تكوين المصادقة المركزية للويب (CWA) على Catalyst 9800 WLC و ISE

المقدمة

يصف هذا وثيقة كيف أن يشكل CWA Wireless LAN على مادة حفازة 9800 WLC و ISE.

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من 9800 لاسلكي lan جهاز تحكم (WLC) تشكيل.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• 9800 WLC برنامج Cisco IOS® XE Gibraltar الإصدار 17.6.x
• Identity Service Engine (ISE) v3.0

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يتم عرض عملية CWA هنا حيث يمكنك رؤية عملية CWA لجهاز Apple كمثال:

التكوين

الرسم التخطيطي للشبكة

تكوين AAA على 9800 WLC

الخطوة 1. إضافة خادم ISE إلى تكوين 9800 WLC.

انتقل إلى Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add  وأدخل معلومات خادم RADIUS كما هو موضح في الصور.



تأكد من تمكين دعم عملية تغيير التفويض(CoA) إذا كنت تخطط لاستخدام مصادقة الويب المركزية (أو أي نوع من أنواع الأمان يتطلب CoA) في المستقبل. 



الخطوة 2. إنشاء قائمة أساليب التخويل.

انتقل إلى Configuration > Security > AAA >  AAA Method List > Authorization > + Add  كما هو موضح في الصورة.

الخطوة 3. (إختياري) قم بإنشاء قائمة أساليب المحاسبة كما هو موضح في الصورة.

ملاحظة: لا تعمل CWA إذا قررت أن تتوازن (من تكوين واجهة سطر الأوامر من Cisco IOS XE) خوادم RADIUS الخاصة بك بسبب معرف تصحيح الأخطاء من Cisco CSCvh03827. لا بأس باستخدام موازن الأحمال الخارجية. ومع ذلك، تأكد من أن موازن الحمل لديك يعمل على أساس كل عميل باستخدام سمة RADIUS لمعرف المحطة الاستدعاء. الاعتماد على منفذ مصدر UDP ليس آلية مدعومة لموازنة طلبات RADIUS من ال 9800.

الخطوة 4. (إختياري) يمكنك تحديد سياسة AAA لإرسال اسم SSID كسمة Call-station-id، والتي يمكن أن تكون مفيدة إذا كنت تريد الاستفادة من هذا الشرط على ISE لاحقا في العملية.

انتقل إلى Configuration > Security > Wireless AAA Policy نهج AAA الافتراضي أو قم بإنشاء نهج جديد.

يمكنك الاختيار SSID كخيار 1. تذكر أنه حتى عندما تختار SSID فقط، فإن معرف المحطة المستدعى لا يزال إلحاق عنوان MAC لنقطة الوصول باسم SSID.

تكوين شبكة WLAN

الخطوة 1. قم بإنشاء شبكة WLAN.



انتقل إلى الشبكة Configuration > Tags & Profiles > WLANs > + Add  وتكوينها حسب الحاجة.

الخطوة 2. أدخل المعلومات العامة لشبكة WLAN.

الخطوة 3. انتقل إلى Security  علامة التبويب واختر طريقة الأمان المطلوبة. في هذه الحالة، تكون هناك حاجة فقط إلى 'تصفية MAC' وقائمة تفويض AAA (التي قمت بإنشائها في الخطوة 2. في AAA Configuration  القسم).



CLI:



#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown


تكوين ملف تعريف السياسة

داخل ملف تعريف سياسة، يمكنك أن تقرر تخصيص العملاء الذين لديهم شبكة VLAN، من بين الإعدادات الأخرى (مثل قائمة التحكم في الوصول (ACLs)، جودة الخدمة (QoS)، Mobility Anchor، أجهزة التوقيت، وما إلى ذلك).

يمكنك إما استخدام ملف تعريف السياسة الافتراضي الخاص بك أو إنشاء ملف تعريف جديد.

GUI:

الخطوة 1. إنشاء Policy Profile جديد.

انتقل إلى Configuration > Tags & Profiles > Policy  وقم بتكوين أو default-policy-profile  إنشاء واحد جديد.

تأكد من تمكين ملف التعريف.



الخطوة 2. أخترت ال VLAN.

انتقل إلى Access Policies  علامة التبويب واختر اسم شبكة VLAN من القائمة المنسدلة أو اكتب معرف VLAN يدويا. لا تقم بتكوين قائمة التحكم في الوصول (ACL) في ملف تعريف السياسة.



الخطوة 3. قم بتكوين ملف تعريف السياسة لقبول تخطيات ISE (السماح بتجاوز AAA) وتغيير التفويض (CoA) (حالة NAC). يمكنك تحديد طريقة محاسبة بشكل اختياري أيضًا.



CLI:



# config # wireless profile policy <policy-profile-name> # aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown


تكوين علامة السياسة

داخل علامة السياسة هو المكان الذي تقوم فيه بربط SSID بملف تعريف السياسة الخاص بك. يمكنك إما إنشاء علامة سياسة جديدة أو استخدام علامة السياسة الافتراضية.

ملاحظة: تترجم علامة النهج الافتراضي تلقائيا أي SSID بمعرف WLAN بين 1 و 16 إلى ملف تعريف النهج الافتراضي. لا يمكن تعديله أو حذفه. إذا كانت لديك شبكة WLAN بالمعرف 17 أو إصدار أحدث، لا يمكن إستخدام علامة النهج الافتراضي.

GUI:

انتقل إلى Configuration > Tags & Profiles > Tags > Policy  وأضف واحدا جديدا إذا لزم الأمر كما هو موضح في الصورة.



قم بربط ملف تعريف WLAN بملف تعريف السياسة المطلوب.



CLI:



# config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name>


تعيين علامة السياسة

قم بتعيين علامة السياسة لنقاط الوصول المطلوبة.

GUI:

لتعيين العلامة إلى نقطة وصول واحدة، انتقل إلى Configuration > Wireless > Access Points > AP Name > General Tags، وقم بتعيين المهمة المطلوبة، ثم انقر Update & Apply to Device.



ملاحظة: اعلم أنه بعد تغيير علامة السياسة على نقطة وصول، فإنها تفقد إرتباطها مع عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 وترجع للانضمام في غضون دقيقة واحدة تقريبا.

لتعيين نفس علامة النهج إلى نقاط وصول متعددة، انتقل إلى Configuration > Wireless > Wireless Setup > Advanced > Start Now.




أختر نقاط الوصول التي تريد تعيين علامة التمييز لها وانقر + Tag APs  كما هو موضح في الصورة.



أختر علامة التمييز ذات اللون الأبيض وانقر Save & Apply to Device كما هو موضح في الصورة.



CLI:



# config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end


إعادة توجيه تكوين قائمة التحكم في الوصول (ACL)

الخطوة 1. انتقل إلى Configuration > Security > ACL > + Add  لإنشاء قائمة تحكم في الوصول (ACL) جديدة. 

أختر اسم لقائمة التحكم بالوصول (ACL)، وجعلها IPv4 Extended  تكتب وتضيف كل قاعدة كتسلسل كما هو موضح في الصورة.

تحتاج إلى رفض حركة المرور إلى عُقد خدمة السياسة (PSN) لمحرك ISE وكذلك رفض DNS والسماح بالباقي. قائمة التحكم في الوصول (ACL) المعاد توجيهها هذه ليست قائمة تحكم في الوصول (ACL) أمنية ولكنها قائمة تحكم في الوصول إلى النقطة التي تحدد حركة المرور التي تنتقل إلى وحدة المعالجة المركزية (على التراخيص) لمزيد من المعالجة (مثل إعادة التوجيه) وما هي حركة المرور التي تبقى على مستوى البيانات (عند الرفض) وتجنب إعادة التوجيه.

يجب أن تبدو قائمة التحكم في الوصول (ACL) كما يلي (استبدل 10.48.39.28 بعنوان IP الخاص بك في هذا المثال):

ملاحظة: بالنسبة لقائمة التحكم في الوصول (ACL) الخاصة بإعادة التوجيه، اعتبر deny الإجراء إعادة توجيه للرفض (عدم رفض حركة المرور) permitوالإجراء هو إعادة التوجيه المسموح بها. تنظر عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) فقط في حركة المرور التي يمكنها إعادة التوجيه (المنافذ 80 و 443 بشكل افتراضي).

CLI:



ip access-list extended REDIRECT
 deny ip any host <ISE-IP>
 deny ip host<ISE-IP> any
 deny udp any any eq domain
 deny udp any eq domain any
 permit tcp any any eq 80

ملاحظة: إذا قمت بإنهاء قائمة التحكم في الوصول permit ip any any باستخدام تصريح يركز على المنفذ 80، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يقوم أيضا بإعادة توجيه HTTPS، والذي غالبا ما يكون غير مرغوب فيه لأنه يجب أن يوفر شهادته الخاصة ويقوم دائما بإنشاء انتهاك لشهادة. هذا إستثناء من الجملة السابقة التي تقول أنك لا تحتاج إلى شهادة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في حالة CWA: تحتاج إلى شهادة إذا تم تمكين اعتراض HTTPS ولكنها لا تعتبر صالحة على أية حال.

يمكنك تحسين قائمة التحكم في الوصول (ACL) من خلال الإجراء لرفض منفذ الضيف 8443 فقط إلى خادم ISE.

تمكين إعادة التوجيه ل HTTP أو HTTPS

يتم ربط تكوين مدخل مسؤول الويب بتكوين مدخل مصادقة الويب ويجب أن يستمع على المنفذ 80 لإعادة التوجيه. لذلك، يجب تمكين HTTP حتى تعمل إعادة التوجيه بشكل صحيح. يمكنك إما إختيار تمكينه بشكل عام (باستخدام الأمرip http server) أو يمكنك تمكين HTTP للوحدة النمطية لمصادقة الويب فقط (باستخدام الأمر webauth-http-enable أسفل خريطة المعلمة).

إذا كنت ترغب في إعادة التوجيه عند محاولة الوصول إلى عنوان URL ل HTTPS، فقم بإضافة الأمرintercept-https-enable أسفل خريطة المعلمة ولكن لاحظ أن هذا ليس التكوين الأمثل، وأنه يؤثر على وحدة المعالجة المركزية الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) ويولد أخطاء في الشهادة على أية حال:



parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx


أنت يستطيع أيضا فعلت ذلك عبر ال gui مع الخيار 'Web Auth يعترض HTTPS'تدقيق في المعلمة خريطة (Configuration > Security > Web Auth).
  

تكوين ISE

إضافة 9800 WLC إلى محرك خدمات كشف الهوية (ISE)

الخطوة 1. افتح وحدة تحكم ISE وانتقل إليهاAdministration > Network Resources > Network Devices > Add كما هو موضح في الصورة.



الخطوة 2. قم بتكوين جهاز الشبكة.

وبشكل إختياري، يمكن أن يكون اسم طراز محدد أو إصدار برنامج أو وصف محدد، وتعيين مجموعات أجهزة الشبكة استنادا إلى أنواع الأجهزة أو الموقع أو أدوات التحكم في الشبكة المحلية اللاسلكية (WLC).

يماثل عنوان IP هنا واجهة WLC التي ترسل طلبات المصادقة. بشكل افتراضي، تكون هي واجهة الإدارة كما هو موضح في الصورة:



لمزيد من المعلومات حول مجموعات أجهزة الشبكة، راجع فصل دليل إدارة ISE: إدارة أجهزة الشبكة: ISE - مجموعات أجهزة الشبكة.

إنشاء مستخدم جديد على ISE

الخطوة 1. انتقل إلى Administration > Identity Management > Identities > Users > Add  كما هو موضح في الصورة.



الخطوة 2. أدخل المعلومات.

في هذا المثال، ينتمي هذا المستخدم إلى مجموعة تسمى ALL_ACCOUNTS ولكن يمكن ضبطها حسب الحاجة، كما هو موضح في الصورة.



إنشاء ملف تعريف التفويض

ملف تعريف النهج هو النتيجة المعينة لعميل استنادا إلى المعلمات الخاصة به (مثل عنوان MAC وبيانات الاعتماد وشبكة WLAN المستخدمة وما إلى ذلك). يمكنه تعيين إعدادات معينة مثل شبكة المنطقة المحلية الظاهرية (VLAN) وقوائم التحكم في الوصول (ACL) وإعادة توجيه محدد موقع الموارد الموحد (URL) وما إلى ذلك.

لاحظ أنه في الإصدارات الحديثة من ISE، توجد نتيجة تفويض Cisco_Webauth بالفعل. الآن يمكنك تحريره لتعديل اسم قائمة التحكم في الوصول (ACL) لإعادة التوجيه لمطابقة ما قمت بتكوينه على WLC.

الخطوة 1. انتقل إلى Policy > Policy Elements > Results > Authorization > Authorization Profiles. انقر add لإنشاء النتيجة الافتراضية الخاصة بك أوCisco_Webauth تحريرها.



الخطوة 2. أدخل معلومات إعادة التوجيه. تأكد من أن اسم قائمة التحكم في الوصول (ACL) هو نفسه الذي تم تكوينه على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800.



تكوين قاعدة المصادقة

الخطوة 1. تحدد مجموعة النهج مجموعة من قواعد المصادقة والتفويض. لإنشاء واحدة، انتقل إلىPolicy > Policy Sets، انقر فوق علامة تعيين أول مجموعة نهج في القائمة Insert new row ثم أختر السهم الأزرق الموجود على اليمين لاختيار مجموعة النهج الافتراضية.


الخطوة 2. توسيع النهجAuthentication. للقاعدة MAB (مطابقة على MAB سلكي أو لاسلكي)، مددت Options، واخترت الخيارCONTINUE في حالة كنت ترى 'إذا لم يوجد المستخدم'.



الخطوة 3. انقر فوق Save  لحفظ التغييرات.

تكوين قواعد المصادقة

قاعدة التفويض هي القاعدة المسؤولة لتحديد أي نتيجة الأذونات (أي ملف تعريف تفويض) التي يتم تطبيقها على العميل.

الخطوة 1. في نفس صفحة مجموعة النهج، قم بإغلاق Authentication Policy والتوسع Authorziation Policy  كما هو موضح في الصورة.



الخطوة 2. تبدأ إصدارات ISE الأخيرة بقاعدة تم إنشاؤها مسبقا تسمىWifi_Redirect_to_Guest_Login والتي تتطابق غالبا مع إحتياجاتنا. قم بتشغيل علامة الرمادي الموجودة على اليسار إلى enable.



الخطوة 3. تتطابق هذه القاعدة مع Wireless_MAB فقط وترجع سمات إعادة توجيه CWA. الآن، يمكنك إختياريا إضافة التفاف صغير وجعله يطابق SSID المحدد فقط. أختر الشرط (Wireless_MAB اعتبارا من الآن) لإظهار الشرط Studio. قم بإضافة شرط إلى اليمين واختر Radius القاموس باستخدام السمةCalled-Station-ID. اجعله يتطابق مع اسم SSID الخاص بك. قم بالتدقيق باستخدام Use الموجود بأسفل الشاشة كما هو موضح في الصورة.



الخطوة 4. تحتاج الآن إلى قاعدة ثانية، يتم تعريفها بأولوية أعلى، تطابق Guest Flow الشرط لإرجاع تفاصيل الوصول إلى الشبكة بمجرد مصادقة المستخدم على المدخل. يمكنك إستخدام القاعدة التيWifi Guest Access يتم إنشاؤها مسبقا أيضا بشكل افتراضي على إصدارات ISE الأخيرة. سيكون عليك حينئذٍ فقط تمكين القاعدة بوضع علامة خضراء على اليسار.   يمكنك إرجاع PermitAccess الافتراضي أو تكوين قيود قائمة الوصول الأكثر دقة.



الخطوة 5. قم بحفظ القواعد.


انقر Save  أسفل القواعد.

نقاط الوصول إلى مبدلات Flexconnect المحلية فقط

ماذا لو كانت لديك شبكات WLAN ونقاط الوصول إلى مبدلات Flexconnect المحلية؟ الأقسام السابقة لا تزال صالحة. ومع ذلك، فأنت بحاجة إلى خطوة إضافية من أجل دفع قائمة التحكم في الوصول (ACL) لإعادة التوجيه إلى نقاط الوصول (AP) مسبقا.

انتقل إلى Configuration > Tags & Profiles > Flex واختر ملف تعريف Flex. بعد ذلك، انتقل إلى Policy ACL علامة التبويب.

انقر Add  كما هو موضح في الصورة.



أختر اسم قائمة التحكم في الوصول (ACL) المعاد توجيهه وقم بتمكين المصادقة المركزية للويب. يعكس خانة الاختيار هذه قائمة التحكم في الوصول (ACL) تلقائيا على نقطة الوصول نفسها (وذلك لأن عبارة 'deny' تعني 'لا تقم بإعادة التوجيه إلى هذا IP' على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في Cisco IOS XE. غير أن بيان "الرفض" يعني العكس على الأسوشيتد برس. لذا، فإن خانة الاختيار هذه تقوم تلقائيا بتبديل جميع التصاريح ورفضها عندما تقوم بالدفع إلى نقطة الوصول. يمكنك التحقق من ذلك باستخدام واجهة سطر أوامر show ip access list (CLI) لنقطة الوصول (AP).

ملاحظة: في سيناريو التحويل المحلي ل FlexConnect، يجب أن تشير قائمة التحكم في الوصول (ACL) بشكل خاص إلى عبارات الإرجاع (وهو أمر غير مطلوب بالضرورة في الوضع المحلي)، لذا تأكد من أن جميع قواعد قائمة التحكم في الوصول (ACL) لديك تغطي كلا من طرق حركة المرور (إلى واجهة سطر الأوامر (ISE) ومنه على سبيل المثال).

لا تنس أن تضرب Save ثم Update and apply to the device.



الشهادات

لجعل العميل يثق بشهادة مصادقة الويب، لا يلزم تثبيت أي شهادة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حيث إن الشهادة الوحيدة المقدمة هي شهادة ISE (التي يجب أن تكون موثوق بها من قبل العميل).

التحقق من الصحة

يمكنك استخدام هذه الأوامر للتحقق من التكوين الحالي.



# show run wlan # show run aaa # show aaa servers # show ap config general # show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 


هنا الجزء ذو الصلة من تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الذي يماثل هذا المثال:



aaa new-model !
aaa authorization network CWAauthz group radius aaa accounting identity CWAacct start-stop group radius ! aaa server radius dynamic-author client <ISE-IP> server-key cisco123 ! aaa session-id common ! ! radius server ISE-server address ipv4 <ISE-IP> auth-port 1812 acct-port 1813 key cisco123 ! ! wireless aaa policy default-aaa-policy wireless cts-sxp profile default-sxp-profile wireless profile policy default-policy-profile aaa-override nac vlan 1416 no shutdown wireless tag policy cwa-policy-tag wlan cwa-ssid policy default-policy-profile wlan cwa-ssid 4 cwa-ssid
 mac-filtering CWAauthz
 no security ft adaptive
 no security wpa
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 no security wpa akm dot1x
 no shutdown 
ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server 


استكشاف الأخطاء وإصلاحها


قائمة التحقق

• تأكد من اتصال العميل وعنوان IP صالح وحصوله عليه.
• إذا لم تكن عملية إعادة التوجيه تلقائية، فافتح المستعرض وحاول إستخدام عنوان IP عشوائي. على سبيل المثال، 10.0.0.1. إذا عملت إعادة التوجيه، فمن المحتمل أن تكون لديك مشكلة في حل DNS. تحقق من توفر خادم DNS صالح لديك عبر DHCP ومن قدرته على حل أسماء المضيف. 
• تأكد من أن لديك الأمر ip http server الذي تم تكوينه لإعادة التوجيه على HTTP للعمل. يتم ربط تكوين مدخل مسؤول الويب بتكوين مدخل مصادقة الويب ويجب إدراجه على المنفذ 80 لإعادة التوجيه. يمكنك إما إختيار تمكينه بشكل عام (باستخدام الأمرip http server) أو يمكنك تمكين HTTP للوحدة النمطية لمصادقة الويب فقط (باستخدام الأمر webauth-http-enable أسفل خريطة المعلمة).
• إذا لم تتم إعادة توجيهك عند محاولة الوصول إلى عنوان URL ل HTTPS وهو مطلوب، فتحقق بعد ذلك من أن لديك الأمر intercept-https-enable أسفل خريطة المعلمات:



parameter-map type webauth global
 type webauth
 intercept-https-enable
 trustpoint xxxxx


أنت يستطيع أيضا فحصت عن طريق ال gui أن أنت تتلقى الخيار Web Auth يعترض HTTPS' فحصت في المعلمة خريطة:
  

دعم منفذ الخدمة ل RADIUS

تحتوي وحدة التحكم اللاسلكية Cisco Catalyst 9800 Series على منفذ خدمة يشار إليه باسم GigabitEthernet 0المنفذ. اعتبارا من الإصدار 17.6.1، يتم دعم RADIUS (الذي يتضمن CoA) من خلال هذا المنفذ.

إذا كنت ترغب في إستخدام منفذ الخدمة ل RADIUS، فأنت بحاجة إلى هذا التكوين:



aaa server radius dynamic-author 
client 10.48.39.28 vrf Mgmt-intf server-key cisco123

interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 ip address x.x.x.x x.x.x.x

!if using aaa group server:
aaa group server radius group-name
 server name nicoISE
 ip vrf forwarding Mgmt-intf
 ip radius source-interface GigabitEthernet0

تجميع تصحيح الأخطاء

يوفر WLC 9800 إمكانات التتبع الدائمة. وهذا يضمن تسجيل جميع الأخطاء المتعلقة باتصال العميل والتحذيرات ورسائل مستوى الإشعار بشكل مستمر، كما يمكنك عرض السجلات الخاصة بحادثة أو حالة فشل بعد حدوثها.

ملاحظة: يمكنك الرجوع بضع ساعات إلى عدة أيام في السجلات ولكنها تعتمد على حجم السجلات التي تم إنشاؤها.

لعرض المسارات التي تم تجميعها بواسطة 9800 WLC بشكل افتراضي، يمكنك الاتصال عبر SSH/Telnet ب 9800 WLC وإجراء هذه الخطوات (تأكد من تسجيل الجلسة إلى ملف نصي).


الخطوة 1. فحصت ال WLC حالي وقت لذلك أنت يستطيع تتبعت السجل في الوقت back to عندما الإصدار حدث.



# show clock


الخطوة 2. قم بتجميع syslog من المخزن المؤقت ل WLC أو syslog الخارجي كما هو محدد بواسطة تكوين النظام. يوفر ذلك طريقة عرض سريعة لسلامة النظام والأخطاء إن وجدت.



# show logging 


الخطوة 3. تحقق ما إذا تم تمكين أي شروط تصحيح أخطاء.



# show debugging Cisco IOS XE Conditional Debug Configs: Conditional Debug Global State: Stop Cisco IOS XE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------

ملاحظة: إذا رأيت أي شرط مدرج في القائمة، فهذا يعني أن التتبع يتم تسجيله إلى مستوى تصحيح الأخطاء لجميع العمليات التي تواجه الشروط الممكنة (عنوان MAC وعنوان IP وما إلى ذلك). وهذا يزيد من حجم السجلات. لذلك، يوصى بمسح جميع الشروط عندما لا تقوم بتصحيح الأخطاء بشكل فعال.

الخطوة 4. بافتراض أن عنوان MAC تحت الاختبار لم يتم إدراجه كشرط في الخطوة 3.، قم بتجميع آثار مستوى الإشعار الموجودة دائما لعنوان MAC المحدد.



# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 


يمكنك إما عرض المحتوى على الجلسة أو يمكنك نسخ الملف إلى خادم TFTP خارجي.



# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 


التصحيح الشرطي والتتبع النشط اللاسلكلي 

إذا لم تمنحك المسارات الدائمة معلومات كافية لتحديد مشغل المشكلة قيد التحقيق، يمكنك تمكين تصحيح الأخطاء المشروط والتقاط تتبع Radio Active (RA)، الذي يوفر تتبع مستوى تصحيح الأخطاء لجميع العمليات التي تتفاعل مع الشرط المحدد (عنوان MAC للعميل في هذه الحالة). لتمكين تصحيح الأخطاء المشروط، استمر في هذه الخطوات.


الخطوة 5. تأكد من عدم تمكين شروط تصحيح الأخطاء.



# clear platform condition all


الخطوة 6. قم بتمكين شرط تصحيح الأخطاء لعنوان MAC للعميل اللاسلكي الذي تريد مراقبته.

تبدأ هذه الأوامر بمراقبة عنوان mac المتوفر لمدة 30 دقيقة (1800 ثانية). يمكنك زيادة هذا الوقت اختياريًا حتى 2085978494 ثانية.



# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

ملاحظة: من أجل مراقبة أكثر من عميل واحد في كل مرة، قم بتشغيل الأمر debug wireless mac<aaaa.bbbb.cccc> لكل عنوان MAC.

ملاحظة: لا ترى إخراج نشاط العميل على جلسة العمل الطرفية، حيث يتم تخزين كل شيء مؤقتا داخليا لعرضه لاحقا.

الخطوة 7'. قم بإعادة إنتاج المشكلة أو السلوك الذي تريد مراقبته.



الخطوة 8. قم بإيقاف تصحيح الأخطاء إذا تم نسخ المشكلة قبل انتهاء وقت المراقبة الافتراضي أو المكون.



# no debug wireless mac <aaaa.bbbb.cccc>


ما إن انقضى وقت المدرب أو ال debug لاسلكي يكون، ال 9800 WLC يلد مبرد محلي مع الإسم:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

الخطوة 9. تجميع ملف نشاط عنوان MAC. يمكنك إما نسخ ra trace .logالمخرجات إلى خادم خارجي أو عرضها مباشرة على الشاشة.

التحقق من اسم ملف تتبع مسار RA.



# dir bootflash: | inc ra_trace


نسخ الملف إلى خادم خارجي:



# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt


عرض المحتوى:



# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log 


الخطوة 10. إذا كان السبب الجذري لا يزال غير واضح، فقم بجمع السجلات الداخلية التي تعد طريقة عرض توضيحية أكبر للسجلات على مستوى تصحيح الأخطاء. لا تحتاج إلى تصحيح أخطاء العميل مرة أخرى حيث إننا نلقي نظرة أكثر تفصيلا على سجلات تصحيح الأخطاء التي تم تجميعها بالفعل وتخزينها داخليا.



# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

ملاحظة: ينتج هذا الأمر آثارا لجميع مستويات السجل لجميع العمليات وهو كبير الحجم إلى حد ما. أشرك cisco TAC للمساعدة في التحليل خلال هذه المسارات.

يمكنك إما نسخ ra-internal-FILENAME.txtالمخرجات إلى خادم خارجي أو عرضها مباشرة على الشاشة.

نسخ الملف إلى خادم خارجي:



# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt


عرض المحتوى:



# more bootflash:ra-internal-<FILENAME>.txt


الخطوة 11. قم بإزالة شروط تصحيح الأخطاء.



# clear platform condition all

ملاحظة: تأكد من إزالة شروط تصحيح الأخطاء دائما بعد جلسة أستكشاف الأخطاء وإصلاحها.

الأمثلة

إذا لم تكن نتيجة المصادقة كما تتوقع، فمن المهم الانتقال إلى صفحة ISEOperations > Live logs والحصول على تفاصيل نتيجة المصادقة.

تعرض عليك مع سبب الفشل (إذا كان هناك فشل) وجميع سمات Radius التي تلقاها ISE.

في المثال التالي، رفض محرك خدمات كشف الهوية (ISE) المصادقة لأنه لا توجد قاعدة تفويض مطابقة. وذلك لأنك ترى سمة معرف المحطة المستدعى مرسلة كاسم SSID ملحق بعنوان AP MAC، بينما يكون التخويل مطابقا تماما لاسم SSID. يتم إصلاحها مع تغيير هذه القاعدة إلى "يحتوي" بدلا من "يساوي".








بعد حل هذه المشكلة، لا يزال عميل WiFi غير قادر على الاقتران ب SSID بينما يدعي ISE أن التخويل ناجح وأرجع سمات CWA الصحيحة.

يمكنك الانتقال إلى Troubleshooting > Radioactive trace صفحة واجهة مستخدم ويب WLC.

في معظم الحالات، يمكنك الاعتماد على السجلات التي تعمل باستمرار وحتى الحصول على السجلات من محاولات الاتصال السابقة دون إعادة إنتاج المشكلة مرة أخرى.

أضف عنوان MAC للعميل وانقر Generate  كما هو موضح في الصورة.




في هذه الحالة، تكمن المشكلة في حقيقة أنك قمت بعمل خطأ إملائي عندما قمت بإنشاء اسم قائمة التحكم في الوصول وهو لا يطابق اسم قائمة التحكم في الوصول الذي تم إرجاعه من قبل ISE أو أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يشتكي من عدم وجود قائمة التحكم في الوصول (ACL) كتلك التي طلبها ISE:



2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162 client authz result: FAILURE 2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42, 2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.