802.1X op AP’s configureren voor PEAP of EAP-TLS met LSC

Inleiding

Dit document beschrijft hoe u Cisco-access points op hun switchpoort moet verifiëren met behulp van de 802.1X PEAP- of EAP-TLS-methoden.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Draadloze controller
• Access point
• Switch
• ISE-server
• Certificaatautoriteit.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Draadloze controller: C9800-40-K9 met 17.09.02
• Access point: C9117AXI-D
• Switch: C9200L-24P-4G met 17.06.04
• AAA-server: ISE-VM-K9 met 3.1.0.518
• Certificaatinstantie: Windows Server 2016

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Als u wilt dat uw access points (AP’s) met hun switchport verifiëren met 802.1X, gebruiken zij standaard het EAP-FAST-verificatieprotocol waarvoor geen certificaten nodig zijn. Als u wilt dat de AP's de PEAP-mschappv2 methode (die referenties aan de AP-kant gebruikt maar een certificaat aan de RADIUS-kant) of de EAP-TLS methode (die certificaten aan beide kanten gebruikt) gebruiken, moet u LSC eerst configureren. Het is de enige manier om een vertrouwd/wortelcertificaat op een toegangspunt (en ook een apparaatcertificaat in het geval van EAP-TLS) te verstrekken. Het is niet mogelijk voor het toegangspunt om PEAP uit te voeren en de validatie aan serverzijde te negeren. Dit document behandelt eerst het configureren LSC en vervolgens de 802.1X-configuratiezijde.

Gebruik een LSC als u wilt dat uw PKI betere beveiliging biedt, controle heeft over uw certificaatautoriteit (CA) en beleid, beperkingen en gebruik definieert op de gegenereerde certificaten.

Met LSC krijgt de controller een certificaat van de CA. Een AP communiceert niet direct met de CA-server, maar de WLC vraagt certificaten aan namens de toetredende AP's. De CA-servergegevens moeten op de controller zijn geconfigureerd en toegankelijk zijn.

De controller maakt gebruik van het Simple Certificate Enrollment Protocol (SCEP) om bepaaldeReqs die op de apparaten zijn gegenereerd door te sturen naar de CA en maakt opnieuw gebruik van SCEP om de ondertekende certificaten van de CA te verkrijgen.

SCEP is een protocol voor certificaatbeheer dat de PKI-clients en CA-servers gebruiken om certificaatinschrijving en herroeping te ondersteunen. Het wordt veel gebruikt in Cisco en ondersteund door veel CA-servers. In SCEP wordt HTTP gebruikt als het transportprotocol voor de PKI-berichten. Het primaire doel van SCEP is de veilige afgifte van certificaten aan netwerkapparaten.

Netwerkdiagram

Configureren

Er zijn twee dingen om voornamelijk te configureren: de SCEP CA en de 9800 WLC.

Windows Server 2016 SCEP CA

Dit document behandelt een fundamentele installatie van een Windows Server SCEP CA voor laboratoriumdoeleinden. Een echte productie-grade Windows CA moet veilig en geschikt worden geconfigureerd voor bedrijfsactiviteiten. Deze sectie is bedoeld om u te helpen het in het laboratorium testen en inspiratie te halen uit de vereiste instellingen om deze configuratie te laten werken. Dit zijn de stappen :

Stap 1.Installeer een nieuwe Windows Server 2016 Desktop Experience.

Stap 2.Controleer of de server is geconfigureerd met een statisch IP-adres.

Stap 3.Installeer een nieuwe rol en service, start met Active Directory Domain services en DNS server.

Active Directory-installatie

Einde AD-installatie

Stap 4.Als u klaar bent, klikt u op het dashboard op Promoot deze server naar een domeincontroller.

De AD-services configureren

Stap 5.Maak een nieuw bos en kies een domeinnaam.

Kies een bosnaam

Stap 6.Voeg de rol Certificaatservices toe aan uw server:

Certificaatservices toevoegen

Alleen de certificeringsinstantie toevoegen

Stap 7.Nadat u dit hebt gedaan, configureert u uw certificeringsinstantie.

Stap 8.Kies Enterprise CA.

CA voor ondernemingen

Stap 9.Maak er een root-CA van. Sinds Cisco IOS XE 17.6 worden ondergeschikte CA’s ondersteund voor LSC.

Kies een root-CA

Het is belangrijk dat de account die u gebruikt voor uw CA deel uitmaakt van de groep IIS_IUSRS. In dit voorbeeld, gebruikt u de rekening van de Beheerder en gaat naar het Actieve menu van de Gebruikers en van Computers van de Folder om de gebruikers van de Beheerder aan de groep toe te voegen IIS_IUSRS.

Voeg je admin account toe aan de IIS_USER groep

Stap 10.Zodra u een gebruiker in de juiste IIS-groep hebt, voeg rollen en services toe. Voeg vervolgens de Online Responder- en NDES-services toe aan uw certificeringsinstantie.

Installeer de NDES- en Online Responder-services

Stap 11.Zodra u klaar bent, configureer deze services.

Installeer de Online responsder en de NDES-service.

Stap 12.U wordt gevraagd een serviceaccount te kiezen. Dit is de account die u eerder aan de groep IIS_IUSRS hebt toegevoegd.

Selecteer de gebruiker die u aan de IIS-groep hebt toegevoegd

Stap 13.Dit is genoeg voor SCEP-bewerkingen, maar om 802.1X-verificatie te kunnen realiseren, moet u ook een certificaat op de RADIUS-server installeren. Daarom, voor gemak, installeer en vorm de dienst van de Webinschrijving om het ISE- certificaatverzoek op onze Server van Windows gemakkelijk te kunnen kopiëren en kleven.

Installeer de webinschrijvingsservicede webinschrijvingsservice configureren

Stap 14. U kunt controleren of de SCEP-service correct werkt door te gaan naar http://<serverip>/certsrv/mscep/mscep.dll :

Verificatie van SCEP-portal

Stap 15.

Standaard gebruikt de Windows Server een dynamisch wachtwoord om client- en endpointverzoeken te verifiëren voordat u zich inschrijft bij Microsoft SCEP (MSCEP). Dit vereist een admin-account om naar de web GUI te bladeren om een on-demand wachtwoord voor elk verzoek te genereren (het wachtwoord moet in het verzoek worden opgenomen).De controller is niet in staat om dit wachtwoord op te nemen in de verzoeken die het naar de server stuurt. Om deze functie te verwijderen, moet de registersleutel op de NDES-server worden gewijzigd:

Open de Register-editor, zoek naar Regedit in het menu Start.

Ga naar Computer > HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Cryptografie > MSCEP > EnforcePassword

Verander de EnforcePassword waarde in 0. Als het al 0 is, laat het dan zoals het is.

De waarde van het handhavingswachtwoord instellen

Het certificaatsjabloon en het register configureren

Certificaten en bijbehorende sleutels kunnen worden gebruikt in meerdere scenario's voor verschillende doeleinden die worden gedefinieerd door het toepassingsbeleid binnen de CA-server. Het toepassingsbeleid wordt opgeslagen in het veld Uitgebreide sleutelgebruik (EKU) van het certificaat. Dit veld wordt door de verificator geparseerd om te controleren of de client het voor het beoogde doel gebruikt. Om ervoor te zorgen dat het juiste toepassingsbeleid wordt geïntegreerd in de WLC- en AP-certificaten, maakt u de juiste certificaatsjabloon en brengt u deze in het NDES-register in kaart:

Stap 1. Ga naar Start > Administratieve tools > Certificeringsinstantie.

Stap 2. Breid de mappenstructuur van CA Server uit, klik met de rechtermuisknop op de mappen Certificaatsjablonen en selecteer Beheren.

Stap 3. Klik met de rechtermuisknop op de certificaatsjabloon Gebruikers en selecteer Sjabloon dupliceren in het contextmenu.

Stap 4. Navigeer naar het tabblad Algemeen, verander de naam van de sjabloon en de geldigheidsperiode zoals gewenst, laat alle andere opties onaangevinkt.

Waarschuwing: als de geldigheidsperiode wordt gewijzigd, zorg er dan voor dat deze niet langer is dan de basisgeldigheid van het certificaat van de certificeringsinstantie.

De certificaatsjabloon configureren

Stap 5. Navigeer naar het tabblad Onderwerpnaam en zorg ervoor dat Levering in het verzoek is geselecteerd. Een pop-up lijkt aan te geven dat gebruikers geen admin goedkeuring nodig hebben om hun certificaat ondertekend te krijgen, OK selecteren.

Levering in het verzoek

Stap 6. Navigeer naar het tabblad Uitbreidingen en selecteer vervolgens de optie Toepassingsbeleid en selecteer de knop Bewerken.... Zorg ervoor dat de Clientverificatie in het venster Toepassingsbeleid staat; anders selecteert u Toevoegen en voegt u deze toe.

Controleer de uitbreidingen

Stap 7. Navigeer naar het tabblad Security en zorg ervoor dat de serviceaccount die is gedefinieerd in Stap 6 van het tabblad Enable SCEP Services in de Windows Server beschikt over volledige controle-rechten van de sjabloon, en selecteer vervolgens Toepassen en OK.

Geef volledige controle

Stap 8. Ga terug naar het venster Certificatie-instantie, klik met de rechtermuisknop in de map Certificaatsjablonen en selecteer Nieuw > Certificaatsjabloon voor afgifte.

Stap 9. Selecteer de certificaatsjabloon die eerder is gemaakt. In dit voorbeeld is 9800-LSC en selecteer OK.

Opmerking: het kan langer duren voordat de nieuw gemaakte certificaatsjabloon in meerdere serverimplementaties wordt vermeld, aangezien deze op alle servers moet worden gerepliceerd.

De sjabloon kiezen

De nieuwe certificaatsjabloon is nu opgenomen in de inhoud van de map Certificaatsjablonen.

Selecteer de LSC

Stap 10. Ga terug naar het venster Registry Editor en navigeer naar Computer > HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Cryptography > MSCEP.

Stap 11. Bewerk de registraties EncryptionTemplate, GeneralPurposeTemplate, en SignatureTemplate zodat ze naar het nieuw gemaakte certificaatsjabloon verwijzen.

De sjabloon in het register wijzigen

Stap 12. Start de NDES-server opnieuw op, ga dus terug naar het venster Certificatie-instantie, selecteer de servernaam en selecteer achtereenvolgens de knop Stop en Play.

LSC op de 9800 configureren

Hier volgen de stappen voor het configureren van LSC voor AP in WLC.

1. Maak een RSA-sleutel. Deze sleutel wordt later gebruikt voor PKI trustpoint.
2. Maak een trustpoint en breng de gemaakte RSA-sleutel in kaart.
3. Laat LSC levering voor APs toe en breng trustpoint in kaart.
   1. LSC inschakelen voor alle aangesloten AP’s.
   2. LSC voor geselecteerde AP’s inschakelen via voorzieningslijst.
4. Verander het Draadloze beheer trustpoint en punt aan LSC trustpoint.

Configuratiestappen AP LSC GUI

Stap 1.Navigeer naar configuratie > Beveiliging > PKI-beheer > genereren van sleutelparen.

1. Klik op Add en geef het een relevante naam.
2. Voeg de RSA-sleutelgrootte toe.
3. De belangrijkste exporteerbare optie is optioneel. Dit is alleen nodig als u de sleutel uit het vak wilt exporteren.
4. Selecteer Generate

Stap 2. Navigeren naar configuratie > Beveiliging > PKI-beheer > Trustpoints

1. Klik op Add en geef het een relevante naam.
2. Voer de URL van de inschrijving in (hier is de URL http://10.106.35.61:80/certsrv/mscep/mscep.dll) en de rest van de gegevens.
3. Selecteer RSA-sleutelparen die in stap 1 zijn gemaakt.
4. Klik op Verifiëren.
5. Klik op Inschrijven op trustpoint en voer een wachtwoord in.
6. Klik op Toepassen op apparaat.

Stap 3.Navigeer naar Configuration > Wireless > Access points. Scroll naar beneden en selecteer LSC Provision.

1. Selecteer de status zoals deze is ingeschakeld. Dit laat LSC voor alle APs toe die aan deze WLC worden aangesloten.
2. Selecteer de trustpoint naam die we in Stap 2 gecreëerd hebben.

Vul de rest van de gegevens in volgens uw behoeften.

Zodra u LSC inschakelt, downloaden AP's het certificaat via WLC en rebooten. In de AP console sessie, zie je dan iets als dit fragment.

Stap 4.Zodra LSC is ingeschakeld, kunt u het certificaat voor draadloos beheer wijzigen in overeenstemming met het LSC-betrouwbaarheidspunt. Dit maakt AP's samenvoegen met hun LSC-certificaten en de WLC gebruikt zijn LSC-certificaat voor AP-samenvoegen. Dit is een optionele stap als uw enige interesse is om 802.1X-verificatie van uw AP's te doen.

1. Ga naar Configuration > Interface > Wireless en klik op Management Interface.
2. Verander het Trustpoint om het trustpoint aan te passen dat we in stap 2 hebben gemaakt.

Hiermee is het configuratieonderdeel van de LSC GUI voltooid. APs moet zich bij WLC kunnen nu aansluiten met behulp van de LSC cert.

Configuratiestappen AP LSC CLI

1. Maak een RSA-toets met deze opdracht.

9800-40(config)#crypto key generate rsa general-keys modulus 2048 label AP-SCEP

% You already have RSA keys defined named AP-SCEP.
% They will be replaced
% The key modulus size is 2048 bits
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 0 seconds)
Sep 27 05:08:13.144: %CRYPTO_ENGINE-5-KEY_DELETED: A key named AP-SCEP has been removed from key storage
Sep 27 05:08:13.753: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named AP-SCEP has been generated or imported by crypto-engine

2. Maak PKI-trustpoint en breng het RSA-sleutelpaar in kaart. Voer de URL van de inschrijving en de rest van de gegevens in.

9800-40(config)#crypto pki trustpoint Access_Point-MS-CA
9800-40(ca-trustpoint)#enrollment url http://10.106.35.61:80/certsrv/mscep/mscep.dll
9800-40(ca-trustpoint)#subject-name C=IN,L=Bengaluru,ST=KA,O=TAC,CN=TAC-LAB.cisco.local,E=mail@tac-lab.local 
9800-40(ca-trustpoint)#rsakeypair AP-SCEP
9800-40(ca-trustpoint)#revocation none
9800-40(ca-trustpoint)#exit

3. Verifieer en registreer het PKI-vertrouwenspunt met de CA-server met behulp van de opdracht crypto pki authenticate <trustpoint>. Voer een wachtwoord in als om het wachtwoord wordt gevraagd.

9800-40(config)#crypto pki authenticate Access_Point-MS-CA
Certificate has the following attributes:
Fingerprint MD5: C44D21AA 9B489622 4BF548E1 707F9B3B
Fingerprint SHA1: D2DE6E8C BA665DEB B202ED70 899FDB05 94996ED2
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted. 
9800-40(config)#crypto pki enroll Access_Point-MS-CA
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Sep 26 01:25:00.880: %PKI-6-CERT_ENROLL_MANUAL: Manual enrollment for trustpoint Access_Point-MS-CA
Re-enter password:
% The subject name in the certificate will include: C=IN,L=Bengaluru,ST=KA,O=TAC,CN=TAC-LAB.cisco.local,E=mail@tac-lab.local
% The subject name in the certificate will include: 9800-40.cisco.com
% Include the router serial number in the subject name? [yes/no]: yes
% The serial number in the certificate will be: TTM244909MX
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose Access_Point-MS-CA' commandwill show the fingerprint.
Sep 26 01:25:15.062: %PKI-6-CSR_FINGERPRINT:
CSR Fingerprint MD5 : B3D551528B97DA5415052474E7880667
CSR Fingerprint SHA1: D426CE9B095E1B856848895DC14F997BA79F9005
CSR Fingerprint SHA2: B8CEE743549E3DD7C8FA816E97F2746AB48EE6311F38F0B8F4D01017D8081525
Sep 26 01:25:15.062: CRYPTO_PKI: Certificate Request Fingerprint MD5 :B3D55152 8B97DA54 15052474 E7880667
Sep 26 01:25:15.062: CRYPTO_PKI: Certificate Request Fingerprint SHA1 :D426CE9B 095E1B85 6848895D C14F997B A79F9005
Sep 26 01:25:15.063: CRYPTO_PKI: Certificate Request Fingerprint SHA2 :B8CEE743 549E3DD7 C8FA816E 97F2746A B48EE631 1F38F0B8 F4D01017 D8081525
Sep 26 01:25:30.239: %PKI-6-CERT_INSTALL: An ID certificate has been installed under
Trustpoint : Access_Point-MS-CA
Issuer-name : cn=sumans-lab-ca,dc=sumans,dc=tac-lab,dc=com
Subject-name : e=mail@tac-lab.local,cn=TAC-LAB.cisco.local,o=TAC,l=Bengaluru,st=KA,c=IN,hostname=9800-40.cisco.com,serialNumber=TTM244909MX
Serial-number: 5C0000001400DD405D77E6FE7F000000000014
End-date : 2024-09-25T06:45:15Z
9800-40(config)#

4. AP-verbinding configureren met LSC-certificaat.

9800-40(config)#ap lsc-provision join-attempt 10
9800-40(config)#ap lsc-provision subject-name-parameter country IN state KA city Bengaluru domain TAC-LAB.cisco.local org TAC email-address mail@tac-lab.local
9800-40(config)#ap lsc-provision key-size 2048
9800-40(config)#ap lsc-provision trustpoint Access_Point-MS-CA
9800-40(config)#ap lsc-provision
In Non-WLANCC mode APs will be provisioning with RSA certificates with specified key-size configuration. In WLANCC mode APs will be provisioning with EC certificates with a 384 bit key.
Are you sure you want to continue? (y/n): y

5. Verander het Draadloze Management Trustpoint om het trustpoint aan te passen dat hierboven is gemaakt.

9800-40(config)#wireless management trustpoint Access_Point-MS-CA

AP LSC-verificatie

Voer deze opdrachten op WLC uit om de LSC te verifiëren.

#show wireless management trustpoint
#show ap lsc-provision summary
#show ap name < AP NAME > config general | be Certificate

Zodra APs worden herladen, meld u aan bij AP CLI en voer deze opdrachten uit om LSC-configuratie te verifiëren.

#show crypto | be LSC
#show capwap cli config | in lsc
#show dtls connection

Probleemoplossing voor LSC-provisioning

U kunt een EPC-opname maken van de WLC of AP uplink switch poort om te controleren of het certificaat dat AP gebruikt om de CAPWAP- te vormen. Controleer vanuit de PCAP of de DTLS-tunnel met succes is gebouwd.

DTLS-debugs kunnen worden uitgevoerd op AP en WLC om het certificaatprobleem te begrijpen.

---

AP-bekabelde 802.1X-verificatie met LSC

AP is ingesteld om hetzelfde LSC-certificaat te gebruiken voor verificatie. AP fungeert als 802.1X aanvrager en wordt door de switch geverifieerd op basis van de ISE-server. ISE-server praat met de AD in het backend.

EAP-TLS-verificatie, werkstroom en berichtenuitwisseling

Configuratiestappen voor AP Wired 802.1x-verificatie

1. Schakel dot1x-poortadapter in samen met CAPWAP DTLS en selecteer het EAP-type.
2. Creeer dot1x geloofsbrieven voor APs.
3. Schakel dot1x in op de switch.
4. Installeer een vertrouwd certificaat op de RADIUS-server.

Configuratie van bekabelde AP-802.1x-verificatie en GUI

1. Navigeer naar het toetredingspartnersprofiel van het toegangspunt en klik op het profiel.
   1. Klik op AP > Algemeen. Selecteer het EAP-type en het AP-autorisatietype als "CAPWAP DTLS + dot1x port auth".
   2. Navigeer naar Beheer > Credentials en voer een gebruikersnaam en wachtwoord in voor AP dot1x-verificatie.

CLI-configuratie voor AP-bekabelde 802.1x-verificatie

Gebruik deze opdrachten om dot1x voor AP’s vanuit de CLI in te schakelen. Dit maakt alleen bekabelde verificatie mogelijk voor AP's die gebruik maken van het specifieke Joed-profiel.

#ap profile ap-auth
#dot1x eap-type eap-tls
#dot1x lsc-ap-auth-state both
#dot1x username ap-wired-user password 0 cisco!123

Configuratie van bekabelde AP-Switch 802.1x-verificatie

Deze switch configuraties worden gebruikt in LAB om bekabelde AP-verificatie in te schakelen. U kunt verschillende configuratie hebben op basis van ontwerp.

aaa new-model
dot1x system-auth-control
aaa authentication dot1x default group radius
aaa authorization network default group radius
radius server ISE
address ipv4 10.106.34.170 auth-port 1812 acct-port 1813
key cisco!123
!
interface GigabitEthernet1/0/2
description "AP-UPLINK-PORT-AUTH-ENABLED"
switchport access vlan 101
switchport mode access
authentication host-mode multi-host
authentication order dot1x
authentication priority dot1x
authentication port-control auto
dot1x pae authenticator
end

Installatie van RADIUS-servercertificaat

De verificatie vindt plaats tussen het toegangspunt (dat fungeert als de aanvrager) en de RADIUS-server. Beiden moeten elkaar vertrouwen. De enige manier om het AP-vertrouwen in het RADIUS-servercertificaat te hebben, is om de RADIUS-server een certici-certificaat te laten gebruiken dat is afgegeven door de SCEP CA die ook het AP-certificaat heeft afgegeven.

In ISE, ga naar Administratie > Certificaten > Generate Certificaat Ondertekeningsaanvragen

Genereer een CSR en vul de velden met de informatie van uw ISE-knooppunt.

Nadat u deze hebt gegenereerd, kunt u deze exporteren en ook kopiëren en plakken als tekst.

Navigeer naar uw Windows CA IP-adres en voeg /certsrv/ toe aan de URL

Klik op Certificaat aanvragen

Klik op Een certificaataanvraag indienen met een base-64 ....

Plakt de MVO-tekst in het tekstvak. Kies de sjabloon voor het webservercertificaat.

U kunt dit certificaat vervolgens op ISE installeren door terug te gaan naar het menu Certificaat-ondertekeningsaanvraag en klik op Bindcertificaat. U kunt vervolgens het certificaat uploaden dat u bij uw Windows C hebt verkregen.

Verificatie van bekabelde AP-802.1x-verificatie

Neem consoletoegang tot AP en voer de opdracht uit:

#show ap authentication status

Ap-verificatie is niet ingeschakeld:

Console logt vanaf AP na het inschakelen van ap auth:

AP is geverifieerd:

WLC-verificatie:

SwitchPort-interfacestatus na succesvolle verificatie:

Dit is een voorbeeld van logbestanden van de AP-console die wijzen op een succesvolle verificatie:

[*09/26/2023 07:33:57.5512] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.5513] hostapd:EAP: Status notification: started (param=)
[*09/26/2023 07:33:57.5513] hostapd:EAP: EAP-Request Identity
[*09/26/2023 07:33:57.5633] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.5634] hostapd:EAP: Status notification: accept proposed method (param=TLS)
[*09/26/2023 07:33:57.5673] hostapd:dot1x: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 13 (TLS) selected
[*09/26/2023 07:33:57.5907] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.5977] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6045] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6126] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6137] hostapd:dot1x: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/DC=com/DC=tac-lab/DC=sumans/CN=sumans-lab-ca' hash=50db86650becf451eae2c31219ea08df9eda102c79b3e62fb6edf6842ee86db6
[*09/26/2023 07:33:57.6145] hostapd:dot1x: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=IN/ST=KA/L=BLR/O=CISCO/OU=TAC/CN=HTTS-ISE.htts-lab.local' hash=12bec6b738741d79a218c098553ff097683fe1a9a76a7996c3f799d0c184ae5e
[*09/26/2023 07:33:57.6151] hostapd:EAP: Status notification: remote certificate verification (param=success)
[*09/26/2023 07:33:57.6539] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6601] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6773] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.7812] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.7812] hostapd:EAP: Status notification: completion (param=success)
[*09/26/2023 07:33:57.7812] hostapd:dot1x: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
[*09/26/2023 07:33:57.7813] hostapd:dot1x: State: ASSOCIATED -> COMPLETED
[*09/26/2023 07:33:57.7813] hostapd:dot1x: CTRL-EVENT-CONNECTED - Connection to 01:80:c2:00:00:03 completed [id=0 id_str=]

Probleemoplossing 802.1X-verificatie

Neem PCAP op de AP uplink en controleer de radius authenticatie. Hier is een fragment van succesvolle verificatie.

TCPdump verzamelt van ISE-opnamen van de verificatie.

Als er een probleem wordt geobserveerd tijdens de verificatie, is er een gelijktijdige pakketopname van de bekabelde AP-uplink en de ISE-zijde nodig.

Debug opdracht voor AP:

#debug ap authentication packet

Gerelateerde informatie

• Cisco Technical Support en downloads
• 802.1X configureren op AP met AireOS
• 9800 configuratiehandleiding voor LSC
• LSC-configuratievoorbeeld voor 9800
• 802.1X configureren voor AP’s op 9800