invalidación de la red inalámbrica (WLAN) + del VLA …...invalidación de la red inalámbrica...
36
invalidación de la red inalámbrica (WLAN) + del VLA N del 802.1x con la movilidad (YO) 8.2 expresos y 2.1 ISE Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Configurar Diagrama de la red Configuraciones Configuración en MÍ Decláreme en el ISE Cree a un usuario nuevo en el ISE Cree la regla de la autenticación Cree la regla de la autorización Configuración del dispositivo extremo Verificación Proceso de autenticación en MÍ Proceso de autenticación en el ISE Introducción Esto documenta describe cómo configurar una red inalámbrica (WLAN) (Wireless Local Area Network) con la Seguridad protegida Wi-Fi de la empresa del acceso 2 (WPA2) con un regulador expreso de la movilidad y un servidor externo del Remote Authentication Dial-In User Service (RADIUS). El motor del servicio de la identidad (ISE) se utiliza como ejemplo de los servidores RADIUS externos. El Protocolo de Autenticación Extensible (EAP) usado en esta guía es el protocolo extensible authentication protegido (PEAP). Además de eso asignan el cliente a un VLA N específico (con excepción del que está asignado al valor por defecto ny de la red inalámbrica (WLAN)). Prerrequisitos Requisitos Cisco recomienda que tenga conocimiento sobre estos temas: 802.1x ● PEAP ● Certification Authority (CA) ●
Transcript of invalidación de la red inalámbrica (WLAN) + del VLA …...invalidación de la red inalámbrica...
invalidación de la red inalámbrica (WLAN) + delVLA N del 802.1x con la movilidad (YO) 8.2expresos y 2.1 ISE Contenido
IntroducciónprerrequisitosRequisitosComponentes UtilizadosConfigurarDiagrama de la redConfiguracionesConfiguración en MÍDecláreme en el ISECree a un usuario nuevo en el ISECree la regla de la autenticaciónCree la regla de la autorizaciónConfiguración del dispositivo extremoVerificaciónProceso de autenticación en MÍProceso de autenticación en el ISE
Introducción
Esto documenta describe cómo configurar una red inalámbrica (WLAN) (Wireless Local AreaNetwork) con la Seguridad protegida Wi-Fi de la empresa del acceso 2 (WPA2) con un reguladorexpreso de la movilidad y un servidor externo del Remote Authentication Dial-In User Service(RADIUS). El motor del servicio de la identidad (ISE) se utiliza como ejemplo de los servidoresRADIUS externos.
El Protocolo de Autenticación Extensible (EAP) usado en esta guía es el protocolo extensibleauthentication protegido (PEAP). Además de eso asignan el cliente a un VLA N específico (conexcepción del que está asignado al valor por defecto ny de la red inalámbrica (WLAN)).
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
802.1x●
PEAP●
Certification Authority (CA)●
Certificados●
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software yhardware.
YO v8.2
ISE v2.1
Laptop de Windows 10
La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Configurar
Diagrama de la red
Configuraciones
Los pasos generales son:
Cree el Service Set Identifier (SSID) en YO y declare al servidor de RADIUS (ISE en esteejemplo) en MÍ
1.
Decláreme en el servidor de RADIUS (el ISE)2.Cree la regla de la autenticación en el ISE3.Cree la regla de la autorización en el ISE4.Configure el punto final5.
Configuración en MÍ
Para permitir la comunicación entre el servidor de RADIUS y MÍ es necesaria registrar al servidorde RADIUS en MÍ y vice versa. Este paso muestra cómo registrar al servidor de RADIUS en MÍ.
Paso 1. Abra el GUI del YO y navegue a la nueva red inalámbrica (WLAN) inalámbrica de las
configuraciones > WLAN > Add.
Paso 2. Seleccione un nombre para la red inalámbrica (WLAN).
Paso 3. Especifique la Configuración de seguridad bajo lengueta de la Seguridad de WLAN.
Elija la empresa WPA2, porque el servidor de autenticación elige el externo RADIUS. Haga clic laopción del editar para agregar el IP Address RADIUS y para escoger una clave secretacompartida.
<a.b.c.d> corresponde al servidor de RADIUS.
Paso 4. Asigne un VLA N al SSID.
Si el SSID necesita ser asignado al VLA N AP este paso puede ser saltado.
Para asignar a los usuarios para este SSID a un VLA N específico (con excepción del VLA N AP),al VLA N del uso del permiso que marca con etiqueta y asignar el VLAN ID deseado.
Nota: Si se utiliza el marcar con etiqueta del VLA N, esté seguro que el switchport condonde el Punto de acceso está conectado, está configurado mientras que el puerto troncal yel VLA N AP se configura como natural.
Paso 5. El tecleo se aplica para acabar la configuración.
Paso 6. Opcional, configure la red inalámbrica (WLAN) para validar la invalidación del VLA N.
Habilite la invalidación AAA en la red inalámbrica (WLAN) y agregue los VLA N necesarios. Parahacerle tan nee abrirá a una sesión CLI en YO interfaz de administración y publicará estoscomandos:
>config wlan disable <wlan-id>
>config wlan aaa-override enable <wlan-id>
>config wlan enable <wlan-id>
>config flexconnect group default-flexgroup vlan add <vlan-id>
Decláreme en el ISE
Paso 1. Abra la consola ISE y navegue a la administración > a los recursos de red > a losdispositivos de red > Add.
Paso 2. Ingrese la información.
Puede ser especificada un nombre modelo, versión de software, descripción y asignaropcionalmente a los grupos de dispositivos de red basados en los tipos de dispositivo, laubicación o el WLCs.
el a.b.c.d corresponde a la dirección IP ME.
Para más información sobre los grupos de dispositivos de red revise este link:
ISE - Grupos de dispositivos de red
Cree a un usuario nuevo en el ISE
Paso 1. Navegue a la administración > a la Administración de la identidad > a las identidades >Users > Add.
Paso 2. Ingrese la información.
En este ejemplo este usuario pertenece a un grupo llamado ALL_ACCOUNTS pero puede serajustado según las necesidades.
Cree la regla de la autenticación
Las reglas de la autenticación se utilizan para verificar si las credenciales de los usuarios correcto(verifique si el usuario es realmente quién lo dice es) y limitar los métodos de autentificación que
se permiten ser utilizados por él.
Paso 1. Navegue a la directiva > a la autenticación.
Paso 2. Inserte una nueva regla de la autenticación.
Para hacer navegue tan nuevo sobre/abajo a la fila de la directiva > de la autenticación > delseparador de millares.
Paso 3. Ingrese la información requerida
Este ejemplo de la regla de la autenticación permite todos los protocolos enumerados conforme ala lista de acceso de la red predeterminada, éste se aplica al pedido de autenticación para losclientes inalámbricos del 802.1x y con el Llamar-Estación-ID y los extremos con ISE-SSID.
También, elija la fuente de la identidad para los clientes que hace juego esta regla de laautenticación, en este ejemplo que es usuarios internos usados
Una vez que es tecleo acabado hecho y salvaguardia
Para más información sobre permita los protocolos que las directivas consultan este link:
Servicio permitido de los protocolos
Para más información sobre la identidad las fuentes consultan este link:
Cree un grupo de la Identificación del usuario
Cree la regla de la autorización
La regla de la autorización es la que está responsable determinar si se permite al cliente unirse ala red o no
Paso 1. Navegue a la directiva > a la autorización.
Paso 2. Inserte una nueva regla. Navegue a la directiva > a la autorización > a nuevo sobre/abajode la regla del separador de millares.
Paso 3. Ingrese la información.
Primero elija un nombre para la regla y los grupos de la identidad donde salvan al usuario. Eneste ejemplo salvan al usuario en el grupo ALL_ACCOUNTS.
Eso elige después otras condiciones que hagan el proceso de la autorización para bajar en estaregla. En este ejemplo el proceso de la autorización golpea esta regla si utiliza la Tecnologíainalámbrica del 802.1x y es estación que recibe la llamada extremos ID con ISE-SSID.
Finalmente elija el perfil de la autorización que permite que los clientes se unan a la red, parahacer clic hecho y salvaguardia.
Opcionalmente, cree un nuevo perfil de la autorización que asigne al cliente de red inalámbrica aun diverso VLA N:
Ingrese la información:
Configuración del dispositivo extremo
Configure una laptop de Windows 10 para conectar con un SSID con la autenticación del 802.1xusando PEAP/MS-CHAPv2 (versión de Microsoft de la versión del protocolo challenge-handshakeauthentication 2).
En este ejemplo de configuración el ISE utiliza su certificado autofirmado para realizar laautenticación.
Para crear el perfil de la red inalámbrica (WLAN) en la máquina de las ventanas allí sea dosopciones:
Instale el certificado autofirmado en la máquina para validar y para confiar en el servidor ISEpara completar la autenticación
1.
Desvíe la validación del servidor de RADIUS y confíe en a cualquier servidor de RADIUSusado para realizar la autenticación (no recomendada, como puede convertirse en unproblema de seguridad)
2.
La configuración para estas opciones se explica en la configuración de dispositivo extremo - creeel perfil de la red inalámbrica (WLAN) - el paso 7.
Configuración de dispositivo extremo - Instale el certificado autofirmado ISE
Paso 1. Certificado autofirmado de la exportación del ISE.
Inicie sesión al ISE y navegue a la administración > al sistema > a los Certificados > a losCertificados del sistema.
Después seleccione el certificado usado para la autenticación EAP y haga clic la exportación.
Salve el certificado en la ubicación necesaria. Este certificado está instalado en la máquina deWindows.
Paso 2. Instale el certificado en la máquina de Windows.
Copie el certificado exportado antes en la máquina de Windows, cambie la extensión del archivodel .pem a .crt, después que doblen lo hagan clic en y selecto instale el certificado….
Elija instalarlo en la máquina local, después haga clic después.
Seleccione el lugar todos los Certificados en el almacén siguiente, después hojee y elija losTrusted Root Certification Authority. Después ese tecleo siguiente.
Entonces clic en Finalizar.
En el tecleo del final sí para confirmar la instalación del certificado.
Finalmente AUTORIZACIÓN del tecleo.
Configuración de dispositivo extremo - Cree el perfil de la red inalámbrica (WLAN)
Paso 1. Click derecho en el icono del comienzo y el panel de control selecto.
Paso 2. Navegue a la red y al Internet y entonces a la red y centro de la distribución y haga clic enconfigura una nueva conexión o una red.
Paso 3. Seleccione conectan manualmente con una red inalámbrica y hacen clic después.
Paso 4. Ingrese la información con el nombre del tipo WPA2-Enterprise SSID y de la Seguridad yhaga clic después.
Paso 5. Seleccione las configuraciones de la conexión del cambio para personalizar laconfiguración del perfil de la red inalámbrica (WLAN).
Paso 6. Navegue a la ficha de seguridad y haga clic las configuraciones.
Paso 7. Elija si validan al servidor de RADIUS o no.
Si sí, el permiso verifica la identidad del servidor validando el certificado y de los Trusted RootCertification Authority: la lista selecciona el certificado autofirmado de ISE.
Después esa configuración y neutralización selectas utilizan automáticamente mi nombre de inicioy contraseña de Windows…, después hacen clic la AUTORIZACIÓN
Paso 8. Configure los credenciales de usuario
Una vez de nuevo a la ficha de seguridad, seleccione las configuraciones avanzadas, especifiqueal modo de autenticación como autenticación de usuario y salve las credenciales que fueronconfiguradas en el ISE para autenticar al usuario.
Verificación
El flujo de la autenticación se puede verificar del WLC o de la perspectiva ISE.
Proceso de autenticación en MÍ
Funcione con este comando de monitorear el proceso de autenticación para un usuarioespecífico:
> debug client <mac-add-client>
Ejemplo de una autenticación satisfactoria (se ha omitido una cierta salida):
*apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Processing assoc-req
station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 thread:669ba80
*apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Association received from mobile on
BSSID 38:ed:18:c6:7b:4d AP 1852-4
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying site-specific Local Bridging
override for station 08:74:02:77:13:45 - vapId 3, site 'FlexGroup', interface 'management'
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying Local Bridging Interface
Policy for station 08:74:02:77:13:45 - vlan 0, interface id 0, interface 'management'
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Set Clinet Non AP specific
apfMsAccessVlan = 2400
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 This apfMsAccessVlan may be changed
later from AAA after L2 Auth
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Received 802.11i 802.1X key management
suite, enabling dot1x Authentication
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 START (0) Change state to
AUTHCHECK (2) last state START (0)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 AUTHCHECK (2) Change state to
8021X_REQD (3) last state AUTHCHECK (2)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) DHCP required on
AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 apfPemAddUser2:session timeout
forstation 08:74:02:77:13:45 - Session Tout 0, apfMsTimeOut '0' and sessionTimerRunning flag is
0
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Stopping deletion of Mobile Station:
(callerId: 48)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Func: apfPemAddUser2, Ms Timeout = 0,
Session Timeout = 0
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending assoc-resp with status 0
station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 on apVapId 3
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending Assoc Response to station on
BSSID 38:ed:18:c6:7b:4d (status 0) ApVapId 3 Slot 1
*spamApTask0: Nov 25 16:36:24.341: 08:74:02:77:13:45 Sent dot1x auth initiate message for mobile
08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 reauth_sm state transition 0 ---> 1
for mobile 08:74:02:77:13:45 at 1x_reauth_sm.c:47
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 EAP-PARAM Debug - eap-params for
Wlan-Id :3 is disabled - applying Global eap timers and retries
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Disable re-auth, use PMK lifetime.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting
dot1x reauth timeout = 1800
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 dot1x - moving mobile
08:74:02:77:13:45 into Connecting state
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Sending EAP-Request/Identity to
mobile 08:74:02:77:13:45 (EAP Id 1)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received EAPOL EAPPKT from mobile
08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received Identity Response (count=1)
from mobile 08:74:02:77:13:45
.
.
.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Processing Access-Accept for mobile
08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Username entry (user1) created in
mscb for mobile, length = 253
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting
dot1x reauth timeout = 1800
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Creating a PKC PMKID Cache entry for
station 08:74:02:77:13:45 (RSN 2)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding BSSID 38:ed:18:c6:7b:4d to
PMKID cache at index 0 for station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: New PMKID: (16)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding Audit session ID payload in
Mobility handoff
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 0 PMK-update groupcast messages sent
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 PMK sent to mobility group
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Disabling re-auth since PMK lifetime
can take care of same.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Sending EAP-Success to mobile
08:74:02:77:13:45 (EAP Id 70)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Freeing AAACB from Dot1xCB as AAA
auth is done for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID
38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID
38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: Including PMKID in M1 (16)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: M1 - Key Data: (22)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] dd 14 00 0f ac 04 80 3a 20 8c 8f c2 4c 18 7d 4c
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0016] 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Starting key exchange to mobile
08:74:02:77:13:45, data packets will be dropped
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile
08:74:02:77:13:45
state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt
for retransmission to mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Entering Backend Auth Success state
(id=70) for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Received Auth Success while in
Authenticating state for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 dot1x - moving mobile
08:74:02:77:13:45 into Authenticated state
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-Key from mobile
08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-key in PTK_START
state (message 2) from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Successfully computed PTK from
PMK!!!
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received valid MIC in EAPOL Key
Message M2!!!!!
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 30 14 01 00 00 0f ac 04 01 00 00 0f ac 04 01
00 0...............
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: 00 0f ac 01 0c 00 ......
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 00
0f ................
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: ac 01 0c 00 ....
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 PMK: Sending cache add
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Stopping retransmission timer for
mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile
08:74:02:77:13:45
state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt
for retransmission to mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Received EAPOL-key in
PTKINITNEGOTIATING state (message 4) from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Stopping retransmission timer for
mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) Change state
to L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Mobility query, PEM State:
L2AUTHCOMPLETE
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Mobile Announce :
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Client Payload:
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Ip: 0.0.0.0
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vlan Ip: 172.16.0.136, Vlan
mask : 255.255.255.224
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vap Security: 16384
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Virtual Ip: 192.0.2.1
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 ssid: ise-ssid
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building VlanIpPayload.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) DHCP
required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Not Using WMM Compliance code qosCap
00
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed
mobile LWAPP rule on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3 flex-acl-name:
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Change
state to DHCP_REQD (7) last state L2AUTHCOMPLETE (4)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7)
pemAdvanceState2 6623, Adding TMP rule
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Adding Fast
Path rule
type = Airespace AP - Learn IP address
on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
IPv4 ACL ID = 255, IPv
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) mobility role
update request from Unassociated to Local
Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 172.16.0.136
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) State Update from
Mobility-Incomplete to Mobility-Complete, mobility role=Local, client
state=APF_MS_STATE_ASSOCIATED
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2
6261, Adding TMP rule
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Replacing Fast
Path rule
type = Airespace AP - Learn IP address
on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
IPv4 ACL ID = 255,
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Successfully
plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9,
dtlFlags 0x0
*pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9,
dtlFlags 0x0
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB
ip_learn_type 1, add_or_delete 1
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 In apfRegisterIpAddrOnMscb_debug:
regType=1 Invalid src IP address, 0.0.0.0 is part of reserved ip address range (caller
apf_ms.c:3593)
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
*apfReceiveTask: Nov 25 16:36:27.840: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB
ip_learn_type 1, add_or_delete 1
*apfReceiveTask: Nov 25 16:36:27.841: 08:74:02:77:13:45 172.16.0.16 DHCP_REQD (7) Change state
to RUN (20) last state DHCP_REQD (7)
Para que una forma sencilla lea las salidas del cliente del debug, utilice la herramientainalámbrica del analizador del debug:
Analizador inalámbrico del debug
Proceso de autenticación en el ISE
Navegue a las operaciones > al RADIUS > vivo abre una sesión la orden para ver qué política deautenticación, directiva de la autorización y perfil de la autorización asignados al usuario.
Para más información haga clic en los detalles para ver un proceso de autenticación másdetallado.
