فهم تدفق CWA على عميل

خيارات التنزيل

  • PDF     (1.7 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.6 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٦ أكتوبر ٢٠٢٣
معرّف المستند:221055

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تدفق العميل النهائي عند الاتصال بشبكة WLAN ل CWA.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة أساسية ب:

    • وحدة التحكم في شبكة LAN اللاسلكية (WLC) 9800 Series من Cisco
    • الفهم العام لمصادقة الويب المركزية (CWA) وتكوينها على محرك خدمات الهوية (ISE)

    المكونات المستخدمة

    أسست المعلومة في هذا وثيقة على هذا برمجية وجهاز صيغة:

    • 9800-CL WLC
    • cisco ap 3802
    • 9800 WLC Cisco IOS® XE v17.3.6
    • Identity Service Engine (ISE) v3.1

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    CWA هو نوع من مصادقة SSID يمكن تكوينه على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حيث يتم مطالبة العميل النهائي الذي يحاول الاتصال بإدخال اسم المستخدم وكلمة المرور الخاصة به إلى مدخل ويب يقدم إليه. وباختصار، يتم تدفق العميل النهائي عندما يكون الاتصال بالشبكة المحلية اللاسلكية (WLAN):

    1. يتصل العميل النهائي بمعرف SSID الظاهر على جهازه
    2. تتم إعادة توجيه العميل النهائي إلى بوابة الويب لإدخال بيانات الاعتماد الخاصة به
    3. تمت مصادقة العميل النهائي بواسطة ISE مع بيانات الاعتماد التي تم إدخالها
    4. يرد ISE على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) قائلا إنه تمت مصادقة العميل النهائي. يمكن أن يدفع ISE بعض السمات الإضافية التي يجب على العميل امتثالها عند الوصول إلى الشبكة (مثل قوائم التحكم في الوصول (ACL) المحددة)
    5. تتم إعادة اقتران العميل النهائي وإعادة مصادقته، وأخيرا يحصل على الوصول إلى الشبكة
    note-icon

    ملاحظة: من المهم ملاحظة أن العميل النهائي الذي تتم مصادقته مرتين يكون شفافا للعميل النهائي

    ويتم تقسيم العملية الأساسية التي يجب أن يمر بها العميل بشكل أساسي إلى عمليتين: اتصال من العميل إلى خادم ISE، واتصال آخر من العميل بالشبكة نفسها بمجرد مصادقته. تتواصل وحدة التحكم ومعيار ISE دائما مع بعضها البعض من خلال بروتوكول RADIUS. أدناه، تحليل متعمق لتتبع مشع (RA) وميزة مدمجة لالتقاط الحزم (EPC).

    مسار CWA - التتبع الإشعاعي (RA)

    تتبع RA هو مجموعة من السجلات التي تم التقاطها لعميل معين. وهو يعرض العملية الكاملة التي يمر بها العميل أثناء الاتصال بشبكة WLAN. لمزيد من المعلومات عما هي عليه وكيفية إسترداد آثار RA، يرجى زيارة فهم تصحيح الأخطاء اللاسلكية وتجميع السجل على وحدات التحكم في الشبكة المحلية اللاسلكية Catalyst 9800.

    الاتصال الأول: عميل إلى خادم ISE

    لا تسمح عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بالاتصال بالشبكة إذا لم يكن العميل مخولا من قبل ISE.

    الارتباط بشبكة WLAN

    تكشف عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) عن رغبة العميل في الاقتران بشبكة WLAN "cwa"، التي تم ربطها بملف تعريف النهج "cwa-policy-profile ويتم الاتصال بنقطة الوصول "BC-3802"

    [client-orch-sm] [17558]: (note): MAC: 4203.9522.e682 Association received. BSSID dc8c.37d0.83af, WLAN cwa, Slot 1 AP dc8c.37d0.83a0, BC-3802
    [client-orch-sm] [17558]: (debug): MAC: 4203.9522.e682 Received Dot11 association request. Processing started,SSID: cwa, Policy profile: cwa-policy-profile, AP Name: BC-3802, Ap Mac Address: dc8c.37d0.83a0 BSSID MAC0000.0000.0000 wlan ID: 1RSSI: -46, SNR: 40
    [client-orch-state] [17558]: (note): MAC: 4203.9522.e682 Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
    [dot11-validate] [17558]: (info): MAC: 4203.9522.e682 WiFi direct: Dot11 validate P2P IE. P2P IE not present.

    تصفية MAC

    إختبار اتصال خادم ISE

    بمجرد أن يتلقى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طلب الارتباط من العميل، فإن الخطوة الأولى هي إجراء تصفية MAC (المعروفة أيضا ب MAB). تصفية MAC هي طريقة أمان يتم فيها التحقق من عنوان MAC الخاص بالعميل مقابل قاعدة بيانات للتحقق مما إذا كان مسموحا لهم بالانضمام إلى الشبكة أم لا.

    [dot11] [17558]: (info): MAC: 4203.9522.e682 DOT11 state transition: S_DOT11_INIT -> S_DOT11_MAB_PENDING <-- The WLC is waiting for ISE to authenticate the user. It does not send an "Association Response" until the client is accepted by ISE.
    [client-orch-state] [17558]: (note): MAC: 4203.9522.e682 Client state transition: S_CO_ASSOCIATING -> S_CO_MACAUTH_IN_PROGRESS
    [client-auth] [17558]: (note): MAC: 4203.9522.e682 MAB Authentication initiated. Policy VLAN 0, AAA override = 1, NAC = 1 <-- no VLAN is assigned as ISE can do that
    [sanet-shim-translate] [17558]: (ERR): 4203.9522.e682 wlan_profile Not Found : Device information attributes not populated
    [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] Session Start event called from SANET-SHIM with conn_hdl 14, vlan: 0
    [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] Wireless session sequence, create context with method MAB
    [auth-mgr-feat_wireless] [17558]: (info): [4203.9522.e682:capwap_90000005] - authc_list: cwa_authz <-- Authentication method list used
    [auth-mgr-feat_wireless] [17558]: (info): [4203.9522.e682:capwap_90000005] - authz_list: Not present under wlan configuration
    [client-auth] [17558]: (info): MAC: 4203.9522.e682 Client auth-interface state transition: S_AUTHIF_INIT -> S_AUTHIF_AWAIT_MAB_AUTH_START_RESP
    [auth-mgr] [17558]: (info): [4203.9522.e682:unknown] auth mgr attr change notification is received for attr (952)
    [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] auth mgr attr change notification is received for attr (1263)
    [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] auth mgr attr change notification is received for attr (220)
    [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] auth mgr attr change notification is received for attr (952)
    [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] Retrieved Client IIF ID 0x530002f1
    [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] Allocated audit session id 0E1E140A0000000C8E2DA642
    [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] Applying policy for WlanId: 1, bssid : dc8c.37d0.83af, slotid: 1 bssid hdl : 12364632849490379189
    [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] Wlan vlan-id from bssid hdl 0
    [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] SM Reauth Plugin: Received valid timeout = 1800
    [mab] [17558]: (info): [4203.9522.e682:capwap_90000005] MAB authentication started for 4203.9522.e682
    [client-auth] [17558]: (info): MAC: 4203.9522.e682 Client auth-interface state transition: S_AUTHIF_AWAIT_MAB_AUTH_START_RESP -> S_AUTHIF_MAB_AUTH_PENDING
    [ewlc-infra-evq] [17558]: (note): Authentication Success. Resolved Policy bitmap:11 for client 4203.9522.e682 
    [client-auth] [17558]: (info): MAC: 4203.9522.e682 Client auth-interface state transition: S_AUTHIF_MAB_AUTH_PENDING -> S_AUTHIF_MAB_AUTH_PENDING
    [mab] [17558]: (info): [4203.9522.e682:capwap_90000005] Received event 'MAB_CONTINUE' on handle 0x8A000002 <-- ISE server connectivity has been tested, the WLC is about to send the MAC address to ISE
    [caaa-author] [17558]: (info): [CAAA:AUTHOR:92000002] DEBUG: mlist=cwa_authz for type=1

    WLC يرسل طلبا إلى ISE

    يرسل ال WLC RADIUS طلب ربط إلى ISE يحتوي على عنوان MAC من الزبون أن يريد أن يصدق إلى WLAN.

    [radius] [17558]: (info): RADIUS: Send Access-Request to <ise-ip-addr>:1812 id 0/28, len 415 <-- The packet is traveling via RADIUS port 1812. The "28" is the session ID and it is unique for every connection attempt
    [radius] [17558]: (info): RADIUS: authenticator e7 85 1b 08 31 58 ee 91 - 17 46 82 79 7d 3b c4 30
    [radius] [17558]: (info): RADIUS: User-Name            [1]     14 "42039522e682" <-- MAC address that is attempting to authenticate
    [radius] [17558]: (info): RADIUS: User-Password        [2]     18 *
    [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]     25 "service-type=Call Check" <-- This indicates a MAC filtering process
    [radius] [17558]: (info): RADIUS: Framed-MTU           [12]    6  1485 
    [radius] [17558]: (info): RADIUS: Message-Authenticator[80]    18 ...
    [radius] [17558]: (info): RADIUS: EAP-Key-Name         [102]   2  *
    [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]     43 "audit-session-id=0E1E140A0000000C8E2DA642"
    [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]     12 "method=mab" <-- Controller sends an AVpair with MAB method
    [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]     26 "client-iif-id=1392509681"
    [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]     14 "vlan-id=1000"
    [radius] [17558]: (info): RADIUS: NAS-IP-Address       [4]     6  <wmi-ip-addr> <-- WLC WMI IP address
    [radius] [17558]: (info): RADIUS: NAS-Port-Id          [87]    17 "capwap_90000005"
    [radius] [17558]: (info): RADIUS: NAS-Port-Type        [61]    6  802.11 wireless [19]
    [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]     30 "cisco-wlan-ssid=cwa" <-- SSID and WLAN the client is attempting to connect
    [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]     32 "wlan-profile-name=cwa"
    [radius] [17558]: (info): RADIUS: Called-Station-Id    [30]    32 "dc-8c-37-d0-83-a0:cwa"
    [radius] [17558]: (info): RADIUS: Calling-Station-Id   [31]    19 "42-03-95-22-e6-82"
    [radius] [17558]: (info): RADIUS: Airespace-WLAN-ID    [1]     6  1 
    [radius] [17558]: (info): RADIUS: Nas-Identifier       [32]    9  "BC-9800"
    [radius] [17558]: (info): RADIUS: Started 5 sec timeout
    note-icon

    ملاحظة: زوج AV هو "attribute-value" المستخدم من قبل ISE. هو بنية قيمة أساسية للمعلومات المحددة مسبقا التي يمكن إرسالها إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). يتم تطبيق هذه القيم على ذلك العميل المحدد لهذه الجلسة المحددة.

    أمثلة على أزواج AV:

    • اسم قائمة التحكم في الوصول (ACL)
    • إعادة توجيه URL
    • تعيين الشبكة المحلية الظاهرية (VLAN)
    • ساعات انتهاء مهلة جلسة العمل
    • مؤقتات إعادة المصادقة

    تستجيب ISE لطلب عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)

    إذا تم قبول عنوان MAC الذي تم إرساله بواسطة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) من قبل ISE، فعندئذ يقوم ISE بإرسال حزمة Access-Accept RADIUS. حسب تكوين ISE، إذا كان عنوان MAC غير معروف، يجب على ISE قبوله ومتابعة التدفق. إذا رأيت Access-Reject (رفض الوصول)، فهذا يعني أن هناك شيئا لم يتم تكوينه بشكل صحيح على ISE يلزم التحقق منه.

    [radius] [17558]: (info): RADIUS: Received from id 1812/28 <ise-ip-addr>:0, Access-Accept, len 334 <-- The packet is traveling via RADIUS port 1812 and is has a session ID of 28 (as a response to the above packet)
    [radius] [17558]: (info): RADIUS: authenticator 14 0a 6c f7 01 b2 77 6a - 3d ba f0 ed 92 54 9b d6
    [radius] [17558]: (info): RADIUS: User-Name            [1]    19  "42-03-95-22-E6-82" <-- MAC address of the client that was authorized by ISE
    [radius] [17558]: (info): RADIUS: Class                [25]   51  ...
    [radius] [17558]: (info): RADIUS: Message-Authenticator[80]   18  ...
    [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]    31  "url-redirect-acl=cwa-acl" <-- ACL to be applied to the client
    [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]    183 "url-redirect=https://<ise-ip-addr>:8443/portal/[...]" <-- Redirection URL for the client
    [radius] [17558]: (info): Valid Response Packet, Free the identifier
    [eap-auth] [17558]: (info): SUCCESS for EAP method name: Identity on handle 0xB0000039
    [mab] [17558]: (info): [4203.9522.e682:capwap_90000005] MAB received an Access-Accept for 0x8A000002
    [mab] [17558]: (info): [4203.9522.e682:capwap_90000005] Received event 'MAB_RESULT' on handle 0x8A000002
    [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] Authc success from MAB, Auth event success

    عمليات WLC للمعلومات المتلقاة من ISE

    يعالج عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) جميع المعلومات الواردة من ISE. وهو يطبق به ملف تعريف المستخدم الذي أنشأه في الأصل مع بيانات ISE المرسلة. تقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بتعيين قائمة تحكم في الوصول (ACL) جديدة للمستخدم، على سبيل المثال. إذا لم يتم تمكين تجاوز AAA على شبكة WLAN، فلا تحدث هذه المعالجة بواسطة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << username 0 "42-03-95-22-E6-82">> <-- Processing username received from ISE
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << class 0 43 41 43 53 3a 30 45 31 45 31 34 30 41 30 30 30 30 30 30 30 43 38 45 32 44 41 36 34 32 3a 62 63 2d 69 73 65 2f 34 33 36 37 33 31 34 32 37 2f 33 38 >>
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    <<Message-Authenticator 0 <hidden>>>
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << url-redirect-acl 0 "cwa-acl">> <-- Processing ACL redirection received from ISE
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << url-redirect 0 "https://<ise-ip-addr>:8443/portal/[...]">> <-- Processing URL redirection received from ISE
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << dnis 0 "DC-8C-37-D0-83-A0">>
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << formatted-clid 0 "42-03-95-22-E6-82">>
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << audit-session-id 0 "0E1E140A0000000C8E2DA642">>
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << method 0 2 [mab]>>
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << clid-mac-addr 0 42 03 95 22 e6 82 >>
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << intf-id 0 2415919109 (0x90000005)>>
    {wncd_x_R0-0}{1}: [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] auth mgr attr change notification is received for attr (450)
    {wncd_x_R0-0}{1}: [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] Received User-Name 42-03-95-22-E6-82 for client 4203.9522.e682 
    {wncd_x_R0-0}{1}: [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] User profile is to be applied. Authz mlist is not present, Authc mlist cwa_authz ,session push flag is unset
    {wncd_x_R0-0}{1}: [webauth-dev] [17558]: (info): Central Webauth URL Redirect, Received a request to create a CWA session for a mac [42:03:95:22:e6:82]
    {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [17558]: (info): [0000.0000.0000:unknown] Retrieved zone id 0x0 for bssid 12364632849490379189
    {wncd_x_R0-0}{1}: [webauth-dev] [17558]: (info): No parameter map is associated with mac 4203.9522.e682
    {wncd_x_R0-0}{1}: [epm-redirect] [17558]: (info): [0000.0000.0000:unknown] URL-Redirect-ACL = cwa-acl
    {wncd_x_R0-0}{1}: [epm-redirect] [17558]: (info): [0000.0000.0000:unknown] URL-Redirect = https://<ise-ip-addr>:8443/portal/[...]
    {wncd_x_R0-0}{1}: [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] User Profile applied successfully for 0x92000002 - REPLACE <-- WLC replaces the user profile it had originally created

    انتهاء مصادقة MAB

    بعد تعديل ملف تعريف المستخدم للعميل بنجاح، تنتهي WLC من مصادقة عنوان MAC الخاص بالعميل. إذا لم تكن قائمة التحكم في الوصول (ACL) المستلمة من ISE موجودة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لا يعرف ما يجب عمله بهذه المعلومات، وبالتالي يفشل إجراء REPLACE تماما في التسبب في فشل مصادقة MAB أيضا. يتعذر على العميل المصادقة.

    {wncd_x_R0-0}{1}: [mm-client] [17558]: (debug): MAC: 0000.0000.0000 Sending pmk_update of XID (0) to (MobilityD[0])
    {wncd_x_R0-0}{1}: [client-auth] [17558]: (note): MAC: 4203.9522.e682 MAB Authentication success.
    {wncd_x_R0-0}{1}: [client-auth] [17558]: (info): MAC: 4203.9522.e682 Client auth-interface state transition: S_AUTHIF_MAB_AUTH_PENDING -> S_AUTHIF_MAB_AUTH_DONE
    {wncd_x_R0-0}{1}: [client-orch-sm] [17558]: (debug): MAC: 4203.9522.e682 Processing MAB authentication result status: 0, CO_AUTH_STATUS_SUCCESS

    يرسل WLC إستجابة اقتران إلى العميل

    الآن بعد مصادقة العميل بواسطة ISE وتطبيق قائمة التحكم في الوصول (ACL) الصحيحة، ترسل وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) أخيرا إستجابة اقتران إلى العميل. الآن، يمكن للمستخدم الاستمرار في الاتصال بالشبكة.

    {wncd_x_R0-0}{1}: [client-orch-state] [17558]: (note): MAC: 4203.9522.e682 Client state transition: S_CO_MACAUTH_IN_PROGRESS -> S_CO_ASSOCIATING
    {wncd_x_R0-0}{1}: [dot11] [17558]: (debug): MAC: 4203.9522.e682 dot11 send association response. Sending association response with resp_status_code: 0 
    {wncd_x_R0-0}{1}: [dot11] [17558]: (debug): MAC: 4203.9522.e682 Dot11 Capability info byte1 1, byte2: 11
    {wncd_x_R0-0}{1}: [dot11-frame] [17558]: (info): MAC: 4203.9522.e682 WiFi direct: skip build Assoc Resp with P2P IE: Wifi direct policy disabled
    {wncd_x_R0-0}{1}: [dot11] [17558]: (info): MAC: 4203.9522.e682 dot11 send association response. Sending assoc response of length: 137 with resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS
    {wncd_x_R0-0}{1}: [dot11] [17558]: (note): MAC: 4203.9522.e682 Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False 
    {wncd_x_R0-0}{1}: [dot11] [17558]: (info): MAC: 4203.9522.e682 DOT11 state transition: S_DOT11_MAB_PENDING -> S_DOT11_ASSOCIATED
    {wncd_x_R0-0}{1}: [client-orch-sm] [17558]: (debug): MAC: 4203.9522.e682 Station Dot11 association is successful.

    مصادقة L2

    وفقا للعملية التي يجب أن يخضع لها العميل عند إرتباطه بشبكة محلية لاسلكية (WLAN)، تبدأ مصادقة L2. ومع ذلك، في الواقع، تم إجراء مصادقة L2 بالفعل بسبب مصادقة MAB التي تم إجراؤها من قبل. يقوم العميل بإكمال مصادقة L2 على الفور.

    {wncd_x_R0-0}{1}: [client-orch-sm] [17558]: (debug): MAC: 4203.9522.e682 Starting L2 authentication. Bssid in state machine:dc8c.37d0.83af Bssid in request is:dc8c.37d0.83af 
    {wncd_x_R0-0}{1}: [client-orch-state] [17558]: (note): MAC: 4203.9522.e682 Client state transition: S_CO_ASSOCIATING -> S_CO_L2_AUTH_IN_PROGRESS
    {wncd_x_R0-0}{1}: [client-auth] [17558]: (note): MAC: 4203.9522.e682 L2 WEBAUTH Authentication Successful
    {wncd_x_R0-0}{1}: [client-auth] [17558]: (info): MAC: 4203.9522.e682 Client auth-interface state transition: S_AUTHIF_MAB_AUTH_DONE -> S_AUTHIF_L2_WEBAUTH_DONE
    {wncd_x_R0-0}{1}: [client-orch-sm] [17558]: (debug): MAC: 4203.9522.e682 L2 Authentication of station is successful., L3 Authentication : 1

     مطمار البيانات

    تقوم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بتعيين الموارد لعميل الاتصال حتى يمكن لحركة مرور البيانات أن تتدفق عبر الشبكة.

    {wncd_x_R0-0}{1}: [client-orch-sm] [17558]: (note): MAC: 4203.9522.e682 Mobility discovery triggered. Client mode: Local
    {wncd_x_R0-0}{1}: [client-orch-state] [17558]: (note): MAC: 4203.9522.e682 Client state transition: S_CO_L2_AUTH_IN_PROGRESS -> S_CO_MOBILITY_DISCOVERY_IN_PROGRESS
    {wncd_x_R0-0}{1}: [mm-transition] [17558]: (info): MAC: 4203.9522.e682 MMIF FSM transition: S_MA_INIT -> S_MA_MOBILITY_DISCOVERY_PROCESSED_TR on E_MA_MOBILITY_DISCOVERY
    {wncd_x_R0-0}{1}: [mm-client] [17558]: (info): MAC: 4203.9522.e682 Invalid transmitter ip in build client context
    {wncd_x_R0-0}{1}: [mm-client] [17558]: (debug): MAC: 4203.9522.e682 Sending mobile_announce of XID (0) to (MobilityD[0])
    {mobilityd_R0-0}{1}: [mm-client] [18482]: (debug): MAC: 4203.9522.e682 Received mobile_announce, sub type: 0 of XID (0) from (WNCD[0])
    {mobilityd_R0-0}{1}: [mm-transition] [18482]: (info): MAC: 4203.9522.e682 MMFSM transition: S_MC_INIT -> S_MC_ANNOUNCE_PROCESSED_NEW_CLIENT_TR on E_MC_ANNOUNCE_RCVD from WNCD[0]
    {mobilityd_R0-0}{1}: [mm-client] [18482]: (debug): MAC: 4203.9522.e682 Add MCC by tdl mac: client_ifid 0xa0000001 is assigned to client
    {mobilityd_R0-0}{1}: [mm-client] [18482]: (debug): MAC: 4203.9522.e682 Sending capwap_msg_unknown (100) of XID (5) to (WNCD[0])
    {mobilityd_R0-0}{1}: [mm-client] [18482]: (debug): MAC: 0000.0000.0000 Sending mobile_announce_nak of XID (5) to (WNCD[0])
    {wncd_x_R0-0}{1}: [mm-client] [17558]: (debug): MAC: 4203.9522.e682 Received mobile_announce_nak, sub type: 1 of XID (5) from (MobilityD[0])
    {wncd_x_R0-0}{1}: [mm-transition] [17558]: (info): MAC: 4203.9522.e682 MMIF FSM transition: S_MA_INIT_WAIT_ANNOUNCE_RSP -> S_MA_NAK_PROCESSED_TR on E_MA_NAK_RCVD
    {wncd_x_R0-0}{1}: [mm-client] [17558]: (info): MAC: 4203.9522.e682 Roam type changed - None -> None
    {wncd_x_R0-0}{1}: [mm-client] [17558]: (info): MAC: 4203.9522.e682 Mobility role changed - Unassoc -> Local
    {wncd_x_R0-0}{1}: [mm-client] [17558]: (note): MAC: 4203.9522.e682 Mobility Successful. Roam Type None, Sub Roam Type MM_SUB_ROAM_TYPE_NONE, Client IFID: 0xa0000001, Client Role: Local PoA: 0x90000005 PoP: 0x0
    {wncd_x_R0-0}{1}: [client-orch-sm] [17558]: (debug): MAC: 4203.9522.e682 Processing mobility response from MMIF. Client ifid: 0xa0000001, roam type: None, client role: Local
    {wncd_x_R0-0}{1}: [ewlc-qos-client] [17558]: (info): MAC: 4203.9522.e682 Client QoS add mobile cb
    {wncd_x_R0-0}{1}: [ewlc-qos-client] [17558]: (info): MAC: 4203.9522.e682 No QoS PM Name or QoS Level received from SANet for pm_dir:0. Check client is fastlane, otherwise set pm name to none
    {wncd_x_R0-0}{1}: [ewlc-qos-client] [17558]: (info): MAC: 4203.9522.e682 No QoS PM Name or QoS Level received from SANet for pm_dir:1. Check client is fastlane, otherwise set pm name to none
    {wncd_x_R0-0}{1}: [client-auth] [17558]: (note): MAC: 4203.9522.e682 ADD MOBILE sent. Client state flags: 0x72 BSSID: MAC: dc8c.37d0.83af capwap IFID: 0x90000005
    {wncd_x_R0-0}{1}: [client-orch-state] [17558]: (note): MAC: 4203.9522.e682 Client state transition: S_CO_MOBILITY_DISCOVERY_IN_PROGRESS -> S_CO_DPATH_PLUMB_IN_PROGRESS
    {wncd_x_R0-0}{1}: [dot11] [17558]: (note): MAC: 4203.9522.e682 Client datapath entry params - ssid:training_cwa,slot_id:1 bssid ifid: 0x0, radio_ifid: 0x90000003, wlan_ifid: 0xf0400001
    {wncd_x_R0-0}{1}: [ewlc-qos-client] [17558]: (info): MAC: 4203.9522.e682 Client QoS dpath create params
    {wncd_x_R0-0}{1}: [ewlc-qos-client] [17558]: (info): MAC: 4203.9522.e682 No QoS PM Name or QoS Level received from SANet for pm_dir:0. Check client is fastlane, otherwise set pm name to none
    {wncd_x_R0-0}{1}: [ewlc-qos-client] [17558]: (info): MAC: 4203.9522.e682 No QoS PM Name or QoS Level received from SANet for pm_dir:1. Check client is fastlane, otherwise set pm name to none
    {wncd_x_R0-0}{1}: [avc-afc] [17558]: (debug): AVC enabled for client 4203.9522.e682 
    {wncd_x_R0-0}{1}: [dpath_svc] [17558]: (note): MAC: 4203.9522.e682 Client datapath entry created for ifid 0xa0000001

    تم تعيين عنوان IP للمستخدم

    يحتاج المستخدم النهائي إلى عنوان IP للتنقل عبر الشبكة. تخضع لعملية DHCP. إذا كان المستخدم متصلا من قبل ويتذكر عنوان IP الخاص به، فسيتم تخطي عملية DHCP. إذا تعذر على المستخدم تلقي عنوان IP، فلن يتمكن المستخدم النهائي من عرض مدخل ويب. وإلا فإنها سوف تسير عبر الخطوات التالية:

    1. يتم إرسال حزمة اكتشاف من عميل الاتصال كبث للعثور على أي خوادم DHCP متوفرة
    2. إن هناك DHCP نادل يتوفر، ال DHCP نادل يستجيب مع عرض. يحتوي العرض على معلومات مثل عنوان IP الذي سيتم تعيينه إلى العميل المتصل، ووقت الإيجار، وما إلى ذلك. يمكن أن يكون هناك العديد من العروض التي تم تلقيها من خوادم DHCP المختلفة
    3. يقبل العميل عرضا من أحد الخوادم ويستجيب لطلب عنوان IP الذي يحدده
    4. أخيرا، يرسل خادم DHCP حزمة إقرار إلى العميل مع تعيين عنوان IP الجديد الخاص به

    سجل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الطريقة التي استلم بها العميل عنوان IP الخاص به. 

    {wncd_x_R0-0}{1}: [client-orch-state] [17558]: (note): MAC: 4203.9522.e682 Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
    {wncd_x_R0-0}{1}: [client-iplearn] [17558]: (info): MAC: 4203.9522.e682 IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
    {wncd_x_R0-0}{1}: [client-auth] [17558]: (info): MAC: 4203.9522.e682 Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_L2_WEBAUTH_DONE
    {wncd_x_R0-0}{1}: [auth-mgr-feat_dsensor] [17558]: (info): [4203.9522.e682:capwap_90000005] Skipping DHCP TLVs for further processing. DHCP based classification isn't enabled
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): RX: DHCPv4 from interface capwap_90000005 on vlan 1000 Src MAC: 4203.9522.e682 Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPDISCOVER, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): TX: DHCPv4 from interface capwap_90000005 on vlan 1000 Src MAC: 4203.9522.e682 Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPDISCOVER, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [auth-mgr-feat_dsensor] [17558]: (info): [4203.9522.e682:capwap_90000005] Skipping DHCP TLVs for further processing. DHCP based classification isn't enabled
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): RX: DHCPv4 from interface capwap_90000005 on vlan 1000 Src MAC: 4203.9522.e682 Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPDISCOVER, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): TX: DHCPv4 from interface capwap_90000005 on vlan 1000 Src MAC: 4203.9522.e682 Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPDISCOVER, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): RX: DHCPv4 from interface Tw0/0/0 on vlan 1000 Src MAC: dca6.32d2.e93f Dst MAC: 4203.9522.e682 src_ip: <dhcp-server-ip-addr>, dst_ip: <end-user-ip-addr>, BOOTPREPLY, SISF_DHCPOFFER, giaddr: 0.0.0.0, yiaddr: <end-user-ip-addr>, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): TX: DHCPv4 from interface Tw0/0/0 on vlan 1000 Src MAC: dca6.32d2.e93f Dst MAC: 4203.9522.e682 src_ip: <dhcp-server-ip-addr>, dst_ip: <end-user-ip-addr>, BOOTPREPLY, SISF_DHCPOFFER, giaddr: 0.0.0.0, yiaddr: <end-user-ip-addr>, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): RX: DHCPv4 from interface Tw0/0/0 on vlan 1000 Src MAC: dca6.32d2.e93f Dst MAC: 4203.9522.e682 src_ip: <dhcp-server-ip-addr>, dst_ip: <end-user-ip-addr>, BOOTPREPLY, SISF_DHCPOFFER, giaddr: 0.0.0.0, yiaddr: <end-user-ip-addr>, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): TX: DHCPv4 from interface Tw0/0/0 on vlan 1000 Src MAC: dca6.32d2.e93f Dst MAC: 4203.9522.e682 src_ip: <dhcp-server-ip-addr>, dst_ip: <end-user-ip-addr>, BOOTPREPLY, SISF_DHCPOFFER, giaddr: 0.0.0.0, yiaddr: <end-user-ip-addr>, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [auth-mgr-feat_dsensor] [17558]: (info): [4203.9522.e682:capwap_90000005] Skipping DHCP TLVs for further processing. DHCP based classification isn't enabled
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): RX: DHCPv4 from interface capwap_90000005 on vlan 1000 Src MAC: 4203.9522.e682 Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPREQUEST, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): TX: DHCPv4 from interface capwap_90000005 on vlan 1000 Src MAC: 4203.9522.e682 Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPREQUEST, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): RX: DHCPv4 from interface Tw0/0/0 on vlan 1000 Src MAC: dca6.32d2.e93f Dst MAC: 4203.9522.e682 src_ip: <dhcp-server-ip-addr>, dst_ip: <end-user-ip-addr>, BOOTPREPLY, SISF_DHCPACK, giaddr: 0.0.0.0, yiaddr: <end-user-ip-addr>, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (info): TX: DHCPv4 from interface Tw0/0/0 on vlan 1000 Src MAC: dca6.32d2.e93f Dst MAC: 4203.9522.e682 src_ip: <dhcp-server-ip-addr>, dst_ip: <end-user-ip-addr>, BOOTPREPLY, SISF_DHCPACK, giaddr: 0.0.0.0, yiaddr: <end-user-ip-addr>, CMAC: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [client-iplearn] [17558]: (note): MAC: 4203.9522.e682 Client IP learn successful. Method: DHCP IP: <end-user-ip-addr>
    {wncd_x_R0-0}{1}: [epm] [17558]: (info): [0000.0000.0000:unknown] HDL = 0x0 vlan 1000 fail count 0 dirty_counter 0 is_dirty 0
    {wncd_x_R0-0}{1}: [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] auth mgr attr change notification is received for attr (8)
    {wncd_x_R0-0}{1}: [client-iplearn] [17558]: (info): MAC: 4203.9522.e682 IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
    {wncd_x_R0-0}{1}: [client-orch-sm] [17558]: (debug): MAC: 4203.9522.e682 Received ip learn response. method: IPLEARN_METHOD_DHCP

    بدء مصادقة L3

    الآن بعد أن تلقى المستخدم النهائي عنوان IP، تبدأ مصادقة L3 باستخدام CWA التي تم الكشف عنها كطريقة مطلوبة للمصادقة.

    {wncd_x_R0-0}{1}: [client-orch-sm] [17558]: (debug): MAC: 4203.9522.e682 Triggered L3 authentication. status = 0x0, Success
    {wncd_x_R0-0}{1}: [client-orch-state] [17558]: (note): MAC: 4203.9522.e682 Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
    {wncd_x_R0-0}{1}: [client-auth] [17558]: (note): MAC: 4203.9522.e682 L3 Authentication initiated. CWA

    إختبارات عناوين IP السليمة

    للمضي قدما في الاتصال، يجب على العميل تنفيذ طلبين من ARP:

    1. تحقق من عدم وجود عنوان IP خاص بأي شخص آخر. إذا كان هناك رد ARP لعنوان IP للمستخدم النهائي، حينئذ يكون عنوان IP مكرر

    2. التحقق من صحة إمكانية الوصول إلى البوابة. ويهدف ذلك إلى ضمان قدرة العميل على مغادرة الشبكة. يجب أن يكون رد ARP من البوابة

    {wncd_x_R0-0}{1}: [client-auth] [17558]: (info): MAC: 4203.9522.e682 Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: 0.0.0.0, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: 4203.9522.e682 ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: 0.0.0.0, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: 0.0.0.0, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: 4203.9522.e682 ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: 0.0.0.0, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: 0.0.0.0, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: 4203.9522.e682 ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: 0.0.0.0, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: 4203.9522.e682 ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: 4203.9522.e682 ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: 4203.9522.e682 ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <default-gateway-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <default-gateway-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface Tw0/0/0 on vlan 1000 Source MAC: 64cc.2284.ae10 Dest MAC: 4203.9522.e682 ARP REPLY, ARP sender MAC: 64cc.2284.ae10 ARP target MAC: 4203.9522.e682 ARP sender IP: <default-gateway-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface Tw0/0/0 on vlan 1000 Source MAC: 64cc.2284.ae10 Dest MAC: 4203.9522.e682 ARP REPLY, ARP sender MAC: 64cc.2284.ae10 ARP target MAC: 4203.9522.e682 ARP sender IP: <default-gateway-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <dhcp-server-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <dhcp-server-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface Tw0/0/0 on vlan 1000 Source MAC: dca6.32d2.e93f Dest MAC: 4203.9522.e682 ARP REPLY, ARP sender MAC: dca6.32d2.e93f ARP target MAC: 4203.9522.e682 ARP sender IP: <dhcp-server-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface Tw0/0/0 on vlan 1000 Source MAC: dca6.32d2.e93f Dest MAC: 4203.9522.e682 ARP REPLY, ARP sender MAC: dca6.32d2.e93f ARP target MAC: 4203.9522.e682 ARP sender IP: <dhcp-server-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <default-gateway-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: <default-gateway-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface Tw0/0/0 on vlan 1000 Source MAC: 64cc.2284.ae10 Dest MAC: 4203.9522.e682 ARP REPLY, ARP sender MAC: 64cc.2284.ae10 ARP target MAC: 4203.9522.e682 ARP sender IP: <default-gateway-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface Tw0/0/0 on vlan 1000 Source MAC: 64cc.2284.ae10 Dest MAC: 4203.9522.e682 ARP REPLY, ARP sender MAC: 64cc.2284.ae10 ARP target MAC: 4203.9522.e682 ARP sender IP: <default-gateway-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: 10.20.30.17, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: ffff.ffff.ffff ARP REQUEST, ARP sender MAC: 4203.9522.e682 ARP target MAC: 0000.0000.0000 ARP sender IP: <end-user-ip-addr>, ARP target IP: 10.20.30.17, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface Tw0/0/0 on vlan 1000 Source MAC: 000c.290e.1c37 Dest MAC: 4203.9522.e682 ARP REPLY, ARP sender MAC: 000c.290e.1c37 ARP target MAC: 4203.9522.e682 ARP sender IP: 10.20.30.17, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface Tw0/0/0 on vlan 1000 Source MAC: 000c.290e.1c37 Dest MAC: 4203.9522.e682 ARP REPLY, ARP sender MAC: 000c.290e.1c37 ARP target MAC: 4203.9522.e682 ARP sender IP: 10.20.30.17, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface Tw0/0/0 on vlan 1000 Source MAC: dca6.32d2.e93f Dest MAC: 4203.9522.e682 ARP REQUEST, ARP sender MAC: dca6.32d2.e93f ARP target MAC: 0000.0000.0000 ARP sender IP: <dhcp-server-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface Tw0/0/0 on vlan 1000 Source MAC: dca6.32d2.e93f Dest MAC: 4203.9522.e682 ARP REQUEST, ARP sender MAC: dca6.32d2.e93f ARP target MAC: 0000.0000.0000 ARP sender IP: <dhcp-server-ip-addr>, ARP target IP: <end-user-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): RX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: dca6.32d2.e93f ARP REPLY, ARP sender MAC: 4203.9522.e682 ARP target MAC: dca6.32d2.e93f ARP sender IP: <end-user-ip-addr>, ARP target IP: <dhcp-server-ip-addr>, 
    {wncd_x_R0-0}{1}: [sisf-packet] [17558]: (debug): TX: ARP from interface capwap_90000005 on vlan 1000 Source MAC: 4203.9522.e682 Dest MAC: dca6.32d2.e93f ARP REPLY, ARP sender MAC: 4203.9522.e682 ARP target MAC: dca6.32d2.e93f ARP sender IP: <end-user-ip-addr>, ARP target IP: <dhcp-server-ip-addr>,

    الاتصال الثاني: عميل إلى شبكة

    عند هذه النقطة، تمت الآن مصادقة المستخدم النهائي ضد ISE من خلال عنوان MAC الخاص به، ولكن لم يتم تخويله بالكامل حتى الآن. يجب أن يشير عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى ISE مرة أخرى للسماح للعميل بالاتصال بالشبكة. عند هذه النقطة، يتم تقديم البوابة إلى المستخدم حيث يجب أن يدخل اسم المستخدم اسم المستخدم وكلمة المرور الخاصين به. على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يظهر المستخدم النهائي في حالة "تعليق مصادقة الويب".

    تغيير التفويض (CoA)

    هنا حيث "دعم CoA" في تكوين WLC يصبح نافذ المفعول. حتى هذه النقطة، تم إستخدام قائمة التحكم في الوصول (ACL). بعد أن يرى العميل النهائي البوابة، لم تعد قائمة التحكم في الوصول (ACL) مستخدمة، حيث كان كل ما قام به هو إعادة توجيه العميل إلى البوابة. عند هذه النقطة، يقوم العميل بإدخال بيانات الاعتماد الخاصة به لتسجيل الدخول لبدء عملية CoA وإعادة مصادقة العميل. تقوم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بإعداد الحزمة التي سيتم إرسالها وإعادة توجيهها إلى ISE

    أيقونة تلميح

    تلميح: يستخدم CoA المنفذ 1700. تأكد من أنه غير محظور بواسطة جدار الحماية.

    {wncd_x_R0-0}{1}: [caaa-ch] [17558]: (info): [CAAA:COMMAND HANDLER:92000002] Processing CoA request under CH-ctx. <-- ISE requests the client to reauthenticate
    {wncd_x_R0-0}{1}: [caaa-ch] [17558]: (info): [CAAA:COMMAND HANDLER:92000002] Reauthenticate request (0x55de3f898b88)
    {wncd_x_R0-0}{1}: [mab] [17558]: (info): [4203.9522.e682:capwap_90000005] MAB re-authentication started for 2315255810 (4203.9522.e682) <-- ISE requests the WLC to reauthenciate the CoA
    {wncd_x_R0-0}{1}: [aaa-coa] [17558]: (info): radius coa proxy relay coa resp(wncd)
    {wncd_x_R0-0}{1}: [aaa-coa] [17558]: (info): CoA Response Details
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): << ssg-command-code 0 32 >>
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): << formatted-clid 0 "4203.9522.e682">>
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): << error-cause 0 1 [Success]>> <-- The WLC responds with a sucess after processing the packet to be sent to ISE
    [aaa-coa] [17558]: (info): server:10.20.30.14 cfg_saddr:10.20.30.14 udpport:64016 sport:0, tableid:0iden:30 rad_code:43 msg_auth_rcvd:TRUE coa_resp:ACK
    [caaa-ch] [17558]: (info): [CAAA:COMMAND HANDLER] CoA response sent <-- The WLC sends the CoA response to ISE

    المصادقة الثانية ل ISE

    لا تبدأ المصادقة الثانية من الصفر. هذه هي قوة CoA. يمكن تطبيق قواعد و/أو AV Paris جديدة على المستخدم. لم يتم دفع قائمة التحكم في الوصول (ACL) وعنوان URL لإعادة التوجيه الذي تم تلقيه على أول قبول وصول إلى المستخدم النهائي بعد الآن.

    WLC يرسل طلبا إلى ISE

    يرسل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حزمة RADIOccess-RequestPacket جديدة إلى ISE باستخدام مجموعة اسم المستخدم/كلمة المرور التي تم إدخالها. يؤدي هذا إلى تشغيل مصادقة MAB جديدة، ونظرا لأن ISE يعرف العميل بالفعل، فيجب تطبيق مجموعة سياسات جديدة (على سبيل المثال، تم منح حق الوصول).

    {wncd_x_R0-0}{1}: [mab] [17558]: (info): [4203.9522.e682:capwap_90000005] Received event 'MAB_REAUTHENTICATE' on handle 0x8A000002
    {wncd_x_R0-0}{1}: [caaa-author] [17558]: (info): [CAAA:AUTHOR:92000002] DEBUG: mlist=cwa_authz for type=1
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Send Access-Request to <ise-ip-addr>:1812 id 0/29, len 421 <-- The packet is traveling via RADIUS port 1812. The "29" is the session ID and it is unique for every connection attempt
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: authenticator c6 ae ab d5 55 c9 65 e2 - 4d 28 01 75 65 54 df 4d
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: User-Name            [1]     14 "42039522e682" <-- MAC address that is attempting to authenticate
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: User-Password        [2]     18 *
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]     25 "service-type=Call Check" <-- This indicates a MAC filtering process
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Framed-MTU           [12]    6  1485 
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Message-Authenticator[80]    18 ...
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: EAP-Key-Name         [102]   2  *
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]    43  "audit-session-id=0E1E140A0000000C8E2DA642"
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]    12  "method=mab" <-- Controller sends an AVpair with MAB method
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]    26  "client-iif-id=1392509681"
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]    14  "vlan-id=200"
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: NAS-IP-Address       [4]    6   <wmi-ip-addr> <-- WLC WMI IP address
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: NAS-Port-Id          [87]   17  "capwap_90000005"
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: NAS-Port-Type        [61]   6   802.11 wireless [19]
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]    30  "cisco-wlan-ssid=cwa" <-- SSID and WLAN the client is attempting to connect
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Cisco AVpair         [1]    32  "wlan-profile-name=cwa"
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Called-Station-Id    [30]   32  "dc-8c-37-d0-83-a0:cwa"
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Calling-Station-Id   [31]   19  "42-03-95-22-e6-82"
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Airespace-WLAN-ID    [1]    6   1 
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Nas-Identifier       [32]   9   "BC-9800"
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Started 5 sec timeout

    تستجيب ISE لطلب عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)

    يقوم ISE بإجراء بحث عن النهج الخاص به، وإذا كان اسم المستخدم الذي تم تلقيه يطابق ملف تعريف السياسة، فعندئذ يقوم ISE بإعادة الاتصال ب WLC مرة أخرى، مما يعني قبول اتصال العميل بشبكة WLAN. ترجع اسم المستخدم للمستخدم النهائي. إذا تم تكوينها على ISE، يمكن تطبيق قواعد إضافية و/أو أزواج AV على المستخدم ويمكن رؤيتها على قبول الوصول.

    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Received from id 1812/29 <ise-ip-addr>:0, Access-Accept, len 131 <-- The packet is traveling via RADIUS port 1812 and is has a session ID of 29 (as a response to the above packet)
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: authenticator a3 b0 45 d6 e5 1e 38 4a - be 15 fa 6b f4 67 62 8a
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: User-Name            [1]  14 "cwa-username" <-- Username entered by the end client on the portal that was shown 
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Class                [25] 51 ...
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Message-Authenticator[80] 18 ...
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): RADIUS: Cisco AVpair [1] 22 "profile-name=Unknown"
    {wncd_x_R0-0}{1}: [radius] [17558]: (info): Valid Response Packet, Free the identifier
    {wncd_x_R0-0}{1}: [eap-auth] [17558]: (info): SUCCESS for EAP method name: Identity on handle 0xEE00003B
    {wncd_x_R0-0}{1}: [mab] [17558]: (info): [4203.9522.e682:capwap_90000005] MAB received an Access-Accept for 0x8A000002
    {wncd_x_R0-0}{1}: [mab] [17558]: (info): [4203.9522.e682:capwap_90000005] Received event 'MAB_RESULT' on handle 0x8A000002
    {wncd_x_R0-0}{1}: [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] Authc success from MAB, Auth event success

    عمليات WLC للمعلومات المتلقاة من ISE

    مرة أخرى، تقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بمعالجة المعلومات التي تم تلقيها من قبل ISE. وهو يقوم بتنفيذ إجراء إستبدال آخر على المستخدم بالقيم الجديدة المتلقاة من ISE.

    [aaa-attr-inf] [17558]: (info): 
    << username 0 "cwa-username">> <-- Processing username received from ISE
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << class 0 43 41 43 53 3a 30 45 31 45 31 34 30 41 30 30 30 30 30 30 30 43 38 45 32 44 41 36 34 32 3a 62 63 2d 69 73 65 2f 34 33 36 37 33 31 34 32 37 2f 34 30 >>
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    <<Message-Authenticator 0 <hidden>>>
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << dnis 0 "DC-8C-37-D0-83-A0">>
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << formatted-clid 0 "42-03-95-22-E6-82">>
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << audit-session-id 0 "0E1E140A0000000C8E2DA642">>
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << method 0 2 [mab]>>
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << clid-mac-addr 0 42 03 95 22 e6 82 >>
     {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): 
    << intf-id 0 2415919109 (0x90000005)>>
    {wncd_x_R0-0}{1}: [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] auth mgr attr change notification is received for attr (450)
    {wncd_x_R0-0}{1}: [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] auth mgr attr change notification is received for attr (450)
    {wncd_x_R0-0}{1}: [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] Received User-Name cwa-username for client 4203.9522.e682
    {wncd_x_R0-0}{1}: [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] User profile is to be applied. Authz mlist is not present, Authc mlist cwa_authz ,session push flag is unset
    {wncd_x_R0-0}{1}: [auth-mgr] [17558]: (info): [4203.9522.e682:capwap_90000005] User Profile applied successfully for 0x92000002 - REPLACE <-- WLC replaces the user profile it had originally created

    انتهاء مصادقة L3

    تمت الآن مصادقة المستخدم النهائي مع البيانات المحددة. انتهت مصادقة L3 (مصادقة الويب).

    {wncd_x_R0-0}{1}: [client-auth] [17558]: (note): MAC: 4203.9522.e682 L3 Authentication Successful. ACL:[]
    {wncd_x_R0-0}{1}: [client-auth] [17558]: (info): MAC: 4203.9522.e682 Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
    {wncd_x_R0-0}{1}: [ewlc-qos-client] [17558]: (info): MAC: 4203.9522.e682 Client QoS add mobile cb
    {wncd_x_R0-0}{1}: [ewlc-qos-client] [17558]: (info): MAC: 4203.9522.e682 No QoS PM Name or QoS Level received from SANet for pm_dir:0. Check client is fastlane, otherwise set pm name to none
    {wncd_x_R0-0}{1}: [ewlc-qos-client] [17558]: (info): MAC: 4203.9522.e682 No QoS PM Name or QoS Level received from SANet for pm_dir:1. Check client is fastlane, otherwise set pm name to none
    {wncd_x_R0-0}{1}: [client-auth] [17558]: (note): MAC: 4203.9522.e682 ADD MOBILE sent. Client state flags: 0x78 BSSID: MAC: dc8c.37d0.83af capwap IFID: 0x90000005
    {wncd_x_R0-0}{1}: [errmsg] [17558]: (info): %CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: Username entry (cwa-username) joined with ssid (cwa) for device with MAC: 4203.9522.e682 <-- End user "cwa-username" has joined the WLAN "cwa"
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): [ Applied attribute :               username 0 "cwa-username" ]
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): [ Applied attribute :                  class 0 43 41 43 53 3a 30 45 31 45 31 34 30 41 30 30 30 30 30 30 30 43 38 45 32 44 41 36 34 32 3a 62 63 2d 69 73 65 2f 34 33 36 37 33 31 34 32 37 2f 34 30 ]
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): [ Applied attribute :bsn-vlan-interface-name 0 "MGMT" ]
    {wncd_x_R0-0}{1}: [aaa-attr-inf] [17558]: (info): [ Applied attribute : timeout 0 1800 (0x708) ]
    {wncd_x_R0-0}{1}: [ewlc-qos-client] [17558]: (info): MAC: 4203.9522.e682 Client QoS run state handler

    يصل المستخدم النهائي إلى حالة التشغيل على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)

    أخيرا، تتم مصادقة المستخدم واقترانه بشبكة WLAN.

    {wncd_x_R0-0}{1}: [rog-proxy-capwap] [17558]: (debug): Managed client RUN state notification: 4203.9522.e682 
    {wncd_x_R0-0}{1}: [client-orch-state] [17558]: (note): MAC: 4203.9522.e682 Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RUN

    تدفق CWA - التقاط الحزمة المضمنة (EPC)

    EPC هو التقاط حزمة يمكن إستردادها مباشرة من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الذي يظهر جميع الحزم التي تمر عبر عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أو التي يتم الحصول عليها منه. للحصول على مزيد من المعلومات حول ما هي وكيفية إستردادها، يرجى زيارة فهم تصحيح الأخطاء اللاسلكية وتجميع السجل على وحدات التحكم في الشبكة المحلية اللاسلكية Catalyst 9800.

    الاتصال الأول: عميل إلى خادم ISE

    أيقونة التحذير

    تحذير: تم حذف عناوين IP الموجودة على صور التقاط الحزمة. يتم عرضها على هيئة و

    الاقتران بشبكة WLAN والطلب المرسل إلى خادم ISE

      الحزم الأولىالحزم الأولى

    طلب اقتران من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بالعميل

    بالنظر إلى الحزمة الأولى "طلب الاقتران" يمكنك رؤية عناوين MAC للأجهزة التي تكون مشتركة في هذه العملية.

    طلب الاقترانطلب الاقتران

    تم إرسال حزمة طلب الوصول من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى ISE

    بمجرد معالجة طلب الاقتران بواسطة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يرسل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حزمة طلب الوصول إلى خادم ISE.

    تحليل حزمة طلب الوصولتحليل حزمة طلب الوصول

    1. اسم الحزمة.
    2. عنوان MAC الذي يحاول المصادقة.
    3. هذا يشير إلى تصفية MAC.
    4. يتم إرسال زوج الصوت/الفيديو بواسطة وحدة التحكم إلى ISE للإشارة إلى عملية تصفية MAC.
    5. عنوان IP WMI الخاص ب WLC.
    6. SSID الذي يحاول العميل الاتصال به.
    7. اسم الشبكة المحلية اللاسلكية (WLAN) التي يحاول العميل الاتصال بها.

    حزمة قبول الوصول المرسلة من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى ISE

    بمجرد أن يقوم ISE بمعالجة حزمة قبول الوصول، فإنه يستجيب مع قبول الوصول إذا كان ناجحا أو باستخدام رفض الوصول إذا لم يكن ممكنا.

    تحليل حزمة قبول الوصولتحليل حزمة قبول الوصول

    1. اسم الحزمة.
    2. تمت مصادقة عنوان MAC.
    3. قائمة التحكم في الوصول (ACL) المطلوب تطبيقها.
    4. عنوان URL لإعادة توجيه المستخدم إليه.

    إستجابة الاقتران من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للعميل

    الاستجابة من خلال الاقترانالاستجابة من خلال الاقتران

    عملية DHCP

    عملية DHCPعملية DHCP

    note-icon

    ملاحظة: من الآن فصاعدا، يتم مشاهدة الحزم مكررة، ولكن ذلك فقط لأن واحدة يتم تغليف CAPWAP والآخر لا يتم تغليفه

    ARP

    ARPing العميل لعنوان IP الخاص به والبوابةARPing العميل لعنوان IP الخاص به والبوابة

    إختبار الاتصال

    بمجرد انتهاء عملية ARP، يقوم الجهاز الذي يحاول الاتصال بإجراء فحص للتحقق من صحة تشغيل مدخل، وهذا يعرف أيضا بالتدقيق. إذا قال الجهاز إنه لا يوجد اتصال بالإنترنت، فهذا يعني أن عملية ARP فشلت (على سبيل المثال، البوابة لم ترد عليها أبدا) أو أن الجهاز لم يتمكن من إجراء التحقق.

    هذا التدقيق هو شيء لا يرى على آثار RA، إلا أن EPC هو الوحيد القادر على توفير هذه المعلومات. يعتمد استعلام الاختبار على الجهاز الذي يحاول الاتصال، في هذا المثال كان جهاز الاختبار جهاز Apple، لذلك تم إجراء التدقيق مباشرة تجاه مدخل Apple المأسور.

    بما أن التدقيق يتم باستخدام URL، فإن DNS مطلوب لحل URL هذا. لذلك، إذا تعذر على خادم DNS الاستجابة لاستعلامات العميل، يستمر العميل في الاستعلام عن URL ولا يتم مشاهدة المدخل أبدا. عند هذه النقطة، إذا تم إدخال عنوان IP الخاص بخادم ISE في مستعرض ويب الجهاز الطرفي، فيجب أن تكون البوابة مرئية. إذا كان الأمر كذلك، فتوجد مشكلة في خادم DNS.

    إختبار الاتصال من العميل - استعلام DNS وإجابتهإختبار الاتصال من العميل - استعلام DNS وإجابته

    عنوان DNS الذي تم حله

    عند فحص إستجابة استعلام DNS، يمكنك رؤية عنوان IP الذي تم حله بواسطة خادم DNS.

    تم حل عنوان IP بواسطة خادم DNSتم حل عنوان IP بواسطة خادم DNS

    تأكيد اتصال ثلاثي الإتجاه

    الآن بعد حل عنوان DNS IP، يتم إنشاء مصافحة TCP ثلاثية الإتجاه بين المدخل والعميل. عنوان IP المستخدم هو أي عنوان من عناوين IP التي تم حلها.

    منشأة مصافحة ثلاثية الإتجاهمنشأة مصافحة ثلاثية الإتجاه

    الحصول على نقطة فعالة

    بمجرد إنشاء جلسة عمل TCP، يقوم العميل بفحص البوابة ومحاولة الوصول إليها. 

    الحصول على نقطة فعالةالحصول على نقطة فعالة

    OK ربط

    تحتوي الحزمة OK على مدخل ISE الذي يجب إعادة توجيه العميل إليه.  

    OK ربطOK ربط

    note-icon

    ملاحظة: معظم الأشخاص لديهم عنوان URL آخر تم إرجاعه في الحزمة OK. لذلك، يجب إجراء استعلام DNS آخر للحصول على عنوان IP النهائي.

    إنشاء جلسة عمل TCP جديدة

    الآن بعد اكتشاف عنوان IP الخاص بالمدخل، يتم تبادل العديد من الحزم، ولكن في النهاية يتم تبادل حزمة مع IP الوجهة التي تم إرجاعها في الحزمة OK (أو تم حلها بواسطة DNS) التي تطابق عنوان IP الخاص ب ISE، وتظهر جلسة عمل TCP جديدة يتم إنشاؤها إلى البوابة.

    الاتصال الثاني وجلسة TCP جديدة إلى مدخل ISEالاتصال الثاني وجلسة TCP جديدة إلى مدخل ISE

    يتم عرض المدخل للمستخدم

    وعند هذه النقطة، يتم عرض مدخل ISE أخيرا على مستعرض مستعرض العميل. وكما في السابق، يتم تبادل العديد من الحزم بين ISE والجهاز، أشياء مثل مرحبا بالعميل ومرحبا بالخادم وهكذا. وهنا حيث يطلب ISE من العميل اسم المستخدم وكلمة المرور، أو قبول البنود والشروط أو أي شيء تم تكوينه على خادم ISE. 

    طلب CoA / إقرار CoA

    وبمجرد إدخال المستخدم لجميع البيانات المطلوبة، يرسل ISE طلبا من CoA إلى وحدة التحكم لتغيير تخويل المستخدم. إذا تم تكوين كل شيء على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) كما هو متوقع، مثل وجود دولة NAC ودعم CoA وما إلى ذلك، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يرسل إقرار CoA (CoA ACK). وإلا، يمكن أن ترسل وحدة التحكم في الشبكة المحلية اللاسلكية COa عدم اعتراف (CoA NACK) أو ببساطة أنها لا ترسل حتى CoA ACK.

    طلب وإقرار CoAطلب وإقرار CoA

    الاتصال الثاني: عميل إلى شبكة

    طلب وصول جديد

    يرسل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حزمة طلب وصول جديدة إلى ISE.

    تحليل حزمة طلب الوصول الجديدةتحليل حزمة طلب الوصول الجديدة

    1. اسم الحزمة.
    2. عنوان MAC الذي يحاول المصادقة.
    3. هذا يشير إلى تصفية MAC.
    4. يتم إرسال زوج الصوت/الفيديو بواسطة وحدة التحكم إلى ISE للإشارة إلى عملية تصفية MAC.
    5. عنوان IP WMI الخاص ب WLC.
    6. SSID الذي يحاول العميل الاتصال به.
    7. اسم الشبكة المحلية اللاسلكية (WLAN) التي يحاول العميل الاتصال بها.

    قبول وصول جديد

    يرسل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حزمة طلب وصول جديدة إلى ISE.

    تحليل حزمة قبول الوصول الجديدةتحليل حزمة قبول الوصول الجديدة

    1. اسم الحزمة.
    2. اسم المستخدم الذي تم إدخاله بواسطة العميل النهائي على البوابة التي تم عرضها.

    مرة أخرى، يتم إجراء إختبار اتصال تدقيق جديد من العميل. بمجرد أن يؤكد العميل أن لديه اتصال بالإنترنت، يمكن الآن إغلاق البوابة (يمكن إغلاقها تلقائيا، حسب الجهاز المستخدم). العميل متصل الآن بالشبكة.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    06-Oct-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Daniela Vignau Leon
      Cisco Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات