使用Catalyst 9800 WLC配置空間強制網路門戶

簡介

本文檔介紹如何在Cisco Spaces上配置強制網路門戶。

必要條件

本文檔允許Catalyst 9800無線LAN控制器(C9800 WLC)上的客戶端使用空間作為外部Web身份驗證登入頁。

需求

思科建議您瞭解以下主題：

• 對9800無線控制器的命令列介面(CLI)或圖形使用者介面(GUI)訪問
• Cisco Spaces

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 9800-L控制器版本16.12.2s

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

Web身份驗證是一種簡單的第3層身份驗證方法，不需要請求方或客戶端實用程式。這可以做到

a)使用C9800 WLC上的「Internal Page（內部頁面）」，可以按原樣進行修改，也可以進行後續修改。

b)將自定義登入捆綁包上傳到C9800 WLC。

c)外部伺服器上裝載的自訂登入頁面。

利用Spaces提供的強制網路門戶，基本上是在C9800 WLC上為客戶端實施外部Web身份驗證的一種方法。

外部webauth程式詳述於：Cisco Catalyst 9800系列控制器上基於Web的驗證

在C9800 WLC上，虛擬IP地址定義為全局引數對映，通常為192.0.2.1

設定

網路圖表

將9800控制器連線到Cisco Spaces

控制器需要使用以下任何選項連線到空間-直接連線、透過空間聯結器或CMX Tethering。

在本示例中，雖然強制網路門戶的配置方式與所有設定相同，但直接連線選項仍在使用中。

若要將控制器連線到Cisco Spaces，它必須能夠透過HTTPS連線到Cisco Spaces Cloud。有關如何將9800控制器連線到空間的詳細資訊，請參閱此連結：空間- 9800控制器直接連線

在空間上建立SSID

步驟 1.在空間控制台中點選強制網路門戶：

步驟 2.打開強制網路門戶特定選單，按一下頁面左上角的三行圖示並按一下SSID：

步驟 3.按一下Import/Configure SSID，選擇CUWN (CMX/WLC)作為「Wireless Network type」，並輸入SSID名稱：

9800控制器上的ACL和URL過濾器配置

在完成身份驗證之前，不允許來自無線客戶端的流量進入網路。對於Web身份驗證，為了完成此操作，無線客戶端連線到此SSID，收到IP地址，然後客戶端策略管理器狀態將變為Webauth_reqd狀態。由於客戶端尚未經過身份驗證，因此除DHCP、DNS和HTTP（被攔截和重定向）外，所有來自客戶端IP地址的流量都會被丟棄。

預設情況下，當您設定web-auth WLAN時，9800會建立硬式編碼預先驗證ACL。這些硬式編碼ACL允許DHCP、DNS和流量到達外部Web身份驗證伺服器。其餘部分會像任何http流量一樣重新導向。

但是，如果需要允許特定非HTTP流量型別通過，則可以配置預先身份驗證ACL。然後，您需要模仿現有硬式編碼預先驗證ACL的內容（在本節的步驟1），並根據您的需求擴充內容。

步驟 1.檢驗當前的硬編碼ACL。

CLI配置：

Andressi-9800L#show ip access list

Extended IP access list WA-sec-10.235.248.212
10 permit tcp any host 10.235.248.212 eq www
20 permit tcp any host 10.235.248.212 eq 443
30 permit tcp host 10.235.248.212 eq www any
40 permit tcp host 10.235.248.212 eq 443 any
50 permit tcp any any eq domain
60 permit udp any any eq domain
70 permit udp any any eq bootpc
80 permit udp any any eq bootps
90 deny ip any any

Extended IP access list WA-v4-int-10.235.248.212
10 deny tcp any host 10.235.248.212 eq www
20 deny tcp any host 10.235.248.212 eq 443
30 permit tcp any any eq www
40 permit tcp any host 192.0.2.1 eq 443

這樣呼叫WA-sec-10.235.248.212，因為它是自動Web身份驗證(WA)安全(sec) ACL或門戶ip 10.235.248.212。 安全ACL定義了允許的內容（允許時）或丟棄的內容（拒絕時）。 Wa-v4-int是攔截ACL，即傳送ACL或重定向ACL，並定義傳送到CPU用於重定向（在允許時）或傳送到資料平面的內ACL（在拒絕時）。

WA-v4-int10.235.248.212首先應用於來自客戶端的流量，並將流向空間門戶IP 10.235.248.212的HTTP流量保留在資料平面上（尚未執行丟棄或轉發操作，只需移交給資料平面即可）。它會傳送所有HTTP(s)流量至CPU （除了由Web伺服器服務的虛擬IP流量以外的重新導向）。其他型別的流量將分配給資料平面。

WA-sec-10.235.248.212允許發往您在Web身份驗證引數對映中配置的Cisco DNA空間IP 10.235.248.212的HTTP和HTTPS流量，還允許DNS和DHCP流量並丟棄其餘流量。要攔截的HTTP流量在到達此ACL之前已被攔截，因此無需由此ACL覆蓋。

注意：要獲取ACL中允許的空格的IP地址，請在ACL配置部分的在空格上建立SSID部分的步驟3中建立的SSID中按一下手動配置選項。文檔末尾的「Spaces使用的IP地址是什麼」部分中提供了一個示例。

空間使用2個IP地址，並且步驟1中的機制只允許一個入口IP。若要允許預先驗證存取其他HTTP資源，您需要使用URL篩選，針對您在URL篩選中輸入URL的網站，該IP的攔截（重新導向）和安全(preauth) ACL會動態產生漏洞。動態監聽DNS請求，使9800獲知這些URL的IP地址並將其動態增加到ACL。

步驟 2.配置URL過濾器以允許空間域。

導航到配置>安全> URL過濾器。按一下+Add並配置清單名稱。選擇PRE-AUTH作為型別，PERMIT作為操作，URL splash.dnaspaces.io（或者，如果您使用EMEA門戶，則選擇.eu）：

CLI配置：

Andressi-9800L(config)#urlfilter list <url-filter name>
Andressi-9800L(config-urlfilter-params)#action permit
Andressi-9800L(config-urlfilter-params)#url splash.dnaspaces.io

可以將SSID配置為使用RADIUS伺服器或不使用RADIUS伺服器。如果在「強制網路門戶規則配置」的「操作」部分中配置了會話持續時間、頻寬限制或無縫調配網際網路，則需要使用RADIUS伺服器配置SSID，否則無需使用RADIUS伺服器。兩種配置都支援空間上的所有型別的入口。

空間上沒有RADIUS伺服器的強制網路門戶

9800控制器上的Web驗證引數對應組態

步驟 1.導覽至Configuration > Security > Web Auth。 按一下+Add建立新的引數對映。在彈出窗口中，配置引數對映名稱，然後選擇Consent作為型別：

步驟 2.按一下上一步中配置的引數對映，導航到Advanced頁籤，然後輸入重新定向以獲得登入URL、附加以獲得的AP MAC地址、附加以獲得客戶端MAC地址、附加以獲得的WLAN SSID和門戶IPv4地址，如圖所示。按一下Update & Apply：

CLI配置：

Andressi-9800L(config)#parameter-map type webauth <map name>
Andressi-9800L(config-params-parameter-map)#type consent
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login <splashpage URL> 
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4 <IP Address>
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled

在9800控制器上建立SSID

步驟 1.導航到配置>標籤和配置檔案> WLANs。 按一下+Add。配置配置檔名稱、SSID並啟用WLAN。確保SSID名稱與在空間上建立SSID部分的步驟3中所配置的名稱相同。

步驟 2.導航到Security > Layer2。將第2層安全模式設定為None。確保MAC過濾已停用。

步驟 3.導航到Security > Layer3。啟用Web策略，並配置Web身份驗證引數對映。按一下Apply to Device。

在9800控制器上配置策略配置檔案

步驟 1.導航到配置>標籤和配置檔案>策略，建立新策略配置檔案或使用預設策略配置檔案。在訪問策略頁籤中，配置客戶端VLAN並增加URL過濾器。

在9800控制器上配置策略標籤

步驟 1.導航到配置>標籤和配置檔案>策略。建立新的策略標籤或使用預設策略標籤。將WLAN對映到策略標籤中的策略配置檔案。

步驟 2.將策略標籤應用於AP以廣播SSID。導航到配置>無線>存取點。選擇有問題的AP並增加策略標籤。這會導致AP重新啟動其CAPWAP隧道並返回到9800控制器：

CLI配置：

Andressi-9800L(config)#wlan <Profile name> <WLAN ID> <SSID Name>
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#security web-auth 
Andressi-9800L(config-wlan)#security web-auth parameter-map <map name>
Andressi-9800L(config-wlan)#no shutdown

Andressi-9800L(config)#wireless profile policy <policy-profile-name>
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter <url-filter name>
Andressi-9800L(config-wireless-policy)#no shutdown

Andressi-9800L(config)#wireless tag policy <policy-tag-name>
Andressi-9800L(config-policy-tag)#wlan <Profile name> policy <policy-profile-name>

空間上具有RADIUS伺服器的強制網路門戶

注意：空間RADIUS伺服器僅支援來自控制器的PAP身份驗證。

9800控制器上的Web驗證引數對應組態

步驟 1.建立Web身份驗證引數對映。導覽至Configuration > Security > Web Auth。 按一下+Add，然後配置引數對映名稱，並選擇webauth作為型別：

步驟 2.按一下步驟1中配置的引數對映。按一下Advanced，然後輸入Redirect for log-in、Append for AP MAC Address、Append for Client MAC Address、Append for WLAN SSID and portal IPv4 Address。按一下Update & Apply：

注意：要獲取啟動顯示頁面URL和IPv4重定向地址，請分別在在WLC直接連線中建立SSID部分建立訪問控制清單配置部分的在空間上建立SSID部分的第3步中建立的SSID中按一下手動配置選項。

CLI配置：

Andressi-9800L(config)#parameter-map type webauth <map name>
Andressi-9800L(config-params-parameter-map)#type webauth
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login <splashpage URL> 
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4 <IP Address>
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled

9800控制器上的RADIUS伺服器配置

步驟 1.配置RADIUS伺服器。Cisco Spaces充當RADIUS伺服器進行使用者身份驗證，它可以響應兩個IP地址。導航到Configuration > Security > AAA。按一下+Add並配置兩台RADIUS伺服器：

注意：要獲取主伺服器和輔助伺服器的RADIUS IP地址和金鑰，請從在空間上建立SSID部分的第3步中建立的SSID中按一下手動配置選項，然後導航到RADIUS伺服器配置部分。

步驟 2.配置RADIUS伺服器組並增加兩個RADIUS伺服器。導航到Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups，點選+add，配置伺服器組名稱、MAC-Delimiter as Hyphen、MAC-Filtering as MAC，然後分配兩個RADIUS伺服器：

步驟 3.配置身份驗證方法清單。導航到Configuration > Security > AAA > AAA Method List > Authentication。 按一下+add。配置方法清單名稱，選擇login作為型別並分配伺服器組：

步驟 4.配置授權方法清單。導航到Configuration > Security > AAA > AAA Method List > Authorization，點選+add。配置方法清單名稱，選擇network作為型別並分配伺服器組：

在9800控制器上建立SSID

步驟 1.導航到配置>標籤和配置檔案> WLANs，點選+Add。配置配置檔名稱、SSID並啟用WLAN。確保SSID名稱與在空間上建立SSID部分的步驟3中所配置的名稱相同。

步驟 2.導航到Security > Layer2。將第2層安全模式設定為None，啟用MAC Filtering並增加Authorization List：

步驟 3.導航到Security > Layer3。啟用Web Policy，配置Web身份驗證引數對映和身份驗證清單。啟用On Mac Filter Failure並增加預身份驗證ACL。按一下Apply to Device。

在9800控制器上配置策略配置檔案

步驟 1.導航到配置>標籤和配置檔案>策略，建立新策略配置檔案或使用預設策略配置檔案。在訪問策略頁籤中，配置客戶端VLAN並增加URL過濾器。

步驟 2.在Advanced頁籤中，啟用AAA Override，並根據需要配置記帳方法清單：

在9800控制器上配置策略標籤

步驟 1.導航到配置>標籤和配置檔案>策略。建立新的策略標籤或使用預設策略標籤。將WLAN對映到策略標籤中的策略配置檔案。

步驟 2.將策略標籤應用於AP以廣播SSID。導航到配置>無線>存取點，選擇所討論的AP，然後增加策略標籤。這會導致AP重新啟動其CAPWAP隧道並返回到9800控制器：

CLI配置：

Andressi-9800L(config)#wlan <Profile name> <WLAN ID> <SSID Name>
Andressi-9800L(config-wlan)#ip access-group web <ACL Name>
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#mac-filtering <authz name>
Andressi-9800L(config-wlan)#security web-auth 
Andressi-9800L(config-wlan)#security web-auth authentication-list <auth name> 
Andressi-9800L(config-wlan)#security web-auth on-macfilter-failure
Andressi-9800L(config-wlan)#security web-auth parameter-map <map name>
Andressi-9800L(config-wlan)#no shutdown

Andressi-9800L(config)#wireless profile policy <policy-profile-name>
Andressi-9800L(config-wireless-policy)#aaa-override
Andressi-9800L(config-wireless-policy)#accounting-list <acct name>
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter <url-filter name>
Andressi-9800L(config-wireless-policy)#no shutdown

Andressi-9800L(config)#wireless tag policy <policy-tag-name>
Andressi-9800L(config-policy-tag)#wlan <Profile name> policy <policy-profile-name>

配置全局引數對映

不建議步驟：運行這些命令以允許HTTPS重定向，但請注意，如果客戶端作業系統執行強制網路門戶檢測並導致CPU使用率較高，並且始終引發證書警告，則不需要在客戶端HTTPS流量中進行重定向。除非需要非常具體的使用案例，否則建議避免對其進行配置。

Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#intercept-https-enable

注意：您必須為安裝在Cisco Catalyst 9800系列無線控制器中的虛擬IP擁有有效的SSL證書。

步驟 1.將副檔名為.p12的已簽署憑證檔案複製到TFTP伺服器，然後執行下列指令以傳輸憑證並將其安裝到9800控制器中：

Andressi-9800L(config)#crypto pki import <name> pkcs12 tftp://<tftp server ip>:/ password <certificate password>

步驟 2.若要將已安裝的憑證對映至web auth引數對映，請執行以下指令：

Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#trustpoint <installed trustpool name>

在共用空間上建立門戶

步驟 1.在空間控制台中點選強制網路門戶：

步驟 2.按一下Create New，輸入門戶名稱，並選擇可以使用門戶的位置： 

步驟 3.選擇身份驗證型別，選擇是否要在門戶首頁上顯示資料捕獲和使用者協定，以及是否允許使用者選擇接收消息。按一下Next：

步驟 4.配置資料捕獲元素。如果要從使用者捕獲資料，請選中Enable Data Capture 框，然後按一下+Add Field Element增加所需的欄位。按一下Next：

步驟 5.選中啟用條款與條件並按一下儲存並配置門戶：

步驟 6.根據需要編輯門戶。點選儲存：

在空間上配置強制網路門戶規則

步驟 1.在空間控制台中點選強制網路門戶：

步驟 2.打開強制網路門戶選單，然後按一下Captive Portal Rules：

步驟 3.點選+ Create New Rule。輸入規則名稱，並選擇之前配置的SSID。

步驟 4.選擇門戶可用的位置。在位置部分中點選+ 增加位置。從「位置層次結構」中選擇所需的一個。

步驟 5.選擇強制網路門戶的操作。在這種情況下，當規則被點選時，將顯示門戶。按一下儲存並發佈。

從空間獲取特定資訊

空間使用哪些IP地址 

要驗證您所在地區的門戶使用哪些IP地址，請導航到Cisco DNA Space首頁上的Captival Portal頁面。按一下左側選單中的SSID，然後按一下SSID下的Manually。ACL範例中會提到IP位址。這些是用於ACL和webauth引數對映的門戶IP地址。空間使用其他IP地址來實現控制平面的整體NMSP/雲連線。

在出現的彈出窗口的第一部分中，步驟7顯示了ACL定義中提到的IP地址。您不需要執行這些說明並建立任何ACL，只需記下IP地址即可。這些是您所在地區的門戶使用的IP

Spaces Log In Portal使用的URL是什麼 

要驗證您所在地區的門戶URL Spaces使用什麼登入，請導航到Cisco DNA Space首頁上的Captival Portal頁面。按一下左側選單中的SSID，然後按一下SSID下的Manually。

向下滾動到顯示的彈出窗口，在第二個部分中，步驟7顯示必須在9800上的引數對映中配置的URL。

用於空間的RADIUS伺服器詳細資訊是什麼？

要瞭解您需要使用的RADIUS伺服器IP地址以及共用金鑰，請導航到Cisco DNA Space首頁上的Captival Portal頁面。按一下左側選單中的SSID，然後按一下SSID下的Manually。 

在顯示的彈出窗口中，向下滾動第3部分(RADIUS)，第7步為您提供IP/埠和用於RADIUS身份驗證的共用金鑰。會計是可選的，將在步驟12中介紹。

驗證

要確認連線到SSID的客戶端的狀態，請導航至監控>客戶端。點選裝置的MAC地址並查詢策略管理器狀態：

疑難排解

常見問題

1. 如果控制器上的虛擬介面未設定IP位址，則使用者端會重新導向到內部入口網站，而不是引數對應中設定的重新導向入口網站。

2. 如果客戶端在重定向到Spaces上的門戶時收到503錯誤，請確保在Spaces的位置層次結構中配置控制器。

永遠線上跟蹤

WLC 9800 提供永不間斷的追蹤功能。這可確保所有與客戶端連線相關的錯誤、警告和通知級別消息被持續記錄，並且您可以在事件發生後檢視事件或故障條件的日誌。 

註：根據生成的日誌量，您可以將時間從幾個小時縮短到幾天。

為了檢視9800 WLC預設收集的跟蹤，您可以透過SSH/Telnet連線到9800 WLC並執行以下步驟。確保您正在將會話記錄到文本檔案中。

步驟 1.檢查控制器目前時間，以便追蹤問題發生時的記錄。

# show clock

 步驟 2.根據系統配置的指示，從控制器緩衝區或外部系統日誌收集系統日誌。這樣可以快速檢視系統運行狀況和錯誤（如果有）。

# show logging

步驟 3.驗證是否啟用了任何調試條件。

# show debugging
Cisco IOS XE Conditional Debug Configs:

Conditional Debug Global State: Stop

Cisco IOS XE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

注意：如果發現列出任何條件，則意味著所有遇到啟用條件的進程（MAC地址、IP地址等）的跟蹤都將記錄到調試級別。如此可能會增加記錄量。因此，建議您在未主動偵錯時清除所有條件。

步驟 4.如果測試的mac地址未列為步驟3中的條件，請收集特定mac地址的always-on通知級別跟蹤。

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

您可顯示作業階段中的內容，或可將檔案複製到外部 TFTP 伺服器。

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

條件式偵錯和無線電主動式追蹤 

如果全天候運作的追蹤未提供充足資訊，使您在調查之下無法判斷問題的觸發原因，則您可啟用條件式偵錯並擷取無線電主動式 (RA) 追蹤，如此可將偵錯層級追蹤提供給所有與指定條件（在此案例中為用戶端 MAC 位址）互動的所有程序。若要啟用條件式除錯，請執行下列步驟。

步驟 1.確保沒有啟用調試條件。

# clear platform condition all

步驟 2.為要監控的無線客戶端MAC地址啟用調試條件。

以下命令會開始監控提供的 MAC 位址 30 分鐘（1800 秒）。您可選擇將此時間增加至 2,085,978,494 秒。

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

附註：若要同時監控多個用戶端，請針對每個 MAC 位址執行 debug wireless mac <aaaa.bbbb.cccc> 指令。

注意：您不會在終端會話中看到客戶端活動的輸出，因為所有內容都在內部進行緩衝以便以後檢視。

  

步驟 3.重現您要監控的問題或行為。

步驟 4.如果在預設之前重現問題，或配置的監控時間為打開狀態，則停止調試。

# no debug wireless mac <aaaa.bbbb.cccc>

一旦經過監控時間或調試無線停止，9800 WLC將生成一個本地檔案，其名稱為：

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

步驟 5. 收集 MAC 位址活動的檔案。    您可以將ra trace.log複製到外部伺服器，或直接在螢幕上顯示輸出。

檢查 RA 追蹤檔案的名稱

# dir bootflash: | inc ra_trace

將檔案複製到外部伺服器：

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

顯示內容：

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

步驟 6.如果根本原因仍不明顯，請收集內部日誌，這些日誌是調試級別日誌的更詳細檢視。您不需要再次調試客戶端，因為您只需進一步詳細檢視已收集並內部儲存的調試日誌。

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

注意：此命令輸出返回所有進程的所有日誌記錄級別的跟蹤，而且輸出量非常大。請聯絡 Cisco TAC 協助剖析此類追蹤。

您可將 ra-internal-FILENAME.txt 複製到外部伺服器，或將輸出內容直接顯示於螢幕上。

將檔案複製到外部伺服器：

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

顯示內容：

# more bootflash:ra-internal-<FILENAME>.txt

步驟 7.移除偵錯條件。

# clear platform condition all

注意：請確保在故障排除會話結束後始終刪除調試條件。

成功嘗試的範例

以下是RA_traces的輸出，表示在連線SSID而沒有RADIUS伺服器時，在關聯/身份驗證過程中成功嘗試辨識每個階段。

802.11關聯/驗證：

Association received. BSSID 10b3.d694.00ee, WLAN 9800DNASpaces, Slot 1 AP 10b3.d694.00e0, 2802AP-9800L
Received Dot11 association request. Processing started,SSID: 9800DNASpaces1, Policy profile: DNASpaces-PP, AP Name: 2802AP-9800L, Ap Mac Address: 10b3.d694.00e0 BSSID MAC0000.0000.0000 wlan ID: 1RSSI: 0, SNR: 32
Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
dot11 send association response. Sending association response with resp_status_code: 0 
dot11 send association response. Sending assoc response of length: 144 with resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS
Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False 
DOT11 state transition: S_DOT11_INIT -> S_DOT11_ASSOCIATED
Station Dot11 association is successful

IP學習過程：

IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
Client IP learn successful. Method: ARP IP: 10.10.30.42
IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
Received ip learn response. method: IPLEARN_METHOD_AR

第3層身份驗證：

Triggered L3 authentication. status = 0x0, Success
Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
L3 Authentication initiated. LWA 
Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING


Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in INIT state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.107.4.52] url [http://www.msftconnecttest.com/connecttest.txt]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Microsoft NCSI
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in LOGIN state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.101.24.81] url [http://www.bbc.com/]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]POST rcvd when in LOGIN state

第3層身份驗證成功。將客戶端移至RUN狀態：

[34e1.2d23.a668:capwap_90000005] Received User-Name 34E1.2D23.A668 for client 34e1.2d23.a668
L3 Authentication Successful. ACL:[]
Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
%CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: Username entry (34E1.2D23.A668) joined with ssid (9800DNASpaces) for device with MAC: 34e1.2d23.a668
Managed client RUN state notification: 34e1.2d23.a668 
Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RU