802.1x WLAN + Mobility Express (ME) 8.2和ISE 2.1的VLAN覆蓋

簡介

本檔案介紹如何設定具有Wi-Fi Protected Access 2 (WPA2)企業保全性的WLAN （無線區域網路），以及Mobility Express控制器和外部遠端驗證撥入使用者服務(RADIUS)伺服器。身份服務引擎(ISE)用作外部RADIUS伺服器的示例。

本指南中使用的可擴展身份驗證協定(EAP)是受保護的擴展身份驗證協定(PEAP)。此外，使用者端會指派給特定VLAN （除了指派給WLAN ny預設值的VLAN）。

必要條件

需求

思科建議您瞭解以下主題：

• 802.1x
• PEAP
• 憑證授權單位(CA)
• 憑證

採用元件

本文中的資訊係根據以下軟體和硬體版本：

ME v8.2

ISE v2.1

Windows 10筆記型電腦

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

網路圖表

組態

一般步驟如下：

1. 在ME中建立服務集識別符號(SSID)，並在ME上宣告RADIUS伺服器（在本示例中為ISE）
2. 在RADIUS伺服器(ISE)上宣告ME
3. 在ISE上建立身份驗證規則
4. 在ISE上建立授權規則
5. 配置終端

我的配置

為了允許RADIUS伺服器和ME之間的通訊，需要在ME上註冊RADIUS伺服器，反之亦然。此步驟顯示如何在ME上註冊RADIUS伺服器。

步驟 1.打開ME的GUI並導航至 Wireless Settings > WLANs > Add new WLAN。

步驟 2.選擇WLAN的名稱。

步驟 3.在WLAN Security頁籤下指定安全配置。

選擇WPA2 Enterprise，對於身份驗證伺服器，選擇External RADIUS。按一下編輯選項增加RADIUS的IP地址並選擇一個共用金鑰。

   

 <a.b.c.d>對應於RADIUS伺服器。

步驟 4.為SSID分配VLAN。

如果需要將SSID分配給AP的VLAN，則可跳過此步驟。 

要將此SSID的使用者分配到特定VLAN（AP的VLAN除外），請啟用Use VLAN Tagging，然後分配所需的VLAN ID。

注意：如果使用VLAN標籤，請確保將存取點所連線的switchport配置為中繼埠，並將AP VLAN配置為本地埠。

步驟 5.按一下Apply完成配置。

步驟 6.可選，配置WLAN以接受VLAN覆蓋。

在WLAN上啟用AAA覆蓋並增加所需的VLAN。為此，您需要打開ME管理介面的CLI會話並發出以下命令：

>config wlan disable <wlan-id>
>config wlan aaa-override enable <wlan-id>
>config wlan enable <wlan-id>
>config flexconnect group default-flexgroup vlan add <vlan-id>

在ISE上宣告ME

步驟 1.打開ISE控制檯並導航到管理>網路資源>網路裝置>增加。

步驟 2.輸入資訊。

或者，您可以根據裝置型別、位置或WLC指定型號名稱、軟體版本、說明以及分配網路裝置組。

a.b.c.d對應於ME的IP地址。

如需有關網路裝置群組的詳細資訊，請檢閱此連結：

ISE – 網路裝置群組

在ISE上建立新使用者

步驟 1.導覽至 Administration > Identity Management > Identities > Users > Add。

步驟 2.輸入資訊。

在此範例中，此使用者屬於名為ALL_ACCOUNTS的群組，但可依需要加以調整。

建立身份驗證規則

驗證規則可用於驗證使用者的認證是否正確（驗證使用者的真實身分正確無誤），並限制其所允許使用的驗證方法。

步驟1.瀏覽 轉至Policy > Authentication。

步驟 2.插入新的驗證規則。

為此，請導航到策略>身份驗證>在上/下插入新行。

步驟 3.輸入所需資訊

此身份驗證規則示例允許Default Network Access清單下列出的所有協定，這適用於無線802.1x客戶端和被叫站ID的身份驗證請求，並以ise-ssid結束。

同時，為與此身份驗證規則匹配的客戶端選擇身份源，在本示例中，該身份源用於內部使用者

完成後，按一下完成和儲存

有關「允許協定策略」的詳細資訊，請參閱此連結：

允許的協定服務

有關身份源的詳細資訊，請參閱以下連結：

建立使用者身份組

建立授權規則

授權規則是負責確定客戶端是否可以加入網路的規則

步驟 1.導航到策略>授權。

步驟 2.插入新規則。導航到策略>授權>在上方/下方插入新規則。

步驟 3.輸入資訊。

首先選擇規則名稱以及儲存使用者的Identity組。在本示例中，使用者儲存在組ALL_ACCOUNTS中。

然後，選擇其他條件，使授權過程符合此規則。在本示例中，如果授權進程使用802.1x無線且稱為站點ID以ise-ssid結尾，則授權進程滿足此規則。

最後，選擇允許客戶端加入網路的授權配置檔案，按一下Done和Save。

或者，建立一個將無線客戶端分配到不同VLAN的新授權配置檔案：

輸入以下資訊：

終端裝置的配置

將Windows 10筆記型電腦配置為使用PEAP/MS-CHAPv2(Microsoft版本的質詢-握手身份驗證協定版本2)連線到802.1x身份驗證的SSID。

在此配置示例中，ISE使用其自簽名證書執行身份驗證。

要在Windows電腦上建立WLAN配置檔案，有兩個選項：

1. 在電腦上安裝自簽名證書以驗證並信任ISE伺服器完成身份驗證
2. 略過RADIUS伺服器的驗證，並信任任何用於執行驗證的RADIUS伺服器（不建議使用，因為這可能成為安全性問題）

 有關這些選項的配置，請參閱終端裝置配置-建立WLAN配置檔案-步驟7。

終端裝置配置-安裝ISE自簽名證書

步驟 1.從ISE導出自簽名證書。

登入ISE並導航到管理>系統>證書>系統證書。

然後選擇用於EAP身份驗證的證書，然後按一下導出。

將憑證儲存在所需的位置。此證書安裝在Windows電腦上。

步驟 2.在Windows電腦上安裝證書。

將之前導出的證書複製到Windows電腦，將檔案的副檔名從.pem更改為.crt，然後按兩下該檔案並選擇Install Certificate...。

選擇將其安裝在本地電腦中，然後按一下下一步。

選擇Place all certificates in the following store，然後瀏覽並選擇Trusted Root Certification Authorities。完成之後，按一下「下一步」。 

然後按一下完成。

最後按一下Yes確認安裝證書。

最後按一下「確定」。

終端裝置配置-建立WLAN配置檔案

步驟 1.按一下右鍵開始圖示並選擇控制台。

步驟 2.導航到網路和Internet ，然後導航到網路和共用中心，然後按一下設定新連線或網路。

步驟 3.選擇手動連線到無線網路並按一下下一步。

步驟 4.輸入SSID名稱和安全型別WPA2-Enterprise的資訊，然後按一下Next。

步驟 5.選擇Change connection settings以自定義WLAN配置檔案的配置。

步驟 6.導航到安全頁籤，然後按一下設定。

步驟 7.選擇是否驗證RADIUS伺服器。

如果是，請啟用Verify the server's identity by validating the certificate，並從Trusted Root Certification Authorities：清單選擇ISE的自簽名證書。

之後，選擇Configure並停用Automatically use my Windows logon name and password..，然後按一下OK

步驟 8.設定使用者身份證明

返回安全頁籤後，選擇高級設定，將身份驗證模式指定為使用者身份驗證，並儲存在ISE上配置為對使用者進行身份驗證的憑據。 

驗證

身份驗證流可以從WLC或ISE角度進行驗證。

ME上的身份驗證過程

運行此命令可監視特定使用者的身份驗證過程：

  

> debug client <mac-add-client>

身份驗證成功的示例（某些輸出被省略）：

  

*apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Processing assoc-req station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 thread:669ba80
*apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Association received from mobile on BSSID 38:ed:18:c6:7b:4d AP 1852-4
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying site-specific Local Bridging override for station 08:74:02:77:13:45 - vapId 3, site 'FlexGroup', interface 'management'
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying Local Bridging Interface Policy for station 08:74:02:77:13:45 - vlan 0, interface id 0, interface 'management'
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Set Clinet Non AP specific apfMsAccessVlan = 2400
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 This apfMsAccessVlan may be changed later from AAA after L2 Auth
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Received 802.11i 802.1X key management suite, enabling dot1x Authentication
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state START (0)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state AUTHCHECK (2)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 apfPemAddUser2:session timeout forstation 08:74:02:77:13:45 - Session Tout 0, apfMsTimeOut '0' and sessionTimerRunning flag is 0
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Stopping deletion of Mobile Station: (callerId: 48)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Func: apfPemAddUser2, Ms Timeout = 0, Session Timeout = 0
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending assoc-resp with status 0 station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 on apVapId 3
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending Assoc Response to station on BSSID 38:ed:18:c6:7b:4d (status 0) ApVapId 3 Slot 1
*spamApTask0: Nov 25 16:36:24.341: 08:74:02:77:13:45 Sent dot1x auth initiate message for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 reauth_sm state transition 0 ---> 1 for mobile 08:74:02:77:13:45 at 1x_reauth_sm.c:47
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 EAP-PARAM Debug - eap-params for Wlan-Id :3 is disabled - applying Global eap timers and retries
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Disable re-auth, use PMK lifetime.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Connecting state
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Sending EAP-Request/Identity to mobile 08:74:02:77:13:45 (EAP Id 1)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received EAPOL EAPPKT from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received Identity Response (count=1) from mobile 08:74:02:77:13:45
.
.
.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Processing Access-Accept for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Username entry (user1) created in mscb for mobile, length = 253
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Creating a PKC PMKID Cache entry for station 08:74:02:77:13:45 (RSN 2)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding BSSID 38:ed:18:c6:7b:4d to PMKID cache at index 0 for station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: New PMKID: (16)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding Audit session ID payload in Mobility handoff
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 0 PMK-update groupcast messages sent
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 PMK sent to mobility group
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Disabling re-auth since PMK lifetime can take care of same.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Sending EAP-Success to mobile 08:74:02:77:13:45 (EAP Id 70)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Freeing AAACB from Dot1xCB as AAA auth is done for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: Including PMKID in M1 (16)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: M1 - Key Data: (22)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] dd 14 00 0f ac 04 80 3a 20 8c 8f c2 4c 18 7d 4c
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0016] 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Starting key exchange to mobile 08:74:02:77:13:45, data packets will be dropped
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
 state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Entering Backend Auth Success state (id=70) for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Received Auth Success while in Authenticating state for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Authenticated state
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-Key from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-key in PTK_START state (message 2) from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Successfully computed PTK from PMK!!!
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received valid MIC in EAPOL Key Message M2!!!!!
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 30 14 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 0...............
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: 00 0f ac 01 0c 00 ......
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 00 0f ................
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: ac 01 0c 00 ....
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 PMK: Sending cache add
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
 state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Mobility query, PEM State: L2AUTHCOMPLETE
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Mobile Announce :
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Client Payload:
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Ip: 0.0.0.0
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vlan Ip: 172.16.0.136, Vlan mask : 255.255.255.224
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vap Security: 16384
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Virtual Ip: 192.0.2.1
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 ssid: ise-ssid
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building VlanIpPayload.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Not Using WMM Compliance code qosCap 00
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3 flex-acl-name:
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state L2AUTHCOMPLETE (4)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6623, Adding TMP rule
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule
 type = Airespace AP - Learn IP address
 on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
 IPv4 ACL ID = 255, IPv
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) mobility role update request from Unassociated to Local
 Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 172.16.0.136
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=Local, client state=APF_MS_STATE_ASSOCIATED
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6261, Adding TMP rule
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Replacing Fast Path rule
 type = Airespace AP - Learn IP address
 on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
 IPv4 ACL ID = 255,
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 In apfRegisterIpAddrOnMscb_debug: regType=1 Invalid src IP address, 0.0.0.0 is part of reserved ip address range (caller apf_ms.c:3593)
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
*apfReceiveTask: Nov 25 16:36:27.840: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
*apfReceiveTask: Nov 25 16:36:27.841: 08:74:02:77:13:45 172.16.0.16 DHCP_REQD (7) Change state to RUN (20) last state DHCP_REQD (7)

要輕鬆地檢視調試客戶端輸出，請使用無線調試分析器工具：

無線偵錯分析器

ISE上的身份驗證過程

導航到操作> RADIUS > Live Logs以檢視為使用者分配的身份驗證策略、授權策略和授權配置檔案。

 有關詳細資訊，請按一下Details以檢視更詳細的身份驗證過程。