在Catalyst 9800无线LAN控制器上配置网状网

简介

本文档介绍如何将网状无线接入点(AP)连接到Catalyst 9800无线LAN控制器(WLC)的基本配置示例。

先决条件

要求

Cisco 建议您了解以下主题：

• Catalyst Wireless 9800配置型号
• LAP的配置 
• 无线接入点的控制和提供(CAPWAP)
• 配置外部DHCP服务器
• Cisco交换机的配置

使用的组件

此示例使用轻量接入点（1572AP和1542），该接入点可配置为根AP (RAP)或网状AP (MAP)以加入Catalyst 9800 WLC。对于1542或1562接入点，步骤相同。通过Cisco Catalyst交换机将RAP连接到Catalyst 9800 WLC。

本文档中的信息基于以下软件和硬件版本：

• C9800-CL v16.12.1
• Cisco 第 2 层交换机
• Cisco Aironet 1572系列轻量户外接入点网桥部分
  
• 适用于Flex+Bridge部分的Cisco Aironet 1542

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

案例分析1：桥接模式

配置

网状网AP需要进行身份验证才能加入9800控制器。本案例研究认为，您首先以本地模式将AP连接到WLC，然后将其转换为网桥(a.k.a)网状模式。 要避免分配AP加入配置文件，请使用此示例，但配置默认aaa authorization credential-download方法，以便允许任何网状AP加入控制器。

第1步：在“设备身份验证”(Device Authentication)下配置RAP/MAP mac地址。

导航到Configuration > AAA > AAA Advanced > Device Authentication。 

添加MAP的基本以太网MAC地址。添加时不带任何特殊字符，不带“。”或“：”

注意：从17.3.1版起，如果添加了“。”、“：”或“-”等任何mac地址分隔符，则AP无法加入。当前为此开放了两个增强功能：思科漏洞ID CSCvv43870和思科漏洞ID CSCvr07920。将来，9800将接受所有mac地址格式。

第2步：配置身份验证和授权方法列表。

导航到Configuration > Security > AAA > AAA Method list > Authentication，然后创建身份验证方法列表和授权方法列表。

第3步：配置全局网状网参数。

导航到配置>网格>全局参数。最初，您可以将这些值保留为默认值。

第4步：在“配置”(Configuration) >“网格”(Mesh) >“配置文件”(Profile) > +添加(Add)下创建新的网状配置文件(Create a new Mesh Profile)。

单击创建的网状配置文件，编辑网状配置文件的常规和高级设置。

如图所示，您需要将之前创建的身份验证和授权配置文件映射到网状配置文件。

第5步：创建新的AP加入配置文件。导航到配置>标签和配置文件：AP加入。

应用以前配置的网状网配置文件并配置AP EAP身份验证：

第6步：创建网状位置标签，如下所示。

配置点击步骤6中创建的网状位置标签进行配置。

导航到站点选项卡，将先前配置的网状AP加入配置文件应用于它：

步骤 7.将站点标签分配给AP。导航到Configuration > Wireless > Access points，然后点击Mesh AP。分配站点标签。

分配站点标签

步骤 8将AP转换为桥接模式。

通过CLI，可以在AP上使用以下命令：

capwap ap mode bridge

AP重新启动并作为网桥模式重新加入。

步骤 9您现在可以定义AP的角色：根AP或网状AP。

根AP是与WLC具有有线连接的接入点，而网格AP通过其尝试连接到根AP的无线电加入WLC。 一旦网状网AP无法通过其无线电找到根AP，则可通过其有线接口加入WLC，以进行调配。 如果AP设置与默认VLAN 1不同，请勿忘记在AP设置中指定TRUNK本地VLAN。

分配网状网角色

验证

aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
 method authentication Mesh_Authentication
 method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site Mesh_AP_Tag
 ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile Mesh_Profile

故障排除

在故障排除 > Radiative Trace Web UI页中，单击add，然后输入AP mac地址。

单击开始，然后等待AP再次尝试加入控制器。 完成后，单击Generate并选择一个时间段以收集日志（例如最近10或30分钟）。

单击Trace file name从您的浏览器中下载。

以下是由于定义了错误的aaa授权方法名称而未加入的AP示例：

019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac

单击“未加入的AP”后，Web UI控制面板中也会显示相同的内容。Ap auth pending是指向AP自身身份验证的提示：

案例分析2：Flex + Bridge

本部分重点介绍1542 AP在Flex+网桥模式下的加入过程，其中EAP身份验证在WLC上本地完成。

配置

• 步骤1:导航到Configuration > Security > AAA > AAA Advanced > Device Authentication。

• 第二步：选择Device Authentication，然后选择Add。
• 第三步：键入AP的基本以太网MAC地址以加入WLC。将属性列表名称保留为空，然后选择应用于设备。

• 第四步：导航到Configuration > Security > AAA > AAA Method List > Authentication。
• 第五步：选择Add。 系统将显示AAA Authentication弹出窗口。

• 第六步：在方法列表名称中键入名称。 从Type*下拉菜单中选择802.1x，并在Group Type中选择local。 最后，选择Apply to Device。

• 步骤6b.如果AP直接作为网桥模式加入，并且之前未分配站点和策略标记，请重复步骤6，但使用默认方法。
• 配置指向本地(CLI aaa authentication dot1x default local)的dot1x aaa身份验证方法。
  

• 步骤 7.导航到Configuration > Security > AAA > AAA Method List > Authorization。
  
• 步骤 8选择Add。 系统将显示AAA Authorization弹出窗口。

• 步骤 9在Method List Name中键入名称，然后从Type*下拉菜单中选择credential download，并为Group Type选择local。 最后，选择Apply to Device。

• 步骤9b.如果AP直接以网桥模式加入（即，它不首先以本地模式加入），请对默认凭证下载方法(CLI aaa authorization credential-download default local)重复步骤9。
• 步骤 10导航到配置>无线>网状>配置文件。
• 步骤 11选择Add。 系统将显示Add Mesh Profile弹出窗口。

• 步骤 12在常规选项卡中，设置网状配置文件的名称和说明。

• 步骤 13在Advanced选项卡下，为Method字段选择EAP。
• 步骤 14选择在步骤6和9中定义的授权和身份验证配置文件，并选择应用于设备。

• 步骤 15导航到配置>标签和配置文件> AP加入>配置文件。
• 步骤 16选择Add。 系统将显示AP Join Profile弹出窗口。设置AP加入配置文件的名称和说明。

• 步骤 17导航到AP选项卡，然后从Mesh Profile Name下拉菜单中选择第12步中创建的Mesh Profile。
• 步骤 18.确保分别针对EAP类型和AP授权类型字段设置EAP-FAST和CAPWAP DTLS。
• 步骤 19.选择Apply to Device。

• 步骤 20.导航到配置>标签和配置文件>标签>站点。
• 步骤 21.选择Add。 系统将显示Site Tag弹出窗口。

• 步骤 22.键入站点标签的名称和说明。

• 步骤 23.从AP Join Profile下拉菜单中选择第16步中创建的AP Join Profile。
• 步骤 24在Site Tag弹出窗口的底部，取消选中Enable Local Site复选框以启用Flex Profile下拉列表。
• 步骤 35从Flex Profile下拉列表中，选择要用于AP的Flex Profile。

• 步骤 36将AP连接到网络并确保AP处于本地模式。
• 步骤 37要确保AP处于本地模式，请发出capwap ap mode local命令。

AP必须能够找到控制器，可以是L2广播、DHCP选项43、DNS解析或手动设置。

• 步骤 38AP加入WLC。确保它列在AP列表下。导航到配置 >无线>接入点>所有接入点。

• 步骤 39选择AP。系统将显示AP弹出窗口。
• 步骤 40在AP弹出窗口中的General > Tags > Site选项卡下，选择第22步中创建的Site Tag，然后选择Update and Apply to Device。

• 步骤 41AP将重新启动，并且必须在Flex +网桥模式下重新加入WLC。

此方法首先在本地模式（不执行dot1x身份验证）下加入AP，以应用具有网状配置文件的站点标记，然后将AP切换到网桥模式。

要加入在网桥（或Flex+Bridge）模式下滞留的AP，请配置默认方法（aaa authentication dot1x default local和aaa authorization cred default local）。

然后，AP能够进行身份验证，您随后可以分配标签。

验证

确保AP模式显示为Flex +网桥，如下图所示。

从WLC 9800 CLI运行这些命令并查找AP模式属性。必须将其列为Flex+Bridge。

aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site meshsite
 ap-profile meshapjoin
 no local-site
ap profile meshapjoin
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile mesh-profile

故障排除

确保存在aaa authentication dot1x default local和aaa authorization cred default local命令。如果AP未预加入本地模式，则需要使用它们。 9800主控制面板上有一个显示无法加入的AP的构件。单击它可获取无法加入的AP列表：

单击特定AP以查看其未加入的原因。在这种情况下，您会看到身份验证问题（AP身份验证挂起），因为站点标记未分配给AP。

因此，9800未选择指定的身份验证/授权方法来对AP进行身份验证：

对于更高级的故障排除，请导航到Web UI上的Troubleshooting > Radiative Trace页面。 如果输入AP mac地址，您可以立即生成文件以获取尝试加入的AP的永远在线日志（通知级别）。 单击开始以启用该MAC地址的高级调试。下次生成日志时，为AP加入生成调试级日志，如下所示。