Configuración de Radius DTLS en ISE y 9800 WLC

Opciones de descarga

  • PDF     (1.6 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:24 de octubre de 2024
ID del documento:222537

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe un método para crear los certificados necesarios para configurar RADIUS DTLS entre ISE y el WLC 9800.

    Background

    RADIUS DTLS es una forma segura del protocolo RADIUS donde los mensajes RADIUS se envían a través de un túnel de seguridad de la capa de transporte (DTLS) de datos. Para crear este túnel entre el servidor de autenticación y el autenticador, se necesita un conjunto de certificados. Este conjunto de certificados requiere que se establezcan determinadas extensiones de certificado de uso extendido de claves (EKU), en concreto, la autenticación de cliente en el certificado WLC y la autenticación de servidor, así como la autenticación de cliente para el certificado ISE.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Cómo configurar el 9800 WLC, el punto de acceso (AP) para el funcionamiento básico
    • Cómo utilizar la aplicación OpenSSL
    • Infraestructura de clave pública (PKI) y certificados digitales

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Aplicación OpenSSL (versión 3.0.2).
    • ISE (versión 3.1.0.518)
    • 9800 WLC (versión 17.12.3)

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Overview

    El propósito es crear una entidad emisora de certificados de dos niveles con una CA raíz y una CA intermedia para firmar certificados de extremos. Una vez que se firman los certificados, se importan al WLC e ISE. Finalmente, los dispositivos se configuran para realizar la autenticación RADIUS DTLS con esos certificados.

    note-icon

    Nota: Este documento utiliza comandos específicos de Linux para crear y organizar archivos. Los comandos se explican para que pueda realizar la misma acción en otros sistemas operativos donde OpenSSL esté disponible.

    Opcional: cree un certificado de dispositivo DTLS RADIUS de WLC e ISE

    El protocolo RADIUS DTLS necesita intercambiar certificados entre ISE y WLC para crear el túnel DTLS. Si aún no tiene certificados válidos, puede crear una CA local para generar los certificados, consulte Configuración de una Autoridad de Certificación Multinivel en OpenSSL para Generar Certificados Compatibles con Cisco IOS® XE y realice los pasos descritos en el documento desde el principio hasta el final del paso Crear certificado de CA intermedio.

    Agregar secciones de configuración en el archivo openssl.cnf

    Abra el archivo de configuración openssl.cnf y, en la parte inferior, copie y pegue las secciones de WLC e ISE utilizadas para generar una Solicitud de firma de certificado (CSR) válida.

    Las secciones ISE_device_req_ext y WLC_device_req_ext señalan cada una a una lista de SAN que se incluirán en el CSR:

    #Section used for CSR generation, it points to the list of subject alternative names to add them to CSR
[ ISE_device_req_ext ]
subjectAltName = @ISE_alt_names

[ WLC_device_req_ext ]
subjectAltName = @WLC_alt_names

#DEFINE HERE SANS/IPs NEEDED for **ISE** device certificates
[ISE_alt_names]
DNS.1   = ISE.example.com
DNS.2   = ISE2.example.com

#DEFINE HERE SANS/IPs NEEDED for **WLC** device certificates
[WLC_alt_names]
DNS.1   = WLC.example.com
DNS.2   = WLC2.example.com

    Como medida de seguridad, la CA reemplaza cualquier SAN presente en una CSR para firmarla de modo que los dispositivos no autorizados no puedan recibir un certificado válido para un nombre que no se les permite utilizar. Para volver a agregar las SAN al certificado firmado, utilice el parámetro subjectAltName para señalar a la misma lista de SAN que las utilizadas para la generación de CSR.


    ISE requiere tanto serverAuth como clientAuth EKU presentes en el certificado, mientras que el WLC sólo necesita clientAuth. Se agregan al certificado firmado con el parámetro extendedKeyUsage.

    Copie y pegue las secciones utilizadas para el certificado en la parte inferior del archivo openssl.cnf:

    #This section contains the extensions used for the device certificate sign
[ ISE_cert ]
basicConstraints=CA:FALSE
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
#EKU client and server is needed for RADIUS DTLS on ISE
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @ISE_alt_names

[ WLC_cert ]
basicConstraints=CA:FALSE
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
#EKU client is needed for RADIUS DTLS on WLC
extendedKeyUsage = clientAuth
subjectAltName = @WLC_alt_names

    Crear certificado de dispositivo WLC

    Cree una nueva carpeta para almacenar certificados WLC en la máquina que tiene OpenSSL instalado dentro de la carpeta de certificados de CA intermedia llamada IntermCA.db.certs. La nueva carpeta se llama WLC:

    mkdir ./IntermCA/IntermCA.db.certs/WLC

    Modifique los parámetros DNS en la sección [WLC_alt_names] del archivo openssl.cnf. Cambie los nombres de ejemplo proporcionados para los valores deseados. Estos valores completan el campo SANs del certificado WLC:

    [WLC_alt_names]
DNS.1   = WLC.example.com    <-----Change the values after the equals sign
DNS.2   = WLC2.example.com   <-----Change the values after the equals sign

    Cree la clave privada WLC y el WLC CSR con información de la sección WLC_device_req_ext para las SAN:

    openssl req -newkey rsa:4096 -keyout ./IntermCA/IntermCA.db.certs/WLC/WLC.key -nodes -config openssl.cnf -out ./IntermCA/IntermCA.db.certs/WLC/WLC.csr -reqexts WLC_device_req_ext

    OpenSSL abre una solicitud interactiva para que introduzca los detalles del nombre distinguido (DN):


    WLC Certificate Distinguished Name Interactive PromptMensaje interactivo de nombre distinguido de certificado WLC

    caution-icon

    Precaución: el nombre común (CN) que proporcione en el mensaje interactivo debe ser idéntico a uno de los nombres de la sección [WLC_alt_names] del archivo openssl.cnf.


    Utilice la CA denominada IntermCA para firmar el WLC CSR denominado WLC.csr con las extensiones definidas en [WLC_cert] y almacenar el certificado firmado dentro de ./IntermCA/IntermCA.db.certs/WLC. El certificado del dispositivo WLC se llama WLC.crt:

    openssl ca -config openssl.cnf -extensions WLC_cert -name IntermCA -out ./IntermCA/IntermCA.db.certs/WLC/WLC.crt -infiles ./IntermCA/IntermCA.db.certs/WLC/WLC.csr

    9800 WLC necesita que el certificado esté en formato pfx para importarlo. Cree un nuevo archivo que contenga la cadena de CAs que firmaron el certificado WLC, esto se llama un archivo cert:

    cat ./RootCA/RootCA.crt ./IntermCA/IntermCA.crt > ./IntermCA/IntermCA.db.certs/WLC/certfile.crt


    Para crear su archivo .pfx ejecute uno de estos comandos según la versión del WLC.

    Para versiones anteriores a 17.12.1: 

    openssl pkcs12 -export -macalg sha1 -legacy -descert -out ./IntermCA/IntermCA.db.certs/WLC/WLC.pfx -inkey ./IntermCA/IntermCA.db.certs/WLC/WLC.key -in ./IntermCA/IntermCA.db.certs/WLC/WLC.crt -certfile ./IntermCA/IntermCA.db.certs/WLC/certfile.crt


    Para la versión 17.12.1 o posterior: 

    openssl pkcs12 -export -out ./IntermCA/IntermCA.db.certs/WLC/WLC.pfx -inkey ./IntermCA/IntermCA.db.certs/WLC/WLC.key -in ./IntermCA/IntermCA.db.certs/WLC/WLC.crt -certfile ./IntermCA/IntermCA.db.certs/WLC/certfile.crt

    Crear certificado de dispositivo ISE

    Cree una nueva carpeta para almacenar certificados ISE en el equipo que tiene OpenSSL instalado dentro de la carpeta de certificados de CA intermedia denominada IntermCA.db.certs. La nueva carpeta se llama ISE:

    mkdir ./IntermCA/IntermCA.db.certs/ISE

    Modifique los parámetros DNS en la sección [ISE_alt_names] del archivo openssl.cnf. Cambie los nombres de ejemplo proporcionados para sus valores deseados, estos valores completan el campo SANs del certificado WLC:

    [ISE_alt_names]
DNS.1   = ISE.example.com   <-----Change the values after the equals sign
DNS.2   = ISE2.example.com  <-----Change the values after the equals sign


    Cree la clave privada de ISE e ISE CSR con información de la sección ISE_device_req_ext para redes SAN:

    openssl req -newkey rsa:2048 -sha256 -keyout ./IntermCA/IntermCA.db.certs/ISE/ISE.key -nodes -config openssl.cnf -out ./IntermCA/IntermCA.db.certs/ISE/ISE.csr -reqexts ISE_device_req_ext

    OpenSSL abre una solicitud interactiva para que introduzca los detalles del nombre distinguido (DN):

    ISE Certificate Distinguished Name Interactive PromptSolicitud interactiva de nombre distintivo de certificado ISE

    caution-icon

    Precaución: el CN que proporcione en el mensaje interactivo debe ser exactamente el mismo que uno de los Nombres de la sección [ISE_alt_names] del archivo openssl.cnf.

    Utilice la CA denominada IntermCA para firmar la CSR de ISE denominada ISE.csr con las extensiones definidas en [ISE_cert] y almacenar el certificado firmado dentro de ./IntermCA/IntermCA.db.certs/WLC. El certificado del dispositivo ISE se denomina ISE.crt:

    openssl ca -config openssl.cnf -extensions ISE_cert -name IntermCA -out ./IntermCA/IntermCA.db.certs/ISE/ISE.crt -infiles ./IntermCA/IntermCA.db.certs/ISE/ISE.csr

    Importar certificados a dispositivos

    Importar certificados a ISE

    1. Importe el certificado de CA raíz de la cadena de certificados de ISE al almacén de certificados de confianza.

    2. Vaya a Administración>Sistema>Certificados>Certificados de confianza.

    3. Haga clic en Examinar y seleccione el archivo Root.crt.

    4. Marque las casillas de verificación Trust for authentication inside ISE, así como Trust for client authentication and Syslog y, a continuación, haga clic en Submit:

    ISE Root CA Certificate Import DialogCuadro de diálogo Importación de certificado de CA raíz de ISE

    Haga lo mismo con el certificado intermedio si existe.

    note-icon

    Nota: repita los pasos para cualquier certificado de CA que forme parte de la cadena de validación de certificados de ISE. Comience siempre con el certificado de CA raíz y termine con el certificado de CA intermedia más bajo de la cadena.

    ISE Intermediate CA Certificate Import DialogCuadro de diálogo Importación de certificado de CA intermedia de ISE

    caution-icon

    Precaución: si el certificado ISE y el certificado WLC son emitidos por diferentes CA, debe importar también todos los certificados CA que pertenezcan a la cadena de certificados WLC. ISE no acepta el certificado WLC en el intercambio de certificados DTLS hasta que se importan dichos certificados de CA.

    ISE Device Certificate Import MenuMenú de importación de certificados de dispositivos ISE

    tip-icon

    Sugerencia: solo tiene que importar el certificado de dispositivo ISE en este paso. Este certificado es el que ISE intercambia para establecer el túnel DTLS. No es necesario importar el certificado de dispositivo WLC y la clave privada ya que el certificado WLC se verifica con el uso de los certificados CA importados previamente.

    Importar certificados a WLC

    1. Navegue hasta Configuration > Security > PKI Management en el WLC y vaya a la pestaña Add Certificate.
    2. Haga clic en el menú desplegable Import PKCS12 Certificate y establezca el tipo de transporte como Desktop (HTTPS).
    3. Haga clic en el botón Select File y seleccione el archivo .pfx que preparó anteriormente.
    4. Escriba la contraseña de importación y, por último, haga clic en Import.

    WLC Certificate Import DialogCuadro de diálogo de importación de certificados WLC

    Para obtener información detallada sobre el proceso de importación, consulte Generación y descarga de certificados CSR en WLC Catalyst 9800.

    Inhabilite la comprobación de revocación dentro de cada punto de confianza creado automáticamente si el WLC no tiene ninguna lista de revocación de certificados que pueda comprobar a través de la red:

    9800#configure terminal

9800(config)#crypto pki trustpoint WLC.pfx
9800(config)#revocation-check none
9800(config)#exit

9800(config)#crypto pki trustpoint WLC.pfx-rrr1
9800(config)#revocation-check none
9800(config)#exit
    note-icon

    Nota: Si creó una CA multinivel en OpenSSL con el documento Configurar CA multinivel en OpenSSL para generar certificados Cisco IOS XE, debe inhabilitar la comprobación de revocación ya que no se crea ningún servidor CRL.

    La importación automatizada crea los puntos de confianza necesarios para contener el certificado WLC y sus certificados CA.

    tip-icon

    Sugerencia: si los certificados WLC fueron emitidos por la misma CA que los certificados ISE, puede utilizar los mismos puntos de confianza creados automáticamente a partir de la importación de certificados WLC. No es necesario importar los certificados ISE por separado.


    Si el certificado de WLC es emitido por una CA diferente del certificado de ISE, también debe importar los certificados de CA de ISE al WLC para que el WLC confíe en el certificado de dispositivo de ISE.
    Cree un nuevo punto de confianza para la CA raíz e importe la CA raíz de ISE:

    9800(config)#crypto pki trustpoint ISEroot
9800(ca-trustpoint)#revocation-check none
9800(ca-trustpoint)#enrollment terminal
9800(ca-trustpoint)#chain-validation stop
9800(ca-trustpoint)#exit
9800(config)#crypto pki authenticate ISEroot

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

------Paste the ISE root CA-----

    Importe el siguiente certificado de CA intermedia en la cadena de CA de ISE, es decir, el certificado de CA emitido por la CA raíz:

    hamariomed1(config)#crypto pki trustpoint ISEintermediate
hamariomed1(ca-trustpoint)#revocation-check none
hamariomed1(ca-trustpoint)#chain-validation continue ISErootCA
hamariomed1(ca-trustpoint)#enrollment terminal 
hamariomed1(ca-trustpoint)#exit

hamariomed1(config)#crypto pki authenticate ISEintermediate

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

------Paste the ISE intermediate CA-------


    Cada CA adicional de la cadena requiere un punto de confianza independiente. Cada punto de confianza de la cadena debe hacer referencia al punto de confianza que contiene el certificado del emisor del certificado que desea importar con el comando chain-validation continue <nombre del punto de confianza del emisor>.

    Importe tantos certificados de CA como contenga la cadena de CA. Ha finalizado la importación de la CA emisora del certificado de dispositivo ISE. Tome nota del nombre de este punto de confianza.

    No es necesario importar el certificado del dispositivo ISE en el WLC para que RADIUS DTLS funcione.

    Configuración de RADIUS DTLS

    Configuración de ISE

    Agregue el WLC como un dispositivo de red en ISE. Para ello, navegue hasta Administración>Recursos de red>Dispositivos de red>Agregar
    Introduzca el nombre del dispositivo y la IP de la interfaz WLC que origina el tráfico RADIUS. Normalmente, la IP de la interfaz de administración inalámbrica. Desplácese hacia abajo y verifique RADIUS Authentication Settings así como DTLS Required y haga clic en Submit:

    New Network Device ConfigurationNueva configuración de dispositivo de red

    Radius DTLS Settings for the Network Device on ISEConfiguración de RADIUS DTLS para el dispositivo de red en ISE

    Configuración de WLC

    Defina un nuevo servidor Radius junto con la dirección IP de ISE y el puerto predeterminado para Radius DTLS. Esta configuración sólo está disponible en la CLI:

    9800#configure terminal
9800(config)#radius server ISE
9800(config-radius-server)#address ipv4 
    
    
      9800(config-radius-server)#dtls port 2083

    Radius DTLS debe utilizar el radius/dtls secreto compartido, el WLC 9800 ignora cualquier clave configurada que no sea esta:

    9800(config-radius-server)#key radius/dtls


    Utilice eldtls trustpoint client comando para configurar el punto de confianza que contiene el certificado del dispositivo WLC para intercambiar para el túnel DTLS.
    Utilice eldtls trustpoint server comando para configurar el punto de confianza que contiene la CA del emisor para el certificado del dispositivo ISE.

    Los nombres de punto de confianza del cliente y del servidor son los mismos sólo si los certificados WLC e ISE son emitidos por la misma CA:

    9800(config-radius-server)#dtls trustpoint client WLC.pfx
9800(config-radius-server)#dtls trustpoint server WLC.pfx

    Configure el WLC para verificar si hay alguno de los nombres alternativos de sujeto (SAN) presentes en el certificado de ISE. Esta configuración debe coincidir exactamente con una de las SAN presentes en el campo SAN del certificado.

    El WLC 9800 no realiza una coincidencia basada en expresiones regulares para el campo SAN. Esto significa, por ejemplo, que el comando dtls match-server-identity hostname *.example.com para un certificado comodín que tiene *.example.com en su campo SAN es correcto pero el mismo comando para un certificado que contiene www.example.com en el campo SAN no lo es.

    El WLC no verifica este nombre contra cualquier servidor de nombre:

    9800(config-radius-server)#dtls match-server-identity hostname ISE.example.com
9800(config-radius-server)#exit

    Cree un nuevo grupo de servidores para utilizar el nuevo Radius DTLS para la autenticación:

    9800(config)#aaa group server radius Radsec
9800(config-sg-radius)#server name ISE 
9800(config-sg-radius)#exit


    A partir de este punto, puede utilizar este grupo de servidores como cualquier otro grupo de servidores en el WLC. Consulte Configuración de la Autenticación 802.1X en Catalyst 9800 Wireless Controller Series para utilizar este servidor para la autenticación de clientes inalámbricos.

    Verificación

    Verificar información del certificado

    Para verificar la información del certificado para los certificados creados, en el terminal Linux ejecute el comando:

    openssl x509 -in 
    
    
      -text -noout

    Muestra la información completa del certificado. Esto es útil para determinar la CA emisora de un certificado dado o si los certificados contienen las EKU y SAN requeridas:


    Cisco IOS XE Device Certificate Information as Shown by OpenSSLInformación del certificado del dispositivo Cisco IOS XE tal como la muestra OpenSSL

    Realizar autenticación de prueba

    Desde el WLC puede probar la funcionalidad de Radius DTLS con el comando test aaa group new-code 

    9800#test aaa group Radsec testuser Cisco123 new-code
User successfully authenticated

USER ATTRIBUTES

username             0   "testuser"
    note-icon

    Nota: Una salida de rechazo de acceso en el comando de prueba significa que el WLC recibió un mensaje RADIUS de rechazo de acceso, en cuyo caso RADIUS DTLS está funcionando. Sin embargo, también puede indicar una falla al establecer el túnel DTLS. El comando test no diferencia ambos escenarios, vea la sección troubleshooting para identificar si hay un problema.

    Troubleshoot

    Para revisar la causa de una autenticación fallida, puede habilitar estos comandos antes de realizar una autenticación de prueba.

    9800#debug radius
9800#debug radius radsec
9800#terminal monitor

    Ésta es la salida de una autenticación exitosa con depuraciones habilitadas:

    9800#test aaa group Radsec testuser Cisco123 new-code
User successfully authenticated

USER ATTRIBUTES

username             0   "testuser"
9800#
Jul 18 21:24:38.301: %PARSER-5-HIDDEN: Warning!!! ' test platform-aaa group server-group Radsec user-name testuser Cisco123 new-code blocked count delay level profile rate users ' is a hidden command. Use of this command is not recommended/supported and will be removed in future.
Jul 18 21:24:38.313: RADIUS/ENCODE(00000000):Orig. component type = Invalid
Jul 18 21:24:38.313: RADIUS/ENCODE(00000000): dropping service type, "radius-server attribute 6 on-for-login-auth" is off
Jul 18 21:24:38.313: RADIUS(00000000): Config NAS IP: 0.0.0.0
Jul 18 21:24:38.313: vrfid: [65535]  ipv6 tableid : [0]
Jul 18 21:24:38.313: idb is NULL
Jul 18 21:24:38.313: RADIUS(00000000): Config NAS IPv6: ::
Jul 18 21:24:38.313: RADIUS(00000000): sending
Jul 18 21:24:38.313: RADIUS/DECODE(00000000): There is no General DB. Want server details may not be specified
Jul 18 21:24:38.313: RADSEC: DTLS default secret
Jul 18 21:24:38.313: RADIUS/ENCODE: Best Local IP-Address 172.16.5.11 for Radius-Server 172.16.18.123
Jul 18 21:24:38.313: RADSEC: DTLS default secret
Jul 18 21:24:38.313: RADIUS(00000000): Send Access-Request to 172.16.18.123:2083 id 53808/10, len 54
RADIUS:  authenticator C3 4E 34 0A 91 EF 42 53 - 7E C8 BB 50 F3 98 B3 14
Jul 18 21:24:38.313: RADIUS:  User-Password       [2]   18  *
Jul 18 21:24:38.313: RADIUS:  User-Name           [1]   10  "testuser"
Jul 18 21:24:38.313: RADIUS:  NAS-IP-Address      [4]   6   172.16.5.11               
Jul 18 21:24:38.313: RADIUS_RADSEC_ENQ_WAIT_Q: Success Server(172.16.18.123)/Id(10)
Jul 18 21:24:38.313: RADIUS_RADSEC_CLIENT_PROCESS: Got DATA SEND MSG
Jul 18 21:24:38.313: RADIUS_RADSEC_SOCK_SET:  0 Success
Jul 18 21:24:38.313: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 18 21:24:38.313: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 18 21:24:38.313: RADIUS_RADSEC_HASH_KEY_ADD_CTX: add [radius_radsec ctx(0x7522CE91BAC0)] succeedd for sock_no(0)
Jul 18 21:24:38.313: RADIUS_RADSEC_GET_SOURCE_ADDR: Success
Jul 18 21:24:38.313: RADIUS_RADSEC_GET_SOCK_ADDR: Success
Jul 18 21:24:38.313: RADIUS_RADSEC_SET_LOCAL_SOCK: Success
Jul 18 21:24:38.313: RADIUS_RADSEC_SOCK_SET: Success
Jul 18 21:24:38.314: RADIUS_RADSEC_BIND_SOCKET: Success
Jul 18 21:24:38.314: RADIUS_RADSEC_CONN_SET_LPORT: Success
Jul 18 21:24:38.314: RADIUS_RADSEC_CONN_SET_SERVER_PORT: Success
Jul 18 21:24:38.314: RADIUS_RADSEC_CLIENT_HS_START: local port = 54509
Jul 18 21:24:38.314: RADIUS_RADSEC_SOCKET_CONNECT: Success
Jul 18 21:24:38.315: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got radsec_data
Jul 18 21:24:38.315: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got valid rctx, with server_handle B0000019
Jul 18 21:24:38.316: RADIUS_RADSEC_CLIENT_HS_START: TLS handshake in progress...(172.16.18.123/2083)
Jul 18 21:24:38.316: RADIUS_RADSEC_START_CONN_TIMER: Started (172.16.18.123/2083) for 5 secs
Jul 18 21:24:38.316: RADIUS_RADSEC_CONN_STATE_UPDATE: Success - State = 2
Jul 18 21:24:38.318: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.318: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 18 21:24:38.318: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 18 21:24:38.318: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 18 21:24:38.318: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec  sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 18 21:24:38.318: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 18 21:24:38.318: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 18 21:24:38.318: RADIUS_RADSEC_START_CONN_TIMER: Started (172.16.18.123/2083) for 5 secs
Jul 18 21:24:38.318: RADIUS_RADSEC_HS_CONTINUE: TLS handshake in progress...(172.16.18.123/2083)
Jul 18 21:24:38.318: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Success
Jul 18 21:24:38.318: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.327: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.327: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 18 21:24:38.327: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 18 21:24:38.327: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 18 21:24:38.327: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec  sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 18 21:24:38.327: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 18 21:24:38.327: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 18 21:24:38.391: RADIUS_RADSEC_START_CONN_TIMER: Started (172.16.18.123/2083) for 5 secs
Jul 18 21:24:38.391: RADIUS_RADSEC_HS_CONTINUE: TLS handshake in progress...(172.16.18.123/2083)
Jul 18 21:24:38.391: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Success
Jul 18 21:24:38.391: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.397: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.397: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 18 21:24:38.397: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 18 21:24:38.397: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 18 21:24:38.397: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec  sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 18 21:24:38.397: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 18 21:24:38.397: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 18 21:24:38.397: RADIUS_RADSEC_HS_CONTINUE: TLS handshake success!(172.16.18.123/2083) <-------- TLS tunnel establishes succesfully
Jul 18 21:24:38.397: RADIUS_RADSEC_CONN_STATE_UPDATE: Success - State = 3
Jul 18 21:24:38.397: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got radsec_data
Jul 18 21:24:38.397: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got valid rctx, with server_handle B0000019
Jul 18 21:24:38.397: RADIUS-RADSEC-HS-SUCCESS: Negotiated Cipher is ECDHE-RSA-AES256-GCM-SHA384
Jul 18 21:24:38.397: RADIUS_RADSEC_START_DATA_SEND: RADSEC HS Done, Start data send (172.16.18.123/2083)
Jul 18 21:24:38.397: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Success Server(172.16.18.123)/Id(10)
Jul 18 21:24:38.397: RADIUS_RADSEC_MSG_SEND: RADSEC Write SUCCESS(id=10)
Jul 18 21:24:38.397: RADIUS(00000000): Started 5 sec timeout
Jul 18 21:24:38.397: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Empty Server(172.16.18.123)/Id(-1)
Jul 18 21:24:38.397: RADIUS_RADSEC_START_DATA_SEND: no more data available
Jul 18 21:24:38.397: RADIUS_RADSEC_IDLE_TIMER: Started (172.16.18.123/2083)
Jul 18 21:24:38.397: RADIUS-RADSEC-HS-SUCCESS: Success
Jul 18 21:24:38.397: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Success
Jul 18 21:24:38.397: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.453: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 18 21:24:38.453: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 18 21:24:38.453: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 18 21:24:38.453: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 18 21:24:38.453: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec  sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 18 21:24:38.453: RADIUS_RADSEC_MSG_RECV: RADSEC Bytes read= 20, Err= 0
Jul 18 21:24:38.453: RADIUS_RADSEC_SOCK_READ_EVENT_HANDLE: Radius length is 113
Jul 18 21:24:38.453: RADIUS_RADSEC_SOCK_READ_EVENT_HANDLE: Going to read rest 93 bytes
Jul 18 21:24:38.453: RADIUS_RADSEC_MSG_RECV: RADSEC Bytes read= 93, Err= 0
Jul 18 21:24:38.453: RADIUS_RADSEC_SOCK_READ_EVENT_HANDLE: linktype = 7 - src port = 2083 - dest port = 54509 - udp len = 121 - datagram size = 141
Jul 18 21:24:38.453: RADIUS: Received from id 54509/10 172.16.18.123:2083, Access-Accept, len 113 <----------Radius response from ISE 
RADIUS:  authenticator 4E CE 96 63 41 4B 43 04 - C7 A2 B5 05 C2 78 A7 0D
Jul 18 21:24:38.453: RADIUS:  User-Name           [1]   10  "testuser"
Jul 18 21:24:38.453: RADIUS:  Class               [25]  83  
RADIUS:   43 41 43 53 3A 61 63 31 30 31 32 37 62 64 38 74  [CACS:ac10127bd8t]
RADIUS:   47 58 50 47 4E 63 6C 57 76 2F 39 67 44 66 51 67  [GXPGNclWv/9gDfQg]
RADIUS:   63 4A 76 6C 35 47 72 33 71 71 47 36 4C 66 35 59  [cJvl5Gr3qqG6Lf5Y]
RADIUS:   52 42 2F 7A 57 55 39 59 3A 69 73 65 2D 76 62 65  [RB/zWU9Y:ise-vbe]
RADIUS:   74 61 6E 63 6F 2F 35 31 30 34 33 39 38 32 36 2F  [tanco/510439826/]
RADIUS:   39                 [ 9]
Jul 18 21:24:38.453: RADSEC: DTLS default secret
Jul 18 21:24:38.453: RADIUS/DECODE(00000000): There is no General DB. Reply server details may not be recorded
Jul 18 21:24:38.453: RADIUS(00000000): Received from id 54509/10

    CA desconocida informada por WLC

    Cuando el WLC no puede validar los certificados proporcionados por ISE, no puede crear el túnel DTLS y las autenticaciones fallan.
    Este es un ejemplo de los mensajes de debug presentados cuando este es el caso:

    9800#test aaa group Radsec testuser Cisco123 new-code

Jul 19 00:59:09.695: %PARSER-5-HIDDEN: Warning!!! ' test platform-aaa group server-group Radsec user-name testuser Cisco123 new-code blocked count delay level profile rate users ' is a hidden command. Use of this command is not recommended/supported and will be removed in future.
Jul 19 00:59:09.706: RADIUS/ENCODE(00000000):Orig. component type = Invalid
Jul 19 00:59:09.707: RADIUS/ENCODE(00000000): dropping service type, "radius-server attribute 6 on-for-login-auth" is off
Jul 19 00:59:09.707: RADIUS(00000000): Config NAS IP: 0.0.0.0
Jul 19 00:59:09.707: vrfid: [65535]  ipv6 tableid : [0]
Jul 19 00:59:09.707: idb is NULL
Jul 19 00:59:09.707: RADIUS(00000000): Config NAS IPv6: ::
Jul 19 00:59:09.707: RADIUS(00000000): sending
Jul 19 00:59:09.707: RADIUS/DECODE(00000000): There is no General DB. Want server details may not be specified
Jul 19 00:59:09.707: RADSEC: DTLS default secret
Jul 19 00:59:09.707: RADIUS/ENCODE: Best Local IP-Address 172.16.5.11 for Radius-Server 172.16.18.123
Jul 19 00:59:09.707: RADSEC: DTLS default secret
Jul 19 00:59:09.707: RADIUS(00000000): Send Access-Request to 172.16.18.123:2083 id 52764/13, len 54
RADIUS:  authenticator E8 09 1D B0 72 50 17 E6 - B4 27 F6 E3 18 25 16 64
Jul 19 00:59:09.707: RADIUS:  User-Password       [2]   18  *
Jul 19 00:59:09.707: RADIUS:  User-Name           [1]   10  "testuser"
Jul 19 00:59:09.707: RADIUS:  NAS-IP-Address      [4]   6   172.16.5.11               
Jul 19 00:59:09.707: RADIUS_RADSEC_ENQ_WAIT_Q: Success Server(172.16.18.123)/Id(13)
Jul 19 00:59:09.707: RADIUS_RADSEC_CLIENT_PROCESS: Got DATA SEND MSG
Jul 19 00:59:09.707: RADIUS_RADSEC_SOCK_SET:  0 Success
Jul 19 00:59:09.707: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 19 00:59:09.707: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 19 00:59:09.707: RADIUS_RADSEC_HASH_KEY_ADD_CTX: add [radius_radsec ctx(0x7522CE91BAC0)] succeedd for sock_no(0)
Jul 19 00:59:09.707: RADIUS_RADSEC_GET_SOURCE_ADDR: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_GET_SOCK_ADDR: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_SET_LOCAL_SOCK: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_SOCK_SET: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_BIND_SOCKET: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_CONN_SET_LPORT: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_CONN_SET_SERVER_PORT: Success
Jul 19 00:59:09.707: RADIUS_RADSEC_CLIENT_HS_START: local port = 49556
Jul 19 00:59:09.707: RADIUS_RADSEC_SOCKET_CONNECT: Success
Jul 19 00:59:09.709: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got radsec_data
Jul 19 00:59:09.709: RADIUS_RADSEC_UPDATE_SVR_REF_CNT: Got valid rctx, with server_handle B0000019
Jul 19 00:59:09.709: RADIUS_RADSEC_CLIENT_HS_START: TLS handshake in progress...(172.16.18.123/2083)
Jul 19 00:59:09.709: RADIUS_RADSEC_START_CONN_TIMER: Started (172.16.18.123/2083) for 5 secsUser rejected

uwu-9800#
Jul 19 00:59:09.709: RADIUS_RADSEC_CONN_STATE_UPDATE: Success - State = 2
Jul 19 00:59:09.711: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 19 00:59:09.711: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 19 00:59:09.711: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 19 00:59:09.711: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 19 00:59:09.711: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec  sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 19 00:59:09.711: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 19 00:59:09.711: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 19 00:59:09.711: RADIUS_RADSEC_START_CONN_TIMER: Started (172.16.18.123/2083) for 5 secs
Jul 19 00:59:09.711: RADIUS_RADSEC_HS_CONTINUE: TLS handshake in progress...(172.16.18.123/2083)
Jul 19 00:59:09.711: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Success
Jul 19 00:59:09.713: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 19 00:59:09.720: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 19 00:59:09.720: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 19 00:59:09.720: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 19 00:59:09.720: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 19 00:59:09.720: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec  sock_ctx(0x7522CE91BAC0:0) get for key sock_no(0) succeeded
Jul 19 00:59:09.720: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 19 00:59:09.720: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 19 00:59:09.722: RADIUS_RADSEC_HS_CONTINUE: TLS handshake failed!
Jul 19 00:59:09.722: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Success Server(172.16.18.123)/Id(13)
Jul 19 00:59:09.722: RADIUS_RADSEC_FAILOVER_HANDLER:Failng-over to new server = 0x0
Jul 19 00:59:09.722: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Empty Server(172.16.18.123)/Id(-1)
Jul 19 00:59:09.722: RADIUS_RADSEC_FAILOVER_HANDLER: no more data available
Jul 19 00:59:09.722: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 19 00:59:09.722: RADIUS_RADSEC_CONN_CLOSE: Cleaned up timers for Radius RADSEC ctx
Jul 19 00:59:09.722: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 19 00:59:09.722: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 19 00:59:09.722: RADIUS_RADSEC_HASH_KEY_DEL_CTX: remove [radius_radsec  ctx(0x7522CE91BAC0)] succeeded for sock_no(0)
Jul 19 00:59:09.722: RADIUS_RADSEC_CONN_CLOSE: Hash table entry removed for RADSEC sock ctx
Jul 19 00:59:09.723: RADIUS_RADSEC_CONN_CLOSE: Success
Jul 19 00:59:09.723: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Failed to complete TLS handshake <----------DTLS tunnel failed to negociate
Jul 19 00:59:09.723: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 19 00:59:09.723: RADIUS_RADSEC_CONN_CLOSE: Cleaned up timers for Radius RADSEC ctx
Jul 19 00:59:09.723: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(-1) generated for sock(-1)
Jul 19 00:59:09.723: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(-1) generated for sock(-1)
uwu-9800#
Jul 19 00:59:09.723: RADIUS_RADSEC_HASH_KEY_DEL_CTX: remove [radius_radsec  ctx(0x7522CE91BAC0)] succeeded for sock_no(-1)
Jul 19 00:59:09.723: RADIUS_RADSEC_CONN_CLOSE: Hash table entry removed for RADSEC sock ctx
Jul 19 00:59:09.723: RADIUS_RADSEC_CONN_CLOSE: Success
Jul 19 00:59:09.723: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Error
Jul 19 00:59:09.723: RADIUS_RADSEC_PROCESS_SOCK_EVENT: failed to hanlde radsec hs event
Jul 19 00:59:09.723: RADIUS/DECODE: No response from radius-server; parse response; FAIL
Jul 19 00:59:09.723: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL
Jul 19 00:59:09.723: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event
Jul 19 00:59:10.718: %RADSEC_AUDIT_MESSAGE-3-FIPS_AUDIT_FCS_RADSEC_SERVER_CERTIFICATE_VALIDATION_FAILURE: Chassis 1 R0/0: sessmgrd: RADSEC server certificate validation failed with server 172.16.18.123
Jul 19 00:59:10.718: %RADSEC_AUDIT_MESSAGE-3-FIPS_AUDIT_FCS_RADSEC_SERVER_IDENTITY_CHECK_FAILURE: Chassis 1 R0/0: sessmgrd: RADSEC server identity check failed with server 172.16.18.123 <-----WLC fails to validate the identity on the certificate
Jul 19 00:59:10.718: %RADSEC_AUDIT_MESSAGE-6-FIPS_AUDIT_FCS_DTLSC_DTLS_SESSION_CLOSED: Chassis 1 R0/0: sessmgrd: RADSEC DTLS connection closed with peer 172.16.18.123

    Para corregirlo, asegúrese de que la identidad configurada en el WLC coincida exactamente con una de las SAN incluidas en el certificado ISE:

    9800(config)#radius server 
    
    
      9800(config)#dtls match-server-identity hostname

    Asegúrese de que la cadena de certificados de la CA se importe correctamente en el controlador y de que el dtls trustpoint server configuration uses the Issuer CA trustpoint.

    CA desconocida notificada por ISE

    Cuando ISE no puede validar los certificados proporcionados por el WLC, no puede crear el túnel DTLS y las autenticaciones fallan. Esto se muestra como un error en los registros en directo de RADIUS. Vaya a Operaciones>Radio>Registros en directo para verificarlos.
    ISE Live Log Reports DTLS Handshake Failure due to Unknown CAISE Live Log informa de un fallo de enlace DTLS debido a una CA desconocida

    Para corregirlo, asegúrese de que tanto el certificado intermedio como el certificado raíz, seleccione las casillas de verificación Trust for client authentication and Syslog en Administration>System>Certificates>Trusted certificates.

    La comprobación de revocación está activa

    Cuando los certificados se importan al WLC, los trustpoints recién creados tienen habilitada la comprobación de revocación. Esto hace que el WLC intente buscar una lista de revocación de certificados que no está disponible o accesible y no supera la verificación del certificado.
    Asegúrese de que cada punto de confianza en la ruta de verificación de los certificados contenga el comando revocation-check none .

    Jul 17 21:50:39.064: RADIUS_RADSEC_HASH_KEY_MATCH: hashkey1(0) matches hashkey2(0) TRUE
Jul 17 21:50:39.064: RADIUS_RADSEC_HASH_KEY_GET_CTX: radius radsec  sock_ctx(0x780FB0715978:0) get for key sock_no(0) succeeded
Jul 17 21:50:39.064: RADIUS_RADSEC_PROCESS_SOCK_EVENT: Handle socket event for TLS handshake(172.16.18.123/2083)
Jul 17 21:50:39.064: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 17 21:50:39.068: %PKI-3-CRL_FETCH_FAIL: CRL fetch for trustpoint WLC1.pfx failed
                      Reason : Enrollment URL not configured. <------ WLC tries to perform revocation check
Jul 17 21:50:39.070: RADIUS_RADSEC_HS_CONTINUE: TLS handshake failed!
Jul 17 21:50:39.070: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Success Server(172.16.18.123)/Id(2)
Jul 17 21:50:39.070: RADIUS_RADSEC_FAILOVER_HANDLER:Failng-over to new server = 0x0
Jul 17 21:50:39.070: RADIUS_RADSEC_UNQUEUE_WAIT_Q: Empty Server(172.16.18.123)/Id(-1)
Jul 17 21:50:39.070: RADIUS_RADSEC_FAILOVER_HANDLER: no more data available
Jul 17 21:50:39.070: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Cleaned up timers for Radius RADSEC ctx
Jul 17 21:50:39.070: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(0) generated for sock(0)
Jul 17 21:50:39.070: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(0) generated for sock(0)
Jul 17 21:50:39.070: RADIUS_RADSEC_HASH_KEY_DEL_CTX: remove [radius_radsec  ctx(0x780FB0715978)] succeeded for sock_no(0)
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Hash table entry removed for RADSEC sock ctx
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Success
Jul 17 21:50:39.070: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Failed to complete TLS handshake
Jul 17 21:50:39.070: RADIUS_RADSEC_STOP_TIMER: Stopped (172.16.18.123/2083)
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Cleaned up timers for Radius RADSEC ctx
Jul 17 21:50:39.070: RADIUS_RADSEC_GENERATE_HASHKEY: hash key(-1) generated for sock(-1)
Jul 17 21:50:39.070: RADIUS_RADSEC_GENERATE_HASHBUCKET: hash bucket(-1) generated for sock(-1)
Jul 17 21:50:39.070: RADIUS_RADSEC_HASH_KEY_DEL_CTX: remove [radius_radsec  ctx(0x780FB0715978)] succeeded for sock_no(-1)
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Hash table entry removed for RADSEC sock ctx
Jul 17 21:50:39.070: RADIUS_RADSEC_CONN_CLOSE: Success
Jul 17 21:50:39.070: RADIUS_RADSEC_SOCK_TLS_EVENT_HANDLE: Error
Jul 17 21:50:39.070: RADIUS_RADSEC_PROCESS_SOCK_EVENT: failed to hanlde radsec hs event
Jul 17 21:50:39.070: RADIUS_RADSEC_CLIENT_PROCESS: Got Socket Event

    Resolución de problemas de establecimiento de túnel DTLS en captura de paquetes

    El 9800 WLC ofrece la captura de paquetes incorporada (EPC) característica que le permite capturar todo el tráfico enviado y recibido para una interfaz dada. ISE ofrece una función similar denominada volcado de TCP para supervisar el tráfico entrante y saliente.  Cuando se utilizan al mismo tiempo, le permiten analizar el tráfico de establecimiento de sesión DTLS desde la perspectiva de ambos dispositivos.

    Consulte la Guía del administrador de Cisco Identity Services Engine para obtener pasos detallados para configurar el volcado de TCP en ISE. Consulte también Troubleshooting Catalyst 9800 Wireless LAN Controllers para obtener información para configurar la función EPC en el WLC.

    Este es un ejemplo de establecimiento exitoso de un túnel DTLS.

    Packet Capture of a RADIUS DTLS Tunnel Negotiation and Encrypted MessagesCaptura de paquetes de una negociación de túnel RADIUS DTLS y mensajes cifrados

    Las capturas de paquetes muestran cómo ocurre el establecimiento del túnel DTLS. Si hay un problema con la negociación, desde tráfico perdido entre dispositivos o paquetes de alerta cifrados DTLS, la captura de paquetes le ayuda a identificar el problema.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    24-Oct-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Mario Medina
      Ingeniero de consultoría técnica

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos