Configurazione di Mesh sui controller LAN wireless Catalyst 9800

Opzioni per il download

  • PDF     (2.9 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.7 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.6 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:7 agosto 2024
ID documento:215100

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto un esempio di configurazione di base per collegare un punto di accesso mesh al controller WLC (Catalyst 9800 Wireless LAN Controller).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Catalyst Wireless 9800 modello di configurazione
    • Configurazione dei LAP 
    • Controllo e fornitura di punti di accesso wireless (CAPWAP)
    • Configurazione di un server DHCP esterno
    • Configurazione degli switch Cisco

    Componenti usati

    In questo esempio viene usato un Lightweight Access Point (1572AP e 1542) che può essere configurato come Root AP (RAP) o Mesh AP (MAP) per collegarsi a Catalyst 9800 WLC. La procedura è identica per i punti di accesso 1542 o 1562. Il dispositivo RAP è collegato al Catalyst 9800 WLC tramite uno switch Cisco Catalyst.

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • C9800-CL v16.12.1
    • Cisco Layer 2 Switch
    • Cisco Aironet serie 1572 Lightweight External Access Point per la sezione Bridge
    • Cisco Aironet 1542 per la sezione Flex+Bridge

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Caso di studio 1: modalità Bridge

    Configurazioni

    Affinché si colleghi al controller 9800, è necessario autenticare un punto di accesso mesh. In questo caso di studio si considera che l'access point viene collegato in modalità locale prima al WLC e quindi convertito in modalità mesh Bridge (alias a). Per evitare l'assegnazione di profili di join AP, utilizzare questo esempio ma configurare il metodo di download delle credenziali di autorizzazione aaa predefinito in modo che qualsiasi access point mesh possa unirsi al controller.

    Passaggio 1: configurare gli indirizzi MAC RAP/MAP in Autenticazione dispositivo.

    Selezionare Configuration > AAA > AAA Advanced > Device Authentication (Configurazione > AAA > Avanzate AAA > Autenticazione dispositivo)

    Impostazioni AAA

    Aggiungere l'indirizzo MAC Ethernet di base dei punti di accesso alla rete. Aggiungerlo senza caratteri speciali, senza '.' o ':'

    Nota: a partire dalla versione 17.3.1, se vengono aggiunti delimitatori di indirizzo mac come '.', ':' o '-', l'access point non è in grado di unirsi. A tale scopo, sono attualmente disponibili 2 miglioramenti: ID bug Cisco CSCvv43870 e ID bug Cisco CSCvr07920. In futuro, 9800 accetterà tutti i formati di indirizzo MAC.

    Aggiungi un indirizzo MAC

    Passaggio 2: configurare l'elenco dei metodi di autenticazione e autorizzazione.

    Passare a Configurazione > Sicurezza > AAA > Elenco metodi AAA > Autenticazione e creare l'elenco dei metodi di autenticazione e l'elenco dei metodi di autorizzazione.

    Impostazione autorizzazione AAA

    Impostazione autenticazione AAA

    Passo 3: configurare i parametri mesh globali.

    Passare a Configurazione> Mesh> Parametri globali. Inizialmente è possibile mantenere questi valori predefiniti.

    Menu Rete

    Passo 4: creazione di un nuovo profilo di rete in Configurazione > Rete > Profilo > +Aggiungi.

    Aggiungi un profilo di rete

    Fate clic sul profilo mesh creato per modificare le impostazioni generali e avanzate per il profilo mesh.

    Nel diagramma come mostrato, è necessario mappare il profilo di autenticazione e autorizzazione creato prima al profilo Mesh.

    Impostazioni avanzate profilo mesh

    Passaggio 5: Creare un nuovo profilo di join AP. Passare a Configura > Tag e profili: AP Join.

    Join AP

    Aggiungi profilo di join AP

    Applicare il profilo Mesh configurato in precedenza e configurare l'autenticazione AP-EAP:

    Impostazione dei dettagli della rete nel profilo di join AP

    Passo 6: creare un tag di posizione mesh come mostrato.

    Menu Tag

    Configura Fare clic sul tag di posizione Mesh creato nel Passaggio 6 per configurarlo.

    Passare alla scheda Sito e applicarvi il profilo di join Mesh AP precedentemente configurato:

    Aggiungi tag sito

    Passaggio 7. Assegnare il tag del sito all'access point. Selezionare Configurazione > Wireless > Access point e fare clic sull'access point Mesh. Assegnare il tag del sito.

    Assegnazione di un tag del sitoAssegnazione di un tag del sito

    Passaggio 8. Convertire il punto di accesso in modalità Bridge.

    Imposta modalità bridge

    Tramite CLI, è possibile utilizzare questo comando sull'access point:

    capwap ap mode bridge

    L'access point si riavvia e si unisce nuovamente come modalità Bridge.

    Passaggio 9. È ora possibile definire il ruolo dell'access point: punto di accesso radice o punto di accesso mesh.

    L'access point principale è quello con una connessione cablata al WLC, mentre l'access point con rete si unisce al WLC tramite la radio che tenta di connettersi a un access point principale. Un punto di accesso mesh può unirsi al WLC tramite l'interfaccia cablata se non riesce a trovare un punto di accesso radice tramite la radio, a scopo di provisioning. Non dimenticare di specificare la vlan nativa del trunk nelle impostazioni dell'access point nel caso sia diversa dalla VLAN predefinita 1.

    Assegna ruolo meshAssegna ruolo mesh

    Verifica

    aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
 method authentication Mesh_Authentication
 method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site Mesh_AP_Tag
 ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile Mesh_Profile

    Risoluzione dei problemi

    In Risoluzione dei problemi > Pagina UI Web di Traccia radioattiva, fare clic su aggiungi e immettere l'indirizzo MAC dell'access point.

    Aggiungi indirizzo MAC RAtrace

    Fare clic su Start e attendere che l'access point tenti di unirsi nuovamente al controller. Al termine, fare clic su Genera e scegliere un periodo di tempo per la raccolta dei log (ad esempio, gli ultimi 10 o 30 minuti).

    Fare clic sul nome del file di traccia per scaricarlo dal browser.

    Di seguito è riportato un esempio di access point non collegato perché è stato definito un nome di metodo di autorizzazione aaa errato:

    019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac

    Lo stesso può essere visto più facilmente nel dashboard dell'interfaccia utente Web quando si fa clic su AP non uniti. Autenticazione app in sospeso è il suggerimento che punta all'autenticazione dell'access point stesso:

    Statistiche join APWidget di join AP

    Case study 2: Flex + Bridge

    In questa sezione viene evidenziato il processo di join di un access point serie 1542 in modalità Flex+bridge con autenticazione EAP eseguita in locale sul WLC.

    Configurazione

    • Passaggio 1. Selezionare Configuration > Security > AAA > AAA Advanced > Device Authentication (Configurazione > Sicurezza > AAA > Avanzate AAA > Autenticazione dispositivo).

    Pagina Aggiungi autenticazione dispositivo

    • Passaggio 2. Selezionare Device Authentication (Autenticazione dispositivo), quindi Add (Aggiungi).
    • Passaggio 3. Digitare l'indirizzo MAC Ethernet di base dell'access point per collegarsi al WLC. Lasciare vuoto il campo Nome elenco attributi e selezionare Applica al dispositivo.

    Filtro MAC

    • Passaggio 4. Selezionare Configurazione > Sicurezza > AAA > Elenco metodi AAA > Autenticazione.
    • Passaggio 5. Selezionare Aggiungi. Viene visualizzata la schermata di autenticazione AAA.

    Aggiunta di un metodo di autenticazione AAA

    • Passaggio 6. Digitare un nome in Nome elenco metodi. Selezionare 802.1x dall'elenco a discesa Type* e local per il Group Type. Infine, selezionare Applica al dispositivo.

    Elenco dot1x autenticazione AAA

    • Passaggio 6b. Se i punti di accesso vengono collegati direttamente in modalità Bridge e non sono stati assegnati un tag di sito e criteri in precedenza, ripetere il passaggio 6 ma per il metodo predefinito.
    • Configurare un metodo di autenticazione aaa dot1x che punta a locale (autenticazione AAA CLI predefinita dot1x locale).
    • Passaggio 7. Passare a Configurazione > Sicurezza > AAA > Elenco metodi AAA > Autorizzazione.
    • Passaggio 8. Selezionare Aggiungi. Viene visualizzata la schermata di popup AAA Authorization (Autorizzazione AAA).

    Aggiunta di un metodo di autorizzazione AAA

    • Passaggio 9. Digitare un nome in Nome elenco metodi, selezionare download credenziali dall'elenco a discesa Tipo* e locale per Tipo gruppo. Infine, selezionare Applica al dispositivo.

    Profilo di autorizzazione AAA per il download delle credenziali

    • Passaggio 9b. Se l'access point si unisce direttamente in modalità bridge, ovvero non si unisce prima in modalità locale, ripetere il passaggio 9 per il metodo di download delle credenziali predefinito (CLI aaa authorization credential-download default local).
    • Passaggio 10. Selezionare Configurazione > Wireless > Mesh > Profili.
    • Passaggio 11. Selezionare Aggiungi. Viene visualizzato il popup Aggiungi profilo di rete.

    Aggiungi un profilo di rete

    • Passaggio 12. Nella scheda Generale, impostare un nome e una descrizione per il profilo Mesh.

    Impostazioni generali profilo mesh

    • Passaggio 13. Nella scheda Avanzate, selezionare EAP per il campo Metodo.
    • Passaggio 14. Selezionare il profilo di autorizzazione e autenticazione definito nei passaggi 6 e 9, quindi selezionare Applica al dispositivo.

    Aggiungi profilo Mesh, Impostazioni avanzate

    • Passaggio 15. Selezionare Configurazione > Tag e profili > Join AP > Profilo.
    • Passaggio 16. Selezionare Aggiungi. Viene visualizzata la schermata di popup Profilo di join AP. Impostare un nome e una descrizione per il profilo di join AP.

    Aggiungi profilo di join AP

    Aggiunta di un profilo di join AP: Impostazioni generali

    • Passaggio 17. Passare alla scheda AP e selezionare il profilo di rete creato nel passo 12 dall'elenco a discesa Nome profilo di rete.
    • Passaggio 18. Verificare che EAP-FAST e CAPWAP DTLS siano impostati per i campi Tipo EAP e Tipo di autorizzazione AP rispettivamente.
    • Passaggio 19. Selezionare Applica alla periferica.

    Definizione delle impostazioni di mesh nel profilo di join AP

    • Passaggio 20. Selezionare Configurazione > Tag e profili > Tag > Sito.
    • Passaggio 21. Selezionare Aggiungi. Viene visualizzato il tag del sito.

    Aggiunta di un tag del sito

    • Passaggio 22. Digitare un nome e una descrizione per il tag del sito.

    Impostazione del profilo di aggiunta AP nel tag del sito

    • Passaggio 23. Selezionare il Profilo di join AP creato nel passaggio 16 dall'elenco a discesa Profilo di join AP.
    • Passaggio 24. Nella parte inferiore del popup relativo al tag del sito, deselezionare la casella di controllo Abilita sito locale per abilitare l'elenco a discesa Profilo flessibile.
    • Passaggio 35. Dall'elenco a discesa Profilo flessibile, selezionare il profilo flessibile che si desidera utilizzare per l'access point.

    Impostazione del profilo Flex

    • Passaggio 36. Collegare l'access point alla rete e verificare che sia in modalità locale.
    • Passaggio 37. Per verificare che l'access point sia in modalità locale, usare il comando capwap ap mode local.

    L'access point deve essere in grado di trovare il controller, sia che si tratti di una trasmissione L2, di un'opzione DHCP 43, di una risoluzione DNS o di una configurazione manuale.

    • Passaggio 38. L'access point si unisce al WLC. Accertarsi che sia elencato nell'elenco dei punti di accesso. Selezionare Configurazione > Wireless > Access Point > Tutti i punti di accesso.

    Verifica della modalità locale AP

    • Passaggio 39. Selezionare l'access point. Viene visualizzato il popup AP.
    • Passaggio 40. Selezionare il tag del sito creato nel passo 22 in Generale > Tag > scheda Sito all'interno del popup AP, selezionare Aggiorna e Applica al dispositivo.

    Applicazione del tag del sito

    • Passaggio 41. L'access point si riavvia e deve collegarsi nuovamente al WLC in modalità Flex + Bridge.

    Questo metodo unisce innanzitutto l'access point in modalità locale (in cui non esegue l'autenticazione dot1x) per applicare il tag del sito con il profilo mesh e quindi passare all'access point in modalità bridge.

    Per aggiungere un access point bloccato in modalità bridge (o Flex+Bridge), configurare i metodi predefiniti (autenticazione aaa dot1x predefinita locale e cred di autorizzazione aaa locale predefinita).

    L'access point è quindi in grado di autenticarsi e successivamente è possibile assegnare i tag.

    Verifica

    Assicurarsi che la modalità AP sia visualizzata come Flex + Bridge, come mostrato nell'immagine.

    Verifica della modalità AP

    Eseguire questi comandi dalla CLI del WLC 9800 e cercare l'attributo AP Mode. Deve essere elencato come Flex+Bridge.

    aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site meshsite
 ap-profile meshapjoin
 no local-site
ap profile meshapjoin
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile mesh-profile

    Risoluzione dei problemi

    Verificare che i comandi aaa authentication dot1x default local e aaa authorization cred default local siano presenti. Sono necessarie se l'access point non è stato pre-aggiunto in modalità locale. Il dashboard 9800 principale dispone di un widget che visualizza gli access point che non possono essere collegati. Fare clic su di esso per ottenere un elenco di access point che non riescono a unirsi:

    Statistiche contabilità fornitori

    Fare clic sull'access point specifico per visualizzare il motivo per cui non è stato unito. In questo caso, si verifica un problema di autenticazione (autenticazione AP in sospeso) perché il tag del sito non è stato assegnato all'access point.

    Pertanto, lo switch 9800 non ha scelto il metodo di autenticazione/autorizzazione indicato per autenticare l'access point:

    Statistiche join AP 2

    Per una risoluzione dei problemi più avanzata, passare alla pagina Risoluzione dei problemi > Traccia radioattiva sull'interfaccia utente Web. Se si immette l'indirizzo MAC dell'access point, è possibile generare immediatamente un file per ottenere i log sempre attivi (a livello di avviso) dell'access point che tenta di unirsi. Fare clic su Start per abilitare il debug avanzato per l'indirizzo MAC. Alla successiva generazione dei log, generare i log, i log a livello di debug per il join AP, come mostrato.

    Pagina RAtrace

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    6.0
    07-Aug-2024
    Passaggio 7 aggiunto nel caso 1: assegnazione del tag del sito
    5.0
    18-Jun-2024
    Testo alternativo, requisiti di stile e formattazione aggiornati.
    4.0
    30-Jun-2023
    ha modificato lo screenshot del filtro MAC
    3.0
    20-Apr-2023
    Certificazione
    2.0
    10-Nov-2021
    Modifiche di formattazione secondarie
    1.0
    28-Nov-2019
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Bharti Khatri
      Tecnico di consulenza per la sicurezza
    • Anand Shandilya
      Tecnico di consulenza
    • Israel Marquez Salinas
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti