Configure la autenticación del 802.1x en la serie inalámbrica del regulador del Catalyst 9800

Introducción

Este documento describe cómo configurar un Wireless Local Area Network (red inalámbrica (WLAN)) con la Seguridad del 802.1x en los reguladores inalámbricos de las Cisco Catalyst 9800 Series por la interfaz gráfica de usuario (GUI) o comando line interface(cli).

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• 802.1x

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Serie inalámbrica del regulador del Catalyst 9800 (Catalyst 9800-CL)
• Cisco IOS XE Gibraltar 16.10

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Configurar

Diagrama de la red

  

Configuración

Configuración AAA en 9800 WLCs

GUI:

Paso 1. Declare al servidor de RADIUS. Navegue al > Security (Seguridad) de la configuración >AAA > los servidores/los grupos > RADIO > los servidores > + agregan y ingresan la información del servidor de RADIUS.

Asegúrese que el soporte para el CoA esté habilitado si usted planea utilizar la autenticación Web central (o cualquier clase de Seguridad que requiere el CoA) en el futuro. 

Paso 2. Agregue al servidor de RADIUS a un grupo RADIUS. Navegue al > Security (Seguridad) de la configuración >AAA > los servidores/los grupos > RADIUS > los grupos de servidores > + agregan.

Paso 3. Cree una lista del método de autentificación. Navegue a la lista de métodos > a la autenticación del > Security (Seguridad) de la configuración >AAA >AAA > + agregan

Ingrese la información: 

CLI:

# config t
# aaa new-model
# dot1x system-auth-control

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>

Configuración del perfil de la red inalámbrica (WLAN)

GUI:

Paso 1. Cree la red inalámbrica (WLAN). Navegue a la configuración > a la Tecnología inalámbrica > a los WLAN > + agregan y configuran la red según las necesidades.

Paso 2. Ingrese la información WLAN

Paso 3. Navegue a la ficha de seguridad y seleccione el método de seguridad necesario. En este caso WPA2 + 802.1x.

Paso 4. De la lengueta de la Seguridad >AAA, seleccione el método de autentificación creado en el paso 3 de la configuración AAA en la sección del WLC 9800.

CLI:

# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# security dot1x authentication-list <dot1x-list-name>
# no shutdown

Configuración del perfil de la directiva

Dentro de un perfil de la directiva usted puede decidir a qué VLA N asigna a los clientes, entre otras configuraciones (como el [ACLs] de la lista de controles de acceso, el [QoS] de la calidad de servicio, el ancla de la movilidad, los temporizadores y así sucesivamente).

Usted puede o utilizar su perfil de la política predeterminada o usted puede crear un nuevo.

GUI:

Navegue a la configuración > a las etiquetas y los perfiles > el perfil de la directiva y configuran su valor por defecto-directiva-perfil o crean un nuevo.

Asegúrese que el perfil esté habilitado.

También, si su punto de acceso está en el modo local, asegúrese que el perfil de la directiva tenga la transferencia central y autenticación central habilitadas.

Seleccione el VLA N donde los clientes necesitan ser asignados en la lengueta de las políticas de acceso.

Si usted planea tener atributos de la vuelta ISE en el access-accept como la asignación VLAN, habilite por favor la invalidación AAA en la ficha Avanzadas:

CLI:

# config
# wireless profile policy <policy-profile-name>
# aaa-override
# central switching
# description "<description>"
# vlan <vlanID-or-VLAN_name>
# no shutdown

Configuración de la etiqueta de la directiva

La etiqueta de la directiva se utiliza para conectar el SSID al perfil de la directiva. Usted puede crear una nueva etiqueta de la directiva o utilizar la etiqueta de la política predeterminada.

Nota: La valor por defecto-directiva-etiqueta asocia automáticamente cualquier SSID con un ID DE WLAN entre 1 a 16 al valor por defecto-directiva-perfil. No puede ser modificada ni ser borrada. Si usted tiene una red inalámbrica (WLAN) con ID 17 o más alto, la valor por defecto-directiva-etiqueta no puede ser utilizada.

GUI:

Navegue a Configugation > a las etiquetas y a los perfiles > a las etiquetas > a la directiva y agregue un nuevo si es necesario.

Conecte su perfil de la red inalámbrica (WLAN) al perfil deseado de la directiva.

CLI:

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

Asignación de la etiqueta de la directiva

Asigne la etiqueta de la directiva a los AP necesarios.

GUI:

Para asignar la etiqueta a un AP, navegue a la configuración > a la Tecnología inalámbrica > a los Puntos de acceso > las etiquetas generales al name> AP, asigne la etiqueta relevante de la directiva y entonces haga clic la actualización y apliqúese al dispositivo.

Nota: Sea consciente que cuando la etiqueta de la directiva en un AP se cambia, cae su asociación a los 9800 WLC y se unirá a detrás.

Para asignar la misma etiqueta de la directiva a varios AP navegue a la configuración > configuración inalámbrica > avanzó > comienzo ahora > se aplican.

Seleccione los AP a los cuales usted quiere asignar la etiqueta y el tecleo + la etiqueta AP

Seleccione las etiquetas aplicables para la directiva, el sitio y el RF y la salvaguardia del tecleo y apliqúese al dispositivo

CLI:

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

Configuración ISE

Declare el WLC en el ISE

Paso 1. ToAdministration > recursos de red > dispositivos de red de OpenISEconsoleandnavigate > Add tal y como se muestra en de la imagen.

Step2. Ingrese los valores.

Opcionalmente, puede ser un nombre modelo especificado, versión de software, grupos de dispositivos de red del descriptionandassign basados en los tipos de dispositivo, ubicación o WLCs.

el a.b.c.d corresponde a la interfaz WLC que envía authenticationrequested. Por abandono es la interfaz de administración tal y como se muestra en de la imagen.

Para más dispositivo Groupsreview del aboutNetwork de la información este link:

ISE - Grupos de dispositivos de red

Cree al usuario nuevo en el ISE

Paso 1. Navegue el toAdministration > la Administración de la identidad > las identidades > Users > Add tal y como se muestra en de la imagen.

Step2. Ingrese la información. En este ejemplo, este usuario pertenece a un grupo llamado ALL_ACCOUNTS pero puede ser ajustado según las necesidades tal y como se muestra en de la imagen.

Cree la regla de la autenticación

Authenticationrules se utiliza para verificar si las credenciales de los usuarios son los theauthenticationmethods del andlimit de la derecha (verifique si el usuario es realmente quién lo dice es) que se permiten ser utilizados por él.

Paso 1. Navegue los >Authenticationas del toPolicy mostrados en la imagen.

Step2. Inserte un newauthenticationrule tal y como se muestra en de la imagen.

Paso 3. Ingrese los valores. Thisauthenticationrule permite todos los protocolos enumerados conforme a la lista de acceso a la red del theDefault, esto se aplica a la más theauthenticationrequest para Wireless802.1xclientsandwithCalled-Station-IDandendswithise-ssid tal y como se muestra en de la imagen.

También, elija la fuente de la identidad para los clientes que hace juego el thisauthenticationrule. Esta lista de origen de la identidad de los usuarios del usesInternal del ejemplo tal y como se muestra en de la imagen.

Una vez que está acabado, clickDoneandSave tal y como se muestra en de la imagen.

Para más información sobre permita los protocolos que las directivas consultan este link:

Servicio permitido de los protocolos

Para más información sobre la identidad las fuentes consultan este link:

Cree un grupo de la Identificación del usuario

Cree el perfil de la autorización

El perfil de la autorización determina si el cliente tiene acceso o no a la red, al Listas de control de acceso (ACL) del empuje, a la invalidación del VLA N o a cualquier otro parámetro. El perfil de la autorización mostrado en este ejemplo envía un acceso valida para los clientandassigns al cliente al VLA N 2404.

Paso 1. Navegue el toPolicy > los elementos > los resultados de la directiva tal y como se muestra en de la imagen.

Step2. Agregue un nuevo perfil de la autorización. Navegue los perfiles del toAuthorization > de la autorización > Add tal y como se muestra en de la imagen.

Paso 3. Ingrese los valores tal y como se muestra en de la imagen. Aquí podemos volver los atributos de la invalidación AAA como el VLA N como ejemplo. El WLC 9800 valida los atributos del túnel 64,65,81 usando la identificación de VLAN o el nombre, y valida también el uso del atributo del Espacio-Interfaz-nombre.

Cree la regla de la autorización

La regla de la autorización es la que está responsable determinar que el resultado de los permisos (que perfil de la autorización) se aplica al cliente.

Paso 1. Navegue el toPolicy > la autorización tal y como se muestra en de la imagen.

Step2. Inserte una nueva regla tal y como se muestra en de la imagen.

Paso 3. Ingrese los valores. Primero, seleccione un nombre para el ruleand el grupo de la identidad donde salvan al usuario (ALL_ACCOUNTS) tal y como se muestra en de la imagen.

Después de eso, seleccione otras condiciones que hagan el proceso de la autorización para bajar en esta regla. En este ejemplo, el proceso de la autorización golpea esta regla si él uses802.1xWirelessandits estación que recibe la llamada ID endswithise-SSID tal y como se muestra en de la imagen.

Finalmente, seleccione el perfil de la autorización que se asigna a los clientes que golpean esa regla, clickDoneandsave él tal y como se muestra en de la imagen.

Verificación

Usted puede utilizar estos comandos de verificar la configuración actual

# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap <ap-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag name> 
# show wireless profile policy detailed <policy-profile name>

Troubleshooting

El WLC 9800 proporciona SIEMPRE-EN las capacidades del seguimiento. Esto se asegura que todos los errores relacionados de la conectividad del cliente, wanring y mensajes llanos del aviso estén registrados constantemente y usted puede ver los registros para un incidente o una condición de error después de que haya ocurrido. 

Nota: Dependiendo del volumen de registros que son generados, usted puede ir detrás pocas horas a varios días.

Para ver las trazas que 9800 WLC recogieron por abandono, la usted puede conectar vía SSH/Telnet a los 9800 WLC y sigue los siguientes pasos (asegúrese que usted esté registrando la sesión a un archivo de texto).

Paso 1. La hora actual así que usted del regulador del control pueden seguir abre una sesión el tiempo de nuevo a cuando sucedió el problema.

# show clock

 Paso 2. Recoja los Syslog del Syslog externo del regulador del buffer o según lo dictado por la configuración del sistema. Esto proporciona una visión rápida en los Estados generales del sistema y los errores, si los hay.

# show logging

Paso 3. Verifique si se habilitan algunas condiciones del debug.

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Nota: Si usted ve cualquier condición enumerada, significa que las trazas se están registrando hasta el nivel de debug para todos los procesos que encuentran las condiciones habilitadas (MAC address, IP Address etc). Esto aumentaría el volumen de registros. Por lo tanto, se recomienda para borrar todas las condiciones al no activamente hacer el debug de

Paso 4. El MAC address asumido bajo prueba no fue enumerado como condición en el paso 3, recoge siempre-en las trazas del nivel del aviso para el MAC address específico.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

Usted puede o visualizar el contenido en la sesión o usted puede copiar el archivo a un servidor TFTP externo.

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Debugging condicional y seguimiento activo de la radio 

Si siempre-en las trazas no le dé bastante información para determinar el activador para el problema bajo investigación, usted puede habilitar el debugging condicional y capturar la traza activa de radio (RA), que proporcionará las trazas del nivel de debug para todos los procesos que obren recíprocamente con la condición especificada (MAC Address del cliente en este caso). Para habilitar el debugging condicional, siga los siguientes pasos.

Paso 5. Asegúrese que no haya condiciones del debug esté habilitado.

# clear platform condition all

Paso 6. Habilite la condición del debug para el MAC address del cliente de red inalámbrica que usted quiere monitorear.

Este comandos start de monitorear el MAC address proporcionado por 30 minutos (1800 segundos). Usted puede aumentar opcionalmente este vez a hasta 2085978494 segundos.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

  

Nota: Para monitorear más de un en un momento del cliente, funcione con el comando inalámbrico del mac <aaaa.bbbb.cccc> del debug por el MAC address.

Nota: Usted no ve la salida de la actividad del cliente en la sesión terminal, pues todo está mitigada internamente para ser vista más adelante.

  

Paso 7. Reproduzca el problema o el comportamiento que usted quiere monitorear.

Paso 8. Pare los debugs si se reproduce el problema antes de que el valor por defecto o el tiempo configurado del monitor esté para arriba.

# no debug wireless mac <aaaa.bbbb.cccc>

Una vez que ha transcurrido el monitor-tiempo o se ha parado la Tecnología inalámbrica del debug, los 9800 WLC generan un archivo local con el nombre:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Paso 9. Recoja el archivo de la actividad del MAC address.  Usted puede cualquier copia la traza .log del ra a un servidor externo o visualizar la salida directamente en la pantalla.

Marque el nombre del archivo de trazas RA

# dir bootflash: | inc ra_trace

Copie el archivo a un servidor externo:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

 Visualice el contenido:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Paso 10. Si la causa raíz todavía no es obvia, recoja los registros internos que son una vista más prolija de los registros del nivel de debug. Usted no necesita hacer el debug de al cliente otra vez mientras que estamos hechando una ojeada solamente detallada futher los registros del debug que colllected ya e internamente se han salvado.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Nota: Esta salida de comando vuelve las trazas para todos los niveles de registro para todos los procesos y es muy voluminosa. Dedique por favor el TAC de Cisco para ayudar a analizar a través de estas trazas.

Usted puede cualquier copia ra-internal-FILENAME.txt a un servidor externo o visualizar la salida directamente en la pantalla.

Copie el archivo a un servidor externo:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

Visualice el contenido:

# more bootflash:ra-internal-<FILENAME>.txt

 Paso 11 Quite las condiciones del debug.

# clear platform condition all

Nota: Asegúrese de que usted quite siempre las condiciones del debug después de una sesión de Troubleshooting.