تكوين FlexConnect باستخدام المصادقة على Catalyst 9800 WLC

المقدمة

يصف هذا المستند كيفية تكوين FlexConnect باستخدام المصادقة المركزية أو المحلية على وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية Catalyst 9800.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• نموذج تكوين Catalyst Wireless 9800
• تقنية FlexConnect
• 802٫1x

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• C9800-CL و Cisco IOS-XE® 17.3.4
  

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

تقنية FlexConnect هي حل لاسلكي لنشر المكاتب البعيدة. وهو يسمح لك بتكوين نقاط الوصول (AP) في مواقع بعيدة من مكتب الشركة من خلال إرتباط شبكة واسعة النطاق (WAN) دون الحاجة إلى نشر وحدة تحكم في كل موقع. يمكن لنقاط الوصول FlexConnect تحويل حركة مرور بيانات العميل محليا وإجراء مصادقة العميل محليا عند فقد الاتصال بوحدة التحكم. في الوضع المتصل، يمكن لنقاط الوصول FlexConnect APs أيضا إجراء المصادقة المحلية.

التكوين

الرسم التخطيطي للشبكة

التكوينات

تكوين AAA على 9800 WLCs

الخطوة 1. إعلان خادم RADIUS. من واجهة المستخدم الرسومية: انتقل إلى التكوين > الأمان > AAA > الخوادم / المجموعات > RADIUS > الخوادم > + إضافة وأدخل معلومات خادم RADIUS.

تأكد من تمكين دعم CoA إذا كنت تخطط لاستخدام أي نوع من الأمان يتطلب CoA في المستقبل. 

  

ملاحظة: ملاحظة: لا يتم دعم اتصال RADIUS CoA في نشر المصادقة المحلية بتقنية Flex Connect. .

الخطوة 2. إضافة خادم RADIUS إلى مجموعة RADIUS. من واجهة المستخدم الرسومية: انتقل إلى التكوين > الأمان > AAA > الخوادم / المجموعات > RADIUS > مجموعات الخوادم > + إضافة.

الخطوة 3. إنشاء قائمة أساليب المصادقة. من واجهة المستخدم الرسومية: انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA > المصادقة > + إضافة

من واجهة سطر الأوامر:

# config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>

تكوين شبكة WLAN

الخطوة 1. من واجهة المستخدم الرسومية: انتقل إلى التكوين > لاسلكي > شبكات WLAN وانقر +إضافة لإنشاء شبكة WLAN جديدة، وأدخل معلومات شبكة WLAN. ثم انقر فوق تطبيق على الجهاز.

الخطوة 2. من واجهة المستخدم الرسومية: انتقل إلى علامة التبويب الأمان لتكوين وضع أمان الطبقة 2/الطبقة 3 طالما كان أسلوب التشفير وقائمة المصادقة في حالة إستخدام 802.1x. ثم انقر فوق تحديث الجهاز وتطبيقه.

تكوين ملف تعريف السياسة

الخطوة 1. من واجهة المستخدم الرسومية: انتقل إلى التكوين > علامات التمييز وملفات التعريف > السياسة وانقر +إضافة لإنشاء ملف تعريف سياسة.

الخطوة 2. قم بإضافة الاسم وإلغاء تحديد مربع التحويل المركزي. ومن خلال هذا الإعداد، تتعامل وحدة التحكم مع مصادقة العميل وحزم بيانات العميل لمحولات نقطة الوصول FlexConnect محليا.

ملاحظة: يجب أن يكون الاقتران والتحويل متزامنين دائما، إذا كان التحويل المركزي معطلا فيجب أن يعطل الاقتران المركزي أيضا كافة ملفات تعريف النهج عند إستخدام نقاط الوصول FlexConnect APs.

الخطوة 3. من واجهة المستخدم الرسومية: انتقل إلى علامة التبويب سياسات الوصول لتخصيص شبكة VLAN التي يمكن تعيين العملاء اللاسلكيين لها عند إتصالهم بشبكة WLAN هذه بشكل افتراضي.

يمكنك إما تحديد اسم شبكة VLAN واحد من القائمة المنسدلة أو كأفضل ممارسة، اكتب معرف شبكة VLAN يدويا.

الخطوة 4. من واجهة المستخدم الرسومية: انتقل إلى علامة التبويب خيارات متقدمة لتكوين حالات انتهاء المهلة الزمنية للشبكة المحلية اللاسلكية (WLAN) و DHCP و WLAN Flex Policy و AAA في حالة إستخدامها. ثم انقر فوق تحديث الجهاز وتطبيقه.

تكوين علامة السياسة

الخطوة 1. من واجهة المستخدم الرسومية: انتقل إلى التكوين > علامات التمييز وملفات التعريف > علامات التمييز > السياسة > +إضافة. 

الخطوة 2. قم بتعيين اسم، وقم بتعيين ملف تعريف السياسة وملف تعريف WLAN الذي تم إنشاؤه قبل ذلك.

تكوين ملف التعريف المرن

الخطوة 1. من واجهة المستخدم الرسومية: انتقل إلى التكوين > علامات التمييز وملفات التعريف > Flex وانقر +إضافة لإنشاء واحد جديد.

ملاحظة: يشير معرف شبكة VLAN الأصلية إلى شبكة VLAN التي تستخدمها نقاط الوصول (APs) التي يمكنها تعيين ملف التعريف المرن هذا، ويجب أن يكون معرف شبكة VLAN نفسه الذي تم تكوينه كمعرف أصلي على منفذ المحول حيث يتم توصيل نقاط الوصول.

الخطوة 2. تحت علامة التبويب VLAN، أضف شبكات VLAN المطلوبة، أو تلك المعينة بشكل افتراضي إلى شبكة WLAN من خلال ملف تعريف سياسة، أو الشبكات التي تم دفعها بواسطة خادم RADIUS. ثم انقر فوق تحديث الجهاز وتطبيقه.

ملاحظة: بالنسبة لتوصيف النهج، عند تحديد شبكة VLAN الافتراضية المعينة إلى SSID. إذا كنت تستخدم اسم شبكة VLAN على تلك الخطوة، فتأكد من إستخدام اسم شبكة VLAN نفسه على تكوين ملف تعريف Flex، وإلا، فلن يتمكن العملاء من الاتصال بشبكة WLAN.

ملاحظة: لتكوين قائمة تحكم في الوصول (ACL) ل FlexConnect باستخدام تجاوز AAA، قم بتكوينها فقط على "قائمة التحكم في الوصول الخاصة بالسياسة"، إذا تم تعيين قائمة التحكم في الوصول إلى شبكة VLAN معينة، فقم بإضافة قائمة التحكم في الوصول (ACL) على عند إضافة شبكة VLAN ثم إضافة قائمة التحكم في الوصول (ACL) على "قائمة التحكم في الوصول الخاصة بالسياسة".

تكوين علامة الموقع

الخطوة 1. من واجهة المستخدم الرسومية: انتقل إلى التكوين > علامات تمييز وملفات تعريف > علامات تمييز > موقع وانقر +إضافة لإنشاء علامة موقع جديدة. قم بإلغاء تحديد المربع تمكين الموقع المحلي للسماح لنقاط الوصول بتحويل حركة مرور بيانات العميل محليا، وإضافة ملف تعريف Flex الذي تم إنشاؤه مسبقا.

ملاحظة: بما أن "تمكين الموقع المحلي" معطل، يمكن تكوين نقاط الوصول (APs) التي تحصل على علامة الموقع المخصصة هذه كوضع FlexConnect.

الخطوة 2. من واجهة المستخدم الرسومية: انتقل إلى التكوين > لاسلكي > نقاط الوصول > اسم نقطة الوصول لإضافة علامة الموقع وعلامة النهج إلى نقطة وصول مقترنة. قد يتسبب ذلك في أن تقوم نقطة الوصول بإعادة تشغيل نفق CAPWAP الخاص بها والانضمام مرة أخرى إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800.

ما إن يربط ال ap إلى الخلف، لاحظ أن ال ap الآن في FlexConnect أسلوب.

المصادقة المحلية مع خادم RADIUS الخارجي

الخطوة 1. إضافة نقطة الوصول كجهاز شبكة إلى خادم RADIUS. على سبيل المثال، ارجع إلى كيفية إستخدام محرك خدمة الهوية (ISE) كخادم RADIUS

الخطوة 2. إنشاء شبكة WLAN.

يمكن أن يكون التكوين هو نفسه الذي تم تكوينه مسبقا.

الخطوة 3. تكوين ملف تعريف السياسة.

يمكنك إما إنشاء واحد جديد أو إستخدام ما تم تكوينه مسبقا. هذه المرة، قم بإلغاء تحديد مربعات تمكين التحويل المركزي والمصادقة المركزية وDHCP المركزي والاقتران المركزي.

الخطوة 4. تكوين علامة السياسة.

أربط شبكة WLAN التي تم تكوينها وملف تعريف السياسة الذي تم إنشاؤه.

الخطوة 5. تكوين ملف التعريف المرن.

قم بإنشاء ملف تخصيص مرن، انتقل إلى علامة التبويب المصادقة المحلية، وقم بتكوين مجموعة خوادم RADIUS وحدد مربع RADIUS.

الخطوة 6. تكوين علامة الموقع.

قم بتكوين ملف تعريف Flex الذي تم تكوينه في الخطوة 5، وقم بإلغاء تحديد مربع تمكين الموقع المحلي.

التحقق من الصحة

المصادقة المركزية:

المصادقة المحلية:

 يمكنك استخدام هذه الأوامر للتحقق من التكوين الحالي:

من واجهة سطر الأوامر:

# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>  

استكشاف الأخطاء وإصلاحها

يوفر WLC 9800 إمكانيات التتبع الدائمة. وهذا يضمن تسجيل جميع الأخطاء المتعلقة باتصال العميل والتحذيرات ورسائل مستوى الإشعار بشكل مستمر، كما يمكنك عرض السجلات الخاصة بحادثة أو حالة فشل بعد حدوثها. 

ملاحظة: استنادا إلى حجم السجلات التي تم إنشاؤها، يمكنك الرجوع بضع ساعات إلى عدة أيام.

لعرض المسارات التي تم تجميعها بواسطة 9800 WLC بشكل افتراضي، يمكنك الاتصال عبر SSH/Telnet ب 9800 WLC والانتقال عبر هذه الخطوات (تأكد من تسجيل الجلسة إلى ملف نصي).

الخطوة 1. تحقق من الوقت الحالي لوحدة التحكم بحيث يمكنك تعقب السجلات في الوقت السابق إلى وقت حدوث المشكلة.

من واجهة سطر الأوامر:

# show clock

الخطوة 2. قم بتجميع syslog من المخزن المؤقت لوحدة التحكم أو syslog الخارجية كما هو محدد بواسطة تكوين النظام. يوفر ذلك طريقة عرض سريعة لصحة النظام والأخطاء إن وجدت.

من واجهة سطر الأوامر:

# show logging

الخطوة 3. تحقق ما إذا تم تمكين أي شروط تصحيح أخطاء.

من واجهة سطر الأوامر:

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

ملاحظة: إذا عثرت على أي شرط مدرج في القائمة، فهذا يعني أن التتبع يتم تسجيله إلى مستوى تصحيح الأخطاء لجميع العمليات التي تواجه الشروط الممكنة (عنوان MAC وعنوان IP وما إلى ذلك). وهذا من شأنه أن يزيد من حجم السجلات. لذلك، يُوصى بمسح جميع الشروط عند عدم التصحيح النشط

الخطوة 4. إذا افترضت أن عنوان MAC تحت إختبار لم يكن مدرجا كشرط في الخطوة 3، يجمع التتبع على مستوى الإشعار دائما لعنوان MAC معين.

من واجهة سطر الأوامر:

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

يمكنك إما عرض المحتوى على الجلسة أو يمكنك نسخ الملف إلى خادم TFTP خارجي.

من واجهة سطر الأوامر:

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

تصحيح الأخطاء الشرطي والتتبع النشط للراديو 

إذا لم تمنحك المسارات الدائمة معلومات كافية لتحديد مشغل المشكلة قيد التحقيق، يمكنك تمكين تصحيح الأخطاء المشروط والتقاط تتبع Radio Active (RA)، والذي يمكن أن يوفر تتبع مستوى تصحيح الأخطاء لجميع العمليات التي تتفاعل مع الشرط المحدد (عنوان MAC للعميل في هذه الحالة). لتمكين تصحيح الأخطاء المشروط، انتقل إلى هذه الخطوات.

الخطوة 5. تأكد من عدم تمكين شروط تصحيح الأخطاء.

من واجهة سطر الأوامر:

# clear platform condition all

الخطوة 6. قم بتمكين شرط تصحيح الأخطاء لعنوان MAC للعميل اللاسلكي الذي تريد مراقبته.

يبدأ هذا الأمر في مراقبة عنوان MAC المتوفر لمدة 30 دقيقة (1800 ثانية). يمكنك زيادة هذا الوقت اختياريًا حتى 2085978494 ثانية.

من واجهة سطر الأوامر:

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

  

ملاحظة: لمراقبة أكثر من عميل واحد في كل مرة، قم بتشغيل الأمر debug wireless mac <aaa.bbbb.cccc> لكل عنوان MAC.

ملاحظة: لا ترى إخراج نشاط العميل على جلسة العمل الطرفية، حيث يتم تخزين كل شيء مؤقتا داخليا لعرضه لاحقا.

  

الخطوة 7. قم بإعادة إنتاج المشكلة أو السلوك الذي تريد مراقبته.

الخطوة 8. قم بإيقاف تصحيح الأخطاء إذا تم نسخ المشكلة قبل انتهاء وقت المراقبة الافتراضي أو المكون.

من واجهة سطر الأوامر:

# no debug wireless mac <aaaa.bbbb.cccc>

بمجرد انقضاء وقت المراقبة أو توقف التصحيح اللاسلكي، ينشئ WLC 9800 ملفًا محليًا باسم:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

الخطوة 9. قم بتجميع ملف نشاط عنوان mac.    يمكنك إما نسخ الأمر RA trace  .log إلى خادم خارجي أو عرض المخرجات مباشرة على الشاشة.

التحقق من اسم ملف تتبع مسار RA

من واجهة سطر الأوامر:

# dir bootflash: | inc ra_trace

نسخ الملف إلى خادم خارجي:

من واجهة سطر الأوامر:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

 عرض المحتوى:

من واجهة سطر الأوامر:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

الخطوة 10. إذا كان السبب الرئيسي لا يزال غير واضح، فقم بجمع السجلات الداخلية التي تعد طريقة عرض توضيحية أكثر لسجلات مستوى تصحيح الأخطاء. لا تحتاج إلى تصحيح أخطاء العميل مرة أخرى لأنك قمت بإلقاء نظرة تفصيلية على سجلات تصحيح الأخطاء التي تم تجميعها وتخزينها داخليا بالفعل.

من واجهة سطر الأوامر:

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

ملاحظة: يؤدي إخراج الأمر هذا إلى إرجاع آثار لجميع مستويات التسجيل لجميع العمليات وهو كبير الحجم إلى حد ما. يُرجى إشراك Cisco TAC للمساعدة في تحليل مسارات التتبع هذه.

يمكنك إما نسخ RA-internal-FILEName.txt إلى خادم خارجي أو عرض المخرج مباشرة على الشاشة.

نسخ الملف إلى خادم خارجي:

من واجهة سطر الأوامر:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

عرض المحتوى:

من واجهة سطر الأوامر:

# more bootflash:ra-internal-<FILENAME>.txt

 الخطوة 11. قم بإزالة شروط تصحيح الأخطاء.

من واجهة سطر الأوامر:

# clear platform condition all

ملاحظة: تأكد من إزالة شروط تصحيح الأخطاء دائما بعد جلسة أستكشاف الأخطاء وإصلاحها.