Einleitung
In diesem Dokument wird ein einfaches Konfigurationsbeispiel zum Verbinden eines Mesh-Access Points (AP) mit dem Catalyst 9800 Wireless LAN Controller (WLC) beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Catalyst Wireless 9800-Konfigurationsmodell
- Konfiguration von LAPs
- Steuerung und Bereitstellung von Wireless Access Points (CAPWAP)
- Konfiguration eines externen DHCP-Servers
- Konfiguration der Cisco Switches
Verwendete Komponenten
In diesem Beispiel wird ein Lightweight Access Point (1572AP und 1542) verwendet, der entweder als Root AP (RAP) oder Mesh AP (MAP) für den Anschluss an den Catalyst 9800 WLC konfiguriert werden kann. Die Vorgehensweise ist für Access Points der Serie 1542 oder 1562 identisch. Der RAP ist über einen Cisco Catalyst Switch mit dem Catalyst 9800 WLC verbunden.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- C9800-CL v16.12.1
- Cisco Layer-2-Switch
- Cisco Aironet Lightweight Outdoor Access Points der Serie 1572 für den Bridge-Bereich
- Cisco Aironet 1542 für den Bereich Flex+Bridge
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konfigurieren
Anwenderbericht 1: Bridge-Modus
Konfigurationen
Ein Mesh-AP muss authentifiziert werden, damit er dem 9800-Controller beitreten kann. In dieser Fallstudie wird berücksichtigt, dass Sie den Access Point im lokalen Modus zuerst dem WLC beitreten und ihn dann in den Bridge (alias) Mesh-Modus umwandeln.
Um die Zuweisung von AP-Join-Profilen zu vermeiden, verwenden Sie dieses Beispiel, konfigurieren Sie jedoch die standardmäßige AAA-Methode zum Herunterladen von Autorisierungsanmeldeinformationen, sodass alle Mesh-APs dem Controller beitreten können.
Schritt 1: Konfigurieren Sie die RAP-/MAP-MAC-Adressen unter Device Authentication (Geräteauthentifizierung).
Gehen Sie zu Configuration > AAA > AAA Advanced > Device Authentication .
Fügen Sie die Base Ethernet-MAC-Adresse der Mesh Access Points hinzu, und fügen Sie sie ohne Sonderzeichen, ohne '.' oder ':' hinzu.
Wichtig: Ab Version 17.3.1 kann der Access Point nicht mehr beitreten, wenn MAC-Adressen-Trennzeichen wie '.', ':' oder '-' hinzugefügt werden. Derzeit sind zwei Erweiterungen in diesem Zusammenhang möglich: die Cisco Bug-ID CSCvv43870 und die Cisco Bug-ID CSCvr07920. In Zukunft werden alle MAC-Adressformate von 9800 akzeptiert.
Schritt 2: Konfigurieren Sie die Liste der Authentifizierungs- und Autorisierungsmethoden.
Gehen Sie zu Configuration > Security > AAA > AAA Method list > Authentication, und erstellen Sie die Liste mit Authentifizierungsmethoden und Autorisierungsmethoden.
Schritt 3: Konfigurieren der globalen Mesh-Parameter
Gehen Sie zu Konfiguration > Mesh> Globale Parameter. Zunächst können diese Werte auf die Standardwerte zurückgesetzt werden.
Schritt 4: Erstellen Sie ein neues Mesh-Profil unter Konfiguration > Mesh > Profil > +Hinzufügen
Klicken Sie auf das erstellte Mesh-Profil, um die allgemeinen und erweiterten Einstellungen für das Mesh-Profil zu bearbeiten.
Wie im Diagramm gezeigt, müssen wir das zuvor erstellte Authentifizierungs- und Autorisierungsprofil dem Mesh-Profil zuordnen.
Schritt 5: Erstellen eines neuen Zugangsprofils für den Access Point Gehen Sie zu Konfigurieren > Tags und Profile: AP Join.
Wenden Sie das zuvor konfigurierte Mesh-Profil an, und konfigurieren Sie die AP-EAP-Authentifizierung:
Schritt 6: Erstellen Sie eine Mesh-Standort-Tag wie abgebildet.
Konfigurieren Klicken Sie auf das in Schritt 6 erstellte Mesh-Standort-TAG, um es zu konfigurieren.
Wechseln Sie zur Registerkarte "Site", und wenden Sie das zuvor konfigurierte Mesh AP-Join-Profil an:
Schritt 7. Konvertieren Sie den AP in den Bridge-Modus.
Über die CLI kann der folgende Befehl auf dem Access Point ausgeführt werden:
capwap ap mode bridge
Der Access Point wird neu gestartet und als Bridge-Modus wieder verbunden.
Schritt 8: Sie können jetzt die Rolle des Access Points definieren: entweder Root-Access Point oder Mesh-Access Point.
Der Root-AP ist derjenige mit einer verdrahteten Verbindung zum WLC, während der Mesh-AP über seine Funkeinheit mit dem WLC verbunden ist, die versucht, eine Verbindung zu einem Root-AP herzustellen.
Ein Mesh-AP kann dem WLC über seine verdrahtete Schnittstelle beitreten, wenn er zu Bereitstellungszwecken keinen Root-AP über seine Funkverbindung gefunden hat.
Vergessen Sie nicht, das native Trunk-VLAN in den WAP-Einstellungen anzugeben, falls es sich vom Standard-VLAN 1 unterscheidet.
Überprüfung
aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
method authentication Mesh_Authentication
method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site Mesh_AP_Tag
ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile Mesh_Profile
Fehlerbehebung
Klicken Sie auf der Webseite Troubleshoot > Radioactive Trace (Fehlerbehebung > Radioaktive Trace) auf Hinzufügen, und geben Sie die MAC-Adresse des Access Points ein.
Klicken Sie auf Start, und warten Sie, bis der Access Point erneut versucht, dem Controller beizutreten.
Klicken Sie anschließend auf Generate (Erstellen), und wählen Sie einen Zeitraum für die Protokollerfassung aus (z. B. die letzten 10 oder 30 Minuten).
Klicken Sie auf den Namen der Trace-Datei, um sie von Ihrem Browser herunterzuladen.
Das folgende Beispiel zeigt einen AP, der nicht beigetreten ist, weil ein falscher AAA-Autorisierungsmethodenname definiert wurde:
019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac
Dasselbe lässt sich einfacher im Dashboard der Webbenutzeroberfläche erkennen, wenn Sie auf APs klicken, die nicht beigetreten sind. Der Hinweis "AP auth pending" deutet auf die Authentifizierung des AP selbst hin:
Anwenderbericht 2: Flex + Bridge
In diesem Abschnitt wird der Join-Prozess eines 1542 AP im Flex+Bridge-Modus mit lokaler EAP-Authentifizierung auf dem WLC beschrieben.
Konfigurieren
- Schritt 1: Navigieren Sie zu Configuration > Security > AAA > AAA Advanced > Device Authentication.
- Schritt 2: Wählen Sie Geräteauthentifizierung und dann Hinzufügen aus.
- Schritt 3: Geben Sie die Base Ethernet MAC-Adresse des AP ein, der dem WLC beitreten soll, lassen Sie das Feld Attributlistenname leer, und wählen Sie Auf Gerät anwenden aus.
- Schritt 4: Navigieren Sie zu Konfiguration > Sicherheit > AAA > AAA-Methodenliste > Authentifizierung.
- Schritt 5: Wählen Sie Hinzufügen, um das Popup-Fenster AAA Authentication (AAA-Authentifizierung) zu öffnen.
- Schritt 6: Geben Sie einen Namen in das Feld Methodenlistenname ein, wählen Sie 802.1x aus dem Typ*-Dropdown-Menü und lokal für den Gruppentyp aus, und wählen Sie schließlich die Option Auf Gerät anwenden aus.
- Schritt 6b. Falls Ihre APs direkt als Bridge-Modus beitreten und ihnen zuvor kein Standort- und Richtlinien-Tag zugewiesen wurde, wiederholen Sie Schritt 6, jedoch für die Standardmethode.
- Konfigurieren einer dot1x aaa-Authentifizierungsmethode, die auf lokal verweist (CLI aaa authentication dot1x default local)
- Schritt 7. Navigieren Sie zu Konfiguration > Sicherheit > AAA > AAA-Methodenliste > Autorisierung.
- Schritt 8: Wählen Sie Hinzufügen, um das Popup-Fenster AAA-Autorisierung anzuzeigen.
- Schritt 9. Geben Sie einen Namen in das Feld Name der Methodenliste ein, wählen Sie im Dropdown-Menü Type* die Option Credentials Download aus und lokal für den Gruppentyp, und wählen Sie schließlich die Option Auf Gerät anwenden aus.
- Schritt 9b: Wenn Ihr AP direkt im Bridge-Modus beitritt (d. h. er tritt nicht zuerst im lokalen Modus bei), wiederholen Sie Schritt 9 für die Standardmethode zum Herunterladen von Anmeldeinformationen (CLI aaa Authorization Credential-Download default local).
- Schritt 10. Navigieren Sie zu Konfiguration > Wireless > Mesh > Profile.
- Schritt 11. Wählen Sie Hinzufügen, um das Popup-Fenster Netzprofil hinzufügen anzuzeigen.
- Schritt 12: Legen Sie auf der Registerkarte Allgemein einen Namen und eine Beschreibung für das Mesh-Profil fest.
- Schritt 13: Wählen Sie auf der Registerkarte Erweitert die Option EAP für das Feld Methode aus.
- Schritt 14: Wählen Sie das in den Schritten 6 und 9 definierte Autorisierungs- und Authentifizierungsprofil aus, und wählen Sie Auf Gerät anwenden aus.
- Schritt 15: Navigieren Sie zu Konfiguration > Tag & Profiles > AP Join > Profile.
- Schritt 16: Wählen Sie Hinzufügen aus, das Popup-Fenster "AP Join Profile" wird angezeigt, legen Sie einen Namen und eine Beschreibung für das AP Join-Profil fest.
- Schritt 17: Navigieren Sie zur Registerkarte AP, und wählen Sie das in Schritt 12 erstellte Mesh-Profil aus dem Dropdown-Menü Mesh Profile Name (Netzprofilname) aus.
- Schritt 18: Stellen Sie sicher, dass EAP-FAST- und CAPWAP-DTLS für die Felder EAP Type (EAP-Typ) und AP Authorization Type (AP-Autorisierungstyp) festgelegt sind.
- Steo 19. Wählen Sie Auf Gerät anwenden aus.
- Schritt 20: Navigieren Sie zu Konfiguration > Tag & Profile > Tags > Site.
- Schritt 21: Wählen Sie Hinzufügen, um das Popup-Fenster "Site-Tag" anzuzeigen.
- Schritt 22: Geben Sie einen Namen und eine Beschreibung für das Site-Tag ein.
- Schritt 23: Wählen Sie das in Schritt 16 erstellte AP-Join-Profil aus der Dropdown-Liste AP-Join-Profil aus.
- Schritt 24: Deaktivieren Sie unten im Popup-Fenster "Site-Tag" das Kontrollkästchen "Lokalen Standort aktivieren", um das Dropdown-Menü "Flex Profile" zu aktivieren.
- Schritt 35: Wählen Sie im Dropdown-Menü Flex Profile (Flex-Profil) das Flex Profile (Flex-Profil) aus, das Sie für den AP verwenden möchten.
- Schritt 36: Verbinden Sie den Access Point mit dem Netzwerk, und stellen Sie sicher, dass sich der Access Point im lokalen Modus befindet.
- Schritt 37: Um sicherzustellen, dass sich der Access Point im lokalen Modus befindet, geben Sie den Befehl capwap ap mode local ein.
Der Access Point muss über eine Suchmöglichkeit für den Controller verfügen (L2-Broadcast, DHCP-Option 43, DNS-Auflösung oder manuelle Einrichtung).
- Schritt 38: Der AP wird Mitglied des WLC. Stellen Sie sicher, dass er in der AP-Liste aufgeführt ist, und navigieren Sie zu Configuration > Wireless > Access Points > All Access Points.
- Schritt 39: Wählen Sie den Access Point aus, und das AP-Popup wird angezeigt.
- Schritt 40: Wählen Sie die in Schritt 22 erstellte Site-Tag-Nummer unter Allgemein > Tags > Site-Registerkarte im AP-Popup-Fenster aus, und wählen Sie die Option "Auf Gerät anwenden" aus.
- Schritt 41: Der AP wird neu gestartet und muss den WLC im Flex + Bridge-Modus wieder verbinden.
Beachten Sie, dass diese Methode dem Access Point zuerst im lokalen Modus beitritt (wobei keine Punkt1x-Authentifizierung erfolgt), um das Site-Tag auf das Mesh-Profil anzuwenden und dann den Access Point in den Bridge-Modus umzuschalten.
Um einem Access Point beizutreten, der im Bridge-Modus (oder Flex+Bridge) feststeckt, konfigurieren Sie Standardmethoden (aaa authentication dot1x default local und aaa authentication cred default local).
Der Access Point kann sich dann authentifizieren, und Sie können die Tags anschließend zuweisen.
Überprüfung
Stellen Sie sicher, dass der AP-Modus "Flex + Bridge" (Flex + Bridge) angezeigt wird, wie in dieser Abbildung gezeigt.
Führen Sie diese Befehle in der WLC 9800 CLI aus, und suchen Sie nach dem Attribut AP Mode. Sie muss als Flex+Bridge aufgeführt sein.
aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site meshsite
ap-profile meshapjoin
no local-site
ap profile meshapjoin
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile mesh-profile
Fehlerbehebung
Stellen Sie sicher, dass die Befehle aaa authentication dot1x default local und aaa authentication cred default local vorhanden sind. Sie sind erforderlich, wenn Ihr Access Point im lokalen Modus nicht vorab verbunden wurde.
Das Haupt-Dashboard der Serie 9800 verfügt über ein Widget, über das APs angezeigt werden, die nicht beitreten können. Klicken Sie hier, um eine Liste der APs anzuzeigen, die nicht beitreten können:
Klicken Sie auf den jeweiligen Access Point, um den Grund anzuzeigen, warum er nicht beigetreten ist. In diesem Fall tritt ein Authentifizierungsproblem auf (die AP-Authentifizierung steht aus), da das Site-Tag nicht dem AP zugewiesen wurde.
Daher hat der 9800 nicht die benannte Authentifizierungs-/Autorisierungsmethode ausgewählt, um den AP zu authentifizieren:
Weitere Informationen zur erweiterten Fehlerbehebung finden Sie auf der Seite Troubleshooting > Radioactive Trace (Fehlerbehebung > Radioaktive Ablaufverfolgung) in der Webbenutzeroberfläche.
Wenn Sie die MAC-Adresse des AP eingeben, können Sie sofort eine Datei erstellen, um die stets verfügbaren Protokolle (auf Benachrichtigungsebene) des AP abzurufen, der beitreten möchte.
Klicken Sie auf Start, um das erweiterte Debuggen für diese MAC-Adresse zu aktivieren. Wenn die Protokolle das nächste Mal generiert werden, werden die Protokolle generiert und Protokolle auf Debugebene für den AP-Beitritt angezeigt.