El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar la autenticación Web local con autenticación externa en un WLC 9800 e ISE.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
La autenticación Web es una función de seguridad de capa 3 que permite a los usuarios invitados tener acceso a la red.
Esta función está diseñada para proporcionar acceso de invitado fácil y seguro a SSID abiertos, sin necesidad de configurar un perfil de usuario, y también puede funcionar con métodos de seguridad de capa 2.
El propósito de la autenticación web es permitir que los dispositivos no fiables (invitados) accedan a la red con privilegios de acceso a la red limitados, a través de una WLAN de invitado que se puede configurar con mecanismos de seguridad y que la seguridad de la red no se vea comprometida. Para que los usuarios invitados tengan acceso a la red, deben autenticarse correctamente, es decir, deben proporcionar las credenciales correctas o aceptar la política de uso aceptable (AUP) para obtener acceso a la red.
La autenticación web es una ventaja para las empresas porque fomenta la fidelidad de los usuarios, hace que la empresa sea compatible con el uso de una renuncia de responsabilidad que el usuario invitado debe aceptar y permite a la empresa interactuar con los visitantes.
Para implementar la autenticación web, se debe tener en cuenta cómo se gestionan el portal de invitados y la autenticación. Existen dos métodos comunes:
En la autenticación Web local, el portal Web puede estar presente en el WLC o en un servidor externo. En LWA con la autenticación externa, el portal web está presente en el WLC. En LWA con Servidor Web Externo, el portal web está presente en un servidor externo (como Espacios de ADN). Un ejemplo de LWA con servidor web externo se describe en detalle en: Configure DNA Spaces Captive Portal with Catalyst 9800 WLC.
Diagrama de los diferentes métodos de autenticación web:
Existen cuatro tipos de autenticación para autenticar al usuario invitado:
Las credenciales para la autenticación se pueden almacenar en un servidor LDAP, localmente en el WLC o en el servidor RADIUS.
En la autenticación Web local, el usuario invitado es redirigido a un portal Web directamente desde el WLC.
El portal web puede estar en el WLC o en otro servidor. Lo que hace local es el hecho de que la URL de redirección y la ACL que coincide con el tráfico deben estar en el WLC (no en la ubicación del portal web). En LWA, cuando un usuario invitado se conecta con el WLAN invitado, el WLC intercepta la conexión del usuario invitado y los redirige a la URL del portal web, donde se le pide al usuario invitado que autentique. Cuando el usuario invitado ingresa credenciales (nombre de usuario y contraseña), el WLC captura las credenciales. El WLC autentica al usuario invitado con un servidor LDAP, servidor RADIUS o base de datos local (base de datos presente localmente en el WLC). En el caso del servidor RADIUS (un servidor externo como ISE), se puede utilizar no solo para almacenar credenciales, sino también para proporcionar opciones de registro de dispositivos y autoaprovisionamiento. En el caso de un servidor web externo, como DNA Spaces, el portal web está presente allí. En LWA hay un certificado en el WLC y otro en el portal web.
La imagen representa la topología genérica de LWA:
Dispositivos en la topología de red de LWA:
Flujo LWA:
LWA-EA es un método de LWA donde el portal web y la URL de redirección se encuentran en el WLC y las credenciales se almacenan en un servidor externo, como ISE. El WLC captura las credenciales y autentica al cliente a través de un servidor RADIUS externo. Cuando el usuario invitado ingresa las credenciales, el WLC verifica las credenciales contra RADIUS, envía una solicitud de acceso RADIUS y recibe una aceptación/rechazo de acceso RADIUS del servidor RADIUS. A continuación, si las credenciales son correctas, el usuario invitado pasa al estado RUN. Si las credenciales son incorrectas, el usuario invitado es eliminado por el WLC.
Nota: Este ejemplo de configuración sólo cubre la conmutación/autenticación central. La configuración de conmutación local flexible tiene requisitos ligeramente diferentes para configurar la autenticación web.
Configure AAA Server and Server Group
9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#radius server RADIUS
9800WLC(config-radius-server)#address ipv4
auth-port 1812 acct-port 1813
9800WLC(config-radius-server)#key cisco
9800WLC(config-radius-server)#exit
9800WLC(config)#aaa group server radius RADIUSGROUP
9800WLC(config-sg-radius)#server name RADIUS
9800WLC(config-sg-radius)#end
Configure Local Authentication and Authorization
9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#aaa new-model
9800WLC(config)#aaa authentication login LWA_AUTHENTICATION group RADIUSGROUP
9800WLC(config)#aaa authorization network LWA_AUTHORIZATION group RADIUSGROUP
9800WLC(config)#end
Configure Parameter Maps
9800WLC> enable
9800WLC# configure terminal
9800WLC(config)# parameter-map type webauth global
9800WLC(config-params-parameter-map)#virtual-ip ipv4 192.0.2.1
9800WLC(config-params-parameter-map)#trustpoint
9800WLC(config-params-parameter-map)#webauth-http-enable
9800WLC(config-params-parameter-map)#end
Configure WLAN Security Parameters
9800WLC> enable
#wlan LWA_EA 1 LWA_EA
9800WLC# configure terminal
9800WLC(config)9800WLC(config-wlan)
#no security wpa9800WLC(config-wlan)
#no security wpa wpa29800WLC(config-wlan)
#no security wpa wpa2 ciphers aes9800WLC(config-wlan)
#no security wpa akm dot1x9800WLC(config-wlan)
#security web-auth9800WLC(config-wlan)
#security web-auth authentication-list LWA_AUTHENTICATION9800WLC(config-wlan)#security web-auth parameter-map global
9800WLC(config-wlan)
#no shutdown9800WLC(config-wlan)
#end
Create Wireless Policy Profile
9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#wireless profile policy POLICY_PROFILE
9800WLC(config-wireless-policy)#vlan
9800WLC(config-wireless-policy)#no shutdown
9800WLC(config-wireless-policy)#end
Create a Policy Tag
9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#wireless tag policy POLICY_TAG
9800WLC(config-policy-tag)#wlan LWA_EA policy POLICY_PROFILE
9800WLC(config-policy-tag)# end
Assign a Policy Tag to an AP
9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#ap>
9800WLC(config-ap-tag)#policy-tag POLICY_TAG
9800WLC(config-ap-tag)#end
Para finalizar la configuración del lado de ISE, vaya a la sección Configuración de ISE.
Paso 1. Agregue el servidor ISE a la configuración del WLC 9800.
Navegue hasta Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add e ingrese la información del servidor RADIUS como se muestra en la imagen:
Paso 2. Agregue el grupo de servidores RADIUS.
Navegue hasta Configuration > Security > AAA > Servers/Groups > RADIUS > Servers Group > + Add e ingrese la información del grupo de servidores RADIUS:
Paso 3. Cree una lista de métodos de autenticación.
Vaya a Configuration > Security > AAA > AAA Method List > Authentication > + Add:
Paso 4. Cree una lista de métodos de autorización.
Vaya a Configuration > Security > AAA > AAA Method List > Authorization > + Add:
Cree o edite un mapa de parámetro. Seleccione el tipo como webauth, la dirección IPv4 virtual debe ser una dirección no utilizada en la red para evitar conflictos de direcciones IP y agregue un punto de confianza.
Navegue hasta Configuration > Security > Web Auth > + Add o seleccione un mapa de parámetro:
Paso 1. Cree la WLAN.
Vaya a Configuración > Etiquetas y perfiles > WLAN > + Agregar y configure la red según sea necesario.
Paso 2. Vaya a Security > Layer2 y en Layer 2 Security Mode seleccione None.
Paso 3. Navegue hasta Security > Layer3 y en Web Policy marque la casilla, en Web Auth Parameter Map seleccione el nombre del parámetro y en Authentication List seleccione la lista de autenticación creada anteriormente.
La WLAN se muestra en la lista WLAN:
Dentro de un perfil de política, puede seleccionar la VLAN que asigna los clientes, entre otras configuraciones.
Puede utilizar su perfil de política predeterminado o puede crear uno nuevo.
Paso 1. Cree un nuevo perfil de política.
Navegue hasta Configuration > Tags & Profiles > Policy y configure su perfil de política predeterminado o cree uno nuevo.
Asegúrese de que el perfil esté habilitado.
Paso 2. Seleccione la VLAN.
Vaya a la ficha Políticas de acceso y seleccione el nombre de la VLAN en el menú desplegable o escriba manualmente la ID de VLAN.
Dentro de la etiqueta de política se encuentra el enlace del SSID con el perfil de política. Puede crear una nueva etiqueta de política o utilizar la etiqueta de política predeterminada.
Vaya a Configuración > Etiquetas y perfiles > Etiquetas > Política y agregue una nueva si es necesario, como se muestra en la imagen.
Seleccione + Add y vincule su perfil WLAN al perfil de política deseado.
Asigne la etiqueta de política a los AP necesarios.
Para asignar la etiqueta a un AP, vaya a Configuración > Inalámbrica > Puntos de acceso > Nombre del AP > Etiquetas generales, realice la asignación necesaria y, luego, haga clic en Actualizar y aplicar al dispositivo.
Paso 1. Vaya a Administración > Recursos de red > Dispositivos de red como se muestra en la imagen.
Paso 2. Haga clic en +Agregar.
Opcionalmente, puede ser un nombre de modelo especificado, una versión de software, una descripción o una asignación de grupos de dispositivos de red según los tipos de dispositivos, la ubicación o los WLC.
Para obtener más información sobre Grupos de dispositivos de red, consulte la guía de administración de ISE ISE - Grupos de dispositivos de red.
Paso 3. Ingrese los ajustes del WLC 9800 como se muestra en la imagen. Ingrese la misma clave RADIUS definida al crear el servidor en el lado del WLC. A continuación, haga clic en Enviar.
Paso 4. Vaya a Administration > Network Resources > Network Devices, puede ver la lista de dispositivos de red.
Paso 1. Vaya a Administration > Identity Management > Identities > Users > Add. Introduzca el nombre de usuario y la contraseña del usuario invitado y haga clic en Enviar.
Paso 2. Vaya a Administration > Identity Management > Identities > Users, puede ver la lista de usuarios.
El perfil de política es el resultado asignado a un cliente según sus parámetros (dirección MAC, credenciales, WLAN utilizada, etc.). Puede asignar configuraciones específicas, como redes de área local virtuales (VLAN), listas de control de acceso (ACL), redireccionamientos del localizador uniforme de recursos (URL), etc.
Estos pasos muestran cómo crear el perfil de autorización necesario para redirigir al cliente al portal de autenticación. Tenga en cuenta que en versiones recientes de ISE ya existe un resultado de autorización Cisco_Webauth. Aquí puede editarlo para modificar el nombre de la ACL de redireccionamiento para que coincida con lo que configuró en el WLC.
Paso 1. Vaya a Política > Elementos de política > Resultados > Autorización > Perfiles de autorización. Haga clic en add para crear el perfil de autorización LWA_EA_AUTHORIZATION. Los detalles de los atributos deben ser Access Type=ACCESS_ACCEPT. Haga clic en Submit (Enviar).
Paso 2. Vaya a Política > Elementos de Política > Resultados > Autorización > Perfiles de Autorización, puede ver los perfiles de autorización.
Paso 1. Vaya a Política > Conjuntos de políticas. Seleccione Add (Agregar) y escriba el nombre del conjunto de políticas LWA_EA_POLICY. Haga clic en la columna Condiciones, y esta ventana emergente.
Paso 2. En Diccionario, seleccione Acceso a red.
Paso 3. En Atributo, seleccione Nombre de usuario.
Paso 4. Establezca Equals y escriba guest en el cuadro de texto (el nombre de usuario definido en Administration > Identity Management > Identities > Users).
Paso 5. Haga clic en Guardar para guardar los cambios.
Paso 6. Vaya a Política > Conjuntos de políticas. En el conjunto de directivas que ha creado, en la columna Protocolos permitidos/Secuencia de servidor, seleccione Acceso de red predeterminado.
Paso 7. Haga clic en Guardar para guardar los cambios.
La regla de autorización es la encargada de determinar qué resultado de permiso (perfil de autorización) se aplica al cliente.
Paso 1. Vaya a Política > Conjuntos de políticas. Haga clic en el icono de flecha del conjunto de directivas que ha creado.
Paso 2. En la misma página Conjunto de directivas, expanda Directiva de autorización como se muestra en la imagen. En la columna Profiles, elimine DenyAccess y agregue LWA_EA_AUTHORIZATION.
Paso 3. Haga clic en Guardar para guardar los cambios.
Paso 1. En el ordenador/teléfono, navegue hasta las redes Wi-Fi, busque el SSID LWA_EA y seleccione Connect.
Paso 2. Aparecerá una ventana del navegador con la página de inicio de sesión. La URL de redirección se encuentra en el cuadro URL, y debe escribir el Nombre de usuario y la Contraseña para obtener acceso a la red. A continuación, seleccione Enviar.
Nota: La URL presentada fue proporcionada por el WLC. Contiene la IP virtual del WLC y el redireccionamiento para la URL de la prueba de la conexión de Windows.
Paso 3. Vaya a Operaciones > RADIUS > Live Logs. Puede ver el dispositivo cliente autenticado.
Utilize esta sección para confirmar que su configuración funcione correctamente.
Show WLAN Summary
9800WLC#show wlan summary
Number of WLANs: 3
ID Profile Name SSID Status Security
-------------------------------------------------
1 WLAN1 WLAN1 DOWN [WPA2][802.1x][AES]
2 WLAN2 WLAN2 UP [WPA2][PSK][AES],MAC Filtering
34 LWA_EA LWA_EA UP [open],[Web Auth]
9800WLC#show wlan name LWA_EA
WLAN Profile Name : LWA_EA
================================================
Identifier : 34
Description :
Network Name (SSID) : LWA_EA
Status : Enabled
Broadcast SSID : Enabled
Advertise-Apname : Disabled
Universal AP Admin : Disabled
(...)
Accounting list name :
802.1x authentication list name : Disabled
802.1x authorization list name : Disabled
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Disabled
OSEN : Disabled
FT Support : Adaptive
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
Web Based Authentication : Enabled
IPv4 ACL : Unconfigured
IPv6 ACL : Unconfigured
Conditional Web Redirect : Disabled
Splash-Page Web Redirect : Disabled
Webauth On-mac-filter Failure : Disabled
Webauth Authentication List Name : LWA_AUTHENTICATION
Webauth Authorization List Name : Disabled
Webauth Parameter Map : global
Band Select : Disabled
Load Balancing : Disabled
(...)
Show Parameter Map Configuration
9800WLC#show running-config | section parameter-map type webauth global
parameter-map type webauth global
type webauth
virtual-ip ipv4 192.0.2.1
trustpoint 9800-17-3-3_WLC_TP
webauth-http-enable
Show AAA Information
9800WLC#show aaa method-lists authentication
authen queue=AAA_ML_AUTHEN_LOGIN
name=default valid=TRUE id=0 :state=ALIVE : LOCAL
name=LWA_AUTHENTICATION valid=TRUE id=E0000007 :state=ALIVE : SERVER_GROUP RADIUSGROUP
authen queue=AAA_ML_AUTHEN_ENABLE
authen queue=AAA_ML_AUTHEN_PPP
authen queue=AAA_ML_AUTHEN_SGBP
(...)
9800WLC#show aaa method-lists authorization
author queue=AAA_ML_AUTHOR_SHELL
name=default valid=TRUE id=0 :state=ALIVE : LOCAL
author queue=AAA_ML_AUTHOR_NET
name=default valid=TRUE id=0 :state=ALIVE : LOCAL
name=rq-authoAAA valid=TRUE id=83000009 :state=ALIVE : SERVER_GROUP RADIUSGROUP
name=LWA_AUTHORIZATION valid=TRUE id=DB00000A :state=ALIVE : SERVER_GROUP RADIUSGROUP
author queue=AAA_ML_AUTHOR_CONN
author queue=AAA_ML_AUTHOR_IPMOBILE
author queue=AAA_ML_AUTHOR_RM
(...)
9800WLC#show aaa servers
RADIUS: id 3, priority 1, host 10.48.39.247,
auth-port 1812, acct-port 1813, hostname RADIUS
State: current UP, duration 171753s, previous duration 0s
Dead: total time 0s, count 0
Platform State from SMD: current UP, duration 171753s, previous duration 0s
SMD Platform Dead: total time 0s, count 0
Platform State from WNCD (1) : current UP
(...)
Éstas son varias guías sobre cómo resolver problemas de autenticación Web, tales como:
Estas guías describen detalladamente los pasos para solucionar problemas:
Puede habilitar el seguimiento de depuración condicional y captura de Radio Active (RA), que proporciona seguimientos de nivel de depuración para todos los procesos que interactúan con la condición especificada (dirección MAC del cliente en este caso). Para habilitar la depuración condicional, utilice los pasos de la guía, Depuración condicional y seguimiento de RadioActive.
También puede recopilar la captura de paquetes integrados (EPC). EPC es una función de captura de paquetes que permite una vista de los paquetes destinados a, originados y que pasan a través de los WLC Catalyst 9800, concretamente los paquetes GET DHCP, DNS y HTTP en LWA. Estas capturas se pueden exportar para analizarlas sin conexión con Wireshark. Para ver los pasos detallados sobre cómo hacerlo, consulte Captura de Paquetes Integrada.
Este es el resultado de RA_traces para un intento exitoso de identificar cada una de las fases en el proceso de asociación/autenticación, mientras está en conexión con un SSID de invitado con el servidor RADIUS.
Asociación/autenticación 802.11:
[client-orch-sm] [17062]: (nota): MAC: 0c0e.766c.0e97 Asociación recibida. BSSID cc70.edcf.552f, WLAN LWA_EA, Slot 1 AP cc70.edcf.5520, DO_NOT_MOVE.Static_AP1
[client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 Se recibió una solicitud de asociación Dot11. Procesamiento iniciado, SSID: LWA_EA, Perfil de política: POLICY_PROFILE, Nombre de AP: DO_NOT_MOVE.Static_AP1, Dirección MAC de AP: cc70.edcf.5520BSSID MAC0000.0000.0000wlan ID: 1RSSI: -49, SNR: 46
[client-orch-state] [17062]: (nota): MAC: 0c0e.766c.0e97 Transición de estado de cliente: S_CO_INIT -> S_CO_ASSOCIATING
[dot11-validate] [17062]: (info): MAC: 0c0e.766c.0e97 Dot11 ie valida las velocidades ext/supp. Validación aprobada para tasas admitidas radio_type 2
[dot11-validate] [17062]: (info): MAC: 0c0e.766c.0e97 WiFi direct: Dot11 validate P2P IE. El IE P2P no está presente.
[dot11] [17062]: (debug): MAC: 0c0e.766c.0e97 dot11 enviar respuesta de asociación. Respuesta de asociación de tramas con resp_status_code: 0
[dot11] [17062]: (debug): MAC: 0c0e.766c.0e97 Dot11 Información de capacidad byte1 1, byte2: 11
[dot11-frame] [17062]: (info): MAC: 0c0e.766c.0e97 WiFi direct: skip build Assoc Resp with P2P IE: Wifi direct policy disabled
[dot11] [17062]: (info): MAC: 0c0e.766c.0e97 dot11 enviar respuesta de asociación. Enviando respuesta assoc de longitud: 130 con resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS
[dot11] [17062]: (nota): MAC: 0c0e.766c.0e97 Éxito de asociación. AID 1, Itinerancia = Falso, WGB = Falso, 11r = Falso, 11w = Itinerancia rápida falsa = Falso
[dot11] [17062]: (info): MAC: 0c0e.766c.0e97 transición de estado DOT11: S_DOT11_INIT -> S_DOT11_ASSOCIATED
[client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 La asociación Dot11 de la estación se ha realizado correctamente.
Proceso de aprendizaje de IP:
[client-orch-state] [17062]: (nota): MAC: 0c0e.766c.0e97 Transición de estado de cliente: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
[client-iplearn] [17062]: (info): MAC: 0c0e.766c.0e97 Transición de estado de IP-learn: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
[client-auth] [17062]: (info): MAC: 0c0e.766c.0e97 Transición de estado de interfaz de autenticación de cliente: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_L2_WEBAUTH_DONE
[client-iplearn] [17062]: (note): MAC: 0c0e.766c.0e97 Client IP learn success. Método: DHCP IP: 10.48.39.243
[client-iplearn] [17062]: (info): MAC: 0c0e.766c.0e97 Transición de estado de IP-learn: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
[client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 Respuesta de aprendizaje de ip recibida. método: IPLEARN_METHOD_DHCP
Autenticación de capa 3:
[client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 Autenticación L3 activada. estado = 0x0, correcta
[client-orch-state] [17062]: (nota): MAC: 0c0e.766c.0e97 Transición de estado de cliente: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
[client-auth] [17062]: (nota): MAC: autenticación de nivel 3 0c0e.766c.0e97 iniciada. LWA
[client-auth] [17062]: (info): MAC: 0c0e.766c.0e97 Transición de estado de interfaz de autenticación de cliente: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
[webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]GET rcvd cuando está en estado LOGIN
[webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]HTTP GET request
[webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Parse GET, src [10.48.39.243] dst [10.107.221.82] url [http://firefox detect portal/]
[webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Lectura completa: parse_request return 8
[webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 IO state READING -> WRITING
[webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 ESTADO DE E/S ESCRITURA -> LECTURA
[webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 E/S state NEW -> READING
[webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 Read event, Message ready
[webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]POST rcvd cuando está en estado LOGIN
Autenticación de capa 3 exitosa, mueva el cliente al estado RUN:
[auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] Received User-Name guest for client 0c0e.766c.0e97
[auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] auth mgr attr se recibe una notificación de adición/cambio para attr auth-domain(954)
[auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] Método webauth que cambia el estado de 'En ejecución' a 'Correcto Authc'
[auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] Estado de cambio de contexto de 'En ejecución' a 'Correcto de autenticación'
[auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] auth mgr attr se recibe una notificación de adición/cambio para el método attr(757)
[auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] Evento desencadenado AUTHZ_SUCCESS (11)
[auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] Estado de cambio de contexto de 'Éxito Authc' a 'Éxito Authz'
[webauth-acl] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Aplicación de ACL de desconexión de IPv4 a través de SVM, name: IP-Adm-V4-LOGOUT-ACL, priority: 51, IIF-ID: 0
[webauth-sess] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Param-map used: global
[webauth-state] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Param-map used: global
[webauth-state] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]State AUTHC_SUCCESS -> AUTHZ
[webauth-page] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Página de envío correcta de Webauth
[webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 IO state AUTHENTICATING -> WRITING
[webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 E/S state WRITING -> END
[webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 Remove IO ctx and close socket, id [99000029]
[client-auth] [17062]: (nota): MAC: Autenticación de nivel 3 0c0e.766c.0e97 satisfactoria. ACL:[]
[client-auth] [17062]: (info): MAC: 0c0e.766c.0e97 Transición de estado de interfaz de autenticación de cliente: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
[webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 Remove IO ctx and close socket, id [D7000028]
[errmsg] [17062]: (info): %CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: R0/0: wncd: Entrada de nombre de usuario (invitado) unida con ssid (LWA_EA) para dispositivo con MAC: 0c0e.766c.0e97
[aaa-attr-inf] [17062]: (info): [ Applied attribute :bsn-vlan-interface-name 0 "VLAN0039" ]
[aaa-attr-inf] [17062]: (info): [ Applied attribute : timeout 0 1800 (0x708) ]
[aaa-attr-inf] [17062]: (info): [ Applied attribute : url-redirect-acl 0 "IP-Adm-V4-LOGOUT-ACL" ]
[ewlc-qos-client] [17062]: (info): MAC: 0c0e.766c.0e97 Controlador de estado de ejecución de QoS de cliente
[rog-proxy-capwap] [17062]: (debug): notificación de estado RUN del cliente administrado: 0c0e.766c.0e97
[client-orch-state] [17062]: (nota): MAC: 0c0e.766c.0e97 Transición de estado de cliente: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RUN
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
20-Apr-2023 |
Versión inicial |