شكلت OEAP و RLAN على مادة حفازة 9800 WLC
المحتويات
المقدمة
يشرح هذا المستند كيفية تكوين نقطة الوصول (OEAP) Cisco OfficeExtend وشبكة المنطقة المحلية البعيدة (RLAN) على 9800 WLC.
توفر نقطة الوصول Cisco OfficeExtend (OEAP) إتصالات آمنة من وحدة تحكم إلى نقطة وصول Cisco AP في موقع بعيد، مما يعمل على توسيع شبكة WLAN الخاصة بالشركة عبر الإنترنت إلى مكان إقامة الموظف بسلاسة. إن تجربة المستخدم في المكتب المنزلي هي نفسها تماما كما هي الحال في المكتب المشترك. يضمن تشفير طبقة نقل البيانات (DTLS) بين نقطة وصول ووحدة التحكم توفر أعلى مستوى من الأمان لجميع الاتصالات.
يتم إستخدام شبكة LAN البعيدة (RLAN) لمصادقة العملاء السلكيين باستخدام وحدة التحكم. وبمجرد انضمام العميل السلكي بنجاح إلى وحدة التحكم، تعمل منافذ شبكة LAN على تحويل حركة مرور البيانات بين أوضاع التحويل المركزية أو المحلية. يتم التعامل مع حركة مرور البيانات من العملاء السلكيين على أنها حركة مرور عميل لاسلكي. يرسل ال RLAN في نقطة الوصول (AP) طلب المصادقة لمصادقة العميل السلكي. تماثل مصادقة العملاء السلكيين في RLAN العميل اللاسلكي المركزي الذي تمت مصادقته.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- 9800 WLC
- وصول واجهة سطر الأوامر (CLI) إلى وحدات التحكم اللاسلكية ونقاط الوصول
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Catalyst 9800 WLC، الإصدار 17.02.01
- نقطة الوصول من السلسلة 1815/1810 Series
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الرسم التخطيطي للشبكة
نقطة وصول خلف NAT
في 16.12.x رمز، أنت تحتاج أن يشكل nat عنوان من ال CLI. لا يوجد خيار واجهة المستخدم الرسومية (GUI) متوفر. يمكنك أيضا تحديد اكتشاف CAPWAP من خلال IP العام أو الخاص.
(config)#wireless management interface vlan 1114 nat public-ip x.x.x.x
(config-nat-interface)#capwap-discovery ?
private Include private IP in CAPWAP Discovery Response
public Include public IP in CAPWAP Discovery Response
في 17.x رمز، انتقل إلى تشكيل > قارن > لاسلكي وبعد ذلك انقر لاسلكي إدارة قارن، أن يشكل nat IP و CAPWAP إكتشاف نوع من ال gui.
التكوين
1. من أجل إنشاء ملف تعريف مرن، قم بتمكين نقطة الوصول Office Extend وانتقل إلى التكوين > علامات وتوصيفات > Flex.
2. من أجل إنشاء علامة موقع وتعيين ملف تخصيص مرن، انتقل إلى التكوين > علامات وتوصيفات > علامات.
3. انتقل لوضع علامة على نقطة الوصول 1815 باستخدام علامة الموقع التي تم إنشاؤها بواسطة التكوين > الإعداد اللاسلكي >خيارات متقدمة > نقاط الوصول لوضع علامة.
التحقق من الصحة
بمجرد أن تعيد نقطة الوصول 1815 ربط عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، دققت من هذا الإخراج:
vk-9800-1#show ap name AP1815 config general
Cisco AP Name : AP1815
=================================================
Cisco AP Identifier : 002c.c8de.3460
Country Code : Multiple Countries : IN,US
Regulatory Domain Allowed by Country : 802.11bg:-A 802.11a:-ABDN
AP Country Code : US - United States
Site Tag Name : Home-Office
RF Tag Name : default-rf-tag
Policy Tag Name : default-policy-tag
AP join Profile : default-ap-profile
Flex Profile : OEAP-FLEX
Administrative State : Enabled
Operation State : Registered
AP Mode : FlexConnect
AP VLAN tagging state : Disabled
AP VLAN tag : 0
CAPWAP Preferred mode : IPv4
CAPWAP UDP-Lite : Not Configured
AP Submode : Not Configured
Office Extend Mode : Enabled
Dhcp Server : Disabled
Remote AP Debug : Disabled
vk-9800-1#show ap link-encryption
Encryption Dnstream Upstream Last
AP Name State Count Count Update
--------------------------------------------------------------------------
N2 Disabled 0 0 06/08/20 00:47:33
AP1815 Enabled 43 865 06/08/20 00:46:56
when you enable the OfficeExtend mode for an access point DTLS data encryption is enabled automatically.
AP1815#show capwap client config
AdminState : ADMIN_ENABLED(1)
Name : AP1815
Location : default location
Primary controller name : vk-9800-1
ssh status : Enabled
ApMode : FlexConnect
ApSubMode : Not Configured
Link-Encryption : Enabled
OfficeExtend AP : Enabled
Discovery Timer : 10
Heartbeat Timer : 30
Syslog server : 255.255.255.255
Syslog Facility : 0
Syslog level : informational
vk-9800-1(config)#ap profile default-ap-profile
vk-9800-1(config-ap-profile)#no link-encryption
Disabling link-encryption globally will reboot the APs with link-encryption.
Are you sure you want to continue? (y/n)[y]:y
قم بتسجيل الدخول إلى OEAP وقم بتكوين SSID الشخصي
1. يمكنك الوصول إلى واجهة الويب الخاصة ب OEAP باستخدام عنوان IP الخاص بها. بيانات الاعتماد الافتراضية لتسجيل الدخول هي admin وadmin.
2. يوصى بتغيير بيانات الاعتماد الافتراضية لأسباب أمنية.
3. انتقل إلى التكوين> SSID> بسرعة 2. 4 جيجاهرتز/5 جيجاهرتز لتكوين SSID الشخصي.
4. قم بتمكين واجهة الراديو.
5. أدخل SSID وقم بتمكين البث
6. للتشفير، أختر WPA-PSK أو WPA2-PSK وأدخل عبارة المرور لنوع التأمين المطابق.
7. انقر فوق تطبيق للإعدادات لكي تصبح سارية المفعول.
8. يحصل العملاء المتصلون ب SSID الشخصي على عنوان IP من شبكة 10.0.0.1/24 بشكل افتراضي.
9. يمكن لمستخدمي المنازل إستخدام نقطة الوصول نفسها للاتصال بالاستخدام المنزلي وعدم تمرير حركة المرور عبر نفق DTLS.
10. للتحقق من اقترانات العملاء على OEAP، انتقل إلى الصفحة الرئيسية > العميل. يمكنك أن ترى العملاء المحليين وعملاء الشركات المرتبطين ب OEAP.
To clear personal ssidfrom office-extend ap
ewlc#ap name cisco-ap clear-personalssid-config
clear-personalssid-config Clears the Personal SSID config on an OfficeExtend AP
تكوين RLAN على 9800 WLC
يتم إستخدام شبكة LAN البعيدة (RLAN) لمصادقة العملاء السلكيين باستخدام وحدة التحكم. وبمجرد انضمام العميل السلكي بنجاح إلى وحدة التحكم، تعمل منافذ شبكة LAN على تحويل حركة مرور البيانات بين أوضاع التحويل المركزية أو المحلية. يتم التعامل مع حركة مرور البيانات من العملاء السلكيين على أنها حركة مرور عميل لاسلكي. يرسل ال RLAN في نقطة الوصول (AP) طلب المصادقة لمصادقة العميل السلكي. يعرض الأمر
تماثل مصادقة العملاء السلكيين في RLAN العميل اللاسلكي المركزي الذي تمت مصادقته.
مصادقة EAP المحلية على مثال تكوين Catalyst 9800 WLC
- لإنشاء ملف تعريف RLAN، انتقل إلى التكوين > لاسلكي > شبكة LAN البعيدة وأدخل اسم ومعرف RLAN لتوصيف RLAN، كما هو موضح في هذه الصورة.
2. انتقل إلى الأمان > الطبقة 2، لتمكين 802.1x لشبكة RLAN، قم بتعيين حالة 802.1x كما هي ممكنة، كما هو موضح في هذه الصورة.
3. انتقل إلى الأمان > AAA، وقم بتعيين مصادقة EAP المحلية إلى ممكن، واختر اسم ملف تعريف EAP المطلوب من القائمة المنسدلة، كما هو موضح في هذه الصورة.
4. لإنشاء سياسة RLAN، انتقل إلى التكوين > لاسلكي > شبكة LAN البعيدة وعلى صفحة شبكة LAN البعيدة، انقر فوق علامة التبويب سياسة شبكة RLAN، كما هو موضح في هذه الصورة.
انتقل إلى سياسات الوصول وقم بتكوين وضع VLAN والمضيف وطبق الإعدادات.
5. من أجل إنشاء علامة سياسة وتعيين ملف تعريف RLAN إلى سياسة RLAN، انتقل إلى تشكيل > علامات وتوصيفات > علامات.
6. قم بتمكين منفذ LAN وطبق علامة النهج على نقطة الوصول. انتقل إلى تكوين > لاسلكي > نقاط الوصول ثم انقر على نقطة الوصول.
قم بتطبيق الإعداد وإعادة انضمام نقطة الوصول إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). طقطقت على ال ap، بعد ذلك قارن ويمكن ال lan ميناء.
قم بتطبيق الإعدادات والتحقق من الحالة.
7. قم بتوصيل جهاز كمبيوتر في منفذ LAN3 لنقطة الوصول. ستتم مصادقة الكمبيوتر عبر 802.1x والحصول على عنوان IP من شبكة VLAN التي تم تكوينها.
انتقل إلى مراقبة >لاسلكي > عملاء للتحقق من حالة العميل.
vk-9800-1#show wireless client summary
Number of Clients: 2
MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
503e.aab7.0ff4 AP1815 WLAN 3 Run 11n(2.4) None Local
b496.9126.dd6c AP1810 RLAN 1 Run Ethernet Dot1x Local
Number of Excluded Clients: 0
استكشاف الأخطاء وإصلاحها
القضايا المشتركة:
- فقط عمل SSID المحلي، تم تكوين SSID على WLC التي لا يتم بثها: تحقق مما إذا كانت نقطة الوصول قد انضمت إلى وحدة التحكم بشكل صحيح.
- تعذر الوصول إلى واجهة المستخدم الرسومية OEAP: تحقق مما إذا كانت نقطة الوصول تحتوي على عنوان IP وتحقق من إمكانية الوصول ( جدار الحماية، قائمة التحكم في الوصول، وما إلى ذلك داخل الشبكة )
- يتعذر على العملاء اللاسلكيين أو الذين يتم تحويلهم مركزيا المصادقة على عنوان IP أو الحصول عليه: أخذ آثار RA، دائما على المسارات، وما إلى ذلك.
نموذج من المسارات الدائمة لعميل 802.1x السلكي:
[client-orch-sm] [18950]: (note): MAC: <client-mac> Association received. BSSID 00b0.e187.cfc0, old BSSID 0000.0000.0000, WLAN test_rlan, Slot 2 AP 00b0.e187.cfc0, Ap_1810
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
[dot11-validate] [18950]: (ERR): MAC: <client-mac> Failed to dot11 determine ms physical radio type. Invalid radio type :0 of the client.
[dot11] [18950]: (ERR): MAC: <client-mac> Failed to dot11 send association response. Encoding of assoc response failed for client reason code: 14.
[dot11] [18950]: (note): MAC: <client-mac> Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False AID list: 0x1| 0x0| 0x0| 0x0
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_ASSOCIATING -> S_CO_L2_AUTH_IN_PROGRESS
[client-auth] [18950]: (note): MAC: <client-mac> ADD MOBILE sent. Client state flags: 0x71 BSSID: MAC: 00b0.e187.cfc0 capwap IFID: 0x90000012
[client-auth] [18950]: (note): MAC: <client-mac> L2 Authentication initiated. method DOT1X, Policy VLAN 1119,AAA override = 0 , NAC = 0
[ewlc-infra-evq] [18950]: (note): Authentication Success. Resolved Policy bitmap:11 for client <client-mac>
[client-orch-sm] [18950]: (note): MAC: <client-mac> Mobility discovery triggered. Client mode: Local
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_L2_AUTH_IN_PROGRESS -> S_CO_MOBILITY_DISCOVERY_IN_PROGRESS
[mm-client] [18950]: (note): MAC: <client-mac> Mobility Successful. Roam Type None, Sub Roam Type MM_SUB_ROAM_TYPE_NONE, Previous BSSID MAC: 0000.0000.0000 Client IFID: 0xa0000003, Client Role: Local PoA: 0x90000012 PoP: 0x0
[client-auth] [18950]: (note): MAC: <client-mac> ADD MOBILE sent. Client state flags: 0x72 BSSID: MAC: 00b0.e187.cfc0 capwap IFID: 0x90000012
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_MOBILITY_DISCOVERY_IN_PROGRESS -> S_CO_DPATH_PLUMB_IN_PROGRESS
[dot11] [18950]: (note): MAC: <client-mac> Client datapath entry params - ssid:test_rlan,slot_id:2 bssid ifid: 0x0, radio_ifid: 0x90000006, wlan_ifid: 0xf0404001
[dpath_svc] [18950]: (note): MAC: <client-mac> Client datapath entry created for ifid 0xa0000003
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
[client-iplearn] [18950]: (note): MAC: <client-mac> Client IP learn successful. Method: DHCP IP: <Cliet-IP>
[apmgr-db] [18950]: (ERR): 00b0.e187.cfc0 Get ATF policy name from WLAN profile:: Failed to get wlan profile. Searched wlan profile test_rlan
[apmgr-db] [18950]: (ERR): 00b0.e187.cfc0 Failed to get ATF policy name
[apmgr-bssid] [18950]: (ERR): 00b0.e187.cfc0 Failed to get ATF policy name from WLAN profile name: No such file or directory
[client-orch-sm] [18950]: (ERR): Failed to get client ATF policy name: No such file or directory
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
30-Jun-2020 |
الإصدار الأولي |
التعليقات