Catalyst 9800无线控制器上具有802.1x AAA覆盖功能的FlexConnect WLAN

下载选项

  • PDF     (1.9 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.9 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.1 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 11 月 27 日
文档 ID:213924

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何设置具有FlexConnect模式接入点(AP)的弹性无线局域网控制器(9800 WLC)和通过虚拟局域网(VLAN)身份验证、授权和记帐(AAA)覆盖进行本地交换的802.1x无线局域网(WLAN)。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 9800 WLC配置模式
    • FlexConnect

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 9800 WLC v16.10

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    网络图

    配置

    9800 WLC 上的 AAA 配置

    您可以按照此链接中的说明进行操作:

    9800 WLC 上的 AAA 配置

    WLAN 配置

    您可以按照此链接中的说明进行操作:

    WLAN 配置

    将AP设置为FlexConnect模式

    与AireOS配置不同,在9800 WLC上,无法直接从AP配置AP本地或flexconnect模式。按照以下步骤在FlexConnect模式下配置AP。

    GUI

    步骤1:配置Flex配置文件。

    导航至 Configuration > Tags & Profiles > Flex 并修改default-flex-profile或单击+Add以创建一个新配置文件。

    第二步:添加所需的VLAN(默认WLAN的VLAN或从ISE推送的VLAN)。

      

    :在策略配置文件配置部分的第3步中,选择分配给SSID的默认VLAN。如果在此步骤中使用VLAN名称,请确保在Flex Profile配置中使用相同的VLAN名称,否则客户端将无法连接到WLAN。

    您可以选择添加每个VLAN的特定ACL。

     或者,分配一个Radius服务器组以允许FlexConnect AP执行本地身份验证。

    第三步:配置站点标记。

    导航到配置>标签和配置文件>标签>站点。 修改default-site-tag(默认情况下分配给所有AP的标记),或者创建一个新的(单击+Add以创建一个新的AP)。 

    确保禁用启用本地站点选项,否则Flex配置文件选项不可用。 

    注意:任何获得启用本地站点的站点标记的AP都配置为本地模式。同样,任何获得Enable Local Site禁用的站点标签的AP都配置为flexconnect模式。

     第四步:使AP与9800 WLC关联,并分配在步骤2中配置的站点标记。

    导航到配置>无线>接入点> AP名称并设置站点标记。然后单击Update & Apply to Device设置更改。

    注意:请注意,更改AP上的标记后,它将失去与9800 WLC的关联,并在大约1分钟内重新加入。 

     第五步:AP重新加入后,请注意AP模式为Flex

    CLI

    # config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601

# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site

# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit

#show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : FlexConnect

    交换机配置

    配置AP所连接的交换机接口。

    # config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end

    策略配置文件配置

    在策略配置文件中,您可以决定向哪个VLAN分配客户端,以及其他设置(如访问控制列表[ACL]、服务质量[QoS]、移动锚点、计时器等)。

    GUI

    步骤1:配置要分配给WLAN的策略配置文件。

      

    导航到Configuration > Tags & Profiles > Policy,然后创建新配置文件或修改default-policy-profile。

     第二步:在General选项卡中,为策略配置文件分配名称并将其状态更改为ENABLED。

     第三步:在访问策略选项卡中,分配无线客户端在默认情况下连接到此WLAN时分配到的VLAN。

    您可以从下拉列表中选择一个VLAN名称或手动键入vlan id。

      

    :如果从下拉列表中选择vlan名称,请确保该名称与将AP设置为FlexConnect模式一节中步骤2中使用的vlan名称匹配。

    第四步:导航到Advanced 选项卡,并启用Central Authentication Enable和Allow AAA Overrideoptions。必须禁用集中交换。

    如果希望身份验证过程由9800 WLC集中执行,则必须启用集中身份验证。如果您希望FlexConnect AP对无线客户端进行身份验证,请禁用此功能。

    CLI

    # config t
    # wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown

    策略标签配置

    Policy Tag用于将SSID与策略配置文件链接。您可以新建策略标签,也可以使用 default-policy 标签。

    :default-policy-tag会自动将WLAN ID介于1到16之间的所有SSID映射到default-policy-profile。不能修改或删除。 如果您的WLAN的ID为17或更高,则不能使用default-policy-tag。

    GUI:

    导航到Configuration > Tags & Profiles > Tags > Policy,并根据需要添加新标签。

    将 WLAN 配置文件关联到所需的策略配置文件。

      

    CLI:

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    策略标记分配

    为AP分配策略标记

    GUI

    要将标签分配给一个AP,请导航到Configuration > Wireless > Access Points > AP Name > General Tags,进行所需的分配,然后点击Update & Apply to Device。

      

    注意:请注意,更改AP上的策略标记后,它将失去与9800 WLC的关联并在大约1分钟内重新加入。

    要向多个AP分配相同的策略标记,请导航到Configuration > Wireless > Wireless Setup > Start Now > Apply。


    选择要为其分配标记的AP,然后点击+ Tag APs

    选择完整的标记,然后点击保存并应用到设备

    CLI

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    ISE 配置

    对于ISE v1.2配置,请检查此链接:

    ISE 配置

    验证

    您可以使用这些命令验证当前配置

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    故障排除

    WLC 9800 提供无间断跟踪功能。这可确保持续记录所有与客户端连接相关的错误、警告和通知级别消息,因此您可以在发生事件或故障后查看其日志。  

    注意:根据生成的日志量,您可以将时间从几个小时缩短到几天。

    要查看默认情况下 9800 WLC 收集的跟踪信息,可以通过 SSH/Telnet 连接到 9800 WLC,然后执行以下步骤(确保将会话记录到文本文件中)。

    步骤1:检查控制器的当前时间,以便跟踪问题发生时的登录时间。

    # show clock

     第二步:根据系统配置的指示,从控制器的缓冲区或外部系统日志收集系统日志。这样可以快速查看系统运行状况和错误(如有)。

    # show logging

    第三步:验证是否启用了任何调试条件。

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    :如果看到列出了任何条件,则意味着所有遇到启用条件的进程(mac地址、ip地址等)的跟踪将记录到调试级别。这会增加日志量。因此,建议在非主动调试时清除所有条件

    第四步:假设在步骤3中未列出待测试mac地址作为条件,请收集特定mac地址的始终在线通知级别跟踪。

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    您可以显示会话内容,也可以将文件复制到外部 TFTP 服务器。

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    条件调试和无线电主动跟踪 

    如果无间断跟踪未能提供足够的信息来确定所调查问题的触发原因,则可以启用条件调试并捕获无线电主动 (RA) 跟踪,这将为所有与指定条件(本例中为客户端 MAC 地址)交互的进程提供调试级跟踪。要启用条件调试,请执行以下步骤。

    第五步:确保未启用调试条件。

    # clear platform condition all

    第六步:为要监控的无线客户端MAC地址启用调试条件。

    此命令开始监控提供的mac地址达30分钟(1800秒)。您可以选择延长监控时间,最多监控 2085978494 秒。

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    :要一次监控多个客户端,请对每个mac地址运行debug wireless mac <aaaa.bbbb.cccc>命令。

    注意:您不会看到终端会话上的客户端活动的输出,因为所有内容都在内部缓冲,供以后查看。

      

    步骤 7.重现要监控的问题或行为。

    步骤 8如果在默认或配置的监控器时间开启之前重现问题,则停止调试。

    # no debug wireless mac <aaaa.bbbb.cccc>

    监控时间结束或无线网络调试停止后,9800 WLC 会生成一个本地文件,其名称为:

    ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    步骤 9 收集 MAC 地址活动的文件。    您可以将 ra trace.log 复制到外部服务器,也可以直接在屏幕上显示输出。

    检查RA跟踪文件的名称

    # dir bootflash: | inc ra_trace

    将文件复制到外部服务器:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     显示内容:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    步骤 10如果根本原因仍不明显,请收集内部日志,这些日志是调试级别日志的更详细视图。您无需再次调试客户端,因为我们仅进一步详细查看已收集并内部存储的调试日志。

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    注意:此命令输出返回所有进程的所有日志记录级别的跟踪,而且数量相当大。在解析跟踪信息时如需帮助,请联系 Cisco TAC。

    您可以将 ra-internal-FILENAME.txt 复制到外部服务器,也可以直接在屏幕上显示输出。

    将文件复制到外部服务器:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    显示内容:

    # more bootflash:ra-internal-<FILENAME>.txt

     步骤 11删除调试条件。

    # clear platform condition all

    注意:请确保在故障排除会话后始终删除调试条件。

    修订历史记录

    版本 发布日期 备注
    1.0
    21-Nov-2018
    初始版本
    TAC Authored

    由思科工程师提供

    • 卡拉·西斯内罗斯·加尔万
      思科TAC工程师
    • 卡特吉里苏达
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品