Explorar Cisco
Cómo comprar

¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Configuración de la autenticación 802.1x en Catalyst 9800 Wireless Controller Series

Opciones de descarga

  • PDF     (1.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.7 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:2 de septiembre de 2020
ID del documento:213919

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar una red de área local inalámbrica (WLAN) con seguridad 802.1x en controladores inalámbricos Cisco Catalyst serie 9800 mediante interfaz gráfica de usuario (GUI) o interfaz de línea de comandos (CLI).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • 802.1x

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Serie de controladores inalámbricos Catalyst 9800 (Catalyst 9800-CL)
    • Cisco IOS-XE Gibraltar 16.10

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de la red

      

    Configuración

    Configuración AAA en 9800 WLC

    GUI:

    Paso 1. Declare el servidor RADIUS. Navegue hasta Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add e ingrese la información del servidor RADIUS.

    Asegúrese de que la compatibilidad con CoA esté habilitada si piensa utilizar la autenticación Web central (o cualquier tipo de seguridad que requiera CoA) en el futuro. 

    Paso 2. Agregue el servidor RADIUS a un grupo RADIUS. Vaya a Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add.

    Paso 3. Cree una lista de métodos de autenticación. Vaya a Configuration > Security > AAA > AAA Method List > Authentication > + Add

    Introduzca la información: 

    CLI:

    # config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

    # aaa server radius dynamic-author
    # client <radius-server-ip> server-key <shared-key>
    
# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>

    Configuración del Perfil WLAN

    GUI:

    Paso 1. Cree la WLAN. Navegue hasta Configuration > Wireless > WLANs > + Add y configure la red según sea necesario.

    Paso 2. Introduzca la información WLAN

    Paso 3. Vaya a la ficha Seguridad y seleccione el método de seguridad necesario. En este caso, WPA2 + 802.1x.

    Paso 4. En la pestaña Security > AAA, seleccione el método de autenticación creado en el paso 3 de la sección Configuración AAA en 9800 WLC.

    CLI:

    # config t
# wlan <profile-name> <wlan-id> <ssid-name>
# security dot1x authentication-list <dot1x-list-name>
# no shutdown

    Configuración del perfil de política

    Dentro de un perfil de política puede decidir a qué VLAN asignar los clientes, entre otras configuraciones (como la Lista de controles de acceso [ACL], la Calidad de servicio [QoS], el anclaje de movilidad, los temporizadores, etc.).

    Puede utilizar su perfil de política predeterminado o puede crear un nuevo perfil.

    GUI:

    Navegue hasta Configuration > Tags & Profiles > Policy Profile y configure su default-policy-profile o cree uno nuevo.

    Asegúrese de que el perfil esté habilitado.

    Además, si el punto de acceso (AP) está en modo local, asegúrese de que el perfil de política tenga conmutación central y autenticación central activadas.

    Seleccione la VLAN donde los clientes deben ser asignados en la pestaña Políticas de acceso.

    Si planea tener atributos de retorno ISE en Access-Accept como VLAN Assignment, habilite el reemplazo AAA en la pestaña Advanced:

    CLI:

    # config
# wireless profile policy <policy-profile-name>
    # aaa-override
# central switching
# description "<description>"
# vlan <vlanID-or-VLAN_name>
# no shutdown

    Configuración de la etiqueta de política

    La etiqueta de política se utiliza para vincular el SSID con el perfil de política. Puede crear una nueva etiqueta de política o utilizar la etiqueta de política predeterminada.

    Nota: La etiqueta de política predeterminada asigna automáticamente cualquier SSID con un ID de WLAN entre 1 y 16 al perfil de política predeterminado. No se puede modificar ni eliminar. Si tiene una WLAN con ID 17 o superior, no se puede utilizar la etiqueta de política predeterminada.

    GUI:

    Navegue hasta Configuración > Etiquetas y perfiles > Etiquetas > Política y agregue uno nuevo si es necesario.

    Enlace el perfil WLAN al perfil de política deseado.

    CLI:

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    Asignación de etiqueta de política

    Asigne la etiqueta de política a los AP necesarios.

    GUI:

    Para asignar la etiqueta a un AP, navegue hasta Configuration > Wireless > Access Points > AP Name > General Tags, asigne la etiqueta de política relevante y luego haga clic en Update & Apply to Device .

    Nota: Tenga en cuenta que cuando se cambia la etiqueta de política en un AP, deja su asociación al WLC 9800 y se unirá.

    Para asignar la misma etiqueta de política a varios AP, navegue hasta Configuration > Wireless Setup > Advanced > Start Now > Apply.


    Seleccione los AP a los que desea asignar la etiqueta y haga clic en + Tag AP

    Seleccione las etiquetas aplicables para la política, el sitio y el RF y haga clic en Guardar y aplicar al dispositivo

    CLI:

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    Configuración de ISE

    Declarar WLC en ISE

    Paso 1. OpenISEconsoleyvaya aAdministration > Network Resources > Network Devices > Add como se muestra en la imagen.

    Paso 2. Introduzca los valores.

    Opcionalmente, puede ser un nombre de modelo especificado, versión de software, descripción y asignar grupos de dispositivos de red basados en tipos de dispositivos, ubicación o WLC.

    a.b.c.d corresponde a la interfaz del WLC que envía la autenticación solicitada. De forma predeterminada, es la interfaz de administración como se muestra en la imagen.

    Para obtener más información sobre Grupos de dispositivos de red, revise este enlace:

    ISE: grupos de dispositivos de red

    Crear nuevo usuario en ISE

    Paso 1. Vaya aAdministration > Identity Management > Identities > Users > Add como se muestra en la imagen.

    Paso 2. Introduzca la información. En este ejemplo, este usuario pertenece a un grupo denominado ALL_ACCOUNTS, pero se puede ajustar según sea necesario, como se muestra en la imagen.

    Crear regla de autenticación

    Las reglas de autenticación se utilizan para verificar si las credenciales de los usuarios son correctas (verifique si el usuario es realmente quien dice ser) y limitar los métodos de autenticación que puede utilizar.

    Paso 1. Vaya aPolicy >Authenticationtal como se muestra en la imagen.

    Paso 2. Inserte una nueva regla de autenticación como se muestra en la imagen.

    Paso 3. Introduzca los valores. Esta regla de autenticación permite todos los protocolos enumerados en la lista Acceso a la Red Predeterminado, esto se aplica a lasolicitud de autenticación para la conexión inalámbrica 802 .1 xclientsandwithCalled-Station-IDandendswithise-ssid como se muestra en la imagen.

    Además, elija el Origen de identidad para los clientes que coincidan con estaregla de autenticación. Este ejemplo utiliza la lista de origen de identidad de usuarios internos como se muestra en la imagen.

    Una vez terminado, haga clic en DoneandSave como se muestra en la imagen.

    Para obtener más información sobre las políticas de permisos de protocolos, consulte este enlace:

    Servicio de protocolos permitidos

    Para obtener más información sobre las fuentes de identidad, consulte este enlace:

    Crear un grupo de identidad de usuario

    Crear perfil de autorización

    El perfil de autorización determina si el cliente tiene acceso o no a la red, presione Listas de control de acceso (ACL), invalidación de VLAN o cualquier otro parámetro. El perfil de autorización que se muestra en este ejemplo envía una aceptación de acceso para el cliente y asigna el cliente a VLAN 2404.

    Paso 1. Vaya aPolicy > Policy Elements > Results como se muestra en la imagen.

    Paso 2. Agregue un nuevo perfil de autorización. Vaya aAuthorization > Authorization Profiles > Add como se muestra en la imagen.

    Paso 3. Introduzca los valores como se muestra en la imagen. Aquí podemos devolver atributos de invalidación AAA como VLAN como ejemplo. El WLC 9800 acepta los atributos de túnel 64,65,81 mediante el nombre o ID de VLAN, y también acepta el uso del atributo AirSpace-Interface-Name.

    Crear regla de autorización

    La regla de autorización es la encargada de determinar qué permisos (qué perfil de autorización) se aplican al cliente.

    Paso 1. Vaya aPolicy > Authorization como se muestra en la imagen.

    Paso 2. Inserte una nueva regla como se muestra en la imagen.

    Paso 3. Introduzca los valores. Primero, seleccione un nombre para la regla, el grupo de identidad donde se almacena el usuario (ALL_ACCOUNTS) como se muestra en la imagen.

    Después, seleccione otras condiciones que hagan que el proceso de autorización caiga en esta regla. En este ejemplo, el proceso de autorización llega a esta regla si utiliza 802.1 xWirelessandits llamados station ID terminswithise-ssid como se muestra en la imagen.

    Por último, seleccione el perfil de autorización asignado a los clientes que apliquen esa regla, haga clic enDoney guárdelo como se muestra en la imagen.

    Verificación

    Puede utilizar estos comandos para verificar la configuración actual

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap <ap-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag name> 
    # show wireless profile policy detailed <policy-profile name>

    Troubleshoot

    El WLC 9800 proporciona capacidades de seguimiento SIEMPRE ACTIVO. Esto asegura que todos los mensajes de nivel de aviso, advertencia y errores relacionados con la conectividad del cliente se registren constantemente y puede ver los registros de una condición de incidente o falla después de ocurrido. 

    Nota: Dependiendo del volumen de registros que se generen, puede retornar unas horas a varios días.

    Para ver los seguimientos que el WLC 9800 recolectó de forma predeterminada, puede conectarse a través de SSH/Telnet con el WLC 9800 y seguir estos pasos (asegúrese de registrar la sesión en un archivo de texto).

    Paso 1. Verifique la hora actual del controlador para que pueda rastrear los registros en el tiempo de vuelta al momento en que ocurrió el problema.

    # show clock

     Paso 2. Recopile los registros del sistema del buffer del controlador o del syslog externo según lo dictado por la configuración del sistema. Esto proporciona una vista rápida del estado del sistema y de los errores, si los hubiera.

    # show logging

    Paso 3. Verifique si hay alguna condición de depuración habilitada.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Nota: Si ve alguna condición en la lista, significa que los seguimientos se están registrando al nivel de depuración para todos los procesos que encuentran las condiciones activadas (dirección mac, dirección ip, etc). Esto aumentaría el volumen de registros. Por lo tanto, se recomienda borrar todas las condiciones cuando no se realiza la depuración activa

    Paso 4. Suponiendo que la dirección mac en prueba no se enumeró como condición en el Paso 3, recopile los seguimientos de nivel de aviso siempre activos para la dirección mac específica.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Puede mostrar el contenido en la sesión o copiar el archivo a un servidor TFTP externo.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Debugging condicional y Rastreo Activo de Radio 

    Si los seguimientos siempre activos no le proporcionan suficiente información para determinar el desencadenador del problema que se está investigando, puede habilitar la depuración condicional y capturar el seguimiento de Radio Activo (RA), que proporcionará seguimientos de nivel de depuración para todos los procesos que interactúan con la condición especificada (dirección mac del cliente en este caso). Para habilitar la depuración condicional, siga estos pasos.

    Paso 5. Asegúrese de que no haya condiciones de depuración habilitadas.

    # clear platform condition all

    Paso 6. Habilite la condición de depuración para la dirección MAC del cliente inalámbrico que desea monitorear.

    Estos comandos comienzan a monitorear la dirección mac proporcionada durante 30 minutos (1800 segundos). Opcionalmente, puede aumentar este tiempo hasta 2085978494 segundos.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Nota: Para monitorear más de un cliente a la vez, ejecute el comando debug wireless mac <aaaa.bbbb.cccc> por dirección mac.

    Nota: No ve el resultado de la actividad del cliente en la sesión de terminal, ya que todo se almacena en búfer internamente para ser visto más tarde.

      

    Paso 7. Reproduzca el problema o comportamiento que desea supervisar.

    Paso 8. Detenga las depuraciones si el problema se reproduce antes de que se active la hora de monitor predeterminada o configurada.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Una vez que ha transcurrido el tiempo de monitoreo o se ha detenido el debug wireless, el WLC 9800 genera un archivo local con el nombre:

    ra_trace_MAC_aaabbbcccc_HMMSS.XXX_timezone_Day_Week_Month_Day_year.log

    Paso 9. Recopile el archivo de la actividad de la dirección mac.  Puede copiar el archivo ra trace .log en un servidor externo o mostrar el resultado directamente en la pantalla.

    Verifique el nombre del archivo de seguimientos de RA

    # dir bootflash: | inc ra_trace

    Copie el archivo a un servidor externo:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Mostrar el contenido:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Paso 10. Si la causa raíz todavía no es obvia, recopile los registros internos que son una vista más detallada de los registros de nivel de depuración. No es necesario que vuelva a depurar el cliente, ya que sólo estamos examinando más detalladamente los registros de depuración que ya se han recopilado y almacenado internamente.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Nota: Este resultado del comando devuelve seguimientos para todos los niveles de registro para todos los procesos y es bastante voluminoso. Póngase en contacto con el TAC de Cisco para que le ayude a analizar estos seguimientos.

    Puede copiar ra-internal-FILENAME.txt en un servidor externo o mostrar el resultado directamente en la pantalla.

    Copie el archivo a un servidor externo:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Mostrar el contenido:

    # more bootflash:ra-internal-<FILENAME>.txt

     Paso 11. Elimine las condiciones de depuración.

    # clear platform condition all

    Nota: Asegúrese de quitar siempre las condiciones de depuración después de una sesión de resolución de problemas.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Karla Cisneros Galvan
      Cisco CX Engineer
    • Sudha Katgeri
      Cisco CX Engineer
    • Tiago Antunes
      Cisco CX Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos