WLAN FlexConnect com substituição de AAA 802.1x em controladores sem fio Catalyst 9800

Opções de download

  • PDF     (1.8 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.9 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de novembro de 2018
ID do documento:213924

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar uma controladora Wireless LAN elástica (9800 WLC) com access points (APs) no modo FlexConnect e uma rede local sem fio (WLAN) 802.1x comutada localmente com autenticação, autorização e contabilização (AAA) de rede local virtual (VLAN).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Modo de configuração da WLC 9800
    • FlexConnect

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • WLC 9800 v16.10

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    Configuração

    Configuração de AAA no 9800 WLC

    Você pode seguir as instruções deste link:

    Configuração de AAA no 9800 WLC

    Configuração de WLAN

    Você pode seguir as instruções deste link:

    Configuração de WLAN

    Definir AP como modo FlexConnect

    Ao contrário da configuração do AireOS, na WLC 9800, não é possível configurar o AP local ou o modo flexconnect diretamente do AP. Siga estas etapas para configurar um AP no modo FlexConnect.

    GUI

    Etapa 1. Configure um Perfil Flex.

    Navegue até Configuração > Marcas e perfis > Flex e modifique o default-flex-profile ou clique em +Add para criar um novo.

    Etapa 2. Adicione as VLANs necessárias (as VLANs da WLAN padrão ou as VLANs enviadas do ISE).

      

    Observação: na etapa 3 da seção Configuração do perfil de política, você seleciona a VLAN padrão atribuída ao SSID. Se você usar um nome de VLAN nessa etapa, assegure-se de usar o mesmo nome de vlan na configuração do Perfil Flex, caso contrário os clientes não poderão se conectar à WLAN.

    Opcionalmente, você pode adicionar ACLs específicas por VLAN.

     Opcionalmente, atribua um grupo de servidores Radius para permitir que os APs FlexConnect executem autenticação local.

    Etapa 3. Configure uma etiqueta de site.

    Navegue até Configuração > Marcas e perfis > Marcas > Site. Modifique a tag-site padrão (que é a tag atribuída por padrão a todos os APs) ou crie uma nova (Clique em +Adicionar para criar uma nova). 

    Certifique-se de desabilitar a opção Habilitar Site Local, caso contrário, a opção Perfil Flex não estará disponível. 

    Observação: qualquer AP que recebe uma tag de site com Enable Local Site habilitado é configurado como modo local. Da mesma forma, qualquer AP que recebe uma tag Site com Enable Local Site desativado, é configurado como modo flexconnect.

     Etapa 4. Faça uma associação de AP à WLC 9800 e atribua a marca Site configurada na Etapa 2.

    Navegue até Configuration > Wireless > Access Points > AP name e defina a marca Site. Em seguida, clique em Update & Apply to Device para definir a alteração.

    Observação: lembre-se de que, depois de alterar a marca em um AP, ele perde sua associação com a WLC 9800 e se junta novamente em cerca de 1 minuto. 

     Etapa 5. Quando o AP entrar novamente, observe que o modo do AP é Flex

    CLI

    # config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601

# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site

# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit

#show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : FlexConnect

    Configuração do Switch

    Configure a interface do switch à qual o AP está conectado.

    # config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end

    Configuração de perfil de política

    Dentro de um Perfil de política, você pode decidir a qual VLAN atribuir os clientes, entre outras configurações (como Lista de controles de acesso [ACLs], Qualidade de serviço [QoS], Âncora de mobilidade, Temporizadores e assim por diante).

    GUI

    Etapa 1. Configure o perfil de política a ser atribuído à WLAN.

      

    Navegue até Configuration > Tags & Profiles > Policy e crie um novo ou modifique o default-policy-profile.

     Etapa 2. Na guia General, atribua um nome ao Policy Profile e altere seu status para ENABLED.

     Etapa 3. Na guia Access Policies, atribua a VLAN à qual os clientes sem fio são atribuídos quando se conectam a essa WLAN por padrão.

    Você pode selecionar um nome de VLAN no menu suspenso ou digitar manualmente uma ID de VLAN.

      

    Observação: se você selecionar um nome de vlan no menu suspenso, certifique-se de que ele corresponda ao nome de vlan usado na etapa 2 da seção Definir AP como modo FlexConnect.

    or

    Etapa 4. Navegue até a guia Advanced e habilite Central Authentication Enable e Allow AAA Overrideoptions. A switching central deve ser desativada.

    A autenticação central deve ser habilitada se você quiser que o processo de autenticação seja executado centralmente pela WLC 9800. Desative-o se desejar que os APs FlexConnect autentiquem os clientes sem fio.

    CLI

    # config t
    # wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown

    Configuração de marca de política

    A marca de política é usada para vincular o SSID ao perfil de política. Você pode criar uma nova marca de política ou usar a marca default-policy.

    Observação: a default-policy-tag mapeia automaticamente as SSIDs com uma ID da WLAN entre 1 e 16 para o default-policy-profile. Ele não pode ser modificado nem excluído. Se você tiver uma WLAN com ID 17 ou superior, o default-policy-tag não poderá ser usado.

    GUI:

    Navegue até Configuration > Tags & Profiles > Tags > Policy e adicione um novo se necessário.

    Vincule o perfil de WLAN ao perfil de política desejado.

      

    CLI:

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    Atribuição de tag de política

    Atribuir a tag Policy ao AP

    GUI

    Para atribuir a marca a um AP, navegue para Configuration > Wireless > Access Points > AP Name > General Tags, faça a atribuição necessária e clique em Update & Apply to Device.

      

    Observação: lembre-se de que, após a alteração da marca de política em um AP, ele perde sua associação com a WLC 9800 e se junta novamente em cerca de 1 minuto.

    Para atribuir a mesma etiqueta de política a vários APs, navegue para Configuration > Wireless > Wireless Setup > Start Now > Apply.


    Selecione os APs aos quais deseja atribuir a tag e clique em + Tag APs

    Selecione a tag whished (desativada) e clique em Save & Apply to Device (Salvar e aplicar ao dispositivo)

    CLI

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    Configuração do ISE

    Para a configuração do ISE v1.2, verifique este link:

    Configuração do ISE

    Verificar

    Você pode usar esses comandos para verificar a configuração atual

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Troubleshooting

    O WLC 9800 fornece recursos de rastreamento sempre conectados. Isso garante que todos os erros relacionados à conectividade do cliente e as mensagens de nível de aviso e notificação sejam constantemente registrados e que você possa visualizar os registros de um incidente ou condição de falha após a ocorrência. 

    Observação: Dependendo do volume de logs que está sendo gerado, você pode voltar algumas horas ou vários dias.

    Para visualizar os rastreamentos que o 9800 WLC coletou por padrão, você pode se conectar ao 9800 WLC usando o SSH/Telnet e seguir estas etapas (não deixe de registrar a sessão em um arquivo de texto).

    Etapa 1. Verifique a hora atual do controlador para que você possa controlar os logs no tempo de volta para quando o problema ocorreu.

    # show clock

     Etapa 2. Colete os syslogs do buffer do controlador ou o syslog externo, conforme determinado pela configuração do sistema. Isso fornece uma visão rápida dos erros, se houver, e da integridade do sistema.

    # show logging

    Etapa 3. Verifique se as condições de depuração estão ativadas.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Observação: se você vir qualquer condição listada, isso significa que os rastreamentos estão sendo registrados no nível de depuração para todos os processos que encontram as condições habilitadas (endereço mac, endereço ip, etc.). Isso aumentaria o volume de registros. Portanto, recomenda-se limpar todas as condições quando não estiver depurando ativamente

    Etapa 4. Supondo que o endereço MAC em teste não esteja listado como condição na Etapa 3, colete os rastreamentos de nível de notificação sempre conectados para o endereço MAC específico.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Você pode exibir o conteúdo da sessão ou copiar o arquivo para um servidor TFTP externo.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Depuração condicional e rastreamento radioativo  

    Se os rastreamentos sempre conectados não fornecerem informações suficientes para determinar o acionador do problema sob investigação, você poderá ativar a depuração condicional e capturar o rastreamento radioativo (RA), que fornecerá os rastreamentos de nível de depuração para todos os processos que interagem com a condição especificada (endereço MAC do cliente, nesse caso). Para ativar a depuração condicional, siga estas etapas.

    Etapa 5. Verifique se não há condições de depuração ativadas.

    # clear platform condition all

    Etapa 6. Ative a condição de depuração para o endereço MAC do cliente sem fio que você deseja monitorar.

    Esses comandos começam a monitorar o endereço mac fornecido por 30 minutos (1800 segundos). Como alternativa, você pode aumentar esse tempo para até 2.085.978.494 segundos.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Observação: para monitorar mais de um cliente de cada vez, execute o comando debug wireless mac<aaaa.bbbb.cccc> por endereço MAC.

    Observação: você não vê a saída da atividade do cliente na sessão de terminal, pois tudo é armazenado em buffer internamente para ser exibido mais tarde.

      

    Passo 7. Reproduza o problema ou comportamento que você deseja monitorar.

    Etapa 8. Interrompa as depurações se o problema for reproduzido antes que o tempo de monitoramento padrão ou configurado acabe.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Depois que o monitor-time tiver passado ou a conexão sem fio de depuração for interrompida, o 9800 WLC gerará um arquivo local com o nome:

    ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Etapa 9.  Colete o arquivo da atividade do endereço MAC.     Você pode copiar o registro de rastreamento de RA para um servidor externo ou exibir a saída diretamente na tela.

    Verifique o nome do arquivo de rastreamentos de RA

    # dir bootflash: | inc ra_trace

    Copie o arquivo para um servidor externo:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Mostre o conteúdo:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Etapa 10. Se a causa do problema ainda não for evidente, colete os registros internos, que são uma visualização mais detalhada dos registros de nível de depuração. Você não precisa depurar o cliente novamente, pois estamos apenas examinando mais detalhadamente os logs de depuração que já foram coletados e armazenados internamente.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Observação: a saída desse comando retorna rastros para todos os níveis de registro de todos os processos e é bastante volumosa. Entre em contato com o Cisco TAC para ajudar a analisar esses rastreamentos.

    Você pode copiar o ra-internal-FILENAME.txt para um servidor externo ou exibir a saída diretamente na tela.

    Copie o arquivo para um servidor externo:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Mostre o conteúdo:

    # more bootflash:ra-internal-<FILENAME>.txt

     Etapa 11. Remova as condições de depuração.

    # clear platform condition all

    Observação: certifique-se de sempre remover as condições de depuração após uma sessão de Troubleshooting.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    21-Nov-2018
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Karla Cisneros Galvan
      Engenheiro do Cisco TAC
    • Sudha Katgeri
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos