تكوين FlexConnect باستخدام المصادقة على Catalyst 9800 WLC

المقدمة

يصف هذا المستند كيفية تكوين FlexConnect باستخدام المصادقة المركزية أو المحلية على وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية Catalyst 9800.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• نموذج تكوين Catalyst Wireless 9800
• تقنية FlexConnect
• 802٫1x

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• C9800-CL و Cisco IOS-XE® 17.3.4
  

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

تقنية FlexConnect هي حل لاسلكي لنشر المكاتب البعيدة. وهو يسمح لك بتكوين نقاط الوصول (AP) في مواقع بعيدة من مكتب الشركة من خلال إرتباط شبكة واسعة النطاق (WAN) دون الحاجة إلى نشر وحدة تحكم في كل موقع. يمكن لنقاط الوصول FlexConnect تحويل حركة مرور بيانات العميل محليا وإجراء مصادقة العميل محليا عند فقد الاتصال بوحدة التحكم. في الوضع المتصل، يمكن لنقاط الوصول FlexConnect APs أيضا إجراء المصادقة المحلية.

التكوين

الرسم التخطيطي للشبكة

التكوينات

تكوين AAA على 9800 WLCs

الخطوة 1. إعلان خادم RADIUS. من واجهة المستخدم الرسومية: انتقل إلى التكوين > التأمين > AAA > الخوادم / المجموعات > RADIUS > الخوادم > + الإضافة وأدخل معلومات خادم RADIUS.

تأكد من تمكين دعم CoA إذا كنت تخطط لاستخدام أي نوع من الأمان يتطلب CoA في المستقبل. 

ملاحظة: ملاحظة: لا يتم دعم RADIUS CoA في نشر المصادقة المحلية لاتصال Flex. .

الخطوة 2. أضف خادم RADIUS إلى مجموعة RADIUS. من واجهة المستخدم الرسومية (GUI): انتقل إلى التكوين > التأمين > AAA > الخوادم / المجموعات > RADIUS > مجموعات الخوادم > + إضافة.

الخطوة 3. إنشاء قائمة أساليب المصادقة. من واجهة المستخدم الرسومية: انتقل إلى التكوين > التأمين > AAA > قائمة طرق AAA > المصادقة > + إضافة

من واجهة سطر الأوامر:

# config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>

تكوين شبكة WLAN

الخطوة 1. من واجهة المستخدم الرسومية (GUI): انتقل إلى تكوين > لاسلكي > شبكات WLAN وانقر +إضافة لإنشاء شبكة WLAN جديدة، وأدخل معلومات شبكة WLAN. ثم انقر فوق تطبيق على الجهاز.

الخطوة 2. من واجهة المستخدم الرسومية (GUI): انتقل إلى علامة التبويب أمان لتكوين وضع الأمان للطبقة 2/الطبقة 3 طالما كانت طريقة التشفير وقائمة المصادقة في حالة إستخدام 802.1x. ثم انقر فوق تحديث الجهاز وتطبيقه.

تكوين ملف تعريف السياسة

الخطوة 1. من واجهة المستخدم الرسومية (GUI): انتقل إلى تكوين > علامات وملفات تعريف > سياسة وانقر +إضافة لإنشاء ملف تعريف سياسة.

الخطوة 2. قم بإضافة الاسم وإلغاء تحديد مربع التحويل المركزي. ومن خلال هذا الإعداد، تتعامل وحدة التحكم مع مصادقة العميل وحزم بيانات العميل لمحولات نقطة الوصول FlexConnect محليا.

ملاحظة: يجب أن يكون الاقتران والتحويل متزامنين دائما، إذا كان التحويل المركزي معطلا فيجب تعطيل الاقتران المركزي كذلك على كافة ملفات تعريف النهج عند إستخدام نقاط الوصول FlexConnect APs.

الخطوة 3. من واجهة المستخدم الرسومية (GUI): انتقل إلى علامة التبويب سياسات الوصول لتخصيص شبكة VLAN التي يمكن تعيين العملاء اللاسلكيين لها عند إتصالهم بشبكة WLAN هذه بشكل افتراضي.

