Configurazione di 802.1X sui punti di accesso per PEAP o EAP-TLS con LSC

Introduzione

In questo documento viene descritto come autenticare i Cisco Access Point sulla porta dello switch con i metodi 802.1X PEAP o EAP-TLS.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Controller wireless
• Access Point
• Interruttore
• server ISE
• Autorità di certificazione.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Controller wireless: C9800-40-K9 con esecuzione il 17.09.02
• Access point: C9117AXI-D
• Switch: C9200L-24P-4G con versione 17.06.04
• Server AAA: ISE-VM-K9 con 3.1.0.518
• Autorità di certificazione: Windows Server 2016

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Se si desidera che i punti di accesso eseguano l'autenticazione con la porta dello switch utilizzando 802.1X, per impostazione predefinita utilizzano il protocollo di autenticazione EAP-FAST che non richiede certificati. Se si desidera che gli access point utilizzino il metodo PEAP-mschapv2 (che usa le credenziali sul lato AP ma un certificato sul lato RADIUS) o il metodo EAP-TLS (che usa i certificati su entrambi i lati), è necessario prima configurare LSC. È l'unico modo per effettuare il provisioning di un certificato di attendibilità/radice su un punto di accesso (e anche di un certificato di dispositivo nel caso di EAP-TLS). Non è possibile che l'access point esegua PEAP e ignori la convalida lato server. Questo documento descrive inizialmente la configurazione di LCS e quindi il lato configurazione 802.1X.

Utilizzare un LSC se si desidera che l'infrastruttura a chiave pubblica (PKI) fornisca una maggiore protezione, che abbia il controllo dell'Autorità di certificazione (CA) e che definisca criteri, restrizioni e utilizzi per i certificati generati.

Con LSC, il controller ottiene un certificato rilasciato dalla CA. Un access point non comunica direttamente con il server CA, ma il WLC richiede certificati per conto degli access point che vengono aggiunti. I dettagli del server CA devono essere configurati sul controller e devono essere accessibili.

Il controller utilizza il protocollo SCEP (Simple Certificate Enrollment Protocol) per inoltrare alla CA le richieste di certificati generate sui dispositivi e utilizza nuovamente SCEP per ottenere i certificati firmati dalla CA.

SCEP è un protocollo di gestione dei certificati utilizzato dai client PKI e dai server CA per supportare la registrazione e la revoca dei certificati. È ampiamente utilizzato in Cisco e supportato da molti server CA. In SCEP, HTTP viene utilizzato come protocollo di trasporto per i messaggi PKI. L'obiettivo principale di SCEP è il rilascio sicuro di certificati ai dispositivi di rete.

Esempio di rete

Configurazione

Ci sono due cose da configurare principalmente: SCEP CA e il 9800 WLC.

CA SCEP di Windows Server 2016

In questo documento viene descritta l'installazione di base di una CA SCEP di Windows Server a scopo di laboratorio. È necessario configurare in modo sicuro e appropriato un'autorità di certificazione Windows effettiva per le operazioni aziendali. Questa sezione ha lo scopo di facilitare il test in laboratorio e di trarre ispirazione dalle impostazioni necessarie per il funzionamento della configurazione. Di seguito i passaggi:

Passaggio 1.Installare un'esperienza desktop di Windows Server 2016 aggiornata.

Passaggio 2. Verificare che il server sia configurato con un indirizzo IP statico.

Passaggio 3. Installare un nuovo ruolo e servizio, iniziare con Servizi di dominio Active Directory e server DNS.

installazione di Active Directory

Fine dell'installazione di AD

Passaggio 4.Al termine, fare clic su nel dashboard per alzare di livello il server a controller di dominio.

Configurare i servizi AD

Passaggio 5. Creare una nuova foresta e scegliere un nome di dominio.

Scegliere un nome di foresta

Passaggio 6. Aggiungere il ruolo Servizi certificati al server:

Aggiungi servizi certificati

Aggiungi solo l'Autorità di certificazione

Passaggio 7.Al termine, configurare l'Autorità di certificazione.

Passaggio 8. Selezionare Enterprise CA.

CA Enterprise

Passaggio 9.Rendere la CA radice. A partire da Cisco IOS XE 17.6, le CA subordinate sono supportate per LSC.

Scelta di una CA radice

È importante che l'account utilizzato per la CA faccia parte del gruppo IIS_IUSRS. In questo esempio si utilizza l'account Administrator e si accede al menu Utenti e computer di Active Directory per aggiungere gli utenti Administrator al gruppo IIS_IUSRS.

Aggiungere l'account amministratore al gruppo IIS_USER

Passaggio 10.Dopo aver aggiunto un utente nel gruppo IIS appropriato, aggiungere ruoli e servizi. Aggiungere quindi i servizi Risponditore in linea e NDES all'Autorità di certificazione.

Installare i servizi NDES e Risponditore in linea

Passaggio 11.Una volta terminato, configurare i servizi.

Installa il risponditore online e il servizio NDES

Passaggio 12.Viene richiesto di scegliere un account del servizio. Questo è l'account aggiunto in precedenza al gruppo IIS_IUSRS.

Selezionare l'utente aggiunto al gruppo IIS

Passaggio 13.Questa operazione è sufficiente per le operazioni SCEP, ma per ottenere l'autenticazione 802.1X è necessario installare anche un certificato sul server RADIUS. Per semplificare questa operazione, installare e configurare il servizio di registrazione Web in modo da poter copiare e incollare facilmente la richiesta di certificato ISE sul server Windows.

Installa il servizio di registrazione Webconfigurare il servizio di registrazione web

Passaggio 14. Per verificare il corretto funzionamento del servizio SCEP, visitare il sito http://<serverip>/certsrv/mscep/mscep.dll :

Verifica portale SCEP

Passaggio 15.

Per impostazione predefinita, Windows Server ha utilizzato una password di verifica dinamica per autenticare le richieste client ed endpoint prima della registrazione in Microsoft SCEP (MSCEP). È necessario un account amministratore per accedere alla GUI Web e generare una password su richiesta per ogni richiesta (la password deve essere inclusa nella richiesta).Il controller non è in grado di includere questa password nelle richieste che invia al server. Per rimuovere questa funzionalità, è necessario modificare la chiave del Registro di sistema nel server NDES:

Aprire l'Editor del Registro di sistema, cercare Regedit nel menu Start.

Selezionare Computer > HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Crittografia > MSCEP > EnforcePassword

Modificare il valore di EnforcePassword su 0. Se è già 0, lasciarlo invariato.

Impostare il valore di Enforcepassword

Configurare il modello di certificato e il Registro di sistema

I certificati e le chiavi associate possono essere utilizzati in più scenari per scopi diversi definiti dai criteri di applicazione all'interno del server CA. I criteri di applicazione sono memorizzati nel campo Utilizzo chiave esteso (EKU) del certificato. Questo campo viene analizzato dall'autenticatore per verificare che venga utilizzato dal client per lo scopo previsto. Per assicurarsi che il criterio di applicazione appropriato sia integrato nei certificati WLC e AP, creare il modello di certificato appropriato e mapparlo al Registro di sistema NDES:

Passaggio 1. Selezionare Start > Strumenti di amministrazione > Autorità di certificazione.

Passaggio 2. Espandere la struttura di cartelle del server CA, fare clic con il pulsante destro del mouse sulle cartelle Modelli di certificato e selezionare Gestisci.

Passaggio 3. Fare clic con il pulsante destro del mouse sul modello di certificato Users, quindi scegliere Duplica modello dal menu di scelta rapida.

Passaggio 4. Passare alla scheda Generale, modificare il nome del modello e il periodo di validità come desiderato, lasciare deselezionate tutte le altre opzioni.

Attenzione: quando si modifica il periodo di validità, verificare che non sia superiore alla validità del certificato radice dell'Autorità di certificazione.

Configurare il modello di certificato

Passaggio 5. Passare alla scheda Nome soggetto e verificare che Fornitura nella richiesta sia selezionata. Viene visualizzata una schermata di popup che indica che gli utenti non hanno bisogno dell'approvazione dell'amministratore per ottenere la firma del certificato. Selezionare OK.

Fornire nella richiesta

Passaggio 6. Passare alla scheda Estensioni, quindi selezionare l'opzione Criteri di applicazione e selezionare il pulsante Modifica.... Verificare che Autenticazione client sia nella finestra Criteri di applicazione; in caso contrario, selezionare Aggiungi e aggiungerlo.

Verifica estensioni

Passaggio 7. Passare alla scheda Protezione, verificare che l'account del servizio definito nel passaggio 6 di Abilita servizi SCEP in Windows Server disponga delle autorizzazioni Controllo completo del modello, quindi selezionare Applica e OK.

Assegna controllo completo

Passaggio 8. Tornare alla finestra Autorità di certificazione, fare clic con il pulsante destro del mouse nella cartella Modelli di certificato e selezionare Nuovo > Modello di certificato da rilasciare.

Passaggio 9. Selezionare il modello di certificato creato in precedenza, in questo esempio 9800-LSC, e selezionare OK.

Nota: il modello di certificato appena creato può richiedere più tempo per essere elencato in più distribuzioni server in quanto deve essere replicato su tutti i server.

Scegliere il modello

Il nuovo modello di certificato è ora elencato nel contenuto della cartella Modelli di certificato.

Selezionare LSC

Passaggio 10. Tornare alla finestra Editor del Registro di sistema e selezionare Computer > HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Cryptography > MSCEP.

Passaggio 11. Modificare i registri EncryptionTemplate, GeneralPurposeTemplate e SignatureTemplate in modo che puntino al nuovo modello di certificato creato.

Modificare il modello nel Registro di sistema

Passaggio 12. Riavviare il server NDES, quindi tornare alla finestra Certification Authority, selezionare il nome del server e scegliere il pulsante Stop and Play.

Configurazione di LSC su 9800

Di seguito vengono riportati i passaggi in sequenza per configurare LSC per AP in WLC.

1. Creare la chiave RSA. Questa chiave viene utilizzata in seguito per il trust point PKI.
2. Creare un trust point e mappare la chiave RSA creata.
3. Abilitare il provisioning LSC per i punti di accesso e mappare il trust point.
   1. Abilitare LSC per tutti gli access point collegati.
   2. Abilitare LSC per i punti di accesso selezionati tramite l'elenco di provisioning.
4. Modificare il trust point di gestione wireless e puntare al trust point LSC.

Procedura di configurazione GUI di AP LSC

Passaggio 1. Passare a Configurazione > Sicurezza > Gestione PKI > Generazione coppia di chiavi.

1. Fare clic su Add (Aggiungi) e assegnare un nome appropriato.
2. Aggiungere le dimensioni della chiave RSA.
3. L'opzione chiave esportabile è facoltativa. Questa operazione è necessaria solo se si desidera esportare la chiave dalla casella.
4. Selezionare Genera

Passaggio 2. Passare a Configurazione > Sicurezza > Gestione PKI > Trustpoint

1. Fare clic su Add (Aggiungi) e assegnare un nome appropriato.
2. Immettere l'URL di registrazione (qui l'URL è http://10.106.35.61:80/certsrv/mscep/mscep.dll) e gli altri dettagli.
3. Selezionare le coppie di chiavi RSA create nel passaggio 1.
4. Fare clic su Authenticate.
5. Fare clic su Enroll trustpoint e immettere una password.
6. Fare clic su Applica a dispositivo.

3. Passare a Configurazione > Wireless > Access Point. Scorrere verso il basso e selezionare LSC Provision.

1. Selezionare lo stato come abilitato. Ciò abilita LSC per tutti gli access point connessi a questo WLC.
2. Selezionare il nome del trust point creato nel passaggio 2.

Compilate il resto dei dettagli in base alle vostre esigenze.

Dopo aver abilitato LSC, i punti di accesso scaricano il certificato tramite WLC e lo riavviano. Nella sessione della console dell'access point verrà quindi visualizzato un frammento di codice simile a questo.

Passaggio 4. Dopo aver abilitato LSC, è possibile modificare il certificato di gestione wireless in modo che corrisponda al trust point LSC. In questo modo, gli access point si uniscono ai relativi certificati LSC e il WLC utilizza il proprio certificato LSC per l'aggiunta all'access point. Questa operazione è facoltativa se l'unica operazione che si desidera eseguire è l'autenticazione 802.1X dei punti di accesso.

1. Selezionare Configurazione > Interfaccia > Wireless, quindi fare clic su Interfaccia di gestione.
2. Modificare il trust point in modo che corrisponda al trust point creato nel passaggio 2.

La parte di configurazione dell'interfaccia utente grafica di LSC è terminata. Gli access point devono essere in grado di collegarsi al WLC utilizzando il certificato LSC.

Passi di configurazione CLI di AP LSC

1. Creare una chiave RSA utilizzando questo comando.

9800-40(config)#crypto key generate rsa general-keys modulus 2048 label AP-SCEP

% You already have RSA keys defined named AP-SCEP.
% They will be replaced
% The key modulus size is 2048 bits
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 0 seconds)
Sep 27 05:08:13.144: %CRYPTO_ENGINE-5-KEY_DELETED: A key named AP-SCEP has been removed from key storage
Sep 27 05:08:13.753: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named AP-SCEP has been generated or imported by crypto-engine

2. Creare un trust point PKI ed eseguire il mapping della coppia di chiavi RSA. Immettere l'URL di registrazione e il resto dei dettagli.

9800-40(config)#crypto pki trustpoint Access_Point-MS-CA
9800-40(ca-trustpoint)#enrollment url http://10.106.35.61:80/certsrv/mscep/mscep.dll
9800-40(ca-trustpoint)#subject-name C=IN,L=Bengaluru,ST=KA,O=TAC,CN=TAC-LAB.cisco.local,E=mail@tac-lab.local 
9800-40(ca-trustpoint)#rsakeypair AP-SCEP
9800-40(ca-trustpoint)#revocation none
9800-40(ca-trustpoint)#exit

3. Autenticare e registrare il trust point PKI con il server CA utilizzando il comando crypto pki authentication <trustpoint>. Immettere una password nel prompt della password.

9800-40(config)#crypto pki authenticate Access_Point-MS-CA
Certificate has the following attributes:
Fingerprint MD5: C44D21AA 9B489622 4BF548E1 707F9B3B
Fingerprint SHA1: D2DE6E8C BA665DEB B202ED70 899FDB05 94996ED2
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted. 
9800-40(config)#crypto pki enroll Access_Point-MS-CA
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Sep 26 01:25:00.880: %PKI-6-CERT_ENROLL_MANUAL: Manual enrollment for trustpoint Access_Point-MS-CA
Re-enter password:
% The subject name in the certificate will include: C=IN,L=Bengaluru,ST=KA,O=TAC,CN=TAC-LAB.cisco.local,E=mail@tac-lab.local
% The subject name in the certificate will include: 9800-40.cisco.com
% Include the router serial number in the subject name? [yes/no]: yes
% The serial number in the certificate will be: TTM244909MX
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose Access_Point-MS-CA' commandwill show the fingerprint.
Sep 26 01:25:15.062: %PKI-6-CSR_FINGERPRINT:
CSR Fingerprint MD5 : B3D551528B97DA5415052474E7880667
CSR Fingerprint SHA1: D426CE9B095E1B856848895DC14F997BA79F9005
CSR Fingerprint SHA2: B8CEE743549E3DD7C8FA816E97F2746AB48EE6311F38F0B8F4D01017D8081525
Sep 26 01:25:15.062: CRYPTO_PKI: Certificate Request Fingerprint MD5 :B3D55152 8B97DA54 15052474 E7880667
Sep 26 01:25:15.062: CRYPTO_PKI: Certificate Request Fingerprint SHA1 :D426CE9B 095E1B85 6848895D C14F997B A79F9005
Sep 26 01:25:15.063: CRYPTO_PKI: Certificate Request Fingerprint SHA2 :B8CEE743 549E3DD7 C8FA816E 97F2746A B48EE631 1F38F0B8 F4D01017 D8081525
Sep 26 01:25:30.239: %PKI-6-CERT_INSTALL: An ID certificate has been installed under
Trustpoint : Access_Point-MS-CA
Issuer-name : cn=sumans-lab-ca,dc=sumans,dc=tac-lab,dc=com
Subject-name : e=mail@tac-lab.local,cn=TAC-LAB.cisco.local,o=TAC,l=Bengaluru,st=KA,c=IN,hostname=9800-40.cisco.com,serialNumber=TTM244909MX
Serial-number: 5C0000001400DD405D77E6FE7F000000000014
End-date : 2024-09-25T06:45:15Z
9800-40(config)#

4. Configurare il join AP con il certificato LSC.

9800-40(config)#ap lsc-provision join-attempt 10
9800-40(config)#ap lsc-provision subject-name-parameter country IN state KA city Bengaluru domain TAC-LAB.cisco.local org TAC email-address mail@tac-lab.local
9800-40(config)#ap lsc-provision key-size 2048
9800-40(config)#ap lsc-provision trustpoint Access_Point-MS-CA
9800-40(config)#ap lsc-provision
In Non-WLANCC mode APs will be provisioning with RSA certificates with specified key-size configuration. In WLANCC mode APs will be provisioning with EC certificates with a 384 bit key.
Are you sure you want to continue? (y/n): y

5. Modificare il trust di gestione wireless in modo che corrisponda al trust point creato in precedenza.

9800-40(config)#wireless management trustpoint Access_Point-MS-CA

Verifica LSC AP

Eseguire questi comandi sul WLC per verificare il LSC.

#show wireless management trustpoint
#show ap lsc-provision summary
#show ap name < AP NAME > config general | be Certificate

Una volta ricaricati gli access point, accedere alla CLI dell'access point ed eseguire questi comandi per verificare la configurazione di LSC.

#show crypto | be LSC
#show capwap cli config | in lsc
#show dtls connection

Risoluzione dei problemi di provisioning LSC

È possibile eseguire un'acquisizione EPC dalla porta dello switch di uplink WLC o AP per verificare il certificato utilizzato dal punto di accesso per formare il tunnel CAPWAP. Verificare dal PCAP se la creazione del tunnel DTLS è riuscita.

I debug DTLS possono essere eseguiti su AP e WLC per comprendere il problema del certificato.

---

Autenticazione 802.1X cablata AP tramite LSC

Il punto di accesso è configurato per utilizzare lo stesso certificato LSC per autenticarsi. AP agisce come supplicant 802.1X ed è autenticato dallo switch sul server ISE. Il server ISE comunica con AD nel back-end.

Flusso di lavoro autenticazione EAP-TLS e scambio messaggi

Passi di configurazione dell'autenticazione 802.1x per dispositivi cablati AP

1. Abilitare dot1x port auth insieme a CAPWAP DTLS e selezionare il tipo EAP.
2. Creare credenziali dot1x per i punti di accesso.
3. Abilitare dot1x sulla porta dello switch.
4. Installare un certificato attendibile nel server RADIUS.

Configurazione GUI autenticazione 802.1x cablata AP

1. Passare al profilo di join AP e fare clic sul profilo.
   1. Fare clic su AP > Generale. Selezionare il tipo EAP e il tipo di autorizzazione AP come "CAPWAP DTLS + dot1x port auth".
   2. Selezionare Gestione > Credenziali e creare un nome utente e una password per l'autenticazione AP dot1x.

Configurazione CLI autenticazione 802.1x cablata AP

Usare questi comandi per abilitare il dot1x per gli access point dalla CLI. In questo modo viene abilitata solo l'autenticazione cablata per i punti di accesso che utilizzano il profilo di join specifico.

#ap profile ap-auth
#dot1x eap-type eap-tls
#dot1x lsc-ap-auth-state both
#dot1x username ap-wired-user password 0 cisco!123

Configurazione switch di autenticazione 802.1x cablato AP

Queste configurazioni dello switch vengono usate in LAB per abilitare l'autenticazione tramite cavo AP. È possibile avere configurazioni diverse in base al progetto.

aaa new-model
dot1x system-auth-control
aaa authentication dot1x default group radius
aaa authorization network default group radius
radius server ISE
address ipv4 10.106.34.170 auth-port 1812 acct-port 1813
key cisco!123
!
interface GigabitEthernet1/0/2
description "AP-UPLINK-PORT-AUTH-ENABLED"
switchport access vlan 101
switchport mode access
authentication host-mode multi-host
authentication order dot1x
authentication priority dot1x
authentication port-control auto
dot1x pae authenticator
end

Installazione certificato server RADIUS

L'autenticazione viene eseguita tra il punto di accesso (che agisce come supplicant) e il server RADIUS. Entrambi devono considerare attendibile l'altro certificato. L'unico modo per fare in modo che l'access point consideri attendibile il certificato del server RADIUS è che il server RADIUS utilizzi un certificato rilasciato dalla CA SCEP che ha rilasciato anche il certificato dell'access point.

In ISE, andare a Amministrazione > Certificati > Genera richieste di firma del certificato

Generare un CSR e compilare i campi con le informazioni del nodo ISE.

Una volta generato, potete esportarlo e copiarlo e incollarlo come testo.

Passare all'indirizzo IP della CA di Windows e aggiungere /certsrv/ all'URL

Fare clic su Richiedi certificato

Fare clic su Invia una richiesta di certificato utilizzando una base 64 ....

Incollare il testo CSR nella casella di testo. Scegliere il modello di certificato del server Web.

È quindi possibile installare il certificato in ISE tornando al menu Richiesta di firma del certificato e facendo clic su Binding del certificato. È quindi possibile caricare il certificato ottenuto dall'unità C di Windows.

Verifica autenticazione 802.1x cablata AP

Accedere alla console al punto di accesso ed eseguire il comando:

#show ap authentication status

Autenticazione app non abilitata:

Registri console da AP dopo l'abilitazione dell'autenticazione AP:

Autenticazione del punto di accesso completata:

Verifica WLC:

Stato interfaccia Switchport dopo autenticazione riuscita:

Di seguito è riportato un esempio di log della console del punto di accesso che indica la riuscita dell'autenticazione:

[*09/26/2023 07:33:57.5512] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.5513] hostapd:EAP: Status notification: started (param=)
[*09/26/2023 07:33:57.5513] hostapd:EAP: EAP-Request Identity
[*09/26/2023 07:33:57.5633] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.5634] hostapd:EAP: Status notification: accept proposed method (param=TLS)
[*09/26/2023 07:33:57.5673] hostapd:dot1x: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 13 (TLS) selected
[*09/26/2023 07:33:57.5907] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.5977] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6045] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6126] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6137] hostapd:dot1x: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/DC=com/DC=tac-lab/DC=sumans/CN=sumans-lab-ca' hash=50db86650becf451eae2c31219ea08df9eda102c79b3e62fb6edf6842ee86db6
[*09/26/2023 07:33:57.6145] hostapd:dot1x: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=IN/ST=KA/L=BLR/O=CISCO/OU=TAC/CN=HTTS-ISE.htts-lab.local' hash=12bec6b738741d79a218c098553ff097683fe1a9a76a7996c3f799d0c184ae5e
[*09/26/2023 07:33:57.6151] hostapd:EAP: Status notification: remote certificate verification (param=success)
[*09/26/2023 07:33:57.6539] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6601] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6773] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.7812] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.7812] hostapd:EAP: Status notification: completion (param=success)
[*09/26/2023 07:33:57.7812] hostapd:dot1x: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
[*09/26/2023 07:33:57.7813] hostapd:dot1x: State: ASSOCIATED -> COMPLETED
[*09/26/2023 07:33:57.7813] hostapd:dot1x: CTRL-EVENT-CONNECTED - Connection to 01:80:c2:00:00:03 completed [id=0 id_str=]

Risoluzione dei problemi di autenticazione 802.1X

Prendere PCAP sul collegamento uplink AP e verificare l'autenticazione radius. Di seguito è riportato un frammento di autenticazione riuscita.

TCPdump collect da ISE, acquisire l'autenticazione.

In caso di problemi durante l'autenticazione, sarà necessaria l'acquisizione simultanea di pacchetti da un uplink cablato AP e dal lato ISE.

Comando debug per AP:

#debug ap authentication packet

Informazioni correlate

• Supporto tecnico Cisco e download
• Configurazione di 802.1X sull'access point con AireOS
• Guida alla configurazione di 9800 per LSC
• Esempio di configurazione LSC per 9800
• Configurazione di 802.1X per i punti di accesso su 9800