تكوين التحقق من مصادقة ويب واستكشاف أخطاء تصفية MAC وإصلاحها

CLI تشكيل:

parameter-map type webauth Web-Filter
 type webauth

CLI تشكيل:

wireless profile policy Web-Filter-Policy
 vlan VLAN2074
 no shutdown

تكوين واجهة سطر الأوامر (CLI)

wlan Mac_Filtering_Wlan 9 Mac_Filtering_Wlan
 mac-filtering network
 radio policy dot11 24ghz
 radio policy dot11 5ghz
 no security ft adaptive
 no security wpa
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 no security wpa akm dot1x
 security web-auth
 security web-auth authentication-list ISE-List
 security web-auth on-macfilter-failure
 security web-auth parameter-map Web-Filter
 no shutdown

CLI تشكيل:

wireless tag policy default-policy-tag
 description "default policy-tag"
wlan Mac_Filtering_Wlan policy Web-Filter-Policy

تكوين واجهة سطر الأوامر (CLI)

radius server ISE-Auth
 address ipv4 10.197.224.122 auth-port 1812 acct-port 1813
 key *****
 server name ISE-Auth

تكوين واجهة سطر الأوامر (CLI)

aaa group server radius ISE-Group
 server name ISE-Auth
 ip radius source-interface Vlan2074
 deadtime 5

تكوين واجهة سطر الأوامر (CLI)

aaa authentication login ISE-List group ISE-Group

تكوين واجهة سطر الأوامر (CLI)

aaa authorization network network group ISE-Group

show wireless tag policy detailed default-policy-tag
Policy Tag Name : default-policy-tag
Description     : default policy-tag
Number of WLAN-POLICY maps: 1
WLAN Profile Name                 Policy Name                            
------------------------------------------------------------------------
Mac_Filtering_Wlan                Web-Filter-Policy 

show wireless profile policy detailed Web-Filter-Policy

Policy Profile Name                 : Web-Filter-Policy
Description                         :
Status                              : ENABLED
VLAN                                : 2074
Multicast VLAN                      : 0

show wlan name Mac_Filtering_Wlan

WLAN Profile Name     : Mac_Filtering_Wlan
================================================
Identifier                                     : 9
Description                                    :
Network Name (SSID)                            : Mac_Filtering_Wlan
Status                                         : Enabled
Broadcast SSID                                 : Enabled
Mac Filter Authorization list name             : network
Webauth On-mac-filter Failure              : Enabled
    Webauth Authentication List Name           : ISE-List
    Webauth Authorization List Name            : Disabled
    Webauth Parameter Map                      : Web-Filter 

show parameter-map type webauth name Web-Filter
Parameter Map Name               : Web-Filter
  Type                           : webauth
  Auth-proxy Init State time     : 120 sec
  Webauth max-http connection    : 100
  Webauth logout-window          : Enabled
  Webauth success-window         : Enabled
  Consent Email                  : Disabled
  Activation Mode                : Replace
  Sleeping-Client                : Disabled
  Webauth login-auth-bypass:

show ip http server status

HTTP server status: Enabled
HTTP server port: 80
HTTP server active supplementary listener ports: 21111 
HTTP server authentication method: local
HTTP server auth-retry 0 time-window 0
HTTP server digest algorithm: md5
HTTP server access class: 0
HTTP server IPv4 access class: None
HTTP server IPv6 access class: None
HTTP server base path:
HTTP File Upload status: Disabled
HTTP server upload path:
HTTP server help root:
Maximum number of concurrent server connections allowed: 300
Maximum number of secondary server connections allowed: 50
Server idle time-out: 180 seconds
Server life time-out: 180 seconds
Server session idle time-out: 600 seconds
Maximum number of requests allowed on a connection: 25
Server linger time : 60 seconds
HTTP server active session modules: ALL
HTTP secure server capability: Present
HTTP secure server status: Enabled
HTTP secure server port: 443 

show ap name AP2-AIR-AP3802I-D-K9-2 tag detail

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Flex Central Switching           IPv4 ACL                         IPv6 ACL
---------------------------------------------------------------------------------------------------------------------------------------------
Mac_Filtering_Wlan               Web-Filter-Policy                2074                             ENABLED                          Not Configured                   Not Configured

show wireless client summary 
Number of Clients: 1
MAC Address    AP Name                                        Type ID   State             Protocol Method     Role
-------------------------------------------------------------------------------------------------------------------------
6c7e.67e3.6db9 AP2-AIR-AP3802I-D-K9-2                         WLAN 9    Webauth Pending   11ac     Web Auth   Local

show wireless client mac-address 6c7e.67e3.6db9 detail
Client MAC Address : 6c7e.67e3.6db9 Client MAC Type : Universally Administered Address
Client DUID: NA
Client IPv4 Address : 10.76.6.150
Client IPv6 Addresses : fe80::10eb:ede2:23fe:75c3
Client Username : 6c7e67e36db9
AP MAC Address : 1880.902b.05e0
AP Name: AP2-AIR-AP3802I-D-K9-2
AP slot : 1
Client State : Associated
Policy Profile : Web-Filter-Policy
Flex Profile : N/A
Wireless LAN Id: 9
WLAN Profile Name: Mac_Filtering_Wlan
Wireless LAN Network Name (SSID): Mac_Filtering_Wlan
BSSID : 1880.902b.05eb

Client ACLs : None
Mac authentication : Failed
Policy Manager State: Webauth Pending
Last Policy Manager State : IP Learn Complete
Client Entry Create Time : 88 seconds
Policy Type : N/A
Encryption Cipher : None

Auth Method Status List
        Method : Web Auth
                Webauth State    : Get Redirect
                Webauth Method   : Webauth 

show wireless client mac-address 6c7e.67e3.6db9 detail

Client ACLs : None
Mac authentication : Failed
Policy Manager State: Run
Last Policy Manager State : Webauth Pending
Client Entry Create Time : 131 seconds
Policy Type : N/A

clear platform condition all

debug wireless mac <H.H.H> monitor-time <Time is seconds>

بعد نسخ المشكلة، قم بتعطيل تصحيح الأخطاء لإيقاف مجموعة تتبع RA.

no debug wireless mac <H.H.H>

بمجرد إيقاف تتبع RA، يتم إنشاء ملف تصحيح الأخطاء في ذاكرة التمهيد الخاصة بوحدة التحكم.

show bootflash: | include ra_trace
2728        179 Jul 17 2024 15:13:54.0000000000 +00:00 ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

نسخ الملف إلى خادم خارجي.

copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://<IP address>/ra-FILENAME.txt

عرض سجل تصحيح الأخطاء:

more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

تمكين تتبع RA في واجهة المستخدم الرسومية،

الخطوة 1: انتقل إلى أستكشاف الأخطاء وإصلاحها > التتبع المشع. حدد الخيار لإضافة إدخال جديد، ثم أدخل عنوان MAC الخاص بالعميل في صفحة إضافة عنوان MAC/IP المخصصة.

التتبع النشط اللاسلكي

التقاط الحزم المضمنة:

انتقل إلى أستكشاف الأخطاء وإصلاحها > التقاط الحزمة. أدخل اسم الالتقاط وحدد عنوان MAC للعميل كمرشح داخلي MAC. اضبط حجم المخزن المؤقت على 100 واختر واجهة الوصلة لمراقبة الحزم الواردة والصادرة.

التقاط حزمة مضمن

ملاحظة: حدد الخيار "مراقبة حركة مرور البيانات" لعرض حركة مرور البيانات التي تمت إعادة توجيهها إلى وحدة المعالجة المركزية للنظام والتي تم دمجها في مستوى البيانات.

حدد "بدء" لالتقاط الحزم

بدء الالتقاط

monitor capture TestPCap inner mac <H.H.H>
monitor capture TestPCap buffer size 100
monitor capture TestPCap interface twoGigabitEthernet 0/0/0 both
monitor capture TestPCap start

<Reporduce the issue>

monitor capture TestPCap stop

show monitor capture TestPCap

Status Information for Capture TestPCap
  Target Type:
 Interface: TwoGigabitEthernet0/0/0, Direction: BOTH
  Status : Inactive
  Filter Details:
  Capture all packets
  Inner Filter Details:
  Mac: 6c7e.67e3.6db9
  Continuous capture: disabled
  Buffer Details:
  Buffer Type: LINEAR (default)
  Buffer Size (in MB): 100
  Limit Details:
  Number of Packets to capture: 0 (no limit)
  Packet Capture duration: 3600
  Packet Size to capture: 0 (no limit)
  Maximum number of packets to capture per second: 1000
  Packet sampling rate: 0 (no sampling)

monitor capture TestPCap export tftp://<IP address>/ TestPCap.pcap

تصدير التقاط الحزمة

وعلى سبيل المثال، خلال مصادقة MAC الناجحة، يتصل جهاز عميل بالشبكة، ويتم التحقق من صحة عنوان MAC الخاص به بواسطة خادم RADIUS من خلال السياسات التي تم تكوينها، وعند التحقق، يتم منح الوصول بواسطة جهاز الوصول إلى الشبكة، مما يسمح باتصال الشبكة.

وبمجرد اقتران العميل، ترسل وحدة التحكم طلب وصول إلى خادم ISE، 

اسم المستخدم هو عنوان MAC للعميل حيث إن هذا هو مصادقة MAB

2024/07/16 21:12:52.711298748 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS: Send Access-Request to 10.197.224.122:1812 id 0/0, len 422
2024/07/16 21:12:52.711310730 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  authenticator 19 c6 63 56 33 a7 e6 b6 - f3 00 70 b0 2a 7f 75 3c
2024/07/16 21:12:52.711326401 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  User-Name           [1]     14  "6c7e67b72d29"
2024/07/16 21:12:52.711329615 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  User-Password       [2]     18  *
2024/07/16 21:12:52.711337331 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  Service-Type        [6]      6  Call Check                [10]
2024/07/16 21:12:52.711340443 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  Vendor, Cisco       [26]    31
2024/07/16 21:12:52.711344513 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:   Cisco AVpair       [1]     25  "service-type=Call Check"
2024/07/16 21:12:52.711349087 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  Framed-MTU          [12]     6  1485                      
2024/07/16 21:12:52.711351935 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  Message-Authenticator[80]    18  ...
2024/07/16 21:12:52.711377387 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  EAP-Key-Name        [102]    2  *
2024/07/16 21:12:52.711382613 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  Vendor, Cisco       [26]    49
2024/07/16 21:12:52.711385989 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:   Cisco AVpair       [1]     43  "audit-session-id=9C064C0A0000227ABE923CE6

يرسل ISE قبول الوصول لأن لدينا إدخال مستخدم صالح 

2024/07/16 21:12:52.779147404 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS: Received from id 1812/0 10.197.224.122:0, Access-Accept, len 115
2024/07/16 21:12:52.779156117 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  authenticator 5d dc 1c e6 d3 82 a3 75 - 07 a1 86 0a 37 e2 e7 65
2024/07/16 21:12:52.779161793 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  User-Name           [1]     19  "6C-7E-67-B7-2D-29"
2024/07/16 21:12:52.779165183 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  Class               [25]    58  ...
2024/07/16 21:12:52.779219803 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  Message-Authenticator[80]    18  ...

2024/07/16 21:12:52.779417578 {wncd_x_R0-0}{1}: [mab] [17765]: (info): [6c7e.67b7.2d29:capwap_90000005] MAB received an Access-Accept for (6c7e.67b7.2d29)
2024/07/16 21:12:52.779436247 {wncd_x_R0-0}{1}: [mab] [17765]: (info): [6c7e.67b7.2d29:capwap_90000005] Received event 'MAB_RESULT' on (6c7e.67b7.2d29)

تم إكمال حالة نهج العميل التي تم نقلها إلى مصادقة Mac

2024/07/16 21:12:52.780181486 {wncd_x_R0-0}{1}: [client-auth] [17765]: (info): MAC: 6c7e.67b7.2d29  Client auth-interface state transition: S_AUTHIF_MAB_AUTH_PENDING -> S_AUTHIF_MAB_AUTH_DONE
2024/07/16 21:12:52.780238297 {wncd_x_R0-0}{1}: [client-orch-sm] [17765]: (debug): MAC: 6c7e.67b7.2d29  Processing MAB authentication result status: 0, CO_AUTH_STATUS_SUCCESS

 العميل في حالة تعلم IP بعد مصادقة MAB الناجحة

2024/07/16 21:12:55.791404789 {wncd_x_R0-0}{1}: [client-orch-state] [17765]: (note): MAC: 6c7e.67b7.2d29  Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
2024/07/16 21:12:55.791739386 {wncd_x_R0-0}{1}: [client-iplearn] [17765]: (info): MAC: 6c7e.67b7.2d29  IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS

2024/07/16 21:12:55.794130301 {iosrp_R0-0}{1}: [buginf] [4440]: (debug): AUTH-FEAT-SISF-EVENT: IP update for MAC f4bd.9e58.424b. New IP 10.76.6.147

تم تحديث حالة مدير نهج العميل إلى RUN، تم تخطي مصادقة ويب للعميل الذي يكمل مصادقة MAB

2024/07/16 21:13:11.210786952 {wncd_x_R0-0}{1}: [errmsg] [17765]: (info): %CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: R0/0: wncd: Username entry (6C-7E-67-B7-2D-29) joined with ssid (Mac_Filtering_Wlan) for device with MAC: 6c7e.67b7.2d29 on channel (136)

التحقق باستخدام التقاط الحزمة المضمنة

حزمة RADIUS

مثال على فشل مصادقة MAC لجهاز عميل

يتم إدخال مصادقة MAC لعميل بعد الاقتران الناجح

2024/07/17 03:20:59.842211775 {wncd_x_R0-0}{1}: [mab] [17765]: (info): [6c7e.67e3.6db9:capwap_90000005] MAB authentication started for 6c7e.67e3.6db9
2024/07/17 03:20:59.842280253 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [17765]: (note): Authentication Success. Resolved Policy bitmap:11 for client 6c7e.67e3.6db9 
2024/07/17 03:20:59.842284313 {wncd_x_R0-0}{1}: [client-auth] [17765]: (info): MAC: 6c7e.67e3.6db9  Client auth-interface state transition: S_AUTHIF_MAB_AUTH_PENDING -> S_AUTHIF_MAB_AUTH_PENDING
2024/07/17 03:20:59.842320572 {wncd_x_R0-0}{1}: [mab] [17765]: (info): [6c7e.67e3.6db9:capwap_90000005] Received event 'MAB_CONTINUE' on (6c7e.67e3.6db9)

سيقوم ISE بإرسال رفض الوصول نظرا لعدم وجود إدخال الجهاز هذا في ISE

2024/07/17 03:20:59.842678322 {wncd_x_R0-0}{1}: [mab] [17765]: (info): [6c7e.67e3.6db9:capwap_90000005] MAB received an Access-Reject for 0xFE00001C (6c7e.67e3.6db9)
2024/07/17 03:20:59.842877636 {wncd_x_R0-0}{1}: [auth-mgr] [17765]: (info): [6c7e.67e3.6db9:capwap_90000005] Method mab changing state from 'Running' to 'Authc Failed'

تم بدء مصادقة ويب لجهاز العميل مع فشل MAB

2024/07/17 03:20:59.843728206 {wncd_x_R0-0}{1}: [client-auth] [17765]: (info): MAC: 6c7e.67e3.6db9  Client auth-interface state transition: S_AUTHIF_MAB_AUTH_FAILED -> S_AUTHIF_L2_WEBAUTH_PENDING

بمجرد أن يقوم العميل بتهيئة طلب HTTP GET، يتم دفع عنوان URL لإعادة التوجيه إلى جهاز العميل حيث يتم انتحال جلسة عمل TCP المطابقة بواسطة وحدة التحكم.

2024/07/17 03:21:37.817434046 {wncd_x_R0-0}{1}: [webauth-httpd] [17765]: (info): capwap_90000005[6c7e.67e3.6db9][    10.76.6.150]Parse GET, src [10.76.6.150] dst [10.76.6.145] url [http://10.76.6.145/auth/discovery?architecture=9]
2024/07/17 03:21:37.817459639 {wncd_x_R0-0}{1}: [webauth-httpd] [17765]: (debug): capwap_90000005[6c7e.67e3.6db9][    10.76.6.150]Parse GET, Redirect to VIP/login.html
2024/07/17 03:21:37.817466483 {wncd_x_R0-0}{1}: [webauth-httpd] [17765]: (debug): capwap_90000005[6c7e.67e3.6db9][    10.76.6.150]Parse GET, Redirect to Virtual IP url [https://192.0.2.1/login.html?redirect=http://10.76.6.145/auth/discovery?architecture=9]
2024/07/17 03:21:37.817482231 {wncd_x_R0-0}{1}: [webauth-state] [17765]: (info): capwap_90000005[6c7e.67e3.6db9][    10.76.6.150]State INIT -> GET_REDIRECT

يقوم العميل بتهيئة HTTP Get إلى URL المعاد توجيهه وبمجرد أن تقوم الصفحة بتحميل بيانات اعتماد تسجيل الدخول التي يتم إرسالها.

يرسل جهاز التحكم طلب وصول إلى ISE

هذه مصادقة ويب حيث يتم ملاحظة اسم مستخدم صالح في حزمة قبول الوصول

2024/07/17 03:22:51.132347799 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS: Send Access-Request to 10.197.224.122:1812 id 0/3, len 457
2024/07/17 03:22:51.132362949 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  authenticator fd 40 0f 7e 35 67 dc 5a - 63 cf ef ae f3 79 ee aa
2024/07/17 03:22:51.132368737 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  Calling-Station-Id  [31]    19  "6c-7e-67-e3-6d-b9"
2024/07/17 03:22:51.132372791 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  User-Name           [1]     10  "testuser"
2024/07/17 03:22:51.132376569 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  Vendor, Cisco       [26]    49

قبول الوصول الذي تم إستلامه من ISE

2024/07/17 03:22:51.187040709 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS: Received from id 1812/3 10.197.224.122:0, Access-Accept, len 106
2024/07/17 03:22:51.187050061 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  authenticator d3 ac 6c f7 a2 a2 17 ca - b4 0f 00 a7 f6 51 0a a4
2024/07/17 03:22:51.187055731 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  User-Name           [1]     10  "testuser"
2024/07/17 03:22:51.187059053 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  Class               [25]    58  ...
2024/07/17 03:22:51.187102553 {wncd_x_R0-0}{1}: [radius] [17765]: (info): RADIUS:  Message-Authenticator[80]    18  ...

تكون مصادقة الويب ناجحة ونقل حالة العميل إلى حالة التشغيل

2024/07/17 03:22:51.193775717 {wncd_x_R0-0}{1}: [errmsg] [17765]: (info): %CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: R0/0: wncd: Username entry (testuser) joined with ssid (Mac_Filtering_Wlan) for device with MAC: 6c7e.67e3.6db9 on channel (136)
2024/07/17 03:22:51.194009423 {wncd_x_R0-0}{1}: [client-orch-state] [17765]: (note): MAC: 6c7e.67e3.6db9  Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RUN

التحقق من خلال التقاط EPC

يقوم العميل بإكمال تأكيد اتصال TCP باستخدام عنوان IP الظاهري لوحدة التحكم ويقوم العميل بتحميل صفحة مدخل إعادة التوجيه. بمجرد أن يقوم المستخدم بإرسال اسم المستخدم وكلمة المرور، يمكننا ملاحظة طلب وصول RADIUS من عنوان IP الخاص بإدارة وحدة التحكم.

بعد المصادقة الناجحة، يتم إغلاق جلسة عمل TCP للعميل وعلى وحدة التحكم يقوم العميل بالانتقال إلى حالة RUN.

تدفق TCP مع حزمة RADIUS

حزمة RADIUS المرسلة إلى ISE مع مسوغات المستخدم

التقاط الأسلاك من جانب العميل للتحقق من إعادة توجيه حركة مرور العميل إلى صفحة المدخل والتحقق من تأكيد تأكيد اتصال TCP إلى عنوان IP الظاهري/خادم الويب لوحدة التحكم

التقاط جانب العميل للتحقق من عنوان URL لإعادة التوجيه

يقوم العميل بإنشاء مصافحة TCP لعنوان IP الظاهري لوحدة التحكم

تأكيد اتصال TCP بين العميل وخادم الويب

تم إغلاق جلسة العمل بعد مصادقة الويب الناجحة،

تم إغلاق جلسة عمل TCP بعد أن يقوم العميل بإكمال مصادقة الويب

مقالة ذات صلة

فهم تصحيح الأخطاء اللاسلكية وتجميع السجل على وحدات التحكم في الشبكة المحلية اللاسلكية Catalyst 9800

المصادقة المستندة إلى الويب على 9800

تكوين مصادقة الويب المحلية على 9800