cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Error Authentication ISE 2.0 - 802.1X

Buenas tardes colegas,

Tengo una consulta a la comunidad, para los que tienen desplegado la plataforma ISE 2.0 en alguna red comporativa o un cliente especificico.

Actualmente tengo desplegado ISE 2.0 al nivel Inalambrico (Cableado por ahora no esta desplegado), al nivel de usuarios corporativos, se autentican mediante 802.1X, tambien se tienen redes inalambricas para que se autentiquen los usuarios mediante Portal Cautivo.

El problema que presenta son los usuarios corporativos. Dentro de la empresa cuentan con laptops HP con Windows 7 y Windows 10, al momento de conectarse a la red, sin problema alguno trabajan, pasan unas horas y se desconectan de la red corporativa de un momento a otro (Estando en su sitio), si se hubiera trasladado de un lugar a otro puedo aceptar que pierda conectividad, pero el usuario estaba en su lugar y se desconecto solo de la red.

Este problema es aleatorio, pero pasa y el usuario siente malestar estar conectandose a cada momento que pasa esto.

Capture algunos logs dentro del ISE :

5440 Endpoint abandoned EAP session and started new

Event 5440 Endpoint abandoned EAP session and started new
Failure Reason 5440 Endpoint abandoned EAP session and started new
Resolution Verify known NAD or supplicant issues and published bugs. Verify NAD and supplicant configuration.
Root cause Endpoint started new authentication while previous is still in progress. Most probable that supplicant on that endpoint stopped conducting the previous authentication and started the new one. Closing the previous authentication.

Steps

  11001 Received RADIUS Access-Request
  11017 RADIUS created a new session
  15049 Evaluating Policy Group
  15008 Evaluating Service Selection Policy
  15048 Queried PIP - Normalised Radius.RadiusFlowType
  15004 Matched rule - Dot1X
  11507 Extracted EAP-Response/Identity
  12300 Prepared EAP-Request proposing PEAP with challenge
  11006 Returned RADIUS Access-Challenge
  11001 Received RADIUS Access-Request
  11018 RADIUS is re-using an existing session
  12302 Extracted EAP-Response containing PEAP challenge-response and accepting PEAP as negotiated
  12318 Successfully negotiated PEAP version 0
  12800 Extracted first TLS record; TLS handshake started
  12805 Extracted TLS ClientHello message
  12806 Prepared TLS ServerHello message
  12807 Prepared TLS Certificate message
  12810 Prepared TLS ServerDone message
  12305 Prepared EAP-Request with another PEAP challenge
  11006 Returned RADIUS Access-Challenge
  5440 Endpoint abandoned EAP session and started new ( Step latency=18048 ms)

Cualquier comentario y/o ayuda es bien recibida

Saludos

Carlos P.

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas
New Member

Hola Carlos. No, no tuve este

Hola Carlos. No, no tuve este problema que comentas pero tengo otro problema relacionado con ISE y WLC (cuando configuro un hotspot en ISE, la acl-redirect funciona pero la acl de acceso no la aplica el WLC).

Ultimamente estoy teniendo varios trabajos de implementaciones entre ISE y WLC por lo que estoy leyendo varios casos para estar preparado ante una eventual falla.

Saludos.-

10 RESPUESTAS
Silver

Hola! estuve investigando un

Hola! estuve investigando un poco sobre tu tema en el foro en inglés, los usuarios indican que el problema puede deberse a una mala configuración en el AAA, te animo a que puedas revisar estos links:

https://supportforums.cisco.com/discussion/12156896/5760-wlc-ise-12-peap-issues

https://mrncciew.com/2013/12/16/configuring-radius-on-5760/

***Si la respuesta es correcta o fue de tu ayuda por favor puntearla***

Saludos,

New Member

Ya habia buscado este error

Ya habia buscado este error tambien el los foros en ingles, pero el error se genera al nivel Wireless, ya lo valide con apoyo de cisco,

De igual manera gracias por la informaciono anaid

Saludos.

Carlos.

New Member

Hola Carlos, finalmente se

Hola Carlos, finalmente se resolvió este problema? Si bien era del wlc, te dijeron que era?

Saludos.

New Member

Hola Matias,

Hola Matias,

Aun estamos en revision en conjunto con cisco y con el Proveedor de su WAN corporativa,

Pero segun me informa cisco es un tema entre el WLC y los AP's

Te paso algo similar Matias?

Saludos,

Carlos P.

New Member

Hola Carlos. No, no tuve este

Hola Carlos. No, no tuve este problema que comentas pero tengo otro problema relacionado con ISE y WLC (cuando configuro un hotspot en ISE, la acl-redirect funciona pero la acl de acceso no la aplica el WLC).

Ultimamente estoy teniendo varios trabajos de implementaciones entre ISE y WLC por lo que estoy leyendo varios casos para estar preparado ante una eventual falla.

Saludos.-

New Member

Hola Matias,

Hola Matias,

Es extraño eso,

Consulta que version de ISE estas teniendo este problema?

Aun no lo revisas en conjunto con cisco

Saludos

New Member

Tengo ISE 2.2 con parche 1 y

Tengo ISE 2.2 con parche 1 y el WLC es 5508 con version 8.2.141

Esta la guia para la integracion entre ISE y WLC usando CWA: http://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html

El problema que comento se da cuando quiero restringir el acceso en vez de utilizar "PermirAccess" como muestra la guia. Esa forma funciona, pero nuestro cliente no quiere que el guest tenga full access.

Saludos.-

New Member

Hola Matias

Hola Matias

Te recomiendo que hagas un upgrade al WLC ya que esa version esta fuera de soporte y tiene algunos bugs, actualizalo a la version 8.2.151

Saludos

Carlos P

New Member

Gracias Carlos, te comento

Gracias Carlos, te comento que finalmente encontre la solucion al problema. Modifique la configuracion de las sesiones de CoA en ISE para que reautentique las sesiones porque el WLC no interpretaba correctamente los mensajes.

Saludos!

Re: Gracias Carlos, te comento

Hola!  ¿Puedes dar más detalles sobre esto?  Tengo el mismo problema con el error 5440...

341
Visitas
4
ÚTIL
10
Respuestas
CrearPor favor para crear contenido