Override di FlexConnect WLAN con 802.1x AAA sui controller wireless Catalyst 9800

Opzioni per il download

  • PDF     (1.8 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.9 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:27 novembre 2018
ID documento:213924

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare un controller LAN wireless elastico (9800 WLC) con punti di accesso in modalità FlexConnect e una rete WLAN 802.1x commutata localmente con override dell'autenticazione, dell'autorizzazione e dell'accounting (AAA) della rete VLAN (Virtual Local Area Network).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • modalità di configurazione 9800 WLC
    • FlexConnect

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • 9800 WLC v16.10

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Esempio di rete

    Configurazione

    Configurazione AAA sui controller 9800 WLC

    È possibile seguire le istruzioni di questo collegamento:

    Configurazione AAA sui controller 9800 WLC

    Configurazione della WLAN

    È possibile seguire le istruzioni di questo collegamento:

    Configurazione della WLAN

    Imposta AP come modalità FlexConnect

    A differenza della configurazione AireOS, sullo switch 9800 WLC non è possibile configurare l'access point in modalità locale o flexconnect direttamente dall'access point. Per configurare un access point in modalità FlexConnect, attenersi alla seguente procedura.

    GUI

    Passaggio 1. Configurare un profilo Flex.

    Passa a Configurazione > Tag e profili > Flex e modificare il profilo default-flex-profile o fare clic su +Aggiungi per crearne uno nuovo.

    Passaggio 2. Aggiungere le VLAN necessarie (sia le VLAN predefinite della WLAN che le VLAN estese dall'ISE).

      

    Nota: al passaggio 3 della sezione Configurazione del profilo delle policy, è possibile selezionare la VLAN predefinita assegnata all'SSID. Se si usa un nome VLAN in questo passaggio, verificare di usare lo stesso nome vlan nella configurazione del profilo Flex, altrimenti i client non saranno in grado di connettersi alla WLAN.

    Facoltativamente, è possibile aggiungere ACL specifici per ciascuna VLAN.

     Facoltativamente, assegnare un gruppo di server Radius per consentire ai punti di accesso FlexConnect di eseguire l'autenticazione locale.

    Passaggio 3. Configurare un tag del sito.

    Selezionare Configurazione > Tag e profili > Tag > Sito. Modificare il tag predefinito del sito (ovvero il tag assegnato per impostazione predefinita a tutti gli access point) o crearne uno nuovo facendo clic su +Aggiungi per crearne uno nuovo. 

    Assicuratevi di disabilitare l'opzione Abilita sito locale altrimenti l'opzione Flex Profile (Profilo flessibile) non sarà disponibile. 

    Nota: qualsiasi access point che ottiene un tag del sito con l'opzione Abilita sito locale abilitata, è configurato come modalità locale. Analogamente, qualsiasi access point che ottiene un tag del sito con l'opzione Abilita sito locale disabilitata, viene configurato come modalità flexconnect.

     Passaggio 4. Associare un punto di accesso al WLC 9800 e assegnare il tag Site configurato nel passaggio 2.

    Passare a Configurazione > Wireless > Access Point > Nome punto di accesso e impostare il tag del sito. Quindi fare clic su Aggiorna e applica al dispositivo per impostare la modifica.

    Nota: dopo aver modificato il tag su un access point, quest'ultimo perde l'associazione al WLC 9800 e si ricongiunge entro circa 1 minuto. 

     Passaggio 5. Una volta che l'access point si unisce nuovamente, la modalità AP è Flex

    CLI

    # config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601

# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site

# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit

#show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : FlexConnect

    Configurazione degli switch

    Configurare l'interfaccia dello switch a cui è connesso l'access point.

    # config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end

    Configurazione del profilo di policy

    All'interno di un profilo di policy, è possibile decidere a quale VLAN assegnare i client, tra le altre impostazioni (come Access Controls List [ACLs], Quality of Service [QoS], Mobility Anchor, Timer e così via).

    GUI

    Passaggio 1. Configurare il profilo dei criteri da assegnare alla WLAN.

      

    Passare a Configurazione > Tag e profili > Criterio e crearne uno nuovo o modificare il profilo predefinito-criterio.

     Passaggio 2. Dalla scheda Generale, assegnare un nome al Profilo criterio e modificarne lo stato in ABILITATO.

     Passaggio 3. Dalla scheda Criteri di accesso assegnare la VLAN a cui sono assegnati i client wireless quando si connettono a questa WLAN per impostazione predefinita.

    È possibile selezionare un nome di VLAN dall'elenco a discesa o digitare manualmente un ID di VLAN.

      

    Nota: se si seleziona un nome di vlan dall'elenco a discesa, verificare che corrisponda al nome di vlan usato nel passaggio 2 della sezione Impostare AP come modalità FlexConnect.

    o

    Passaggio 4. Passare alla scheda Advanced (Avanzate) e abilitare le opzioni Central Authentication Enable (Abilita autenticazione centrale) e Allow AAA Overrideoptions (Consenti sostituzione AAA). La commutazione centrale deve essere disabilitata.

    Se si desidera che il processo di autenticazione venga eseguito a livello centrale dal WLC 9800, è necessario abilitare l'autenticazione centrale. Disattivarla se si desidera che i punti di accesso FlexConnect autentichino i client wireless.

    CLI

    # config t
    # wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown

    Configurazione del tag di policy

    Il tag dei criteri viene utilizzato per collegare l'SSID al profilo dei criteri. È possibile creare un nuovo tag o utilizzare il tag predefinito.

    Nota: il tag default-policy-tag mappa automaticamente qualsiasi SSID con ID WLAN compreso tra 1 e 16 al profilo default-policy-profile. Non può essere né modificata né eliminata. Se si dispone di una WLAN con ID 17 o superiore, non è possibile utilizzare il tag default-policy.

    GUI:

    Passare a Configurazione > Tag e profili > Tag > Criteri e aggiungerne uno nuovo, se necessario.

    Associare il profilo WLAN al profilo di policy desiderato.

      

    CLI:

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    Assegnazione tag criteri

    Assegnare il tag Policy all'access point

    GUI

    Per assegnare il tag a un punto di accesso, selezionare Configurazione > Wireless > Access Point > Nome punto di accesso > Tag generali, effettuare l'assegnazione necessaria e fare clic su Aggiorna e applica al dispositivo.

      

    Nota: tenere presente che dopo aver modificato il tag di criterio in un access point, l'associazione al WLC 9800 viene persa e l'utente torna indietro entro 1 minuto.

    Per assegnare lo stesso codice di matricola a più access point, selezionare Configurazione > Wireless > Wireless Setup > Start Now > Apply (Configurazione wireless > Impostazione wireless > Avvia ora > Applica).


    Selezionare gli access point ai quali si desidera assegnare il tag e fare clic su + Tag AP

    Selezionare il tag desiderato e fare clic su Salva e applica al dispositivo

    CLI

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    Configurazione di ISE

    Per la configurazione di ISE v1.2, controllare questo collegamento:

    Configurazione di ISE

    Verifica

    È possibile utilizzare questi comandi per verificare la configurazione corrente

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Risoluzione dei problemi

    WLC 9800 offre funzionalità di traccia ALWAYS-ON. In questo modo, tutti gli errori relativi alla connettività dei client, le avvertenze e i messaggi di avviso vengono costantemente registrati e, dopo che si è verificato un incidente o un errore, è possibile visualizzare i vari log.  

    Nota: a seconda del volume di log generati, è possibile tornare indietro di alcune ore a diversi giorni.

    Per visualizzare le tracce raccolte dal controller 9800 WLC per impostazione predefinita, è possibile collegarsi in modalità SSH/Telnet al controller 9800 WLC e seguire questa procedura (verificare di registrare la sessione in un file di testo).

    Passaggio 1. Controllare l'ora corrente del controller in modo da poter tenere traccia dei registri nel tempo che precede il momento in cui si è verificato il problema.

    # show clock

     Passaggio 2. Raccogliere i syslog dal buffer del controller o dal syslog esterno in base alla configurazione del sistema. In questo modo è possibile visualizzare rapidamente lo stato di integrità del sistema ed eventuali errori.

    # show logging

    Passaggio 3. Verificare se sono abilitate le condizioni di debug.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Nota: se viene visualizzata una condizione, significa che le tracce vengono registrate a livello di debug per tutti i processi che soddisfano le condizioni abilitate (indirizzo MAC, indirizzo IP e così via). Ciò aumenta le dimensioni dei log. Pertanto, si consiglia di cancellare tutte le condizioni quando non si effettua attivamente il debug.

    Passaggio 4. Supponendo che l'indirizzo MAC in fase di test non sia stato elencato come condizione nel passo 3, raccogliere le tracce del livello di avviso always on per l'indirizzo MAC specifico.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    È possibile visualizzare il contenuto della sessione oppure copiare il file su un server TFTP esterno.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Debug condizionale e traccia Radioactive (RA)  

    Se le tracce always-on non forniscono informazioni sufficienti per determinare la causa del problema, è possibile abilitare il debug condizionale e acquisire la traccia Radioactive (RA) che fornisce informazioni su tutti i processi interessati dalla condizione specifica (in questo caso, indirizzo MAC del client). Per abilitare il debug condizionale, attenersi alla seguente procedura.

    Passaggio 5. Accertarsi che non vi siano condizioni di debug abilitate.

    # clear platform condition all

    Passaggio 6. Abilitare la condizione di debug per l'indirizzo MAC del client wireless che si desidera monitorare.

    Questo comando avvia il monitoraggio dell'indirizzo MAC fornito per 30 minuti (1800 secondi). È possibile aumentare questo tempo fino a 2085978494 secondi.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Nota: per monitorare più client alla volta, eseguire il comando debug wireless mac <aaa.bbbb.ccc> per ogni indirizzo MAC.

    Nota: l'output dell'attività del client nella sessione terminale non viene visualizzato, in quanto tutto viene memorizzato internamente nel buffer per essere visualizzato successivamente.

      

    Passaggio 7. Riprodurre il problema o il comportamento che si desidera monitorare.

    Passaggio 8. Interrompere i debug se il problema viene riprodotto prima che il tempo di monitoraggio predefinito o configurato sia attivo.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Una volta trascorso il tempo di monitoraggio o interrotto il debug wireless, il controller 9800 WLC genera un file locale con il nome:

    ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Passaggio 9. Recuperare il file dell'attività dell'indirizzo MAC.    È possibile copiare la traccia RA .log su un server esterno o visualizzare l'output direttamente sullo schermo.

    Controllare il nome del file delle tracce RA

    # dir bootflash: | inc ra_trace

    Copiare il file su un server esterno:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Visualizzare il contenuto:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Passaggio 10. Se la causa principale non è ancora ovvia, raccogliere i log interni che offrono una visualizzazione più dettagliata dei log del livello di debug. Non è necessario eseguire di nuovo il debug del client, in quanto vengono esaminati in dettaglio solo i log di debug già raccolti e archiviati internamente.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Nota: questo output del comando restituisce tracce per tutti i livelli di registrazione per tutti i processi ed è piuttosto voluminoso. Contattare Cisco TAC per analizzare queste tracce.

    È possibile copiare il file ra-internal-FILENAME.txt su un server esterno o visualizzare l'output direttamente sullo schermo.

    Copiare il file su un server esterno:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Visualizzare il contenuto:

    # more bootflash:ra-internal-<FILENAME>.txt

     Passaggio 11. Rimuovere le condizioni di debug.

    # clear platform condition all

    Nota: assicurarsi di rimuovere sempre le condizioni di debug dopo una sessione di risoluzione dei problemi.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    21-Nov-2018
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Karla Cisneros Galvan
      Cisco TAC Engineer
    • Sudha Katgeri
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti