Fehlerbehebung bei Identity-Based Networking Services (IBNS) 2.0

Download-Optionen

  • PDF     (209.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (125.1 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (120.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. Juli 2016
Dokument-ID:200570

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument beschreibt das Verfahren zur Fehlerbehebung bei Authentifizierungen auf Switches, die Identity-Based Networking Services (IBNS) 2.0 verwenden.

Voraussetzungen

Anforderungen

Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

  • Identity Service Engine (ISE)
  • IEEE 802.1X-Konzepte (dot1X)
  • MAB (MAC Authentication Bypass)

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf diesen Software- und Hardwareversionen, sind jedoch nicht auf Folgendes beschränkt:

  • Cisco Switch - C3750X-48PF-S mit IOS 15.2.1E3(ED)
  • Identity Service Engine 2.1

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Hintergrundinformationen

IBNS 2.0 ist eine neue Policy Engine, die den herkömmlichen Auth-Manager ersetzt. Sie ist mit erweiterten Funktionen ausgestattet, die eine flexible Konfiguration mit der Cisco Common Classification Policy Language (C3PL) ermöglichen. IBNS 2.0, der Access Session Manager, bietet Administratoren Optionen zum Konfigurieren von Richtlinien und Aktionen basierend auf bestimmten Bedingungen und Endpunktereignissen. Anstelle regulärer Bedingungen wird C3PL verwendet, um die Authentifizierungsbedingungen, Parameter und Aktionen zu definieren. Weitere Informationen zu IBNS 2.0 finden Sie unter dem Link im Abschnitt "Related Information" (Zugehörige Informationen).

Es gibt verschiedene Arten von Richtlinienzuordnungen, die für verschiedene Zwecke verwendet werden. Dieser Absatz konzentriert sich auf den Abonnententyp. Eine politische Karte enthält drei Abschnitte.

  • Ereignisabschnitt
  • Klassenabschnitt
  • Aktionsbereich

Sie folgen der Hierarchie Event > Class > Action. Wenn eine Richtlinienzuordnung auf eine Schnittstelle angewendet wird, werden alle in der Richtlinienzuordnung definierten Ereignisse ausgewertet. Basierend auf dem aktuellen Ereignis wird die in der Richtlinienzuordnung definierte entsprechende Aktion auf Schnittstellenebene angewendet.

Nach dem Zuordnen des Ereignisses besteht die Möglichkeit, die Klassen anhand des Ereignisses/der Methode/des Ergebnisses der Authentifizierung/Autorisierung zu bewerten. Die Ergebnisse dieser Klassen können IMMER EXECUTE sein oder in zusätzlichen Klassenzuordnungen aufgerufen werden.

Im Aktionsbereich können folgende wichtige Maßnahmen ergriffen werden:

  • Angeben einer Authentifizierungsmethode mit Priorität

     event session-started match-all
  10 class 
         
          do-until-failure
   10 authenticate using 
         
          priority
  • Angeben einer Authentifizierungsmethodenliste für eine bestimmte Authentifizierungsmethode

    event session-started match-all
  10 class 
         
          do-until-failure
   10 authenticate using 
         
          aaa authc-list
  • Angeben einer Autorisierungsmethodenliste für eine Authentifizierungsmethode

    event session-started match-all
  10 class 
         
          do-until-failure
   10 authenticate using 
         
          aaa authz-list
  • Anzahl der Wiederholungen angeben

    event session-started match-all
  10 class 
         
          do-until-failure
   10 authenticate using 
         
          retries
  • Ersetzen der vorhandenen Authentifizierungs-/Autorisierungsdaten durch neue Authentifizierungs-/Autorisierungsdaten

    event timer-expiry match-all
  10 class 
         
          do-until-failure
   10 authenticate using 
         
          replace aaa
  • Force-Autorisierung

    event session-started match-all
  10 class 
         
          do-until-failure
   10 authorize
  • Unautorisierung erzwingen 
    event timer-expiry match-all
  10 class 
         
          do-until-failure
   10 unauthorize
  • Aktivieren einer Servicevorlage

    event timer-expiry match-all
  10 class 
         
          do-until-failure
   10 activate service-template

In den herkömmlichen IOS-Switches gab es keine Option, eine Methodenliste speziell für eine authentifizierte Sitzung anzuwenden. IBNS 2.0 stellt diese Funktion mithilfe von Service-Vorlagen bereit. Die Service-Vorlage wird lokal auf dem Switch konfiguriert und nach erfolgreicher Sitzungsautorisierung angewendet. Es besteht auch die Möglichkeit, die erforderliche Service-Vorlage von einem AAA-Server aus zu übertragen.

Das Radius-Attribut, das für die gleiche Aufgabe verwendet wird, ist subscriptor:service-name = <Name der Dienstvorlage>. In Identity Service Engine (ISE) können Sie das Autorisierungsprofil genau mit der auf dem Switch konfigurierten lokalen Servicevorlage benennen und das Kontrollkästchen Service Template aktivieren. Dieses Autorisierungsprofil kann zusammen mit jedem anderen Autorisierungsprofil als Autorisierungsergebnis weitergegeben werden. 

Im Autorisierungsergebnisbericht ist ein Cisco-AV-Paar mit dem Namen Subscriber:service-name = <Name der Servicevorlage> enthalten. Dies weist darauf hin, dass der Switch benachrichtigt wurde, dass er die Servicevorlage für diese Sitzung übernehmen soll.

Das folgende Bild zeigt die genaue Bedeutung jeder Entität einer Beispiel-Richtlinienzuordnung.

200570-Troubleshoot-Identity-Based-Networking-S-00.jpeg

Konfigurieren

AAA-Konfiguration

aaa new-model
aaa authentication dot1x default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting identity default start-stop group radius
aaa session-id common 

dot1x system-auth-control

RADIUS-Serverkonfiguration 

radius server ise
 address ipv4 X.X.X.X auth-port 1812 acct-port 1813
 automate-tester username probe-user
 key XXXXXXXXXX

Konfiguration der Richtlinienzuweisung

policy-map type control subscriber Inter_Gi_3/0/48
 event session-started match-all           //On session-start event
  10 class always do-until-failure         //Both mab and dot1x start at the same time
   10 authenticate using dot1x priority 10
   20 authenticate using mab priority 20
 event authentication-failure match-first  //On authentication event failure
  10 class DOT1X_NO_RESP do-until-failure  //If dot1x fails
   10 terminate dot1x
   20 authenticate using mab priority 20
  20 class MAB_FAILED do-until-failure     //If mab fails
   10 terminate mab
   20 authentication-restart 60
  30 class always do-until-failure         //If both mab and dot1x fail
   10 terminate dot1x
   20 terminate mab
   30 authentication-restart 60
 event agent-found match-all               //On dot1x agent found event
  10 class always do-until-failure         
   10 terminate mab
   20 authenticate using dot1x priority 10

Klassenzuordnungen - Konfiguration

class-map type control subscriber match-all DOT1X_NO_RESP //If dot1x and no response from client
 match method dot1x
 match result-type method dot1x agent-not-found

class-map type control subscriber match-all MAB_FAILED    //On mab failure
 match method mab
 match result-type method mab authoritative

Schnittstellenkonfiguration

interface GigabitEthernet3/0/48
 description ** Access Port **
 switchport access vlan 100
 switchport mode access
 switchport voice vlan 10
 ip access-group IPV4-PRE-AUTH-ACL in
 access-session port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
 service-policy type control subscriber Inter_Gi_3/0/48

Fehlerbehebung

Die beste Methode zur Fehlerbehebung besteht darin, die funktionierenden Protokolle und die nicht funktionierenden Protokolle zu vergleichen. Auf diese Weise ist der genaue Schritt bekannt, in dem der Prozess fehlschlug. Es gibt einige DebuggingInnen, die aktiviert werden müssen, um Probleme mit dem Makro-/Dot1x-Code zu beheben. Hier sind die Befehle zum Aktivieren dieser Debuggen.

  • debuggen aaa authentication
  • debuggen aaa autorisierung
  • debuggen mab all
  • debug dot1x alle
  • Debug-Radius

Hier sind die Arbeitsprotokolle mit dot1x und mab gleichzeitig aktiviert.

debuggen mab all 

mab-ev: [28d2.4496.5376, Gi3/0/48] Received MAB context create from AuthMgr // New mac-address detected
mab-ev: MAB authorizing 28d2.4496.5376 //mab authorization event should start
mab-ev: Created MAB client context 0xB0000001
mab : initial state mab_initialize has enter //Initialize mab
mab-ev: [28d2.4496.5376, Gi3/0/48] Sending create new context event to EAP from MAB for 0xB0000001 (28d2.4496.5376)
mab-ev: [28d2.4496.5376, Gi3/0/48] MAB authentication started for 0x0782A870 (28d2.4496.5376) //mab authentication initialized
%AUTHMGR-5-START: Starting 'mab' for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003300C586C2
mab-ev: [28d2.4496.5376, Gi3/0/48] Invalid EVT 9 from EAP 
mab-sm: [28d2.4496.5376, Gi3/0/48] Received event 'MAB_CONTINUE' on handle 0xB0000001
mab : during state mab_initialize, got event 1(mabContinue)
@@@ mab : mab_initialize -> mab_authorizing //mab authorizing event started
mab-ev: [28d2.4496.5376] formatted mac = 28d244965376 //mac-address formatted as required
mab-ev: [28d2.4496.5376] created mab pseudo dot1x profile dot1x_mac_auth_28d2.4496.5376 //peuso dot1x profile formed (username=macaddress)
mab-ev: [28d2.4496.5376, Gi3/0/48] Starting MAC-AUTH-BYPASS for 0xB0000001 (28d2.4496.5376) //starting mab authentication
mab-ev: [28d2.4496.5376, Gi3/0/48] Invalid EVT 9 from EAP
mab-ev: [28d2.4496.5376, Gi3/0/48] MAB received an Access-Accept for 0xB0000001 (28d2.4496.5376) //received mab success from the server
%MAB-5-SUCCESS: Authentication successful for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003300C586C2
mab-sm: [28d2.4496.5376, Gi3/0/48] Received event 'MAB_RESULT' on handle 0xB0000001 // mab authorization result received
mab : during state mab_authorizing, got event 5(mabResult)
@@@ mab : mab_authorizing -> mab_terminate //mab authorization process terminate
mab-ev: [28d2.4496.5376, Gi3/0/48] Deleted credentials profile for 0xB0000001 (dot1x_mac_auth_28d2.4496.5376) //deleted pseudo dot1x profile
%AUTHMGR-5-SUCCESS: Authorization succeeded for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003300C586C2 // posting mab authorization succeeded

debug dot1x alle

Da dot1x aufgrund der Protokollverhandlungen, des Zertifikatsaustauschs usw. viele Nachrichten austauscht, wurden hier nicht alle Debug-Protokolle erwähnt. Der Ereignisfluss in der Reihenfolge, in der sie auftreten sollen, und die entsprechenden Debug-Protokolle wurden hier dokumentiert.

dot1x-packet:EAPOL pak rx - Ver: 0x1  type: 0x1 // Initial EAPoL packet received by switch
dot1x-packet: length: 0x0000

dot1x-ev:[28d2.4496.5376, Gi3/0/48] New client detected, sending session start event for 28d2.4496.5376 // dot1x client detected

dot1x-ev:[28d2.4496.5376, Gi3/0/48] Dot1x authentication started for 0x26000007 (28d2.4496.5376)  //dot1x started

%AUTHMGR-5-START: Starting 'dot1x' for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003500C9CFC3 

dot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting !EAP_RESTART on Client 0x26000007 //requesting client to restart the EAP Proces

dot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting RX_REQ on Client 0x26000007 //waiting fot the EAPoL packet fromt he client

dot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting AUTH_START for 0x26000007 // Starting authentication process

dot1x-ev:[28d2.4496.5376, Gi3/0/48] Sending out EAPOL packet // Identity Request
dot1x-packet:EAPOL pak Tx - Ver: 0x3  type: 0x0 
dot1x-packet: length: 0x0005
dot1x-packet:EAP code: 0x1  id: 0x1  length: 0x0005
dot1x-packet: type: 0x1 
dot1x-packet:[28d2.4496.5376, Gi3/0/48] EAPOL packet sent to client 0x26000007 

dot1x-ev:[Gi3/0/48] Received pkt saddr =28d2.4496.5376 , daddr = 0180.c200.0003, pae-ether-type = 888e.0100.000a
dot1x-packet:EAPOL pak rx - Ver: 0x1  type: 0x0              // Identity Response
dot1x-packet: length: 0x000A

dot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting EAPOL_EAP for 0x26000007 //EAPoL packet(EAP Response) received, preparing request to server

dot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting EAP_REQ for 0x26000007 //Server response received, EAP Request is being prepared

dot1x-ev:[28d2.4496.5376, Gi3/0/48] Sending out EAPOL packet
dot1x-packet:EAPOL pak Tx - Ver: 0x3  type: 0x0 
dot1x-packet: length: 0x0006
dot1x-packet:EAP code: 0x1  id: 0xE5 length: 0x0006
dot1x-packet: type: 0xD 
dot1x-packet:[28d2.4496.5376, Gi3/0/48] EAPOL packet sent to client 0x26000007 //EAP request sent out

dot1x-ev:[Gi3/0/48] Received pkt saddr =28d2.4496.5376 , daddr = 0180.c200.0003, pae-ether-type = 888e.0100.0006 //EAP response received
dot1x-packet:EAPOL pak rx - Ver: 0x1  type: 0x0 
dot1x-packet: length: 0x0006 
||
||
||
|| Here a lot of EAPOL-EAP and EAP_REQ events occur as a lot of information is exchanged between the switch and the client
|| If the events after this do not follow, then the timers and the information sent till now need to be checked
||
||
||
dot1x-packet:[28d2.4496.5376, Gi3/0/48] Received an EAP Success //EAP Success recieved from Server

dot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting EAP_SUCCESS for 0x26000007 //Posting EAP Success event

dot1x-sm:[28d2.4496.5376, Gi3/0/48] Posting AUTH_SUCCESS on Client 0x26000007 //Posting Authentication success

%DOT1X-5-SUCCESS: Authentication successful for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003500C9CFC3 

dot1x-packet:[28d2.4496.5376, Gi3/0/48] EAP Key data detected adding to attribute list //Additional key data detected sent by server

%AUTHMGR-5-SUCCESS: Authorization succeeded for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003500C9CFC3

dot1x-ev:[28d2.4496.5376, Gi3/0/48] Received Authz Success for the client 0x26000007 (28d2.4496.5376) //Authorization Success

dot1x-ev:[28d2.4496.5376, Gi3/0/48] Sending out EAPOL packet //Sending EAP Success to the client
dot1x-packet:EAPOL pak Tx - Ver: 0x3  type: 0x0 
dot1x-packet: length: 0x0004
dot1x-packet:EAP code: 0x3  id: 0xED length: 0x0004
dot1x-packet:[28d2.4496.5376, Gi3/0/48] EAPOL packet sent to client 0x26000007

Debug-Radius

Da es viele EAP-Nachrichten gibt, werden auch RADIUS-Pakete, die an den Server gesendet und empfangen werden, mehr sein. Nicht jede dot1x-Authentifizierung endet mit bei Access-Request. Daher sind die hier gezeigten Protokolle diejenigen, die wichtig sind und während der Datenfluss.

   //mab and dot1x start at the same time as per the configuration
   %AUTHMGR-5-START: Starting 'dot1x' for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC037
   %AUTHMGR-5-START: Starting 'mab' for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC037
   RADIUS/ENCODE(00000000):Orig. component type = Invalid
   RADIUS(00000000): Config NAS IP: 0.0.0.0
   //Since dot1x client didn't respond yet, mab authentication is done
   RADIUS(00000000): sending
   RADIUS/ENCODE: Best Local IP-Address 10.106.37.142 for Radius-Server 10.106.73.143
   RADIUS(00000000): Send Access-Request to 10.106.73.143:1812 id 1645/56, len 267
   RADIUS:  authenticator F0 E4 E3 28 7E EA E6 83 - 43 55 7F DC 96 19 EB 42
   RADIUS:  User-Name           [1]   14  "28d244965376"
   RADIUS:  User-Password       [2]   18  *
   RADIUS:  Service-Type        [6]   6   Call Check                [10]
   RADIUS:  Vendor, Cisco       [26]  31  
   RADIUS:   Cisco AVpair       [1]   25  "service-type=Call Check"
    RADIUS:  Framed-MTU          [12]  6   1500                      
   RADIUS:  Called-Station-Id   []  19  "CC-EF-48-AD-6B-"
   RADIUS:  Calling-Station-Id  [31]  19  "28-D2-44-96-53-76"
   RADIUS:  Message-Authenticato[80]  18  
   RADIUS:   AD DC 22 D7 83 8C 02 C5 1E 11 B2 94 80 85 2F 3D               [ "/=]
   RADIUS:  EAP-Key-Name        [102] 2   *
   RADIUS:  Vendor, Cisco       [26]  49  
   RADIUS:   Cisco AVpair       [1]   43  "audit-session-id=0A6A258E0000003600CCC037"
   RADIUS:  Vendor, Cisco       [26]  18  
   RADIUS:   Cisco AVpair       [1]   12  "method=mab"
   RADIUS:  Framed-IP-Address   [8]   6   1.1.1.2                   
   RADIUS:  NAS-IP-Address      [4]   6   10.106.37.142             
   RADIUS:  NAS-Port            [5]   6   60000                     
   RADIUS:  NAS-Port-Id         [87]  23  "GigabitEthernet3/0/48"
   RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]
    RADIUS(00000000): Sending a IPv4 Radius Packet
   RADIUS(00000000): Started 5 sec timeout
   RADIUS: Received from id 1645/56 10.106.73.143:1812, Access-Accept, len 176
   RADIUS:  authenticator 7B D6 DA E1 70 49 6E 6D - 3D AC 5C 1D C0 AC CF D0
   RADIUS:  User-Name           [1]   19  "28-D2-44-96-53-76"
   RADIUS:  State               [24]  40  
   RADIUS:   52 65 61 75 74 68 53 65 73 73 69 6F 6E 3A  41  [ReauthSession:0A]
   RADIUS:   36 41 32 35 38 45       33 36    [6A258E0000003600]
   RADIUS:   43 43 43  33 37            [ CCC037]
   RADIUS:  Class               [25]  51  
   RADIUS:   43 41 43 53 3A  41 36 41 32 35 38 45     [CACS:0A6A258E000]
   RADIUS:      33 36   43 43 43  33 37 3A 69 73  [0003600CCC037:is]
   RADIUS:   65 31 34 2F 32 35 35 38 35 37 38  34 2F 36 34  [e14/255857804/64]
   RADIUS:   36                 [ 6]
   RADIUS:  Message-Authenticato[80]  18  
   RADIUS:   D3 F3 6E 9A 25 09 01 8C D6 B1 20 D6 84 D3 18 3D              [ n? =]
    RADIUS:  Vendor, Cisco       [26]  28  
   RADIUS:   Cisco AVpair       [1]   22  "profile-name=Unknown"
   //mab succeeds
   %MAB-5-SUCCESS: Authentication successful for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC037
   %AUTHMGR-5-SUCCESS: Authorization succeeded for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC037 
   //A dot1x client is detected and mab is stopped as per the configuration and dot1x authentication starts
   %AUTHMGR-7-STOPPING: Stopping 'mab' for client 28d2.4496.5376 on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC037
   RADIUS/ENCODE(00000000):Orig. component type = Invalid
   RADIUS(00000000): Config NAS IP: 0.0.0.0
   RADIUS(00000000): sending
   RADIUS/ENCODE: Best Local IP-Address 10.106.37.142 for Radius-Server 10.106.73.143
   RADIUS(00000000): Send Access-Request to 10.106.73.143:1812 id 1645/57, len 252
   RADIUS:  authenticator 1B E9 37 F4 AC C7 73 BE - F4 95 CB 5F FC 2D 3D E1
   RADIUS:  User-Name           [1]   7   "cisco"
   RADIUS:  Service-Type        [6]   6   Framed                    [2]
   RADIUS:  Vendor, Cisco       [26]  27  
   RADIUS:   Cisco AVpair       [1]   21  "service-type=Framed"
   RADIUS:  Framed-MTU          [12]  6   1500                      
   RADIUS:  Called-Station-Id   []  19  "CC-EF-48-AD-6B-"
   RADIUS:  Calling-Station-Id  [31]  19  "28-D2-44-96-53-76"
   RADIUS:  EAP-Message         [79]  12  
   RADIUS:   02 01 00 0A 01 63 69 73 63 6F             [ cisco]
   RADIUS:  Message-Authenticato[80]  18  
   RADIUS:   7B 42 C2 C2 69 CB 73 49 1A 40 81 28 71 CF CC 86          [ {BisI@(q]
   RADIUS:  EAP-Key-Name        [102] 2   *
   RADIUS:  Vendor, Cisco       [26]  49  
   RADIUS:   Cisco AVpair       [1]   43  "audit-session-id=0A6A258E0000003600CCC037"
   RADIUS:  Vendor, Cisco       [26]  20  
   RADIUS:   Cisco AVpair       [1]   14  "method=dot1x"
   RADIUS:  Framed-IP-Address   [8]   6   1.1.1.2                   
   RADIUS:  NAS-IP-Address      [4]   6   10.106.37.142             
   RADIUS:  NAS-Port            [5]   6   60000                     
   RADIUS:  NAS-Port-Id         [87]  23  "GigabitEthernet3/0/48"
   RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]
   RADIUS(00000000): Sending a IPv4 Radius Packet 
   //More information is being requested by the AAA Server
   RADIUS: Received from id 1645/57 10.106.73.143:1812, Access-Challenge, len 120
    RADIUS:  authenticator A7 2A 6E 8C 75 9C 28 6F - 32 85 B9 87 5B D2 E4 FB
   RADIUS:  State               [24]  74  
   RADIUS:   33 37 43 50 4D 53 65 73 73 69 6F 6E 49 44 3D   [37CPMSessionID=0]
   RADIUS:   41 36 41 32 35 38 45       33 36   [A6A258E000000360]
   RADIUS:    43 43 43  33 37 3B 32 39 53 65 73 73 69 6F  [0CCC037;29Sessio]
   RADIUS:   6E 49 44 3D 69 73 65 31 34 2F 32 35 35 38 35 37  [nID=ise14/255857]
   RADIUS:   38  34 2F 36 34 38 3B          [ 804/648;]
   RADIUS:  EAP-Message         [79]  8   
   RADIUS:   01 0A 00 06 0D 20                 [  ]
   RADIUS:  Message-Authenticato[80]  18  
   RADIUS:   E2 7C 2B 0E CA AB E3 21 B8 CD 04 8A 7F 23 7A D2             [ |+!#z] 
||
||
||
|| As mentioned before, the excess logs of Access-Requestes and Access-Challenges come here
||
||
|| 
   //Authentication and Authorization succeeds for dot1x
   RADIUS: Received from id 1645/66 10.106.73.143:1812, Access-Accept, len 325
   RADIUS:  authenticator F0 CF EE 59 3A 26 25 8F - F7 0E E4 03 E1 11 7E 86
   RADIUS:  User-Name           [1]   7   "cisco"
   RADIUS:  State               [24]  40  
   RADIUS:   52 65 61 75 74 68 53 65 73 73 69 6F 6E 3A  41  [ReauthSession:0A]
   RADIUS:   36 41 32 35 38 45       33 36    [6A258E0000003600]
   RADIUS:   43 43 43  33 37            [ CCC037]
    RADIUS:  Class               [25]  51  
   RADIUS:   43 41 43 53 3A  41 36 41 32 35 38 45     [CACS:0A6A258E000]
   RADIUS:      33 36   43 43 43  33 37 3A 69 73  [0003600CCC037:is]
   RADIUS:   65 31 34 2F 32 35 35 38 35 37 38  34 2F 36 34  [e14/255857804/64]
   RADIUS:   38                 [ 8]
   RADIUS:  EAP-Message         [79]  6   
   RADIUS:   03 12 00 04 
   RADIUS:  Message-Authenticato[80]  18  
   RADIUS:   3F 7A DA 59 F7 8A DE 1D 33 4B 07 88 62 F3 3B 71          [ ?zY3Kb;q]
   RADIUS:  EAP-Key-Name        [102] 67  *
   RADIUS:  Vendor, Microsoft   [26]  58  
   RADIUS:   MS-MPPE-Send-Key   [16]  52  *
   RADIUS:  Vendor, Microsoft   [26]  58  
   RADIUS:   MS-MPPE-Recv-Key   [17]  52  *
   RADIUS(00000000): Received from id 1645/66
   RADIUS/DECODE: EAP-Message fragments, 4, total 4 bytes
   //Dot1x succeeds
   %DOT1X-5-SUCCESS: Authentication successful for client (28d2.4496.5376) on Interface Gi3/0/48 AuditSessionID 0A6A258E0000003600CCC03

Authentifizierung/Autorisierung debuggen

debug aaa authentication and debug aaa authorized zeigt nützliche Informationen bei verschiedenen Authentifizierungs-/Autorisierungsmethoden. In diesem Fall ist es nur eine Zeile, die die verwendete Methodenliste angibt.

AAA/AUTHEN/8021X (00000000): Pick method list 'default'

Dies zeigt an, ob eine der Authentifizierungsmethoden nicht verfügbar oder nicht aktiviert ist.

Die Vorgehensweise zur Fehlerbehebung für CWA/Posture/DACLs usw. ist mit der für herkömmliche IOS-Switches identisch. Die Konfigurationsüberprüfung ist der erste Schritt bei der Fehlerbehebung. Stellen Sie sicher, dass die Konfiguration die Anforderungen erfüllt. Wenn die Konfiguration der Richtlinienzuordnung, der Klassenzuordnung bis zur Markierung erfolgt, können ggf. Debugprobleme sehr einfach sein. Weitere Informationen zur Konfiguration mit IBNS 2.0 finden Sie im Abschnitt "Verwandte Informationen".

Zugehörige Informationen

TAC Authored

Beiträge von Cisco Ingenieuren

  • Surendra Reddy
    Cisco TAC-Techniker

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.