WPA2 empresa WLAN com mobilidade (MIM) 8.2 expressos e 2.1 ISE

Transcrição

1 WPA2 empresa WLAN com mobilidade (MIM) 8.2 expressos e 2.1 ISE Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Configurar Diagrama de Rede Configurações Configuração em MIM Declare-me no ISE Crie um novo usuário no ISE Crie a regra da autenticação Crie a regra da autorização Configuração do dispositivo final Verificar Processo de autenticação em MIM Processo de autenticação no ISE Introdução Isto documenta descreve como estabelecer um WLAN (Wireless Local Area Network) com Segurança da empresa do acesso protegido por wi-fi 2 (WPA2) com um controlador expresso da mobilidade e um server externo do Remote Authentication Dial-In User Service (RADIUS). O motor do serviço da identidade (ISE) é usado como o exemplo dos servidores de raio externos. O Extensible Authentication Protocol (EAP) usado neste guia é o protocolo extensible authentication protegido (PEAP). Pré-requisitos Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: 802.1x PEAP Certification Authority (CA) Certificados

2 Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: MIM v8.2 ISE v2.1 Portátil de Windows 10 As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Configurar Diagrama de Rede

3 Configurações As etapas gerais são: 1. Crie o Service Set Identifier (SSID) no MIM e declare o servidor Radius (ISE neste exemplo) em MIM 2. Declare-me no servidor Radius (o ISE) 3. Crie a regra da autenticação no ISE 4. Crie a regra da autorização no ISE 5. Configurar o valor-limite Configuração em MIM A fim permitir uma comunicação entre o servidor Radius e MIM é precisada de registrar e viceversa o servidor Radius em MIM. Esta etapa mostra como registrar o servidor Radius em MIM. Etapa 1. Abra o GUI do MIM e navegue ao > Add wireless WLAN novo dos ajustes > WLAN.

4 Etapa 2. Selecione um nome para o WLAN. Etapa 3. Especifique a configuração de segurança sob a aba da Segurança de WLAN. Escolha a empresa WPA2, porque o Authentication Server escolhe o RAIO externo. Clique a opção da edição para adicionar o endereço IP de Um ou Mais Servidores Cisco ICM NT do RAIO

5 e para escolher uma chave secreta compartilhada.

6 <a.b.c.d> corresponde ao servidor Radius. Etapa 4. Atribua um VLAN ao SSID. Se o SSID precisa de ser atribuído ao VLAN do AP esta etapa pode ser saltada. A fim atribuir os usuários para este SSID a um VLAN específico (a não ser o VLAN do AP), permitir o uso VLAN que etiqueta e atribuir o ID de VLAN desejado.

7 Nota: Se a colocação de etiquetas VLAN é usada, seja certo que o switchport a onde o Access point é conectado, está configurado enquanto a porta de tronco e o AP VLAN são configurados como o nativo. Etapa 5. O clique aplica-se para terminar a configuração.

8 Declare-me no ISE Etapa 1. Abra o console ISE e navegue ao > Add da administração > dos recursos de rede > dos dispositivos de rede. Etapa 2. Incorpore a informação. Opcionalmente pode ser especificada um nome modelo, versão de software, descrição e atribuir os grupos de dispositivo de rede baseados em tipos de dispositivo, em lugar ou em WLC. a.b.c.d correspondem ao endereço IP de Um ou Mais Servidores Cisco ICM NT do ME.

9 Para obter mais informações sobre dos grupos de dispositivo de rede reveja este link: ISE - Grupos de dispositivo de rede Crie um novo usuário no ISE

10 Etapa 1. Navegue ao > Add da administração > do Gerenciamento de identidades > das identidades > dos usuários. Etapa 2. Incorpore a informação. Neste exemplo este usuário pertence a um grupo chamado ALL_ACCOUNTS mas pode ser ajustado como necessário.

11 Crie a regra da autenticação As regras da autenticação estão usadas para verificar se as credenciais dos usuários são direito (verifique se o usuário é realmente quem diz que é) e para limitar os métodos de

12 autenticação que estão permitidos ser usados por ele. Etapa 1. Navegue à política > à autenticação. Etapa 2. Introduza uma regra nova da autenticação. Para fazer navegue assim acima de novo à fileira da política > da autenticação > da inserção/abaixo. Etapa 3. Incorpore a informação necessária Este exemplo da regra da autenticação permite todos os protocolos alistados sob a lista de acessos da rede padrão, este aplica-se ao pedido de autenticação para clientes wireless do 802.1x e com Chamar-Estação-ID e extremidades com ISE-SSID. Também, escolha a fonte da identidade para os clientes que combina esta regra da autenticação, neste exemplo que é usuários internos usados

13 Uma vez que é clique terminado feito e salvaguarda Para obter mais informações sobre de permita protocolos que as políticas consultam este link: Serviço permitido dos protocolos Para obter mais informações sobre da identidade as fontes consultam este link: Crie um grupo da identidade do usuário Crie a regra da autorização A regra da autorização é essa responsável para determinar se é permitido ao cliente se juntar à rede ou não Etapa 1. Navegue à política > à autorização.

14 Etapa 2. Introduza uma regra nova. Navegue à política > à autorização > a acima de novo da regra da inserção/abaixo. Etapa 3. Incorpore a informação. Escolha primeiramente um nome para a regra e os grupos da identidade onde o usuário é armazenado. Neste exemplo o usuário é armazenado no grupo ALL_ACCOUNTS. Em seguida isso escolhe outras circunstâncias que fazem o processo da autorização para cair nesta regra. Neste exemplo o processo da autorização bate esta regra se usa o Sem fio do 802.1x e é extremidades da estação chamada ID com ISE-SSID. Escolha finalmente o perfil da autorização que permite que os clientes se juntem à rede, clicar feito e salvaguarda.

15 Configuração do dispositivo final Configurar um portátil de Windows 10 para conectar a um SSID com a autenticação do 802.1x usando PEAP/MS-CHAPv2 (versão de Microsoft da versão 2 do protocolo challenge-handshake authentication). Neste exemplo de configuração o ISE usa seu certificado auto-assinado para executar a autenticação. Para criar o perfil WLAN na máquina dos indicadores lá seja duas opções: 1. Instale o certificado auto-assinado na máquina para validar e confiar o server ISE para terminar a autenticação 2. Contorneie a validação do servidor Radius e confie todo o servidor Radius usado para executar a autenticação (não recomendada, como pode se transformar uma questão de segurança) A configuração para estas opções é explicada na configuração de dispositivo final - crie o perfil WLAN - a etapa 7. Configuração de dispositivo final - Instale o certificado auto-assinado ISE Etapa 1. Certificado auto-assinado da exportação do ISE. Entre ao ISE e navegue à administração > ao sistema > aos Certificados > aos Certificados do sistema. Então selecione o certificado usado para a autenticação de EAP e clique a exportação.

16 Salvar o certificado no lugar necessário. Este certificado é instalado na máquina de Windows. Etapa 2. Instale o certificado na máquina de Windows. Copie o certificado exportado antes na máquina de Windows, mude a extensão do arquivo do.pem a.crt, em seguida que fazem duplo clique nele e seleto instale o certificado.

17 Escolha instalá-lo na máquina local, a seguir clique em seguida.

18 Selecione o lugar todos os Certificados na seguinte loja, a seguir consulte e escolha Autoridades de certificação de raiz confiável. Em seguida esse clique seguinte.

19 Clique então o revestimento.

20 Na extremidade clique sim para confirmar a instalação do certificado.

21 Clique finalmente a APROVAÇÃO. Configuração de dispositivo final - Crie o perfil WLAN Etapa 1. Clicar com o botão direito no ícone do começo e selecione o Control Panel.

22 Etapa 2. Navegue à rede e ao Internet e então à rede e à partilha Center e clique estabelece sobre uma nova conexão ou uma rede. Etapa 3. Selecione conectam manualmente a uma rede Wireless e clicam em seguida.

23 Etapa 4. Incorpore a informação com o nome do tipo WPA2-Enterprise SSID e de Segurança e clique-a em seguida. Etapa 5. Selecione configurações de conexão da mudança para personalizar a configuração do perfil WLAN.

24 Etapa 6. Navegue à ABA de segurança e clique ajustes.

25 Etapa 7. Escolha se o servidor Radius é validado ou não. Se sim, permita verificam a identidade do server validando o certificado e das Autoridades de certificação de raiz confiável: aliste seleto o certificado auto-assinado do ISE. Em seguida esse seleto configura e desabilita automaticamente o uso meus nome de logon e senha de Windows, a seguir clica a APROVAÇÃO

26

27 Etapa 8. Configurar as credenciais do usuário Uma vez de volta à ABA de segurança, selecione ajustes avançados, especifique o modo de autenticação como a autenticação de usuário e salvar as credenciais que foram configuradas no ISE para autenticar o usuário.

28 Verificar O fluxo da autenticação pode ser verificado do WLC ou da perspectiva ISE. Processo de autenticação em MIM

29 Execute este comando monitorar o processo de autenticação para um usuário específico: > debug client <mac-add-client> Exemplo de uma autenticação bem sucedida (alguma saída foi omitida): *apfmsconntask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Processing assoc-req station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 thread:669ba80 *apfmsconntask_0: Nov 25 16:36:24.333: 08:74:02:77:13:45 Association received from mobile on BSSID 38:ed:18:c6:7b:4d AP *apfmsconntask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying site-specific Local Bridging override for station 08:74:02:77:13:45 - vapid 3, site 'FlexGroup', interface 'management' *apfmsconntask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Applying Local Bridging Interface Policy for station 08:74:02:77:13:45 - vlan 0, interface id 0, interface 'management' *apfmsconntask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Set Clinet Non AP specific apfmsaccessvlan = 2400 *apfmsconntask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 This apfmsaccessvlan may be changed later from AAA after L2 Auth *apfmsconntask_0: Nov 25 16:36:24.334: 08:74:02:77:13:45 Received i 802.1X key management suite, enabling dot1x Authentication *apfmsconntask_0: Nov 25 16:36:24.335: 08:74:02:77:13: START (0) Change state to AUTHCHECK (2) last state START (0) *apfmsconntask_0: Nov 25 16:36:24.335: 08:74:02:77:13: AUTHCHECK (2) Change state to 8021X_REQD (3) last state AUTHCHECK (2) *apfmsconntask_0: Nov 25 16:36:24.335: 08:74:02:77:13: X_REQD (3) DHCP required on AP 38:ed:18:c6:7b:40 vapid 3 apvapid 3for this client *apfmsconntask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 apfpemadduser2:session timeout forstation 08:74:02:77:13:45 - Session Tout 0, apfmstimeout '0' and sessiontimerrunning flag is 0 *apfmsconntask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Stopping deletion of Mobile Station: (callerid: 48) *apfmsconntask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Func: apfpemadduser2, Ms Timeout = 0, Session Timeout = 0 *apfmsconntask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending assoc-resp with status 0 station:08:74:02:77:13:45 AP:38:ed:18:c6:7b:40-01 on apvapid 3 *apfmsconntask_0: Nov 25 16:36:24.335: 08:74:02:77:13:45 Sending Assoc Response to station on BSSID 38:ed:18:c6:7b:4d (status 0) ApVapId 3 Slot 1 *spamaptask0: Nov 25 16:36:24.341: 08:74:02:77:13:45 Sent dot1x auth initiate message for mobile 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 reauth_sm state transition 0 ---> 1 for mobile 08:74:02:77:13:45 at 1x_reauth_sm.c:47 *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 EAP-PARAM Debug - eap-params for Wlan-Id :3 is disabled - applying Global eap timers and retries *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Disable re-auth, use PMK lifetime. *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800 *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Connecting state *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.342: 08:74:02:77:13:45 Sending EAP-Request/Identity to mobile 08:74:02:77:13:45 (EAP Id 1) *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received EAPOL EAPPKT from mobile 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:24.401: 08:74:02:77:13:45 Received Identity Response (count=1) from mobile 08:74:02:77:13:45... *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Processing Access-Accept for mobile 08:74:02:77:13:45

30 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Username entry (user1) created in mscb for mobile, length = 253 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Station 08:74:02:77:13:45 setting dot1x reauth timeout = 1800 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.978: 08:74:02:77:13:45 Creating a PKC PMKID Cache entry for station 08:74:02:77:13:45 (RSN 2) *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding BSSID 38:ed:18:c6:7b:4d to PMKID cache at index 0 for station 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: New PMKID: (16) *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Adding Audit session ID payload in Mobility handoff *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 0 PMK-update groupcast messages sent *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 PMK sent to mobility group *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Disabling re-auth since PMK lifetime can take care of same. *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Sending EAP-Success to mobile 08:74:02:77:13:45 (EAP Id 70) *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Freeing AAACB from Dot1xCB as AAA auth is done for mobile 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Found an cache entry for BSSID 38:ed:18:c6:7b:4d in PMKID cache at index 0 of station 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: Including PMKID in M1 (16) *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] 80 3a 20 8c 8f c2 4c 18 7d 4c 28 e7 7f *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: M1 - Key Data: (22) *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0000] dd f ac a 20 8c 8f c2 4c 18 7d 4c *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: [0016] 28 e7 7f *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.979: 08:74:02:77:13:45 Starting key exchange to mobile 08:74:02:77:13:45, data packets will be dropped *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45 state INITPMK (message 1), replay counter *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Entering Backend Auth Success state (id=70) for mobile 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 Received Auth Success while in Authenticating state for mobile 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.980: 08:74:02:77:13:45 dot1x - moving mobile 08:74:02:77:13:45 into Authenticated state *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-Key from mobile 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received EAPOL-key in PTK_START state (message 2) from mobile 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Successfully computed PTK from PMK!!! *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.983: 08:74:02:77:13:45 Received valid MIC in EAPOL Key Message M2!!!!! *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: : f ac f ac *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: : 00 0f ac 01 0c *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: : f ac f ac f... *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: : ac 01 0c *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 PMK: Sending cache add *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Sending EAPOL-Key Message to mobile 08:74:02:77:13:45 state PTKINITNEGOTIATING (message 3), replay counter *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.984: 08:74:02:77:13:45 Reusing allocated memory for EAP Pkt for retransmission to mobile 08:74:02:77:13:45

31 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Stopping retransmission timer for mobile 08:74:02:77:13:45 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13: X_REQD (3) Change state to L2AUTHCOMPLETE (4) last state 8021X_REQD (3) *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Mobility query, PEM State: L2AUTHCOMPLETE *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Mobile Announce : *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building Client Payload: *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Ip: *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vlan Ip: , Vlan mask : *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Client Vap Security: *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Virtual Ip: *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 ssid: ise-ssid *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Building VlanIpPayload. *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13: L2AUTHCOMPLETE (4) DHCP required on AP 38:ed:18:c6:7b:40 vapid 3 apvapid 3for this client *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13:45 Not Using WMM Compliance code qoscap 00 *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13: L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 38:ed:18:c6:7b:40 vapid 3 apvapid 3 flex-acl-name: *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13: L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last state L2AUTHCOMPLETE (4) *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13: DHCP_REQD (7) pemadvancestate2 6623, Adding TMP rule *Dot1x_NW_MsgTask_0: Nov 25 16:36:25.988: 08:74:02:77:13: DHCP_REQD (7) Adding Fast Path rule type = Airespace AP - Learn IP address on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0 IPv4 ACL ID = 255, IPv *apfreceivetask: Nov 25 16:36:25.989: 08:74:02:77:13: DHCP_REQD (7) mobility role update request from Unassociated to Local Peer = , Old Anchor = , New Anchor = *apfreceivetask: Nov 25 16:36:25.989: 08:74:02:77:13: DHCP_REQD (7) State Update from Mobility-Incomplete to Mobility-Complete, mobility role=local, client state=apf_ms_state_associated *apfreceivetask: Nov 25 16:36:25.989: 08:74:02:77:13: DHCP_REQD (7) pemadvancestate2 6261, Adding TMP rule *apfreceivetask: Nov 25 16:36:25.989: 08:74:02:77:13: DHCP_REQD (7) Replacing Fast Path rule type = Airespace AP - Learn IP address on AP 38:ed:18:c6:7b:40, slot 1, interface = 1, QOS = 0 IPv4 ACL ID = 255, *apfreceivetask: Nov 25 16:36:25.989: 08:74:02:77:13: DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255) *pemreceivetask: Nov 25 16:36:25.990: 08:74:02:77:13: Added NPU entry of type 9, dtlflags 0x0 *pemreceivetask: Nov 25 16:36:25.990: 08:74:02:77:13: Added NPU entry of type 9, dtlflags 0x0 *apfreceivetask: Nov 25 16:36:27.835: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1 *apfreceivetask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0 *apfreceivetask: Nov 25 16:36:27.835: 08:74:02:77:13:45 In apfregisteripaddronmscb_debug: regtype=1 Invalid src IP address, is part of reserved ip address range (caller apf_ms.c:3593) *apfreceivetask: Nov 25 16:36:27.835: 08:74:02:77:13:45 IPv4 Addr: 0:0:0:0 *apfreceivetask: Nov 25 16:36:27.840: 08:74:02:77:13:45 WcdbClientUpdate: IP Binding from WCDB ip_learn_type 1, add_or_delete 1 *apfreceivetask: Nov 25 16:36:27.841: 08:74:02:77:13: DHCP_REQD (7) Change state to RUN (20) last state DHCP_REQD (7) Para que uma maneira fácil leia debugar saídas do cliente, usam o Sem fio debugam a

32 ferramenta do analisador: O Sem fio debuga o analisador Processo de autenticação no ISE Navegue às operações > ao RAIO > vivo entra a ordem para ver que política de autenticação, política da autorização e perfil da autorização atribuídos ao usuário. Para mais informação clique sobre detalhes para ver um processo de autenticação mais detalhado.