¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Autenticación Web central (CWA) en los reguladores inalámbricos del Catalyst 9800 y el ejemplo de configuración ISE

Opciones de descarga

  • PDF     (2.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.3 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:4 de septiembre de 2019
ID del documento:213920
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar un Wireless Local Area Network de la autenticación Web de la central (red inalámbrica (WLAN)) en los reguladores inalámbricos de las Catalyst 9800 Series (9800 WLC) a través de la interfaz gráfica de usuario (GUI) o del comando line interface(cli).

    Prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Configuración del WLC 9800

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • 9800 WLC IOS-XE Gibraltar v16.12
    • Motor del servicio de la identidad (ISE) v2.4

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de la red

    Configuración

    Configuración AAA en 9800 WLC

    Paso 1. Agregue el servidor ISE a la configuración del WLC 9800 y cree una lista del método de autentificación 

    Navegue al > Security (Seguridad) de la configuración >AAA > los servidores/los grupos > RADIO > los servidores > + agregan y ingresan la información del servidor de RADIUS.

    Asegúrese que el soporte para el CoA esté habilitado si usted planea utilizar la autenticación Web central (o cualquier clase de Seguridad que requiere el CoA) en el futuro. 

    Paso 2. Cree una lista del método de autentificación.

    Haga clic en la autenticación del list> del método AAA > Add

    Eligió el dot1x como tipo

    Este ejemplo seleccionó la lista global de servidores de RADIUS, pero usted puede también configurar a un grupo de servidor de RADIUS específico si es necesario.

    Paso 3. Cree una lista del método de autorización

    Navegue a la lista de métodos > a la autorización del > Security (Seguridad) de la configuración >AAA >AAA > + agregan

    Paso 4 (opcional). Cree una lista del método de contabilidad

    Paso 5 (opcional)

    Usted puede definir la directiva AAA para enviar el nombre SSID como atributo Llamar-estación-identificación, que puede ser útil si usted quiere leverage esta condición en el ISE más adelante en el proceso.

    Va al > Security (Seguridad) de la configuración > la directiva inalámbrica AAA y edite la directiva aaa del valor por defecto o cree un nuevo.

    Usted puede eligió el SSID como opción 1. sea atento que incluso cuando chosing el SSID solamente, estación que recibe la llamada la identificación todavía añadirá la dirección MAC AP al final del fichero al nombre SSID.

    Configuración de la red inalámbrica (WLAN)

    Paso 1. Cree la red inalámbrica (WLAN)

    GUI:

    Navegue a la configuración > a la Tecnología inalámbrica > a los WLAN > + agregan y configuran la red según las necesidades.

    Paso 2. Ingrese la información WLAN

    Paso 3. Navegue a la ficha de seguridad y seleccione el método de seguridad necesario. En este caso filtración solamente MAC y la lista que usted creó en el paso 2 en la sección de configuración AAA.

    Paso 4. Navegue a la lengueta AAA y también seleccione el método de autentificación (creado previamente).

     CLI:

    # config t
    (config)#wlan cwa-ssid 2 cwa-ssid
    (config-wlan)#mac-filtering CWAautz
    (config-wlan)#no security wpa
    (config-wlan)#no security wpa wpa2 ciphers aes
    (config-wlan)#no security wpa akm dot1x
    (config-wlan)#security dot1x authentication-list CWA
    (config-wlan)#no shutdown

    Configuración del perfil de la directiva

    Dentro de un perfil de la directiva usted puede decidir a qué VLA N asigna a los clientes, entre otras configuraciones (como el [ACLs] de la lista de controles de acceso, el [QoS] de la calidad de servicio, el ancla de la movilidad, los temporizadores y así sucesivamente).

    Usted puede o utilizar su perfil de la política predeterminada o usted puede crear un nuevo.

    GUI:

    Paso 1. Cree un nuevo perfil de la directiva

    Navegue a la configuración > a las etiquetas y los perfiles > la directiva y configuran su valor por defecto-directiva-perfil o crean un nuevo.

    Asegúrese que el perfil esté habilitado.

     Paso 2. Seleccione el VLA N

    Navegue a la lengueta de las políticas de acceso y seleccione el nombre vlan del descenso abajo o teclee manualmente el VLAN-ID

    Paso 3. Configure el perfil de la directiva para validar el ISE reemplaza (permita la invalidación AAA) y cambio de la autorización (CoA) (estado del NAC). Usted puede especificar opcionalmente un método de la cuenta también.

    CLI:

    # config
# wireless profile policy <policy-profile-name>
# aaa-override
    # nac
    # vlan <vlan-id_or_vlan-name>
    # accounting-list <acct-list>
    # no shutdown

    Configuración de la etiqueta de la directiva

    Dentro de la directiva la etiqueta es donde usted conecta su SSID a su perfil de la directiva. Usted puede crear una nueva etiqueta de la directiva o utilizar la etiqueta de la política predeterminada.

      

    Nota: La valor por defecto-directiva-etiqueta asocia automáticamente cualquier SSID con un ID DE WLAN entre 1 a 16 al valor por defecto-directiva-perfil. No puede ser modificada o ser borrada. Si usted tiene una red inalámbrica (WLAN) con ID 17 o más alto la valor por defecto-directiva-etiqueta no puede ser utilizada.

    GUI:

    Navegue a la configuración > a las etiquetas y a los perfiles > a las etiquetas > a la directiva y agregue un nuevo si es necesario.

    Conecte su perfil de la red inalámbrica (WLAN) al perfil deseado de la directiva.

    CLI:

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    Asignación de la etiqueta de la directiva

    Asigne la etiqueta de la directiva a los AP necesarios.

    GUI:

    Para asignar la etiqueta a un AP navegue a la configuración > a la Tecnología inalámbrica > a los Puntos de acceso > las etiquetas generales al name> AP, haga la asignación necesaria y entonces haga clic la actualización y apliqúese al dispositivo.

    Nota: Sea consciente que después de que el cambio la etiqueta de la directiva en un AP, él pierda su asociación a los 9800 WLC y únase a detrás en más o menos de 1 minuto.

    Para asignar la misma etiqueta de la directiva a varios AP navegue a la configuración > a la Tecnología inalámbrica > configuración inalámbrica > comienzo ahora > se aplican.


    Seleccione los AP a los cuales usted quiere asignar la etiqueta y el tecleo + la etiqueta AP

    Seleccione la etiqueta whished y haga clic la salvaguardia y apliqúese al dispositivo

    CLI:

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    Reoriente la configuración ACL

    Paso 1. Navegue al > Security (Seguridad) de la configuración > al ACL > + agregan para crear un nuevo ACL. 

    Seleccione un nombre para el ACL, hágale el tipo extendido IPv4 y agregue cada regla como secuencia

    El ACL debe parecer esto (reemplace 10.48.39.28 con usted la dirección IP ISE):

    Nota: Para el cambio de dirección ACL, piense para niegan la acción como cambio de dirección de la negación (no negar el tráfico), y permiten la acción como cambio de dirección del permiso.

    CLI:

    ip access-list extended REDIRECT
     deny ip any host 10.48.39.28
     deny ip host 10.48.39.28 any
     permit ip any any

    Usted puede mejorar el ACL solamente negando el puerto 8443 del invitado hacia el servidor ISE.

    Configuración ISE

    Agregue 9800 WLC al ISE

    Paso 1. Navegue a la administración > a los recursos de red > a los dispositivos de red. 

     Paso 2. Haga clic +Add y ingrese las 9800 configuraciones del WLC.

    Opcionalmente, puede ser un nombre modelo especificado, versión de software, descripción y asignar a los grupos de dispositivos de red basados en los tipos de dispositivo, la ubicación o el WLCs.

    el a.b.c.d corresponde a la interfaz WLC que envía la autenticación pedida.

    Para más dispositivo Groupsreview del aboutNetwork de la información la guía ISE admin:

    ISE - Grupos de dispositivos de red

    Cree al usuario nuevo en el ISE

    Paso 1. Navegue a la administración > a la Administración de la identidad > a las identidades > Users > Add 

    Paso 2. Ingrese la información.

    En este ejemplo, este usuario pertenece a un grupo llamado ALL_ACCOUNTS pero puede ser ajustado según las necesidades

    Cree el perfil de la autorización

    El perfil de la directiva es el resultado asignado a un cliente basado en sus parámetros (como MAC address, las credenciales, red inalámbrica (WLAN) usados y así sucesivamente). Puede asignar las configuraciones específicas como la red de área local virtual (VLA N), Listas de control de acceso (ACL), el Uniform Resource Locator (URL) reorienta y así sucesivamente. 

    Estos pasos muestran cómo crear el perfil de la autorización necesario para reorientar al cliente al portal de la autenticación. Observe que en las versiones recientes del ISE, existe un resultado de la autorización de Cisco_Webauth ya. Aquí lo editaremos para modificar el nombre del cambio de dirección ACL para hacer juego lo que configuramos en el WLC.

    Paso 1. Navegue a la directiva > a los elementos de la directiva > a los resultados > a la autorización > a los perfiles de la autorización. El tecleo agrega para crear sus los propio o para editar el resultado del valor por defecto de Cisco_Webauth

    Paso 2. Ingrese la información del cambio de dirección. Asegúrese de que el nombre ACL sea lo mismo que fue configurada en los 9800 WLC.

    Configure la regla de la autenticación

    Paso 1. Navegue a la directiva > a los conjuntos de la directiva. Haga clic en los conjuntos apropiados de la directiva (si usted hace ya varios configurar) o la flecha de la opinión del valor por defecto en la derecha de la pantalla.

    Paso 2. Amplíe la política de autenticación. Para la regla MAB (correspondiendo con en atado con alambre o la Tecnología inalámbrica MAB), amplíe las opciones y eligió la opción de la CONTINUACIÓN en caso de que “si usuario no encontrado”.

    Paso 3. Salvaguardia del tecleo para salvar los cambios.

    Reglas de la autorización de la configuración

    La regla de la autorización es la que está responsable determinar que el resultado de los permisos (que perfil de la autorización) se aplica al cliente.

    Paso 1. En la misma página determinada de la directiva, el cierre abajo la política de autenticación y amplía la directiva de Authorziation.

    Paso 2. Las versiones recientes ISE comenzarán con un reule PRE-creado llamado Wifi_Redirect_to_Guest_Login que haga juego sobre todo nuestra necesidad. Dé vuelta a la muestra gris a la izquierda de habilitar.

     Paso 3. Que la regla hace juego en Wireless_MAB solamente y vuelve los atributos del cambio de dirección CWA. Ahora agregaremos una poca torsión y haremos opcionalmente que hace juego solamente en nuestro SSID específico. Haga clic en la condición (Wireless_MAB a partir de ahora) para hacer que el estudio de las condiciones aparece. Agregue una condición a la derecha y eligió el radio dictionnary con el atributo Llamar-Estación-ID. Haga que hace juego su nombre SSID. Valide haciendo clic el uso en la parte inferior de la pantalla

     Paso 4. Usted ahora necesita una segunda regla, definida con una prioridad más alta, que hará juego en la condición de flujo del invitado para volver los detalles del acceso a la red que el usuario ha autenticado una vez en el portal. Usted puede utilizar la regla del acceso de invitado de Wifi que también PRE-se crea por abandono en las versiones recientes ISE. Usted entonces tiene que habilitar solamente la regla con una marca verde a la izquierda.  Usted puede volver el valor por defecto PermitAccess o configurar restricciones más exactas de las Listas de acceso.

    Paso 5. Salve las reglas

    Haga clic la salvaguardia en la parte inferior de las reglas.

    En caso de los Puntos de acceso del Local Switching de Flexconnect

    ¿Qué si usted tiene los Puntos de acceso del Local Switching de Flexconnect y WLAN? Las secciones anteriores son todavía válidas. Sin embargo, necesitamos un paso adicional para avanzar la reorientación ACL a los AP por adelantado.

    Navegue a la configuración > a las etiquetas y a los perfiles > a la flexión y haga clic en su perfil de la flexión. Vaya a la lengueta de la directiva ACL.

    El tecleo agrega

    Eligió su reorientan el nombre ACL y habilitan la “autenticación Web central”. Este checkbox invierte automáticamente el ACL en el AP sí mismo (éste es porque “niegue” la declaración significa que “no reoriente a este IP” en el WLC en IOS-XE sin embargo en el AP “niegan” la declaración significa el contrario, así que este checkbox intercambia automáticamente todos los permisos y niega al avanzar al AP. Usted puede verificar esto con “una forma de la lista de acceso del IP de la demostración” el AP CLI).

    Nota: En el escenario del Local Switching de Flexconect, la NECESIDAD ACL menciona específicamente las declaraciones de vuelta (que no se requiere necesariamente en el modo local) así que se aseegura que todas sus reglas ACL están cubriendo el tráfico de ambas maneras (a y desde el ISE por ejemplo)

    No olvide golpear entonces para salvar y para ponerse al día y para aplicarse al dispositivo.

    Verificación

    Usted puede utilizar estos comandos de verificar la configuración actual

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | nme | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Aquí está la parte pertinente de la configuración del WLC correspondiente a este ejemplo:

    aaa new-model
!
aaa authentication dot1x CWA group radius
aaa authorization network default group radius
aaa authorization credential-download wcm_loc_serv_cert local
aaa accounting network CWAacct start-stop group radius
!
aaa server radius dynamic-author
 client 10.48.39.28 server-key cisco123
!
aaa session-id common
!
!
radius server nicoISE
 address ipv4 10.48.39.28 auth-port 1812 acct-port 1813
 key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile

wireless profile policy central-switching-NAC
 aaa-override
 no central association
 no central switching
 nac
 vlan 1468
 no shutdown
wireless tag policy flexpolicy
 wlan Nico9800flex policy central-switching-NAC
wlan cwa-ssid 2 cwa-ssid
 mac-filtering default
 no security wpa
 no security wpa wpa2 ciphers aes
 no security wpa akm dot1x
 security dot1x authentication-list CWA
 no shutdown
ap a46c.2a75.fb80
 policy-tag flexpolicy
 site-tag FlexSite
ap f80b.cbe4.7f40
 policy-tag flexpolicy
 site-tag FlexSite

    Troubleshooting

    El WLC 9800 proporciona SIEMPRE-EN las capacidades del seguimiento. Esto se asegura que todos los errores relacionados de la conectividad del cliente, wanring y mensajes llanos del aviso estén registrados constantemente y usted puede ver los registros para un incidente o una condición de error después de que haya ocurrido. 

    Nota: Dependiendo del volumen de registros que son generados, usted puede ir detrás pocas horas a varios días.

    Para ver las trazas que 9800 WLC recogieron por abandono, la usted puede conectar vía SSH/Telnet a los 9800 WLC y sigue los siguientes pasos (asegúrese que usted esté registrando la sesión a un archivo de texto).

    Paso 1. La hora actual así que usted del regulador del control pueden seguir abre una sesión el tiempo de nuevo a cuando sucedió el problema.

    # show clock

     Paso 2. Recoja los Syslog del Syslog externo del regulador del buffer o según lo dictado por la configuración del sistema. Esto proporciona una visión rápida en los Estados generales del sistema y los errores, si los hay.

    # show logging

    Paso 3. Verifique si se habilitan algunas condiciones del debug.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Nota: Si usted ve cualquier condición enumerada, significa que las trazas se están registrando hasta el nivel de debug para todos los procesos que encuentran las condiciones habilitadas (MAC address, IP Address etc). Esto aumentaría el volumen de registros. Por lo tanto, se recomienda para borrar todas las condiciones al no activamente hacer el debug de

    Paso 4. El MAC address asumido bajo prueba no fue enumerado como condición en el paso 3, recoge siempre-en las trazas del nivel del aviso para el MAC address específico.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Usted puede o visualizar el contenido en la sesión o usted puede copiar el archivo a un servidor TFTP externo.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Debugging condicional y seguimiento activo de la radio 

    Si siempre-en las trazas no le dé bastante información para determinar el activador para el problema bajo investigación, usted puede habilitar el debugging condicional y capturar la traza activa de radio (RA), que proporcionará las trazas del nivel de debug para todos los procesos que obren recíprocamente con la condición especificada (MAC Address del cliente en este caso). Para habilitar el debugging condicional, siga los siguientes pasos.

    Paso 5. Asegúrese que no haya condiciones del debug esté habilitado.

    # clear platform condition all

    Paso 6. Habilite la condición del debug para el MAC address del cliente de red inalámbrica que usted quiere monitorear.

    Este comandos start de monitorear el MAC address proporcionado por 30 minutos (1800 segundos). Usted puede aumentar opcionalmente este vez a hasta 2085978494 segundos.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Nota: Para monitorear más de un en un momento del cliente, funcione con el comando inalámbrico del mac <aaaa.bbbb.cccc> del debug por el MAC address.

    Nota: Usted no ve la salida de la actividad del cliente en la sesión terminal, pues todo está mitigada internamente para ser vista más adelante.

      

    Paso 7. Reproduzca el problema o el comportamiento que usted quiere monitorear.

    Paso 8. Pare los debugs si se reproduce el problema antes de que el valor por defecto o el tiempo configurado del monitor esté para arriba.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Una vez que ha transcurrido el monitor-tiempo o se ha parado la Tecnología inalámbrica del debug, los 9800 WLC generan un archivo local con el nombre:

    ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Paso 9. Recoja el archivo de la actividad del MAC address.  Usted puede cualquier copia la traza .log del ra a un servidor externo o visualizar la salida directamente en la pantalla.

    Marque el nombre del archivo de trazas RA

    # dir bootflash: | inc ra_trace

    Copie el archivo a un servidor externo:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Visualice el contenido:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Paso 10. Si la causa raíz todavía no es obvia, recoja los registros internos que son una vista más prolija de los registros del nivel de debug. Usted no necesita hacer el debug de al cliente otra vez mientras que estamos hechando una ojeada solamente detallada futher los registros del debug que colllected ya e internamente se han salvado.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Nota: Esta salida de comando vuelve las trazas para todos los niveles de registro para todos los procesos y es muy voluminosa. Dedique por favor el TAC de Cisco para ayudar a analizar a través de estas trazas.

    Usted puede cualquier copia ra-internal-FILENAME.txt a un servidor externo o visualizar la salida directamente en la pantalla.

    Copie el archivo a un servidor externo:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Visualice el contenido:

    # more bootflash:ra-internal-<FILENAME>.txt

     Paso 11 Quite las condiciones del debug.

    # clear platform condition all

    Nota: Asegúrese de que usted quite siempre las condiciones del debug después de una sesión de Troubleshooting.

    Ejemplos

    Si el resultado de la autenticación no es lo que usted espera, es importante ir a las operaciones ISE > página viva de los registros y conseguir los detalles de la autenticación resultan.

     Le presentarán con la razón del error (si hay un error) y todos los atributos de RADIUS recibidos por el ISE.

    En el ejemplo abajo, el ISE rechazó la autenticación porque ninguna regla de la autorización correspondió con. Esto es porque vemos el atributo Llamar-estación-ID enviado como nombre SSID añadido al final del fichero al MAC address AP, mientras que la autorización era una exacta - hacemos juego al nombre SSID. Será reparada cambiando esa regla a “contiene” en vez del “igual”

    Después de solucionar esto, el cliente del wifi todavía no puede assocate al SSID mientras que el ISE demanda la autorización es un éxito y volvió los atributos correctos CWA.

    Usted puede ir al troubleshooting > página radiactiva de la traza de la red UI del WLC.

    en la mayoría de los casos, usted puede confiar en siempre-en los registros e incluso conseguir los registros de los últimos intentos de conexión sin la reproducción del problema una vez más.

    Agregue el MAC Address del cliente y el tecleo genera

    En este caso, el problema miente con el hecho que hicimos un error tipográfico al crear el nombre y lo ACL no hace juego el nombre ACL vuelto por ISE o se queja el WLC allí no es ningún ACL tal como el pidió por el ISE:

    2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162  client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42, 
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Karla Cisneros Galvan
      Ingeniero de Cisco TAC
    • Nicolas Darchis
      Ingeniero de Cisco TAC
    • Sudha Katgeri
      Ingeniero de Cisco TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros