تجاوز FlexConnect WLAN مع 802.1x AAA على وحدات التحكم اللاسلكية Catalyst 9800

المقدمة

يوضح هذا المستند كيفية إعداد وحدة تحكم شبكة محلية لاسلكية (9800 WLC) مرنة مع نقاط الوصول في الوضع FlexConnect (APs) وشبكة محلية لاسلكية (WLAN) 802.1x محولة محليا باستخدام مصادقة الشبكة المحلية الظاهرية (VLAN) والتفويض والمحاسبة (AAA).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• وضع تكوين 9800 WLC
• تقنية FlexConnect

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• 9800 WLC V16.10

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الرسم التخطيطي للشبكة

التكوين

تكوين AAA على 9800 WLC

يمكنك اتباع التعليمات الواردة من هذا الرابط:

تكوين AAA على 9800 WLC

تكوين شبكة WLAN

يمكنك اتباع التعليمات الواردة من هذا الرابط:

تكوين شبكة WLAN

تعيين نقطة الوصول كوضع FlexConnect

على عكس تكوين AireOS، لا يمكن في 9800 WLC تكوين وضع AP المحلي أو وضع FlexConnect مباشرة من نقطة الوصول. اتبع هذه الخطوات لتكوين نقطة وصول في وضع FlexConnect.

واجهة المستخدم الرسومية

الخطوة 1. تكوين ملف تعريف مرن.

انتقل إلى التكوين > علامات التمييز وملفات التعريف > Flex وإما أن تعدل الوضع الافتراضي-flex-profile أو انقر +إضافة لإنشاء واحد جديد.

الخطوة 2. أضفت ال VLANs يحتاج (على حد سواء التقصير WLANs أو VLANs دفع من ISE).

ملاحظة: في الخطوة 3 من تكوين ملف تعريف سياسة القسم، تحدد شبكة VLAN الافتراضية المعينة إلى SSID. إذا كنت تستخدم اسم شبكة VLAN على تلك الخطوة، فتأكد من إستخدام اسم شبكة VLAN نفسه على تكوين ملف تعريف Flex، وإلا فلن يتمكن العملاء من الاتصال بشبكة WLAN.

أنت يستطيع إختياريا أضفت ACLs خاص لكل VLAN.

 إختياريا، قم بتعيين مجموعة خوادم Radius للسماح لنقاط الوصول FlexConnect بتنفيذ المصادقة المحلية.

الخطوة 3. تكوين علامة موقع.

انتقل إلى التكوين > العلامات وملفات التعريف > علامات التمييز > الموقع. قم إما بتعديل علامة الموقع الافتراضية (وهي العلامة التي تم تعيينها بشكل افتراضي لجميع نقاط الوصول) أو إنشاء علامة جديدة (انقر +إضافة لإنشاء علامة جديدة). 

تأكد من تعطيل خيار تمكين الموقع المحلي وإلا فإن خيار ملف تعريف Flex غير متاح. 

ملاحظة: يتم تكوين أي نقطة وصول تحصل على علامة موقع مع تمكين الموقع المحلي كوضع محلي. وبالمثل، يتم تكوين أي نقطة وصول تحصل على علامة موقع مع تعطيل تمكين الموقع المحلي كوضع FlexConnect.

 الخطوة 4. أجعل نقطة وصول مرتبطة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 وقم بتعيين علامة الموقع التي تم تكوينها في الخطوة 2.

انتقل إلى تكوين > لاسلكي > نقاط الوصول > اسم نقطة الوصول وقم بتعيين علامة الموقع. ثم انقر فوق تحديث وتطبيق على الجهاز لضبط التغيير.

ملاحظة: اعلم أنه بعد تغيير العلامة على نقطة وصول، فإنها تفقد إرتباطها بعنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 وتتحد مرة أخرى في غضون دقيقة واحدة تقريبا. 

 الخطوة 5. ما إن يربط ال ap إلى الخلف، لاحظت أن ال ap أسلوب مرن

CLI

# config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601

# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site

# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit

#show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : FlexConnect

تكوين المبدّل

قم بتكوين واجهة المحول التي يتم توصيل نقطة الوصول بها.

# config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end

تكوين ملف تعريف السياسة

داخل ملف تعريف سياسة يمكنك تحديد الشبكة المحلية الظاهرية (VLAN) التي تعين العملاء، من بين الإعدادات الأخرى (مثل قائمة التحكم بالوصول [ACLs]، جودة الخدمة [QoS]، Mobility Anchor، أجهزة التوقيت وما إلى ذلك).

واجهة المستخدم الرسومية

الخطوة 1. قم بتكوين ملف تعريف النهج الذي سيتم تعيينه إلى شبكة WLAN.

انتقل إلى التكوين > علامات وملفات التعريف > السياسة وقم بإنشاء ملف تعريف جديد أو قم بتعديل ملف تعريف السياسة الافتراضي.

 الخطوة 2. من علامة التبويب عام، قم بتعيين اسم لملف تعريف النهج وقم بتغيير حالته إلى ممكن.

 الخطوة 3. من علامة التبويب سياسات الوصول قم بتعيين شبكة VLAN التي يتم تعيين العملاء اللاسلكيين لها عند إتصالهم بشبكة WLAN هذه بشكل افتراضي.

أنت يستطيع إما حددت واحد VLAN إسم من ال drop down أو يدويا اكتب VLAN id.

ملاحظة: إذا قمت بتحديد اسم شبكة VLAN من القائمة المنسدلة، فتأكد من مطابقته لاسم شبكة VLAN المستخدم في الخطوة 2 من القسم set AP كوضع FlexConnect.

 أو

الخطوة 4. انتقل إلى علامة التبويب خيارات متقدمة وتمكين المصادقة المركزية قم بتمكين خيارات تجاوز المصادقة والتفويض والمحاسبة (AAA). يجب تعطيل التحويل المركزي.

يجب تمكين المصادقة المركزية إذا كنت تريد إجراء عملية المصادقة مركزيا بواسطة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800. قم بتعطيله إذا كنت تريد أن تصادق نقاط الوصول FlexConnect APs على العملاء اللاسلكيين.

CLI

# config t
# wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown

تكوين علامة السياسة

يتم إستخدام "علامة النهج" لربط SSID بملف تعريف النهج. يمكنك إما إنشاء علامة سياسة جديدة أو استخدام علامة السياسة الافتراضية.

ملاحظة: تقوم علامة النهج الافتراضية تلقائيا بتعيين أي SSID بمعرف WLAN يتراوح بين 1 و 16 إلى ملف تعريف السياسة الافتراضي. لا يمكن تعديله أو حذفه. إذا كانت لديك شبكة محلية لاسلكية (WLAN) بمعرف 17 أو أعلى، فلا يمكن إستخدام علامة النهج الافتراضية.

GUI:

انتقل إلى التكوين > علامات تمييز وملفات تعريف > علامات تمييز > السياسة وقم بإضافة ملف جديد إذا لزم الأمر.

قم بربط ملف تعريف WLAN بملف تعريف السياسة المطلوب.

CLI:

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

إحالة علامات السياسة

تعيين علامة النهج لنقطة الوصول

واجهة المستخدم الرسومية

لتخصيص العلامة لنقطة وصول واحدة انتقل إلى التكوين > لاسلكي > نقاط الوصول > اسم نقطة الوصول > علامات التمييز العامة، قم بعمل المهمة المطلوبة ثم انقر تحديث وتطبيق على الجهاز.

ملاحظة: اعلم أنه بعد تغيير علامة النهج لنقطة الوصول، فإنها تفقد إرتباطها بعنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 وترجع إلى نقطة الوصول في غضون دقيقة واحدة تقريبا.

لتعيين نفس علامة النهج إلى نقاط وصول متعددة انتقل إلى التكوين > لاسلكي > إعداد لاسلكي > بدء الآن > تطبيق.

حدد نقاط الوصول التي تريد تعيين علامة التمييز لها وانقر + نقاط الوصول لعلامة التمييز

حدد علامة التمييز المجهولة وانقر فوق حفظ وتطبيق على الجهاز

CLI

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

تكوين ISE

بالنسبة لتكوين ISE v1.2، تحقق من هذا الارتباط:

تكوين ISE

التحقق من الصحة

أنت يستطيع استعملت هذا أمر أن يدقق تشكيل حالي

# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

# show clock

# show logging

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

# clear platform condition all

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

# no debug wireless mac <aaaa.bbbb.cccc>

# dir bootflash: | inc ra_trace

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

# more bootflash:ra-internal-<FILENAME>.txt

# clear platform condition all