يمكنك إما تحديد اسم شبكة VLAN واحد من القائمة المنسدلة أو كأفضل ممارسة، اكتب معرف شبكة VLAN يدويا.

الخطوة 4. من واجهة المستخدم الرسومية:  انتقل إلى علامة التبويب خيارات متقدمة لتكوين حالات انتهاء المهلة الزمنية للشبكة المحلية اللاسلكية (WLAN) و DHCP و WLAN Flex Policy و AAA في حالة إستخدامها. ثم انقر فوق تحديث الجهاز وتطبيقه.

تكوين علامة السياسة

الخطوة 1. من واجهة المستخدم الرسومية (GUI): انتقل إلى التكوين > علامات تمييز وملفات تخصيص > علامات تمييز > سياسة > +إضافة. 

الخطوة 2. قم بتعيين اسم وقم بتعيين ملف تعريف السياسة وملف تعريف WLAN الذي تم إنشاؤه قبل ذلك.

تكوين ملف التعريف المرن

الخطوة 1.  من واجهة المستخدم الرسومية: انتقل إلى التكوين > علامات تمييز وملفات تعريف > Flex وانقر +إضافة لإنشاء واحد جديد.

ملاحظة: يشير معرف شبكة VLAN الأصلية إلى شبكة VLAN التي تستخدمها نقاط الوصول (APs) التي يمكنها تعيين ملف التعريف المرن هذا، ويجب أن يكون معرف شبكة VLAN نفسه الذي تم تكوينه كمعرف أصلي على منفذ المحول حيث يتم توصيل نقاط الوصول.

الخطوة 2. تحت علامة التبويب VLAN، أضف شبكات VLAN المطلوبة، أو تلك المعينة بشكل افتراضي إلى شبكة WLAN من خلال ملف تعريف سياسة، أو الشبكات التي تم دفعها بواسطة خادم RADIUS. ثم انقر فوق تحديث الجهاز وتطبيقه.

ملاحظة: بالنسبة لتوصيف النهج، عند تحديد شبكة VLAN الافتراضية المعينة إلى SSID. إذا كنت تستخدم اسم شبكة VLAN على تلك الخطوة، فتأكد من إستخدام اسم شبكة VLAN نفسه على تكوين ملف تعريف Flex، وإلا، فلن يتمكن العملاء من الاتصال بشبكة WLAN.

ملاحظة: لتكوين قائمة تحكم في الوصول (ACL) ل FlexConnect باستخدام تجاوز AAA، قم بتكوينها فقط على "قائمة التحكم في الوصول الخاصة بالسياسة"، إذا تم تعيين قائمة التحكم في الوصول إلى شبكة VLAN معينة، فقم بإضافة قائمة التحكم في الوصول (ACL) على عندما تقوم بإضافة شبكة VLAN ثم إضافة قائمة التحكم في الوصول (ACL) على "قائمة التحكم في الوصول الخاصة بالسياسة".

تكوين علامة الموقع

الخطوة 1. من واجهة المستخدم الرسومية (GUI): انتقل إلى التكوين > علامات تمييز وملفات تعريف > علامات تمييز > موقع وانقر +إضافة لإنشاء علامة موقع جديدة. قم بإلغاء تحديد المربع تمكين الموقع المحلي للسماح لنقاط الوصول بتحويل حركة مرور بيانات العميل محليا، وإضافة ملف تعريف Flex الذي تم إنشاؤه مسبقا.

ملاحظة: مع تعطيل تمكين الموقع المحلي، يمكن تكوين نقاط الوصول (AP) التي تحصل على علامة الموقع المخصصة هذه كوضع FlexConnect.

الخطوة 2. من واجهة المستخدم الرسومية (GUI): انتقل إلى تكوين > لاسلكي > نقاط الوصول > اسم نقطة الوصول لإضافة علامة الموقع وعلامة النهج إلى نقطة وصول مقترنة. قد يتسبب ذلك في أن تقوم نقطة الوصول بإعادة تشغيل نفق CAPWAP الخاص بها والانضمام مرة أخرى إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800.

ما إن يربط ال ap إلى الخلف، لاحظ أن ال ap الآن في FlexConnect أسلوب.

المصادقة المحلية مع خادم RADIUS الخارجي

الخطوة 1. أضف نقطة الوصول كجهاز شبكة إلى خادم RADIUS. على سبيل المثال، ارجع إلى كيفية إستخدام محرك خدمة الهوية (ISE) كخادم RADIUS

الخطوة 2. قم بإنشاء شبكة WLAN.

يمكن أن يكون التكوين هو نفسه الذي تم تكوينه مسبقا.

الخطوة 3. تكوين ملف تعريف السياسة.

يمكنك إما إنشاء واحد جديد أو إستخدام ما تم تكوينه مسبقا. هذه المرة، قم بإلغاء تحديد مربعات تمكين التحويل المركزي والمصادقة المركزية وDHCP المركزي والاقتران المركزي.

الخطوة 4. تكوين علامة النهج.

أربط شبكة WLAN التي تم تكوينها وملف تعريف السياسة الذي تم إنشاؤه.

الخطوة 5. تكوين ملف التعريف المرن.

قم بإنشاء ملف تخصيص مرن، انتقل إلى علامة التبويب المصادقة المحلية، وقم بتكوين مجموعة خوادم RADIUS وحدد مربع RADIUS.

الخطوة 6. تكوين علامة الموقع.

قم بتكوين ملف تعريف Flex الذي تم تكوينه في الخطوة 5، وقم بإلغاء تحديد مربع تمكين الموقع المحلي.

التحقق من الصحة

المصادقة المركزية:

المصادقة المحلية:

 يمكنك استخدام هذه الأوامر للتحقق من التكوين الحالي:

من واجهة سطر الأوامر:

# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>  

استكشاف الأخطاء وإصلاحها

يوفر WLC 9800 إمكانيات التتبع الدائمة. وهذا يضمن تسجيل جميع الأخطاء المتعلقة باتصال العميل والتحذيرات ورسائل مستوى الإشعار بشكل مستمر، كما يمكنك عرض السجلات الخاصة بحادثة أو حالة فشل بعد حدوثها. 

ملاحظة: استنادا إلى حجم السجلات التي تم إنشاؤها، يمكنك الرجوع بضع ساعات إلى عدة أيام.

لعرض المسارات التي تم تجميعها بواسطة 9800 WLC بشكل افتراضي، يمكنك الاتصال عبر SSH/Telnet ب 9800 WLC والانتقال عبر هذه الخطوات (تأكد من تسجيل الجلسة إلى ملف نصي).

الخطوة 1. تحقق من الوقت الحالي لوحدة التحكم حتى يمكنك تعقب السجلات في الوقت السابق إلى عندما حدثت المشكلة.

من واجهة سطر الأوامر:

# show clock

الخطوة 2. قم بتجميع syslog من المخزن المؤقت لوحدة التحكم أو syslog الخارجية كما هو محدد بواسطة تكوين النظام. يوفر ذلك طريقة عرض سريعة لصحة النظام والأخطاء إن وجدت.

من واجهة سطر الأوامر:

# show logging

الخطوة 3. تحقق من تمكين أي شروط لتصحيح الأخطاء.

من واجهة سطر الأوامر:

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

ملاحظة: إذا عثرت على أي شرط مسرود، فهذا يعني أن التتبع يتم تسجيله إلى مستوى تصحيح الأخطاء لجميع العمليات التي تواجه الشروط الممكنة (عنوان MAC وعنوان IP وما إلى ذلك). وهذا من شأنه أن يزيد من حجم السجلات. لذلك، يُوصى بمسح جميع الشروط عند عدم التصحيح النشط

الخطوة 4. إذا كنت تفترض أن عنوان MAC تحت الاختبار لم يتم إدراجه كشرط في الخطوة 3، قم بتجميع آثار مستوى الإشعار الموجودة دائما لعنوان MAC المحدد.

من واجهة سطر الأوامر:

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

يمكنك إما عرض المحتوى على الجلسة أو يمكنك نسخ الملف إلى خادم TFTP خارجي.

من واجهة سطر الأوامر:

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

تصحيح الأخطاء الشرطي والتتبع النشط للراديو 

إذا لم تمنحك المسارات الدائمة معلومات كافية لتحديد مشغل المشكلة قيد التحقيق، يمكنك تمكين تصحيح الأخطاء المشروط والتقاط تتبع Radio Active (RA)، والذي يمكن أن يوفر تتبع مستوى تصحيح الأخطاء لجميع العمليات التي تتفاعل مع الشرط المحدد (عنوان MAC للعميل في هذه الحالة). لتمكين تصحيح الأخطاء المشروط، انتقل إلى هذه الخطوات.

الخطوة 5. تأكد من عدم تمكين شروط تصحيح الأخطاء.

من واجهة سطر الأوامر:

# clear platform condition all

الخطوة 6. قم بتمكين شرط التصحيح لعنوان MAC اللاسلكي الخاص بالعميل الذي تريد مراقبته.

يبدأ هذا الأمر في مراقبة عنوان MAC المتوفر لمدة 30 دقيقة (1800 ثانية). يمكنك زيادة هذا الوقت اختياريًا حتى 2085978494 ثانية.

من واجهة سطر الأوامر:

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

ملاحظة: لمراقبة أكثر من عميل واحد في كل مرة، قم بتشغيل الأمر debug wireless mac <aaa.bbbb.cccc> لكل عنوان MAC.

ملاحظة: لا ترى إخراج نشاط العميل على جلسة العمل الطرفية، حيث يتم تخزين كل شيء مؤقتا داخليا لعرضه لاحقا.

الخطوة 7. إعادة إظهار المشكلة أو السلوك الذي تريد مراقبته.

الخطوة 8. إيقاف عمليات التصحيح إذا ظهرت المشكلة مرة أخرى قبل انتهاء وقت المراقبة الافتراضية أو المكونة.

من واجهة سطر الأوامر:

# no debug wireless mac <aaaa.bbbb.cccc>

بمجرد انقضاء وقت المراقبة أو توقف التصحيح اللاسلكي، ينشئ WLC 9800 ملفًا محليًا باسم:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

الخطوة 9. قم بتجميع ملف نشاط عنوان MAC. يمكنك إما نسخ سجل التتبع ra .log إلى خادم خارجي أو عرض المخرجات مباشرة على الشاشة.

التحقق من اسم ملف تتبع مسار RA

من واجهة سطر الأوامر:

# dir bootflash: | inc ra_trace

نسخ الملف إلى خادم خارجي:

من واجهة سطر الأوامر:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

 عرض المحتوى:

من واجهة سطر الأوامر:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

الخطوة 10. إذا كان السبب الجذري لا يزال غير واضح، فقم بتجميع السجلات الداخلية التي تعد طريقة عرض أكثر تفصيلاً لسجلات مستوى تصحيح الأخطاء. لا تحتاج إلى تصحيح أخطاء العميل مرة أخرى لأنك قمت بإلقاء نظرة تفصيلية على سجلات تصحيح الأخطاء التي تم تجميعها وتخزينها داخليا بالفعل.

من واجهة سطر الأوامر:

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

ملاحظة: تُرجع مخرجات الأمر هذه مسارات تتبع لجميع مستويات التسجيل لجميع العمليات وهي ضخمة جدًا. يُرجى إشراك Cisco TAC للمساعدة في تحليل مسارات التتبع هذه.

يمكنك إما نسخ RA-internal-FILEName.txt إلى خادم خارجي أو عرض المخرج مباشرة على الشاشة.

نسخ الملف إلى خادم خارجي:

من واجهة سطر الأوامر:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

عرض المحتوى:

من واجهة سطر الأوامر:

# more bootflash:ra-internal-<FILENAME>.txt

 الخطوة 11. إزالة شروط التصحيح.

من واجهة سطر الأوامر:

# clear platform condition all

ملاحظة: تأكد من إزالة شروط التصحيح دائمًا بعد جلسة استكشاف الأخطاء وإصلاحها.