In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Einrichtung eines WLAN mit 802.1X-Sicherheit auf einem Cisco Catalyst Wireless Controller der Serie 9800 beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
GUI:
Schritt 1: Deklarieren des RADIUS-Servers Navigieren Sie zu Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add
, und geben Sie die RADIUS-Serverinformationen ein.
Stellen Sie sicher, dass Support für CoA aktiviert ist, wenn Sie beabsichtigen, Central Web Authentication (oder andere Sicherheitsfunktionen, die eine Autorisierungsänderung erfordern) in Zukunft zu verwenden.
Schritt 2: Hinzufügen des RADIUS-Servers zu einer RADIUS-Gruppe Navigieren Sie zu Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add.
Geben Sie einen Namen für Ihre Gruppe ein, und verschieben Sie den zuvor in der Liste der Assigned Servers.
Schritt 3: Erstellen einer Liste von Authentifizierungsmethoden Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authentication > + Add.
Geben Sie die Informationen ein:
CLI:
# config t # aaa new-model # radius server <radius-server-name> # address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813 # timeout 300 # retransmit 3 # key <shared-key> # exit # aaa group server radius <radius-grp-name> # server name <radius-server-name> # exit
# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>
# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>
Hinweis zur AAA Dead-Server-Erkennung
Nachdem Sie den RADIUS-Server konfiguriert haben, können Sie überprüfen, ob er als "ALIVE" gilt:
#show aaa servers | s WNCD
Platform State from WNCD (1) : current UP
Platform State from WNCD (2) : current UP
Platform State from WNCD (3) : current UP
Platform State from WNCD (4) : current UP
...
Sie können die dead criteria,
sowie die auf Ihrem WLC konfigurieren, insbesondere wenn Sie mehrere RADIUS-Server deadtime
verwenden.
#radius-server dead-criteria time 5 tries 3
#radius-server deadtime 5
Hinweis: Das dead criteria
ist das Kriterium, nach dem ein RADIUS-Server als ausgefallen markiert wird. Die Kommission wird um die Beantwortung folgender Fragen ersucht: 1. Ein Timeout (in Sekunden), das die Zeitspanne von dem Zeitpunkt, zu dem der Controller das letzte Mal ein gültiges Paket vom RADIUS-Server empfangen hat, bis zu dem Zeitpunkt, zu dem der Server als ausgefallen markiert ist, angibt. 2. Ein Zähler, der die Anzahl aufeinander folgender Zeitüberschreitungen angibt, die auf dem Controller auftreten müssen, bevor der RADIUS-Server als ausgefallen markiert wird.
Hinweis: Das deadtime
gibt an, wie lange (in Minuten) der Server im Status "Dead" verharrt, nachdem das Dead-Kriterium den Server als "Dead" markiert hat. Nach Ablauf der Deadtime markiert der Controller den Server als UP (ALIVE) und benachrichtigt die registrierten Clients über die Statusänderung. Ist der Server nach dem Status als UP noch nicht erreichbar und ist das Dead-Kriterium erfüllt, so wird der Server für das Deadtime-Intervall erneut als Dead markiert.
GUI:
Schritt 1: WLAN erstellen. Navigieren Sie zu Configuration > Wireless > WLANs > + Add, und konfigurieren Sie das Netzwerk nach Bedarf.
Schritt 2: Geben Sie die WLAN-Informationen ein
Schritt 3: Navigieren Sie zur Registerkarte Security (Sicherheit), und wählen Sie die erforderliche Sicherheitsmethode aus. In diesem Fall WPA2 + 802.1x.
Schritt 4: Wählen Sie auf der Security > AAA
Registerkarte die unter Schritt 3 erstellte Authentifizierungsmethode im Abschnitt AAA-Konfiguration auf dem 9800 WLC aus.
CLI:
# config t # wlan <profile-name> <wlan-id> <ssid-name> # security dot1x authentication-list <dot1x-list-name> # no shutdown
In einem Richtlinienprofil können Sie neben anderen Einstellungen (wie Zugriffskontrolllisten [ACLs], Quality of Service [QoS], Mobility Anchor, Timer usw.) festlegen, welchem VLAN die Clients zugewiesen werden sollen.
Sie können entweder Ihr Standardrichtlinienprofil verwenden oder ein neues Profil erstellen.
GUI:
Navigieren Sie zu Configuration > Tags & Profiles > Policy Profile, und konfigurieren Sie entweder Ihr Standard-Richtlinienprofil oder erstellen Sie ein neues.
Stellen Sie sicher, dass das Profil aktiviert ist.
Wenn sich Ihr Access Point (AP) im lokalen Modus befindet, stellen Sie außerdem sicher, dass im Richtlinienprofil Central Switching und Central Authentication aktiviert sind.
Wählen Sie auf der Registerkarte "Access Policies" (Zugriffsrichtlinien) das VLAN aus, dem die Clients zugewiesen werden müssen.
Wenn im Feld "Access-Accept" (Akzeptieren wie VLAN-Zuweisung) ISE-Rückgabeattribute vorhanden sein sollen, aktivieren Sie auf der Advanced
Registerkarte "AAA override" (AAA überschreiben):
CLI:
# config # wireless profile policy <policy-profile-name>
# aaa-override # central switching # description "<description>" # vlan <vlanID-or-VLAN_name> # no shutdown
Das Policy Tag (Richtlinien-Tag) dient zum Verknüpfen der SSID mit dem Richtlinienprofil. Sie können entweder ein neues Richtlinien-Tag erstellen oder das Standard-Richtlinien-Tag verwenden.
Hinweis: Das default-policy-Tag ordnet dem default-policy-Profil automatisch alle SSIDs mit einer WLAN-ID zwischen 1 und 16 zu. Sie kann weder geändert noch gelöscht werden. Wenn Sie über ein WLAN mit der ID 17 oder höher verfügen, kann das default-policy-tag nicht verwendet werden.
GUI:
Navigieren Sie zu, Configugation > Tags & Profiles > Tags > Policy
und fügen Sie ggf. ein neues hinzu.
Verknüpfen Sie Ihr WLAN-Profil mit dem gewünschten Richtlinienprofil.
CLI:
# config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name>
Weisen Sie den erforderlichen APs das Richtlinien-Tag zu.
GUI:
Um das Tag einem AP zuzuweisen, navigieren Sie zum Configuration > Wireless > Access Points > AP Name > General Tags,
Zuweisen des entsprechenden Policy Tags, und klicken Sie dann auf Update & Apply to Device.
Hinweis: Beachten Sie, dass bei einer Änderung des Richtlinien-Tags an einem Access Point dessen Verknüpfung mit dem 9800 WLC gelöscht wird und dieser dann einige Augenblicke später wieder hinzugefügt wird.
Um dieselbe Policy Tag mehreren APs zuzuweisen, navigieren Sie zu Configuration > Wireless Setup > Advanced > Start Now > Apply.
Wählen Sie die APs aus, denen Sie das Tag zuweisen möchten, und klicken Sie auf + Tag APs
Wählen Sie die entsprechenden Tags für Richtlinie, Standort und Funkumgebung aus, und klicken Sie auf Save
& Auf Gerät anwenden.
CLI:
# config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end
Schritt 1: Öffnen Sie die ISE-Konsole, und navigieren Sie Administration > Network Resources > Network Devices > Add
zu wie im Bild dargestellt.
Schritt 2: Konfigurieren des Netzwerkgeräts
Optional können ein angegebener Modellname, eine bestimmte Softwareversion, eine Beschreibung oder Gruppen von Netzwerkgeräten basierend auf Gerätetyp, Standort oder WLCs zugewiesen werden.
Die IP-Adresse entspricht dabei der WLC-Schnittstelle, die die Authentifizierungsanforderungen sendet. Standardmäßig ist dies die Management-Schnittstelle, wie im Bild gezeigt:
Weitere Informationen Network Device Groups
finden Sie im Kapitel "Manage Network Devices from the Cisco Identity Services Engine Administrator Guide, Release 2.0: Network Device Groups" (Netzwerkgerätegruppen).
Schritt 1: Navigieren Sie Administration > Identity Management > Identities > Users > Add
wie im Bild dargestellt zu:
Schritt 2: Geben Sie die Informationen für den Benutzer ein. In diesem Beispiel gehört dieser Benutzer zu einer Gruppe namens ALL_ACCOUNTS, die jedoch nach Bedarf angepasst werden kann, wie in der Abbildung dargestellt:
Der Authorization Profile
besteht aus einer Reihe von Attributen, die zurückgegeben werden, wenn eine Bedingung zugeordnet wird. Das Autorisierungsprofil bestimmt, ob der Client Zugriff auf das Netzwerk hat oder nicht, ob Push-Zugriffskontrolllisten (ACLs), VLAN-Außerkraftsetzung oder andere Parameter verwendet werden. Das in diesem Beispiel gezeigte Autorisierungsprofil sendet eine Zugriffsbestätigung für den Client und weist den Client VLAN 1416 zu.
Schritt 1: Navigieren Sie zu, Policy > Policy Elements > Results > Authorization > Authorization Profiles
und klicken Sie auf die Add
Schaltfläche.
Schritt 2: Geben Sie die im Bild angezeigten Werte ein. An dieser Stelle können AAA-Überschreibungsattribute wie z. B. VLAN zurückgegeben werden. Der WLC 9800 akzeptiert die Tunnelattribute 64, 65, 81, die die VLAN-ID oder den Namen verwenden, sowie die Verwendung des AirSpace-Interface-Name
Attributs.
Ein Richtliniensatz definiert eine Sammlung von Authentifizierungs- und Autorisierungsregeln. Um eine Policy zu erstellen, gehen Sie zu Policy > Policy Sets
, klicken Sie auf das Zahnrad des ersten Policy Set in der Liste und wählen Sie Insert new row above
, wie in diesem Bild gezeigt:
Konfigurieren Sie einen Namen, und erstellen Sie eine Bedingung für diesen Policy Set. In diesem Beispiel gibt die Bedingung an, dass der vom WLC kommende Datenverkehr übereinstimmt:
Radius:NAS-IP-Address EQUALS X.X.X.X // X.X.X.X is the WLC IP address
Vergewissern Sie sich, dass Default Network Access
unter ausgewählt Allowed Protocols / Server Sequence
ist.
Um Authentifizierungs- und Autorisierungsrichtlinien zu konfigurieren, müssen Sie die Policy Set-Konfiguration eingeben. Dies ist möglich, wenn Sie rechts neben der Policy Set
Zeile auf den blauen Pfeil klicken:
Authentifizierungsrichtlinien werden verwendet, um zu überprüfen, ob die Anmeldeinformationen der Benutzer korrekt sind (überprüfen Sie, ob der Benutzer wirklich der ist, für den er sich ausgibt). Konfigurieren Authenticaton Policy,
Sie unter eine Authentifizierungsrichtlinie erstellen die Richtlinie wie in diesem Bild dargestellt. Die Bedingung für die in diesem Beispiel verwendete Richtlinie ist:
RADIUS:Called-Station-ID ENDS_WITH
//
is the SSID of your WLAN
Wählen Sie außerdem auf der Use
Registerkarte dieser Authentifizierungsrichtlinie die Option Interne Benutzer aus.
Wechseln Sie auf derselben Seite zu, Authorization Policy
und erstellen Sie eine neue. Bedingung für diese Autorisierungsrichtlinie ist:
RADIUS:Called-Station-ID ENDS_WITH
//
is the SSID of your WLAN
Wählen Sie auf der Result > Profiles
Registerkarte dieser Richtlinie die aus, die Sie zuvor erstellt Authorization Profile
haben. Dadurch sendet die ISE die richtigen Attribute an den WLC, wenn der Benutzer authentifiziert wird.
Zu diesem Zeitpunkt ist die gesamte Konfiguration für den WLC und die ISE abgeschlossen. Sie können nun versuchen, eine Verbindung mit einem Client herzustellen.
Weitere Informationen zu Richtlinien für ISE-Protokolle zulassen finden Sie im Kapitel Verwalten von Authentifizierungsrichtlinien im Cisco Identity Services Engine-Administratorhandbuch, Version 2.0: Verwalten von Authentifizierungsrichtlinien.
Weitere Informationen zu ISE Identity Sources finden Sie im Kapitel "Manage Users and External Identity Sources" (Verwalten von Benutzern und externen Identitätsquellen) im Cisco Identity Services Engine Administrator Guide, Release 2.0: Identity Sources (ISE-Identitätsquellen).
Mit diesen Befehlen können Sie Ihre aktuelle Konfiguration überprüfen:
# show run wlan // WLAN configuration # show run aaa // AAA configuration (server, server group, methods) # show aaa servers // Configured AAA servers # show ap config general // AP's configurations # show ap name <ap-name> config general // Detailed configuration of specific AP
# show ap tag summary // Tag information for AP'S
# show wlan { summary | id | name | all } // WLAN details
# show wireless tag policy detailed <policy-tag name> // Detailed information on given policy tag
# show wireless profile policy detailed <policy-profile name>// Detailed information on given policy profile
Der WLC 9800 bietet IMMER-EIN-Ablaufverfolgungsfunktionen. So wird sichergestellt, dass alle verbindungsbezogenen Fehler, Warnungen und Benachrichtigungen auf Client-Ebene ständig protokolliert werden und Sie nach einem Vorfall oder Fehler Protokolle anzeigen können.
Es hängt von der Menge der generierten Protokolle ab, aber in der Regel können Sie ein paar Stunden bis mehrere Tage zurückgehen.
Um die Traces anzuzeigen, die 9800 WLC standardmäßig gesammelt hat, können Sie per SSH/Telnet eine Verbindung zum 9800 WLC herstellen und folgende Schritte ausführen: (Stellen Sie sicher, dass Sie die Sitzung in einer Textdatei protokollieren).
Schritt 1: Überprüfen Sie die aktuelle WLC-Zeit, damit Sie die Protokolle bis zum Zeitpunkt des Problems nachverfolgen können.
# show clock
Schritt 2: Sammeln Sie die Syslogs aus dem WLC-Puffer oder dem externen Syslog, je nach Systemkonfiguration. Dadurch erhalten Sie einen schnellen Überblick über den Systemzustand und eventuelle Fehler.
# show logging
Schritt 3: Überprüfen Sie, ob Debug-Bedingungen aktiviert sind.
# show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
Hinweis: Wenn eine Bedingung aufgelistet wird, bedeutet dies, dass die Ablaufverfolgungen für alle Prozesse, bei denen die aktivierten Bedingungen auftreten (MAC-Adresse, IP-Adresse usw.) protokolliert werden. Dadurch erhöht sich die Anzahl der Protokolle. Daher wird empfohlen, alle Bedingungen zu löschen, wenn gerade kein Debugging aktiv ist.
Schritt 4: Angenommen, die zu testende MAC-Adresse wurde in Schritt 3 nicht als Bedingung aufgeführt. Sammeln Sie die Nachverfolgungen auf permanenter Benachrichtigungsebene für die spezifische MAC-Adresse:
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Sie können entweder den Inhalt der Sitzung anzeigen oder die Datei auf einen externen TFTP-Server kopieren:
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Bedingtes Debugging und Radio Active Tracing
Wenn die stets verfügbaren Ablaufverfolgungen nicht genügend Informationen bereitstellen, um den Auslöser für das zu untersuchende Problem zu ermitteln, können Sie das bedingte Debuggen aktivieren und die Radio Active (RA)-Ablaufverfolgung erfassen, die Ablaufverfolgungen auf Debugebene für alle Prozesse bereitstellt, die mit der angegebenen Bedingung interagieren (in diesem Fall Client-MAC-Adresse). Dies ist über die grafische Benutzeroberfläche (GUI) oder die CLI möglich.
CLI:
Führen Sie folgende Schritte aus, um das bedingte Debuggen zu aktivieren:
Schritt 5: Stellen Sie sicher, dass keine Debugbedingungen aktiviert sind.
# clear platform condition all
Schritt 6: Aktivieren Sie die Debug-Bedingung für die MAC-Adresse des Wireless-Clients, die Sie überwachen möchten.
Mit diesem Befehl wird die angegebene MAC-Adresse 30 Minuten (1800 Sekunden) lang überwacht. Sie können diese Zeit optional auf bis zu 2085978494 Sekunden erhöhen.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Hinweis: Um mehr als einen Client gleichzeitig zu überwachen, führen Sie den Befehl „debug wireless mac <aaaa.bbbb.cccc>“ für jede MAC-Adresse aus.
Hinweis: Die Ausgabe der Client-Aktivität in einer Terminal-Sitzung wird nicht angezeigt, da alles intern gepuffert wird, um später angezeigt zu werden.
Schritt 7. Reproduzieren Sie das Problem oder Verhalten, das Sie überwachen möchten.
Schritt 8: Beenden Sie die Fehlersuche, wenn das Problem erneut auftritt, bevor die standardmäßige oder konfigurierte Überwachungszeit abläuft.
# no debug wireless mac <aaaa.bbbb.cccc>
Sobald die Monitoring-Zeit abgelaufen ist oder das Wireless-Debugging beendet wurde, generiert der 9800 WLC eine lokale Datei mit dem Namen:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Schritt 9. Rufen Sie die Datei mit der MAC-Adressaktivität ab. Sie können entweder die Datei ra trace.log auf einen externen Server kopieren oder die Ausgabe direkt auf dem Bildschirm anzeigen.
Überprüfen Sie den Namen der RA-Tracing-Datei:
# dir bootflash: | inc ra_trace
Datei auf externen Server kopieren:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Inhalt anzeigen:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Schritt 10. Wenn die Ursache immer noch nicht offensichtlich ist, sammeln Sie die internen Protokolle, die eine ausführlichere Ansicht der Protokolle auf Debugebene darstellen. Sie müssen den Client nicht erneut debuggen, da wir uns eingehender mit Debug-Protokollen befassen, die bereits gesammelt und intern gespeichert wurden.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Hinweis: Diese Befehlsausgabe gibt Ablaufverfolgungen für alle Protokollstufen für alle Prozesse zurück und ist sehr umfangreich. Wenden Sie sich an das Cisco TAC, um diese Nachverfolgungen zu analysieren.
Sie können entweder die Datei „ra-internal-FILENAME.txt“ auf einen externen Server kopieren oder die Ausgabe direkt auf dem Bildschirm anzeigen.
Datei auf externen Server kopieren:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Inhalt anzeigen:
# more bootflash:ra-internal-<FILENAME>.txt
Schritt 11. Entfernen Sie die Debug-Bedingungen.
# clear platform condition all
Hinweis: Stellen Sie sicher, dass Sie die Debugbedingungen immer nach einer Fehlerbehebungssitzung entfernen.
GUI:
Schritt 1: Gehen Sie zu Troubleshooting > Radioactive Trace > + Add
, und geben Sie die MAC/IP-Adresse des Clients an, bei dem Sie eine Fehlerbehebung durchführen möchten.
Schritt 2: Klicken Sie auf Start.
Schritt 3: Reproduzieren des Problems
Schritt 4: Klicken Sie auf Beenden.
Schritt 5: Klicken Sie auf die Generate
Schaltfläche, wählen Sie das Zeitintervall aus, für das Sie die Protokolle abrufen möchten, und klicken Sie auf Apply to Device. In this example, the logs for the last 10 minutes are requested.
Schritt 6: Laden Sie den Radioactive Trace auf Ihren Computer herunter und klicken Sie auf die Download-Schaltfläche, und überprüfen Sie ihn.
Wenn Probleme mit der Client-Authentifizierung auftreten, können Sie die Protokolle auf dem ISE-Server überprüfen. Gehen Sie zu Operations > RADIUS > Live Logs
, und Sie sehen die Liste der Authentifizierungsanforderungen, den zugewiesenen Policy Set, das Ergebnis für jede Anforderung usw. Weitere Details erhalten Sie, wenn Sie auf die Lupe unter der Details
Registerkarte jeder Zeile klicken, wie im Bild gezeigt:
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
3.0 |
20-Sep-2022 |
Softwareversionen wurden verlängert und ein Abschnitt zu RADIUS-Timern hinzugefügt. |
1.0 |
21-Nov-2018 |
Erstveröffentlichung |