المقدمة
يصف هذا وثيقة مثال تشكيل أساسي على كيف أن يتلاقى شبكة نقطة وصول (AP) إلى المادة حفازة 9800 لاسلكي lan جهاز تحكم (WLC)
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- نموذج تكوين Catalyst Wireless 9800
- تشكيل ال{upper}lap
- التحكم في نقاط الوصول اللاسلكية وتوفيرها (CAPWAP)
- تكوين خادم DHCP خارجي
- تكوين محولات Cisco
المكونات المستخدمة
يستخدم هذا المثال نقطة وصول في الوضع Lightweight (1572AP و 1542) يمكن تكوينها إما كنقطة وصول في الوضع Root (RAP) أو نقطة وصول في الشبكة العنكبوتية (MAP) للانضمام إلى وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) طراز Catalyst 9800. الإجراء مطابق لنقاط الوصول 1542 أو 1562. يتم توصيل RAP ب Catalyst 9800 WLC من خلال محول Cisco Catalyst Switch.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- C9800-CL الإصدار 16.12.1
- محول الطبقة 2 من Cisco
- نقاط الوصول الخارجية خفيفة الوزن للسلسلة Cisco Aironet 1572 Series لقسم الجسر
- Cisco Aironet 1542 لقسم Flex+Bridge
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
دراسة الحالة 1: وضع الجسر
التكوينات
يجب مصادقة نقطة وصول الشبكة العنكبوتية لتضم إلى وحدة التحكم 9800. تأخذ دراسة الحالة هذه بعين الاعتبار أن أنت تنضم إلى نقطة الوصول في الوضع المحلي أولا إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ثم تقوم بتحويلها إلى وضع شبكة Bridge (a.k.a).
لتجنب تعيين ملفات تعريف ربط AP، أستخدم هذا المثال ولكن قم بتكوين أسلوب تنزيل بيانات اعتماد اعتماد اعتماد AAA الافتراضي بحيث يتم السماح لأي نقطة وصول شبكة بالانضمام إلى وحدة التحكم.
الخطوة 1: تكوين عناوين MAC ل RAP/MAP تحت مصادقة الجهاز.
انتقل إلى التكوين > AAA > AAA متقدم > مصادقة الجهاز .
أضفت القاعدة إثرنيت {upper}mac address من الشبكة نقاط الوصول، أضفت هو دون أي رمز خاص، دون '.' أو ':'
هام: اعتبارا من الإصدار 17.3.1، إذا تمت إضافة أي من محددات عناوين MAC مثل '.'، ':' أو '-'، لا يمكن لنقطة الوصول الانضمام. هناك حاليا 2 تحسين فتح ل هذا: cisco بق id CSCvv43870 و cisco بق id CSCvr07920. في المستقبل، يقبل 9800 كل تنسيقات عناوين MAC.
الخطوة 2: تكوين قائمة طرق المصادقة والتخويل.
انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA > المصادقة وإنشاء قائمة طرق المصادقة وقائمة طرق التخويل.
الخطوة 3: تكوين معلمات الشبكة العمومية.
انتقل إلى Configuration> Mesh> Global parameters. في البداية، يمكننا الحفاظ على هذه القيم إلى حالة التقصير.
الخطوة 4: إنشاء ملف تخصيص شبكة جديد تحت التكوين > شبكة > ملف تخصيص > +إضافة
انقر ملف تخصيص الشبكة الذي تم إنشائه لتحرير الإعدادات العامة والمتقدمة لملف تخصيص الشبكة.
في الرسم التخطيطي كما هو موضح، نحتاج إلى تخطيط ملف تعريف المصادقة والتفويض الذي تم إنشاؤه من قبل على محول الشبكة العنكبوتية
الخطوة 5: إنشاء ملف تعريف ربط AP جديد. انتقل إلى تكوين > علامات وتوصيفات: وصل AP.
تطبيق ملف تعريف الشبكة الذي تم تكوينه مسبقا وتكوين مصادقة AP EAP:
الخطوة 6: إنشاء علامة موقع شبكة كما هو موضح.
انقر على علامة موقع الشبكة التي تم إنشائها في الخطوة 6 لتكوينها.
احصل على علامة تبويب الموقع وطبق ملف تعريف ربط نقطة الوصول للشبكة المعشقة الذي تم تكوينه مسبقا عليه:
الخطوة 7. تحويل نقطة الوصول إلى وضع الجسر.
تستطيع أن تطلب ذلك من نقطة الولوج عن طريق CLI :
capwap ap mode bridge
تقوم نقطة الوصول بإعادة التشغيل والانضمام للخلف كوضع جسر.
الخطوة 8. يمكنك الآن تحديد دور نقطة الوصول: إما نقطة الوصول الجذر أو نقطة الوصول إلى الشبكة العنكبوتية.
نقطة الوصول الجذر هي تلك التي تحتوي على اتصال سلكي بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بينما تنضم نقطة الوصول من الشبكة المعشقة إلى وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) من خلال الراديو الخاص بها الذي يحاول الاتصال بنقطة وصول (AP) أساسية.
يمكن لنقطة الوصول للشبكة المعشقة الانضمام إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) عبر الواجهة السلكية الخاصة به بمجرد فشلها في العثور على نقطة وصول أساسية عبر الراديو الخاص بها، لأغراض التوفير.
لا تنس أن يعين الشنطة أهلي طبيعي VLAN في ال ap عملية إعداد في حالة هو مختلف من التقصير VLAN 1
التحقق من الصحة
aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
method authentication Mesh_Authentication
method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site Mesh_AP_Tag
ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile Mesh_Profile
استكشاف الأخطاء وإصلاحها
في أستكشاف الأخطاء وإصلاحها > صفحة واجهة مستخدم ويب التتبع المشع، انقر فوق إضافة وأدخل عنوان MAC لنقطة الوصول.
انقر فوق بدء وانتظر نقطة الوصول لمحاولة الانضمام إلى وحدة التحكم مرة أخرى.
بمجرد الانتهاء، انقر فوق إنشاء واختر فترة زمنية لجمع السجلات (آخر 10 أو 30 دقيقة على سبيل المثال).
انقر فوق اسم ملف التتبع لتنزيله من المستعرض الخاص بك.
هنا مثال على AP لم يتم انضمامه بسبب تعريف اسم طريقة تخويل AAA غير صحيح :
019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac
ويمكن ملاحظة نفس الشيء بسهولة أكبر في لوحة معلومات واجهة المستخدم الخاصة بالويب عند النقر فوق نقاط الوصول (APs) غير المرتبطة. يقصد ب "مصادقة نقطة الوصول المعلقة" التلميح الذي يشير إلى مصادقة نقطة الوصول نفسها:
دراسة الحالة 2: Flex + Bridge
يسلط هذا القسم الضوء على عملية الانضمام لنقطة الوصول 1542 في وضع Flex+Bridge مع مصادقة EAP التي يتم تنفيذها محليا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
التكوين
- الخطوة 1. انتقل إلى التكوين > الأمان > AAA>متقدم AAA > مصادقة الجهاز
- الخطوة 2. حدد مصادقة الجهاز وحدد إضافة
- الخطوة 3. اكتب في عنوان MAC الخاص بالإيثرنت الأساسي لنقطة الوصول للانضمام إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، واترك اسم قائمة السمات فارغا، وحدد تطبيق على الجهاز
- الخطوة 4. انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA >المصادقة
- الخطوة 5. حدد إضافة، تظهر مصادقة AAA المنبثقة
- الخطوة 6. اكتب في اسم في اسم قائمة الطرق، ثم حدد 802.1x من النوع* المنسدل والمحلي ل نوع المجموعة، وأخيرا حدد تطبيق على الجهاز
- الخطوة 6b. في حالة انضمام نقاط الوصول (AP) الخاصة بك إلى الوضع Bridge ولم يتم تعيين علامة موقع ونهج لها من قبل، فكرر الخطوة 6 ولكن للطريقة الافتراضية.
- تكوين طريقة مصادقة dot1x aaa التي تشير إلى محلي (مصادقة CLI AAA dot1x الافتراضي محلي)
- الخطوة 7. انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA >التفويض
- الخطوة 8. حدد إضافة، تظهر الشاشة المنبثقة تفويض AAA
- الخطوة 9. اكتب في اسم في اسم قائمة الطرق، وحدد التنزيل الأصلي من النوع* المنسدل والمحلي ل نوع المجموعة، وحدد أخيرا تطبيق على الجهاز
- الخطوة 9 ب. في حالة انضمام نقطة الوصول مباشرة إلى وضع الجسر (أي أنها لا تنضم إلى الوضع المحلي أولا)، فكرر الخطوة 9 للطريقة الافتراضية لتنزيل بيانات الاعتماد (مسوغات تفويض CLI AAA - تنزيل الوضع المحلي الافتراضي)
- الخطوة 10. انتقل إلى التكوين > لاسلكي > الشبكة > التوصيفات
- الخطوة 11. حدد إضافة، يظهر إضافة ملف تخصيص شبكة
- الخطوة 12. في صفحة العامة قم بضبط اسم ووصف لملف تخصيص الشبكة
- الخطوة 13. تحت علامة التبويب خيارات متقدمة حدد EAP لحقل الطريقة
- الخطوة 14. حدد ملف تعريف المصادقة والتفويض المعرف في الخطوات 6 و 9، وحدد تطبيق على الجهاز
- الخطوة 15. انتقل إلى التكوين > العلامة وملفات التعريف > ربط نقطة الوصول >ملف التعريف
- الخطوة 16. حدد إضافة، يظهر ملف تعريف ربط نقطة الوصول، قم بتعيين اسم ووصف لملف تعريف ربط نقطة الوصول
- الخطوة 17. انتقل إلى علامة التبويب AP وحدد ملف تخصيص الشبكة الذي تم إنشاؤه في الخطوة 12 من القائمة المنسدلة اسم ملف تخصيص الشبكة
- الخطوة 18. تأكد من تعيين EAP-FAST وCAPWAP DTLS للحقلين نوع EAP ونوع تخويل AP على التوالي
- استو 19. حدد تطبيق على الجهاز
- الخطوة 20. انتقل إلى التكوين > العلامة وملفات التعريف > العلامات > الموقع
- الخطوة 21. حدد إضافة، تظهر علامة الموقع
- الخطوة 22. كتابة اسم ووصف لعلامة الموقع
- الخطوة 23. حدد ملف تعريف ربط نقطة الوصول الذي تم إنشاؤه في الخطوة 16 من القائمة المنسدلة ملف تعريف ربط نقطة الوصول
- الخطوة 24. في أسفل علامة الموقع المنبثقة قم بإلغاء تحديد خانة الاختيار تمكين الموقع المحلي لتمكين القائمة المنسدلة ملف تعريف Flex.
- الخطوة 35. من القائمة المنسدلة لملف تعريف Flex، حدد ملف تخصيص Flex الذي تريد إستخدامه لنقطة الوصول
- الخطوة 36. قم بتوصيل نقطة الوصول بالشبكة وتأكد من وجود نقطة الوصول في الوضع المحلي.
- الخطوة 37. للتأكد من أن نقطة الوصول في الوضع المحلي، قم بإصدار الأمر capwap ap mode local.
يجب أن يكون لنقطة الوصول طريقة للعثور على وحدة التحكم، إما بث L2، أو خيار DHCP رقم 43، أو دقة DNS أو الإعداد اليدوي.
- الخطوة 38. تنضم نقطة الوصول إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، فتأكد من سردها ضمن قائمة نقطة الوصول (AP)، انتقل إلى التكوين > لاسلكي > نقاط الوصول>جميع نقاط الوصول
- الخطوة 39. حدد نقطة الوصول، تظهر نقطة الوصول المنبثقة.
- الخطوة 40. حدد علامة تمييز الموقع المنشأة في الخطوة 22 تحت عام > علامات التمييز > علامة تبويب الموقع ضمن نقطة الوصول المنبثقة، حدد تحديث وتطبيق على الجهاز
- الخطوة 41. تقوم نقطة الوصول بإعادة التمهيد ويجب أن تنضم إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في وضع Flex + Bridge
لاحظ أن هذا الأسلوب يتلاقى ال ap أولا في أسلوب محلي (حيث لا يطبق هو dot1x صحة هوية) أن يطبق ال موقع بطاقة مع الشبكة أسلوب أسلوب، وبعد ذلك يحول ال ap إلى جسر أسلوب.
للانضمام إلى نقطة وصول عالقة في وضع Bridge (أو Flex+Bridge)، قم بتكوين الطرق الافتراضية (نقطة مصادقة AAA1x المحلية الافتراضية وتفويض AAA cred default local).
عندئذ يمكن لنقطة الوصول أن تصادق ويمكنك تعيين العلامات بعد ذلك.
التحقق من الصحة
تأكد من إظهار وضع نقطة الوصول على هيئة Flex + Bridge كما هو موضح في هذه الصورة.
ركضت هذا أمر من WLC 9800 CLI وبحثت عن ال ap أسلوب سمة. يجب أن يتم إدراجه على أنه Flex+Bridge
aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site meshsite
ap-profile meshapjoin
no local-site
ap profile meshapjoin
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile mesh-profile
استكشاف الأخطاء وإصلاحها
تأكد من وجود مصادقة AAA dot1x المحلية الافتراضية وتفويض AAA المحلي الافتراضي. تكون هناك حاجة إليها إذا لم تكن نقطة الوصول الخاصة بك متصلة مسبقا في الوضع المحلي.
تحتوي لوحة المعلومات 9800 الرئيسية على عنصر واجهة مستخدم يعرض نقاط الوصول غير القادرة على الانضمام. انقر عليه للحصول على قائمة بنقاط الوصول التي تفشل في الانضمام :
انقر على نقطة الوصول المحددة للاطلاع على سبب عدم انضمامها. في هذه الحالة، نرى مشكلة مصادقة (مصادقة نقطة الوصول معلقة) لأن علامة الموقع لم يتم تعيينها إلى نقطة الوصول.
لذلك لم ينتقي ال 9800 طريقة المصادقة/التخويل المسماة لمصادقة ال AP :
لاستكشاف الأخطاء وإصلاحها بشكل أكثر تقدما، انتقل إلى صفحة أستكشاف الأخطاء وإصلاحها > التتبع المشع في واجهة مستخدم الويب.
إن يدخل أنت ال ap {upper}mac address، أنت يستطيع فورا ولدت مبرد أن يحصل ال دائما سجل (على إشعار مستوى) من ال ap أن يحاول أن يتلاقى.
انقر فوق بدء لتمكين تصحيح الأخطاء المتقدم لعنوان MAC هذا. في المرة التالية التي يتم فيها إنشاء السجلات، قم بإنشاء السجلات والسجلات على مستوى تصحيح الأخطاء الخاصة بوصلة AP الموضحة.