تكوين مصادقة 802.1X على سلسلة وحدة التحكم اللاسلكية Catalyst 9800

المقدمة

يصف هذا وثيقة كيف أن setup WLAN مع 802.1X أمن على cisco مادة حفازة 9800 sery لاسلكي جهاز تحكم.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• معيار 802.1X

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• سلسلة وحدة التحكم اللاسلكية Catalyst 9800 (Catalyst 9800-CL)
• Cisco IOS® XE Gibraltar، الإصدار 17.3.x
• Cisco ISE 3.0

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الرسم التخطيطي للشبكة

  

تكوين وحدة التحكُّم في شبكة LAN اللاسلكية (WLC)

تكوين AAA على 9800 WLCs

GUI:

الخطوة 1. إعلان خادم RADIUS. انتقل إلى معلومات خادم RADIUS  Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add وأدخلها.

تأكد من تمكين دعم CoA إذا كنت تخطط لاستخدام المصادقة المركزية للويب (أو أي نوع من الأمان يتطلب تغيير التفويض [CoA]) في المستقبل. 

الخطوة 2. إضافة خادم RADIUS إلى مجموعة RADIUS. انتقل إلى  Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add. إعطاء اسم لمجموعتك ونقل الخادم الذي أنشأته سابقا في قائمة Assigned Servers.

الخطوة 3. إنشاء قائمة أساليب المصادقة. انتقل إلى Configuration > Security > AAA > AAA Method List > Authentication > + Add.

أدخل المعلومات: 

CLI:

# config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>

ملاحظة على اكتشاف خادم AAA الميت

بعد تكوين خادم RADIUS، يمكنك التحقق مما إذا كان يعتبر "ALIVE":

#show aaa servers | s WNCD
     Platform State from WNCD (1) : current UP
     Platform State from WNCD (2) : current UP
     Platform State from WNCD (3) : current UP
     Platform State from WNCD (4) : current UP
     ...

يمكنك تكوين عنصر التحكم dead criteria, deadtime وكذلك عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لديك، وخاصة إذا كنت تستخدم خوادم RADIUS متعددة. 

#radius-server dead-criteria time 5 tries 3
#radius-server deadtime 5

ملاحظة: dead criteria هي المعايير المستخدمة في تمييز خادم RADIUS كخادم ميت. تتكون من: 1. المهلة (بالثواني) التي تمثل مقدار الوقت الذي يجب أن ينقضي من الوقت الذي تلقت فيه وحدة التحكم آخر مرة حزمة صالحة من خادم RADIUS إلى الوقت الذي تم فيه تمييز الخادم على أنه معطل. 2. عداد، يمثل عدد حالات انتهاء المهلة المتتالية التي يجب أن تحدث على وحدة التحكم قبل تمييز خادم RADIUS كخادوم.

ملاحظة: deadtime يحدد مقدار الوقت (بالدقائق) الذي يظل فيه الخادم في حالة التعطل بعد أن يقوم معيار التعطل بوضع علامة "معطل" عليه كقيمة معطلة. وبمجرد انتهاء المهلة، يقوم جهاز التحكم بوضع علامة UP (LIVE) على الخادم وإعلام العملاء المسجلين بتغيير الحالة. إذا كان الخادم لا يزال يتعذر الوصول إليه بعد وضع علامة "UP" على الحالة وفي حالة استيفاء المعايير "DEAD"، فيتم وضع علامة "معطل" على الخادم مرة أخرى للفترة الزمنية الفاصلة.

تكوين ملف تعريف WLAN

GUI:

الخطوة 1. قم بإنشاء شبكة WLAN. انتقل إلى التكوين > لاسلكي > WLANs > + إضافة الشبكة وتكوينها حسب الحاجة.

الخطوة 2. أدخل معلومات شبكة WLAN

الخطوة 3. انتقل إلى علامة التبويب الأمان وحدد طريقة الأمان المطلوبة. في هذه الحالة WPA2 + 802. 1x.

الخطوة 4. من علامة Security > AAA التبويب، حدد طريقة المصادقة التي تم إنشاؤها في الخطوة 3 من تكوين AAA على قسم 9800 WLC.

CLI:

# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# security dot1x authentication-list <dot1x-list-name>
# no shutdown

تكوين ملف تعريف السياسة

داخل ملف تعريف سياسة يمكنك تحديد شبكة VLAN التي سيتم تعيينها للعملاء، من بين الإعدادات الأخرى (مثل قائمة التحكم بالوصول [ACLs]، جودة الخدمة [QoS]، Mobility Anchor، وحدات التوقيت، وما إلى ذلك).

يمكنك إما إستخدام ملف التعريف الافتراضي الخاص بالنهج أو يمكنك إنشاء ملف تعريف جديد.

GUI:

انتقل إلى التكوين > علامات وملفات التعريف > ملف تعريف السياسة وإما أن تقوم بتكوين ملف تعريف السياسة الافتراضي أو إنشاء ملف تعريف جديد.

تأكد من تمكين ملف التعريف.

أيضا، إذا كانت نقطة الوصول (AP) في الوضع المحلي، فتأكد من أن ملف تعريف السياسة يحتوي على تحويل مركزي ومصادقة مركزية ممكنة.

حدد شبكة VLAN حيث يلزم تعيين العملاء في علامة التبويب سياسات الوصول.

إذا كنت تخطط لأن يكون لديك سمات ISE للإرجاع في تعيين قبول الوصول مثل تعيين VLAN، فيرجى تمكين تجاوز AAA في علامة التبويب Advanced :

CLI:

# config
# wireless profile policy <policy-profile-name>
# aaa-override
# central switching
# description "<description>"
# vlan <vlanID-or-VLAN_name>
# no shutdown

تكوين علامة السياسة

يتم إستخدام "علامة النهج" لربط SSID بملف تعريف النهج. يمكنك إما إنشاء علامة سياسة جديدة أو استخدام علامة السياسة الافتراضية.

ملاحظة: تقوم علامة النهج الافتراضية تلقائيا بتعيين أي SSID بمعرف WLAN يتراوح بين 1 و 16 إلى ملف تعريف السياسة الافتراضي. لا يمكن تعديله أو حذفه. إذا كانت لديك شبكة محلية لاسلكية (WLAN) بمعرف 17 أو أعلى، فلا يمكن إستخدام علامة النهج الافتراضية.

GUI:

انتقل إلى Configugation > Tags & Profiles > Tags > Policy وإضافة واحدة جديدة إذا لزم الأمر.

قم بربط ملف تعريف WLAN بملف تعريف السياسة المطلوب.

CLI:

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

إحالة علامات السياسة

قم بتعيين علامة السياسة لنقاط الوصول المطلوبة.

GUI:

لتعيين العلامة لنقطة وصول واحدة، انتقل Configuration > Wireless > Access Points > AP Name > General Tags, لتعيين علامة النهج ذات الصلة ثم انقر فوق Update & Apply to Device.

ملاحظة: اعلم أنه عند تغيير علامة السياسة على نقطة الوصول، فإنها تسقط إرتباطها بعنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 وترجع إلى نقطة الوصول بعد لحظات قليلة.

لتعيين نفس علامة النهج إلى نقاط وصول متعددة، انتقل إلى Configuration > Wireless Setup > Advanced > Start Now > Apply.

حدد نقاط الوصول التي تريد تعيين علامة التمييز لها وانقر + Tag APs

حدد العلامات القابلة للتطبيق للنهج والموقع والتردد اللاسلكي وانقر Save& تطبيق على الجهاز

CLI:

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

تكوين ISE

إعلان WLC على ISE

الخطوة 1. افتح وحدة تحكم ISE وانتقل إليها Administration > Network Resources > Network Devices > Add كما هو موضح في الصورة.

 

الخطوة 2. قم بتكوين جهاز الشبكة.

وبشكل إختياري، يمكن أن يكون اسم طراز محدد أو إصدار برنامج أو وصف أو تعيين مجموعات أجهزة شبكة استنادا إلى أنواع الأجهزة أو الموقع أو أدوات التحكم في الشبكة المحلية اللاسلكية (WLC).

يماثل عنوان IP هنا واجهة WLC التي ترسل طلبات المصادقة. بشكل افتراضي، تكون هي واجهة الإدارة كما هو موضح في الصورة:

 

لمزيد من المعلومات حول Network Device Groups مراجعة الفصل: إدارة أجهزة الشبكة من دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 2.0: مجموعات أجهزة الشبكة

إنشاء مستخدم جديد على ISE

الخطوة 1. تصفح Administration > Identity Management > Identities > Users > Add إلى كما هو موضح في الصورة:

 

الخطوة 2. أدخل المعلومات الخاصة بالمستخدم. في هذا المثال، ينتمي هذا المستخدم إلى مجموعة تسمى ALL_ACCountTS ولكن يمكن ضبطه حسب الحاجة كما هو موضح في الصورة:

إنشاء ملف تعريف التفويض

يتكون Authorization Profile من مجموعة من السمات التي يتم إرجاعها عند مطابقة شرط ما. يحدد ملف تعريف التخويل ما إذا كان لدى العميل حق الوصول إلى الشبكة أم لا، أو قوائم التحكم في الوصول (ACLs)، أو تجاوز شبكة VLAN، أو أي معلمة أخرى. يرسل ملف تعريف التخويل الموضح في هذا المثال قبول الوصول للعميل ويعين العميل إلى شبكة VLAN 1416.

الخطوة 1. انتقل إلى Policy > Policy Elements > Results > Authorization > Authorization Profiles الزر Add وانقر عليه.

 

الخطوة 2. قم بإدخال القيم كما هو موضح في الصورة. هنا يمكننا إرجاع سمات تجاوز AAA مثل VLAN على سبيل المثال. يقبل WLC 9800 سمات النفق 64، 65، 81 التي تستخدم معرف VLAN أو الاسم، ويقبل أيضا إستخدام AirSpace-Interface-Name السمة.

 

إنشاء مجموعة نهج

تحدد مجموعة النهج مجموعة من قواعد المصادقة والتفويض. لإنشاء واحدة، انتقل إلى، Policy > Policy Setsانقر فوق علامة التحكم لأول مجموعة نهج في القائمة وحدد كما هو Insert new row above موضح في هذه الصورة:

قم بتكوين اسم وإنشاء شرط لمجموعة النهج هذه. في هذا مثال، يعين الشرط أن نحن نطابق الحركة مرور أن يأتي من ال WLC:

Radius:NAS-IP-Address EQUALS X.X.X.X     // X.X.X.X is the WLC IP address

تأكد من Default Network Access أنه محدد أسفل Allowed Protocols / Server Sequence. 

إنشاء سياسة مصادقة

لتكوين سياسات المصادقة والتفويض، يلزمك إدخال تكوين مجموعة النهج. يمكن القيام بذلك إذا قمت بالنقر فوق السهم الأزرق الموجود على يمين Policy Set الخط:

 

يتم إستخدام سياسات المصادقة للتحقق من صحة بيانات اعتماد المستخدمين (تحقق مما إذا كان المستخدم هو حقا من يقول عنه). تحت Authenticaton Policy, إنشاء نهج مصادقة وتكوينه كما هو موضح في هذه الصورة. الشرط الخاص بالنهج المستخدم في هذا المثال هو:

RADIUS:Called-Station-ID ENDS_WITH 
     
     
       // 
      
        is the SSID of your WLAN 
       
     

أختر أيضا المستخدمين الداخليين ضمن علامة التبويب Use الخاصة بنهج المصادقة هذا. 

 

إنشاء سياسة التخويل

في نفس الصفحة، انتقل إلى Authorization Policy وقم بإنشاء صفحة جديدة. شرط نهج التخويل هذا هو:

RADIUS:Called-Station-ID ENDS_WITH 
     
     
       // 
      
        is the SSID of your WLAN 
       
     

تحت علامة التبويب Result > Profiles الخاصة بهذا النهج، حدد علامة التبويب التي Authorization Profile قمت بإنشائها سابقا. هذا يسبب ISE أن يرسل الشعار صحيح إلى ال WLC إن المستعمل يكون صدق.

عند هذه النقطة، يكون كل التكوين ل WLC و ISE مكتملا، يمكنك الآن محاولة الاتصال بأحد العملاء.

لمزيد من المعلومات حول نهج ISE Allow Protocols تحقق من الفصل: إدارة سياسات المصادقة من دليل مسؤول Cisco Identity Services، الإصدار 2.0: إدارة سياسات المصادقة

لمزيد من المعلومات حول مصادر هوية محرك خدمات الهوية (ISE)، راجع الفصل: إدارة المستخدمين ومصادر الهوية الخارجية من دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 2.0: مصادر الهوية

التحقق من الصحة

يمكنك إستخدام هذه الأوامر للتحقق من التكوين الحالي لديك:

# show run wlan // WLAN configuration
# show run aaa // AAA configuration (server, server group, methods)
# show aaa servers // Configured AAA servers
# show ap config general // AP's configurations 
# show ap name <ap-name> config general // Detailed configuration of specific AP
# show ap tag summary // Tag information for AP'S
# show wlan { summary | id | name | all } // WLAN details
# show wireless tag policy detailed <policy-tag name> // Detailed information on given policy tag
# show wireless profile policy detailed <policy-profile name>// Detailed information on given policy profile

استكشاف الأخطاء وإصلاحها

أستكشاف أخطاء WLC وإصلاحها

يوفر WLC 9800 إمكانيات التتبع الدائمة. وهذا يضمن تسجيل جميع الأخطاء المتعلقة باتصال العميل والتحذيرات ورسائل مستوى الإشعار بشكل مستمر ويمكنك عرض السجلات الخاصة بالحادث أو حالة الفشل بعد حدوثه. 

يعتمد ذلك على حجم السجلات التي يتم إنشاؤها، ولكن عادة، يمكنك الرجوع بضع ساعات إلى عدة أيام.

لعرض المسارات التي تم تجميعها بواسطة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 بشكل افتراضي، يمكنك الاتصال بواسطة SSH/Telnet بعنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 وتنفيذ الخطوات التالية: (تأكد من تسجيل جلسة العمل في ملف نصي).

الخطوة 1. فحصت ال WLC حالي وقت لذلك أنت يستطيع تتبعت السجل في الوقت back to عندما المشكلة وقعت.

# show clock

 الخطوة 2. قم بتجميع syslog من المخزن المؤقت ل WLC أو syslog الخارجي، كما هو محدد بواسطة تكوين النظام. يوفر هذا عرضًا سريعًا لحالة النظام والأخطاء، إن وجدت.

# show logging

الخطوة 3. تحقق ما إذا تم تمكين أي شروط تصحيح أخطاء.

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

ملاحظة: إذا رأيت أي شرط مدرج في القائمة، فهذا يعني أن التتبع يتم تسجيله إلى مستوى تصحيح الأخطاء لجميع العمليات التي تواجه الشروط الممكنة (عنوان MAC وعنوان IP وما إلى ذلك). وهذا يزيد من حجم السجلات. لذلك، يُوصى بمسح جميع الشروط عند عدم التصحيح النشط.

الخطوة 4. إفترض أن عنوان MAC تحت إختبار لم يكن مدرجا كشرط في الخطوة 3، يجمع التتبع على مستوى الإشعار دائما لعنوان MAC المحدد:

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

يمكنك إما عرض المحتوى على الجلسة أو يمكنك نسخ الملف إلى خادم TFTP خارجي:

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

التصحيح الشرطي والتتبع النشط اللاسلكلي  

إذا لم تمنحك المسارات الدائمة معلومات كافية لتحديد مشغل المشكلة قيد التحقيق، يمكنك تمكين تصحيح الأخطاء المشروط والتقاط تتبع Radio Active (RA)، الذي يوفر تتبع مستوى تصحيح الأخطاء لجميع العمليات التي تتفاعل مع الشرط المحدد (عنوان MAC للعميل في هذه الحالة). يمكنك القيام بذلك من خلال واجهة المستخدم الرسومية (GUI) أو واجهة سطر الأوامر (CLI).

CLI: 

لتمكين تصحيح الأخطاء المشروط، قم بتنفيذ الخطوات التالية:

الخطوة 5. تأكد من عدم تمكين شروط تصحيح الأخطاء.

# clear platform condition all

الخطوة 6. قم بتمكين شرط تصحيح الأخطاء لعنوان MAC للعميل اللاسلكي الذي تريد مراقبته.

يبدأ هذا الأمر في مراقبة عنوان MAC المتوفر لمدة 30 دقيقة (1800 ثانية). يمكنك زيادة هذا الوقت إختياريا إلى 2085978494 ثانية.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

  

ملاحظة: لمراقبة أكثر من عميل واحد في كل مرة، قم بتشغيل الأمر debug wireless mac <aaa.bbbb.cccc> لكل عنوان MAC.

ملاحظة: لا ترى إخراج نشاط العميل على جلسة عمل طرفية، حيث يتم تخزين كل شيء مؤقتا داخليا لعرضه لاحقا.

  

الخطوة 7. قم بإعادة إنتاج المشكلة أو السلوك الذي تريد مراقبته.

الخطوة 8. قم بإيقاف تصحيح الأخطاء إذا تم نسخ المشكلة قبل انقضاء وقت المراقبة الافتراضي أو المكون.

# no debug wireless mac <aaaa.bbbb.cccc>

بمجرد انقضاء وقت المراقبة أو توقف التصحيح اللاسلكي، ينشئ WLC 9800 ملفًا محليًا باسم:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

الخطوة 9. قم بتجميع ملف نشاط عنوان mac.    يمكنك إما نسخ RA trace.log إلى خادم خارجي أو عرض الإخراج مباشرة على الشاشة.

التحقق من اسم ملف تتبع مسار RA:

# dir bootflash: | inc ra_trace

نسخ الملف إلى خادم خارجي:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

 عرض المحتوى:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

الخطوة 10. إذا كان السبب الجذري لا يزال غير واضح، فعليك تجميع السجلات الداخلية، والتي تعد طريقة عرض أكثر تفصيلا لسجلات مستوى تصحيح الأخطاء. لا تحتاج إلى تصحيح أخطاء العميل مرة أخرى بينما ننظر بمزيد من التفصيل في سجلات تصحيح الأخطاء التي تم تجميعها وتخزينها داخليا بالفعل.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

ملاحظة: ينتج هذا الأمر آثارا لجميع مستويات السجل لجميع العمليات وهو كبير الحجم إلى حد ما. يُرجى إشراك Cisco TAC للمساعدة في تحليل مسارات التتبع هذه.

يمكنك إما نسخ RA-internal-FILEName.txt إلى خادم خارجي أو عرض المخرج مباشرة على الشاشة.

نسخ الملف إلى خادم خارجي:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

عرض المحتوى:

# more bootflash:ra-internal-<FILENAME>.txt

 الخطوة 11. قم بإزالة شروط تصحيح الأخطاء.

# clear platform condition all

ملاحظة: تأكد من إزالة شروط تصحيح الأخطاء دائما بعد جلسة أستكشاف الأخطاء وإصلاحها.

GUI: 

الخطوة 1. انتقل إلى عنوان MAC/IP Troubleshooting > Radioactive Trace > + Add  الخاص بالعميل (العملاء) الذي تريد أستكشاف الأخطاء وإصلاحها.

الخطوة 2. انقر على بدء.

الخطوة 3. قم بإعادة إنتاج المشكلة.

الخطوة 4. طقطقة إيقاف.

الخطوة 5. انقر فوق Generate الزر، ثم حدد الفاصل الزمني الذي تريد الحصول على السجلات الخاصة به، ثم انقر فوق Apply to Device. In this example, the logs for the last 10 minutes are requested.

الخطوة 6. قم بتنزيل "التتبع المشع" على الكمبيوتر وانقر فوق زر التنزيل وفحصه.

أستكشاف أخطاء ISE وإصلاحها

إذا واجهت مشاكل في مصادقة العميل، فيمكنك التحقق من السجلات الموجودة على خادم ISE. انتقل إلى Operations > RADIUS > Live Logs يمكنك الاطلاع على قائمة طلبات المصادقة، بالإضافة إلى مجموعة النهج التي تمت مطابقتها، والنتيجة لكل طلب، وما إلى ذلك. يمكنك الحصول على المزيد من التفاصيل إذا قمت بنقر العدسة المكبرة تحت Details صفحة كل سطر، كما هو موضح في الصورة: