De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u een WLAN (Wireless Local Area Network) met Wi-Fi Protected Access 2 (WPA2) Enterprise-beveiliging kunt instellen met een Mobility Express-controller en een externe Remote Verification Dial-In User Service (RADIUS)-server. Identity Service Engine (ISE) wordt gebruikt als voorbeeld van externe RADIUS-servers.
Het EAP (Extensible Verification Protocol) dat in deze handleiding wordt gebruikt, is het Protected Extensible Verification Protocol (PEAP). Daarnaast wordt de client toegewezen aan een specifiek VLAN (anders dan de client die aan het WLAN is toegewezen, geen standaard).
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
ME v8.2
ISE v2.1
Windows 10-laptop
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
De algemene stappen zijn:
Om communicatie tussen RADIUS-server en ME mogelijk te maken, is het nodig om RADIUS-server op ME te registreren en omgekeerd. Deze stap toont hoe u RADIUS-server op ME registreert.
Stap 1. Open de GUI van de ME en navigeer naar Draadloze instellingen > WLAN’s > Nieuw WLAN toevoegen.
Stap 2. Selecteer een naam voor het WLAN.
Stap 3. Specificeer beveiligingsconfiguratie onder WLAN security tabblad.
Kies WPA2 Enterprise, kies voor de verificatieserver Externe RADIUS. Klik op de bewerkingsoptie om het IP-adres van de RADIUS toe te voegen en een gedeelde geheime sleutel te kiezen.
<a.b.c.d> komt overeen met de RADIUS-server.
Stap 4. Wijs een VLAN toe aan de SSID.
Als de SSID moet worden toegewezen aan VLAN van het toegangspunt, kan deze stap worden overgeslagen.
Als u de gebruikers van deze SSID wilt toewijzen aan een specifiek VLAN (anders dan VLAN van AP), schakelt u VLAN-tagging in en wijst u de gewenste VLAN-id toe.
Opmerking: als VLAN-tagging wordt gebruikt, dient u ervoor te zorgen dat de switchpoort waarop het access point is aangesloten, als trunkpoort is geconfigureerd en dat het AP VLAN als native is geconfigureerd.
Stap 5. Klik op Toepassen om de configuratie te voltooien.
Stap 6. Optioneel: configureer het WLAN om de VLAN-overschrijving te accepteren.
Schakel AAA-opheffing in op het WLAN en voeg de benodigde VLAN’s toe. Hiervoor moet u een CLI-sessie openen naar de ME-beheerinterface en deze opdrachten geven:
>config wlan disable <wlan-id> >config wlan aaa-override enable <wlan-id> >config wlan enable <wlan-id>
>config flexconnect group default-flexgroup vlan add <vlan-id>
Stap 1. Open de ISE-console en navigeer naar Beheer > Netwerkbronnen > Netwerkapparaten > Toevoegen.
Stap 2. Voer de informatie in.
Optioneel kan het worden gespecificeerd een Modelnaam, softwareversie, beschrijving en toewijzen Network Device groepen op basis van apparaattypen, locatie of WLC's.
a.b.c.d komt overeen met het IP-adres van de ME.
Raadpleeg voor meer informatie over netwerkapparaatgroepen deze link:
ISE - Apparaatgroepen voor netwerk
Stap 1. Naar navigeren Beheer > Identiteitsbeheer > Identiteiten > Gebruikers > Toevoegen.
Stap 2. Voer de informatie in.
In dit voorbeeld behoort deze gebruiker tot de groep ALL_ACCOUNTANTS, maar hij kan naar behoefte worden aangepast.
Verificatieregels worden gebruikt om te verifiëren of de referenties van de gebruikers juist zijn (verifiëren of de gebruiker echt is wie het zegt dat het is) en om de verificatiemethoden te beperken die door hem mogen worden gebruikt.
Stap 1. Navigeer naar Beleid > Verificatie.
Stap 2. Voeg een nieuwe verificatieregel in.
Ga hiervoor naar Beleid > Verificatie > Nieuwe rij invoegen boven/onder.
Stap 3. Voer de gewenste informatie in
Dit voorbeeld van verificatieregel staat alle protocollen toe die in de lijst Default Network Access worden vermeld, dit is van toepassing op het verificatieverzoek voor draadloze 802.1x-clients en met Call-Station-ID en eindigt met ISE-side.
Kies ook de Identiteitsbron voor de clients die aan deze verificatieregel voldoen, in dit voorbeeld wordt het gebruikt Interne gebruikers
Klik na voltooiing op Gereed en Opslaan
Zie voor meer informatie over Beleid inzake Toegestane protocollen deze link:
Zie voor meer informatie over Identiteitsbronnen deze link:
De autorisatieregel is de regel die bepaalt of de klant al dan niet tot het netwerk mag toetreden
Stap 1. Ga naar Beleid > Autorisatie.
Stap 2. Voeg een nieuwe regel in. Navigeer naar Beleid > autorisatie > Nieuwe regel invoegen boven/onder.
Stap 3. Voer de informatie in.
Kies eerst een naam voor de regel en de identiteitsgroepen waarin de gebruiker is opgeslagen. In dit voorbeeld wordt de gebruiker opgeslagen in de groep ALL_ACCOUNTANTS.
Kies vervolgens andere voorwaarden die het vergunningsproces onder deze regel laten vallen. In dit voorbeeld raakt het autorisatieproces deze regel als het 802.1x Wireless gebruikt en het wordt station ID-einden genoemd met ise-side.
Kies tot slot het autorisatieprofiel waarmee de clients zich bij het netwerk kunnen aanmelden, klik op Gereed en Opslaan.
U kunt desgewenst een nieuw autorisatieprofiel maken om de draadloze client toe te wijzen aan een ander VLAN:
Voer de informatie in:
Configureer een Windows 10-laptop om verbinding te maken met een SSID met 802.1x-verificatie met behulp van PEAP/MS-CHAPv2 (Microsoft-versie van de Challenge-Handshake Authenticatieprotocol versie 2).
In dit configuratievoorbeeld gebruikt ISE zijn zelfondertekende certificaat om de verificatie uit te voeren.
U kunt als volgt het WLAN-profiel op de Windows-machine maken:
De configuratie van deze opties wordt beschreven in de configuratie van het eindapparaat - Het WLAN-profiel maken - Stap 7.
Stap 1. Exporteer zelfondertekend certificaat van ISE.
Log in op ISE en navigeer naar Beheer > Systeem > Certificaten > Systeemcertificaten.
Selecteer vervolgens het certificaat dat wordt gebruikt voor EAP-verificatie en klik op Exporteren.
Sla het certificaat op de gewenste locatie op. Dit certificaat is geïnstalleerd op de Windows-machine.
Stap 2. Installeer het certificaat op de Windows-machine.
Kopieer het certificaat dat u eerder hebt geëxporteerd naar de Windows-machine, wijzig de extensie van het bestand van .pem naar .crt, nadat u erop hebt dubbelgeklikt en selecteer Certificaat installeren....
Kies om het te installeren in lokale machine, klik vervolgens op Volgende.
Selecteer Alle certificaten in de volgende winkel plaatsen, en kies vervolgens Trusted Root Certification Authorities. Klik vervolgens op Next (Volgende).
Klik vervolgens op Voltooien.
Klik aan het eind op Ja om de installatie van het certificaat te bevestigen.
Klik tot slot op OK.
Stap 1. Klik met de rechtermuisknop op het pictogram Start en selecteer Configuratiescherm.
Stap 2. Navigeer naar Netwerk en Internet en vervolgens naar Netwerkcentrum en klik op Een nieuwe verbinding of netwerk instellen.
Stap 3. Selecteer Handmatig verbinding maken met een draadloos netwerk en klik op Volgende.
Stap 4. Voer de informatie in met de naam van de SSID en het beveiligingstype WPA2-Enterprise en klik op Volgende.
Stap 5. Selecteer Verbindingsinstellingen wijzigen om de configuratie van het WLAN-profiel aan te passen.
Stap 6. Navigeer naar het tabblad Beveiliging en klik op Instellingen.
Stap 7. Kies of RADIUS-server gevalideerd is of niet.
Indien ja, controleer de identiteit van de server door het certificaat te valideren en van Trusted Root Certification Authorities: list selecteer het zelfondertekende certificaat van ISE.
Hierna selecteert u Configureren en uitschakelen Automatisch mijn Windows-aanmeldingsnaam en wachtwoord gebruiken... en klikt u op OK
Stap 8. De gebruikersreferenties configureren
Eenmaal terug naar het tabblad Beveiliging, selecteert u Geavanceerde instellingen, specificeert u de verificatiemodus als gebruikersverificatie en slaat u de referenties op die op ISE waren ingesteld om de gebruiker te verifiëren.
De verificatiestroom kan worden geverifieerd vanuit WLC of ISE-perspectief.
Voer deze opdracht uit om het verificatieproces voor een specifieke gebruiker te bewaken:
> debug client <mac-add-client>
Voorbeeld van een succesvolle verificatie (een of andere uitvoer is weggelaten):
*apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Processing assoc-req station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 thread:669ba80
*apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Association received from mobile on BSSID 38:ed:18:c6:7b:4d AP 1852-4
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying site-specific Local Bridging override for station 08:74:02:77:13:45 - vapId 3, site 'FlexGroup', interface 'management'
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying Local Bridging Interface Policy for station 08:74:02:77:13:45 - vlan 0, interface id 0, interface 'management'
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Set Clinet Non AP specific apfMsAccessVlan = 2400
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 This apfMsAccessVlan may be changed later from AAA after L2 Auth
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Received 802.11i 802.1X key management suite, enabling dot1x Authentication
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state START (0)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state AUTHCHECK (2)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 apfPemAddUser2:session timeout forstation 08:74:02:77:13:45 - Session Tout 0, apfMsTimeOut '0' and sessionTimerRunning flag is 0
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Stopping deletion of Mobile Station: (callerId: 48)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Func: apfPemAddUser2, Ms Timeout = 0, Session Timeout = 0
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending assoc-resp with status 0 station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 on apVapId 3
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending Assoc Response to station on BSSID 38:ed:18:c6:7b:4d (status 0) ApVapId 3 Slot 1
*spamApTask0: Nov 25 16:36:24.341: 08:74:02:77:13:45 Sent dot1x auth initiate message for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 reauth_sm state transition 0 ---> 1 for mobile 08:74:02:77:13:45 at 1x_reauth_sm.c:47
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 EAP-PARAM Debug - eap-params for Wlan-Id :3 is disabled - applying Global eap timers and retries
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Disable re-auth, use PMK lifetime.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Connecting state
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Sending EAP-Request/Identity to mobile 08:74:02:77:13:45 (EAP Id 1)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received EAPOL EAPPKT from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received Identity Response (count=1) from mobile 08:74:02:77:13:45
.
.
.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Processing Access-Accept for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Username entry (user1) created in mscb for mobile, length = 253
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Creating a PKC PMKID Cache entry for station 08:74:02:77:13:45 (RSN 2)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding BSSID 38:ed:18:c6:7b:4d to PMKID cache at index 0 for station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: New PMKID: (16)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding Audit session ID payload in Mobility handoff
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 0 PMK-update groupcast messages sent
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 PMK sent to mobility group
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Disabling re-auth since PMK lifetime can take care of same.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Sending EAP-Success to mobile 08:74:02:77:13:45 (EAP Id 70)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Freeing AAACB from Dot1xCB as AAA auth is done for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: Including PMKID in M1 (16)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: M1 - Key Data: (22)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] dd 14 00 0f ac 04 80 3a 20 8c 8f c2 4c 18 7d 4c
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0016] 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Starting key exchange to mobile 08:74:02:77:13:45, data packets will be dropped
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Entering Backend Auth Success state (id=70) for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Received Auth Success while in Authenticating state for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Authenticated state
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-Key from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-key in PTK_START state (message 2) from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Successfully computed PTK from PMK!!!
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received valid MIC in EAPOL Key Message M2!!!!!
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 30 14 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 0...............
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: 00 0f ac 01 0c 00 ......
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 00 0f ................
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: ac 01 0c 00 ....
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 PMK: Sending cache add
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Mobility query, PEM State: L2AUTHCOMPLETE
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Mobile Announce :
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Client Payload:
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Ip: 0.0.0.0
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vlan Ip: 172.16.0.136, Vlan mask : 255.255.255.224
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vap Security: 16384
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Virtual Ip: 192.0.2.1
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 ssid: ise-ssid
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building VlanIpPayload.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Not Using WMM Compliance code qosCap 00
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3 flex-acl-name:
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state L2AUTHCOMPLETE (4)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6623, Adding TMP rule
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule
type = Airespace AP - Learn IP address
on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
IPv4 ACL ID = 255, IPv
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) mobility role update request from Unassociated to Local
Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 172.16.0.136
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=Local, client state=APF_MS_STATE_ASSOCIATED
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6261, Adding TMP rule
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Replacing Fast Path rule
type = Airespace AP - Learn IP address
on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
IPv4 ACL ID = 255,
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 In apfRegisterIpAddrOnMscb_debug: regType=1 Invalid src IP address, 0.0.0.0 is part of reserved ip address range (caller apf_ms.c:3593)
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
*apfReceiveTask: Nov 25 16:36:27.840: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
*apfReceiveTask: Nov 25 16:36:27.841: 08:74:02:77:13:45 172.16.0.16 DHCP_REQD (7) Change state to RUN (20) last state DHCP_REQD (7)
Voor een eenvoudige manier om te lezen debug client-uitgangen, gebruik de Wireless debug analyzer tool:
Navigeer naar Operations > RADIUS > Live Logs om te zien welk verificatiebeleid, autorisatiebeleid en autorisatieprofiel aan de gebruiker is toegewezen.
Klik voor meer informatie op Details om een meer gedetailleerd verificatieproces te zien.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
05-Apr-2017 |
Eerste vrijgave |