فهم مهمة الرقيب الديناميكي/L2VNID على اتصال SDA اللاسلكي

المقدمة

يصف هذا المستند عملية تعيين Dynamic Sgt و L2VNID على Fabric Enabled Wireless 802.1x SSIDs.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• خدمة مصادقة طلب اتصال المستخدم البعيد (RADIUS)
• وحدة التحكم في شبكة LAN اللاسلكية (WLC)
• محرك خدمات الهوية (ISE)
• علامة مجموعة الأمان (الرقيب)
• L2VNID (معرف الشبكة الظاهرية من الطبقة 2)
• إمكانية الاتصال اللاسلكي عبر بنية SD-Access (SDA Few)
• بروتوكول فصل المعرف/محدد الموقع (LISP)
• شبكة المنطقة المحلية الظاهرية الظاهرية الظاهرية (VXLAN)
• مستوى التحكم في البنية (CP) وعقدة الحافة (EN)
• مركز Catalyst (CatC، المعروف سابقا باسم مركز بنية الشبكة الرقمية من Cisco)

المكونات المستخدمة

WLC 9800 Cisco IOS® XE، الإصدار 17.6.4

IOS® XE من Cisco

ISE، الإصدار 2.7

CatC صيغة 2.3.5.6

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

ومن بين الجوانب الرئيسية للوصول إلى التنمية المستدامة التقسيم الجزئي داخل شبكة خاصة ظاهرية (VN) والذي يتم تحقيقه من خلال المجموعات القابلة للتطوير.

يمكن انتداب الرقيب بشكل ثابت لكل شبكة محلية لاسلكية (WLAN) أو SSID (على الرغم من أنهما ليسا متشابهين، إلا أن اختلافهما لا يؤثر على الهدف الرئيسي لهذا المستند، لذلك نستخدم هذين المصطلحين بالتبادل لنفس المعنى لتعزيز إمكانية القراءة). ومع ذلك، في العديد من عمليات النشر الحقيقية، غالبا ما يكون هناك مستخدمين يتصلون بنفس شبكة WLAN ويتطلبون مجموعة مختلفة من السياسات أو إعدادات الشبكة. وبالإضافة إلى ذلك، في بعض السيناريوهات، هناك حاجة إلى تخصيص عناوين IP المختلفة لعملاء محددين داخل شبكة WLAN الليفية نفسها لتطبيق سياسات محددة قائمة على IP عليهم أو الوفاء بمتطلبات عنونة IP للشركة. يمثل معرف L2VNID (معرف الشبكة الظاهرية من الطبقة 2) المعلمة التي تستخدمها البنية الأساسية القليلة لوضع المستخدمين اللاسلكيين في نطاقات شبكات فرعية مختلفة. ترسل نقاط الوصول معرف L2VNID في رأس شبكة VXlan إلى عقدة حافة البنية (EN)، والتي تقوم بعد ذلك بربطها بشبكة VLAN المقابلة من المستوى الثاني.

لتحقيق هذه القابلية للتجميع داخل شبكة WLAN نفسها، يتم الاستفادة من تعيين Dynamic Sgt و/أو L2VNID. تجمع وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) معلومات الهوية الخاصة بنقطة النهاية، وترسلها إلى ISE للمصادقة، والتي تستخدمها لمطابقة السياسة المناسبة التي سيتم تطبيقها على هذا العميل وترجع معلومات SGT و/أو L2VNID عند المصادقة الناجحة.

المخطط

لفهم كيفية عمل هذه العملية، قمنا بتطوير مثال باستخدام طبولوجيا المعامل هذه:

في هذا المثال، يتم تكوين شبكة WLAN بشكل ثابت باستخدام:

• L2VNID = 8198 / اسم تجمع IP = Pegasus_Read_Only —> VLAN 1030 (10.10.10.x)
• لا رقيب

والعميل اللاسلكي المتصل به يحصل بشكل ديناميكي على هذه المعاملات:

• L2VNID = 8199 / اسم تجمع IP = 10_10_30_0-READONLY_VN —> VLAN 1031 (10.10.30.x)
• الرقيب = 18

التكوين

أولا، نحتاج إلى تحديد شبكة WLAN المعنية والتحقق من كيفية تكوينها. في هذا المثال، يتم إستخدام TC2E-druedahe-802.1x" SSID. في وقت تنقيح هذا المستند، يتم دعم SDA فقط عبر CatC لذلك يجب علينا التحقق مما تم تكوينه هناك. تحت بند الإمداد/SD-Access/مواقع البنية/<موقع بنية محدد>/ضم المضيف/SSIDs اللاسلكية:

تتضمن SSID مجموعة IP المسماة "Pegasus_Read_Only" التي تم تعيينها ولا يوجد لها SGT معين بشكل ثابت مما يعني SGT=0. وهذا يعني أنه إذا قام عميل لاسلكي بالاتصال والمصادقة بنجاح دون أن يرسل ISE أي سمة مرة أخرى للقيام بمهمة ديناميكية، فإن هذا ما تكون عليه إعدادات العميل اللاسلكي.

يجب أن يكون التجمع الذي تم تعيينه ديناميكيا موجودا مسبقا في تكوين WLC. ويتم تحقيق ذلك بإضافة تجمع IP على أنه "تجمع لاسلكي" في الشبكة الظاهرية على CatC:

في واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) تحت Configuration/Wireless/Fabric، يعكس هذا الإعداد هذه الطريقة:

يتوافق تجمع "Pegasus_Read_Only" مع معرف L2VNID لعام 8198 ونريد أن يكون عميلنا على معرف L2VNID لعام 8199، مما يعني أن ISE يحتاج إلى إعلام عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام تجمع "10_10_30_0-READONLY_VN" لهذا العميل. يستحق أن يتذكر أن ال WLC لا يحمل أي تشكيل ل ال VLANs بناء. هو فقط يعلم ال L2VNIDs. يتم بعد ذلك تعيين كل واحدة على شبكة VLAN معينة في شبكات SDA الليفية.

التحقق

الأعراض التي تم الإبلاغ عنها للمشاكل التي تتعلق بالمهمة الديناميكية للرقيب/L2VNID هي إما:

1. لا يتم فرض سياسات SG على العملاء اللاسلكيين الذين يقومون بالاتصال بشبكة محلية لاسلكية (WLAN) معينة. (مشكلة تعيين الرقيب الديناميكي).
2. لا يحصل العملاء اللاسلكي على عنوان IP عبر DHCP، أو لا يحصلون على عنوان IP من نطاق الشبكة الفرعية المطلوب على شبكة WLAN معينة. (مشكلة تعيين L2VNID الديناميكية).

ويجري الآن وصف التحقق من كل نقطة ذات صلة في هذه العملية.

التحقق من ISE

نقطة البداية هي ISE. انتقل إلى واجهة المستخدم الرسومية (GUI) ISE ضمن Operation/RADIUS/Live Log/ واستخدم عنوان MAC للعميل اللاسلكي كمرشح في حقل معرف نقطة النهاية، ثم انقر على رمز التفاصيل:

ثم يفتح علامة تبويب أخرى بها تفاصيل المصادقة. نحن مهتمون بشكل رئيسي بفرعين نظرة عامة و نتيجة:

نظرة عامة توضح ما إذا كان قد تم إستخدام السياسة المقصودة أو المطلوبة لمصادقة العميل اللاسلكي هذه. وإذا لم تكن هناك مساحة، فيجب إعادة النظر في تكوين سياسات ISE، ومع ذلك فهذا خارج نطاق هذا المستند.

توضح النتيجة ما تم إرجاعه من قبل ISE إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). الهدف هو أن يتم تعيين الرقيب ومعرف L2VNID بشكل ديناميكي، لذا يجب تضمين هذه البيانات هنا وهي كذلك. لاحظ أمرين:

1. يتم إرسال اسم L2VNID كسمة "Tunnel-Private-Group-ID". يجب أن يقوم ISE بإرجاع الاسم (10_10_30_0-READONLY_VN) وليس المعرف (8199).

2. يتم إرسال الرقيب ك "زوج هاتف من سيسكو". في سمة cts:security-group-tag، لاحظ أن قيمة الرقيب هي hex (12) وليس في ascii (18)، ولكنهم هم أنفسهم. TC2E_Learning هو اسم الرقيب في ISE داخليا.

التحقق من WLC

في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يمكننا إستخدام الأمر show wireless fabric client summary للتحقق من حالة العميل وshow wireless fabric summary لتأكيد تكوين البنية ووجود معرف L2VNID المحدد ديناميكيا:

eWLC#show wireless fabric client summary
Number of Fabric Clients : 1

MAC Address    AP Name                          WLAN State              Protocol Method     L2 VNID    RLOC IP
----------------------------------------------------------------------------------------------------------------------
08be.ac18.c4d9 DNA12-AP-01                       19   Run                11ac     Dot1x      8199       172.16.69.68

eWLC4#show wireless fabric summary

Fabric Status      : Enabled


Control-plane:
Name                             IP-address        Key                              Status
--------------------------------------------------------------------------------------------
default-control-plane            172.16.201.4      f9afa1                           Up

Fabric VNID Mapping:
  Name               L2-VNID        L3-VNID        IP Address             Subnet        Control plane name
----------------------------------------------------------------------------------------------------------------------
  Pegasus_APs         8196           4097           10.10.99.0          255.255.255.0      default-control-plane
  Pegasus_Extended     8207           0                                  0.0.0.0            default-control-plane
  Pegasus_Read_Only     8198           0                                  0.0.0.0            default-control-plane
  10_10_30_0-READONLY_VN     8199           0                                  0.0.0.0            default-control-plane 

إذا لم تنعكس المعلومات المتوقعة، يمكننا تمكين تتبع RA لعنوان MAC للعميل اللاسلكي في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لرؤية البيانات المتلقاة من ISE تماما. يمكن العثور على معلومات حول كيفية الحصول على إخراج عمليات تعقب RA لعميل معين في هذا المستند:

https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-6/config-guide/b_wl_17_6_cg/m_debug_ra_ewlc.html?bookSearch=true

في إخراج تتبع RA للعميل، يتم حمل السمات التي يتم إرسالها بواسطة ISE في حزمة قبول الوصول إلى RADIUS:

{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Received from id 1812/14 172.16.201.206:0, Access-Accept, len 425
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  authenticator c6 ac 95 5c 95 22 ea b6 - 21 7d 8a fb a0 2f 3a d9
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  User-Name           [1]     10  "druedahe"
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  Class               [25]    53  ...
{wncd_x_R0-0}{1}: [radius] [21860]: (info): 01:
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  Tunnel-Type         [64]     6  VLAN                   [13]
{wncd_x_R0-0}{1}: [radius] [21860]: (info): 01:
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  Tunnel-Medium-Type  [65]     6  ALL_802                [6]
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  EAP-Message         [79]     6  ...
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  Message-Authenticator[80]    18  ...
{wncd_x_R0-0}{1}: [radius] [21860]: (info): 01:
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  Tunnel-Private-Group-Id[81]    25  "10_10_30_0-READONLY_VN"
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  EAP-Key-Name        [102]   67  *
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  Vendor, Cisco       [26]    38
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:   Cisco AVpair       [1]     32  "cts:security-group-tag=0012-01"
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  Vendor, Cisco       [26]    34
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:   Cisco AVpair       [1]     28  "cts:sgt-name=TC2E_Learners"
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  Vendor, Cisco       [26]    26
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:   Cisco AVpair       [1]     20  "cts:vn=READONLY_VN"
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS:  Vendor, Microsoft   [26]    58
…
{wncd_x_R0-0}{1}: [epm-misc] [21860]: (info): [08be.ac18.c4d9:capwap_9000000a] Username druedahe received
{wncd_x_R0-0}{1}: [epm-misc] [21860]: (info): [08be.ac18.c4d9:capwap_9000000a] VN READONLY_VN received in misc plugin
…
{wncd_x_R0-0}{1}: [auth-mgr] [21860]: (info): [08be.ac18.c4d9:capwap_9000000a] User Profile applied successfully - REPLACE
{wncd_x_R0-0}{1}: [client-auth] [21860]: (note): MAC: 08be.ac18.c4d9  ADD MOBILE sent. Client state flags: 0x42  BSSID: MAC: 488b.0a97.0128 capwap IFID: 0x9000000a

بعد ذلك تقوم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بإرسال معلومات Sgt و L2VNID إلى:

1. نقطة الوصول (AP) عبر CAPWAP (التحكم في نقاط الوصول اللاسلكية وتوفيرها).

2. بروتوكول Fabric CP عبر LISP.

بعد ذلك يرسل بروتوكول Fabric Cp قيمة الرقيب عبر LISP إلى Fabric EN حيث تكون نقطة الوصول متصلة.

التحقق من EN للقناة الليفية

تتمثل الخطوة التالية في التحقق من صحة ما إذا كان Fabric EN يعكس المعلومات التي يتم تلقيها ديناميكيا. العرض vlan يؤكد أمر ال VLAN يربط إلى ال L2VNID 8199:

EDGE-01#show vlan | i 819
1028 Pegasus_APs                      active    Tu0:8196, Gi1/0/4, Gi1/0/5, Gi1/0/6, Gi1/0/10, Gi1/0/18
1030 Pegasus_Read_Only                active    Tu0:8198, Gi1/0/15
1031 10_10_30_0-READONLY_VN           active    Tu0:8199, Gi1/0/1, Gi1/0/2, Gi1/0/9

نحن يستطيع رأيت أن L2VNID 8199 خططت إلى VLAN 1031.

و العرض أداة تتبع قاعدة معطيات ماك <mac address>يعرض إن يكون الزبون لاسلكي على ال VLAN ب رغب:

EDGE-01#show device-tracking database mac 08be.ac18.c4d9
Load for five secs: 1%/0%; one minute: 1%; five minutes: 1%
Time source is NTP, 15:16:09.219 UTC Thu Nov 23 2023
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned


    Network Layer Address                   Link Layer Address Interface  vlan  prlvl age    state     Time left
macDB has 0 entries for mac 08be.ac18.c4d9,vlan 1028, 0 dynamic
macDB has 2 entries for mac 08be.ac18.c4d9,vlan 1030, 0 dynamic
DH4 10.10.30.12                             08be.ac18.c4d9     Ac1        1031  0025  96s    REACHABLE 147 s try 0(691033 s)

وأخيرا، يوفر الأمر show cts المزود برقم تعيين قائم على الأدوار من نوع VRF <vrf name> all قيمة الرقيب المخصصة للعميل. في هذا مثال، ال VLAN 1031 جزء من ال "READONLY_VN" VRF:

EDGE-01#show cts role-based sgt-map vrf READONLY_VN all
Load for five secs: 1%/0%; one minute: 1%; five minutes: 1%
Time source is NTP, 10:54:01.496 UTC Fri Dec 1 2023

Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
10.10.30.12             18      LOCAL
10.10.30.14             4       LOCAL

ومن خلال ذلك يمكن للمعلمين تطبيق السياسات التي تم تكوينها للرقيب المحدد.

إذا لم يتم ملء هذه المخرجات بشكل صحيح، فيمكننا إستخدام الأمر debug lisp control-plane all في EN للتحقق مما إذا كان يستلم إعلام LISP الوارد من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC):

378879: Nov 28 18:49:51.376: [MS]  LISP: Session VRF default, Local 172.16.69.68, Peer 172.16.201.4:4342, Role: Active, Received reliable registration message wlc mapping-notification for IID 8199  EID 08be.ac18.c4d9/48  (state: Up, RX 0, TX 0).
378880: Nov 28 18:49:51.376: [XTR] LISP-0 IID 8199 MAC: Map Server 172.16.201.4, WLC Map-Notify for EID 08be.ac18.c4d9 has 0 Host IP records, TTL=1440.
378881: Nov 28 18:49:51.376: [XTR] LISP-0 IID 8199: WLC entry prefix 08be.ac18.c4d9/48 client, Created.
378888: Nov 28 18:49:51.377: [XTR] LISP-0 IID 8199 MAC: SISF event scheduled Add of client MAC 08be.ac18.c4d9.
378889: Nov 28 18:49:51.377: [XTR] LISP: MAC, SISF L2 table event CREATED for 08be.ac18.c4d9 in Vlan 1031, IfNum 92, old IfNum 0, tunnel ifNum 89.

لاحظ أن إخطار LISP يتم إستقباله أولا من قبل CP الذي يقوم بعد ذلك بإبلاغه إلى EN. يتم إنشاء إدخال SIF أو تعقب الجهاز عند تلقي إعلام LISP هذا، والذي يعد جزءا مهما من العملية. يمكنك أيضا عرض هذا الإعلام مع:

EDGE-01#show lisp instance-id 8199 ethernet database wlc clients detail
Load for five secs: 1%/0%; one minute: 1%; five minutes: 1%
Time source is NTP, 21:23:31.737 UTC Wed Nov 29 2023


WLC clients/access-points information for router lisp 0 IID 8199

Hardware Address: 08be.ac18.c4d9
Type:             client
Sources:          1
Tunnel Update:    Signalled
Source MS:        172.16.201.4
RLOC:             172.16.69.68
Up time:          00:01:09
Metadata length:  34
Metadata (hex):   00 01 00 22   00 01 00 0C   0A 0A 63 0B   00 00 10 01
                  00 02 00 06   00 12 00 03   00 0C 00 00   00 00 65 67
                  AB 7B

التحقق من الحزم

كخطوة تأكيد أخيرة، يمكننا أيضا إستخدام أداة التقاط الحزم المضمنة (EPC) في محول EN ونرى كيفية إرسال الحزم الخاصة بهذا العميل بواسطة نقطة الوصول. للحصول على معلومات حول كيفية الحصول على ملف التقاط باستخدام EPC، ارجع إلى:

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-3/configuration_guide/nmgmt/b_173_nmgmt_9300_cg/configuring_packet_capture.html

على سبيل المثال، تم بدء إختبار الاتصال بالبوابة في العميل اللاسلكي نفسه:

لاحظ أن الربط يتوقع بالفعل أن يأتي مع VXLAN رأس من ال ap، بما أن ال ap و EN من نموذج VXLAN نفق بينهم ل ال fabric لاسلكي زبون:

مصدر النفق هو عنوان AP (10.10.99.11) والوجهة هي عنوان EN Loopback0 IP (172.16.69.68). وداخل رأس شبكة VXLAN، يمكننا رؤية بيانات العميل اللاسلكي الفعلية، في هذه الحالة حزمة ICMP.

أخيرا، فحصت ال VXLAN رأس:

لاحظ قيمة الرقيب كمعرف نهج المجموعة — في هذه الحالة، بتنسيق ASCII وقيمة L2VNID كمعرف شبكة VXLAN (VNI).