802.1x WLAN + VLAN 재정의(ME(Mobility Express) 8.2 및 ISE 2.1 사용)

소개

이 문서에서는 Mobility Express 컨트롤러 및 외부 RADIUS(Remote Authentication Dial-In User Service) 서버를 사용하여 WPA2(Wi-Fi Protected Access 2) Enterprise 보안을 사용하는 WLAN(Wireless Local Area Network)을 설정하는 방법에 대해 설명합니다. ISE(Identity Service Engine)는 외부 RADIUS 서버의 예로 사용됩니다.

이 설명서에서 사용되는 EAP(Extensible Authentication Protocol)는 PEAP(Protected Extensible Authentication Protocol)입니다. 또한 클라이언트는 특정 VLAN에 할당됩니다(WLAN에 기본적으로 할당된 VLAN 제외).

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• 802.1x
• PEAP
• CA(인증 기관)
• 인증서

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

ME v8.2

ISE v2.1

Windows 10 랩톱

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

네트워크 다이어그램

설정

일반적인 단계는 다음과 같습니다.

1. ME에 SSID(Service Set Identifier)를 생성하고 ME에 RADIUS 서버(이 예에서는 ISE)를 선언합니다
2. RADIUS 서버(ISE)에서 ME 선언
3. ISE에서 인증 규칙 생성
4. ISE에서 권한 부여 규칙 생성
5. 엔드포인트 구성

ME의 구성

RADIUS 서버와 ME 간의 통신을 허용하려면 ME에 RADIUS 서버를 등록해야 하며 그 반대의 경우도 마찬가지입니다. 이 단계에서는 ME에 RADIUS 서버를 등록하는 방법을 보여줍니다.

1단계. ME의 GUI를 열고 무선 설정 > WLANs > 새 WLAN 추가.

2단계. WLAN의 이름을 선택합니다.

3단계. WLAN Security(WLAN 보안) 탭에서 Security configuration(보안 컨피그레이션)을 지정합니다.

WPA2 Enterprise를 선택합니다. Authentication Server(인증 서버)에서 External RADIUS(외부 RADIUS)를 선택합니다. RADIUS의 IP 주소를 추가 하고 공유 비밀 키를 선택 하려면 편집 옵션을 클릭 합니다.

   

 <a.b.c.d>는 RADIUS 서버에 해당합니다.

4단계. SSID에 VLAN을 할당합니다.

SSID를 AP의 VLAN에 할당해야 하는 경우 이 단계를 건너뛸 수 있습니다. 

이 SSID의 사용자를 특정 VLAN(AP의 VLAN 제외)에 할당하려면 Use VLAN Tagging(VLAN 태깅 사용)을 활성화하고 원하는 VLAN ID를 할당합니다.

참고: VLAN Tagging을 사용하는 경우 액세스 포인트가 연결된 switchport가 트렁크 포트로 구성되고 AP VLAN이 기본 포트로 구성되어야 합니다.

5단계. Apply(적용)를 클릭하여 컨피그레이션을 완료합니다.

6단계. 선택 사항으로, VLAN 재정의를 허용하도록 WLAN을 구성합니다.

WLAN에서 AAA 재정의를 활성화하고 필요한 VLAN을 추가합니다. 이렇게 하려면 ME 관리 인터페이스에 대한 CLI 세션을 열고 다음 명령을 실행해야 합니다.

>config wlan disable <wlan-id>
>config wlan aaa-override enable <wlan-id>
>config wlan enable <wlan-id>
>config flexconnect group default-flexgroup vlan add <vlan-id>

ISE에서 ME 선언

1단계. ISE 콘솔을 열고 Administration(관리) > Network Resources(네트워크 리소스) > Network Devices(네트워크 디바이스) > Add(추가)로 이동합니다.

2단계. 정보를 입력합니다.

선택적으로, 모델 이름, 소프트웨어 버전, 설명을 지정하고 디바이스 유형, 위치 또는 WLC에 따라 네트워크 디바이스 그룹을 할당할 수 있습니다.

a.b.c.d는 ME의 IP 주소에 해당합니다.

네트워크 디바이스 그룹에 대한 자세한 내용은 다음 링크를 참조하십시오.

ISE - 네트워크 디바이스 그룹

ISE에서 새 사용자 생성

1단계. 로 이동합니다 Administration(관리) > Identity Management(ID 관리) > Identity(ID) > Users(사용자) > Add(추가)

2단계. 정보를 입력합니다.

이 예에서 이 사용자는 ALL_ACCOUNTS라는 그룹에 속하지만 필요에 따라 조정할 수 있습니다.

인증 규칙 생성

인증 규칙은 사용자의 자격 증명이 올바른지 확인하고(사용자가 실제로 누구인지 확인), 사용자가 사용하도록 허용된 인증 방법을 제한하는 데 사용됩니다.

1단계. 탐색 Policy(정책) > Authentication(인증)으로 이동합니다.

2단계. 새 인증 규칙을 삽입합니다.

이렇게 하려면 Policy(정책) > Authentication(인증) > Insert new row above/below(위에/아래에 새 행 삽입)로 이동합니다.

3단계. 필요한 정보를 입력합니다

이 인증 규칙 예에서는 Default Network Access(기본 네트워크 액세스) 목록 아래에 나열된 모든 프로토콜을 허용합니다. 이는 Wireless 802.1x 클라이언트 및 Called-Station-ID에 대한 인증 요청에 적용되며 ise-ssid로 끝납니다.

또한 이 인증 규칙과 일치 하는 클라이언트에 대한 ID 소스를 선택 합니다. 이 예에서는 내부 사용자에 사용 됩니다

완료되면 Done(완료)을 클릭하고 Save(저장)를 클릭합니다

Allow Protocols Policies(프로토콜 정책 허용)에 대한 자세한 내용은 다음 링크를 참조하십시오.

허용되는 프로토콜 서비스

ID 소스에 대한 자세한 내용은 다음 링크를 참조하십시오.

사용자 ID 그룹 생성

권한 부여 규칙 생성

권한 부여 규칙은 클라이언트가 네트워크에 가입할 수 있는지 여부를 결정하는 담당자입니다

1단계. Policy(정책) > Authorization(권한 부여)으로 이동합니다.

2단계. 새 규칙을 삽입합니다. Policy(정책) > Authorization(권한 부여) > Insert New Rule Above/Below(위에/아래에 새 규칙 삽입)로 이동합니다.

3단계. 정보를 입력합니다.

먼저 규칙의 이름과 사용자가 저장된 ID 그룹을 선택합니다. 이 예에서는 사용자가 ALL_ACCOUNTS 그룹에 저장됩니다.

그런 다음 권한 부여 프로세스가 이 규칙에 속하도록 만드는 다른 조건을 선택합니다. 이 예에서는 권한 부여 프로세스가 802.1x Wireless를 사용하고 스테이션 ID라고 하는 경우 ise-ssid로 종료되면 이 규칙에 도달합니다.

마지막으로 클라이언트가 네트워크에 가입할 수 있는 권한 부여 프로파일을 선택하고 Done(완료) 및 Save(저장)를 클릭합니다.

선택적으로, 무선 클라이언트를 다른 VLAN에 할당할 새 권한 부여 프로파일을 생성합니다.

다음 정보를 입력합니다.

엔드 디바이스 컨피그레이션

PEAP/MS-CHAPv2(Challenge-Handshake Authentication Protocol 버전 2의 Microsoft 버전)를 사용하여 802.1x 인증을 사용하여 SSID에 연결하도록 Windows 10 노트북 컴퓨터를 구성합니다.

이 컨피그레이션의 예에서 ISE는 자체 서명 인증서를 사용하여 인증을 수행합니다.

Windows 시스템에서 WLAN 프로필을 생성하려면 다음 두 가지 옵션이 있습니다.

1. ISE 서버를 검증하고 신뢰하여 인증을 완료하려면 시스템에 자체 서명된 인증서를 설치합니다
2. RADIUS 서버의 검증을 우회하고 인증 수행에 사용되는 모든 RADIUS 서버를 신뢰(보안 문제가 될 수 있으므로 권장하지 않음)

 이러한 옵션에 대한 컨피그레이션은 최종 디바이스 컨피그레이션 - WLAN 프로파일 생성 - 7단계에서 설명합니다.

최종 디바이스 컨피그레이션 - ISE 자체 서명 인증서 설치

1단계. ISE에서 자체 서명 인증서 내보내기

ISE에 로그인하고 Administration(관리) > System(시스템) > Certificates(인증서) > System Certificates(시스템 인증서)로 이동합니다.

그런 다음 EAP 인증에 사용된 인증서를 선택하고 Export(내보내기)를 클릭합니다.

필요한 위치에 인증서를 저장합니다. 이 인증서는 Windows 시스템에 설치됩니다.

2단계. Windows 시스템에 인증서를 설치합니다.

이전에 내보낸 인증서를 Windows 컴퓨터에 복사하고 파일의 확장자를 .pem에서 .crt로 변경한 다음 두 번 클릭하고 Install Certificate...를 선택합니다.

로컬 시스템에 설치하도록 선택한 다음 Next(다음)를 클릭합니다.

Place all certificates in the following store(다음 저장소에 모든 인증서 배치)를 선택한 다음 Trusted Root Certification Authorities(신뢰할 수 있는 루트 인증 기관)를 찾아 선택합니다. 이후 Next(다음)를 클릭합니다.

그런 다음 Finish(마침)를 클릭합니다.

마지막에 Yes(예)를 클릭하여 인증서 설치를 확인합니다.

마지막으로 OK(확인)를 클릭합니다.

엔드 디바이스 컨피그레이션 - WLAN 프로파일 생성

1단계. 시작 아이콘 을 마우스 오른쪽 단추로 클릭하고 제어판 을 선택합니다.

2단계. Network and Internet(네트워크 및 인터넷)으로 이동한 다음 Network and Sharing Center(네트워크 및 공유 센터)로 이동하여 Set up a new connection or network(새 연결 또는 네트워크 설정)를 클릭합니다.

3단계. Manually connect to a wireless network(무선 네트워크에 수동으로 연결)를 선택하고 Next(다음)를 클릭합니다.

4단계. SSID의 이름과 보안 유형 WPA2-Enterprise의 정보를 입력하고 Next(다음)를 클릭합니다.

5단계. Change connection settings(연결 설정 변경)를 선택하여 WLAN 프로필의 컨피그레이션을 사용자 지정합니다.

6단계. Security(보안) 탭으로 이동하고 Settings(설정)를 클릭합니다.

7단계. RADIUS 서버가 검증 되었는지 여부를 선택 합니다.

대답이 예인 경우 인증서의 유효성을 검사하여 서버 ID 확인을 활성화하고 신뢰할 수 있는 루트 인증 기관: 목록 ISE의 자체 서명 인증서를 선택합니다.

그런 다음 구성 및 사용 안 함 내 Windows 로그온 이름 및 암호 자동 사용...을 선택하고 확인을 클릭합니다.

8단계. 사용자 자격 증명 구성

Security(보안) 탭으로 돌아가면 Advanced settings(고급 설정)를 선택하고 User authentication(사용자 인증)으로 인증 모드를 지정한 다음 ISE에서 사용자를 인증하도록 구성된 자격 증명을 저장합니다. 

다음을 확인합니다.

인증 흐름은 WLC 또는 ISE 관점에서 확인 할 수 있습니다.

ME의 인증 프로세스

특정 사용자에 대한 인증 프로세스를 모니터링하려면 다음 명령을 실행합니다.

  

> debug client <mac-add-client>

성공적인 인증의 예(일부 출력이 생략됨):

  

*apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Processing assoc-req station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 thread:669ba80
*apfMsConnTask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Association received from mobile on BSSID 38:ed:18:c6:7b:4d AP 1852-4
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying site-specific Local Bridging override for station 08:74:02:77:13:45 - vapId 3, site 'FlexGroup', interface 'management'
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying Local Bridging Interface Policy for station 08:74:02:77:13:45 - vlan 0, interface id 0, interface 'management'
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Set Clinet Non AP specific apfMsAccessVlan = 2400
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 This apfMsAccessVlan may be changed later from AAA after L2 Auth
*apfMsConnTask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Received 802.11i 802.1X key management suite, enabling dot1x Authentication
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state START (0)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last state AUTHCHECK (2)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 apfPemAddUser2:session timeout forstation 08:74:02:77:13:45 - Session Tout 0, apfMsTimeOut '0' and sessionTimerRunning flag is 0
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Stopping deletion of Mobile Station: (callerId: 48)
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Func: apfPemAddUser2, Ms Timeout = 0, Session Timeout = 0
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending assoc-resp with status 0 station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 on apVapId 3
*apfMsConnTask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending Assoc Response to station on BSSID 38:ed:18:c6:7b:4d (status 0) ApVapId 3 Slot 1
*spamApTask0: Nov 25 16:36:24.341: 08:74:02:77:13:45 Sent dot1x auth initiate message for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 reauth_sm state transition 0 ---> 1 for mobile 08:74:02:77:13:45 at 1x_reauth_sm.c:47
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 EAP-PARAM Debug - eap-params for Wlan-Id :3 is disabled - applying Global eap timers and retries
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Disable re-auth, use PMK lifetime.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Connecting state
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Sending EAP-Request/Identity to mobile 08:74:02:77:13:45 (EAP Id 1)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received EAPOL EAPPKT from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received Identity Response (count=1) from mobile 08:74:02:77:13:45
.
.
.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Processing Access-Accept for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Username entry (user1) created in mscb for mobile, length = 253
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Creating a PKC PMKID Cache entry for station 08:74:02:77:13:45 (RSN 2)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding BSSID 38:ed:18:c6:7b:4d to PMKID cache at index 0 for station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: New PMKID: (16)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding Audit session ID payload in Mobility handoff
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 0 PMK-update groupcast messages sent
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 PMK sent to mobility group
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Disabling re-auth since PMK lifetime can take care of same.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Sending EAP-Success to mobile 08:74:02:77:13:45 (EAP Id 70)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Freeing AAACB from Dot1xCB as AAA auth is done for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: Including PMKID in M1 (16)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: M1 - Key Data: (22)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] dd 14 00 0f ac 04 80 3a 20 8c 8f c2 4c 18 7d 4c
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0016] 28 e7 7f 10 11 03
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Starting key exchange to mobile 08:74:02:77:13:45, data packets will be dropped
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
 state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Entering Backend Auth Success state (id=70) for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Received Auth Success while in Authenticating state for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Authenticated state
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-Key from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-key in PTK_START state (message 2) from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Successfully computed PTK from PMK!!!
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received valid MIC in EAPOL Key Message M2!!!!!
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 30 14 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 0...............
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: 00 0f ac 01 0c 00 ......
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000000: 01 00 00 0f ac 04 01 00 00 0f ac 04 01 00 00 0f ................
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 00000010: ac 01 0c 00 ....
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 PMK: Sending cache add
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45
 state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Mobility query, PEM State: L2AUTHCOMPLETE
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Mobile Announce :
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Client Payload:
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Ip: 0.0.0.0
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vlan Ip: 172.16.0.136, Vlan mask : 255.255.255.224
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vap Security: 16384
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Virtual Ip: 192.0.2.1
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 ssid: ise-ssid
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building VlanIpPayload.
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) DHCP required on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3for this client
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Not Using WMM Compliance code qosCap 00
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 38:ed:18:c6:7b:40 vapId 3 apVapId 3 flex-acl-name:
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state L2AUTHCOMPLETE (4)
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6623, Adding TMP rule
*Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule
 type = Airespace AP - Learn IP address
 on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
 IPv4 ACL ID = 255, IPv
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) mobility role update request from Unassociated to Local
 Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 172.16.0.136
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=Local, client state=APF_MS_STATE_ASSOCIATED
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 6261, Adding TMP rule
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Replacing Fast Path rule
 type = Airespace AP - Learn IP address
 on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0
 IPv4 ACL ID = 255,
*apfReceiveTask: Nov 25 16:36:25.989: 08:74:02:77:13:45 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*pemReceiveTask: Nov 25 16:36:25.990: 08:74:02:77:13:45 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 In apfRegisterIpAddrOnMscb_debug: regType=1 Invalid src IP address, 0.0.0.0 is part of reserved ip address range (caller apf_ms.c:3593)
*apfReceiveTask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0
*apfReceiveTask: Nov 25 16:36:27.840: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1
*apfReceiveTask: Nov 25 16:36:27.841: 08:74:02:77:13:45 172.16.0.16 DHCP_REQD (7) Change state to RUN (20) last state DHCP_REQD (7)

디버그 클라이언트 출력을 쉽게 읽을 수 있도록 무선 디버그 분석기 도구를 사용합니다.

Wireless Debug Analyzer

ISE의 인증 프로세스

사용자에게 할당된 인증 정책, 권한 부여 정책 및 권한 부여 프로파일을 확인하기 위해 Operations(운영) > RADIUS > Live Logs(라이브 로그)로 이동합니다.

 자세한 내용을 보려면 Details(세부 정보)를 클릭하여 자세한 인증 프로세스를 확인하십시오.