تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند عملية تعيين Dynamic Sgt و L2VNID على Fabric Enabled Wireless 802.1x SSIDs.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
WLC 9800 Cisco IOS® XE، الإصدار 17.6.4
IOS® XE من Cisco
ISE، الإصدار 2.7
CatC صيغة 2.3.5.6
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
ومن بين الجوانب الرئيسية للوصول إلى التنمية المستدامة التقسيم الجزئي داخل شبكة خاصة ظاهرية (VN) والذي يتم تحقيقه من خلال المجموعات القابلة للتطوير.
يمكن انتداب الرقيب بشكل ثابت لكل شبكة محلية لاسلكية (WLAN) أو SSID (على الرغم من أنهما ليسا متشابهين، إلا أن اختلافهما لا يؤثر على الهدف الرئيسي لهذا المستند، لذلك نستخدم هذين المصطلحين بالتبادل لنفس المعنى لتعزيز إمكانية القراءة). ومع ذلك، في العديد من عمليات النشر الحقيقية، غالبا ما يكون هناك مستخدمين يتصلون بنفس شبكة WLAN ويتطلبون مجموعة مختلفة من السياسات أو إعدادات الشبكة. وبالإضافة إلى ذلك، في بعض السيناريوهات، هناك حاجة إلى تخصيص عناوين IP المختلفة لعملاء محددين داخل شبكة WLAN الليفية نفسها لتطبيق سياسات محددة قائمة على IP عليهم أو الوفاء بمتطلبات عنونة IP للشركة. يمثل معرف L2VNID (معرف الشبكة الظاهرية من الطبقة 2) المعلمة التي تستخدمها البنية الأساسية القليلة لوضع المستخدمين اللاسلكيين في نطاقات شبكات فرعية مختلفة. ترسل نقاط الوصول معرف L2VNID في رأس شبكة VXlan إلى عقدة حافة البنية (EN)، والتي تقوم بعد ذلك بربطها بشبكة VLAN المقابلة من المستوى الثاني.
لتحقيق هذه القابلية للتجميع داخل شبكة WLAN نفسها، يتم الاستفادة من تعيين Dynamic Sgt و/أو L2VNID. تجمع وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) معلومات الهوية الخاصة بنقطة النهاية، وترسلها إلى ISE للمصادقة، والتي تستخدمها لمطابقة السياسة المناسبة التي سيتم تطبيقها على هذا العميل وترجع معلومات SGT و/أو L2VNID عند المصادقة الناجحة.
لفهم كيفية عمل هذه العملية، قمنا بتطوير مثال باستخدام طبولوجيا المعامل هذه:
في هذا المثال، يتم تكوين شبكة WLAN بشكل ثابت باستخدام:
والعميل اللاسلكي المتصل به يحصل بشكل ديناميكي على هذه المعاملات:
أولا، نحتاج إلى تحديد شبكة WLAN المعنية والتحقق من كيفية تكوينها. في هذا المثال، يتم إستخدام TC2E-druedahe-802.1x" SSID. في وقت تنقيح هذا المستند، يتم دعم SDA فقط عبر CatC لذلك يجب علينا التحقق مما تم تكوينه هناك. تحت بند الإمداد/SD-Access/مواقع البنية/<موقع بنية محدد>/ضم المضيف/SSIDs اللاسلكية:
تتضمن SSID مجموعة IP المسماة "Pegasus_Read_Only" التي تم تعيينها ولا يوجد لها SGT معين بشكل ثابت مما يعني SGT=0. وهذا يعني أنه إذا قام عميل لاسلكي بالاتصال والمصادقة بنجاح دون أن يرسل ISE أي سمة مرة أخرى للقيام بمهمة ديناميكية، فإن هذا ما تكون عليه إعدادات العميل اللاسلكي.
يجب أن يكون التجمع الذي تم تعيينه ديناميكيا موجودا مسبقا في تكوين WLC. ويتم تحقيق ذلك بإضافة تجمع IP على أنه "تجمع لاسلكي" في الشبكة الظاهرية على CatC:
في واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) تحت Configuration/Wireless/Fabric، يعكس هذا الإعداد هذه الطريقة:
يتوافق تجمع "Pegasus_Read_Only" مع معرف L2VNID لعام 8198 ونريد أن يكون عميلنا على معرف L2VNID لعام 8199، مما يعني أن ISE يحتاج إلى إعلام عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام تجمع "10_10_30_0-READONLY_VN" لهذا العميل. يستحق أن يتذكر أن ال WLC لا يحمل أي تشكيل ل ال VLANs بناء. هو فقط يعلم ال L2VNIDs. يتم بعد ذلك تعيين كل واحدة على شبكة VLAN معينة في شبكات SDA الليفية.
