Introducción
Este documento describe cómo configurar una red de área local inalámbrica (WLAN) con seguridad 802.1x en controladores inalámbricos Cisco Catalyst serie 9800 mediante interfaz gráfica de usuario (GUI) o interfaz de línea de comandos (CLI).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Serie de controladores inalámbricos Catalyst 9800 (Catalyst 9800-CL)
- Cisco IOS-XE Gibraltar 16.10
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
Diagrama de la red

Configuración
Configuración AAA en 9800 WLC
GUI:
Paso 1. Declare el servidor RADIUS. Navegue hasta Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add e ingrese la información del servidor RADIUS.

Asegúrese de que la compatibilidad con CoA esté habilitada si piensa utilizar la autenticación Web central (o cualquier tipo de seguridad que requiera CoA) en el futuro.

Paso 2. Agregue el servidor RADIUS a un grupo RADIUS. Vaya a Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add.

Paso 3. Cree una lista de métodos de autenticación. Vaya a Configuration > Security > AAA > AAA Method List > Authentication > + Add

Introduzca la información:

CLI:
# config t
# aaa new-model
# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit
# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit
# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>
# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>
Configuración del Perfil WLAN
GUI:
Paso 1. Cree la WLAN. Navegue hasta Configuration > Wireless > WLANs > + Add y configure la red según sea necesario.

Paso 2. Introduzca la información WLAN

Paso 3. Vaya a la ficha Seguridad y seleccione el método de seguridad necesario. En este caso, WPA2 + 802.1x.


Paso 4. En la pestaña Security > AAA, seleccione el método de autenticación creado en el paso 3 de la sección Configuración AAA en 9800 WLC.

CLI:
# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# security dot1x authentication-list <dot1x-list-name>
# no shutdown
Configuración del perfil de política
Dentro de un perfil de política puede decidir a qué VLAN asignar los clientes, entre otras configuraciones (como la Lista de controles de acceso [ACL], la Calidad de servicio [QoS], el anclaje de movilidad, los temporizadores, etc.).
Puede utilizar su perfil de política predeterminado o puede crear un nuevo perfil.
GUI:
Navegue hasta Configuration > Tags & Profiles > Policy Profile y configure su default-policy-profile o cree uno nuevo.

Asegúrese de que el perfil esté habilitado.
Además, si el punto de acceso (AP) está en modo local, asegúrese de que el perfil de política tenga conmutación central y autenticación central activadas.

Seleccione la VLAN donde los clientes deben ser asignados en la pestaña Políticas de acceso.

Si planea tener atributos de retorno ISE en Access-Accept como VLAN Assignment, habilite el reemplazo AAA en la pestaña Advanced:

CLI:
# config
# wireless profile policy <policy-profile-name>
# aaa-override
# central switching
# description "<description>"
# vlan <vlanID-or-VLAN_name>
# no shutdown
Configuración de la etiqueta de política
La etiqueta de política se utiliza para vincular el SSID con el perfil de política. Puede crear una nueva etiqueta de política o utilizar la etiqueta de política predeterminada.
Nota: La etiqueta de política predeterminada asigna automáticamente cualquier SSID con un ID de WLAN entre 1 y 16 al perfil de política predeterminado. No se puede modificar ni eliminar. Si tiene una WLAN con ID 17 o superior, no se puede utilizar la etiqueta de política predeterminada.
GUI:
Navegue hasta Configuración > Etiquetas y perfiles > Etiquetas > Política y agregue uno nuevo si es necesario.

Enlace el perfil WLAN al perfil de política deseado.



CLI:
# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>
Asignación de etiqueta de política
Asigne la etiqueta de política a los AP necesarios.
GUI:
Para asignar la etiqueta a un AP, navegue hasta Configuration > Wireless > Access Points > AP Name > General Tags, asigne la etiqueta de política relevante y luego haga clic en Update & Apply to Device .

Nota: Tenga en cuenta que cuando se cambia la etiqueta de política en un AP, deja su asociación al WLC 9800 y se unirá.
Para asignar la misma etiqueta de política a varios AP, navegue hasta Configuration > Wireless Setup > Advanced > Start Now > Apply.

Seleccione los AP a los que desea asignar la etiqueta y haga clic en + Tag AP

Seleccione las etiquetas aplicables para la política, el sitio y el RF y haga clic en Guardar y aplicar al dispositivo

CLI:
# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end
Configuración de ISE
Declarar WLC en ISE
Paso 1. OpenISEconsoleyvaya aAdministration > Network Resources > Network Devices > Add como se muestra en la imagen.

Paso 2. Introduzca los valores.
Opcionalmente, puede ser un nombre de modelo especificado, versión de software, descripción y asignar grupos de dispositivos de red basados en tipos de dispositivos, ubicación o WLC.
a.b.c.d corresponde a la interfaz del WLC que envía la autenticación solicitada. De forma predeterminada, es la interfaz de administración como se muestra en la imagen.

Para obtener más información sobre Grupos de dispositivos de red, revise este enlace:
ISE: grupos de dispositivos de red
Crear nuevo usuario en ISE
Paso 1. Vaya aAdministration > Identity Management > Identities > Users > Add como se muestra en la imagen.

Paso 2. Introduzca la información. En este ejemplo, este usuario pertenece a un grupo denominado ALL_ACCOUNTS, pero se puede ajustar según sea necesario, como se muestra en la imagen.

Crear regla de autenticación
Las reglas de autenticación se utilizan para verificar si las credenciales de los usuarios son correctas (verifique si el usuario es realmente quien dice ser) y limitar los métodos de autenticación que puede utilizar.
Paso 1. Vaya aPolicy >Authenticationtal como se muestra en la imagen.

Paso 2. Inserte una nueva regla de autenticación como se muestra en la imagen.

Paso 3. Introduzca los valores. Esta regla de autenticación permite todos los protocolos enumerados en la lista Acceso a la Red Predeterminado, esto se aplica a lasolicitud de autenticación para la conexión inalámbrica 802 .1 xclientsandwithCalled-Station-IDandendswithise-ssid como se muestra en la imagen.

Además, elija el Origen de identidad para los clientes que coincidan con estaregla de autenticación. Este ejemplo utiliza la lista de origen de identidad de usuarios internos como se muestra en la imagen.

Una vez terminado, haga clic en DoneandSave como se muestra en la imagen.

Para obtener más información sobre las políticas de permisos de protocolos, consulte este enlace:
Servicio de protocolos permitidos
Para obtener más información sobre las fuentes de identidad, consulte este enlace:
Crear un grupo de identidad de usuario
Crear perfil de autorización
El perfil de autorización determina si el cliente tiene acceso o no a la red, presione Listas de control de acceso (ACL), invalidación de VLAN o cualquier otro parámetro. El perfil de autorización que se muestra en este ejemplo envía una aceptación de acceso para el cliente y asigna el cliente a VLAN 2404.
Paso 1. Vaya aPolicy > Policy Elements > Results como se muestra en la imagen.

Paso 2. Agregue un nuevo perfil de autorización. Vaya aAuthorization > Authorization Profiles > Add como se muestra en la imagen.

Paso 3. Introduzca los valores como se muestra en la imagen. Aquí podemos devolver atributos de invalidación AAA como VLAN como ejemplo. El WLC 9800 acepta los atributos de túnel 64,65,81 mediante el nombre o ID de VLAN, y también acepta el uso del atributo AirSpace-Interface-Name.

Crear regla de autorización
La regla de autorización es la encargada de determinar qué permisos (qué perfil de autorización) se aplican al cliente.
Paso 1. Vaya aPolicy > Authorization como se muestra en la imagen.

Paso 2. Inserte una nueva regla como se muestra en la imagen.

Paso 3. Introduzca los valores. Primero, seleccione un nombre para la regla, el grupo de identidad donde se almacena el usuario (ALL_ACCOUNTS) como se muestra en la imagen.

Después, seleccione otras condiciones que hagan que el proceso de autorización caiga en esta regla. En este ejemplo, el proceso de autorización llega a esta regla si utiliza 802.1 xWirelessandits llamados station ID terminswithise-ssid como se muestra en la imagen.

Por último, seleccione el perfil de autorización asignado a los clientes que apliquen esa regla, haga clic enDoney guárdelo como se muestra en la imagen.

Verificación
Puede utilizar estos comandos para verificar la configuración actual
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap <ap-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag name>
# show wireless profile policy detailed <policy-profile name>
Troubleshoot
El WLC 9800 proporciona capacidades de seguimiento SIEMPRE ACTIVO. Esto asegura que todos los mensajes de nivel de aviso, advertencia y errores relacionados con la conectividad del cliente se registren constantemente y puede ver los registros de una condición de incidente o falla después de ocurrido.
Nota: Dependiendo del volumen de registros que se generen, puede retornar unas horas a varios días.
Para ver los seguimientos que el WLC 9800 recolectó de forma predeterminada, puede conectarse a través de SSH/Telnet con el WLC 9800 y seguir estos pasos (asegúrese de registrar la sesión en un archivo de texto).
Paso 1. Verifique la hora actual del controlador para que pueda rastrear los registros en el tiempo de vuelta al momento en que ocurrió el problema.
# show clock
Paso 2. Recopile los registros del sistema del buffer del controlador o del syslog externo según lo dictado por la configuración del sistema. Esto proporciona una vista rápida del estado del sistema y de los errores, si los hubiera.
# show logging
Paso 3. Verifique si hay alguna condición de depuración habilitada.
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Nota: Si ve alguna condición en la lista, significa que los seguimientos se están registrando al nivel de depuración para todos los procesos que encuentran las condiciones activadas (dirección mac, dirección ip, etc). Esto aumentaría el volumen de registros. Por lo tanto, se recomienda borrar todas las condiciones cuando no se realiza la depuración activa
Paso 4. Suponiendo que la dirección mac en prueba no se enumeró como condición en el Paso 3, recopile los seguimientos de nivel de aviso siempre activos para la dirección mac específica.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Puede mostrar el contenido en la sesión o copiar el archivo a un servidor TFTP externo.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Debugging condicional y Rastreo Activo de Radio
Si los seguimientos siempre activos no le proporcionan suficiente información para determinar el desencadenador del problema que se está investigando, puede habilitar la depuración condicional y capturar el seguimiento de Radio Activo (RA), que proporcionará seguimientos de nivel de depuración para todos los procesos que interactúan con la condición especificada (dirección mac del cliente en este caso). Para habilitar la depuración condicional, siga estos pasos.
Paso 5. Asegúrese de que no haya condiciones de depuración habilitadas.
# clear platform condition all
Paso 6. Habilite la condición de depuración para la dirección MAC del cliente inalámbrico que desea monitorear.
Estos comandos comienzan a monitorear la dirección mac proporcionada durante 30 minutos (1800 segundos). Opcionalmente, puede aumentar este tiempo hasta 2085978494 segundos.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Nota: Para monitorear más de un cliente a la vez, ejecute el comando debug wireless mac <aaaa.bbbb.cccc> por dirección mac.
Nota: No ve el resultado de la actividad del cliente en la sesión de terminal, ya que todo se almacena en búfer internamente para ser visto más tarde.
Paso 7. Reproduzca el problema o comportamiento que desea supervisar.
Paso 8. Detenga las depuraciones si el problema se reproduce antes de que se active la hora de monitor predeterminada o configurada.
# no debug wireless mac <aaaa.bbbb.cccc>
Una vez que ha transcurrido el tiempo de monitoreo o se ha detenido el debug wireless, el WLC 9800 genera un archivo local con el nombre:
ra_trace_MAC_aaabbbcccc_HMMSS.XXX_timezone_Day_Week_Month_Day_year.log
Paso 9. Recopile el archivo de la actividad de la dirección mac. Puede copiar el archivo ra trace .log en un servidor externo o mostrar el resultado directamente en la pantalla.
Verifique el nombre del archivo de seguimientos de RA
# dir bootflash: | inc ra_trace
Copie el archivo a un servidor externo:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Mostrar el contenido:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Paso 10. Si la causa raíz todavía no es obvia, recopile los registros internos que son una vista más detallada de los registros de nivel de depuración. No es necesario que vuelva a depurar el cliente, ya que sólo estamos examinando más detalladamente los registros de depuración que ya se han recopilado y almacenado internamente.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Nota: Este resultado del comando devuelve seguimientos para todos los niveles de registro para todos los procesos y es bastante voluminoso. Póngase en contacto con el TAC de Cisco para que le ayude a analizar estos seguimientos.
Puede copiar ra-internal-FILENAME.txt en un servidor externo o mostrar el resultado directamente en la pantalla.
Copie el archivo a un servidor externo:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Mostrar el contenido:
# more bootflash:ra-internal-<FILENAME>.txt
Paso 11. Elimine las condiciones de depuración.
# clear platform condition all
Nota: Asegúrese de quitar siempre las condiciones de depuración después de una sesión de resolución de problemas.