعد ذلك انتقل إلى مركز الشبكات والمشاركة، وانقر فوق إعداد اتصال أو شبكة جديدة كما هو موضح في الصورة.
الخطوة 3. حدد التوصيل يدويا بشبكة لاسلكية، ثم انقر على التالي كما هو موضح في الصورة.
الخطوة 4. أدخل المعلومات باسم SSID ونوع التأمين WPA2-Enterprise وانقر التالي كما هو موضح في الصورة.
الخطوة 5. حدد تغيير إعدادات الاتصال لتخصيص تكوين ملف تعريف WLAN كما هو موضح في الصورة.
الخطوة 6. انتقل إلى علامة التبويب الأمان وانقر فوق الإعدادات كما هو موضح في الصورة.
الخطوة 7. حدد ما إذا كان خادم RADIUS تم التحقق منه أم لا.
إذا كانت الإجابة بنعم، فقم بتمكين التحقق من هوية الخادم من خلال التحقق من صحة الشهادة ومن المراجع المصدقة الجذر الموثوق بها: تحدد القائمة شهادة ISE الموقعة ذاتيا.
بعد ذلك، حدد تكوين وتعطيل إستخدام اسم وكلمة مرور تسجيل الدخول على Windows تلقائيا...، ثم انقر على موافق كما هو موضح في الصور.
الخطوة 8. قم بتكوين مسوغات المستخدم.
بمجرد الرجوع إلى علامة التبويب الأمان، حدد إعدادات متقدمة، حدد وضع المصادقة كمصادقة للمستخدم، واحفظ بيانات الاعتماد التي تم تكوينها على ISE لمصادقة المستخدم كما هو موضح في الصور.
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
يمكن التحقق من تدفق المصادقة من WLC أو من منظور ISE.
عملية المصادقة على WLC
ركضت الأمر تالي in order to راقبت المصادقة عملية لمستخدم خاص:
> debug client <mac-add-client> > debug dot1x event enable > debug dot1x aaa enable
مثال للمصادقة الناجحة (تم حذف بعض المخرجات):
*apfMsConnTask_1: Nov 24 04:30:44.317: e4:b3:18:7c:30:58 Processing assoc-req station:e4:b3:18:7c:30:58 AP:00:c8:8b:26:2c:d0-00 thread:1a5cc288
*apfMsConnTask_1: Nov 24 04:30:44.317: e4:b3:18:7c:30:58 Reassociation received from mobile on BSSID 00:c8:8b:26:2c:d1 AP AP-1700-sniffer
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 Applying Interface(management) policy on Mobile, role Unassociated. Ms NAC State 0 Quarantine Vlan 0 Access Vlan 0
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 Applying site-specific Local Bridging override for station e4:b3:18:7c:30:58 - vapId 2, site 'default-group', interface 'management'
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 Applying Local Bridging Interface Policy for station e4:b3:18:7c:30:58 - vlan 2400, interface id 0, interface 'management'
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 RSN Capabilities: 60
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 Marking Mobile as non-e4:b3:18:7c:30:58 Received 802.11i 802.1X key management suite, enabling dot1x Authentication11w Capable
*apfMsConnTask_1: Nov 24 04:30:44.318: e4:b3:18:7c:30:58 Received RSN IE with 1 PMKIDs from mobile e4:b3:18:7c:30:58
*apfMsConnTask_1: Nov 24 04:30:44.319: Received PMKID: (16)
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 Searching for PMKID in MSCB PMKID cache for mobile e4:b3:18:7c:30:58
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 No valid PMKID found in the MSCB PMKID cache for mobile e4:b3:18:7c:30:58
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 0.0.0.0 START (0) Initializing policy
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state START (0)
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state AUTHCHECK (2)
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 0.0.0.0 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 00:c8:8b:26:2c:d0 vapId 2 apVapId 2 flex-acl-name:
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 apfMsAssoStateInc
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 apfPemAddUser2 (apf_policy.c:437) Changing state for mobile e4:b3:18:7c:30:58 on AP 00:c8:8b:26:2c:d0 from Idle to Associated
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 apfPemAddUser2:session timeout forstation e4:b3:18:7c:30:58 - Session Tout 0, apfMsTimeOut '0' and sessionTimerRunning flag is 0
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 Stopping deletion of Mobile Station: (callerId: 48)
*apfMsConnTask_1: Nov 24 04:30:44.319: e4:b3:18:7c:30:58 Func: apfPemAddUser2, Ms Timeout = 0, Session Timeout = 0
*apfMsConnTask_1: Nov 24 04:30:44.320: e4:b3:18:7c:30:58 Sending Assoc Response to station on BSSID 00:c8:8b:26:2c:d1 (status 0) ApVapId 2 Slot 0
*spamApTask2: Nov 24 04:30:44.323: e4:b3:18:7c:30:58 Successful transmission of LWAPP Add-Mobile to AP 00:c8:8b:26:2c:d0
*spamApTask2: Nov 24 04:30:44.325: e4:b3:18:7c:30:58 Received ADD_MOBILE ack - Initiating 1x to STA e4:b3:18:7c:30:58 (idx 55)
*spamApTask2: Nov 24 04:30:44.325: e4:b3:18:7c:30:58 Sent dot1x auth initiate message for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 reauth_sm state transition 0 ---> 1 for mobile e4:b3:18:7c:30:58 at 1x_reauth_sm.c:47
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 EAP-PARAM Debug - eap-params for Wlan-Id :2 is disabled - applying Global eap timers and retries
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 Disable re-auth, use PMK lifetime.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 Station e4:b3:18:7c:30:58 setting dot1x reauth timeout = 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 Stopping reauth timeout for e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 dot1x - moving mobile e4:b3:18:7c:30:58 into Connecting state
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.326: e4:b3:18:7c:30:58 Sending EAP-Request/Identity to mobile e4:b3:18:7c:30:58 (EAP Id 1)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 Received EAPOL EAPPKT from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 Received Identity Response (count=1) from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 Resetting reauth count 1 to 0 for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 EAP State update from Connecting to Authenticating for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 dot1x - moving mobile e4:b3:18:7c:30:58 into Authenticating state
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 Entering Backend Auth Response state for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.380: e4:b3:18:7c:30:58 Created Acct-Session-ID (58366cf4/e4:b3:18:7c:30:58/367) for the mobile
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.386: e4:b3:18:7c:30:58 Processing Access-Challenge for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.387: e4:b3:18:7c:30:58 Entering Backend Auth Req state (id=215) for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.387: e4:b3:18:7c:30:58 WARNING: updated EAP-Identifier 1 ===> 215 for STA e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.387: e4:b3:18:7c:30:58 Sending EAP Request from AAA to mobile e4:b3:18:7c:30:58 (EAP Id 215)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.387: e4:b3:18:7c:30:58 Allocating EAP Pkt for retransmission to mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.390: e4:b3:18:7c:30:58 Received EAPOL EAPPKT from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.390: e4:b3:18:7c:30:58 Received EAP Response from mobile e4:b3:18:7c:30:58 (EAP Id 215, EAP Type 3)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.390: e4:b3:18:7c:30:58 Resetting reauth count 0 to 0 for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.390: e4:b3:18:7c:30:58 Entering Backend Auth Response state for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.393: e4:b3:18:7c:30:58 Processing Access-Challenge for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.393: e4:b3:18:7c:30:58 Entering Backend Auth Req state (id=216) for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.393: e4:b3:18:7c:30:58 Sending EAP Request from AAA to mobile e4:b3:18:7c:30:58 (EAP Id 216)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.393: e4:b3:18:7c:30:58 Reusing allocated memory for EAP Pkt for retransmission to mobile e4:b3:18:7c:30:58
.
.
.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Processing Access-Accept for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Resetting web IPv4 acl from 255 to 255
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Resetting web IPv4 Flex acl from 65535 to 65535
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Username entry (user1) created for mobile, length = 253
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Found an interface name:'vlan2404' corresponds to interface name received: vlan2404
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 override for default ap group, marking intgrp NULL
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Applying Interface(management) policy on Mobile, role Unassociated. Ms NAC State 2 Quarantine Vlan 0 Access Vlan 2400
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.530: e4:b3:18:7c:30:58 Re-applying interface policy for client
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 apfApplyWlanPolicy: Apply WLAN Policy over PMIPv6 Client Mobility Type, Tunnel User - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Inserting AAA Override struct for mobile
MAC: e4:b3:18:7c:30:58, source 4
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Applying override policy from source Override Summation: with value 200
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Found an interface name:'vlan2404' corresponds to interface name received: vlan2404
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Applying Interface(vlan2404) policy on Mobile, role Unassociated. Ms NAC State 2 Quarantine Vlan 0 Access Vlan 2400
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Re-applying interface policy for client
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Setting re-auth timeout to 0 seconds, got from WLAN config.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Station e4:b3:18:7c:30:58 setting dot1x reauth timeout = 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Stopping reauth timeout for e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Creating a PKC PMKID Cache entry for station e4:b3:18:7c:30:58 (RSN 2)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Resetting MSCB PMK Cache Entry 0 for station e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Adding BSSID 00:c8:8b:26:2c:d1 to PMKID cache at index 0 for station e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: New PMKID: (16)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: [0000] cc 3a 3d 26 80 17 8b f1 2d c5 cd fd a0 8a c4 39
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 unsetting PmkIdValidatedByAp
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Updating AAA Overrides from local for station
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Adding Audit session ID payload in Mobility handoff
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 0 PMK-update groupcast messages sent
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 PMK sent to mobility group
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Disabling re-auth since PMK lifetime can take care of same.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.531: e4:b3:18:7c:30:58 Sending EAP-Success to mobile e4:b3:18:7c:30:58 (EAP Id 223)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Freeing AAACB from Dot1xCB as AAA auth is done for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 key Desc Version FT - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Found an cache entry for BSSID 00:c8:8b:26:2c:d1 in PMKID cache at index 0 of station e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: Including PMKID in M1 (16)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: [0000] cc 3a 3d 26 80 17 8b f1 2d c5 cd fd a0 8a c4 39
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: M1 - Key Data: (22)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: [0000] dd 14 00 0f ac 04 cc 3a 3d 26 80 17 8b f1 2d c5
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: [0016] cd fd a0 8a c4 39
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Starting key exchange to mobile e4:b3:18:7c:30:58, data packets will be dropped
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Sending EAPOL-Key Message to mobile e4:b3:18:7c:30:58
state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Reusing allocated memory for EAP Pkt for retransmission to mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Entering Backend Auth Success state (id=223) for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 Received Auth Success while in Authenticating state for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.532: e4:b3:18:7c:30:58 dot1x - moving mobile e4:b3:18:7c:30:58 into Authenticated state
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.547: e4:b3:18:7c:30:58 Received EAPOL-Key from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.547: e4:b3:18:7c:30:58 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.547: e4:b3:18:7c:30:58 key Desc Version FT - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.547: e4:b3:18:7c:30:58 Received EAPOL-key in PTK_START state (message 2) from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Successfully computed PTK from PMK!!!
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Received valid MIC in EAPOL Key Message M2!!!!!
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Not Flex client. Do not distribute PMK Key cache.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Stopping retransmission timer for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 key Desc Version FT - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Sending EAPOL-Key Message to mobile e4:b3:18:7c:30:58
state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Reusing allocated memory for EAP Pkt for retransmission to mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Received EAPOL-Key from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Ignoring invalid EAPOL version (1) in EAPOL-key message from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 key Desc Version FT - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Stopping retransmission timer for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Freeing EAP Retransmit Bufer for mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 apfMs1xStateInc
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 apfMsPeapSimReqCntInc
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 apfMsPeapSimReqSuccessCntInc
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Mobility query, PEM State: L2AUTHCOMPLETE
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Building Mobile Announce :
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Building Client Payload:
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Client Ip: 0.0.0.0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Client Vlan Ip: 172.16.0.134, Vlan mask : 255.255.255.224
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Client Vap Security: 16384
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Virtual Ip: 10.10.10.10
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 ssid: ise-ssid
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Building VlanIpPayload.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Not Using WMM Compliance code qosCap 00
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:c8:8b:26:2c:d0 vapId 2 apVapId 2 flex-acl-name:
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state L2AUTHCOMPLETE (4)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6677, Adding TMP rule
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule
type = Airespace AP - Learn IP address
on AP 00:c8:8b:26:2c:d0, slot 0, interface = 1, QOS = 0
IPv4 ACL ID = 255, IPv
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 12 Local Bridging Vlan = 2400, Local Bridging intf id = 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) AVC Ratelimit: AppID = 0 ,AppAction = 0, AppToken = 15206 AverageRate = 0, BurstRate = 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Successfully Plumbed PTK session Keysfor mobile e4:b3:18:7c:30:58
*spamApTask2: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Successful transmission of LWAPP Add-Mobile to AP 00:c8:8b:26:2c:d0
*pemReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) mobility role update request from Unassociated to Local
Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 172.16.0.3
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=Local, client state=APF_MS_STATE_ASSOCIATED
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6315, Adding TMP rule
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Replacing Fast Path rule
IPv4 ACL ID = 255,
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 12 Local Bridging Vlan = 2400, Local Bridging intf id = 0
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) AVC Ratelimit: AppID = 0 ,AppAction = 0, AppToken = 15206 AverageRate = 0, BurstRate = 0
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255)
*pemReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 Sent an XID frame
*dtlArpTask: Nov 24 04:30:47.932: e4:b3:18:7c:30:58 Static IP client associated to interface vlan2404 which can support client subnet.
*dtlArpTask: Nov 24 04:30:47.933: e4:b3:18:7c:30:58 apfMsRunStateInc
*dtlArpTask: Nov 24 04:30:47.933: e4:b3:18:7c:30:58 172.16.0.151 DHCP_REQD (7) Change state to RUN (20) last state DHCP_REQD (7)
لقراءة مخرجات عميل تصحيح الأخطاء بطريقة سهلة، أستخدم أداة محلل تصحيح الأخطاء اللاسلكية:
Wireless Debug Analyzer (محلل التصحيح اللاسلكي)
عملية المصادقة على ISE
انتقل إلى العمليات > RADIUS > السجلات المباشرة لمعرفة نهج المصادقة ونهج التخويل وملف تعريف التخويل الذي تم تعيينه للمستخدم.
لمزيد من المعلومات، انقر فوق تفاصيل لعرض عملية مصادقة أكثر تفصيلا كما هو موضح في الصورة.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
4.0 |
26-Aug-2024 |
تم تحديث عنواني URLs مقطوعين. |
3.0 |
17-Apr-2023 |
نص بديل مضاف.
PII المحدث والجراثيم والترجمة الآلية ومتطلبات النمط والتنسيق. |
1.0 |
10-Mar-2017 |
الإصدار الأولي |
التعليقات