أستكشاف المشاكل الشائعة مع LWA على 9800 WLCs وإصلاحها
المحتويات
المقدمة
يصف هذا المستند المشاكل الشائعة مع العملاء المتصلين بشبكة WLAN بمصادقة ويب محلية (LWA).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة أساسية ب:
- وحدة التحكم في شبكة LAN اللاسلكية (WLC) من السلسلة 9800 من Cisco.
- الفهم العام لمصادقة الويب المحلية (LWA) وتكوينها.
المكونات المستخدمة
أسست المعلومة على هذا وثيقة على هذا برمجية وجهاز صيغة:
- 9800-CL WLC
- نقطة وصول Cisco 9120AXI
- 9800 WLC Cisco IOS® XE، الإصدار 17.9.3
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
LWA هو نوع من مصادقة WLAN يمكن تكوينه على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حيث يمثل العميل الطرفي الذي يحاول الاتصال، بعد تحديد شبكة WLAN من القائمة، بوابة للمستخدم. في هذه البوابة، يمكن للمستخدم إدخال اسم مستخدم وكلمة مرور (حسب التكوين المحدد) لإنهاء الاتصال بشبكة WLAN.
راجع دليل تكوين تكوين مصادقة الويب المحلية للحصول على مزيد من المعلومات حول كيفية تكوين LWA على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800.
آثار مشعة (RA) على عنصر التحكم في الشبكة المحلية اللاسلكية 9800
الآثار المشعة هي أداة رائعة لاستكشاف المشكلات وحلها يمكن إستخدامها عند أستكشاف المشكلات المختلفة وإصلاحها فيما يتعلق بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) واتصال العملاء. من أجل تجميع آثار RA، قم بالخطوات التالية:
من واجهة المستخدم الرسومية:
- انتقل إلى أستكشاف الأخطاء وإصلاحها > التتبع المشع.
- انقر على بدء لتمكين حالة تصحيح الأخطاء الشرطي العمومية.
- طقطقت فوق + إضافة. تفتح نافذة منبثقة. أدخل عنوان MAC الخاص بالعميل. يتم قبول أي تنسيق عنوان MAC (aabb.ccdd.eef، aabb.ccdd.eeee، aa:bb:cc:dd:ee:ff، أو aa:bb:cc:dd:ee:ff). ثم انقر فوق تطبيق على الجهاز.
- جعل العميل يعيد إنتاج المشكلة 3 أو 4 مرات.
- ما إن استنسخت الإصدار، طقطقت فوق توليد.
- تم فتح نافذة منبثقة جديدة. إنشاء سجلات آخر 10 دقائق. (في هذه الحالة، ليس من الضروري تمكين السجلات الداخلية). انقر فوق تطبيق على الجهاز وانتظر معالجة الملف.
- بمجرد إنشاء الملف، انقر على أيقونة التنزيل.
تمكين تصحيح الأخطاء الشرطي
إضافة عنوان MAC للعميل
إنشاء سجلات آخر 10 دقائق
انتظر حتى يتم 
إنشاء الملف قم بتنزيل الملف
من واجهة سطر الأوامر:
WLC# debug wireless mac <mac-address> monitor-time 600
يتم إنشاء ملف جديد في ذاكرة التمهيد المؤقتة يسمى ra_trace_mac_<mac-address>_hhmss.xxx_timezone_dayWeek_month_day_year.log
WLC# more bootflash:ra_trace_MAC_<mac-address>_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
انسخ الملف إلى خادم خارجي للتحليل
WLC# copy bootflash:ra_trace_MAC_<mac-address>_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log ftp://username:password@<ftp-server-ip>/path/RATRACE_FILENAME.txt
لمزيد من المعلومات حول التتبع المشع، يرجى الرجوع إلى هذا الارتباط.
تدفق متوقع
ارجع إلى المعلومات لفهم سيناريو العمل ل LWA.
المراحل التي يمر بها العميل من منظور العميل
- نهاية العميل يرتبط بشبكة WLAN.
- يحصل العميل على عنوان IP معين.
- يتم تقديم البوابة إلى العميل النهائي.
- يقوم العميل النهائي بإدخال بيانات اعتماد تسجيل الدخول.
- تمت مصادقة العميل النهائي.
- تمكن العميل النهائي من إستعراض الإنترنت.
المراحل التي يمر بها العميل من منظور WLC
تحذير: تم تجاهل العديد من السجلات من تتبع الراديو النشط (RA) لأغراض البساطة.
نهاية العميل يرتبط بالشبكة المحلية اللاسلكية (WLAN)
MAC: aaaa.bbbb.cccc Association received. BSSID d4e8.801a.3063, WLAN LWA-SSID, Slot 0 AP d4e8.801a.3060, APD4E8.8019.608C, old BSSID d4e8.801a.306c
MAC: aaaa.bbbb.cccc Received Dot11 association request. Processing started,SSID: LWA-SSID, Policy profile: lwa-policy_profile, AP Name: APD4E8.8019.608C, Ap Mac Address: d4e8.801a.3060BSSID MACd4e8.801a.306cwlan ID: 16RSSI: -46, SNR: 35
MAC: aaaa.bbbb.cccc Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
MAC: aaaa.bbbb.cccc Dot11 ie validate ext/supp rates. Validation Passed for Supported rates radio_type 1
MAC: aaaa.bbbb.cccc WiFi direct: Dot11 validate P2P IE. P2P IE not present.
MAC: aaaa.bbbb.cccc dot11 send association response. Framing association response with resp_status_code: 0
MAC: aaaa.bbbb.cccc Dot11 Capability info byte1 1, byte2: 14
MAC: aaaa.bbbb.cccc WiFi direct: skip build Assoc Resp with P2P IE: Wifi direct policy disabled
MAC: aaaa.bbbb.cccc Clearing old call info.
MAC: aaaa.bbbb.cccc dot11 send association response. Sending assoc response of length: 161 with resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS
MAC: aaaa.bbbb.cccc Association success. AID 1, Roaming = True, WGB = False, 11r = False, 11w = False Fast roam = False
MAC: aaaa.bbbb.cccc DOT11 state transition: S_DOT11_ASSOCIATED -> S_DOT11_ASSOCIATED
مصادقة L2
MAC: aaaa.bbbb.cccc Starting L2 authentication. Bssid in state machine:d4e8.801a.3063 Bssid in request is:d4e8.801a.3063
MAC: aaaa.bbbb.cccc Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_L2_AUTH_IN_PROGRESS
MAC: aaaa.bbbb.cccc L2 Authentication initiated. method WEBAUTH, Policy VLAN 0, AAA override = 1
[aaaa.bbbb.cccc:capwap_90400002] - authc_list: forwebauth
[aaaa.bbbb.cccc:capwap_90400002] - authz_list: Not present under wlan configuration
MAC: aaaa.bbbb.cccc Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_PENDING
MAC: aaaa.bbbb.cccc IP-learn state transition: S_IPLEARN_COMPLETE -> S_IPLEARN_COMPLETE
MAC: aaaa.bbbb.cccc Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_PENDING
MAC: aaaa.bbbb.cccc L2 Authentication of station is successful., L3 Authentication : 1
يحصل العميل على عنوان IP معين
MAC: aaaa.bbbb.cccc Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
MAC: aaaa.bbbb.cccc IP-learn state transition: S_IPLEARN_COMPLETE -> S_IPLEARN_COMPLETE
MAC: aaaa.bbbb.cccc Received ip learn response. method: IPLEARN_METHOD_DHCP
مصادقة L3
MAC: aaaa.bbbb.cccc Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
MAC: aaaa.bbbb.cccc L3 Authentication initiated. LWA
MAC: aaaa.bbbb.cccc Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_PENDING
يحصل العميل على عنوان IP
RX: DHCPv4 from interface capwap_90400002 on vlan 100 Src MAC: aaaa.bbbb.cccc Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPDISCOVER, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: aaaa.bbbb.cccc
TX: DHCPv4 from interface capwap_90400002 on vlan 100 Src MAC: aaaa.bbbb.cccc Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPDISCOVER, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: aaaa.bbbb.cccc
RX: DHCPv4 from interface Gi2 on vlan 100 Src MAC: cccc.bbbb.aaaa Dst MAC: aaaa.bbbb.cccc src_ip: Y.Y.Y.Y, dst_ip: X.X.X.X, BOOTPREPLY, SISF_DHCPOFFER, giaddr: 0.0.0.0, yiaddr: X.X.X.X, CMAC: aaaa.bbbb.cccc
TX: DHCPv4 from interface Gi2 on vlan 100 Src MAC: cccc.bbbb.aaaa Dst MAC: aaaa.bbbb.cccc src_ip: Y.Y.Y.Y, dst_ip: X.X.X.X, BOOTPREPLY, SISF_DHCPOFFER, giaddr: 0.0.0.0, yiaddr: X.X.X.X, CMAC: aaaa.bbbb.cccc
RX: DHCPv4 from interface capwap_90400002 on vlan 100 Src MAC: aaaa.bbbb.cccc Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPREQUEST, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: aaaa.bbbb.cccc
TX: DHCPv4 from interface capwap_90400002 on vlan 100 Src MAC: aaaa.bbbb.cccc Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPREQUEST, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: aaaa.bbbb.cccc
RX: DHCPv4 from interface Gi2 on vlan 100 Src MAC: cccc.bbbb.aaaa Dst MAC: aaaa.bbbb.cccc src_ip: Y.Y.Y.Y, dst_ip: X.X.X.X, BOOTPREPLY, SISF_DHCPACK, giaddr: 0.0.0.0, yiaddr: X.X.X.X, CMAC: aaaa.bbbb.cccc
TX: DHCPv4 from interface Gi2 on vlan 100 Src MAC: cccc.bbbb.aaaa Dst MAC: aaaa.bbbb.cccc src_ip: Y.Y.Y.Y, dst_ip: X.X.X.X, BOOTPREPLY, SISF_DHCPACK, giaddr: 0.0.0.0, yiaddr: X.X.X.X, CMAC: aaaa.bbbb.cccc
MAC: aaaa.bbbb.cccc IP-learn state transition: S_IPLEARN_COMPLETE -> S_IPLEARN_COMPLETE
معالجة البوابة
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 HTTP GET request
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Parse GET, src [X.X.X.X] dst [Z.Z.Z.Z] url [http://connectivitycheck.gstatic.com/generate_204]
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Read complete: parse_request return 8
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Param-map used: lwa-parameter_map
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 State GET_REDIRECT -> GET_REDIRECT
[...]
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 GET rcvd when in GET_REDIRECT state
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 HTTP GET request
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Parse GET, src [X.X.X.X] dst [192.0.2.1] url [https://<virtual-ip-address>:443/login.html?redirect=http://connectivitycheck.gstatic.com/generate_204]
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Read complete: parse_request return 10
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Param-map used: lwa-parameter_map
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 State GET_REDIRECT -> LOGIN
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Sending Webauth login form, len 8076
[...]
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 POST rcvd when in LOGIN state
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 get url: /login.html
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Read complete: parse_request return 4
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Param-map used: lwa-parameter_map
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 State LOGIN -> AUTHENTICATING
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 45876/176 IO state READING -> AUTHENTICATING
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Param-map used: lwa-parameter_map
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 State AUTHENTICATING -> AUTHC_SUCCESS
معلومات عمليات WLC التي سيتم تطبيقها على عميل نهاية التوصيل
[aaaa.bbbb.cccc:capwap_90400002] Authc success from WebAuth, Auth event success
[aaaa.bbbb.cccc:capwap_90400002] Raised event APPLY_USER_PROFILE (14)
[aaaa.bbbb.cccc:capwap_90400002] Raised event RX_METHOD_AUTHC_SUCCESS (3)
[aaaa.bbbb.cccc:capwap_90400002] SM will not send event Template Deactivated to PRE for 0xAE000012
[aaaa.bbbb.cccc:capwap_90400002] SM will not send event Template Deactivated to PRE for 0xAE000012
Authentication Success. Resolved Policy bitmap:4 for client aaaa.bbbb.cccc
Applying Attribute : username 0 "cisco"
Applying Attribute : aaa-author-type 0 1 (0x1)
Applying Attribute : aaa-author-service 0 16 (0x10)
Applying Attribute : clid-mac-addr 0 3a e6 3b 9a fc 4a
Applying Attribute : addr 0 0xac104206
Applying Attribute : addrv6 0 "þ€"
Applying Attribute : addrv6 0 " ?Ì??"
Applying Attribute : addrv6 0 " ?Ì??"
Applying Attribute : addrv6 0 " ?Ì??"
Applying Attribute : target-scope 0 0 [client]
Applying Attribute : audit-session-id 0 "1A4210AC0000001C5B12A51C"
Applying Attribute : aaa-unique-id 0 28 (0x1c)
Applying Attribute : client-iif-id 0 4261415483 (0xfe000a3b)
Applying Attribute : vlan-id 0 100 (0xa63)
Applying Attribute : session-linksec-secured 0 False
Applying Attribute : nas-ip-address 0 0x0
Applying Attribute : nas-ipv6-Address 0 ""
Applying Attribute : interface 0 ""
Applying Attribute : port-type 0 19 [802.11 wireless]
Applying Attribute : nas-port 0 10014 (0x40eba)
Applying Attribute : cisco-wlan-ssid 0 "LWA-SSID"
Applying Attribute : wlan-profile-name 0 "LWA-SSID"
Applying Attribute : dnis 0 "d4-e8-80-1a-30-60:LWA-SSID"
Applying Attribute : formatted-clid 0 "3a-e6-3b-9a-fc-4a"
Applying Attribute : bsn-wlan-id 0 16 (0x10)
Applying Attribute : nas-identifier-wireless 0 "LWA-SSID"
Applying Attribute : timeout 0 86400 (0x15180)
Applying Attribute : priv-lvl 0 1 (0x1)
Applying Attribute : timeout 0 86400 (0x15180)
Applying Attribute : method 0 1 [webauth]
Applying Attribute : clid-mac-addr 0 3a e6 3b 9a fc 4a
Applying Attribute : intf-id 0 2420113410 (0x90400002)
[aaaa.bbbb.cccc:capwap_90400002] auth mgr attr add/change notification is received for attr username(450)
[aaaa.bbbb.cccc:capwap_90400002] SM Notified attribute Add/Update username cisco
[aaaa.bbbb.cccc:capwap_90400002] Received User-Name cisco for client aaaa.bbbb.cccc
[aaaa.bbbb.cccc:capwap_90400002] auth mgr attr add/change notification is received for attr auth-domain(954)
[aaaa.bbbb.cccc:capwap_90400002] Method webauth changing state from 'Running' to 'Authc Success'
[aaaa.bbbb.cccc:capwap_90400002] Context changing state from 'Running' to 'Authc Success'
[aaaa.bbbb.cccc:capwap_90400002] Username cisco received
[aaaa.bbbb.cccc:capwap_90400002] WLAN ID 16 received
يطبق WLC ملف تعريف المستخدم على العميل الطرفي المتصل
Applied User Profile: aaa-author-type 0 1 (0x1)
Applied User Profile: aaa-author-service 0 16 (0x10)
Applied User Profile: clid-mac-addr 0 3a e6 3b 9a fc 4a
Applied User Profile: target-scope 0 0 [client]
Applied User Profile: aaa-unique-id 0 28 (0x1c)
Applied User Profile: client-iif-id 0 4261415483 (0xfe000a3b)
Applied User Profile: vlan-id 0 100 (0xa63)
Applied User Profile:session-linksec-secured 0 False
Applied User Profile: nas-ip-address 0 0x0
Applied User Profile: nas-ipv6-Address 0 ""
Applied User Profile: interface 0 ""
Applied User Profile: port-type 0 19 [802.11 wireless]
Applied User Profile: nas-port 0 10014 (0x40eba)
Applied User Profile: cisco-wlan-ssid 0 "LWA-SSID"
Applied User Profile: wlan-profile-name 0 "LWA-SSID"
Applied User Profile:nas-identifier-wireless 0 "LWA-SSID"
Applied User Profile: priv-lvl 0 1 (0x1)
Applied User Profile: method 0 1 [webauth]
Applied User Profile: clid-mac-addr 0 3a e6 3b 9a fc 4a
Applied User Profile: intf-id 0 2420113410 (0x90400002)
Applied User Profile: username 0 "cisco"
Applied User Profile: bsn-wlan-id 0 16 (0x10)
Applied User Profile: timeout 0 86400 (0x15180)
Applied User Profile: timeout 0 86400 (0x15180)
MAC: aaaa.bbbb.cccc Link-local bridging not enabled for this client, not checking VLAN validity
[aaaa.bbbb.cccc:capwap_90400002] User Profile applied successfully - REPLACE
[aaaa.bbbb.cccc:capwap_90400002] auth mgr attr add/change notification is received for attr method(757)
[aaaa.bbbb.cccc:capwap_90400002] Raised event AUTHZ_SUCCESS (11)
[aaaa.bbbb.cccc:capwap_90400002] Context changing state from 'Authc Success' to 'Authz Success'
اكتملت مصادقة الويب
MAC: aaaa.bbbb.cccc L3 Authentication Successful. ACL:[]
MAC: aaaa.bbbb.cccc Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
سمات AAA المطبقة على العميل النهائي
[ Applied attribute : username 0 "cisco" ]
[ Applied attribute : bsn-wlan-id 0 16 (0x10) ]
[ Applied attribute : timeout 0 86400 (0x15180) ]
[ Applied attribute : timeout 0 86400 (0x15180) ]
[ Applied attribute :bsn-vlan-interface-name 0 "myvlan" ]
وصول العميل النهائي إلى حالة التشغيل
Managed client RUN state notification: aaaa.bbbb.cccc
MAC: aaaa.bbbb.cccc Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RUN
سيناريوهات أستكشاف الأخطاء وإصلاحها الشائعة
حالات فشل المصادقة
الإعتبارات
- يقول المدخل الظاهر "فشلت المصادقة" بعد إدخال بيانات الاعتماد الصحيحة.
- تظهر WLC العميل في حالة "تعليق مصادقة ويب".
- يتم عرض صفحة البداية الأولية مرة أخرى للمستخدم.
مسارات WLC RA
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Param-map used: lwa-parameter_map
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 State LOGIN -> AUTHENTICATING
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 40828/176 IO state READING -> AUTHENTICATING
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 Param-map used: lwa-parameter_map
[aaaa.bbbb.cccc][X.X.X.X]capwap_90400002 State AUTHENTICATING -> AUTHC_FAIL [INVALID CREDENTIALS]
[aaaa.bbbb.cccc:capwap_90400002] Authc failure from WebAuth, Auth event fail
[aaaa.bbbb.cccc:capwap_90400002] (Re)try failed method WebAuth - aaaa.bbbb.cccc
[aaaa.bbbb.cccc:capwap_90400002] Method webauth changing state from 'Running' to 'Authc Failed'
الحلول الموصى بها
تأكد من وجود قائمة طرق AAA الافتراضية لتفويض الشبكة على تكوين WLC.
من واجهة المستخدم الرسومية:
- انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA > التفويض. انقر فوق + إضافة.
- قم بتكوينه ك:
- اسم قائمة الطرق: الافتراضي
- النوع: الشبكة
- نوع المجموعة: محلي
- انقر فوق تطبيق على الجهاز.
من واجهة سطر الأوامر:
WLC# configure terminal
WLC(config)# aaa authorization default network local
لا يظهر المدخل للمستخدم ولكن يظهر العميل متصلا
السلوك المحتمل الذي يتم التعامل معه من العميل النهائي
- يرى العميل النهائي أن جهازه "متصل".
- لا يرى العميل النهائي المدخل.
- لا يقوم العميل النهائي بإدخال أية بيانات اعتماد.
- لدى العميل النهائي عنوان IP معين.
- تعرض WLC العميل في حالة "تشغيل".
مسارات WLC RA
يحصل العميل على عنوان IP تم تعيينه ويتم نقله على الفور إلى حالة "التشغيل" على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). تظهر سمات المستخدم شبكة VLAN المعينة للعميل النهائي فقط.
MAC: aaaa.bbbb.cccc Client IP learn successful. Method: DHCP IP: X.X.X.X
[aaaa.bbbb.cccc:capwap_90400002] auth mgr attr add/change notification is received for attr addr(8)
[aaaa.bbbb.cccc:capwap_90400002] SM Notified attribute Add/Update addr X.X.X.X
MAC: aaaa.bbbb.cccc IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
MAC: aaaa.bbbb.cccc Received ip learn response. method: IPLEARN_METHOD_DHCP
[ Applied attribute :bsn-vlan-interface-name 0 "myvlan" ]
[ Applied attribute : timeout 0 1800 (0x708) ]
MAC: aaaa.bbbb.cccc Client QoS run state handler
Managed client RUN state notification: aaaa.bbbb.cccc
MAC: aaaa.bbbb.cccc Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN
الحلول الموصى بها
تأكد من تمكين نهج الويب على شبكة WLAN.
من واجهة المستخدم الرسومية:
- انتقل إلى التكوين > العلامات والتوصيفات > شبكات WLAN.
- حدد شبكات WLAN الخاصة بواجهة الوصول (LWA).
- انتقل إلى التأمين > الطبقة 3.
- تأكد من تمكين خانة الاختيار نهج الويب.
يلزم تمكين نهج ويب
من واجهة سطر الأوامر:
WLC# configure terminal
WLC(config)# wlan <wlan>
WLC(config-wlan)# shutdown
WLC(config-wlan)# security webauth
WLC(config-wlan)# no shutdown
لم يتم إظهار المدخل للمستخدم ولا يقوم العميل بالاتصال
السلوك المحتمل الذي يتم التعامل معه من العميل النهائي
- يرى العميل النهائي أن جهازه يحاول الاتصال باستمرار.
- لا يرى العميل النهائي المدخل.
- لا يحتوي العميل النهائي على عنوان IP معين.
- تعرض WLC العميل في حالة "تعليق WebAuth".
الحلول الموصى بها
قم بتمكين خوادم HTTP/HTTPS الضرورية. من الممكن الآن الحصول على مزيد من التحكم في خوادم HTTP/HTTPS التي يلزم تمكينها للتكيف بشكل كامل مع إحتياجات الشبكة. الرجاء الرجوع إلى هذا الارتباط للحصول على مزيد من المعلومات حول تكوين طلبات HTTP و HTTPS لمصادقة ويب نظرا لوجود العديد من مجموعات HTTP المدعومة، على سبيل المثال، يمكن إستخدام HTTP لمسؤول الويب فقط و HTTP المستخدم لمصادقة الويب.
للسماح بإدارة الجهاز الإداري ومصادقة الويب مع وصول HTTP و HTTPS على حد سواء، من واجهة سطر الأوامر:
WLC# configure terminal
WLC(config)# ip http server
WLC(config)# ip http secure-server
تحذير: إذا تم تعطيل كلا الخادمين، فلا يوجد وصول إلى واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC).
لا يحصل العملاء النهائيون على عنوان IP
السلوك المحتمل الذي يتم التعامل معه من العميل النهائي
- يرى العملاء النهائيون أن جهازهم يحاول باستمرار الحصول على عنوان IP.
- تعرض WLC العميل في حالة "تعلم IP".
مسارات WLC RA
طلبات مزعجة بدون أي رد فعل.
RX: DHCPv4 from interface capwap_90400002 on vlan 100 Src MAC: aaaa.bbbb.cccc Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPDISCOVER, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: aaaa.bbbb.cccc
TX: DHCPv4 from interface capwap_90400002 on vlan 100 Src MAC: aaaa.bbbb.cccc Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPDISCOVER, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: aaaa.bbbb.cccc
الحلول الموصى بها
الأولى: تأكد من أن ملف تعريف السياسة به شبكات VLAN الصحيحة المعينة.
من واجهة المستخدم الرسومية:
- انتقل إلى التكوين > العلامات وتوصيفات > السياسة.
- حدد ملف تعريف النهج المستخدم.
- انتقل إلى سياسات الوصول.
- حدد شبكة VLAN اليمنى.
من واجهة سطر الأوامر:
WLC# show wireless profile policy detailed <policy-profile>
Policy Profile Name : <policy-profile>
Description : <policy-profile>
Status : ENABLED
VLAN : VLAN-selected
[...]
WLC# configure terminal
WLC(config)# wireless profile policy <policy-profile>
WLC(config-wireless-policy)# vlan <correct-vlan>
ثانيا: تأكد من وجود تجمع DHCP متاح للمستخدم في مكان ما. تحقق من التكوين الخاص به ومن إمكانية الوصول إليه. تظهر آثار RA التي تمر من خلالها عملية VLAN DHCP DORA. ضمنت هذا VLAN الحق VLAN.
DHCPv4 from interface capwap_90400002 on vlan 100 Src MAC: aaaa.bbbb.cccc Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPDISCOVER, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: aaaa.bbbb.cccc
DHCPv4 from interface Gi2 on vlan 100 Src MAC: cccc.bbbb.aaaa Dst MAC: aaaa.bbbb.cccc src_ip: Y.Y.Y.Y, dst_ip: X.X.X.X, BOOTPREPLY, SISF_DHCPOFFER, giaddr: 0.0.0.0, yiaddr: X.X.X.X, CMAC: aaaa.bbbb.cccc
DHCPv4 from interface capwap_90400002 on vlan 100 Src MAC: aaaa.bbbb.cccc Dst MAC: ffff.ffff.ffff src_ip: 0.0.0.0, dst_ip: 255.255.255.255, BOOTPREQUEST, SISF_DHCPREQUEST, giaddr: 0.0.0.0, yiaddr: 0.0.0.0, CMAC: aaaa.bbbb.cccc
DHCPv4 from interface Gi2 on vlan 100 Src MAC: cccc.bbbb.aaaa Dst MAC: aaaa.bbbb.cccc src_ip: Y.Y.Y.Y, dst_ip: X.X.X.X, BOOTPREPLY, SISF_DHCPACK, giaddr: 0.0.0.0, yiaddr: X.X.X.X, CMAC: aaaa.bbbb.cccc
لم يتم عرض البوابة المخصصة للعميل النهائي
السلوك المحتمل الذي يتم التعامل معه من العميل النهائي
- يظهر المدخل الافتراضي ل WLC.
الحلول الموصى بها
الأولى: تأكد من أن الشبكة المحلية اللاسلكية (WLAN) تستخدم خريطة معلمات مصادقة الويب المخصصة.
من واجهة المستخدم الرسومية:
- انتقل إلى التكوين > العلامات والتوصيفات > شبكات WLAN.
- حدد شبكة WLAN من القائمة.
- انتقل إلى التأمين > الطبقة 3.
- حدد تعيين معلمة مصادقة ويب المخصصة.
تم تحديد مخطط معلمة مخصصة
من واجهة سطر الأوامر:
WLC# show wlan name LWA-SSID
WLAN Profile Name : LWA-SSID
================================================
[...]
Security:
Webauth Parameter Map : <parameter-map>
WLC# configure terminal
WLC(config)# wlan <wlan>
WLC(config-wlan)# security web-auth parameter-map <parameter-map>
الثانية: من المهم ملاحظة أن التحميل المخصص من بوابة الويب على Cisco.com لا يعمل مع واجهة برمجة قوية ومعقدة للغاية. يوصى بشكل عام بإجراء تغييرات فقط على مستوى CSS وربما إضافة صور أو إزالتها. التطبيقات، PHP، متغيرات التعديل، Response.js، وهكذا، غير مدعومة. إذا لم يتم عرض مدخل مخصص على العميل، فحاول إستخدام صفحات WLC الافتراضية وانظر ما إذا كان من الممكن تكرار المشكلة. إذا تم عرض البوابة بنجاح، فهناك شيء غير معتمد على الصفحات المخصصة التي يفترض إستخدامها.
ثالثا: إذا كنت تستخدم EWC (وحدة تحكم لاسلكية مدمجة) فيقترح إستخدام CLI لإضافة الصفحات المخصصة لضمان عرضها بشكل صحيح:
EWC# configure terminal
EWC(config)# parameter-map type <parameter-map>
EWC(config-params-parameter-map)# custom-page login device flash:loginsantosh.html
EWC(config-params-parameter-map)# custom-page login expired device flash:loginexpire.html
EWC(config-params-parameter-map)# custom-page failure device flash:loginfail.html
EWC(config-params-parameter-map)# custom-page success device flash:loginsucess.html
EWC(config-params-parameter-map)# end
لم يتم إظهار المدخل المخصص بشكل صحيح للعميل النهائي
السلوك المحتمل الذي يتم التعامل معه من العميل النهائي
- لم يتم عرض المدخل المخصص بشكل صحيح (أي لا يتم عرض الصور).
الحلول الموصى بها
تأكد من أن خريطة المعلمة العامة لها عنوان IP ظاهري معين.
من واجهة المستخدم الرسومية:
- انتقل إلى التكوين > الأمان > مصادقة الويب.
- حدد خريطة المعلمة العمومية من القائمة.
- إضافة عنوان IP ظاهري غير قابل للتوجيه.
تم تعيين عنوان IP الظاهري في خريطة المعلمة العامة إلى عنوان IP غير قابل للتوجيه
من واجهة سطر الأوامر:
WLC# show parameter-map type webauth global
Parameter Map Name : global
[...]
Virtual-ipv4 : <unroutable-ip>
[...]
WLC# configure terminal
WLC(config)# parameter-map type webauth global
WLC(config-params-parameter-map)# virtual-ip ipv4 <unroutable-ip>
تلميح: يعمل عنوان IP الظاهري كعنوان إعادة توجيه لصفحة تسجيل الدخول لمصادقة الويب. يجب ألا يكون لأي جهاز آخر على الشبكة نفس IP، ويجب ألا يتم تعيينه إلى منفذ فعلي، كما لا يجب أن يكون موجودا على أي جدول توجيه. لذلك، يوصى بتكوين IP الظاهري كعنوان IP غير موجه، ويمكن إستخدام فقط تلك الموجودة على RFC5737.
يقول Portal إن إتصالك غير آمن/تحقق من فشل التوقيع"
السلوك المحتمل الذي يتم التعامل معه من العميل النهائي
- يرى العميل خطأ عند فتح البوابة يقول إن الاتصال غير آمن.
- من المتوقع أن يستخدم المدخل شهادة.
أمور يجب معرفتها
إذا كان من المتوقع عرض المدخل ضمن HTTPS، فهذا يعني أنه يحتاج إلى إستخدام شهادة SSL (طبقة مأخذ التوصيل الآمنة). يجب أن تصدر هذه الشهادة من هيئة ترخيص تابعة لجهة خارجية للتحقق من أن المجال حقيقي، وتوفير الثقة للعملاء النهائيين عند إدخال بيانات اعتمادهم و/أو عرض البوابة. لتحميل شهادة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يرجى الرجوع إلى هذا المستند.
الحلول الموصى بها
الأولى: إعادة تشغيل خدمات HTTP/HTTPS المطلوبة. من الممكن الآن الحصول على مزيد من التحكم في خوادم HTTP/HTTPS التي يلزم تمكينها للتكيف بشكل كامل مع إحتياجات الشبكة. الرجاء الرجوع إلى هذا الارتباط للحصول على مزيد من المعلومات حول تكوين طلبات HTTP و HTTPS لمصادقة الويب.
من واجهة سطر الأوامر:
WLC# configure terminal
WLC(config)# no ip http server
WLC(config)# no ip http secure-server
WLC(config)# ip http server
WLC(config)# ip http secure-server
ثانيا: تأكد من تحميل الشهادة بشكل صحيح إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ومن صحة تاريخ صلاحيتها.
من واجهة المستخدم الرسومية:
- انتقل إلى التكوين > الأمان > إدارة PKI
- البحث عن TrustPoint في القائمة
- تحقق من تفاصيلها
التحقق من 
وجود TrustPoint CheckTrustPoint
DetailsCheckTrustPoint
من واجهة سطر الأوامر:
WLC# show crypto pki certificate [<certificate>]
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=<Common Name>
o=<Organizational Unit>
Subject:
cn=<Common Name>
o=<Organizational Unit>
Validity Date:
start date: <start-date>
end date: <end-date>
Associated Trustpoints: <trustpoint>
ثالثا: تأكد من أن الشهادة الصحيحة المحددة للاستخدام على خريطة معلمات WebAuth ومن مطابقة اسم مضيف IPv4 الظاهري للاسم الشائع (CN) في الشهادة.
من واجهة المستخدم الرسومية:
- انتقل إلى التكوين > الأمان > مصادقة الويب.
- حدد خريطة المعلمة المستخدمة من القائمة.
- تحقق من صحة اسم مضيف IPv4 الظاهري و TrustPoint.
تحقق من اسم مضيف IPv4 الدائري و TrustPoint
من واجهة سطر الأوامر:
WLC# show run | section paramter-map type <type> <name>
parameter-map type <type> <name>
[...]
virtual-ip ipv4 <unroutable-ip> <certificate-common-name>
trustpoint <trustpoint>
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
22-Apr-2024 |
الإصدار الأولي |
التعليقات