9800 WLCでの外部Web認証の設定およびトラブルシューティング
内容
はじめに
このドキュメントでは、Catalyst 9800ワイヤレスLANコントローラ(WLC)での外部Web認証(EWA)の設定およびトラブルシューティング方法について説明します。
前提条件
このドキュメントでは、Webサーバが外部通信を許可するように適切に設定され、WLCがユーザを認証し、クライアントセッションをRUN状態に移行するために必要なすべてのパラメータを送信するようにWebページが適切に設定されていることを前提としています。
ユーザ認証に必要なパラメータは次のとおりです。
- buttonClicked:WLCが認証の試行としてアクションを検出できるようにするには、このパラメータの値を「4」に設定する必要があります。
- redirectUrl:このパラメータの値は、認証が成功したときにクライアントを特定のWebサイトに誘導するためにコントローラによって使用されます。
- err_flag:このパラメータは、不完全な情報や誤ったクレデンシャルなどのエラーを示すために使用されます。認証が成功すると「0」に設定されます。
- username:このパラメータはwebauthパラメータマップでのみ使用されます。パラメータマップがconsentに設定されている場合は無視できます。ワイヤレスクライアントのユーザ名を入力する必要がある
- password:このパラメータはwebauthパラメータマップでのみ使用されます。パラメータマップがconsentに設定されている場合は無視できます。ワイヤレスクライアントパスワードを入力する必要があります。
要件
次の項目に関する知識があることが推奨されます。
- Hyper Text Markup Language(HTML)Web開発
- Cisco IOS®-XEワイヤレス機能
- Webブラウザ開発者ツール
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- C9800-CL WLC Cisco IOS®-XEバージョン17.3.3
- インターネットインフォメーションサービス(IIS)機能を備えたMicrosoft Windows Server 2012
- 2802および9117アクセスポイント
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
外部Web認証では、専用Webサーバ上のWLCの外部でホストされるWebポータル、またはIdentity Services Engine(ISE)などの多目的サーバを利用して、Webコンポーネントのきめ細かなアクセスと管理を可能にします。クライアントを外部Web認証WLANに正常にオンボードするために必要なハンドシェイクは、イメージでレンダリングされます。この図は、ワイヤレスクライアント、WLC、ドメインネームシステム(DNS)サーバ間のUniform Resource Location(URL)を解決する一連のインタラクション、およびWLCがユーザクレデンシャルをローカルで検証するWebサーバを示しています。このワークフローは、障害状態のトラブルシューティングに役立ちます。
設定
ネットワーク図
Webパラメータの設定
ステップ 1:Configuration > Security > Web Auth の順に移動し、グローバルパラメータマップを選択します。適切なリダイレクション機能を提供するために仮想IPv4アドレスとトラストポイントが設定されていることを確認します。
CLI による設定:
9800#configure terminal 9800(config)#parameter-map type webauth global 9800(config-params-parameter-map)#virtual-ip ipv4 192.0.2.1 9800(config-params-parameter-map)#trustpoint CISCO_IDEVID_SUDI
9800(config-params-parameter-map)#secure-webauth-disable
9800(config-params-parameter-map)#webauth-http-enable
ステップ 2:+ Addを選択し、外部サーバを指す新しいパラメータマップの名前を設定します。オプションで、クライアントが除外されるまでのHTTP認証エラーの最大数と、クライアントがWeb認証状態を維持できる時間(秒単位)を設定します。
ステップ 3:Generalタブで、新しく作成したパラメータマップを選択し、Typeドロップダウンリストから認証タイプを設定します。
- Parameter-map name = WebAuthパラメータマップに割り当てられた名前
- 最大HTTP接続数=クライアントが除外されるまでの認証エラーの数
- Init-State Timeout (seconds) =クライアントがWeb認証の状態を維持できる秒数
- Type = Web認証のタイプ
| webauth | 認証バイパス | 同意 | Web承諾 |
 |
クライアントが SSIDを使用してIPアドレスを取得し、9800 WLCを使用して MACアドレスが を入力すると、 ネットワーク(存在する場合)が移動されます RUNステートに設定されていない場合、 参加できません。 (Web認証にはフォールバックしません)。 |
 |
 |
ステップ 4: Advancedタブで、ログイン用とポータル用のIPアドレス用のリダイレクトを、それぞれ特定のサーバサイトのURLとIPアドレスを使用して設定します。
手順2、3、および4のCLI設定:
9800(config)#parameter-map type webauth EWA-Guest 9800(config-params-parameter-map)#type consent 9800(config-params-parameter-map)#redirect for-login http://172.16.80.8/webauth/login.html 9800(config-params-parameter-map)#redirect portal ipv4 172.16.80.8
ステップ5: (オプション)WLCは、クエリ文字列を使用して追加のパラメータを送信できます。これは、9800をサードパーティ製の外部ポータルと互換性を持たせるために必要な場合がよくあります。「Redirect Append for AP MAC Address」、「Redirect Append for Client MAC Address」、および「Redirect Append for WLAN SSID」フィールドを使用すると、カスタム名を使用して追加パラメータをリダイレクトACLに追加できます。 新しく作成したパラメータマップを選択し、Advancedタブに移動して、必要なパラメータの名前を設定します。使用可能なパラメータは次のとおりです。
- APのMACアドレス(aa:bb:cc:dd:ee:ff形式)
- クライアントMACアドレス(aa:bb:cc:dd:ee:ff形式)
- SSID名
CLI による設定:
9800(config)#parameter-map type webauth EWA-Guest
9800(config-params-parameter-map)#redirect append ap-mac tag ap_mac
9800(config-params-parameter-map)#redirect append wlan-ssid tag ssid
9800(config-params-parameter-map)#redirect append client-mac tag client_mac
この例では、クライアントに送信されるリダイレクションURLは次のようになります。
http://172.16.80.8/webauth/consent.html?switch_url=http://192.0.2.1/login.html&ap_mac=&ssid=&client_mac=
CLI設定の要約:
ローカルWebサーバ
parameter-map type webauth <web-parameter-map-name>
type { webauth | authbypass | consent | webconsent }
timeout init-state sec 300
banner text ^Cbanner login^C
外部Webサーバ
parameter-map type webauth <web-parameter-map-name> type webauth timeout init-state sec 300 redirect for-login <URL-for-webauth> redirect portal ipv4 <external-server's-IP max-http-conns 10
AAAの設定
この設定セクションは、WebAuthまたはWebConsentのいずれかの認証タイプ用に設定されたパラメータマップに対してのみ必要です。
ステップ 1:Configuration > Security > AAAの順に移動し、AAA Method Listを選択します。新しい方式リストを設定し、+追加を選択してリストの詳細を入力します。次の図に示すように、タイプが「login」に設定されていることを確認してください。
ステップ 2:Authorization を選択し、+ Addを選択して新しい方式リストを作成します。図に示すように、デフォルトの名前をType as networkに設定します。
注:コントローラはWLANレイヤ3セキュリティ設定:中にアドバタイズするため、ローカルログイン方式リストが機能するには、設定「aaa authorization network default local」がデバイスに存在することを確認してください。つまり、ローカルWeb認証を適切に設定するには、defaultという名前の許可方式リストを定義する必要があります。このセクションでは、この特定の認可方式リストを設定します。
手順1および2のCLI設定:
9800(config)#aaa new-model
9800(config)#aaa authentication login local-auth local
9800(config)#aaa authorization network default local
ステップ 3:Configuration > Security > Guest Userの順に移動します。+ Addを選択し、ゲストユーザアカウントの詳細を設定します。
CLI による設定:
9800(config)#user-name guestuser
9800(config-user-name)#description "WebAuth user"
9800(config-user-name)#password 0 <password>
9800(config-user-name)#type network-user description "WebAuth user" guest-user lifetime year 1
If permanent users are needed then use this command:
9800(config)#username guestuserperm privilege 0 secret 0 <password>
ステップ4:(オプション)パラメータマップを定義すると、複数のアクセスコントロールリスト(ACL)が自動的に作成されます。これらのACLは、どのトラフィックがWebサーバへのリダイレクションをトリガーし、どのトラフィックが通過を許可されるかを定義するために使用されます。複数のWebサーバのIPアドレスやURLフィルタなど、特定の要件が存在する場合は、Configuration > Security > ACLの順に選択し、+ Addを選択して必要なルールを定義します。deny文はトラフィックが通過することを定義しますが、permit文はリダイレクトされます。
自動作成されたACLルールは次のとおりです。
alz-9800#show ip access-list
Extended IP access list WA-sec-172.16.80.8
10 permit tcp any host 172.16.80.8 eq www
20 permit tcp any host 172.16.80.8 eq 443
30 permit tcp host 172.16.80.8 eq www any
40 permit tcp host 172.16.80.8 eq 443 any
50 permit tcp any any eq domain
60 permit udp any any eq domain
70 permit udp any any eq bootpc
80 permit udp any any eq bootps
90 deny ip any any (1288 matches)
Extended IP access list WA-v4-int-172.16.80.8
10 deny tcp any host 172.16.80.8 eq www
20 deny tcp any host 172.16.80.8 eq 443
30 permit tcp any any eq www
40 permit tcp any host 192.0.2.1 eq 443
ポリシーとタグの設定
ステップ 1:Configuration > Tags & Profiles > WLANsの順に移動し、+ Addを選択して新しいWLANを作成します。Generalタブで、プロファイル、SSID名、およびStatusを定義します。
ステップ 2:Over-the-Air暗号化メカニズムが不要な場合は、Securityタブを選択して、Layer 2 authenticationをNoneに設定します。Layer 3タブで、Web Policyボックスにチェックマークを入れ、ドロップダウンメニューからパラメータマップを選択し、ドロップダウンメニューから認証リストを選択します。オプションで、カスタムACLが以前に定義されている場合、[詳細設定の表示]を選択し、ドロップダウンメニューから適切なACLを選択します。
CLI の設定:
9800(config)#wlan EWA-Guest 4 EWA-Guest
9800(config-wlan)# no security ft adaptive
9800(config-wlan)# no security wpa
9800(config-wlan)# no security wpa wpa2
9800(config-wlan)# no security wpa wpa2 ciphers aes
9800(config-wlan)# no security wpa akm dot1x
9800(config-wlan)# security web-auth
9800(config-wlan)# security web-auth authentication-list local-auth
9800(config-wlan)# security web-auth parameter-map EWA-Guest
9800(config-wlan)# no shutdown
ステップ 3:Configuration > Tags & Profiles > Policyの順に移動し、+ Addを選択します。ポリシーの名前とステータスを定義します。WLANスイッチングポリシーの下のCentral設定がローカルモードAPに対して有効になっていることを確認します。Access Policiesタブで、図のように、VLAN/VLAN Groupドロップダウンメニューから正しいVLANを選択します。
CLI による設定:
9800(config)#wireless profile policy Guest-Policy
9800(config-wireless-policy)#description "Policy for guest access"
9800(config-wireless-policy)#vlan VLAN2621
9800(config-wireless-policy)#no shutdown
ステップ 4:Configuration > Tags & Profiles > Tagsの順に移動し、Policyタブで+ Addを選択します。タグ名を定義して、WLAN-POLICY Mapsで+ Addを選択し、以前に作成したWLANとポリシープロファイルを追加します。
CLI による設定:
9800(config)#wireless tag policy EWA-Tag
9800(config-policy-tag)#wlan EWA-Guest policy Guest-Policy
ステップ 5:Configuration > Wireless > Access Pointsの順に移動し、このSSIDのブロードキャストに使用するAPを選択します。Edit APメニューで、Policyドロップダウンメニューから新しく作成したタグを選択します。
複数のAPに同時にタグを付ける必要がある場合は、次の2つのオプションを使用できます。
オプションA. Configuration > Wireless Setup > Advancedの順に移動し、そこからStart Nowを選択して、設定メニューリストを表示します。Tag APsの横にあるリストアイコンを選択します。これにより、Join状態にあるすべてのAPのリストが表示され、必要なAPのチェックボックスをオンにしてから、+ Tag APsを選択します。次に、ドロップダウンメニューから作成したポリシータグを選択します。
オプションB. Configuration > Tags & Profiles > Tagsの順に選択します。次に、APタブを選択します。Filterタブで+ Addを選択します。ルール名、AP名regex(この設定により、コントローラはどのAPにタグ付けするかを定義できます)、優先度(小さい数値ほど優先度が高くなります)、および必要なタグを定義します。
確認
このセクションでは、設定が正常に動作していることを確認します。
9800#show running-config wlan 9800#show running-config aaa 9800#show aaa servers
9800#show ap tag summary
9800#show ap name <ap-name> config general
9800#show ap name <ap-name> tag detail
9800#show wlan [summary | id | name | all]
9800#show wireless tag policy detailed <policy-tag name>
9800#show wireless profile policy detailed <policy-profile name>
show ip http server statusを使用して、httpサーバのステータスと可用性を確認します。
9800#show ip http server status
HTTP server status: Enabled
HTTP server port: 80
HTTP server active supplementary listener ports: 21111
HTTP server authentication method: local
HTTP server auth-retry 0 time-window 0
HTTP server digest algorithm: md5
HTTP server access class: 0
HTTP server IPv4 access class: None
HTTP server IPv6 access class: None
[...]
HTTP server active session modules: ALL
HTTP secure server capability: Present
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: rsa-aes-cbc-sha2 rsa-aes-gcm-sha2
dhe-aes-cbc-sha2 dhe-aes-gcm-sha2 ecdhe-rsa-aes-cbc-sha2
ecdhe-rsa-aes-gcm-sha2 ecdhe-ecdsa-aes-gcm-sha2
HTTP secure server TLS version: TLSv1.2 TLSv1.1
HTTP secure server client authentication: Disabled
HTTP secure server PIV authentication: Disabled
HTTP secure server PIV authorization only: Disabled
HTTP secure server trustpoint: CISCO_IDEVID_SUDI
HTTP secure server peer validation trustpoint:
HTTP secure server ECDHE curve: secp256r1
HTTP secure server active session modules: ALL
次のコマンドを使用して、ACLがクライアントセッションに組み込まれていることを確認します。
9800#show platform software wireless-client chassis active R0 mac-address <Client mac in aaaa.bbbb.cccc format>
ID : 0xa0000002
MAC address : aaaa.bbbb.cccc
Type : Normal
Global WLAN ID : 4
SSID : EWA-Guest
Client index : 0
Mobility state : Local
Authentication state : L3 Authentication
VLAN ID : 2621
[...]
Disable IPv6 traffic : No
Dynamic policy template : 0x7b 0x73 0x0b 0x1e 0x46 0x2a 0xd7 0x8f 0x23 0xf3 0xfe 0x9e 0x5c 0xb0 0xeb 0xf8
9800#show platform software cgacl chassis active F0
Template ID Group Index Lookup ID Number of clients
---------------------------------------------------------------------------------------------------------------------------------------------
0x7B 0x73 0x0B 0x1E 0x46 0x2A 0xD7 0x8F 0x23 0xF3 0xFE 0x9E 0x5C 0xB0 0xEB 0xF8 0x0000000a 0x0000001a 1
9800#show platform software cgacl chassis active F0 group-idx <group index> acl
Acl ID Acl Name CGACL Type Protocol Direction Sequence
---------------------------------------------------------------------------------------------------------
16 IP-Adm-V6-Int-ACL-global Punt IPv6 IN 1
25 WA-sec-172.16.80.8 Security IPv4 IN 2
26 WA-v4-int-172.16.80.8 Punt IPv4 IN 1
19 implicit_deny Security IPv4 IN 3
21 implicit_deny_v6 Security IPv6 IN 3
18 preauth_v6 Security IPv6 IN 2
トラブルシュート
常時トレース
WLC 9800には常時トレース機能があります。これにより、クライアント接続に関連するすべてのエラー、警告、および通知レベルのメッセージが継続的にログに記録され、発生後にインシデントまたは障害状態のログを表示できます。
9800 WLCがデフォルトで収集したトレースを表示するには、SSH/Telnet経由で9800 WLCに接続し、次の手順を読みます(セッションをテキストファイルに記録していることを確認します)。
ステップ 1:コントローラの現在時刻を確認して、問題が発生した時刻までログを追跡できるようにします。
9800#show clock
ステップ 2:システム設定に従って、コントローラのバッファまたは外部syslogからsyslogを収集します。これにより、システムの健全性とエラー(ある場合)のクイックビューが提供されます。
9800#show logging
ステップ 3:デバッグ条件が有効になっているかどうかを確認します。
9800#show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
ステップ 4:テスト対象のMACアドレスがステップ3の条件としてリストされていないことが前提です。特定のMACアドレスのAlways-On Notice Level(AToS)トレースを収集します。
9800# show logging profile wireless filter [mac | ip] [<aaaa.bbbb.cccc> | <a.b.c.d>] to-file always-on-<FILENAME.txt>
セッションで内容を表示するか、ファイルを外部 TFTP サーバーにコピーできます。
9800# more bootflash:always-on-<FILENAME.txt>
or
9800# copy bootflash:always-on-<FILENAME.txt> tftp://<a.b.c.d>/<path>/always-on-<FILENAME.txt>
条件付きデバッグとラジオアクティブトレース
常時オン状態のトレースでは、調査中の問題のトリガーを判別するために十分な情報が得られない場合は、条件付きデバッグを有効にして、無線アクティブ(RA)トレースをキャプチャできます。これにより、指定された条件(この場合はクライアントMACアドレス)と対話するすべてのプロセスにデバッグレベルのトレースが提供されます。条件付きデバッグを有効にするには、次の手順を参照してください。
ステップ 1:デバッグ条件が有効になっていないことを確認します。
9800#clear platform condition all
ステップ 2:監視するワイヤレスクライアントのMACアドレスのデバッグ条件を有効にします。
次のコマンドは、指定された MAC アドレスの 30 分間(1800 秒)のモニターを開始します。必要に応じて、この時間を最大 2085978494 秒まで増やすことができます。
9800#debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
ステップ 3:監視する問題または動作を再現します。
ステップ 4:デフォルトまたは設定されたモニタ時間が経過する前に問題が再現した場合は、デバッグを停止します。
9800#no debug wireless mac <aaaa.bbbb.cccc>
モニター時間が経過するか、debug wireless が停止すると、9800 WLC では次の名前のローカルファイルが生成されます。
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
ステップ 5: MAC アドレスアクティビティのファイルを収集します。 ra trace.log を外部サーバーにコピーするか、出力を画面に直接表示できます。
RA トレースファイルの名前を確認します。
9800#dir bootflash: | inc ra_trace
ファイルを外部サーバーにコピーします。
9800#copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://<a.b.c.d>/ra-FILENAME.txt
内容を表示します。
9800#more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
手順 6:根本原因がまだ明らかでない場合は、デバッグレベルのログのより詳細なビューである内部ログを収集します。このコマンドは、すでに収集されて内部で保存されているデバッグログを提供するため、クライアントを再度デバッグする必要はありません。
9800#show logging profile wireless internal filter [mac | ip] [<aaaa.bbbb.cccc> | <a.b.c.d>] to-file ra-internal-<FILENAME>.txt
9800#copy bootflash:ra-internal-<FILENAME>.txt tftp://<a.b.c.d>/ra-internal-<FILENAME>.txt
内容を表示します。
9800#more bootflash:ra-internal-<FILENAME>.txt
手順 7:デバッグ条件を削除します。
組み込みパケットキャプチャ
9800コントローラはパケットをネイティブにスニファできるため、コントロールプレーンのパケット処理の可視性などのトラブルシューティングが容易になります。
ステップ 1:対象のトラフィックをフィルタリングするACLを定義します。Web認証では、Webサーバとの間のトラフィックだけでなく、クライアントが接続されているAP間のトラフィックも許可することを推奨します。
9800(config)#ip access-list extended EWA-pcap
9800(config-ext-nacl)#permit ip any host <web server IP>
9800(config-ext-nacl)#permit ip host <web server IP> any
9800(config-ext-nacl)#permit ip any host <AP IP>
9800(config-ext-nacl)#permit ip host <AP IP> any
ステップ 2:モニタキャプチャパラメータを定義します。コントロールプレーントラフィックが両方向で有効になっていること、インターフェイスがコントローラの物理アップリンクを参照していることを確認します。
9800#monitor capture EWA buffer size <buffer size in MB>
9800#monitor capture EWA access-list EWA-pcap
9800#monitor capture EWA control-plane both interface <uplink interface> both
9800#show monitor capture EWA
Status Information for Capture EWA
Target Type:
Interface: Control Plane, Direction: BOTH
Interface: TenGigabitEthernet0/1/0, Direction: BOTH
Status : Inactive
Filter Details:
Access-list: EWA-pcap
Inner Filter Details:
Buffer Details:
Buffer Type: LINEAR (default)
Buffer Size (in MB): 100
Limit Details:
Number of Packets to capture: 0 (no limit)
Packet Capture duration: 0 (no limit)
Packet Size to capture: 0 (no limit)
Packet sampling rate: 0 (no sampling)
ステップ 3:モニタのキャプチャを開始し、問題を再現します。
9800#monitor capture EWA start
Started capture point : EWA
ステップ 4:モニタのキャプチャを停止し、エクスポートします。
9800#monitor capture EWA stop
Stopped capture point : EWA
9800#monitor capture EWA export tftp://<a.b.c.d>/EWA.pcap
または、GUIからキャプチャをダウンロードし、Troubleshooting > Packet Captureの順に選択し、設定したキャプチャでExportを選択します。ドロップダウンメニューからデスクトップを選択して、HTTPを介してキャプチャを目的のフォルダにダウンロードします。
クライアント側のトラブルシューティング
Web認証WLANはクライアントの動作に依存しますが、これに基づいて、クライアント側の動作の知識と情報がWeb認証の誤動作の根本原因を特定する鍵となります。
HARブラウザのトラブルシューティング
Mozilla FirefoxやGoogle Chromeなど、多くの最新ブラウザには、Webアプリケーションのインタラクションをデバッグするためのコンソール開発者ツールが用意されています。HARファイルは、クライアントとサーバ間のインタラクションの記録であり、HTTPインタラクションのタイムラインと、要求および応答情報(ヘッダー、ステータスコード、パラメータなど)を提供します。
HARファイルはクライアントブラウザからエクスポートし、別のブラウザにインポートして詳細な分析を行うことができます。このドキュメントでは、Mozilla FirefoxからHARファイルを収集する方法について説明します。
ステップ 1:Ctrl + Shift + Iキーを押しながらWeb Developer Toolsを開くか、ブラウザのコンテンツ内を右クリックしてInspectを選択します。
ステップ 2:Networkに移動し、すべての要求タイプをキャプチャするために「All」が選択されていることを確認します。歯車アイコンを選択し、Persist Logsの横に矢印があることを確認します。矢印が表示されていない場合は、ドメインの変更がトリガーされるたびにログ要求がクリアされます。
ステップ 3:問題を再現し、ブラウザがすべての要求を記録することを確認します。問題が再現されたら、ネットワークロギングを停止し、ギアアイコンでを選択して、「Save All As HAR」を選択します。
クライアント側のパケットキャプチャ
WindowsやMacOSなどのOSを搭載したワイヤレスクライアントは、ワイヤレスカードアダプタでパケットをスニファできます。Over-the-Airパケットキャプチャは直接置き換わるものではありませんが、全体的なWeb認証フローを一目で確認できます。
DNS要求:
リダイレクトのための初期TCPハンドシェイクとHTTP GET:
外部サーバとのTCPハンドシェイク:
外部サーバへのHTTP GET(キャプティブポータル要求):
認証用の仮想IPへのHTTP POST:
成功した試行の例
これは、無線アクティブトレースの観点から接続試行が成功した場合の出力です。この出力を参考にして、レイヤ3 Web認証SSIDに接続するクライアントのクライアントセッション段階を識別してください。
802.11認証および関連付け:
2021/09/28 12:59:51.781967 {wncd_x_R0-0}{1}: [client-orch-sm] [26328]: (note): MAC: 3423.874c.6bf7 Association received. BSSID 0cd0.f897.ae60, WLAN EWA-Guest, Slot 0 AP 0cd0.f897.ae60, C9117AXI-lobby
2021/09/28 12:59:51.782009 {wncd_x_R0-0}{1}: [client-orch-sm] [26328]: (debug): MAC: 3423.874c.6bf7 Received Dot11 association request. Processing started,SSID: EWA-Guest, Policy profile: Guest-Policy, AP Name: C9117AXI-lobby, Ap Mac Address: 0cd0.f897.ae60 BSSID MAC0000.0000.0000 wlan ID: 4RSSI: -39, SNR: 0
2021/09/28 12:59:51.782152 {wncd_x_R0-0}{1}: [client-orch-state] [26328]: (note): MAC: 3423.874c.6bf7 Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
2021/09/28 12:59:51.782357 {wncd_x_R0-0}{1}: [dot11-validate] [26328]: (info): MAC: 3423.874c.6bf7 WiFi direct: Dot11 validate P2P IE. P2P IE not present.
2021/09/28 12:59:51.782480 {wncd_x_R0-0}{1}: [dot11] [26328]: (debug): MAC: 3423.874c.6bf7 dot11 send association response. Sending association response with resp_status_code: 0
2021/09/28 12:59:51.782483 {wncd_x_R0-0}{1}: [dot11] [26328]: (debug): MAC: 3423.874c.6bf7 Dot11 Capability info byte1 1, byte2: 14
2021/09/28 12:59:51.782509 {wncd_x_R0-0}{1}: [dot11-frame] [26328]: (info): MAC: 3423.874c.6bf7 WiFi direct: skip build Assoc Resp with P2P IE: Wifi direct policy disabled
2021/09/28 12:59:51.782519 {wncd_x_R0-0}{1}: [dot11] [26328]: (info): MAC: 3423.874c.6bf7 dot11 send association response. Sending assoc response of length: 115 with resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS
2021/09/28 12:59:51.782611 {wncd_x_R0-0}{1}: [dot11] [26328]: (note): MAC: 3423.874c.6bf7 Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False
2021/09/28 12:59:51.782626 {wncd_x_R0-0}{1}: [dot11] [26328]: (info): MAC: 3423.874c.6bf7 DOT11 state transition: S_DOT11_INIT -> S_DOT11_ASSOCIATED
2021/09/28 12:59:51.782676 {wncd_x_R0-0}{1}: [client-orch-sm] [26328]: (debug): MAC: 3423.874c.6bf7 Station Dot11 association is successful.
レイヤ2認証がスキップされました:
2021/09/28 12:59:51.782727 {wncd_x_R0-0}{1}: [client-orch-sm] [26328]: (debug): MAC: 3423.874c.6bf7 Starting L2 authentication. Bssid in state machine:0cd0.f897.ae60 Bssid in request is:0cd0.f897.ae60
2021/09/28 12:59:51.782745 {wncd_x_R0-0}{1}: [client-orch-state] [26328]: (note): MAC: 3423.874c.6bf7 Client state transition: S_CO_ASSOCIATING -> S_CO_L2_AUTH_IN_PROGRESS
2021/09/28 12:59:51.782785 {wncd_x_R0-0}{1}: [client-auth] [26328]: (note): MAC: 3423.874c.6bf7 L2 Authentication initiated. method WEBAUTH, Policy VLAN 2621,AAA override = 0
2021/09/28 12:59:51.782803 {wncd_x_R0-0}{1}: [sanet-shim-translate] [26328]: (ERR): 3423.874c.6bf7 wlan_profile Not Found : Device information attributes not populated
[...]
2021/09/28 12:59:51.787912 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_PENDING -> S_AUTHIF_L2_WEBAUTH_PENDING
2021/09/28 12:59:51.787953 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_PENDING -> S_AUTHIF_L2_WEBAUTH_DONE
2021/09/28 12:59:51.787966 {wncd_x_R0-0}{1}: [client-orch-sm] [26328]: (debug): MAC: 3423.874c.6bf7 L2 Authentication of station is successful., L3 Authentication : 1
ACLのplumb:
2021/09/28 12:59:51.785227 {wncd_x_R0-0}{1}: [webauth-sm] [26328]: (info): [ 0.0.0.0]Starting Webauth, mac [34:23:87:4c:6b:f7],IIF 0 , audit-ID 041510AC0000000E2C7D71DB
2021/09/28 12:59:51.785307 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [26328]: (info): [0000.0000.0000:unknown] Retrieved zone id 0x0 for bssid 12364632846202045372
2021/09/28 12:59:51.785378 {wncd_x_R0-0}{1}: [webauth-acl] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 0.0.0.0]Applying IPv4 intercept ACL via SVM, name: WA-v4-int-172.16.80.8, priority: 50, IIF-ID: 0
2021/09/28 12:59:51.785738 {wncd_x_R0-0}{1}: [epm-redirect] [26328]: (info): [0000.0000.0000:unknown] URL-Redirect-ACL = WA-v4-int-172.16.80.8
2021/09/28 12:59:51.786324 {wncd_x_R0-0}{1}: [webauth-acl] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 0.0.0.0]Applying IPv6 intercept ACL via SVM, name: IP-Adm-V6-Int-ACL-global, priority: 52, IIF-ID: 0
2021/09/28 12:59:51.786598 {wncd_x_R0-0}{1}: [epm-redirect] [26328]: (info): [0000.0000.0000:unknown] URL-Redirect-ACL = IP-Adm-V6-Int-ACL-global
2021/09/28 12:59:51.787904 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_AWAIT_L2_WEBAUTH_START_RESP -> S_AUTHIF_L2_WEBAUTH_PENDING
IP学習プロセス:
2021/09/28 12:59:51.799515 {wncd_x_R0-0}{1}: [client-orch-state] [26328]: (note): MAC: 3423.874c.6bf7 Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
2021/09/28 12:59:51.799716 {wncd_x_R0-0}{1}: [client-iplearn] [26328]: (info): MAC: 3423.874c.6bf7 IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
2021/09/28 12:59:51.802213 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_L2_WEBAUTH_DONE
2021/09/28 12:59:51.916777 {wncd_x_R0-0}{1}: [sisf-packet] [26328]: (debug): RX: ARP from interface capwap_9000000b on vlan 2621 Source MAC: 3423.874c.6bf7 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 3423.874c.6bf7 ARP target MAC: 0000.0000.0000 ARP sender IP: 0.0.0.0, ARP target IP: 172.16.21.153
[...]
2021/09/28 12:59:52.810136 {wncd_x_R0-0}{1}: [client-iplearn] [26328]: (note): MAC: 3423.874c.6bf7 Client IP learn successful. Method: ARP IP: 172.16.21.153
2021/09/28 12:59:52.810185 {wncd_x_R0-0}{1}: [epm] [26328]: (info): [0000.0000.0000:unknown] HDL = 0x0 vlan 2621 fail count 0 dirty_counter 0 is_dirty 0
2021/09/28 12:59:52.810404 {wncd_x_R0-0}{1}: [auth-mgr] [26328]: (info): [3423.874c.6bf7:capwap_9000000b] auth mgr attr change notification is received for attr (8)
2021/09/28 12:59:52.810794 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [26328]: (info): [0000.0000.0000:unknown] Retrieved zone id 0x0 for bssid 12364632846202045372
2021/09/28 12:59:52.810863 {wncd_x_R0-0}{1}: [client-iplearn] [26328]: (info): MAC: 3423.874c.6bf7 IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
レイヤ3認証とリダイレクションプロセス:
2021/09/28 12:59:52.811141 {wncd_x_R0-0}{1}: [client-auth] [26328]: (note): MAC: 3423.874c.6bf7 L3 Authentication initiated. LWA
2021/09/28 12:59:52.811154 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
2021/09/28 12:59:55.324550 {wncd_x_R0-0}{1}: [webauth-httpd] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]GET rcvd when in LOGIN state
2021/09/28 12:59:55.324565 {wncd_x_R0-0}{1}: [webauth-httpd] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]HTTP GET request
2021/09/28 12:59:55.324588 {wncd_x_R0-0}{1}: [webauth-httpd] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]Parse GET, src [172.16.21.153] dst [x.x.x.x] url [http://browser-test-website/]
[...]
2021/09/28 13:01:29.859434 {wncd_x_R0-0}{1}: [webauth-httpd] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]POST rcvd when in LOGIN state
2021/09/28 13:01:29.859636 {wncd_x_R0-0}{1}: [webauth-acl] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]Unapply IPv4 intecept ACL via SVM, name "WA-v4-int-172.16.80.8", pri 50, IIF 0
2021/09/28 13:01:29.860335 {wncd_x_R0-0}{1}: [webauth-acl] [26328]: (info): capwap_9000000b[3423.874c.6bf7][ 172.16.21.153]Unapply IPv6 intecept ACL via SVM, name "IP-Adm-V6-Int-ACL-global", pri 52, IIF 0
2021/09/28 13:01:29.861092 {wncd_x_R0-0}{1}: [auth-mgr] [26328]: (info): [3423.874c.6bf7:capwap_9000000b] Authc success from WebAuth, Auth event success
2021/09/28 13:01:29.861151 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [26328]: (note): Authentication Success. Resolved Policy bitmap:0 for client 3423.874c.6bf7
2021/09/28 13:01:29.862867 {wncd_x_R0-0}{1}: [client-auth] [26328]: (note): MAC: 3423.874c.6bf7 L3 Authentication Successful. ACL:[]
2021/09/28 13:01:29.862871 {wncd_x_R0-0}{1}: [client-auth] [26328]: (info): MAC: 3423.874c.6bf7 Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
RUN状態への移行:
2021/09/28 13:01:29.863176 {wncd_x_R0-0}{1}: [client-auth] [26328]: (note): MAC: 3423.874c.6bf7 ADD MOBILE sent. Client state flags: 0x78 BSSID: MAC: 0cd0.f897.ae60 capwap IFID: 0x9000000b
2021/09/28 13:01:29.863272 {wncd_x_R0-0}{1}: [errmsg] [26328]: (info): %CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: Username entry (3423.874C.6BF7) joined with ssid (EWA-Guest) for device with MAC: 3423.874c.6bf7
2021/09/28 13:01:29.863334 {wncd_x_R0-0}{1}: [aaa-attr-inf] [26328]: (info): [ Applied attribute :bsn-vlan-interface-name 0 "VLAN2621" ]
2021/09/28 13:01:29.863336 {wncd_x_R0-0}{1}: [aaa-attr-inf] [26328]: (info): [ Applied attribute : timeout 0 1800 (0x708) ]
2021/09/28 13:01:29.863343 {wncd_x_R0-0}{1}: [aaa-attr-inf] [26328]: (info): [ Applied attribute : url-redirect-acl 0 "IP-Adm-V4-LOGOUT-ACL" ]
2021/09/28 13:01:29.863387 {wncd_x_R0-0}{1}: [ewlc-qos-client] [26328]: (info): MAC: 3423.874c.6bf7 Client QoS run state handler
2021/09/28 13:01:29.863409 {wncd_x_R0-0}{1}: [rog-proxy-capwap] [26328]: (debug): Managed client RUN state notification: 3423.874c.6bf7
2021/09/28 13:01:29.863451 {wncd_x_R0-0}{1}: [client-orch-state] [26328]: (note): MAC: 3423.874c.6bf7 Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RUN
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
5.0 |
12-Jan-2023 |
デフォルトの許可方式に関する小さな注を追加 |
4.0 |
02-May-2022 |
入力ミスと書式設定の修正 |
2.0 |
11-Oct-2021 |
初版リリース |
1.0 |
12-Oct-2021 |
初版 |
フィードバック