الأعراض التي تم الإبلاغ عنها للمشاكل التي تتعلق بالمهمة الديناميكية للرقيب/L2VNID هي إما:
ويجري الآن وصف التحقق من كل نقطة ذات صلة في هذه العملية.
نقطة البداية هي ISE. انتقل إلى واجهة المستخدم الرسومية (GUI) ISE ضمن Operation/RADIUS/Live Log/ واستخدم عنوان MAC للعميل اللاسلكي كمرشح في حقل معرف نقطة النهاية، ثم انقر على رمز التفاصيل:
ثم يفتح علامة تبويب أخرى بها تفاصيل المصادقة. نحن مهتمون بشكل رئيسي بفرعين نظرة عامة و نتيجة:
نظرة عامة توضح ما إذا كان قد تم إستخدام السياسة المقصودة أو المطلوبة لمصادقة العميل اللاسلكي هذه. وإذا لم تكن هناك مساحة، فيجب إعادة النظر في تكوين سياسات ISE، ومع ذلك فهذا خارج نطاق هذا المستند.
توضح النتيجة ما تم إرجاعه من قبل ISE إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). الهدف هو أن يتم تعيين الرقيب ومعرف L2VNID بشكل ديناميكي، لذا يجب تضمين هذه البيانات هنا وهي كذلك. لاحظ أمرين:
1. يتم إرسال اسم L2VNID كسمة "Tunnel-Private-Group-ID". يجب أن يقوم ISE بإرجاع الاسم (10_10_30_0-READONLY_VN) وليس المعرف (8199).
2. يتم إرسال الرقيب ك "زوج هاتف من سيسكو". في سمة cts:security-group-tag، لاحظ أن قيمة الرقيب هي hex (12) وليس في ascii (18)، ولكنهم هم أنفسهم. TC2E_Learning هو اسم الرقيب في ISE داخليا.
في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يمكننا إستخدام الأمر show wireless fabric client summary للتحقق من حالة العميل وshow wireless fabric summary لتأكيد تكوين البنية ووجود معرف L2VNID المحدد ديناميكيا:
eWLC#show wireless fabric client summary Number of Fabric Clients : 1 MAC Address AP Name WLAN State Protocol Method L2 VNID RLOC IP ---------------------------------------------------------------------------------------------------------------------- 08be.ac18.c4d9 DNA12-AP-01 19 Run 11ac Dot1x 8199 172.16.69.68
eWLC4#show wireless fabric summary Fabric Status : Enabled Control-plane: Name IP-address Key Status -------------------------------------------------------------------------------------------- default-control-plane 172.16.201.4 f9afa1 Up Fabric VNID Mapping: Name L2-VNID L3-VNID IP Address Subnet Control plane name ---------------------------------------------------------------------------------------------------------------------- Pegasus_APs 8196 4097 10.10.99.0 255.255.255.0 default-control-plane Pegasus_Extended 8207 0 0.0.0.0 default-control-plane Pegasus_Read_Only 8198 0 0.0.0.0 default-control-plane 10_10_30_0-READONLY_VN 8199 0 0.0.0.0 default-control-plane
إذا لم تنعكس المعلومات المتوقعة، يمكننا تمكين تتبع RA لعنوان MAC للعميل اللاسلكي في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لرؤية البيانات المتلقاة من ISE تماما. يمكن العثور على معلومات حول كيفية الحصول على إخراج عمليات تعقب RA لعميل معين في هذا المستند:
في إخراج تتبع RA للعميل، يتم حمل السمات التي يتم إرسالها بواسطة ISE في حزمة قبول الوصول إلى RADIUS:
{wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Received from id 1812/14 172.16.201.206:0, Access-Accept, len 425 {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: authenticator c6 ac 95 5c 95 22 ea b6 - 21 7d 8a fb a0 2f 3a d9 {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: User-Name [1] 10 "druedahe" {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Class [25] 53 ... {wncd_x_R0-0}{1}: [radius] [21860]: (info): 01: {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Tunnel-Type [64] 6 VLAN [13] {wncd_x_R0-0}{1}: [radius] [21860]: (info): 01: {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Tunnel-Medium-Type [65] 6 ALL_802 [6] {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: EAP-Message [79] 6 ... {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Message-Authenticator[80] 18 ... {wncd_x_R0-0}{1}: [radius] [21860]: (info): 01: {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Tunnel-Private-Group-Id[81] 25 "10_10_30_0-READONLY_VN" {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: EAP-Key-Name [102] 67 * {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Vendor, Cisco [26] 38 {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Cisco AVpair [1] 32 "cts:security-group-tag=0012-01" {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Vendor, Cisco [26] 34 {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Cisco AVpair [1] 28 "cts:sgt-name=TC2E_Learners" {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Vendor, Cisco [26] 26 {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Cisco AVpair [1] 20 "cts:vn=READONLY_VN" {wncd_x_R0-0}{1}: [radius] [21860]: (info): RADIUS: Vendor, Microsoft [26] 58 … {wncd_x_R0-0}{1}: [epm-misc] [21860]: (info): [08be.ac18.c4d9:capwap_9000000a] Username druedahe received {wncd_x_R0-0}{1}: [epm-misc] [21860]: (info): [08be.ac18.c4d9:capwap_9000000a] VN READONLY_VN received in misc plugin … {wncd_x_R0-0}{1}: [auth-mgr] [21860]: (info): [08be.ac18.c4d9:capwap_9000000a] User Profile applied successfully - REPLACE {wncd_x_R0-0}{1}: [client-auth] [21860]: (note): MAC: 08be.ac18.c4d9 ADD MOBILE sent. Client state flags: 0x42 BSSID: MAC: 488b.0a97.0128 capwap IFID: 0x9000000a
بعد ذلك تقوم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بإرسال معلومات Sgt و L2VNID إلى:
1. نقطة الوصول (AP) عبر CAPWAP (التحكم في نقاط الوصول اللاسلكية وتوفيرها).
2. بروتوكول Fabric CP عبر LISP.
بعد ذلك يرسل بروتوكول Fabric Cp قيمة الرقيب عبر LISP إلى Fabric EN حيث تكون نقطة الوصول متصلة.
تتمثل الخطوة التالية في التحقق من صحة ما إذا كان Fabric EN يعكس المعلومات التي يتم تلقيها ديناميكيا. العرض vlan يؤكد أمر ال VLAN يربط إلى ال L2VNID 8199:
EDGE-01#show vlan | i 819 1028 Pegasus_APs active Tu0:8196, Gi1/0/4, Gi1/0/5, Gi1/0/6, Gi1/0/10, Gi1/0/18 1030 Pegasus_Read_Only active Tu0:8198, Gi1/0/15 1031 10_10_30_0-READONLY_VN active Tu0:8199, Gi1/0/1, Gi1/0/2, Gi1/0/9
نحن يستطيع رأيت أن L2VNID 8199 خططت إلى VLAN 1031.
و العرض أداة تتبع قاعدة معطيات ماك <mac address>يعرض إن يكون الزبون لاسلكي على ال VLAN ب رغب:
EDGE-01#show device-tracking database mac 08be.ac18.c4d9 Load for five secs: 1%/0%; one minute: 1%; five minutes: 1% Time source is NTP, 15:16:09.219 UTC Thu Nov 23 2023 Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created Preflevel flags (prlvl): 0001:MAC and LLA match 0002:Orig trunk 0004:Orig access 0008:Orig trusted trunk 0010:Orig trusted access 0020:DHCP assigned 0040:Cga authenticated 0080:Cert authenticated 0100:Statically assigned Network Layer Address Link Layer Address Interface vlan prlvl age state Time left macDB has 0 entries for mac 08be.ac18.c4d9,vlan 1028, 0 dynamic macDB has 2 entries for mac 08be.ac18.c4d9,vlan 1030, 0 dynamic DH4 10.10.30.12 08be.ac18.c4d9 Ac1 1031 0025 96s REACHABLE 147 s try 0(691033 s)
وأخيرا، يوفر الأمر show cts المزود برقم تعيين قائم على الأدوار من نوع VRF <vrf name> all قيمة الرقيب المخصصة للعميل. في هذا مثال، ال VLAN 1031 جزء من ال "READONLY_VN" VRF:
EDGE-01#show cts role-based sgt-map vrf READONLY_VN all Load for five secs: 1%/0%; one minute: 1%; five minutes: 1% Time source is NTP, 10:54:01.496 UTC Fri Dec 1 2023 Active IPv4-SGT Bindings Information IP Address SGT Source ============================================ 10.10.30.12 18 LOCAL 10.10.30.14 4 LOCAL
ملاحظة: يتم تنفيذ سياسة Cisco TrustSec (CTS) في بنية SDA للعملاء اللاسلكيين (مثل العملاء السلكيين) بواسطة ENs، وليس بواسطة نقاط الوصول (APs) أو عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
ومن خلال ذلك يمكن للمعلمين تطبيق السياسات التي تم تكوينها للرقيب المحدد.
إذا لم يتم ملء هذه المخرجات بشكل صحيح، فيمكننا إستخدام الأمر debug lisp control-plane all في EN للتحقق مما إذا كان يستلم إعلام LISP الوارد من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC):
378879: Nov 28 18:49:51.376: [MS] LISP: Session VRF default, Local 172.16.69.68, Peer 172.16.201.4:4342, Role: Active, Received reliable registration message wlc mapping-notification for IID 8199 EID 08be.ac18.c4d9/48 (state: Up, RX 0, TX 0). 378880: Nov 28 18:49:51.376: [XTR] LISP-0 IID 8199 MAC: Map Server 172.16.201.4, WLC Map-Notify for EID 08be.ac18.c4d9 has 0 Host IP records, TTL=1440. 378881: Nov 28 18:49:51.376: [XTR] LISP-0 IID 8199: WLC entry prefix 08be.ac18.c4d9/48 client, Created. 378888: Nov 28 18:49:51.377: [XTR] LISP-0 IID 8199 MAC: SISF event scheduled Add of client MAC 08be.ac18.c4d9. 378889: Nov 28 18:49:51.377: [XTR] LISP: MAC, SISF L2 table event CREATED for 08be.ac18.c4d9 in Vlan 1031, IfNum 92, old IfNum 0, tunnel ifNum 89.
لاحظ أن إخطار LISP يتم إستقباله أولا من قبل CP الذي يقوم بعد ذلك بإبلاغه إلى EN. يتم إنشاء إدخال SIF أو تعقب الجهاز عند تلقي إعلام LISP هذا، والذي يعد جزءا مهما من العملية. يمكنك أيضا عرض هذا الإعلام مع:
EDGE-01#show lisp instance-id 8199 ethernet database wlc clients detail Load for five secs: 1%/0%; one minute: 1%; five minutes: 1% Time source is NTP, 21:23:31.737 UTC Wed Nov 29 2023 WLC clients/access-points information for router lisp 0 IID 8199 Hardware Address: 08be.ac18.c4d9 Type: client Sources: 1 Tunnel Update: Signalled Source MS: 172.16.201.4 RLOC: 172.16.69.68 Up time: 00:01:09 Metadata length: 34 Metadata (hex): 00 01 00 22 00 01 00 0C 0A 0A 63 0B 00 00 10 01 00 02 00 06 00 12 00 03 00 0C 00 00 00 00 65 67 AB 7B
ملاحظة: القيمة البارزة 12 في قسم البيانات الوصفية هي النسخة السداسية العشرية للرقيب 18 الذي كنا ننوي تعيينه في البداية. وهذا يؤكد أن العملية بأكملها انتهت بشكل صحيح.
كخطوة تأكيد أخيرة، يمكننا أيضا إستخدام أداة التقاط الحزم المضمنة (EPC) في محول EN ونرى كيفية إرسال الحزم الخاصة بهذا العميل بواسطة نقطة الوصول. للحصول على معلومات حول كيفية الحصول على ملف التقاط باستخدام EPC، ارجع إلى:
على سبيل المثال، تم بدء إختبار الاتصال بالبوابة في العميل اللاسلكي نفسه:
لاحظ أن الربط يتوقع بالفعل أن يأتي مع VXLAN رأس من ال ap، بما أن ال ap و EN من نموذج VXLAN نفق بينهم ل ال fabric لاسلكي زبون:
مصدر النفق هو عنوان AP (10.10.99.11) والوجهة هي عنوان EN Loopback0 IP (172.16.69.68). وداخل رأس شبكة VXLAN، يمكننا رؤية بيانات العميل اللاسلكي الفعلية، في هذه الحالة حزمة ICMP.
أخيرا، فحصت ال VXLAN رأس:
لاحظ قيمة الرقيب كمعرف نهج المجموعة — في هذه الحالة، بتنسيق ASCII وقيمة L2VNID كمعرف شبكة VXLAN (VNI).
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
06-Nov-2024 |
الإصدار الأولي |