Configureren van Catalyst 9800 draadloze controllers - AP-autorisatielijst

Downloadopties

  • PDF     (2.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.3 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:19 juni 2024
Document-id:213916

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u het verificatiebeleid voor Catalyst 9800 draadloze LAN-controllers voor access point (AP) kunt configureren. 

    Achtergrondinformatie

    Voor de autorisatie van een access point (AP) moet het Ethernet MAC-adres van het toegangspunt worden geautoriseerd ten opzichte van een lokale database met 9800 draadloze LAN-controller of ten opzichte van een externe Remote Verification Dial-In User Service (RADIUS)-server.

    Deze functie zorgt ervoor dat alleen geautoriseerde access points (AP’s) zich kunnen aansluiten bij een Catalyst 9800 draadloze LAN-controller. Dit document heeft geen betrekking op AP's van de maaswijdte (1500-serie) waarvoor een mac-filtervermelding nodig is om de controller te verbinden, maar die niet de typische AP-autorisatiestroom volgen (zie referenties).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • 9800 WLC
    • CLI-toegang (Command Line Interface) tot de draadloze controllers

    Gebruikte componenten

    980 WLC v17.3

    AP 1810W

    AP 1700

    Identity Service Engine (ISE) v2.2

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    Netwerkdiagram

    Configuraties

    MAC AP-autorisatielijst - Lokaal

    Het MAC-adres van de geautoriseerde AP's wordt lokaal opgeslagen in de 9800 WLC.

    Stap 1. Maak een lokale autorisatie credential-download methodelijst.

    Navigeren naar Configuratie > Beveiliging > AAA > AAA-methodelijst > Autorisatie > + Toevoegen

    Configuratie-GUI

    Configuratie-GUI

    Stap 2. Schakel AP MAC-autorisatie in.

    Ga naar Configuration > Security > AAA > AAA Advanced > AP Policy. Schakel AP's tegen MAC in en selecteer de Autorisatiemethode die in Stap 1 gecreëerd is.

    Configuratie-GUI  

      

    Stap 3. Voeg het AP ethernetmac-adres toe.

    Navigeren naar Configuratie > Beveiliging > AAA > AAA Advanced > Apparaatverificatie > MAC-adres > + Toevoegen

    Configuratie-GUI

    Configuratie-GUI

    Opmerking: AP ethernetmac-adres moet in een van deze formaten worden ingevoerd wanneer het wordt ingevoerd in de web UI(xx:xx:xx:xx:xx (of) xxxx.xxxx.xxxx (of) xx-xx-xx-xx-xx-xx) in versie 16.12. In versie 17.3 moeten ze in formaat xxxxxxxxx zijn zonder scheidingsteken. Het CLI-formaat is altijd xxxxxxxxx in elke versie (in 16.12 verwijdert de web-UI de scheidingstekens in het configuratiebestand). Cisco bug-id CSCv43870 maakt het gebruik van elk formaat in CLI of web UI in latere releases mogelijk.

    CLI:

    # config t
    # aaa new-model
# aaa authorization credential-download <AP-auth> local
    
# ap auth-list authorize-mac
# ap auth-list method-list <AP-auth>

# username <aaaabbbbcccc> mac

    MAC AP-autorisatielijst - externe RADIUS-server

    9800 WLC-configuratie

    Het MAC-adres van de geautoriseerde AP's wordt opgeslagen op een externe RADIUS-server, in dit voorbeeld ISE.

    Op ISE kunt u het MAC-adres van de AP's registreren als gebruikersnaam/wachtwoord of als Endpoints. Tijdens de stappen wordt u uitgelegd hoe u de ene of de andere manier moet selecteren.

    GUI:

    Stap 1. RADIUS-server declareren

    Navigeren naar Configuratie > Beveiliging > AAA > servers / groepen > RADIUS > servers > + De RADIUS-serverinformatie toevoegen en invoeren.

    Configuratie-GUI

    Zorg ervoor dat ondersteuning voor CoA is ingeschakeld als u van plan bent om in de toekomst gebruik te maken van Central Web Verification (of een ander soort beveiliging die CoA vereist). 

    Configuratie-GUI

    Stap 2. De RADIUS-server aan een RADIUS-groep toevoegen

    Navigeren naar Configuratie > Beveiliging > AAA > servers / groepen > RADIUS > Servergroepen > + Toevoegen

    Om ISE-verificatie van het AP MAC-adres als gebruikersnamen te hebben, laat MAC-filtering als geen. 

    Configuratie-GUI

    Als u ISE-verificatie van het AP MAC-adres als eindpunten wilt hebben, wijzigt u MAC-filtering in Mac. 

    Configuratie-GUI

    Stap 3. Maak een autorisatie credential-download methodelijst.

    Navigeren naar Configuratie > Beveiliging > AAA > AAA-methodelijst > Autorisatie > + Toevoegen

    Configuratie-GUI

    Configuratie-GUI

    Stap 4. Schakel AP MAC-autorisatie in.

    Ga naar Configuration > Security > AAA > AAA Advanced > AP Policy. Schakel AP's tegen MAC in en selecteer de lijst met autorisatiemethoden die in stap 3 is gemaakt.

    Configuratie-GUI

      

    CLI:

    # config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

    # aaa server radius dynamic-author
    # client <radius-server-ip> server-key <shared-key>

    # aaa authorization credential-download <AP-auth> group <radius-grp-name>
# ap auth-list authorize-mac
    # ap auth-list method-list <AP-ISE-auth>

    ISE-configuratie

    Stap 1. De 9800 WLC toevoegen aan ISE:

    Verklaar 9800 WLC op ISE

    Kies om te configureren op basis van verificatie van het MAC-adres van AP's met de vereiste stappen:

    Gebruik configureren om MAC-adres als eindpunten te verifiëren

    Configureer ISE om MAC-adres als gebruikersnaam/wachtwoord te verifiëren

    Configureer ISE om MAC-adres als endpoints te verifiëren

    Stap 2. (optioneel) Maak een identiteitsgroep voor access points

    Omdat de 9800 niet de NAS-poort-Type attributen met AP-autorisatie Cisco bug IDCSCvy74904 ) verstuurt, herkent ISE een AP autorisatie niet als een MAB workflow en daarom is het niet mogelijk om een AP te authenticeren als het MAC-adres van de AP in de eindpuntlijst wordt geplaatst, tenzij u de MAB workflows wijzigt om de NAS-POORT-type attributen op ISE niet te vereisen.

    Navigeer naar Beheerder > Apparaatprofiel netwerk en maak een nieuw apparaatprofiel. Schakel RADIUS in en voeg service-type=call-check toe voor bekabelde MAB. U kunt de rest van het oorspronkelijke profiel van Cisco kopiëren. Het idee is dat u voor de bekabelde MAB geen conditie "nas-port-type" hebt.

    Configuratie-GUI

    Ga terug naar uw netwerkapparaat voor de 9800 en stel het profiel in op het nieuwe apparaatprofiel.

    Ga naar Beheer > Identiteitsbeheer > Groepen > Endpoint Identity Groups > + Add.

    Configuratie-GUI

    Kies een naam en klik op Indienen.

    Configuratie-GUI

    Stap 3. Voeg het AP ethernetmac-adres toe aan de bijbehorende endpointgroep.

    Navigeren naar werkcentra > Netwerktoegang > Identiteiten > Endpoints > +

    Configuratie-GUI

    Voer de gewenste informatie in.

    Configuratie-GUI

    Stap 4. Controleer of het identiteitsarchief dat op uw standaardverificatieregel wordt gebruikt, de interne endpoints bevat.

    A. Navigeer naar Beleid > Verificatie en neem kennis van het identiteitsarchief.

    Configuratie-GUI

    B. Ga naar Beheer > Identity Management > Identity Source Sequences > Identity Name.

    Configuratie-GUI

    C. Zorg ervoor dat de interne endpoints er deel van uitmaken, en voeg deze toe als dat niet het geval is.

    Configuratie-GUI

    Configureer ISE om MAC-adres als gebruikersnaam/wachtwoord te verifiëren

    Deze methode wordt niet geadviseerd aangezien het lager wachtwoordbeleid vereist om het zelfde wachtwoord toe te staan zoals de gebruikersbenaming.

    Het kan echter wel een tijdelijke oplossing zijn voor het geval u uw netwerkapparaatprofiel niet kunt wijzigen

    Stap 2. (optioneel) Maak een identiteitsgroep voor access points

    Ga naar Beheer > Identiteitsbeheer > Groepen > Gebruikersidentiteitsgroepen > + Toevoegen.

    Configuratie-GUI

    Kies een naam en klik op Indienen.

    Configuratie-GUI

    Stap 3. Controleer dat je huidige wachtwoordbeleid je in staat stelt om een mac-adres toe te voegen als gebruikersnaam en wachtwoord.

    Ga naar Beheer > Identity Management > Instellingen > Gebruikersverificatie-instellingen > Wachtwoordbeleid en controleer of ten minste deze opties zijn uitgeschakeld:

    Configuratie-GUI

    Opmerking: u kunt ook de optie Gebruikersaccount uitschakelen na XX dagen uitschakelen als het wachtwoord niet is gewijzigd.Aangezien dit een hoofdadres is, verandert het wachtwoord nooit. 

    Stap 4. Voeg het AP ethernetmac-adres toe.

    Navigeren naar Administratie > Identity Management > Identity > Gebruikers > Toevoegen

    Configuratie-GUI

    Voer de gewenste informatie in.

    Configuratie-GUI

    Opmerking: Naam en Login Wachtwoord Veld moet het Ethernet MAC-adres van het AP zijn, alle kleine letters en geen scheidingstekens.

    Vergunningsbeleid voor het verifiëren van AP’s

    Navigeer naar Beleid > Autorisatie zoals in de afbeelding.

    Configuratie-GUI

    Plaats een nieuwe regel zoals in de afbeelding.

    Configuratie-GUI

    Selecteer eerst een naam voor de regel en de groep Identity waarin het access point is opgeslagen (Access points). Selecteer Gebruikersidentiteitsgroepen als u hebt besloten het MAC-adres te verifiëren als een gebruikersnaam, wachtwoord of Endpoint Identity Groups als u ervoor kiest het AP MAC-adres als eindpunten te authenticeren.

    Configuratie-GUI

    Selecteer vervolgens andere voorwaarden die ervoor zorgen dat het autorisatieproces onder deze regel valt. In dit voorbeeld raakt het autorisatieproces deze regel als het servicetype Call Check gebruikt en het verificatieverzoek komt van het IP-adres 10.8.173.52.

    Configuratie-GUI

    Selecteer tot slot het autorisatieprofiel dat is toegewezen aan de clients die op die regel zijn ingesteld. Klik vervolgens op Doneren en sla het op zoals in de afbeelding.

    Configuratie-GUI

    Opmerking: AP's die al zijn aangesloten bij de controller verliezen hun associatie niet. Als echter, nadat de autorisatielijst is ingeschakeld, ze de communicatie met de controller verliezen en proberen terug te keren, gaan ze door het verificatieproces. Als hun mac-adressen niet lokaal of in de RADIUS-server staan vermeld, kunnen ze niet teruggaan naar de controller.

    Verifiëren

    Controleer of de 9800 WLC ap-verificatielijst heeft ingeschakeld

    # show ap auth-list

    Authorize APs against MAC : Disabled
    Authorize APs against Serial Num : Enabled
    Authorization Method List : <auth-list-name>

     Controleer de radiusconfiguratie:

    # show run aaa

    Problemen oplossen

    WLC 9800 biedt ALTIJD-ON traceermogelijkheden. Dit zorgt ervoor dat alle AP toetreden gerelateerde fouten, waarschuwing en meldingen niveau berichten constant worden geregistreerd en u kunt logbestanden bekijken voor een incident of fout situatie nadat het is voorgekomen. 

    Opmerking: het volume van de gegenereerde logbestanden varieert van enkele uren tot enkele dagen.

    Om de sporen te bekijken die 9800 WLC standaard heeft verzameld, kunt u via SSH/Telnet verbinding maken met de 9800 WLC via deze stappen (zorg ervoor dat u de sessie aan een tekstbestand registreert).

    Stap 1. Controleer de huidige controllertijd zodat u de logbestanden kunt volgen in de tijd terug naar toen het probleem zich voordeed.

    # show clock

     Stap 2. Verzamel syslogs van de controllerbuffer of externe syslog zoals die door de systeemconfiguratie wordt gedicteerd. Dit geeft een snelle weergave van de eventuele gezondheids- en fouten in het systeem.

    # show logging

    Stap 3. Controleer of de debug-voorwaarden zijn ingeschakeld.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Trace Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Opmerking: als u een van de vermelde voorwaarden ziet, betekent dit dat de sporen zijn aangemeld om het debug-niveau te bereiken voor alle processen die de ingeschakelde voorwaarden ervaren (mac-adres, ip-adres, etc.). Dit zou het volume van de boomstammen doen toenemen. Daarom wordt aanbevolen alle voorwaarden te wissen wanneer niet actief debuggen

    Stap 4. Stel dat het geteste mac-adres niet als een voorwaarde in Stap 3 is vermeld, verzamel de altijd-op-meldniveau sporen voor het specifieke radio mac-adres.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    U kunt de inhoud op de sessie weergeven of u kunt het bestand kopiëren naar een externe TFTP-server.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Voorwaardelijke debugging en radio actieve tracering 

    Als de altijd-on sporen u niet genoeg informatie geven om de trigger voor het probleem dat wordt onderzocht te bepalen, kunt u voorwaardelijke debugging inschakelen en Radio Active (RA)-spoor opnemen, dat debug level traces biedt voor alle processen die interacteren met de gespecificeerde voorwaarde (client mac-adres in dit geval). 

    Stap 5. Zorg ervoor dat de debug-voorwaarden niet zijn ingeschakeld.

    # clear platform condition all

    Stap 6. Schakel de debug-voorwaarde in voor het draadloze client-MAC-adres dat u wilt controleren.

    Met deze opdracht wordt het opgegeven MAC-adres 30 minuten (1800 seconden) bewaakt. U kunt deze tijd optioneel tot 2085978494 seconden verlengen.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Opmerking: als u meer dan één client tegelijk wilt bewaken, voert u de opdracht debug wireless mac <aaaa.bbbb.ccc> per mac-adres uit.

    Opmerking: U ziet de output van de client activiteit op de terminal sessie niet, omdat alles intern wordt gebufferd om later bekeken te worden.

      

    Stap 7. Reproduceer het probleem of gedrag dat u wilt controleren.

    Stap 8. Stop de debugs als het probleem wordt gereproduceerd voordat de standaard of de ingestelde monitortijd is ingesteld.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Zodra de monitor-tijd is verstreken of de debug-radio is gestopt, genereert de 9800 WLC een lokaal bestand met de naam:

    ra_trace_MAC_aabbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Stap 9. Verzamel het bestand van de mac-adresactiviteit.  U kunt het spoor .log naar een externe server kopiëren of de uitvoer direct op het scherm weergeven.

    Controleer de naam van het RA traces bestand

    # dir bootflash: | inc ra_trace

    Kopieert het bestand naar een externe server:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Geef de inhoud weer:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Stap 10. Als de worteloorzaak nog niet duidelijk is, verzamel de interne logboeken die een meer breedsprakige mening van debug niveaulogboeken zijn. U hoeft niet opnieuw te debuggen de client als we alleen een verdere gedetailleerde kijk op debug logs die al zijn verzameld en intern opgeslagen.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Opmerking: deze opdrachtoutput geeft sporen voor alle registratieniveaus voor alle processen en is vrij omvangrijk. Neem contact op met Cisco TAC om te helpen bij het doorlopen van deze sporen.

    U kunt de Ra-internal-FILENAME.txt kopiëren naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.

    Kopieert het bestand naar een externe server:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Geef de inhoud weer:

    # more bootflash:ra-internal-<FILENAME>.txt

     Stap 11. Verwijder de debug-voorwaarden.

      

    # clear platform condition all

    Opmerking: Zorg ervoor dat u altijd de debug-voorwaarden verwijdert na een probleemoplossing sessie.

    Referenties

    Koppel de AP's aan de 9800 WLC

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    19-Jun-2024
    gerectificeerd document
    2.0
    25-Apr-2023
    Hercertificering
    1.0
    21-Nov-2018
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Nicolas Darchis
      Cisco TAC Engineer
    • Sudha Katgeri
      Cisco TAC Engineer
    • Andres Silva
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten