تكوين قائمة تفويض نقطة الوصول لوحدات التحكم اللاسلكية Catalyst 9800

المقدمة

يصف هذا وثيقة كيف أن يشكل مادة حفازة 9800 لاسلكي lan جهاز تحكم منفذ نقطة (ap) سياسة. 

معلومات أساسية

لتخويل نقطة وصول (AP)، يلزم تخويل عنوان MAC لشبكة إيثرنت لنقطة الوصول (AP) في مقابل قاعدة بيانات محلية باستخدام وحدة تحكم شبكة محلية لاسلكية طراز 9800 أو في مقابل خادم خدمة مصادقة طلب اتصال المستخدم (RADIUS) خارجي.

تضمن هذه الميزة قدرة نقاط الوصول المصرح بها فقط على الانضمام إلى وحدة التحكم في الشبكة المحلية اللاسلكية Catalyst 9800. لا يغطي هذا المستند حالة نقاط الوصول من السلسلة (1500 Series) التي تتطلب إدخال مرشح MAC للانضمام إلى وحدة التحكم ولكنها لا تتتبع تدفق تفويض نقطة الوصول النموذجي (راجع المراجع).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• 9800 WLC
• وصول واجهة سطر الأوامر (CLI) إلى وحدات التحكم اللاسلكية

المكونات المستخدمة

9800 WLC الإصدار 16.12

نقطة الوصول طراز 1810w

نقطة الوصول AP 1700

Identity Service Engine (ISE) الإصدار 2.2

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الرسم التخطيطي للشبكة

التكوينات

قائمة تخويل نقطة الوصول إلى MAC - محلي

يتم تخزين عنوان MAC لنقاط الوصول المعتمدة محليا في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800.

الخطوة 1. إنشاء قائمة طرق تنزيل بيانات اعتماد التفويض المحلية.

انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA > التخويل > + إضافة

الخطوة 2. تمكين تخويل AP MAC.

انتقل إلى تشكيل > التأمين > AAA > AAA متقدم > سياسة نقطة الوصول. قم بتمكين تخويل نقاط الوصول ضد MAC وحدد قائمة طرق التخويل التي تم إنشاؤها في الخطوة 1.

  

  

الخطوة 3. أضفت ال ap إثرنيت ماك عنوان.

انتقل إلى التكوين > التأمين > AAA > AAA متقدم > مصادقة الجهاز > عنوان MAC > + إضافة

ملاحظة: يجب أن يكون عنوان MAC لنقطة الوصول لشبكة الإيثرنت في أحد تلك التنسيقات عند إدخاله في واجهة مستخدم الويب (xx:xx:xx:xx:xx:xx (أو) xxxx.xxxx.xxxx (أو) xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx) في الإصدار 16.12. في الإصدار 17.3، يجب أن تكون بتنسيق xxxxxxxxxx بدون أي فاصل. تنسيق CLI يكون دائما xxxxxxxxx في أي إصدار (في 16.12، واجهة مستخدم الويب تزيل الفواصل في التكوين). يسمح معرف تصحيح الأخطاء من Cisco CSCvv43870 باستخدام أي تنسيق في CLI أو واجهة مستخدم الويب في الإصدارات اللاحقة.

CLI:

# config t
# aaa new-model
# aaa authorization credential-download <AP-auth> local

# ap auth-list authorize-mac
# ap auth-list method-list <AP-auth>

# username <aaaabbbbcccc> mac

قائمة تخويل نقطة الوصول الخاصة ب MAC - خادم RADIUS الخارجي

تكوين 9800 WLC

يتم تخزين عنوان MAC لنقاط الوصول المعتمدة على خادم RADIUS خارجي، في هذا المثال ISE.

على ISE، أنت يستطيع سجلت العنوان من ال MAC من ال APs إما ك user name/password أو كنقاط نهاية. على طول الخطوات التي يتم تعليمك كيفية الاختيار لاستخدام طريقة أو أخرى.

GUI:

الخطوة 1. إعلان خادم RADIUS

انتقل إلى التكوين > التأمين > AAA > الخوادم / المجموعات > RADIUS > الخوادم > + إضافة وإدخال معلومات خادم RADIUS.

تأكد من تمكين دعم عملية تغيير التفويض(CoA) إذا كنت تخطط لاستخدام مصادقة الويب المركزية (أو أي نوع من أنواع الأمان يتطلب CoA) في المستقبل.  

الخطوة 2. إضافة خادم RADIUS إلى مجموعة RADIUS

انتقل إلى التكوين > التأمين > AAA > الخوادم / المجموعات > RADIUS > مجموعات الخوادم > + إضافة

أن يتلقى ISE يصادق ال ap {upper}mac address بما أن أسماء المستخدمين تترك MAC ييصفي ك none. 

لجعل ISE يصادق ال ap MAC عنوان كنقاط نهاية يغير تصفية MAC إلى MAC. 

الخطوة 3. إنشاء قائمة طرق تنزيل بيانات اعتماد التخويل.

انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA > التخويل > + إضافة

الخطوة 4. تمكين تخويل AP MAC.

انتقل إلى تشكيل > التأمين > AAA > AAA متقدم > سياسة نقطة الوصول. قم بتمكين تخويل نقاط الوصول ضد MAC وحدد قائمة طرق التخويل التي تم إنشاؤها في الخطوة 3.

  

CLI:

# config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authorization credential-download <AP-auth> group <radius-grp-name>
# ap auth-list authorize-mac
# ap auth-list method-list <AP-ISE-auth>

تكوين ISE

الخطوة 1. لإضافة 9800 WLC إلى ISE:

إعلان 9800 WLC على ISE

أخترت أن يشكل استنادا إلى صحة هوية ال APs {upper}mac address مع ال يتطلب steps:

تكوين إستخدام للمصادقة على عنوان MAC كنقاط نهاية

تكوين ISE للمصادقة على عنوان MAC كاسم مستخدم/كلمة مرور

تكوين ISE لمصادقة عنوان MAC كنقاط نهاية

الخطوة 2. (إختياري) قم بإنشاء مجموعة هوية لنقاط الوصول

لأن ال 9800 لا يرسل ال NAS-Port سمة مع ap تخويل cisco بق idcscVy74904 )، لا يتعرف ISE على تخويل نقطة الوصول كسير عمل MAB وبالتالي لا يمكن مصادقة نقطة وصول إذا تم وضع عنوان MAC لنقطة الوصول في قائمة نقاط النهاية ما لم تقم بتعديل عمليات سير عمل MAB لعدم طلب سمة NAS-Port على ISE.

انتقل إلى Administrator > ملف تعريف جهاز الشبكة وقم بإنشاء ملف تعريف جهاز جديد. قم بتمكين RADIUS، وإضافة نوع الخدمة=call-check ل Wired MAB. أنت يستطيع نسخت الإستراحة من ال cisco ملف تعريف أصلي، الفكرة أن يتلقى ما من "nas-port-type" شرط ل ال MAB سلكي.

ارجع إلى إدخال جهاز الشبكة ل 9800 وربط ملف التعريف الخاص به بملف تعريف الجهاز الذي تم إنشاؤه حديثا.

انتقل إلى إدارة > إدارة الهوية > مجموعات > مجموعات هوية نقطة النهاية > + إضافة.

أختر اسما وانقر فوق إرسال.

الخطوة 3. إضافة عنوان التحكم في الوصول للوسائط الخاص ب AP Ethernet إلى مجموعة هوية نقطة النهاية الخاصة به.

انتقل إلى مراكز العمل > الوصول إلى الشبكة > الهويات > نقاط النهاية > +

أدخل المعلومات المطلوبة.

الخطوة 4. تحقق من أن مخزن الهوية المستخدم في قاعدة المصادقة الافتراضية يحتوي على نقاط النهاية الداخلية.

أ. انتقل إلى سياسة > مصادقة ولاحظ مخزن الهوية.

ب. انتقل إلى إدارة > إدارة الهوية > تسلسلات مصدر الهوية > اسم الهوية.

ج. التأكد من أن نقاط النهاية الداخلية تنتمي إليه، إن لم تكن تنتمي إليه، فقم بإضافتها.

تكوين ISE للمصادقة على عنوان MAC كاسم مستخدم/كلمة مرور

لا ينصح بهذه الطريقة لأنها تتطلب سياسات كلمة مرور أقل للسماح بنفس كلمة المرور الخاصة باسم المستخدم.

ومع ذلك، يمكن أن يكون الحل البديل في حالة عدم قدرتك على تعديل ملف تعريف جهاز الشبكة

الخطوة 2. (إختياري) قم بإنشاء مجموعة هوية لنقاط الوصول

انتقل إلى إدارة > إدارة الهوية > مجموعات > مجموعات هوية المستخدم > + إضافة.

أختر اسما وانقر فوق إرسال.

الخطوة 3. دققت أن يسمح نهج كلمة السر حالي أنت أن يضيف {upper}mac address ك username وكلمة.

انتقل إلى إدارة > إدارة الهوية > إعدادات > إعدادات مصادقة المستخدم > نهج كلمة المرور وتأكد من تعطيل هذه الخيارات على الأقل:

ملاحظة: يمكنك أيضا تعطيل الخيار تعطيل حساب المستخدم بعد xx يوم إذا لم يتم تغيير كلمة المرور.بما أن هذا عنوان MAC، فلا تتغير كلمة المرور أبدا. 

الخطوة 4. أضفت ال ap إثرنيت ماك عنوان.

انتقل إلى إدارة > إدارة الهوية > هويات > مستخدمين > + إضافة

أدخل المعلومات المطلوبة.

ملاحظة: يجب أن يكون Name وLogin PasswordField عنوان MAC الخاص بالإيثرنت لنقطة الوصول، مع كل الحروف الصغيرة وبدون فواصل.

سياسة التفويض لمصادقة نقاط الوصول (AP)

انتقل إلى نهج > تفويض كما هو موضح في الصورة.

قم بإدراج قاعدة جديدة كما هو موضح في الصورة.

أولا، حدد اسم القاعدة ومجموعة الهوية حيث يتم تخزين نقطة الوصول (AccessPoints). حدد مجموعات هوية المستخدم إذا قررت أن تصادق على عنوان MAC ككلمة مرور اسم مستخدم أو مجموعات هوية نقطة النهاية إذا أخترت أن تصادق على عنوان AP MAC كنقاط نهاية.

بعد ذلك، حدد الشروط الأخرى التي تقوم بعملية التخويل للدخول في هذه القاعدة. في هذا المثال، تصل عملية التخويل إلى هذه القاعدة إذا كانت تستخدم التحقق من الاتصال من نوع الخدمة وجاء طلب المصادقة من عنوان IP 10.88.173.52.

أخيرا، حدد ملف تعريف التخويل الذي يتم تعيينه للعملاء الذين يضربون هذه القاعدة، وانقر فوق Doneand احفظه كما هو موضح في الصورة.

ملاحظة: لا تفقد نقاط الوصول (APs) التي انضمت بالفعل إلى وحدة التحكم اقترانها. ومع ذلك، إذا فقدت الاتصال بوحدة التحكم وتحاول الانضمام بعد تمكين قائمة التخويل، فإنها تمر بعملية المصادقة. إذا لم تكن عناوين MAC الخاصة بهم مدرجة محليا أو في خادم RADIUS، فلن يكون بمقدورهم الانضمام مرة أخرى إلى وحدة التحكم.

التحقق من الصحة

التحقق من تمكين قائمة مصادقة AP بواسطة 9800 WLC

# show ap auth-list

Authorize APs against MAC : Disabled
Authorize APs against Serial Num : Enabled
Authorization Method List : <auth-list-name>

 التحقق من تكوين RADIUS:

# show run aaa

استكشاف الأخطاء وإصلاحها

يوفر WLC 9800 إمكانيات التتبع الدائمة. وهذا يضمن تسجيل جميع الأخطاء ذات الصلة بانضمام نقطة الوصول، وتسجيل رسائل مستوى التحذير والإشعار بشكل مستمر، كما يمكنك عرض السجلات الخاصة بحادث أو حالة فشل بعد حدوثه. 

ملاحظة: يختلف حجم السجلات التي تم إنشاؤها بشكل تراجعي من بضع ساعات إلى عدة أيام.

لعرض المسارات التي تم تجميعها بواسطة 9800 WLC بشكل افتراضي، يمكنك الاتصال عبر SSH/Telnet ب 9800 WLC من خلال هذه الخطوات (تأكد من تسجيل الجلسة إلى ملف نصي).

الخطوة 1. تحقق من الوقت الحالي لوحدة التحكم بحيث يمكنك تعقب السجلات في الوقت السابق إلى وقت حدوث المشكلة.

# show clock

 الخطوة 2. قم بتجميع syslog من المخزن المؤقت لوحدة التحكم أو syslog الخارجية كما هو محدد بواسطة تكوين النظام. يوفر هذا عرضًا سريعًا لحالة النظام والأخطاء، إن وجدت.

# show logging

الخطوة 3. تحقق ما إذا تم تمكين أي شروط تصحيح أخطاء.

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Trace Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

ملاحظة: إذا رأيت أي شرط مدرج في القائمة، فهذا يعني أن التتبع يتم تسجيله إلى مستوى تصحيح الأخطاء لجميع العمليات التي تواجه الشروط الممكنة (عنوان MAC وعنوان IP وما إلى ذلك). وهذا من شأنه أن يزيد من حجم السجلات. لذلك، يُوصى بمسح جميع الشروط عند عدم التصحيح النشط

الخطوة 4. إفترض أن عنوان MAC تحت الاختبار لم يتم إدراجه كشرط في الخطوة 3، يجمع التتبع على مستوى الإشعار دائما لعنوان MAC معين في الراديو.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

يمكنك إما عرض المحتوى على الجلسة أو يمكنك نسخ الملف إلى خادم TFTP خارجي.

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

التصحيح الشرطي والتتبع النشط اللاسلكلي  

إذا لم تمنحك المسارات الدائمة معلومات كافية لتحديد مشغل المشكلة قيد التحقيق، يمكنك تمكين تصحيح الأخطاء المشروط والتقاط تتبع Radio Active (RA)، الذي يوفر تتبع مستوى تصحيح الأخطاء لجميع العمليات التي تتفاعل مع الشرط المحدد (عنوان MAC للعميل في هذه الحالة). 

الخطوة 5. تأكد من عدم تمكين شروط تصحيح الأخطاء.

# clear platform condition all

الخطوة 6. قم بتمكين شرط تصحيح الأخطاء لعنوان MAC للعميل اللاسلكي الذي تريد مراقبته.

يبدأ هذا الأمر في مراقبة عنوان MAC المتوفر لمدة 30 دقيقة (1800 ثانية). يمكنك زيادة هذا الوقت اختياريًا حتى 2085978494 ثانية.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

  

ملاحظة: لمراقبة أكثر من عميل واحد في كل مرة، قم بتشغيل الأمر debug wireless mac <aaa.bbbb.cccc> لكل عنوان MAC.

ملاحظة: لا ترى إخراج نشاط العميل على جلسة عمل المحطة الطرفية، حيث يتم تخزين كل شيء مؤقتا داخليا لعرضه لاحقا.

  

الخطوة 7. قم بإعادة إنتاج المشكلة أو السلوك الذي تريد مراقبته.

الخطوة 8. قم بإيقاف تصحيح الأخطاء إذا تم نسخ المشكلة قبل انتهاء وقت المراقبة الافتراضي أو المكون.

# no debug wireless mac <aaaa.bbbb.cccc>

بمجرد انقضاء وقت المراقبة أو توقف التصحيح اللاسلكي، ينشئ WLC 9800 ملفًا محليًا باسم:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

الخطوة 9. قم بتجميع ملف نشاط عنوان mac.    يمكنك إما نسخ الأمر RA trace  .log إلى خادم خارجي أو عرض المخرجات مباشرة على الشاشة.

التحقق من اسم ملف تتبع مسار RA

# dir bootflash: | inc ra_trace

نسخ الملف إلى خادم خارجي:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

 عرض المحتوى:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

الخطوة 10. إذا كان السبب الرئيسي لا يزال غير واضح، فقم بجمع السجلات الداخلية التي تعد طريقة عرض توضيحية أكثر لسجلات مستوى تصحيح الأخطاء. لا تحتاج إلى تصحيح أخطاء العميل مرة أخرى حيث إننا نلقي نظرة تفصيلية أخرى على سجلات تصحيح الأخطاء التي تم تجميعها وتخزينها داخليا بالفعل.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

ملاحظة: يؤدي إخراج الأمر هذا إلى إرجاع آثار لجميع مستويات التسجيل لجميع العمليات وهو كبير الحجم إلى حد ما. يُرجى إشراك Cisco TAC للمساعدة في تحليل مسارات التتبع هذه.

يمكنك إما نسخ RA-internal-FILEName.txt إلى خادم خارجي أو عرض المخرج مباشرة على الشاشة.

نسخ الملف إلى خادم خارجي:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

عرض المحتوى:

# more bootflash:ra-internal-<FILENAME>.txt

 الخطوة 11. قم بإزالة شروط تصحيح الأخطاء.

  

# clear platform condition all

ملاحظة: تأكد من إزالة شروط تصحيح الأخطاء دائما بعد جلسة أستكشاف الأخطاء وإصلاحها.

المراجع

انضم إلى نقاط الوصول في الشبكة العنكبوتية إلى 9800 WLC