Foro en Español

Reply
Occasional Contributor II

No funciona CoA en WLC 8540 v8.5

Buenas,

 

Tengo una gran duda, ya que el CoA se que funciona en todas las Versiones de CPPM. Tengo un caso muy particular.

Tengo una SSID configurada para validar usuarios, y segun el perfil asigna una Vlan u otra con el CoA, hasta aqui perfecto, cabe resaltar que esto estaba funcionando con el CPPM v6.5.0 y WLC v8.2.

 

Ahora se ha actualizado la WLC a la v8.5 y el CPPM a la v6.6.7 y el CoA funciona a veces si a veces no, tambien se ha revisado las Release notes de ambos equipos y no informan de ningun bug que pueda interferir en el CoA.

 

Vamos a realizar un Downgrade del CPPM y mi pregunta es,

Puede existir alguna incompatibilidad con el CoA no informada en el CPPM?

 

PD: Si realizo el CoA manualmente tiene el mismo comportamiento a veces si a veces no.

 

Saludos.

Re: No funciona CoA en WLC 8540 v8.5

No tiene mucho sentido que funcione algunas veces sí y otras no.

Te recomiendo hacer capturas de tráfico para confirmar que está llegando al controller el CoA y ver que indica éste configurado en modo debug respecto a dicho paquete para confirmar el comportamiento. En dicho debug debería informar si lo recibe y en caso de que lo ignore la razón.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Occasional Contributor II

Re: No funciona CoA en WLC 8540 v8.5

Es lo que yo tambien me pregunto, como es que a momentos el CoA se realiza bien y luego tenemos que forzarlo manualmente.

 

Con el debug te referis ha realizarlo en la WLC cierto?.

Re: No funciona CoA en WLC 8540 v8.5

Sí, verificar en el WLC que recibe el CoA y ver en modo debug que aparece.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Aruba Employee

Re: No funciona CoA en WLC 8540 v8.5

Hola,

      Por tu descripción, parece que intentas proporcionar un acceso u otro segun credenciales. El CoA solo aplica si la conexión ya está establecida, pero si lo estás estableciando, son atributos Accept de Radius normales (no CoA)

     Cuando se usan CoA sobre conexiones establecidas si que he visto que parece que a veces va y a veces no va.

   Espero te ayude.

javi

Occasional Contributor II

Re: No funciona CoA en WLC 8540 v8.5

Buenas Javi,

 

Me podrias aclarar mejor lo descrito?

 

Gracias.

 

Saludos.

Aruba Employee

Re: No funciona CoA en WLC 8540 v8.5

Hola,

Comparte la captura de la definicion del servicio, asi como el detalle de cómo has definido los Enforcement Profile. Estos deben de ser de tipo RADIUS Enforcement, si la asignación al dispositivo se hace en el momento de la conexión y de tipo CoA, si es un cambio a un dispositivo ya conectado (que ya tuvo un RADIUS ACCEPT previo)

Lo que comentaba es que si se manda un CoA a algo que aun no esta conectado el comportamiento es errático.

javi
Occasional Contributor II

Re: No funciona CoA en WLC 8540 v8.5

Buenas Javi,

 

Ahora si te entendi.

Este Servicio lo utilizo para validar usuarios por un portal cautivo, primero se realiza una autenticacion MAC, al rechazarla muestra el portal, ingresas las credenciales de usuario, da acceso, mapea la mac con un role para asignarte la vlan y por ultimo, deberia realizar el CoA.

Una vez hecho el CoA se valida la mac con el Rol añadido para asignarte la Vlan que toque.

 

Y por lo que veo el equipo se conecta a la SSID, obtiene IP, al enviar credenciales tengo acceso pero no hay CoA.

 

Te adjunto caps de los servicios.

Aruba Employee

Re: No funciona CoA en WLC 8540 v8.5

Mi comentario, que no certeza que sea ese el problema, es si los enforcement profiles que tienes (por ejemplo, "MAC Chaning Change Role") son de tipo Radius Enforcement o RADIUS CoA. Creo que si es de tipo CoA, podria ser causa de la inestabilidad. Da esa sensación

 

javi

Occasional Contributor II

Re: No funciona CoA en WLC 8540 v8.5

Buenas Javi,

 

Son de Update, el uncio CoA esta en el servicio 802.1x.

Nose si tal vez al realizar la validacion de usuario por el portal, envie primero el CoA y luego acepte la validacion.

Si ocurriera ese caso, el problema seria lo descrito antes?

 

Adjunto una captura de trafico en wireshark a ver si vemos algo.

 

La peticion empieza en la Linea 1212 (Request), 1393 (Reject), 6867(Request), 7075 (Accept).

 Y si Hubiera CoA deberia aparecer otro "Request" y un "Accept" para la validacion Mac.

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: