802.1x WLAN + VLAN-override met Mobility Express (ME) 8.2 en ISE 2.1

Downloadopties

  • PDF     (1.4 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.2 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.1 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 augustus 2017
Document-id:210532

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een WLAN (Wireless Local Area Network) met Wi-Fi Protected Access 2 (WPA2) Enterprise-beveiliging kunt instellen met een Mobility Express-controller en een externe Remote Verification Dial-In User Service (RADIUS)-server. Identity Service Engine (ISE) wordt gebruikt als voorbeeld van externe RADIUS-servers.

    Het EAP (Extensible Verification Protocol) dat in deze handleiding wordt gebruikt, is het Protected Extensible Verification Protocol (PEAP). Daarnaast wordt de client toegewezen aan een specifiek VLAN (anders dan de client die aan het WLAN is toegewezen, geen standaard).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • 802.1x
    • PEAP
    • Certificeringsinstantie (CA)
    • Certificaten

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    ME v8.2

    ISE v2.1

    Windows 10-laptop

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Configureren

    Netwerkdiagram

    alt-tag-for-image

    Configuraties

    De algemene stappen zijn:

    1. Maak de Service Set Identifier (SSID) in het ME en declareer RADIUS-server (ISE in dit voorbeeld) op ME
    2. Verklaar ME op de server van de RADIUS (ISE)
    3. De verificatieregel op ISE maken
    4. De autorisatieregel op ISE maken
    5. Het eindpunt configureren

    Configuratie op ME

    Om communicatie tussen RADIUS-server en ME mogelijk te maken, is het nodig om RADIUS-server op ME te registreren en omgekeerd. Deze stap toont hoe u RADIUS-server op ME registreert.

    Stap 1. Open de GUI van de ME en navigeer naar Draadloze instellingen > WLAN’s > Nieuw WLAN toevoegen.

    alt-tag-for-image

    Stap 2. Selecteer een naam voor het WLAN.

    alt-tag-for-image

    Stap 3. Specificeer beveiligingsconfiguratie onder WLAN security tabblad.

    Kies WPA2 Enterprise, kies voor de verificatieserver Externe RADIUS. Klik op de bewerkingsoptie om het IP-adres van de RADIUS toe te voegen en een gedeelde geheime sleutel te kiezen.

    alt-tag-for-image    alt-tag-for-image

     <a.b.c.d> komt overeen met de RADIUS-server.

    Stap 4. Wijs een VLAN toe aan de SSID.

    Als de SSID moet worden toegewezen aan VLAN van het toegangspunt, kan deze stap worden overgeslagen. 

    Als u de gebruikers van deze SSID wilt toewijzen aan een specifiek VLAN (anders dan VLAN van AP), schakelt u VLAN-tagging in en wijst u de gewenste VLAN-id toe.

    alt-tag-for-image

    Opmerking: als VLAN-tagging wordt gebruikt, dient u ervoor te zorgen dat de switchpoort waarop het access point is aangesloten, als trunkpoort is geconfigureerd en dat het AP VLAN als native is geconfigureerd.

    Stap 5. Klik op Toepassen om de configuratie te voltooien.

    alt-tag-for-image

    Stap 6. Optioneel: configureer het WLAN om de VLAN-overschrijving te accepteren.

    Schakel AAA-opheffing in op het WLAN en voeg de benodigde VLAN’s toe. Hiervoor moet u een CLI-sessie openen naar de ME-beheerinterface en deze opdrachten geven:

    >config wlan disable <wlan-id>
>config wlan aaa-override enable <wlan-id>
>config wlan enable <wlan-id>
    >config flexconnect group default-flexgroup vlan add <vlan-id>

    Leg ME uit op ISE

    Stap 1. Open de ISE-console en navigeer naar Beheer > Netwerkbronnen > Netwerkapparaten > Toevoegen.

    alt-tag-for-image

    Stap 2. Voer de informatie in.

    Optioneel kan het worden gespecificeerd een Modelnaam, softwareversie, beschrijving en toewijzen Network Device groepen op basis van apparaattypen, locatie of WLC's.

    a.b.c.d komt overeen met het IP-adres van de ME.

    alt-tag-for-image

    Raadpleeg voor meer informatie over netwerkapparaatgroepen deze link:

    ISE - Apparaatgroepen voor netwerk

    Een nieuwe gebruiker op ISE maken

    Stap 1. Naar navigeren Beheer > Identiteitsbeheer > Identiteiten > Gebruikers > Toevoegen.

    alt-tag-for-image

    Stap 2. Voer de informatie in.

    In dit voorbeeld behoort deze gebruiker tot de groep ALL_ACCOUNTANTS, maar hij kan naar behoefte worden aangepast.

    alt-tag-for-image

    De verificatieregel maken

    Verificatieregels worden gebruikt om te verifiëren of de referenties van de gebruikers juist zijn (verifiëren of de gebruiker echt is wie het zegt dat het is) en om de verificatiemethoden te beperken die door hem mogen worden gebruikt.

    Stap 1. Navigeer naar Beleid > Verificatie.

    alt-tag-for-image

    Stap 2. Voeg een nieuwe verificatieregel in.

    Ga hiervoor naar Beleid > Verificatie > Nieuwe rij invoegen boven/onder.

    alt-tag-for-image

    Stap 3. Voer de gewenste informatie in

    Dit voorbeeld van verificatieregel staat alle protocollen toe die in de lijst Default Network Access worden vermeld, dit is van toepassing op het verificatieverzoek voor draadloze 802.1x-clients en met Call-Station-ID en eindigt met ISE-side.

    alt-tag-for-image

    Kies ook de Identiteitsbron voor de clients die aan deze verificatieregel voldoen, in dit voorbeeld wordt het gebruikt Interne gebruikers

    alt-tag-for-image

    Klik na voltooiing op Gereed en Opslaan

    alt-tag-for-image

    Zie voor meer informatie over Beleid inzake Toegestane protocollen deze link:

    Toegestane protocolservice

    Zie voor meer informatie over Identiteitsbronnen deze link:

    Een gebruikersgroep maken

    De autorisatieregel maken

    De autorisatieregel is de regel die bepaalt of de klant al dan niet tot het netwerk mag toetreden

    Stap 1. Ga naar Beleid > Autorisatie.

    alt-tag-for-image

    Stap 2. Voeg een nieuwe regel in. Navigeer naar Beleid > autorisatie > Nieuwe regel invoegen boven/onder.

    alt-tag-for-image

    Stap 3. Voer de informatie in.

    Kies eerst een naam voor de regel en de identiteitsgroepen waarin de gebruiker is opgeslagen. In dit voorbeeld wordt de gebruiker opgeslagen in de groep ALL_ACCOUNTANTS.

    alt-tag-for-image

    Kies vervolgens andere voorwaarden die het vergunningsproces onder deze regel laten vallen. In dit voorbeeld raakt het autorisatieproces deze regel als het 802.1x Wireless gebruikt en het wordt station ID-einden genoemd met ise-side.

    alt-tag-for-image

    Kies tot slot het autorisatieprofiel waarmee de clients zich bij het netwerk kunnen aanmelden, klik op Gereed en Opslaan.

    alt-tag-for-image

    U kunt desgewenst een nieuw autorisatieprofiel maken om de draadloze client toe te wijzen aan een ander VLAN:

    alt-tag-for-image

    Voer de informatie in:

    alt-tag-for-image

    Configuratie van het eindapparaat

    Configureer een Windows 10-laptop om verbinding te maken met een SSID met 802.1x-verificatie met behulp van PEAP/MS-CHAPv2 (Microsoft-versie van de Challenge-Handshake Authenticatieprotocol versie 2).

    In dit configuratievoorbeeld gebruikt ISE zijn zelfondertekende certificaat om de verificatie uit te voeren.

    U kunt als volgt het WLAN-profiel op de Windows-machine maken:

    1. Installeer het zelfondertekende certificaat op de machine om ISE-server te valideren en te vertrouwen om de verificatie te voltooien
    2. Maakt de validatie van de RADIUS-server uit en vertrouwt op elke RADIUS-server die wordt gebruikt om de verificatie uit te voeren (niet aanbevolen, omdat dit een beveiligingsprobleem kan worden)

     De configuratie van deze opties wordt beschreven in de configuratie van het eindapparaat - Het WLAN-profiel maken - Stap 7.

    Configuratie van eindapparaat - Installeer ISE-zelfondertekend certificaat

    Stap 1. Exporteer zelfondertekend certificaat van ISE.

    Log in op ISE en navigeer naar Beheer > Systeem > Certificaten > Systeemcertificaten.

    Selecteer vervolgens het certificaat dat wordt gebruikt voor EAP-verificatie en klik op Exporteren.

    alt-tag-for-image

    Sla het certificaat op de gewenste locatie op. Dit certificaat is geïnstalleerd op de Windows-machine.

    alt-tag-for-image

    Stap 2. Installeer het certificaat op de Windows-machine.

    Kopieer het certificaat dat u eerder hebt geëxporteerd naar de Windows-machine, wijzig de extensie van het bestand van .pem naar .crt, nadat u erop hebt dubbelgeklikt en selecteer Certificaat installeren....

    alt-tag-for-image

    Kies om het te installeren in lokale machine, klik vervolgens op Volgende.

    alt-tag-for-image

    Selecteer Alle certificaten in de volgende winkel plaatsen, en kies vervolgens Trusted Root Certification Authorities. Klik vervolgens op Next (Volgende).

    alt-tag-for-image

    Klik vervolgens op Voltooien.

    alt-tag-for-image

    Klik aan het eind op Ja om de installatie van het certificaat te bevestigen.

    alt-tag-for-image

    Klik tot slot op OK.

    alt-tag-for-image

    Configuratie van eindapparaat - Maak het WLAN-profiel aan

    Stap 1. Klik met de rechtermuisknop op het pictogram Start en selecteer Configuratiescherm.

    alt-tag-for-image

    Stap 2. Navigeer naar Netwerk en Internet en vervolgens naar Netwerkcentrum en klik op Een nieuwe verbinding of netwerk instellen.

    alt-tag-for-image

    Stap 3. Selecteer Handmatig verbinding maken met een draadloos netwerk en klik op Volgende.

    alt-tag-for-image

    Stap 4. Voer de informatie in met de naam van de SSID en het beveiligingstype WPA2-Enterprise en klik op Volgende.

    alt-tag-for-image

    Stap 5. Selecteer Verbindingsinstellingen wijzigen om de configuratie van het WLAN-profiel aan te passen.

    alt-tag-for-image

    Stap 6. Navigeer naar het tabblad Beveiliging en klik op Instellingen.

    alt-tag-for-image

    Stap 7. Kies of RADIUS-server gevalideerd is of niet.

    Indien ja, controleer de identiteit van de server door het certificaat te valideren en van Trusted Root Certification Authorities: list selecteer het zelfondertekende certificaat van ISE.

    Hierna selecteert u Configureren en uitschakelen Automatisch mijn Windows-aanmeldingsnaam en wachtwoord gebruiken... en klikt u op OK

    alt-tag-for-image

    alt-tag-for-image

    Stap 8. De gebruikersreferenties configureren

    Eenmaal terug naar het tabblad Beveiliging, selecteert u Geavanceerde instellingen, specificeert u de verificatiemodus als gebruikersverificatie en slaat u de referenties op die op ISE waren ingesteld om de gebruiker te verifiëren. 

    alt-tag-for-image

    alt-tag-for-image

    alt-tag-for-image

    Verifiëren

    De verificatiestroom kan worden geverifieerd vanuit WLC of ISE-perspectief.

    Verificatieproces op ME

    Voer deze opdracht uit om het verificatieproces voor een specifieke gebruiker te bewaken:

      

    > debug client <mac-add-client>

    Voorbeeld van een succesvolle verificatie (een of andere uitvoer is weggelaten):

      

    *apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Processing assoc-req station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 thread:669ba80
    *apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Association received from mobile on BSSID 38:ed:18:c6:7b:4d AP 1852-4
    *apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying site-specific Local Bridging override for station 08:74:02:77:13:45 - vapId 3, site 'FlexGroup', interface 'management'
    *apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying Local Bridging Interface Policy for station 08:74:02:77:13:45 - vlan 0, interface id 0, interface 'management'
    *apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Set Clinet Non AP specific apfMsAccessVlan = 2400
    *apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 This apfMsAccessVlan may be changed later from AAA after L2 Auth
    *apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Received 802.11i 802.1X key management suite, enabling dot1x Authentication
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state START (0)
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state AUTHCHECK (2)
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 apfPemAddUser2:session timeout forstation 08:74:02:77:13:45 - Session Tout 0, apfMsTimeOut '0' and sessionTimerRunning flag is 0
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Stopping deletion of Mobile Station: (callerId: 48)
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Func: apfPemAddUser2, Ms Timeout = 0, Session Timeout = 0
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending assoc-resp with status 0 station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 on apVapId 3
    *apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending Assoc Response to station on BSSID 38:ed:18:c6:7b:4d (status 0) ApVapId 3 Slot 1
    *spamApTask0: Nov 25 16:36:24.341: 08:74:02:77:13:45 Sent dot1x auth initiate message for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 reauth_sm state transition 0 ---> 1 for mobile 08:74:02:77:13:45 at 1x_reauth_sm.c:47
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 EAP-PARAM Debug - eap-params for Wlan-Id :3 is disabled - applying Global eap timers and retries
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Disable re-auth, use PMK lifetime.
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Connecting state
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Sending EAP-Request/Identity to mobile 08:74:02:77:13:45 (EAP Id 1)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received EAPOL EAPPKT from mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received Identity Response (count=1) from mobile 08:74:02:77:13:45
    .
    .
    .
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Processing Access-Accept for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Username entry (user1) created in mscb for mobile, length = 253
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Creating a PKC PMKID Cache entry for station 08:74:02:77:13:45 (RSN 2)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding BSSID 38:ed:18:c6:7b:4d to PMKID cache at index 0 for station 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: New PMKID: (16)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding Audit session ID payload in Mobility handoff
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 0 PMK-update groupcast messages sent
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 PMK sent to mobility group
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Disabling re-auth since PMK lifetime can take care of same.
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Sending EAP-Success to mobile 08:74:02:77:13:45 (EAP Id 70)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Freeing AAACB from Dot1xCB as AAA auth is done for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: Including PMKID in M1 (16)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: M1 - Key Data: (22)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] dd 14 00 0f ac 04 80 3a 20 8c 8f c2 4c 18 7d 4c
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0016] 28 e7 7f 10 11 03
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Starting key exchange to mobile 08:74:02:77:13:45, data packets will be dropped
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
     state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Entering Backend Auth Success state (id=70) for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Received Auth Success while in Authenticating state for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Authenticated state
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-Key from mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-key in PTK_START state (message 2) from mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Successfully computed PTK from PMK!!!
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received valid MIC in EAPOL Key Message M2!!!!!
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 30 14 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 0...............
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: 00 0f ac 01 0c 00 ......
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 00 0f ................
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: ac 01 0c 00 ....
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 PMK: Sending cache add
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
     state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Mobility query, PEM State: L2AUTHCOMPLETE
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Mobile Announce :
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Client Payload:
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Ip: 0.0.0.0
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vlan Ip: 172.16.0.136, Vlan mask : 255.255.255.224
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vap Security: 16384
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Virtual Ip: 192.0.2.1
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 ssid: ise-ssid
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building VlanIpPayload.
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Not Using WMM Compliance code qosCap 00
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3 flex-acl-name:
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state L2AUTHCOMPLETE (4)
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6623, Adding TMP rule
    *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule
     type = Airespace AP - Learn IP address
     on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
     IPv4 ACL ID = 255, IPv
    *apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) mobility role update request from Unassociated to Local
     Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 172.16.0.136
    *apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=Local, client state=APF_MS_STATE_ASSOCIATED
    *apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6261, Adding TMP rule
    *apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Replacing Fast Path rule
     type = Airespace AP - Learn IP address
     on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
     IPv4 ACL ID = 255,
    *apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
    *pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
    *pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
    *apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
    *apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
    *apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 In apfRegisterIpAddrOnMscb_debug: regType=1 Invalid src IP address, 0.0.0.0 is part of reserved ip address range (caller apf_ms.c:3593)
    *apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
    *apfReceiveTask: Nov 25 16:36:27.840: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
    *apfReceiveTask: Nov 25 16:36:27.841: 08:74:02:77:13:45 172.16.0.16 DHCP_REQD (7) Change state to RUN (20) last state DHCP_REQD (7)

    Voor een eenvoudige manier om te lezen debug client-uitgangen, gebruik de Wireless debug analyzer tool:

    Wireless Debug Analyzer

    Verificatieproces op ISE

    Navigeer naar Operations > RADIUS > Live Logs om te zien welk verificatiebeleid, autorisatiebeleid en autorisatieprofiel aan de gebruiker is toegewezen.

    alt-tag-for-image

     Klik voor meer informatie op Details om een meer gedetailleerd verificatieproces te zien.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    05-Apr-2017
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Karla Cisneros Galvan
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten