تكوين المصادقة المركزية للويب باستخدام إرتباط على Catalyst 9800

المقدمة

يصف هذا وثيقة كيف أن يشكل واستكشاف أخطاء CWA على المادة حفازة 9800 يشير إلى آخر WLC كربط حركي.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• المصادقة المركزية للشبكة (CWA)
• وحدة التحكم في شبكة LAN اللاسلكية (WLC)
• 9800 WLC
• AireOS WLC
• Cisco ISE

من المفترض أنه قبل بدء تشغيل تكوين إرتباط CWA، لقد قمت بالفعل بتهيئة نفق التنقل بين نظامي التحكم في الشبكة المحلية اللاسلكية (WLC). هذا خارج نطاق مثال التكوين هذا. إذا كنت بحاجة إلى مساعدة في هذا، راجع المستند المعنون تكوين طوبولوجيا قابلية التنقل على 9800

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• 9800٫17٫2٫1
• 5520 8.5.164 IRCM صورة
• ISE 2.4

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

شكلت مادة حفازة 9800 يربط إلى آخر مادة حفازة 9800

الرسم التخطيطي للشبكة

تكوين AAA على كل من 9800s

على كل من المرسى والأجنبي تحتاج أن يضيف أولا خادم RADIUS وتأكد أن CoA ممكن. للقيام بذلك، انتقل إلى تكوين القائمة > الأمان > AAA > الخوادم/المجموعات > الخوادم. بعد ذلك، انقر فوق الزر إضافة .

تحتاج الآن إلى إنشاء مجموعة خوادم ووضع الخادم الذي قمت بتكوينه في هذه المجموعة. للقيام بذلك، انتقل إلى التكوين > الأمان > AAA > الخوادم/المجموعات > مجموعات الخوادم > +Add.

قم الآن بإنشاء قائمة طرق التخويل (قائمة طرق المصادقة غير مطلوبة ل CWA) حيث يكون النوع شبكة ونوع المجموعة مجموعة. إضافة مجموعة الخوادم من الإجراء السابق إلى قائمة الطرق هذه.

للقيام بذلك، انتقل إلى التكوين > الأمان > AAA > الخوادم/قائمة طرق AAA > التخويل > +إضافة.

(إختياري) قم بإنشاء قائمة أساليب المحاسبة باستخدام نفس مجموعة الخوادم مثل قائمة طرق التخويل. لإنشاء قائمة المحاسبة، انتقل إلى التكوين > الأمان > AAA > الخوادم/قائمة طرق AAA > المحاسبة > +إضافة.

تكوين شبكات WLAN على شبكات WLC

قم بإنشاء شبكات WLAN وتكوينها على كل من شبكات WLC. يجب أن تتطابق شبكات WLAN مع كليهما. يجب أن يكون نوع الأمان تصفية MAC ويجب تطبيق قائمة طرق التخويل من الخطوة السابقة. لتكوين هذا، انتقل إلى التكوين > العلامات وملفات التعريف > WLANs > +Add.

إنشاء ملف تعريف السياسة وعلامة النهج على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجي

انتقل إلى واجهة مستخدم ويب WLC الخارجية. لإنشاء ملف تخصيص السياسة، انتقل إلى التكوين > علامات التمييز وملفات التخصيص > السياسة > +إضافة. عند التثبيت يجب أن تستخدم التحويل المركزي.

على علامة التبويب خيارات متقدمة، يكون تجاوز AAA و RADIUS NAC إلزاميين ل CWA. هنا يمكنك أيضا تطبيق قائمة أساليب المحاسبة إذا أخترت عمل واحد. 

على علامة التبويب حركية لا تقم بتحديد خانة الاختيار تصدير إرساء ولكن بدلا من ذلك قم بإضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للمرسى إلى قائمة المرسى. تأكد من إدخال تطبيق على الجهاز. كتذكير، يفترض هذا أن لديك بالفعل إعداد نفق تنقل بين وحدتي التحكم

لكي تستخدم نقاط الوصول ملف تعريف النهج هذا، يلزمك إنشاء علامة نهج وتطبيقها على نقاط الوصول التي تريد إستخدامها.

لإنشاء علامة السياسة، انتقل إلى التكوين > علامات التمييز وملفات التعريف > علامات التمييز؟السياسة > +إضافة.

لإضافة هذا إلى نقاط وصول متعددة في نفس الوقت، انتقل إلى التكوين > إعداد لاسلكي > متقدم > بدء الآن. انقر على أشرطة التعداد الموجودة بجوار نقاط الوصول إلى علامة تمييز وقم بإضافة علامة التمييز إلى نقاط الوصول التي تختارها.

إنشاء ملف تعريف النهج على عنصر إرساء WLC

انتقل إلى واجهة مستخدم ويب WLC الإرساء. قم بإضافة ملف تخصيص السياسة على رابط 9800 تحت التكوين > علامات تمييز وملفات تخصيص > علامات تمييز > سياسة > +إضافة. تأكد من تطابق ملف تعريف النهج الذي تم إجراؤه على الخارجي باستثناء علامة التبويب تنقل وقائمة المحاسبة. 

هنا لا تقوم بإضافة رابط لكنك تقوم بتحديد خانة الاختيار تصدير رابط. لا تقم بإضافة قائمة المحاسبة هنا. هذا يفترض أن لديك بالفعل إعداد نفق تنقل بين وحدتي التحكم.

ملاحظة: لا يوجد سبب لإرفاق ملف التعريف هذا بشبكة WLAN في علامة النهج. يؤدي هذا إلى حدوث مشاكل إذا قمت بذلك. إذا كنت تريد إستخدام نفس شبكة WLAN لنقاط الوصول على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) هذا، فقم بإنشاء ملف تعريف نهج آخر له.

إعادة توجيه تكوين قائمة التحكم في الوصول (ACL) على كل من الطراز 9800s

بعد ذلك، يلزمك إنشاء تكوين قائمة التحكم في الوصول (ACL) المعاد توجيهها على كل من الطراز 9800s. لا يهم المدخل على الخارج لأنه هو المرسى WLC يطبق قائمة التحكم في الوصول على حركة المرور. لكن المطلوب هو أن يكون موجودا وأن يكون له بعض الدخول. يجب أن ترفض الإدخالات على المرساة الوصول إلى ISE على المنفذ 8443 وتسمح بكل شيء آخر. يتم تطبيق قائمة التحكم في الوصول (ACL) هذه فقط على حركة المرور الواردة من العميل لذلك لا تكون هناك حاجة إلى قواعد حركة المرور العائدة. يمر DHCP و DNS دون إدخالات في قائمة التحكم في الوصول (ACL).

تكوين ISE

تتمثل الخطوة الأخيرة في تكوين ISE ل CWA. هناك الكثير من الخيارات لهذا ولكن هذا المثال يتعلق بالأساسيات واستخدام مدخل الضيف الافتراضي المسجل ذاتيا.

في ISE، يلزمك إنشاء ملف تعريف تخويل، وتعيين سياسة مع سياسة مصادقة ونهج تخويل يستخدم ملف تعريف التخويل، وإضافة ال 9800(خارجي) إلى ISE كجهاز شبكة، وإنشاء اسم مستخدم وكلمة مرور لتسجيل الدخول إلى الشبكة.

لإنشاء ملف تخصيص التخويل، انتقل إلى السياسة > عناصر السياسة > التخويل > النتائج > ملفات تخصيص التخويل، ثم انقر على إضافة. تأكد من أن نوع الوصول الذي تم إرجاعه هو ACCESS_ACCEPT، ثم قم بتعيين أزواج قيمة السمة (AVPs) التي تريد إرسالها مرة أخرى. بالنسبة ل CWA، فإن قائمة التحكم في الوصول لإعادة التوجيه وعنوان URL لإعادة التوجيه إلزاميان ولكن يمكنك أيضا إعادة إرسال أشياء مثل معرف VLAN وانتهاء مهلة الجلسة. من المهم أن يتطابق اسم قائمة التحكم في الوصول (ACL) مع اسم قائمة التحكم في الوصول (ACL) المعاد توجيهها على كلا المرسى 9800 الخارجي.

تحتاج بعد ذلك إلى تكوين طريقة لتطبيق ملف تعريف التخويل الذي أنشأته للتو على العملاء الذين يذهبون عبر CWA. لتحقيق ذلك، تتمثل إحدى الطرق في إنشاء مجموعة نهج تتجاوز المصادقة عند إستخدام MAB وتطبيق ملف تعريف التخويل عند إستخدام SSID المرسل في معرف المحطة المستدعى. مرة أخرى، هناك الكثير من الطرق لإنجاز هذا حتى إذا كنت تحتاج إلى شيء أكثر تحديدا أو أكثر أمانا، فلا بأس، هذه هي الطريقة الأكثر بساطة للقيام بذلك.

لإنشاء مجموعة النهج انتقل إلى السياسة > مجموعات النهج وانقر فوق + زر الموجود على الجانب الأيسر من الشاشة. قم بتسمية مجموعة النهج الجديدة وتأكد من تعيينها على Default Network Access أو أي قائمة بروتوكولات مسموح بها تسمح بالبحث عن مضيف العملية ل MAB (للتحقق من قائمة البروتوكولات المسموح بها انتقل إلى النهج > عناصر النهج > النتائج > المصادقة > البروتوكولات المسموح بها). الآن، انقر فوق + تسجيل الدخول في منتصف مجموعة النهج الجديدة التي قمت بإنشائها.

بالنسبة لمجموعة النهج هذه في كل مرة يتم فيها إستخدام MAB في ISE، فإنها تمر بمجموعة النهج هذه. لاحقا يمكنك عمل سياسات تخويل تطابق على معرف المحطة المستدعى بحيث يمكن تطبيق نتائج مختلفة بناء على الشبكة المحلية اللاسلكية (WLAN) التي يتم إستخدامها. هذه العملية قابلة للتخصيص جدا مع الكثير من الأشياء التي يمكنك المطابقة عليها.

داخل مجموعة النهج، قم بإنشاء النهج. يمكن أن تتطابق سياسة المصادقة مرة أخرى مع MAB، ولكن يلزمك تغيير مخزن المعرفات لاستخدام نقاط النهاية الداخلية ويلزم تغيير الخيارات لمتابعة فشل المصادقة ولم يتم العثور على المستخدم.

بمجرد تعيين نهج المصادقة، تحتاج إلى إنشاء قاعدتين في نهج التخويل. هذا النهج يقرأ مثل قائمة التحكم في الوصول (ACL) لذلك يجب أن يكون قاعدة ما بعد المصادقة في الأعلى وقاعدة ما قبل المصادقة في الأسفل. تطابق قاعدة ما بعد المصادقة المستخدمين الذين اجتازوا تدفق الضيف بالفعل. وهذا يعني أنه إذا كانوا قد سجلوا دخولهم بالفعل فيمكنهم الوصول إلى القاعدة وعليهم التوقف عند هذا الحد. إذا لم يكونوا قد سجلوا الدخول، فإنهم يستمرون في القائمة ويصلون إلى قاعدة ما قبل المصادقة ثم تتم إعادة توجيههم. من الأفضل مطابقة قواعد سياسة التخويل مع معرف المحطة المتصل الذي ينتهي ب SSID حتى يصل فقط إلى شبكات WLAN التي تم تكوينها للقيام بذلك.

الآن بعد تكوين مجموعة النهج، تحتاج إلى إعلام ISE حول ال 9800 (خارجي) من أجل أن يثق ISE فيه كمصدق. يمكن القيام بذلك من خلال الانتقال إلى Admin > موارد الشبكة > جهاز الشبكة > +. أنت تحتاج أن تقوم بتسميته، وتعيين عنوان IP (أو في هذه الحالة الشبكة الفرعية للمسؤول بأكمله)، وتمكين RADIUS، وتعيين السر المشترك. يجب أن يتطابق السر المشترك على ISE مع السر المشترك على ال 9800 أو فشلت هذه العملية. بعد إضافة التكوين، انقر فوق الزر إرسال لحفظه.

أخيرا، يلزمك إضافة اسم المستخدم وكلمة المرور التي سيقوم العميل بإدخالها في صفحة تسجيل الدخول للتحقق من وجوب حصولهم على وصول إلى الشبكة. للقيام بذلك، انتقل إلى Admin > إدارة الهوية > هوية > مستخدمون > إضافة وانقر فوق إرسال بعد أن تقوم بإضافته.  ومثل أي شيء آخر مع ISE، فهذا قابل للتخصيص ولا يجب أن يكون مستخدما مخزنا محليا ولكن مرة أخرى، إنه أسهل تكوين.

تكوين Catalyst 9800 مرتبط ب AireOS WLC

التكوين الخارجي Catalyst 9800

قم بنفس الإجراء، الخطوات السابقة، وتخطي قسم إنشاء ملف تعريف السياسة على قسم إرساء WLC.

تكوينات AAA على Anchor AireOS WLC

قم بإضافة الخادم إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بالانتقال إلى الأمان > AAA > RADIUS > المصادقة > جديد. إضافة عنوان IP للخادم والسر المشترك ودعم CoA.

WLAN Config على AireOS WLC

لإنشاء الشبكة المحلية اللاسلكية (WLAN)، انتقل إلى شبكات WLAN > إنشاء جديد > انتقال.

قم بتكوين اسم التوصيف ومعرف WLAN و SSID ثم انقر على تطبيق.

يجب أن ينقلك هذا إلى تكوين شبكة WLAN. على علامة التبويب عام، يمكنك إضافة الواجهة التي تريد أن يستخدمها العملاء إذا لم تكن تريد تكوين ISE لإرساله في AVPs. بعد ذلك انتقل إلى صفحة الأمان > الطبقة 2 ومطابقة تكوين أمان الطبقة 2 الذي أستخدمته في 9800 وتمكين تصفية MAC.

انتقل الآن إلى علامة التبويب أمان > خوادم AAA وحدد خادم ISE كخوادم المصادقة. عدم تعيين أي شيء لخوادم المحاسبة. قم بإلغاء تحديد مربع تمكين للمحاسبة.

بينما لا يزال في تكوينات شبكة WLAN، انتقل إلى علامة التبويب خيارات متقدمة وتمكين السماح بتجاوز AAA بالإضافة إلى تغيير حالة NAC إلى ISE NAC.

آخر شي أرساها لحالها. لهذا، انتقل إلى صفحة شبكات WLAN وقم بالمرور فوق المربع الأزرق الموجود على يمين شبكة WLAN > نقاط الربط المتنقلة. اضبط مفتاح عنوان (ربط) إلى محلي وانقر زر إنشاء ربط التنقل. ويجب أن تظهر بعد ذلك مع الأولوية 0 المحلية المثبتة.

إعادة توجيه قائمة التحكم في الوصول (ACL) على AireOS WLC

هذا هو التكوين النهائي المطلوب على AireOS WLC. لإنشاء قائمة التحكم في الوصول (ACL) المعاد توجيهها إلى الأمان > قوائم التحكم في الوصول > قوائم التحكم في الوصول > جديد. أدخل اسم قائمة التحكم في الوصول (يجب أن يتطابق هذا مع ما تم إرساله في AVPs) وانقر فوق تطبيق.

انقر الآن فوق اسم قائمة التحكم في الوصول (ACL) التي قمت بإنشائها للتو. انقر فوق الزر إضافة قاعدة جديدة. على عكس وحدة التحكم 9800، على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لنظام التشغيل AireOS، يمكنك تكوين بيان سماح لحركة المرور المسموح لها بالوصول إلى معيار ISE دون إعادة التوجيه. يتم السماح ب DHCP و DNS بشكل افتراضي.

تكوين ISE

تتمثل الخطوة الأخيرة في تكوين ISE ل CWA. هناك عدة خيارات لهذا ولكن يستخدم هذا المثال الأساسيات وبوابة الضيوف الافتراضية المسجلة ذاتيا.

في ISE، يلزمك إنشاء ملف تعريف تخويل، وتعيين نهج بنهج مصادقة ونهج تخويل يستخدم ملف تعريف التخويل. إضافة ال 9800 (خارجي) إلى ISE كجهاز شبكة وإنشاء اسم مستخدم وكلمة مرور لتسجيل الدخول إلى الشبكة.

لإنشاء ملف تخصيص التخويل انتقل إلى السياسة > عناصر السياسة > التخويل > النتائج > ملفات تخصيص التخويل > +إضافة. تأكد من أن نوع الوصول الذي تم إرجاعه هو ACCESS_ACCEPT، ثم قم بتعيين AVPs التي تريد إرسالها مرة أخرى. بالنسبة ل CWA، فإن قائمة التحكم في الوصول لإعادة التوجيه وعنوان URL لإعادة التوجيه إلزاميان ولكن يمكنك أيضا إعادة الإرسال مثل معرف VLAN، على سبيل المثال، ومهلة الجلسة. من المهم أن يطابق اسم قائمة التحكم في الوصول اسم قائمة التحكم في الوصول لإعادة التوجيه على كل من WLC الخاص بالارتباط الخارجي.

تحتاج بعد ذلك إلى تكوين طريقة لتطبيق ملف تعريف التخويل الذي أنشأته للتو على العملاء الذين يذهبون عبر CWA. لتحقيق ذلك، تتمثل إحدى الطرق في إنشاء مجموعة نهج تتجاوز المصادقة عند إستخدام MAB وتطبيق ملف تعريف التخويل عند إستخدام SSID المرسل في معرف المحطة المستدعى. مرة أخرى، هناك الكثير من الطرق لإنجاز هذا حتى إذا كنت تحتاج إلى شيء أكثر تحديدا أو أكثر أمانا، فلا بأس، هذه هي الطريقة الأكثر بساطة للقيام بذلك.

لإنشاء مجموعة السياسات، انتقل إلى نهج > مجموعة السياسات وانقر فوق + زر الموجود على الجانب الأيسر من الشاشة. قم بتسمية مجموعة النهج الجديدة وتأكد من تعيينها على Default Network Access أو أي قائمة بروتوكولات مسموح بها تسمح بالبحث عن مضيف العملية ل MAB (للتحقق من قائمة البروتوكولات المسموح بها انتقل إلى النهج > عناصر النهج > النتائج > المصادقة > البروتوكولات المسموح بها). انقر الآن فوق تسجيل + في منتصف مجموعة النهج الجديدة التي قمت بإنشائها.

بالنسبة لمجموعة النهج هذه في كل مرة يتم فيها إستخدام MAB في ISE، يمكن تنفيذ هذه المجموعة من النهج. لاحقا يمكنك عمل سياسات تخويل تطابق على معرف المحطة المستدعى بحيث يمكن تطبيق نتائج مختلفة بناء على الشبكة المحلية اللاسلكية (WLAN) التي يتم إستخدامها. هذه العملية قابلة للتخصيص جدا مع الكثير من الأشياء التي يمكنك المطابقة عليها

داخل مجموعة النهج، قم بإنشاء النهج. يمكن أن يتطابق نهج المصادقة مرة أخرى مع MAB ولكنك تحتاج إلى تغيير مخزن المعرفات لاستخدام نقاط النهاية الداخلية وتحتاج إلى تغيير الخيارات لمتابعة فشل المصادقة ولم يتم العثور على المستخدم. 

بمجرد تعيين نهج المصادقة، تحتاج إلى إنشاء قاعدتين في نهج التخويل. هذا النهج يقرأ مثل قائمة التحكم في الوصول (ACL) لذلك يجب أن يكون للترتيب قاعدة ما بعد المصادقة في الأعلى وقاعدة ما قبل المصادقة في الأسفل. تطابق قاعدة ما بعد المصادقة المستخدمين الذين اجتازوا تدفق الضيف بالفعل. وهذا يعني أنه إذا كانوا قد وقعوا بالفعل على هذه القاعدة وتوقفوا هناك. إذا لم يكونوا قد سجلوا دخولهم، فإنهم يستمرون في القائمة ويبلغون قاعدة ما قبل المصادقة ويحصلون على إعادة التوجيه. من الأفضل مطابقة قواعد نهج التخويل مع معرف المحطة المتصل الذي ينتهي ب SSID حتى يتم الوصول فقط إلى شبكات WLAN التي تم تكوينها للقيام بذلك.

الآن بعد تكوين مجموعة النهج، تحتاج إلى إعلام ISE حول ال 9800 (خارجي) من أجل أن يثق ISE فيه كمصدق. ويمكن القيام بذلك في Admin > موارد الشبكة > جهاز الشبكة > +. أنت تحتاج أن تقوم بتسميته، وتعيين عنوان IP (أو في هذه الحالة الشبكة الفرعية للمسؤول بأكمله)، وتمكين RADIUS، وتعيين السر المشترك. يجب أن يتطابق السر المشترك على ISE مع السر المشترك على ال 9800 أو فشلت هذه العملية. بعد إضافة التكوين، اضغط على زر الإرسال لحفظه.

أخيرا، يلزمك إضافة اسم المستخدم وكلمة المرور التي سيقوم العميل بإدخالها في صفحة تسجيل الدخول للتحقق من وجوب حصولهم على وصول إلى الشبكة. ويتم ذلك تحت Admin > إدارة الهوية > الهوية > المستخدمون > > إضافة وتأكد من النقر فوق إرسال بعد إضافته. ومثل أي شيء آخر مع ISE، فهذا قابل للتخصيص ولا يجب تخزينه محليا ولكن مرة أخرى، إنه أسهل تكوين.

إختلافات في التكوين عندما يكون AireOS WLC هو الخارجي ويكون Catalyst 9800 هو المرسى

إذا كنت تريد أن يكون AireOs WLC هو المراقب الأجنبي فإن config هو نفسه كما وصف سابقا مع بعض الاختلافات.

1. لا يتم إجراء عملية محاسبة AAA أبدا على المرسى، لذلك لن تحتوي قائمة أساليب المحاسبة الخاصة ب 9800، كما أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخاص ب AireOS سيتم تمكين عملية المحاسبة مع الإشارة إلى ISE.
2. وسوف يكون لزاما على نظام التشغيل AireOS أن يرسو على نظام التشغيل 9800 بدلا من الارتساء على ذاته. في ملف تخصيص السياسة، لن يكون هناك رابط محدد ل 9800 ولكن سيكون قد تم تحديد مربع تصدير الإرساء.
3. ومن المهم ملاحظة أنه عندما تصدر شركات AireOS WLCs العميل إلى شركة 9800، لا يوجد مفهوم لتوصيفات السياسات. إنه يرسل فقط اسم ملف تعريف WLAN. لذلك، يطبق ال 9800 اسم ملف تعريف WLAN المرسل من AireOS إلى كل من اسم ملف تعريف WLAN واسم ملف تعريف السياسة. عند التثبيت من AireOS WLC إلى 9800 WLC، يجب تطابق اسم ملف تعريف WLAN على كل من قوائم التحكم في الشبكة المحلية اللاسلكية (WLC) واسم ملف تعريف السياسة على 9800.

التحقق من الصحة

للتحقق من التكوينات على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 قم بتشغيل الأوامر التالية:

• AAA:

Show Run | section aaa|radius

• WLAN:

Show wlan id <wlan id>

• ملف تعريف النهج:

Show wireless profile policy detailed <profile name>

• علامة النهج:

Show wireless tag policy detailed <policy tag name>

• ACL:

Show IP access-list <ACL name>

• تحقق من تشغيل قابلية التنقل باستخدام نقطة الإرساء:

Show wireless mobility summary

للتحقق من التكوينات الموجودة على AireOS WLC، قم بتشغيل الأوامر.

• AAA:

Show radius summary

ملاحظة: RFC3576 هو تكوين CoA.

• WLAN:

Show WLAN <wlan id>

• ACL:

Show acl detailed <acl name>

• تحقق من أن قابلية التنقل تعمل مع الأجهزة الأجنبية:

Show mobility summary

استكشاف الأخطاء وإصلاحها

قد يبدو أستكشاف الأخطاء وإصلاحها مختلفا وفقا للنقطة التي يتوقفها العميل في العملية. على سبيل المثال، إذا لم تحصل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) على إستجابة من ISE على MAB، فسيظل العميل عالقا في حالة مدير النهج: الاقتران ولن يتم تصديره إلى المرسى. في هذه الحالة، أنت فقط تحريت على الخارجي وستحتاج أن تجمع تتبع RA والتقاط حزمة لحركة المرور بين WLC و ISE. مثال آخر هو أن MAB قد اجتاز بنجاح ولكن العميل لا يتلقى إعادة التوجيه. في هذه الحالة، تحتاج إلى التأكد من أن الأجنبي قد تلقى إعادة التوجيه في AVPs وطبقه على العميل. تحتاج أيضا إلى التحقق من الارتباط للتأكد من وجود العميل باستخدام قائمة التحكم في الوصول (ACL) الصحيحة. يقع نطاق أستكشاف الأخطاء وإصلاحها هذا خارج نطاق تصميم هذه المقالة (راجع المعلومات ذات الصلة للحصول على إرشادات عامة لاستكشاف أخطاء العميل وإصلاحها).

للحصول على مزيد من المساعدة حول أستكشاف أخطاء CWA وإصلاحها في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800، يرجى مراجعة العرض التقديمي DGTL-TSCENT-404 من Cisco Live!.

ملاحظة: لا يستطيع الوصول إلى أدوات Cisco والمعلومات الداخلية إلا لمستخدمي Cisco المسجلين.

معلومات أستكشاف الأخطاء وإصلاحها Catalyst 9800

تفاصيل العميل

show wireless client mac-address <client mac> detail

هنا يجب أن تنظر إلى حالة مدير السياسة، مدير جلسة العمل > طريقة المصادقة، دور التنقل.

أنت يستطيع أيضا وجدت هذا معلومة في ال GUI تحت monitore > زبون.

التقاط حزمة مضمنة

من واجهة سطر الأوامر (CLI) يبدأ الأمر #monitor capture <capture name> ثم تأتي الخيارات بعد ذلك.

من واجهة المستخدم الرسومية، انتقل إلى أستكشاف الأخطاء وإصلاحها > التقاط الحزم > +Add.

مسارات RadioActive

من واجهة سطر الأوامر:

debug wireless mac|ip <client mac|ip>   

أستخدم الأمر no form لإيقافه. يتم تسجيل هذا الأمر في ملف في bootflash باسم ra_trace ثم عنوان MAC أو IP الخاص بالعميل والتاريخ والوقت.

من واجهة المستخدم الرسومية (GUI)، إلى أستكشاف الأخطاء وإصلاحها > التتبع المشع > +Add. قم بإضافة عنوان MAC أو IP الخاص بالعميل، انقر فوق تطبيق، ثم اضغط على البدء. بعد إتمام العملية عدة مرات، قم بإيقاف التتبع وإنشاء السجل وتنزيله إلى جهازك.

معلومات أستكشاف أخطاء AireOS وإصلاحها

تفاصيل العميل

من واجهة سطر الأوامر (CLI)، قم بإظهار تفاصيل العميل <client mac>.

من واجهة المستخدم الرسومية، شاشة > عملاء.

تصحيح الأخطاء من واجهة سطر الأوامر

Debug client <client mac>

Debug mobility handoff

Debug mobility config

معلومات ذات صلة

• بناء أنفاق قابلية التنقل باستخدام 9800 وحدة تحكم
• تصحيح الأخطاء اللاسلكي وتجميع السجلات على 9800
• الدعم الفني والتنزيلات من Cisco