فهم المصادقة المركزية للويب (CWA) واستكشاف أخطائها وإصلاحها في إعداد إرساء الضيف

المقدمة

يوضح هذا المستند كيفية عمل مصادقة الويب المركزية في إعداد إرساء الضيف وبعض المشكلات الشائعة التي تشاهد في شبكة الإنتاج وكيفية إصلاحها.

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة على كيف أن يشكل موقع مركزي على الشبكة المحلية جهاز تحكم (WLC) لاسلكي.

يقدم هذا المستند خطوات فيما يتعلق بتكوين مصادقة الويب المركزية:
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• WLC 5508 Running، الإصدار 7.6
• محرك خدمات الهوية (ISE) الذي يشغل الإصدار 1.4

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر

تدفق أساسي

يظهر هذا القسم سير العمل الأساسي لمصادقة ويب المركزية في إعداد ارتساء ضيف كما هو موضح في الصورة:

الخطوة 1. يبدأ العميل الاتصال عند إرسال طلب اقتران.

الخطوة 2. تبدأ WLC عملية مصادقة MAC عندما ترسل طلب مصادقة إلى خادم ISE الذي تم تكوينه.

الخطوة 3. استنادا إلى سياسة التخويل التي تم تكوينها على ISE، يتم إرسال رسالة قبول الوصول مرة أخرى إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام عنوان URL المعاد توجيهه وإدخالات قائمة التحكم في الوصول (ACL).

الخطوة 4. يرسل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجي بعد ذلك إستجابة اقتران إلى العميل.

الخطوة 5. يتم تمرير هذه المعلومات من قبل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجي إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) المرسى في رسائل النقل المتنقلة. أنت تحتاج أن يضمن أن ال redirect ACL شكلت على على على حد سواء الربط وقوائم التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجية.

الخطوة 6. في هذه المرحلة، ينتقل العميل إلى حالة "التشغيل" على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجي.

الخطوة 7. بمجرد أن يقوم العميل بتهيئة مصادقة الويب باستخدام عنوان URL في المتصفح، يبدأ المرسى عملية إعادة التوجيه.

الخطوة 8. بمجرد مصادقة العميل بنجاح، ينتقل العميل إلى حالة تشغيل على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للمرسى.

تدفق WebAuth المركزي لمحاولة اتصال العميل الناجحة

يمكنك الآن تحليل التدفق الأساسي الموصوف أعلاه بالتفصيل عند إجراء عمليات تصحيح الأخطاء. تم تجميع هذه الأخطاء على كل من جهة الإرساء ووحدة التحكم في الشبكة المحلية اللاسلكية (WLC) الأجنبية للمساعدة في التحليل الخاص بك:

debug client 00:17:7c:2f:b8:6e 
debug aaa detail enable 
debug mobility handoff enable 
debug web-auth redirect enable mac 00:17:7c:2f:b8:6e

يتم إستخدام هذه التفاصيل هنا:

WLAN name: CWA 
WLAN ID: 5
IP address of anchor WLC: 10.105.132.141
IP address of foreign WLC: 10.105.132.160
Redirect ACL used: REDIRECT
Client MAC address: 00:17:7c:2f:b8:6e
New mobility architecture disabled

الخطوة 1. يبدأ العميل عملية الاتصال عند إرسال طلب اقتران. وهاد الكلام بيشوف على المشرفة الخارجية:

*apfMsConnTask_6: May 08 12:10:35.897: 00:17:7c:2f:b8:6e Association received from mobile on BSSID dc:a5:f4:ec:df:34

الخطوة 2. ترى وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN) أنه تم تعيين شبكة LAN اللاسلكية (WLAN) لمصادقة MAC وتنقل العميل إلى حالة تعليق المصادقة والتفويض والمحاسبة (AAA). كما تبدأ عملية المصادقة عند إرسال طلب مصادقة إلى ISE:

*apfMsConnTask_6: May 08 12:10:35.898: 00:17:7c:2f:b8:6e apfProcessAssocReq (apf_80211.c:8221) Changing state for mobile 00:17:7c:2f:b8:6e on AP dc:a5:f4:ec:df:30 from Idle to AAA Pending
*aaaQueueReader: May 08 12:10:35.898: AuthenticationRequest: 0x2b6bf574

*aaaQueueReader: May 08 12:10:35.898: Callback.....................................0x10166e78
*aaaQueueReader: May 08 12:10:35.898: protocolType.................................0x40000001
*aaaQueueReader: May 08 12:10:35.898: proxyState...................................00:17:7C:2F:B8:6E-00:00

الخطوة 3. في ISE، تم تكوين تجاوز مصادقة MAC وهو يرجع عنوان URL المعاد توجيهه وقائمة التحكم في الوصول بعد مصادقة MAC. يمكنك مشاهدة هذه المعلمات المرسلة في إستجابة التخويل:

*radiusTransportThread: May 08 12:10:35.920: AuthorizationResponse: 0x14c47c58
*radiusTransportThread: May 08 12:10:35.920: structureSize................................320
*radiusTransportThread: May 08 12:10:35.920: resultCode...................................0
*radiusTransportThread: May 08 12:10:35.920: protocolUsed.................................0x00000001
*radiusTransportThread: May 08 12:10:35.920: proxyState...................................00:17:7C:2F:B8:6E-00:00
*radiusTransportThread: May 08 12:10:35.920: Packet contains 5 AVPs:
*radiusTransportThread: May 08 12:10:35.920: AVP[01] User-Name................................00-17-7C-2F-B8-6E (17 bytes)
*radiusTransportThread: May 08 12:10:35.920: AVP[02] State....................................ReauthSession:0a6984a00000004c536bac7b (38 bytes)
*radiusTransportThread: May 08 12:10:35.920: AVP[03] Class....................................CACS:0a6984a00000004c536bac7b:sid-ise-1-2/188796966/38 (54 bytes)
*radiusTransportThread: May 08 12:10:35.920: AVP[04] Cisco / Url-Redirect-Acl.................REDIRECT (8 bytes)
*radiusTransportThread: May 08 12:10:35.920: AVP[05] Cisco / Url-Redirect.....................DATA (91 bytes)
 

يمكنك عرض المعلومات نفسها ضمن سجلات ISE. انتقل إلى عمليات >مصادقة وانقر فوق تفاصيل جلسة عمل العميل كما هو موضح في الصورة:

الخطوة 4. بعد ذلك يقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجي بتغيير الحالة إلى مصادقة L2 بالكامل وإرسال إستجابة الاقتران إلى العميل.

ملاحظة: مع تمكين مصادقة MAC، لا يتم إرسال إستجابة الاقتران حتى يتم إكمال ذلك.

*apfReceiveTask: May 08 12:10:35.921: 00:17:7c:2f:b8:6e 0.0.0.0 AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4) 
*apfReceiveTask: May 08 12:10:35.922: 00:17:7c:2f:b8:6e Sending Assoc Response to station on BSSID dc:a5:f4:ec:df:34 (status 0) ApVapId 5 Slot 0

الخطوة 5: يبدأ الأجنبي بعد ذلك عملية التسليم إلى المرسى. هذا يرى ال debug حركية ميناء إنتاج:

*apfReceiveTask: May 08 12:10:38.799: 00:17:7c:2f:b8:6e Attempting anchor export for mobile 00:17:7c:2f:b8:6e
*apfReceiveTask: May 08 12:10:38.799: 00:17:7c:2f:b8:6e Anchor Export:
Client IP: 0.0.0.0, Anchor IP: 10.105.132.141
*apfReceiveTask: May 08 12:10:38.799: 00:17:7c:2f:b8:6e mmAnchorExportSend: Building UrlRedirectPayload
*apfReceiveTask: May 08 12:10:38.799: 00:17:7c:2f:b8:6e Anchor Export: Sending url redirect acl REDIRECT

الخطوة 6. يمكنك أن ترى أن العميل ينتقل إلى حالة RUN على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجي. يمكن الآن رؤية الحالة الصحيحة للعميل على المرسى فقط. فيما يلي جزء من إخراج show client detail الذي تم تجميعه من الجانب الأجنبي (يتم عرض المعلومات ذات الصلة فقط):

Client MAC Address............................... 00:17:7c:2f:b8:6e
Client Username ................................. 00-17-7C-2F-B8-6E
AP MAC Address................................... dc:a5:f4:ec:df:30
BSSID............................................ dc:a5:f4:ec:df:34
IP Address....................................... Unknown
Gateway Address.................................. Unknown
Netmask.......................................... Unknown
Mobility State................................... Export Foreign
Mobility Anchor IP Address....................... 10.105.132.141
Policy Manager State............................. RUN
Policy Manager Rule Created...................... Yes
AAA Override ACL Name............................ REDIRECT
AAA URL redirect.................................https://10.106.73.98:8443/guestportal/gatewaysessionId=0a6984a00000004c536bac7b&action=cwa

الخطوة 7. يقوم المراقب الأجنبي بتهيئة طلب تسليم مع المرسى. يمكنك الآن رؤية رسائل التسليم أدناه:

*mmListen: May 08 05:52:50.587: 00:17:7c:2f:b8:6e Received Anchor Export request: from Switch IP: 10.105.132.160
*mmListen: May 08 05:52:50.587: 00:17:7c:2f:b8:6e Adding mobile on Remote AP 00:00:00:00:00:00(0)
*mmListen: May 08 05:52:50.587: 00:17:7c:2f:b8:6e mmAnchorExportRcv:, Mobility role is Unassoc
*mmListen: May 08 05:52:50.587: 00:17:7c:2f:b8:6e mmAnchorExportRcv Ssid=cwa Security Policy=0x42000
*mmListen: May 08 05:52:50.587: 00:17:7c:2f:b8:6e mmAnchorExportRcv vapId= 5, Ssid=cwa AnchorLocal=0x0
*mmListen: May 08 05:52:50.588: 00:17:7c:2f:b8:6e mmAnchorExportRcv:Url redirect https://10.106.73.98:8443/guestportal/gateway?sessionId=0a6984a00000004c536bac7b&action=cwa
*mmListen: May 08 05:52:50.588: 00:17:7c:2f:b8:6e Url redirect ACL REDIRECT
 
A handoff acknowledgement message is also sent to the foreign and can be seen in the debugs on foreign:
*mmListen: May 08 12:10:38.802: 00:17:7c:2f:b8:6e Received Anchor Export Ack for client from Switch IP: 10.105.132.141
*mmListen: May 08 12:10:38.802: 00:17:7c:2f:b8:6e Anchor Mac: d0:c2:82:e2:91:60, Old Foreign Mac: 30:e4:db:1b:e0:a0 New Foreign Mac: 30:e4:db:1b:e0:a0
 

الخطوة 8. بعد ذلك تقوم وحدة التحكم في الإرساء بنقل العميل إلى حالة DHCP المطلوبة. بمجرد حصول العميل على عنوان IP، تستمر وحدة التحكم في المعالجة ونقل العميل إلى الحالة المطلوبة ل WebAuth المركزي. يمكنك أن ترى نفس الشيء في مخرجات عرض تفاصيل العميل المجمعة على المرسى:

Client MAC Address............................... 00:17:7c:2f:b8:6e
AP MAC Address................................... 00:00:00:00:00:00
Client State..................................... Associated
Wireless LAN Id.................................. 5
IP Address....................................... 10.105.132.254
Mobility State................................... Export Anchor
Mobility Foreign IP Address...................... 10.105.132.160
Policy Manager State............................. CENTRAL_WEB_AUTH
AAA Override ACL Name............................ REDIRECT
AAA URL redirect................................. https://10.106.73.98:8443/guestportal/gateway?sessionId=0a6984a00000004c536bac7b&action=cwa

الخطوة 9. يبدأ عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجية عملية المحاسبة بمجرد قيامه بنقل العميل إلى حالة التشغيل. ويرسل رسالة بدء المحاسبة إلى ISE:

*aaaQueueReader: May 08 12:10:38.803: AccountingMessage Accounting Start: 0x2b6c0a78
*aaaQueueReader: May 08 12:10:38.803: Packet contains 16 AVPs:
*aaaQueueReader: May 08 12:10:38.803: AVP[01] User-Name................................00-17-7C-2F-B8-6E (17 bytes)

ملاحظة: لا يلزم تكوين المحاسبة إلا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجي.

الخطوة 10. بعد ذلك يقوم المستخدم ببدء عملية إعادة توجيه مصادقة الويب بإدخال عنوان URL في المستعرض. يمكنك رؤية تصحيح الأخطاء ذات الصلة على وحدة التحكم في الإرساء:

*webauthRedirect: May 08 05:53:05.927: 0:17:7c:2f:b8:6e- received connection
*webauthRedirect: May 08 05:53:05.928: captive-bypass detection disabled, Not checking for wispr in HTTP GET, client mac=0:17:7c:2f:b8:6e
*webauthRedirect: May 08 05:53:05.928: 0:17:7c:2f:b8:6e- Preparing redirect URL according to configured Web-Auth type
*webauthRedirect: May 08 05:53:05.928: 0:17:7c:2f:b8:6e: Client configured with AAA overridden redirect URL https://10.106.73.98:8443/guestportal/gateway?sessionId=0a6984a00000004c536bac7b&action=cwa

الخطوة 11. يمكننا أيضا أن نرى أن جزء المصادقة في عملية مصادقة الويب تتم معالجته في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجي وليس في المرساة. يمكنك رؤية نفس الشيء في مخرجات تصحيح الأخطاء AAA على الخارجية:

*aaaQueueReader: May 08 12:11:11.537: AuthenticationRequest: 0x2b6c0a78
*aaaQueueReader: May 08 12:11:11.537: Callback.....................................0x10166e78
*aaaQueueReader: May 08 12:11:11.537: protocolType.................................0x40000001
*aaaQueueReader: May 08 12:11:11.537: proxyState...................................00:17:7C:2F:B8:6E-00:00
*aaaQueueReader: May 08 12:11:11.537: Packet contains 12 AVPs (not shown)
Authorization response from ISE:
*radiusTransportThread: May 08 12:11:11.552: AuthorizationResponse: 0x14c47c58
*radiusTransportThread: May 08 12:11:11.552: structureSize................................252
*radiusTransportThread: May 08 12:11:11.552: resultCode...................................0
*radiusTransportThread: May 08 12:11:11.552: protocolUsed.................................0x00000001
*radiusTransportThread: May 08 12:11:11.552: proxyState...................................00:17:7C:2F:B8:6E-00:00
*radiusTransportThread: May 08 12:11:11.552: Packet contains 6 AVPs:
*radiusTransportThread: May 08 12:11:11.552: AVP[01] User-Name................................isan0001 (8 bytes) -----> (Username used for web authentication)
*radiusTransportThread: May 08 12:11:11.552: AVP[02] State....................................ReauthSession:0a6984a00000004c536bac7b (38 bytes)
*radiusTransportThread: May 08 12:11:11.552: AVP[03] Class....................................CACS:0a6984a00000004c536bac7b:sid-ise-1-2/188796966/40 (54 bytes)
*radiusTransportThread: May 08 12:11:11.552: AVP[04] Session-Timeout..........................0x00006e28 (28200) (4 bytes)
*radiusTransportThread: May 08 12:11:11.552: AVP[05] Termination-Action.......................0x00000000 (0) (4 bytes)
*radiusTransportThread: May 08 12:11:11.552: AVP[06] Message-Authenticator....................DATA (16 bytes)

يمكن التحقق من نفس الشيء على ISE كما هو موضح في الصورة:

الخطوة 12. يتم تمرير هذه المعلومات إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخاص بالمرسى. هذه المصافحة غير مرئية بوضوح في تصحيح الأخطاء ويمكنك أن تجعل هذا من خلال المرسى الذي يطبق سياسة نقل مادة النشر كما هو موضح هنا:

*mmListen: May 08 05:53:23.337: 00:17:7c:2f:b8:6e Received Anchor Export policy update, valid mask 0x900:
Qos Level: 0, DSCP: 0, dot1p: 0 Interface Name: , IPv4 ACL Name:
*mmListen: May 08 05:53:23.337: 00:17:7c:2f:b8:6e Applying post-handoff policy for station 00:17:7c:2f:b8:6e - valid mask 0x900
*mmListen: May 08 05:53:23.337: 00:17:7c:2f:b8:6e QOS Level: -1, DSCP: -1, dot1p: -1,
Data Avg: -1, realtime Avg: -1, Data Burst -1, Realtime Burst -1
*mmListen: May 08 05:53:23.337: 00:17:7c:2f:b8:6e Session: 0, User session: 28200, User elapsed 1
Interface: N/A, IPv4 ACL: N/A, IPv6 ACL: N/A.

أفضل طريقة للتحقق من اكتمال المصادقة هي التحقق من السجلات التي تم تمريرها على ISE وتجميع إخراج تفاصيل show client على وحدة التحكم التي يجب أن تظهر العميل في حالة RUN كما هو موضح هنا:

Client MAC Address............................... 00:17:7c:2f:b8:6e
Client State..................................... Associated
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 5
IP Address....................................... 10.105.132.254
Mobility State................................... Export Anchor
Mobility Foreign IP Address...................... 10.105.132.160
Policy Manager State............................. RUN

تحقق آخر مهم هو حقيقة أن المرسى يرسل بروتوكول تحليل العنوان (ARP) مجاني بعد مصادقة ناجحة:

*pemReceiveTask: May 08 05:53:23.343: 00:17:7c:2f:b8:6e Sending a gratuitous ARP for 10.105.132.254, VLAN Id 20480

من هنا، يكون العميل حرا لإرسال كل أنواع حركة المرور التي تتم إعادة توجيهها إلى الخارج بواسطة وحدة التحكم في الإرساء.

تدفق WebAuth المركزي عند قطع اتصال العميل

عندما يلزم إزالة إدخال عميل من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إما بسبب مهلة جلسة عمل/وضع الخمول أو عندما نقوم بإزالة العميل يدويا من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، تحدث هذه الخطوات:

يرسل WLC الخارجي رسالة إلغاء مصادقة إلى العميل ويجدول لحذفه:

*apfReceiveTask: May 08 12:19:21.199: 00:17:7c:2f:b8:6e apfMsExpireMobileStation (apf_ms.c:6634) Changing state for mobile 00:17:7c:2f:b8:6e on AP dc:a5:f4:ec:df:30 from Associated to Disassociated
*apfReceiveTask: May 08 12:19:21.199: 00:17:7c:2f:b8:6e Sent Deauthenticate to mobile on BSSID dc:a5:f4:ec:df:30 slot 0(caller apf_ms.c:6728

ثم يرسل رسالة محاسبة إيقاف RADIUS لإعلام خادم ISE بأن جلسة مصادقة العميل قد انتهت:

*aaaQueueReader: May 08 12:19:21.199: AccountingMessage Accounting Stop: 0x2b6d5684
*aaaQueueReader: May 08 12:19:21.199: Packet contains 24 AVPs:
*aaaQueueReader: May 08 12:19:21.199: AVP[01] User-Name................................00-17-7C-2F-B8-6E (17 bytes)

كما يرسل رسالة نقل تنقل إلى الربط WLC أن يعلمه أن ينهي الزبون جلسة. يمكن ملاحظة ذلك في تصحيح أخطاء التنقل على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخاص بالارتباط:

*mmListen: May 08 06:01:32.907: 00:17:7c:2f:b8:6e Received Handoff End request for client from Switch IP: 10.105.132.160
*apfReceiveTask: May 08 06:01:32.907: 00:17:7c:2f:b8:6e apfMmProcessResponse: Handoff end rcvd for mobile 00:17:7c:2f:b8:6e, delete mobile. reason code = 0
*apfReceiveTask: May 08 06:01:32.908: 00:17:7c:2f:b8:6e 10.105.132.254 RUN (20) mobility role update request from Export Anchor to Handoff
Peer = 10.105.132.160, Old Anchor = 10.105.132.141, New Anchor = 0.0.0.0
*apfReceiveTask: May 08 06:01:32.908: 00:17:7c:2f:b8:6e apfMmProcessCloseResponse (apf_mm.c:647) Expiring Mobile!
*apfReceiveTask: May 08 06:01:32.908: 00:17:7c:2f:b8:6e Mobility Response: IP 0.0.0.0 code Anchor Close (5), reason Normal disconnect (0), PEM State DHCP_REQD, Role Handoff(6)
*apfReceiveTask: May 08 06:01:32.908: 00:17:7c:2f:b8:6e Deleting mobile on AP 00:00:00:00:00:00(0)

حساب العميل معلق على ISE

يتمتع ISE بالقدرة على إيقاف حساب مستخدم ضيف مؤقتا والذي يشير إلى WLC لإنهاء جلسة عمل العميل. وهذا مفيد للمديرين الذين لا يحتاجون إلى التحقق من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) المتصل به العميل وإنهاء الجلسة ببساطة. يمكنك الآن مشاهدة ما يحدث عندما يتم إيقاف حساب المستخدم الضيف مؤقتا/منتهي الصلاحية على ISE:

يرسل خادم ISE رسالة "تغيير التفويض" إلى وحدة التحكم الأجنبية التي تشير إلى ضرورة إزالة اتصال العميل. ويمكن ملاحظة ذلك في مخرجات تصحيح الأخطاء:

*radiusCoASupportTransportThread: May 13 02:01:53.446: 00:17:7c:2f:b8 :6e apfMsDeleteByMscb Scheduling mobile for deletion with deleteReason 6, reason Code 252
*radiusCoASupportTransportThread: May 13 02:01:53.446: 00:17:7c:2f:b8:6e Schedul ing deletion of Mobile Station: (callerId: 30) in 1 seconds

بعد ذلك ترسل وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) الأجنبية رسالة إلغاء مصادقة إلى العميل:

*apfReceiveTask: May 13 02:01:54.303: 00:17:7c:2f:b8:6e Sent Deauthenticate to mobile on BSSID dc:a5:f4:ec:df:30 slot 0(caller apf_ms.c:5921)

كما أنها ترسل رسالة توقف محاسبة إلى خادم المحاسبة لإنهاء جلسة مصادقة العميل على جانبها:

*aaaQueueReader: May 13 02:01:54.303: AccountingMessage Accounting Stop: 0x2b6d2 c7c
*aaaQueueReader: May 13 02:01:54.303: Packet contains 23 AVPs:
*aaaQueueReader: May 13 02:01:54.303: AVP[01] User-Name................... .............00177c2fb86e (12 bytes)

يتم أيضا إرسال رسالة توصيل إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) المرسى لإنهاء جلسة عمل العميل. أنت يستطيع رأيت هذا على المرساة WLC:

*mmListen: May 12 19:42:52.871: 00:17:7c:2f:b8:6e Received Handoff End request for client from Switch IP: 10.105.132.160
*apfReceiveTask: May 12 19:42:52.872: 00:17:7c:2f:b8:6e apfMmProcessResponse: Handoff end rcvd for mobile 00:17:7c:2f:b8:6e, delete mobile. reason code = 0

أستكشاف أخطاء ويب المركزية وإصلاحها في إعداد تثبيت الضيف

دعنا الآن نلقي نظرة على بعض القضايا المشتركة التي ظهرت عند إستخدام CWA وما يمكن عمله لإصلاحها.

السيناريو 1. تم تثبيت العميل في حالة البدء ولم يحصل على عنوان IP

في سيناريو ويب مركزي منذ تمكين مصادقة MAC، يتم إرسال استجابات الاقتران بعد إكمال مصادقة MAC. في هذه الحالة، إذا كان هناك فشل اتصال بين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) وخادم RADIUS أو كان هناك خطأ تكوين على خادم RADIUS مما يجعله يرسل رفض الوصول، فيمكنك رؤية العميل عالقا في حلقة اقتران حيث يحصل على رفض اقتران بشكل متكرر. كما أن هناك فرصة أيضا لاستبعاد العميل إذا تم تمكين إستبعاد العميل.

يمكن التحقق من إمكانية الوصول إلى خادم RADIUS باستخدام أمر test aaa radius المتوفر في الرمز 8.2 والأعلى.

يوضح الارتباط المرجعي أدناه كيفية إستخدام هذا: 
https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/212473-verify-radius-server-connectivity-with-t.html

السيناريو 2. يتعذر على العميل الحصول على عنوان IP

هناك بعض الأسباب التي قد تؤدي إلى فشل العميل في الحصول على عنوان IP في إعداد تثبيت ضيف CWA.

• تكوين SSID على الارتباط والأجنبي غير متطابق

من المثالي أن يكون تكوين SSID متماثلا بين الارتساء و WLC الخارجي. بعض الجوانب التي يتم إجراء فحص صارم لها هي معلمات تجاوز الأمان L2/L3 و DHCP config و AAA. في حالة أن هذا ليس نفس، يفشل تسليم إلى المرسى ويمكنك أن ترى هذه الرسائل في تصحيح أخطاء المرسى:

DHCP dropping packet due to ongoing mobility handshake exchange, (siaddr 0.0.0.0, mobility state = 'apfMsMmAnchorExportRequested'

للحد من ذلك، تحتاج إلى التأكد من أن تكوين SSID هو نفس الإرساء والأجنبي.

• نفق التنقل بين نقطة الإرساء ومركز التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجي منخفض/مرفرف

يتم إرسال جميع حركة مرور العميل في نفق بيانات التنقل الذي يستخدم بروتوكول IP 97. إذا لم يكن نفق التنقل قيد التشغيل، يمكنك أن ترى أن التسليم غير كامل والعميل لا ينتقل إلى حالة RUN على الخارج. يجب أن تظهر حالة نفق التنقل ك UP ويمكن رؤيتها تحت وحدة التحكم >إدارة التنقل >مجموعات التنقل كما هو موضح في الصورة.

في حالة تعيين وحدة تحكم واحدة فقط كعضو (إما خارجية أو مرساة)، يمكنك أيضا التحقق من إحصائيات التنقل العالمية تحت Monitor >Statistics > Mobility Statistics (إحصائيات التنقل). 

• لم يتم تكوين قائمة التحكم في الوصول (ACL) لإعادة التوجيه على وحدة التحكم في الوصول الخاصة بالمقدمة أو وحدات التحكم الأجنبية:

عندما لا يطابق اسم قائمة التحكم بالوصول (ACL) المعاد توجيهها التي تم إرسالها بواسطة خادم RADIUS ما تم تكوينه على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجي، عندئذ حتى وإن تم إكمال مصادقة MAC، يتم رفض العميل ولا يتابع تنفيذ DHCP. ليس من الضروري تكوين قواعد قائمة التحكم في الوصول (ACL) الفردية حيث يتم إنهاء حركة مرور العميل على المرسى. طالما هناك قائمة تحكم في الوصول (ACL) تم إنشاؤها بنفس اسم قائمة التحكم في الوصول (ACL) لإعادة التوجيه، يتم تسليم العميل إلى المرسى. يحتاج المرسى إلى تكوين اسم قائمة التحكم بالوصول (ACL) والقواعد بشكل صحيح للعميل للانتقال إلى الحالة المطلوبة ل WebAuth.

السيناريو 3. لم يتم إعادة توجيه العميل إلى صفحة ويب

مرة أخرى هناك بعض الأسباب المختلفة التي قد تؤدي إلى فشل عرض صفحة ويب. وترد هنا بعض المسائل المشتركة المتعلقة بالجانب المتعلق بلجنة الاتصال اللاسلكية:

• مشاكل خادم DNS

تعد مشاكل إمكانية الوصول إلى خادم DNS/misconfig أحد أكثر الأسباب شيوعا لفشل العملاء في إعادة التوجيه. كما يمكن أن يكون من الصعب اللحاق بهذا حيث أنه لا يظهر في أي سجلات WLC أو تصحيح الأخطاء. يحتاج المستخدم إلى التحقق مما إذا كان تكوين خادم DNS الذي تم دفعه من خادم DHCP صحيحا وما إذا كان يمكن الوصول إليه من العميل اللاسلكي. يعد بحث DNS البسيط من العميل غير العامل أسهل طريقة للتحقق من ذلك.

• البوابة الافتراضية التي يتعذر الوصول إليها عند إستخدام خادم DHCP الداخلي على نقطة الإرساء:

عندما يستعمل أنت داخلي DHCP نادل، هو مهم أن يضمن أن التقصير-gateway config صحيح وال VLAN سمحت على ال switchport أي يربط إلى الربط WLC. وإذا لم تكن هناك مساحة، فسيحصل العميل على عنوان IP، ولكنه لن يتمكن من الوصول إلى أي شيء. يمكنك التحقق من جدول ARP على العميل للحصول على عنوان MAC للعبارة. هو طريقة سريعة للتحقق من اتصال L2 بالبوابة وأنه يمكن الوصول إليه.