FlexConnect WLAN met 802.1x AAA-opheffing op Catalyst 9800 draadloze controllers

Downloadopties

  • PDF     (1.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.9 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:27 november 2018
Document-id:213924

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u een elastische draadloze LAN-controller (9800 WLC) met FlexConnect-modus access points (AP’s) en een 802.1x Wireless Local Area Network (WLAN) kunt instellen die lokaal zijn geschakeld met Virtual Local Area Network (VLAN)-verificatie, autorisatie en accounting (AAA).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • 9800 WLC-configuratiemodus
    • FlexConnect

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • 980 WLC v16.10

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    Configuratie

    AAA-configuratie op 9800 WLC

    Je kunt de instructies van deze link volgen:

    AAA-configuratie op 9800 WLC

    WLAN-configuratie

    Je kunt de instructies van deze link volgen:

    WLAN-configuratie

    AP als FlexConnect-modus instellen

    In tegenstelling tot de AireOS-configuratie is het op de 9800 WLC niet mogelijk om de lokale AP-modus of de flexconnect-modus rechtstreeks te configureren vanaf de AP. Volg deze stappen om een AP in FlexConnect-modus te configureren.

    GUI

    Stap 1. Configureer een Flex Profile.

    Naar navigeren Configuratie > Tags en profielen > Flex en wijzig het standaard-flex-profiel of klik op +Add om een nieuw profiel te maken.

    Stap 2. Voeg de benodigde VLAN’s toe (zowel de VLAN’s van de standaard WLAN’s als de VLAN’s die van ISE worden gedrukt).

      

    Opmerking: in stap 3 van de sectie Beleidsprofielconfiguratie, selecteert u het standaard VLAN dat is toegewezen aan de SSID. Als u bij die stap een VLAN-naam gebruikt, zorg er dan voor dat u dezelfde VLAN-naam gebruikt bij de Flex Profile-configuratie, anders kunnen clients geen verbinding maken met het WLAN.

    U kunt optioneel specifieke ACL’s per VLAN toevoegen.

     Wijs naar keuze een RADIUS-servergroep toe om FlexConnect AP's lokale verificatie toe te staan.

    Stap 3. Configureer een sitetag.

    Navigeren naar Configuratie > Tags & profielen > Tags > Site. Ofwel wijzig de standaard-site-tag (de tag die standaard aan alle AP's is toegewezen) of maak een nieuwe (Klik +Add om een nieuwe te maken). 

    Zorg ervoor dat u de optie Local Site inschakelen uitschakelt, anders is de optie Flex Profile niet beschikbaar. 

    Opmerking: alle toegangspunten die een sitetag krijgen met de optie Lokale site inschakelen is ingesteld, zijn geconfigureerd als lokale modus. Op dezelfde manier wordt elke AP die een Site Tag krijgt met Enable Local Site uitgeschakeled, geconfigureerd als flexconnect-modus.

     Stap 4. Maak een AP associate aan de 9800 WLC en wijs de Site tag die is geconfigureerd op Stap 2 toe.

    Navigeer naar Configuration > Wireless > Access points > AP-naam en stel het Site-label in. Klik vervolgens op Bijwerken en toepassen op apparaat om de wijziging in te stellen.

    Opmerking: Houd er rekening mee dat de tag na het wijzigen van de tag op een AP zijn associatie met de 9800 WLC verliest en zich binnen ongeveer 1 minuut weer bij elkaar voegt. 

     Stap 5. Wanneer het toegangspunt weer wordt toegevoegd, wordt de modus Flex weergegeven

    CLI

    # config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601

# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site

# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit

#show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : FlexConnect

    Switchconfiguratie

    Configureer de interface van de switch waarmee het toegangspunt is verbonden.

    # config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end

    Configuratie van beleidsprofiel

    Binnen een beleidsprofiel kunt u beslissen aan welke VLAN-clients worden toegewezen, onder andere instellingen (zoals toegangscontrolelijst [ACL’s], Quality of Service [QoS], mobiliteitsanker, timers enzovoort).

    GUI

    Stap 1. Configureer het beleidsprofiel dat aan het WLAN moet worden toegewezen.

      

    Navigeer naar Configuratie > Tags & profielen > Beleid en maak een nieuwe of wijzig het standaard-beleid-profiel.

     Stap 2. Wijs op het tabblad Algemeen een naam toe aan het beleidsprofiel en verander de status in Ingeschakeld.

     Stap 3. Via het tabblad Toegangsbeleid wijst u het VLAN toe waaraan de draadloze clients zijn toegewezen wanneer deze standaard verbinding maken met dit WLAN.

    U kunt één VLAN-naam in de uitrollijst selecteren of handmatig een VLAN-id typen.

      

    Opmerking: als u een VLAN-naam selecteert in de vervolgkeuzelijst, zorg dan dat deze overeenkomt met de VLAN-naam die wordt gebruikt in stap 2 van sectie AP instellen als FlexConnect-modus.

    of

    Stap 4. Navigeer naar het tabblad Geavanceerd en schakel Centrale verificatie in Inschakelen en toestaan AAA-opties voor overschrijven in. Centrale switching moet worden uitgeschakeld.

    Centrale verificatie moet worden ingeschakeld als u wilt dat het verificatieproces centraal wordt uitgevoerd door de 9800 WLC. Schakel deze optie uit als u wilt dat de FlexConnect AP's de draadloze clients verifiëren.

    CLI

    # config t
    # wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown

    Configuratie van beleidstag

    Policy Tag wordt gebruikt om de SSID te koppelen aan het beleidsprofiel. U kunt een nieuwe Policy Tag maken of de standaard-policy tag gebruiken.

    Opmerking: De standaard-policy-tag brengt automatisch elke SSID met een WLAN-id tussen 1 en 16 in kaart aan het standaard-beleid-profiel. Dit kan niet worden gewijzigd of verwijderd. Als u een WLAN met een ID 17 of hoger hebt, kan de standaard-beleidstag niet worden gebruikt.

    GUI:

    Navigeer naar Configuration > Tags & profielen > Tags > beleid en voeg indien nodig een nieuwe toe.

    Koppel uw WLAN-profiel aan het gewenste beleidsprofiel.

      

    CLI:

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    Toewijzing van beleidstags

    Wijs de beleidstag toe aan het toegangspunt

    GUI

    Als u de tag wilt toewijzen aan één AP, gaat u naar Configuration > Wireless > Access points > AP Name > General Tags, maakt u de gewenste toewijzing en klikt u vervolgens op Update & Apply to Device.

      

    Opmerking: Houd er rekening mee dat na het wijzigen van de beleidstag op een AP, het zijn associatie met de 9800 WLC verliest en zich binnen ongeveer 1 minuut opnieuw bij u aansluit.

    Als u dezelfde beleidsmarkering wilt toewijzen aan meerdere toegangspunten, gaat u naar Configuration > Wireless > Wireless Setup > Nu starten > Toepassen.


    Selecteer de AP's waaraan u de tag wilt toewijzen en klik op + Tag AP's

    Selecteer de gefloten tag en klik op Opslaan & Toepassen op apparaat

    CLI

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    ISE-configuratie

    Controleer voor de configuratie van ISE v1.2 de volgende link:

    ISE-configuratie

    Verifiëren

    U kunt deze opdrachten gebruiken om de huidige configuratie te controleren

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Problemen oplossen

    WLC 9800 biedt ALTIJD-ON traceermogelijkheden. Dit zorgt ervoor dat alle client connectiviteit gerelateerde fouten, waarschuwingen en meldingen niveau berichten constant worden vastgelegd en u kunt logbestanden bekijken voor een incident of fout situatie nadat het is opgetreden. 

    Opmerking: afhankelijk van het volume van logbestanden die worden gegenereerd, kunt u enkele uren teruggaan naar meerdere dagen.

    Om de sporen te bekijken die 9800 WLC standaard heeft verzameld, kunt u via SSH/Telnet verbinding maken met de 9800 WLC en deze stappen volgen (Zorg ervoor dat u de sessie vastlegt aan een tekstbestand).

    Stap 1. Controleer de huidige tijd van de controller, zodat u de logbestanden kunt volgen in de tijd terug naar toen het probleem zich voordeed.

    # show clock

     Stap 2. Verzamel syslogs van de buffer van de controller of de externe syslog zoals voorgeschreven door de systeemconfiguratie. Dit geeft een snelle weergave van de eventuele gezondheids- en fouten in het systeem.

    # show logging

    Stap 3. Controleer of de debug-voorwaarden zijn ingeschakeld.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Opmerking: als u een van de vermelde voorwaarden ziet, betekent dit dat de sporen worden aangemeld om het debug-niveau te bereiken voor alle processen die de ingeschakelde voorwaarden ervaren (mac-adres, ip-adres, etc.). Dit zou het volume van de boomstammen doen toenemen. Daarom wordt aanbevolen alle voorwaarden te wissen wanneer niet actief debuggen

    Stap 4. Ervan uitgaande dat het geteste mac-adres niet als een voorwaarde in Stap 3 is vermeld, verzamel de altijd-op meldingen niveau sporen voor het specifieke mac-adres.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    U kunt de inhoud op de sessie weergeven of u kunt het bestand kopiëren naar een externe TFTP-server.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Voorwaardelijke debugging en radio actieve tracering 

    Als de altijd-on sporen u niet genoeg informatie geven om de trigger voor het probleem dat wordt onderzocht te bepalen, kunt u voorwaardelijke debugging inschakelen en Radio Active (RA)-spoor opnemen, dat debug level traces biedt voor alle processen die interacteren met de gespecificeerde voorwaarde (client mac-adres in dit geval). Om het voorwaardelijke zuiveren toe te laten, volg deze stappen.

    Stap 5. Zorg ervoor dat de debug-voorwaarden niet zijn ingeschakeld.

    # clear platform condition all

    Stap 6. Schakel de debug-voorwaarde in voor het draadloze client-MAC-adres dat u wilt controleren.

    Met deze opdracht wordt het opgegeven MAC-adres 30 minuten (1800 seconden) bewaakt. U kunt deze tijd optioneel tot 2085978494 seconden verlengen.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Opmerking: als u meer dan één client tegelijk wilt bewaken, voert u de opdracht debug wireless mac <aaaa.bbbb.ccc> per mac-adres uit.

    Opmerking: U ziet de output van de client activiteit op de terminal sessie niet, omdat alles intern wordt gebufferd om later bekeken te worden.

      

    Stap 7. Reproduceer het probleem of gedrag dat u wilt controleren.

    Stap 8. Stop de debugs als het probleem wordt gereproduceerd voordat de standaard of de ingestelde monitortijd is ingesteld.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Zodra de monitor-tijd is verstreken of de debug-radio is gestopt, genereert de 9800 WLC een lokaal bestand met de naam:

    ra_trace_MAC_aabbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Stap 9. Verzamel het bestand van de mac-adresactiviteit.  U kunt het spoor .log naar een externe server kopiëren of de uitvoer direct op het scherm weergeven.

    Controleer de naam van het RA traces bestand

    # dir bootflash: | inc ra_trace

    Kopieert het bestand naar een externe server:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Geef de inhoud weer:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Stap 10. Als de worteloorzaak nog niet duidelijk is, verzamel de interne logboeken die een meer breedsprakige mening van debug niveaulogboeken zijn. U hoeft de client niet opnieuw te debuggen omdat we alleen een verdere gedetailleerde kijk op debug-logbestanden die al zijn verzameld en intern opgeslagen.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Opmerking: deze opdrachtoutput geeft sporen voor alle registratieniveaus voor alle processen en is vrij omvangrijk. Neem contact op met Cisco TAC om te helpen bij het doorlopen van deze sporen.

    U kunt de Ra-internal-FILENAME.txt kopiëren naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.

    Kopieert het bestand naar een externe server:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Geef de inhoud weer:

    # more bootflash:ra-internal-<FILENAME>.txt

     Stap 11. Verwijder de debug-voorwaarden.

    # clear platform condition all

    Opmerking: Zorg ervoor dat u altijd de debug-voorwaarden verwijdert na een probleemoplossing sessie.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    21-Nov-2018
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Karla Cisneros Galvan
      Cisco TAC Engineer
    • Sudha Katgeri
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten