Mesh auf Catalyst 9800 Wireless LAN Controllern konfigurieren

Einleitung

In diesem Dokument wird ein einfaches Konfigurationsbeispiel zum Verbinden eines Mesh-Access Points (AP) mit dem Catalyst 9800 Wireless LAN Controller (WLC) beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Catalyst Wireless 9800-Konfigurationsmodell
• Konfiguration von LAPs 
• Steuerung und Bereitstellung von Wireless Access Points (CAPWAP)
• Konfiguration eines externen DHCP-Servers
• Konfiguration der Cisco Switches

Verwendete Komponenten

In diesem Beispiel wird ein Lightweight Access Point (1572AP und 1542) verwendet, der entweder als Root AP (RAP) oder Mesh AP (MAP) für den Anschluss an den Catalyst 9800 WLC konfiguriert werden kann. Die Vorgehensweise ist für Access Points der Serie 1542 oder 1562 identisch. Der RAP ist über einen Cisco Catalyst Switch mit dem Catalyst 9800 WLC verbunden.

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• C9800-CL v16.12.1
• Cisco Layer-2-Switch
• Cisco Aironet Lightweight Outdoor Access Points der Serie 1572 für den Bridge-Bereich
  
• Cisco Aironet 1542 für den Bereich Flex+Bridge

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konfigurieren

Anwenderbericht 1: Bridge-Modus

Konfigurationen

Ein Mesh-AP muss authentifiziert werden, damit er dem 9800-Controller beitreten kann. In dieser Fallstudie wird berücksichtigt, dass Sie den Access Point im lokalen Modus zuerst dem WLC beitreten und ihn dann in den Bridge (alias) Mesh-Modus umwandeln. Um die Zuweisung von AP-Join-Profilen zu vermeiden, verwenden Sie dieses Beispiel, konfigurieren Sie jedoch die standardmäßige AAA-Methode zum Herunterladen von Autorisierungsanmeldeinformationen, sodass alle Mesh-APs dem Controller beitreten können.

Schritt 1: Konfigurieren Sie die RAP-/MAP-MAC-Adressen unter Device Authentication (Geräteauthentifizierung).

Navigieren Sie zu Configuration > AAA > AAA Advanced > Device Authentication. 

Fügen Sie die Base Ethernet-MAC-Adresse der Mesh Access Points hinzu. Fügen Sie sie ohne Sonderzeichen ohne '.' oder ':' hinzu.

Hinweis: Ab Version 17.3.1 kann der Access Point nicht mehr beitreten, wenn MAC-Adressen-Trennzeichen wie '.', ':' oder '-' hinzugefügt werden. Derzeit wurden zwei Verbesserungen für diese Funktion eingeführt: die Cisco Bug-ID CSCvv43870 und die Cisco Bug-ID CSCvr07920. In Zukunft werden alle MAC-Adressformate von 9800 akzeptiert.

Schritt 2: Konfigurieren der Liste der Authentifizierungs- und Autorisierungsmethoden

Navigieren Sie zu Configuration > Security > AAA > AAA Method list > Authentication, und erstellen Sie die Liste mit Authentifizierungsmethoden und Autorisierungsmethoden.

Schritt 3: Konfigurieren der globalen Mesh-Parameter

Navigieren Sie zu Konfiguration > Mesh > Globale Parameter. Sie können diese Werte zunächst auf die Standardwerte zurücksetzen.

Schritt 4: Erstellen Sie ein neues Mesh-Profil unter Konfiguration > Mesh > Profil > +Hinzufügen.

Klicken Sie auf das erstellte Mesh-Profil, um die Einstellungen Allgemein und Erweitert für das Mesh-Profil zu bearbeiten.

Im Diagramm wie dargestellt müssen Sie das zuvor erstellte Authentifizierungs- und Autorisierungsprofil dem Mesh-Profil zuordnen.

Schritt 5: Erstellen eines neuen Zugangsprofils für den Access Point Navigieren Sie zu Konfigurieren > Tags und Profile: AP-Beitritt.

Wenden Sie das zuvor konfigurierte Mesh-Profil an, und konfigurieren Sie die AP-EAP-Authentifizierung:

Schritt 6: Erstellen Sie wie dargestellt eine Netzortkennung.

Konfigurieren Klicken Sie auf das in Schritt 6 erstellte Mesh-Standort-TAG, um es zu konfigurieren.

Navigieren Sie zur Registerkarte Site, und wenden Sie das zuvor konfigurierte Mesh-AP-Join-Profil darauf an:

Schritt 7. Weisen Sie dem Access Point das Site-Tag zu. Navigieren Sie zu Configuration > Wireless > Access Points, und klicken Sie auf den Mesh AP. Weisen Sie das Site-Tag zu.

Sitetags zuweisen

Schritt 8: Konvertieren Sie den AP in den Bridge-Modus.

Über CLI können Sie diesen Befehl am AP verwenden:

capwap ap mode bridge

Der Access Point wird neu gestartet und verbindet sich wieder als Bridge-Modus.

Schritt 9. Sie können jetzt die Rolle des Access Points definieren: entweder Root-Access Point oder Mesh-Access Point.

Der Root-AP ist derjenige mit einer verdrahteten Verbindung zum WLC, während der Mesh-AP über seine Funkeinheit mit dem WLC verbunden ist, die versucht, eine Verbindung zu einem Root-AP herzustellen. Ein Mesh-AP kann dem WLC über seine verdrahtete Schnittstelle beitreten, wenn er zu Bereitstellungszwecken keinen Root-AP über seine Funkverbindung gefunden hat. Vergessen Sie nicht, das native Trunk-VLAN in den AP-Einstellungen anzugeben, falls es sich vom Standard-VLAN 1 unterscheidet.

Mesh-Rolle zuweisen

Überprüfung

aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
 method authentication Mesh_Authentication
 method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site Mesh_AP_Tag
 ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile Mesh_Profile

Fehlerbehebung

Klicken Sie in Troubleshoot > Radioactive Trace web UI page auf add, und geben Sie die AP-MAC-Adresse ein.

Klicken Sie auf Start, und warten Sie, bis der Access Point erneut versucht, dem Controller beizutreten. Klicken Sie anschließend auf Generate (Erstellen), und wählen Sie einen Zeitraum für die Protokollerfassung aus (z. B. die letzten 10 oder 30 Minuten).

Klicken Sie auf den Namen der Trace-Datei, um sie von Ihrem Browser herunterzuladen.

Das folgende Beispiel zeigt einen AP, der nicht beigetreten ist, weil der falsche AAA-Autorisierungsmethodenname definiert wurde:

019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac

Dasselbe lässt sich einfacher im Dashboard der Webbenutzeroberfläche erkennen, wenn Sie auf APs klicken, die nicht beigetreten sind. Die ausstehende AP-Authentifizierung ist der Hinweis, der auf die Authentifizierung des AP selbst hinweist:

Anwenderbericht 2: Flex + Bridge

In diesem Abschnitt wird der Join-Prozess eines 1542 AP im Flex+Bridge-Modus mit lokaler EAP-Authentifizierung auf dem WLC beschrieben.

Konfigurieren

• Schritt 1: Navigieren Sie zu Configuration > Security > AAA > AAA Advanced > Device Authentication.

• Schritt 2: Wählen Sie Geräteauthentifizierung und dann Hinzufügen aus.
• Schritt 3: Geben Sie die Base Ethernet-MAC-Adresse des Access Points ein, der dem WLC beitreten soll. Lassen Sie den Namen der Attributliste leer, und wählen Sie Auf Gerät anwenden aus.

• Schritt 4: Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authentication.
• Schritt 5: Wählen Sie Hinzufügen aus. Das Popup-Fenster "AAA Authentication" wird angezeigt.

• Schritt 6: Geben Sie einen Namen in das Feld Name der Methodenliste ein. Wählen Sie 802.1x aus dem Dropdown-Menü Type* (Typ*) und lokal als Gruppentyp aus. Wählen Sie anschließend Apply to Device (Auf Gerät anwenden).

• Schritt 6b. Wenn Ihre APs als Bridge-Modus direkt beitreten und ihnen zuvor kein Standort- und Richtlinien-Tag zugewiesen wurde, wiederholen Sie Schritt 6, jedoch für die Standardmethode.
• Konfigurieren Sie eine dot1x aaa-Authentifizierungsmethode, die auf lokal verweist (CLI aaa authentication dot1x default local).
  

• Schritt 7. Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authorization.
  
• Schritt 8: Wählen Sie Hinzufügen aus. Das Popup-Fenster "AAA Authorization" (AAA-Autorisierung) wird angezeigt.

• Schritt 9. Geben Sie einen Namen in das Feld Name der Methodenliste ein, wählen Sie im Dropdown-Menü Type* die Option Download der Anmeldeinformationen und lokal für den Gruppentyp aus. (nur auf Englisch verfügbar) aus. Wählen Sie anschließend Apply to Device (Auf Gerät anwenden).

• Schritt 9b: Wenn Ihr AP direkt im Bridge-Modus beitritt (d. h., er tritt nicht zuerst im lokalen Modus bei), wiederholen Sie Schritt 9 für die standardmäßige Methode zum Herunterladen von Anmeldeinformationen (CLI aaa Authorization Credential-Download default local).
• Schritt 10. Navigieren Sie zu Configuration > Wireless > Mesh > Profiles.
• Schritt 11. Wählen Sie Hinzufügen aus. Das Popup-Fenster "Mesh-Profil hinzufügen" wird angezeigt.

• Schritt 12: Legen Sie auf der Registerkarte Allgemein einen Namen und eine Beschreibung für das Mesh-Profil fest.

• Schritt 13: Wählen Sie auf der Registerkarte Erweitert für das Feld Methode die Option EAP aus.
• Schritt 14: Wählen Sie das in den Schritten 6 und 9 definierte Autorisierungs- und Authentifizierungsprofil aus, und wählen Sie Auf Gerät anwenden aus.

• Schritt 15: Navigieren Sie zu Konfiguration > Tag & Profiles > AP Join > Profile.
• Schritt 16: Wählen Sie Hinzufügen aus. Das Popup-Fenster "AP Join Profile" wird angezeigt. Legen Sie einen Namen und eine Beschreibung für das Zugangsprofil fest.

• Schritt 17: Navigieren Sie zur Registerkarte AP, und wählen Sie das in Schritt 12 erstellte Mesh-Profil aus dem Dropdown-Menü Mesh Profile Name (Mesh-Profilname) aus.
• Schritt 18: Stellen Sie sicher, dass EAP-FAST- und CAPWAP-DTLS für die Felder EAP Type (EAP-Typ) und AP Authorization Type (AP-Autorisierungstyp) festgelegt sind.
• Schritt 19: Wählen Sie Auf Gerät anwenden aus.

• Schritt 20: Navigieren Sie zu Konfiguration > Tag & Profile > Tags > Site.
• Schritt 21: Wählen Sie Hinzufügen aus. Das Popup-Fenster "Site-Tag" wird angezeigt.

• Schritt 22: Geben Sie einen Namen und eine Beschreibung für das Site-Tag ein.

• Schritt 23: Wählen Sie das in Schritt 16 erstellte AP-Join-Profil aus der Dropdown-Liste AP-Join-Profil aus.
• Schritt 24: Deaktivieren Sie unten im Popup-Fenster "Site-Tag" das Kontrollkästchen "Lokalen Standort aktivieren", um das Dropdown-Menü "Flex Profile" zu aktivieren.
• Schritt 35: Wählen Sie aus der Dropdown-Liste Flex Profile (Flex-Profil) das Flex Profile (Flex-Profil) aus, das Sie für den AP verwenden möchten.

• Schritt 36: Verbinden Sie den Access Point mit dem Netzwerk, und stellen Sie sicher, dass sich der Access Point im lokalen Modus befindet.
• Schritt 37: Um sicherzustellen, dass sich der Access Point im lokalen Modus befindet, geben Sie den Befehl capwap ap mode local ein.

Der Access Point muss über eine Suchmöglichkeit für den Controller verfügen: entweder L2-Broadcast, DHCP-Option 43, DNS-Auflösung oder manuelle Einrichtung.

• Schritt 38: Der AP tritt dem WLC bei. Stellen Sie sicher, dass er in der AP-Liste aufgeführt ist. Navigieren Sie zu Konfiguration > Wireless > Access Points > Alle Access Points.

• Schritt 39: Wählen Sie den Access Point aus. Das AP-Popup wird angezeigt.
• Schritt 40: Wählen Sie die in Schritt 22 erstellte Site-Tag-Nummer unter Allgemein > Tags > Registerkarte Site im AP-Popup-Fenster aus, und wählen Sie Aktualisieren und auf Gerät anwenden aus.

• Schritt 41: Der AP wird neu gestartet und muss den WLC im Flex + Bridge-Modus wieder verbinden.

Bei dieser Methode wird der Access Point zuerst im lokalen Modus verbunden (ohne Punkt1x-Authentifizierung), um das Site-Tag auf das Mesh-Profil anzuwenden, und anschließend wird der Access Point in den Bridge-Modus umgeschaltet.

Um einem AP beizutreten, der im Bridge-Modus (oder Flex+Bridge) feststeckt, konfigurieren Sie Standardmethoden (aaa authentication dot1x default local und aaa authentication cred default local).

Der Access Point kann sich dann authentifizieren, und Sie können die Tags anschließend zuweisen.

Überprüfung

Stellen Sie sicher, dass der AP-Modus "Flex + Bridge" (Flex + Bridge) angezeigt wird, wie in dieser Abbildung gezeigt.

Führen Sie diese Befehle in der WLC 9800 CLI aus, und suchen Sie nach dem Attribut AP Mode. Sie muss als Flex+Bridge aufgeführt sein.

aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site meshsite
 ap-profile meshapjoin
 no local-site
ap profile meshapjoin
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile mesh-profile

Fehlerbehebung

Stellen Sie sicher, dass die Befehle aaa authentication dot1x default local und aaa authentication cred default local vorhanden sind. Sie sind erforderlich, wenn Ihr Access Point im lokalen Modus nicht vorab verbunden wurde. Das Haupt-Dashboard der Serie 9800 verfügt über ein Widget, über das APs angezeigt werden, die nicht beitreten können. Klicken Sie hier, um eine Liste der APs anzuzeigen, die nicht beitreten können:

Klicken Sie auf den jeweiligen Access Point, um den Grund anzuzeigen, warum er nicht beigetreten ist. In diesem Fall tritt ein Authentifizierungsproblem auf (die AP-Authentifizierung steht aus), da das Site-Tag nicht dem AP zugewiesen wurde.

Daher hat der 9800 die benannte Authentifizierungs-/Autorisierungsmethode nicht für die Authentifizierung des AP ausgewählt:

Um eine erweiterte Fehlerbehebung zu erhalten, navigieren Sie zur Seite Troubleshooting > Radioactive Trace (Fehlerbehebung > Radioaktive Ablaufverfolgung) in der Webbenutzeroberfläche. Wenn Sie die MAC-Adresse des AP eingeben, können Sie sofort eine Datei erstellen, um die stets verfügbaren Protokolle (auf Benachrichtigungsebene) des AP abzurufen, der beitreten möchte. Klicken Sie auf Start, um das erweiterte Debuggen für diese MAC-Adresse zu aktivieren. Wenn die Protokolle das nächste Mal generiert werden, generieren Sie die Protokolle, die Protokolle auf Debugebene für den AP-Join, wie dargestellt.