Inleiding
Dit document beschrijft hoe u een draadloos LAN van de CWA kunt configureren op een Catalyst 9800 WLC en ISE.
Voorwaarden
Vereisten
Cisco raadt u aan bekend te zijn met de configuratie van 9800 draadloze LAN-controllers (WLC).
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- 980 WLC Cisco IOS® XE Gibraltar v17.6.x
- Identity Service Engine (ISE) v3.0
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Het CWA-proces wordt hier getoond waar u het CWA-proces van een Apple-apparaat als voorbeeld kunt zien:
Configureren
Netwerkdiagram
AAA-configuratie op 9800 WLC
Stap 1. Voeg de ISE-server toe aan de 9800 WLC-configuratie.
Navigeer naarConfiguration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add
en voer de RADIUS-serverinformatie in zoals in de afbeeldingen.
Zorg ervoor dat ondersteuning voor CoA is ingeschakeld als u van plan bent om in de toekomst gebruik te maken van Central Web Verification (of een ander soort beveiliging die CoA vereist).
Opmerking: Zorg er in versie 17.4.X en hoger voor dat u de CoA-servertoets ook configureert wanneer u de RADIUS-server configureert. Gebruik dezelfde sleutel als het gedeelde geheim (deze zijn standaard hetzelfde bij ISE). Het doel is om optioneel een andere sleutel voor CoA dan het gedeelde geheim te configureren als dat is wat uw RADIUS-server heeft geconfigureerd. In Cisco IOS XE 17.3 gebruikte de web-UI gewoon hetzelfde gedeelde geheim als de CoA-toets.
Stap 2. Maak een lijst met autorisatiemethoden.
Navigeer naarConfiguration > Security > AAA > AAA Method List > Authorization > + Add
de afbeelding.
Stap 3. (Optioneel) Maak een lijst met boekhoudmethoden zoals in de afbeelding.
Opmerking: CWA werkt niet als u besluit de werklastverdeling (vanaf de Cisco IOS XE CLI-configuratie) op uw radiusservers in te stellen vanwege Cisco bug-id CSCvh03827. Het gebruik van externe taakverdeling is ok. Zorg er echter voor dat de taakverdeler per client werkt met behulp van het RADIUS-kenmerk call-station-id. Het vertrouwen op UDP-bronpoort is geen ondersteund mechanisme voor het in evenwicht brengen van RADIUS-verzoeken van de 9800.
Stap 4. (Optioneel) U kunt het AAA-beleid definiëren om de SSID-naam te verzenden als een Calling-station-id attribuut, dat nuttig kan zijn als u later in het proces van deze voorwaarde op ISE wilt profiteren.
Navigeer naarConfiguration > Security > Wireless AAA Policy
en bewerk het standaard AAA-beleid of maak een nieuw beleid.
U kunt als Optie 1 kiezenSSID
. Houd er rekening mee dat zelfs wanneer u alleen SSID kiest, de aangeroepen station-id nog steeds het AP MAC-adres aan de SSID-naam toevoegt.
WLAN-configuratie
Stap 1. Maak het WLAN.
Navigeer naarConfiguration > Tags & Profiles > WLANs > + Add
en configureer het netwerk naar wens.
Stap 2. Voer de algemene informatie van WLAN in.
Stap 3. Navigeer naar hetSecurity
tabblad en kies de gewenste beveiligingsmethode. In dit geval zijn alleen 'MAC-filtering' en de AAA-autorisatielijst (die u in Stap 2. in deAAA Configuration
sectie hebt aangemaakt) nodig.
CLI:
#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown
Configuratie van beleidsprofiel
Binnen een beleidsprofiel kunt u beslissen de clients toe te wijzen aan wie VLAN, onder andere instellingen (zoals ACL’s (toegangscontrolelijst), Quality of Service (QoS), mobiliteitsanker, timers enzovoort).
U kunt uw standaardbeleidsprofiel gebruiken of u kunt een nieuw profiel maken.
GUI:
Stap 1. Maak een nieuwePolicy Profile
.
Navigeer naarConfiguration > Tags & Profiles > Policy
en configureer uwdefault-policy-profile
of maak een nieuwe.
Zorg ervoor dat het profiel is ingeschakeld.
Stap 2. Kies VLAN.
Navigeer naar hetAccess Policies
tabblad en kies de VLAN-naam in de vervolgkeuzelijst of typ handmatig de VLAN-ID. Configureer geen ACL in het beleidsprofiel.
Stap 3. Configureer het beleidsprofiel om ISE-overschrijvingen (AAA-overschrijving toestaan) en wijzigingen van autorisatie (CoA) (NAC-status) te accepteren. U kunt optioneel ook een boekhoudingsmethode specificeren.
CLI:
# config
# wireless profile policy <policy-profile-name>
# aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown
Configuratie van beleidstag
Binnen de Policy Tag is waar u uw SSID koppelt aan uw Policy Profile. U kunt een nieuwe Policy Tag maken of de standaard-policy tag gebruiken.
Opmerking: De standaard-beleidsmarkering brengt automatisch een SSID met een WLAN-id tussen 1 en 16 in kaart aan het standaard-beleidsprofiel. Dit kan niet worden gewijzigd of verwijderd. Als u een WLAN met ID 17 of hoger hebt, kan de standaard-beleidstag niet worden gebruikt.
GUI:
Navigeer naarConfiguration > Tags & Profiles > Tags > Policy
en voeg indien nodig een nieuwe toe zoals in de afbeelding.
Koppel uw WLAN-profiel aan het gewenste beleidsprofiel.
CLI:
# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>
Toewijzing van beleidstags
Wijs de beleidstag toe aan de benodigde toegangspunten.
GUI:
Om de tag aan één AP toe te wijzen, navigeer je naarConfiguration > Wireless > Access Points > AP Name > General Tags
, maak je de benodigde toewijzing en klik je vervolgens opUpdate & Apply to Device
.
Opmerking: Houd er rekening mee dat, nadat u de beleidstag op een AP hebt gewijzigd, deze de associatie met de 9800 WLC verliest en zich binnen ongeveer 1 minuut weer aansluit.
Als u dezelfde beleidstag wilt toewijzen aan meerdere AP's, gaat u naarConfiguration > Wireless > Wireless Setup > Advanced > Start Now
.
Kies de toegangspunten waaraan u de tag wilt toewijzen en klik+ Tag APs
zoals in de afbeelding.
Kies de gefloten tag en klikSave & Apply to Device
zoals in de afbeelding.
CLI:
# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end
Configuratie ACL-omleiding
Stap 1. Navigeer naarConfiguration > Security > ACL > + Add
om een nieuwe ACL te maken.
IPv4 Extended
Kies een naam voor de ACL en typ en voeg elke regel toe als een reeks zoals in de afbeelding.
U moet verkeer naar uw ISE-PSN-knooppunten ontkennen en DNS weigeren en alle rest toestaan. Deze omleiden ACL is geen beveiligingsACL maar een punt ACL die bepaalt welk verkeer naar de CPU gaat (op vergunningen) voor verdere behandeling (zoals omleiding) en welk verkeer op het dataplatform blijft (bij ontkennen) en omleiding vermijdt (maar niet noodzakelijkerwijs wordt gedropt).
De ACL moet er zo uitzien (vervang 10.48.39.28 door uw ISE IP-adres in dit voorbeeld):
In dit voorbeeld besluiten we alle verkeer naar het ISE-knooppunt toe te laten. Dit is geen goede praktijk, aangezien het toegang tot de administratieve interface van ISE kan verlenen aan gastcliënten. Het is ideaal om zich te beperken tot de haven 8443, die doorgaans de haven is die wordt gebruikt door het gastportaal (hoewel in sommige specifieke gevallen andere havens kunnen worden betrokken).
Ook moet u DNS-verkeer (mogelijk alleen naar uw DNS-server IP's) en DHCP en NTP in bepaalde gevallen weigeren.
Opmerking: deny
Voor de omleiding ACL, denk aan de actie als ontkennen omleiding (ontken geen verkeer) en de actie alspermit
vergunningsherleiding. De WLC kijkt alleen naar verkeer dat het kan omleiden (poorten 80 en 443 standaard).
CLI:
ip access-list extended REDIRECT
deny ip any host <ISE-IP>
deny ip host<ISE-IP> any
deny udp any any eq domain
deny udp any eq domain any
permit tcp any any eq 80
Opmerking: Als u de ACL met eenpermit ip any any
in plaats van een vergunning beëindigt die op haven 80 wordt geconcentreerd, richt WLC ook HTTPS, die vaak ongewenst is aangezien het zijn eigen certificaat moet verstrekken en altijd tot een certificaatschending leidt. Dit is de uitzondering op de vorige verklaring die zegt dat u geen certificaat op de WLC nodig hebt in het geval van CWA: u hebt er een nodig als er HTTPS-interceptie is ingeschakeld, maar deze wordt toch nooit als geldig beschouwd.
U kunt de ACL verbeteren door actie om alleen de gastpoort 8443 aan de ISE-server te ontkennen.
Omleiding voor HTTP of HTTPS inschakelen
De web admin portal configuratie is verbonden met de web authenticatie portal configuratie en het moet luisteren op poort 80 om te leiden. Daarom moet HTTP ingeschakeld zijn om de omleiding goed te laten werken. U kunt ervoor kiezen om het globaal in te schakelen (met behulp van de opdrachtip http server
) of u kunt HTTP alleen inschakelen voor de web authenticatie module (met behulp van de opdrachtwebauth-http-enable
onder de parameterkaart).
Opmerking: De omleiding van het HTTP-verkeer gebeurt binnen CAPWAP, zelfs in het geval van FlexConnect Local Switching. Aangezien de WLC de interceptiewerkzaamheden uitvoert, verstuurt de AP de HTTP(S)-pakketten binnen de CAPWAP-tunnel en ontvangt hij de omleiding van de WLC terug in CAPWAP
Als u wilt worden omgeleid wanneer u probeert om toegang te krijgen tot een HTTPS URL, voeg dan de opdracht toeintercept-https-enable
onder de parameterkaart maar merk op dat dit geen optimale configuratie is, dat het een impact heeft op de WLC CPU en toch certificaatfouten genereert:
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
U kunt dit ook doen via de GUI met de optie 'Web Auth intercept HTTPS' ingeschakeld in de Parameter Map (Configuration > Security > Web Auth
).
Opmerking: Standaard maken browsers gebruik van een HTTP-website om het omleidingsproces te starten. Als er een HTTPS-omleiding nodig is, moet Web Auth Intercept HTTPS worden gecontroleerd. deze configuratie wordt echter niet aanbevolen omdat deze het CPU-gebruik verhoogt.
ISE-configuratie
De 9800 WLC toevoegen aan ISE
Stap 1. Open de ISE-console en blader naarAdministration > Network Resources > Network Devices > Add
zoals in de afbeelding.
Stap 2. Configureer het netwerkapparaat.
Optioneel kan het een opgegeven modelnaam, softwareversie en beschrijving zijn en netwerkapparaatgroepen toewijzen op basis van apparaattypen, locatie of WLC's.
Het IP-adres komt hier overeen met de WLC-interface die de verificatieaanvragen verstuurt. Standaard is dit de beheerinterface zoals in het afbeelding:
Voor meer informatie over de Groepen van het Netwerkapparaat, herzie het Hoofdstuk van de admin van ISE: Netwerkapparaten beheren: ISE - Netwerkapparaatgroepen.
Nieuwe gebruiker maken op ISE
Stap 1. Navigeer naarAdministration > Identity Management > Identities > Users > Add
zoals in de afbeelding.
Stap 2. Voer de informatie in.
In dit voorbeeld, deze gebruiker behoort tot een groep genoemdALL_ACCOUNTS
maar het kan worden aangepast zoals nodig, zoals getoond in het beeld.
Autorisatieprofiel maken
Het beleidsprofiel is het resultaat dat aan een client is toegewezen op basis van de parameters (zoals mac-adres, referenties, gebruikt WLAN, enzovoort). Het kan specifieke instellingen toewijzen, zoals Virtual Local Area Network (VLAN), Access Control Lists (ACL’s), Uniform Resource Locator (URL) omleidingen, enzovoort.
Let op dat in recente versies van ISE al een Cisco_Webauth-autorisatieresultaat bestaat. Hier, kunt u het bewerken om de omleiding ACL naam te wijzigen om aan te passen wat u op de WLC hebt geconfigureerd.
Stap 1. Navigeer naarPolicy > Policy Elements > Results > Authorization > Authorization Profiles
. Klikadd
om uw eigen standaardresultaat te maken of te bewerkenCisco_Webauth
.
Stap 2. Voer de omleidingsinformatie in. Zorg ervoor dat de ACL-naam hetzelfde is als de naam die op de 9800 WLC is geconfigureerd.
Verificatieregel configureren
Stap 1. Een beleidsset definieert een verzameling verificatie- en autorisatieregels. Om een te maken, navigeer naarPolicy > Policy Sets
, klik op het tandwiel van de eerste beleidsset in de lijst en kiesInsert new row
or click the blue arrow on the right to choose the defaut Policy Set.
Stap 2. BeleidAuthentication
uitbreiden. MAB
Voor de regel (match op bekabeld of draadloos MAB), vouwOptions
uit en kies de optie voorCONTINUE
het geval u 'Als Gebruiker niet gevonden' ziet.
Stap 3. KlikSave
om de wijzigingen op te slaan.
Autorisatieregels configureren
De autorisatieregel is de regel die bepaalt welke permissies (welk autorisatieprofiel) op de client worden toegepast.
Stap 1. Sluit hetAuthentication Policy
bestand op dezelfde pagina met beleidsinstellingen en vouwAuthorziation Policy
het uit zoals in de afbeelding.
Stap 2. Recente ISE-versies beginnen met een vooraf gecreëerde regel genaamdWifi_Redirect_to_Guest_Login
die grotendeels aan onze behoeften voldoet. Draai het grijze teken links naarenable
.
Stap 3. Die regel past alleen Wireless_MAB aan en retourneert de CWA-omleidingskenmerken. Nu kunt u optioneel een kleine draai toevoegen en het alleen laten overeenkomen met de specifieke SSID. Kies de voorwaarde (Wireless_MAB vanaf nu) om de Condities Studio te laten verschijnen. Voeg aan de rechterkant een voorwaarde toe en kies hetRadius
woordenboek met hetCalled-Station-ID
kenmerk. Zorg dat het overeenkomt met uw SSID naam. Valideren met deUse
onderkant van het scherm zoals weergegeven in de afbeelding.
Stap 4. U hebt nu een tweede regel nodig, gedefinieerd met een hogere prioriteit, die overeenkomt met deGuest Flow
voorwaarde om netwerktoegangsgegevens terug te sturen zodra de gebruiker een verificatie heeft uitgevoerd op de portal. U kunt de regel gebruikenWifi Guest Access
die standaard ook vooraf is gemaakt voor recente ISE-versies. Dan hoeft u de regel alleen maar in te schakelen met een groen teken aan de linkerkant. U kunt de standaard PermitAccess teruggeven of preciezere toegangslijstbeperkingen configureren.
Stap 5. Sla de regels op.
Save
Klik onderaan de regels.
Alleen FlexConnect lokale switching-access points
Wat als u Flexconnect lokale switching access points en WLAN’s hebt? De vorige secties zijn nog steeds geldig. U moet echter een extra stap zetten om de doorverwijzing van ACL naar de AP's van te voren in te drukken.
Navigeer naarConfiguration > Tags & Profiles > Flex
en kies uw Flex profiel. Navigeer vervolgens naar hetPolicy ACL
tabblad.
KlikAdd
zoals in de afbeelding.
Kies uw omleiden ACL naam en laat centrale webverificatie toe. Dit selectievakje zal automatisch de ACL op de AP zelf omkeren (dit komt doordat een 'deny' statement betekent 'niet omleiden naar dit IP' op de WLC in Cisco IOS XE. Op het toegangspunt betekent de verklaring 'ontkennen' echter het tegenovergestelde. Dus, deze checkbox ruilt automatisch alle vergunningen en ontkent ze wanneer het de druk naar de AP. U kunt dit verifiëren met eenshow ip access list
bericht van het AP (CLI).
Opmerking: In Flexconnect lokaal switchingscenario moet de ACL specifiek retourverklaringen vermelden (die niet noodzakelijk vereist zijn in de lokale modus), zodat al uw ACL-regels betrekking hebben op beide manieren van verkeer (bijvoorbeeld van en naar de ISE).
Vergeet niet te slaanSave
en danUpdate and apply to the device
.
Certificaten
Om de client vertrouwen te hebben in het web authenticatie certificaat, is het niet nodig om een certificaat te installeren op de WLC, aangezien het enige certificaat dat wordt gepresenteerd het ISE certificaat is (dat moet worden vertrouwd door de client).
Verifiëren
U kunt deze opdrachten gebruiken om de huidige configuratie te verifiëren.
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Hier is het relevante deel van de configuratie van de WLC dat overeenkomt met dit voorbeeld:
aaa new-model
!
aaa authorization network CWAauthz group radius
aaa accounting identity CWAacct start-stop group radius
!
aaa server radius dynamic-author
client <ISE-IP> server-key cisco123
!
aaa session-id common
!
!
radius server ISE-server
address ipv4 <ISE-IP> auth-port 1812 acct-port 1813
key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile
wireless profile policy default-policy-profile
aaa-override
nac
vlan 1416
no shutdown
wireless tag policy cwa-policy-tag
wlan cwa-ssid policy default-policy-profile
wlan cwa-ssid 4 cwa-ssid
mac-filtering CWAauthz
no security ft adaptive
no security wpa
no security wpa wpa2
no security wpa wpa2 ciphers aes
no security wpa akm dot1x
no shutdown
ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server
Problemen oplossen
Aandachtspunten
Het is niet raadzaam om VLAN-toewijzing te doen in de definitieve RADIUS-toegang-accepteren wanneer de verificatie succesvol is. De WLC en de netwerkinfrastructuur hebben geen goede middelen om ervoor te zorgen dat de client zijn IP-adres verlengt en u bent daarom blootgesteld aan willekeurig wangedrag, afhankelijk van de clientapparaten in uw netwerk. Het is veiliger om te ontwerpen om restrictieve ACL toe te wijzen wanneer de cliënt nog geen authentificatie heeft overgegaan en het met juiste per-gebruiker ACL te beschrijven zodra de authentificatie succesvol is.
Checklist
- Zorg ervoor dat de client verbinding maakt en een geldig IP-adres krijgt.
- Als de omleiding niet automatisch is, open een browser en probeer een willekeurig IP-adres. Bijvoorbeeld, 10.0.0.1. Als de omleiding werkt, is het mogelijk dat u een DNS resolutieprobleem hebt. Controleer dat u een geldige DNS-server via DHCP hebt en dat het hostnamen kan oplossen.
- Zorg ervoor dat u de opdracht
ip http server
hebt geconfigureerd voor omleiding op HTTP om te werken. De web admin portal configuratie is verbonden met de web authenticatie portal configuratie en het moet worden vermeld op poort 80 om omleiden. U kunt kiezen om het globaal in te schakelen (met het gebruik van de opdrachtip http server
) of u kunt HTTP voor de web authenticatie module alleen inschakelen (met het gebruik van de opdrachtwebauth-http-enable
onder de parameter map).
- Als u niet wordt doorgestuurd wanneer u probeert om toegang te krijgen tot een HTTPS URL en die is vereist, dan controleert u of u de opdracht hebt
intercept-https-enable
onder de parameterkaart:
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
U kunt ook via de GUI controleren of u de optie 'Web Auth intercept HTTPS' hebt ingeschakeld op de Parameter Map:
Ondersteuning van servicepoort voor RADIUS
De Cisco Catalyst 9800 Series draadloze controller heeft een servicepoort dieGigabitEthernet 0
poort wordt genoemd. Vanaf versie 17.6.1 wordt RADIUS (inclusief CoA) ondersteund via deze poort.
Als u de servicepoort voor RADIUS wilt gebruiken, hebt u deze configuratie nodig:
aaa server radius dynamic-author
client 10.48.39.28 vrf Mgmt-intf server-key cisco123
interface GigabitEthernet0
vrf forwarding Mgmt-intf
ip address x.x.x.x x.x.x.x
!if using aaa group server:
aaa group server radius group-name
server name nicoISE
ip vrf forwarding Mgmt-intf
ip radius source-interface GigabitEthernet0
Debugs verzamelen
WLC 9800 biedt ALTIJD-ON traceermogelijkheden. Dit zorgt ervoor dat alle client-connectiviteit gerelateerde fouten, waarschuwingen en meldingen voortdurend worden vastgelegd en u kunt logbestanden bekijken voor een incident of storing nadat het is opgetreden.
Opmerking: U kunt een paar uur tot meerdere dagen teruggaan in de logboeken, maar het hangt af van het volume van de gegenereerde logboeken.
Om de sporen te bekijken die 9800 WLC standaard heeft verzameld, kunt u via SSH/Telnet verbinding maken met de 9800 WLC en deze stappen uitvoeren (zorg ervoor dat u de sessie aan een tekstbestand registreert).
Stap 1. Controleer de huidige WLC-tijd zodat u de logbestanden kunt volgen in de tijd terug naar toen het probleem zich voordeed.
# show clock
Stap 2. Verzamel syslogs van de buffer WLC of externe syslog zoals die door de systeemconfiguratie wordt gedicteerd. Dit geeft een snel overzicht van de gezondheid van het systeem en eventuele fouten.
# show logging
Stap 3. Controleer of de debug-voorwaarden zijn ingeschakeld.
# show debugging
Cisco IOS XE Conditional Debug Configs:
Conditional Debug Global State: Stop
Cisco IOS XE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Opmerking: Als u een voorwaarde in de lijst ziet, betekent dit dat de sporen zijn aangemeld om het debug-niveau te bereiken voor alle processen die de ingeschakelde voorwaarden ervaren (mac-adres, IP-adres, enzovoort). Dit verhoogt het volume van logboeken. Daarom wordt aanbevolen om alle voorwaarden te wissen wanneer u niet actief debug.
Stap 4. Veronderstel dat het te testen mac-adres niet als voorwaarde in Stap 3 is vermeld. Verzamel de altijd-op opzeggingsniveau sporen voor het specifieke mac-adres.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
U kunt de inhoud op de sessie weergeven of u kunt het bestand kopiëren naar een externe TFTP-server.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Voorwaardelijke debugging en radio actieve tracering
Als de altijd-op sporen u niet genoeg informatie geven om de trigger voor het probleem dat wordt onderzocht te bepalen, kunt u voorwaardelijke debugging inschakelen en Radio Active (RA)-spoor opnemen, dat debug-level sporen biedt voor alle processen die interacteren met de gespecificeerde voorwaarde (client mac-adres in dit geval). Ga verder met deze stappen om voorwaardelijke debugging mogelijk te maken.
Stap 5. Zorg ervoor dat er geen debug-voorwaarden zijn ingeschakeld.
# clear platform condition all
Stap 6. Schakel de debug-voorwaarde in voor het draadloze client-MAC-adres dat u wilt controleren.
Met deze opdrachten wordt het opgegeven MAC-adres 30 minuten (1800 seconden) bewaakt. U kunt deze tijd optioneel tot 2085978494 seconden verlengen.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Opmerking: als u meer dan één client tegelijk wilt bewaken, voert u debug-opdracht voor draadloze mac
uit per mac-adres.
Opmerking: U ziet niet de output van de cliëntactiviteit op de eindzitting, aangezien alles intern wordt gebufferd om later worden bekeken.
Stap 7". Reproduceer het probleem of gedrag dat u wilt controleren.
Stap 8. Stop de foutopsporing als het probleem wordt gereproduceerd voordat de standaardtijd of de ingestelde monitortijd is verstreken.
# no debug wireless mac <aaaa.bbbb.cccc>
Zodra de monitortijd is verstreken of de debug-radio is gestopt, genereert de 9800 WLC een lokaal bestand met de naam:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Stap 9. Verzamel het bestand van de mac-adresactiviteit. U kunt de video kopiërenra trace .log
naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.
Controleer de naam van het RA traces bestand.
# dir bootflash: | inc ra_trace
Kopieert het bestand naar een externe server:
# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Geef de inhoud weer:
# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Stap 10. Als de worteloorzaak nog niet duidelijk is, verzamel de interne logboeken die een breedere mening van debug-niveau logboeken zijn. U hoeft niet opnieuw te debuggen de client als we nemen alleen een verdere gedetailleerde kijk op debug logs die al zijn verzameld en intern opgeslagen.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Opmerking: Deze opdrachtoutput retourneert sporen voor alle logniveaus voor alle processen en is vrij omvangrijk. Neem Cisco TAC in om te helpen bij het doorlopen van deze sporen.
U kunt de video kopiërenra-internal-FILENAME.txt
naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.
Kopieert het bestand naar een externe server:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Geef de inhoud weer:
# more bootflash:ra-internal-<FILENAME>.txt
Stap 1. Verwijder de debug-voorwaarden.
# clear platform condition all
Opmerking: Zorg ervoor dat u altijd de debug-voorwaarden na een probleemoplossingssessie verwijdert.
Voorbeelden
Als het verificatieresultaat niet is wat u verwacht, is het belangrijk om naar de ISE-pagina te navigerenOperations > Live logs
en de details van het verificatieresultaat te krijgen.
U krijgt de reden voor de storing (als er een storing is) en alle Radius-kenmerken die ISE heeft ontvangen.
In het volgende voorbeeld weigerde ISE verificatie omdat er geen autorisatieregel overeenkwam. Dit komt doordat het kenmerk Call-Station-ID wordt verzonden als de naam van de SSID wordt toegevoegd aan het MAC-adres van het AP, terwijl de autorisatie exact overeenkomt met de naam van de SSID. Met de wijziging van die regel wordt het probleem opgelost in "bevat" in plaats van "gelijk".
Nadat u dit hebt opgelost, kan de wifi-client nog steeds niet associëren met de SSID, terwijl ISE beweert dat de autorisatie een succes is en de juiste CWA-kenmerken heeft teruggegeven.
U kunt navigeren naar deTroubleshooting > Radioactive trace
pagina van de WLC web UI.
in de meeste gevallen kunt u vertrouwen op de altijd-on logboeken en zelfs krijgen logboeken van eerdere verbindingspogingen zonder de reproductie van het probleem opnieuw.
Voeg het mac-adres van de client toe en klikGenerate
zoals in de afbeelding.
In dit geval ligt het probleem bij het feit dat u een typo hebt gemaakt toen u de ACL-naam maakte en het komt niet overeen met de ACL-naam die door ISEs is geretourneerd of de WLC klaagt dat er geen dergelijke ACL is zoals de door ISE gevraagde ACL:
2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162 client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42,
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.