Konfigurieren von OEAP und RLAN auf dem Catalyst 9800 WLC

Download-Optionen

  • PDF     (1.6 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.6 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (930.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:30. Juni 2020
Dokument-ID:215681

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird erläutert, wie der Cisco OfficeExtend Access Point (OEAP) und das Remote Local Area Network (RLAN) auf dem 9800 WLC konfiguriert werden.

    Ein Cisco OfficeExtend Access Point (OEAP) stellt eine sichere Kommunikation von einem Controller zu einem Cisco AP an einem entfernten Standort bereit und erweitert nahtlos das Unternehmens-WLAN über das Internet auf den Wohnsitz eines Mitarbeiters. Das Anwendererlebnis im Heimbüro ist das gleiche wie im Büro. Die DTLS-Verschlüsselung (Datagram Transport Layer Security) zwischen einem Access Point und dem Controller stellt sicher, dass alle Kommunikationen die höchste Sicherheitsstufe aufweisen.

    Ein Remote-LAN (RLAN) wird für die Authentifizierung von kabelgebundenen Clients über den Controller verwendet. Sobald der kabelgebundene Client erfolgreich zum Controller hinzugefügt wurde, schalten die LAN-Ports den Datenverkehr zwischen dem zentralen oder lokalen Switching-Modus um. Der Datenverkehr von den kabelgebundenen Clients wird als Wireless-Client-Datenverkehr behandelt. Das RLAN im Access Point (AP) sendet die Authentifizierungsanforderung, um den kabelgebundenen Client zu authentifizieren. Die Authentifizierung der kabelgebundenen Clients im RLAN ähnelt der des zentral authentifizierten Wireless-Clients.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • 9800 WLC
    • Zugriff über eine Kommandozeile auf die Wireless Controller und Access Points

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Catalyst 9800 WLC Version 17.02.01
    • AP der Serien 1815/1810

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Netzwerkdiagramm

    AP-Join hinter NAT

    Bei 16.12.x-Codes müssen Sie die NAT-IP-Adresse über die CLI konfigurieren. Es ist keine GUI-Option verfügbar. Sie können die CAPWAP-Erkennung auch über eine öffentliche oder private IP-Adresse auswählen.

    (config)#wireless management interface vlan 1114 nat public-ip x.x.x.x
    (config-nat-interface)#capwap-discovery ?
      private  Include private IP in CAPWAP Discovery Response

      public   Include public IP in CAPWAP Discovery Response

    Navigieren Sie in 17.x-Codes zu Configuration > Interface > Wireless, und klicken Sie dann auf Wireless Management Interface, um den NAT IP- und CAPWAP-Erkennungstyp über die GUI zu konfigurieren.

    Konfiguration 

    1. Um ein Flex-Profil zu erstellen, aktivieren Sie Office Extend AP, und navigieren Sie zu Configuration > Tags & Profiles > Flex.

    2. Um ein Site-Tag zu erstellen und ein Flex Profile-System zuzuordnen, navigieren Sie zu Configuration > Tags & Profiles > Tags.

    3. Navigieren Sie, um den AP1815 mit dem durch Configuration > Wireless Setup > Advanced > Tag APs erstellten Standort-Tag zu taggen.

    Überprüfung

    Wenn der 1815 AP wieder zum WLC gehört, überprüfen Sie diese Ausgabe:

    vk-9800-1#show ap name AP1815 config general

    Cisco AP Name   : AP1815
    =================================================
     
    Cisco AP Identifier                             : 002c.c8de.3460

    Country Code                                    : Multiple Countries : IN,US

    Regulatory Domain Allowed by Country            : 802.11bg:-A   802.11a:-ABDN

    AP Country Code                                 : US  - United States

    Site Tag Name                                   : Home-Office

    RF Tag Name                                     : default-rf-tag

    Policy Tag Name                                 : default-policy-tag

    AP join Profile                                 : default-ap-profile

    Flex Profile                                    : OEAP-FLEX

    Administrative State                            : Enabled

    Operation State                                 : Registered

    AP Mode                                         : FlexConnect

    AP VLAN tagging state                           : Disabled

    AP VLAN tag                                     : 0

    CAPWAP Preferred mode                           : IPv4

    CAPWAP UDP-Lite                                 : Not Configured

    AP Submode                                      : Not Configured

    Office Extend Mode                              : Enabled

    Dhcp Server                                     : Disabled

    Remote AP Debug                                 : Disabled


    vk-9800-1#show ap link-encryption

                                Encryption     Dnstream    Upstream     Last

    AP Name                     State          Count       Count        Update

    --------------------------------------------------------------------------

    N2                           Disabled       0           0           06/08/20 00:47:33

    AP1815                       Enabled        43          865         06/08/20 00:46:56




    when you enable the OfficeExtend mode for an access point DTLS data encryption is enabled automatically.




    AP1815#show capwap client config

    AdminState                         : ADMIN_ENABLED(1)

    Name                               : AP1815

    Location                           : default location

    Primary controller name            : vk-9800-1

    ssh status                         : Enabled

    ApMode                             : FlexConnect

    ApSubMode                          : Not Configured

    Link-Encryption                    : Enabled

    OfficeExtend AP                    : Enabled

    Discovery Timer                    : 10

    Heartbeat Timer                    : 30

    Syslog server                      : 255.255.255.255

    Syslog Facility                    : 0

    Syslog level                       : informational

    Hinweis: Mit dem Befehl ap link-encryption können Sie die DTLS-Datenverschlüsselung für einen bestimmten Access Point oder für alle Access Points aktivieren oder deaktivieren.

    vk-9800-1(config)#ap profile default-ap-profile

    vk-9800-1(config-ap-profile)#no link-encryption

    Disabling link-encryption globally will reboot the APs with link-encryption.

    Are you sure you want to continue? (y/n)[y]:y

    Melden Sie sich bei OEAP an, und konfigurieren Sie die persönliche SSID.

        1. Sie können auf die Webschnittstelle des OEAP mit seiner IP-Adresse zugreifen. Die Standardanmeldedaten sind admin und admin.

        2. Aus Sicherheitsgründen wird empfohlen, die Standardanmeldeinformationen zu ändern.

    3. Navigieren Sie zu Configuration> SSID> 2.4GHz/5GHz, um die persönliche SSID zu konfigurieren.

     4. Aktivieren Sie die Funkschnittstelle.

     5. Geben Sie die SSID ein, und aktivieren Sie "Senden".

     6. Wählen Sie für die Verschlüsselung WPA-PSK oder WPA2-PSK, und geben Sie die Passphrase für den entsprechenden Sicherheitstyp ein.

     7. Klicken Sie auf Anwenden, damit die Einstellungen wirksam werden.

     8. Clients, die sich mit dem persönlichen SSID verbinden, erhalten standardmäßig die IP-Adresse aus dem Netzwerk 10.0.0.1/24.

     9. Privatbenutzer können den gleichen Access Point verwenden, um eine Verbindung für den Heimgebrauch herzustellen, und der Datenverkehr wird nicht über den DTLS-Tunnel geleitet.

    10. Um die Client-Zuordnungen auf dem OEAP zu überprüfen, navigieren Sie zu Home > Client. Sie können die mit dem OEAP verknüpften lokalen Clients und Firmenclients sehen.

    To clear personal ssidfrom office-extend ap                

    ewlc#ap name cisco-ap clear-personalssid-config

    clear-personalssid-config Clears the Personal SSID config on an OfficeExtend AP

    RLAN auf dem 9800 WLC konfigurieren

    Ein Remote-LAN (RLAN) wird für die Authentifizierung von kabelgebundenen Clients über den Controller verwendet. Sobald der kabelgebundene Client erfolgreich zum Controller hinzugefügt wurde, schalten die LAN-Ports den Datenverkehr zwischen dem zentralen oder lokalen Switching-Modus um. Der Datenverkehr von den kabelgebundenen Clients wird als Wireless-Client-Datenverkehr behandelt. Das RLAN im Access Point (AP) sendet die Authentifizierungsanforderung, um den kabelgebundenen Client zu authentifizieren. Die Fehlermeldung

    Die Authentifizierung der kabelgebundenen Clients im RLAN ähnelt der des zentral authentifizierten Wireless-Clients.

    Hinweis: In diesem Beispiel wird lokaler EAP für die RLAN-Client-Authentifizierung verwendet. Die lokale EAP-Konfiguration muss auf dem WLC vorhanden sein, um die folgenden Schritte konfigurieren zu können. Sie umfasst AAA-Authentifizierungs- und Autorisierungsmethoden, ein lokales EAP-Profil und lokale Anmeldeinformationen.

    Lokale EAP-Authentifizierung am Catalyst 9800 WLC-Konfigurationsbeispiel

    1. Um ein RLAN-Profil zu erstellen, navigieren Sie zu Configuration > Wireless > Remote LAN, und geben Sie einen Namen und eine RLAN-ID für das RLAN-Profil ein, wie in diesem Bild dargestellt.

    2. Navigieren Sie zu Security > Layer2, um 802.1x für ein RLAN zu aktivieren, und setzen Sie den 802.1x-Status auf Enabled (Aktiviert), wie in diesem Bild gezeigt.

    3. Navigieren Sie zu Security > AAA, legen Sie die lokale EAP-Authentifizierung auf aktiviert fest, und wählen Sie den erforderlichen EAP-Profilnamen aus der Dropdown-Liste aus, wie in diesem Bild dargestellt.

    4. Um eine RLAN-Richtlinie zu erstellen, navigieren Sie zu Configuration > Wireless > Remote LAN, und klicken Sie auf der Seite Remote LAN auf die Registerkarte RLAN Policy (RLAN-Richtlinie), wie in diesem Bild dargestellt.

    Navigieren Sie zu Access Policies (Zugriffsrichtlinien), konfigurieren Sie das VLAN und den Host Mode (Hostmodus), und wenden Sie die Einstellungen an.

    5. Um ein Policy-Tag zu erstellen und das RLAN-Profil der RLAN-Richtlinie zuzuordnen, navigieren Sie zu Configuration > Tags & Profiles > Tags.

    6. Aktivieren Sie den LAN-Port, und wenden Sie das Richtlinien-TAG auf den AP an. Navigieren Sie zu Konfiguration > Wireless > Access Points, und klicken Sie auf den AP.

    Wenden Sie die Einstellung an, und der Access Point schließt sich dem WLC wieder an. Klicken Sie auf den Access Point, wählen Sie Interfaces (Schnittstellen) aus, und aktivieren Sie den LAN-Port.

    Übernehmen Sie die Einstellungen, und überprüfen Sie den Status.

    7. Schließen Sie einen PC an den LAN3-Port des AP an. Der PC wird über 802.1x authentifiziert und erhält eine IP-Adresse vom konfigurierten VLAN.

    Navigieren Sie zu Monitoring > Wireless > Clients, um den Client-Status zu überprüfen.

    vk-9800-1#show wireless client summary
    Number of Clients: 2
    MAC Address    AP Name                                        Type ID   State             Protocol Method     Role
    -------------------------------------------------------------------------------------------------------------------------
    503e.aab7.0ff4 AP1815                                         WLAN 3    Run               11n(2.4) None       Local            
    b496.9126.dd6c AP1810                                         RLAN 1    Run               Ethernet Dot1x      Local            
    Number of Excluded Clients: 0

    Fehlerbehebung

    Häufige Probleme:

    • Nur lokale SSIDs funktionieren, SSIDs auf WLC nicht gesendet: Überprüfen Sie, ob AP dem Controller ordnungsgemäß beigetreten ist.
    • Kein Zugriff auf die OEAP-GUI möglich: Überprüfen Sie, ob ap über eine IP-Adresse verfügt, und vergewissern Sie sich, dass die Verbindung hergestellt werden kann (Firewall, ACL usw. im Netzwerk).
    • Centrally Switched Wireless- oder kabelgebundene Clients, die sich nicht authentifizieren können oder die IP-Adresse nicht erhalten: RA-Traces, Always-on-Traces usw.

    Beispiel für stets verfügbare Traces für kabelgebundenen 802.1x-Client:

    [client-orch-sm] [18950]: (note): MAC: <client-mac>  Association received. BSSID 00b0.e187.cfc0, old BSSID 0000.0000.0000, WLAN test_rlan, Slot 2 AP 00b0.e187.cfc0, Ap_1810

    [client-orch-state] [18950]: (note): MAC: <client-mac>  Client state transition: S_CO_INIT -> S_CO_ASSOCIATING

    [dot11-validate] [18950]: (ERR): MAC: <client-mac>  Failed to dot11 determine ms physical radio type. Invalid radio type :0 of the client.

    [dot11] [18950]: (ERR): MAC: <client-mac>  Failed to dot11 send association response. Encoding of assoc response failed for client reason code: 14.

    [dot11] [18950]: (note): MAC: <client-mac>  Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False AID list: 0x1| 0x0| 0x0| 0x0

    [client-orch-state] [18950]: (note): MAC: <client-mac>  Client state transition: S_CO_ASSOCIATING -> S_CO_L2_AUTH_IN_PROGRESS

    [client-auth] [18950]: (note): MAC: <client-mac>  ADD MOBILE sent. Client state flags: 0x71  BSSID: MAC: 00b0.e187.cfc0  capwap IFID: 0x90000012

    [client-auth] [18950]: (note): MAC: <client-mac>  L2 Authentication initiated. method DOT1X, Policy VLAN 1119,AAA override = 0 , NAC = 0

    [ewlc-infra-evq] [18950]: (note): Authentication Success. Resolved Policy bitmap:11 for client <client-mac>

    [client-orch-sm] [18950]: (note): MAC: <client-mac>  Mobility discovery triggered. Client mode: Local

    [client-orch-state] [18950]: (note): MAC: <client-mac>  Client state transition: S_CO_L2_AUTH_IN_PROGRESS -> S_CO_MOBILITY_DISCOVERY_IN_PROGRESS

    [mm-client] [18950]: (note): MAC: <client-mac>  Mobility Successful. Roam Type None, Sub Roam Type MM_SUB_ROAM_TYPE_NONE, Previous BSSID MAC: 0000.0000.0000   Client IFID: 0xa0000003, Client Role: Local PoA: 0x90000012 PoP: 0x0

    [client-auth] [18950]: (note): MAC: <client-mac>  ADD MOBILE sent. Client state flags: 0x72  BSSID: MAC: 00b0.e187.cfc0  capwap IFID: 0x90000012

    [client-orch-state] [18950]: (note): MAC: <client-mac>  Client state transition: S_CO_MOBILITY_DISCOVERY_IN_PROGRESS -> S_CO_DPATH_PLUMB_IN_PROGRESS

    [dot11] [18950]: (note): MAC: <client-mac>  Client datapath entry params - ssid:test_rlan,slot_id:2 bssid ifid: 0x0, radio_ifid: 0x90000006, wlan_ifid: 0xf0404001

    [dpath_svc] [18950]: (note): MAC: <client-mac>  Client datapath entry created for ifid 0xa0000003

    [client-orch-state] [18950]: (note): MAC: <client-mac>  Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS

    [client-iplearn] [18950]: (note): MAC: <client-mac>  Client IP learn successful. Method: DHCP IP: <Cliet-IP>

    [apmgr-db] [18950]: (ERR): 00b0.e187.cfc0 Get ATF policy name from WLAN profile:: Failed to get wlan profile. Searched wlan profile test_rlan

    [apmgr-db] [18950]: (ERR): 00b0.e187.cfc0 Failed to get ATF policy name

    [apmgr-bssid] [18950]: (ERR): 00b0.e187.cfc0 Failed to get ATF policy name from WLAN profile name: No such file or directory

    [client-orch-sm] [18950]: (ERR): Failed to get client ATF policy name: No such file or directory

    [client-orch-state] [18950]: (note): MAC: <client-mac>  Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    30-Jun-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Vinodh Kokila
      TAC
    • Gurinderjit Sindhar
      TAC
    • Shankar Ramanathan
      TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.