Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar una red de área local inalámbrica de la autenticación Web central (red inalámbrica (WLAN)) en los reguladores inalámbricos de las Catalyst 9800 Series (9800 WLC) a través de la interfaz gráfica de usuario (GUI) o del comando line interface(cli).
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Paso 1. Agregue el servidor ISE a la configuración 9800 WLC y cree una lista de métodos de la autenticación
Navegue al > Security (Seguridad) de la configuración >AAA > los servidores/los grupos > RADIO > los servidores > + agregan y ingresan la información del servidor de RADIUS.
Asegúrese que la ayuda para el CoA esté activada si usted planea utilizar la autenticación Web central (o cualquier clase de Seguridad que requiere el CoA) en el futuro.
Paso 2. Cree una lista del método de autorización
Navegue a la lista de métodos > a la autorización del > Security (Seguridad) de la configuración >AAA >AAA > + agregan
Paso 4 (opcional). Cree una lista del método de contabilidad
Nota: CWA no trabajará si usted decide la carga-balanza (de la configuración CLI IOS-XE) sus servidores de RADIUS debido a CSCvh03827 . Usando los carga-balanceadores externos está muy bien.
Paso 5 (opcional)
Usted puede definir la directiva AAA para enviar el nombre SSID como atributo Llamar-estación-identificación, que puede ser útil si usted quiere leverage esta condición en ISE más adelante en el proceso.
Va al > Security (Seguridad) de la configuración > la directiva inalámbrica AAA y corrija la directiva aaa del valor por defecto o cree un nuevo.
Usted puede eligió el SSID como opción 1. sea atento que incluso cuando chosing el SSID solamente, estación que recibe la llamada la identificación todavía añadirá la dirección MAC AP al final del fichero al nombre SSID.
Paso 1. Cree la red inalámbrica (WLAN)
GUI:
Navegue a la configuración > a las etiquetas y los perfiles > las redes inalámbricas (WLAN) > + agregan y configuran la red según las necesidades.
Paso 2. Ingrese la información WLAN
Paso 3. Navegue a la ficha de seguridad y seleccione el método de seguridad necesario. En este caso filtración solamente MAC y la lista que usted creó en el paso 2 en la sección de configuración AAA.
CLI:
# config t
(config)#wlan cwa-ssid 2 cwa-ssid
(config-wlan)#mac-filtering CWAautz
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown
Dentro de un perfil de la directiva usted puede decidir a qué VLA N asigna a los clientes, entre otras configuraciones (como el [ACLs] de la lista de controles de acceso, el [QoS] de la calidad de servicio, el ancla de la movilidad, los temporizadores y así sucesivamente).
Usted puede o utilizar su perfil de la directiva predeterminada o usted puede crear un nuevo.
GUI:
Paso 1. Cree un nuevo perfil de la directiva
Navegue a la configuración > a las etiquetas y los perfiles > la directiva y configuran su valor por defecto-directiva-perfil o crean un nuevo.
Asegúrese que el perfil esté activado.
Paso 2. Seleccione el VLA N
Navegue a las políticas de acceso tabulación y seleccione el nombre vlan del descenso abajo o pulse manualmente el VLAN-ID. No configure un ACL en el perfil de la directiva.
Paso 3. Configure el perfil de la directiva para validar ISE reemplaza (permita la invalidación AAA) y cambio de la autorización (CoA) (estado NAC). Usted puede especificar opcionalmente un método de la cuenta también.
CLI:
# config # wireless profile policy <policy-profile-name> # aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown
Dentro de la directiva la etiqueta es donde usted conecta su SSID a su perfil de la directiva. Usted puede crear una nueva etiqueta de la directiva o utilizar la etiqueta de la directiva predeterminada.
Nota: La valor por defecto-directiva-etiqueta asocia automáticamente cualquier SSID con una identificación de la red inalámbrica (WLAN) entre 1 a 16 al valor por defecto-directiva-perfil. No puede ser modificada o ser suprimida. Si usted tiene una red inalámbrica (WLAN) con la identificación 17 o más alto la valor por defecto-directiva-etiqueta no puede ser utilizada.
GUI:
Navegue a la configuración > a las etiquetas y a los perfiles > a las etiquetas > a la directiva y agregue un nuevo si es necesario.
Conecte su perfil de la red inalámbrica (WLAN) al perfil deseado de la directiva.
CLI:
# config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name>
Asigne la etiqueta de la directiva a los APs necesarios.
GUI:
Para asignar la etiqueta a un AP navegue a la configuración > a la Tecnología inalámbrica > a los Puntos de acceso > al nombre AP > las etiquetas generales, haga la asignación necesaria y entonces haga clic la actualización y apliqúese al dispositivo.
Nota: Sea consciente que después del cambio la etiqueta de la directiva en un AP, él pierde su asociación a los 9800 WLC y únase a detrás en más o menos de 1 minuto.
Para asignar la misma etiqueta de la directiva a varios APs navegue a la configuración > a la Tecnología inalámbrica > disposición inalámbrica > comienzo ahora > se aplican.
Seleccione los APs a los cuales usted quiere asignar la etiqueta y el tecleo + la etiqueta APs
Seleccione la etiqueta whished y haga clic la salvaguardia y apliqúese al dispositivo
CLI:
# config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end
Paso 1. Navegue al > Security (Seguridad) de la configuración > al ACL > + agregan para crear un nuevo ACL.
Seleccione un nombre para el ACL, hágale el tipo extendido IPv4 y agregue cada regla como secuencia
Usted necesita negar el tráfico a sus Nodos ISE PSNs así como negar el DNS y permitir todo el resto. Esto reorienta el ACL no es un ACL de seguridad sino una batea ACL que definirá qué tráfico va a la CPU (en los permisos) para el tratamiento adicional (como el cambio de dirección) y qué estancias del tráfico en el dataplane (en niegue) y evitará el cambio de dirección.
El ACL debe parecer esto (substituya 10.48.39.28 por usted la dirección IP ISE):
Nota: Para el cambio de dirección ACL, piense para niegan la acción como cambio de dirección de la negación (no negar el tráfico), y permiten la acción como cambio de dirección del permiso. El WLC mirará solamente en el tráfico que puede reorientar (el puerto 80 y 443 por abandono).
CLI:
ip access-list extended REDIRECT
deny ip any host 10.48.39.28
deny ip host 10.48.39.28 any
deny udp any any eq domain
deny udp any eq domain any
permit ip any any
Usted puede mejorar el ACL solamente negando el puerto 8443 del invitado hacia el servidor ISE.
Paso 1. Navegue a la administración > a los recursos de red > a los dispositivos de red.
Paso 2. Haga clic +Add y ingrese las 9800 configuraciones WLC.
Opcionalmente, puede ser un nombre modelo especificado, versión de software, descripción y asignar a los grupos de dispositivos de red basados en los tipos de dispositivo, la ubicación o WLCs.
a.b.c.d corresponden al interfaz WLC que envía la autenticación pedida.
Para más dispositivo Groupsreview del aboutNetwork de la información la guía ISE admin:
ISE - Grupos de dispositivos de red
Paso 1. Navegue a la administración > a la Administración de la identidad > a las identidades > a los usuarios > agregan
Paso 2. Ingrese la información.
En este ejemplo, este usuario pertenece a un grupo llamado ALL_ACCOUNTS pero puede ser ajustado según las necesidades
El perfil de la directiva es el resultado asignado a un cliente basado en sus parámetros (como MAC address, las credenciales, red inalámbrica (WLAN) usados y así sucesivamente). Puede asignar las configuraciones específicas como la red de área local virtual (VLA N), Listas de control de acceso (ACL), el localizador de recurso uniforme (URL) reorienta y así sucesivamente.
Estos pasos muestran cómo crear el perfil de la autorización necesario para reorientar al cliente al portal de la autenticación. Observe que en las versiones recientes de ISE, existe un resultado de la autorización de Cisco_Webauth ya. Aquí lo corregiremos para modificar el nombre del cambio de dirección ACL para hacer juego lo que configuramos en el WLC.
Paso 1. Navegue a la directiva > a los elementos de la directiva > a los resultados > a la autorización > a los perfiles de la autorización. El tecleo agrega para crear sus los propio o para corregir el resultado del valor por defecto de Cisco_Webauth
Paso 2. Ingrese la información del cambio de dirección. Asegúrese de que el nombre ACL sea lo mismo que fue configurada en los 9800 WLC.
Paso 1. Navegue a la directiva > a los conjuntos de la directiva. Haga clic en los conjuntos apropiados de la directiva (si usted hace ya varios configurar) o la flecha de la opinión del valor por defecto en la derecha de la pantalla.
Paso 2. Amplíe la política de autenticación. Para la regla MAB (correspondiendo con en atado con alambre o la Tecnología inalámbrica MAB), amplíe las opciones y eligió la opción de la CONTINUACIÓN en caso de que “si usuario no encontrado”.
Paso 3. Salvaguardia del tecleo para salvar los cambios.
La regla de la autorización es la que está responsable determinar qué resultado de los permisos (que perfil de la autorización) se aplica al cliente.
Paso 1. En la misma página determinada de la directiva, el cierre abajo la política de autenticación y amplía la directiva de Authorziation.
Paso 2. Las versiones recientes ISE comenzarán con un reule pre-creado llamado Wifi_Redirect_to_Guest_Login que haga juego sobre todo nuestra necesidad. Dé vuelta a la muestra gris a la izquierda de activar.
Paso 3. Que la regla hace juego en Wireless_MAB solamente y vuelve los atributos del cambio de dirección CWA. Ahora agregaremos una poca torsión y haremos opcionalmente que hace juego solamente en nuestro SSID específico. Haga clic en la condición (Wireless_MAB a partir de ahora) para hacer que el estudio de las condiciones aparece. Agregue una condición a la derecha y eligió el radio dictionnary con el atributo Llamar-Estación-identificación. Haga que hace juego su nombre SSID. Valide haciendo clic el uso en la parte inferior de la pantalla
Paso 4. Usted ahora necesita una segunda regla, definida con una prioridad más alta, que hará juego en la condición de flujo del invitado para volver los detalles del acceso a la red que el usuario ha autenticado una vez en el portal. Usted puede utilizar la regla del acceso de invitado de Wifi que también pre-se crea por abandono en las versiones recientes ISE. Usted entonces tiene que activar solamente la regla con una marca verde a la izquierda. Usted puede volver el valor por defecto PermitAccess o configurar restricciones más exactas de las Listas de acceso.
Paso 5. Salve las reglas
Haga clic la salvaguardia en la parte inferior de las reglas.
¿Qué si usted tiene los Puntos de acceso y redes inalámbricas (WLAN) locales de la transferencia de Flexconnect? Las secciones anteriores son todavía válidas. Sin embargo, necesitamos un paso adicional para empujar la reorientación ACL a los APs por adelantado.
Navegue a la configuración > a las etiquetas y a los perfiles > a la flexión y haga clic en su perfil de la flexión. Vaya a la directiva ACL cuadro.
El tecleo agrega
Eligió su reorientan el nombre ACL y activan la “autenticación Web central”. Este checkbox invierte automáticamente el ACL en el AP sí mismo (éste es porque “niegue” la declaración significa que “no reoriente a este IP” en el WLC en IOS-XE sin embargo en el AP “niegan” la declaración significa el contrario, así que este checkbox intercambia automáticamente todos los permisos y niega al empujar al AP. Usted puede verificar esto con “una forma de la lista de acceso IP de la demostración” el AP CLI).
Nota: En el decorado local de la transferencia de Flexconect, la NECESIDAD ACL menciona específicamente las declaraciones de vuelta (que no se requiere necesariamente en el modo local) así que se asegura de que todas sus reglas ACL están cubriendo el tráfico de ambas maneras (a y desde el ISE por ejemplo)
No olvide golpear entonces para salvar y para ponerse al día y para aplicarse al dispositivo.
Asegúrese de que usted haga “ip http el servidor” configurar.
Para tener el cliente confiar en el certificado de la autenticación Web, no se requiere instalar ningún certificado en el WLC pues el único certificado presentado será el certificado ISE (que tiene que ser confiado en por el cliente).
Usted puede utilizar estos comandos de verificar la configuración actual
# show run wlan # show run aaa # show aaa servers # show ap config general # show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Aquí está la parte pertinente de la configuración del WLC correspondiente a este ejemplo:
aaa new-model ! aaa authentication dot1x CWA group radius aaa authorization network default group radius aaa authorization credential-download wcm_loc_serv_cert local aaa accounting identity CWAacct start-stop group radius ! aaa server radius dynamic-author client 10.48.39.28 server-key cisco123 ! aaa session-id common ! ! radius server nicoISE address ipv4 10.48.39.28 auth-port 1812 acct-port 1813 key cisco123 ! ! wireless aaa policy default-aaa-policy wireless cts-sxp profile default-sxp-profile wireless profile policy central-switching-NAC aaa-override no central association no central switching nac vlan 1468 no shutdown wireless tag policy flexpolicy wlan Nico9800flex policy central-switching-NAC wlan cwa-ssid 2 cwa-ssid mac-filtering default no security wpa no security wpa wpa2 ciphers aes no security wpa akm dot1x no shutdown ap a46c.2a75.fb80 policy-tag flexpolicy site-tag FlexSite ap f80b.cbe4.7f40 policy-tag flexpolicy site-tag FlexSite
ip http server
ip http secure-server
Si le reorientan solamente al pulsar un IP address HTTPS y no en los paquetes HTTP, asegúrese de que usted tenga “ip http servidor” configurado en la configuración WLC. A partir de ahora, la configuración porta del administrador Web se ata con la configuración porta de la autenticación Web y necesita escuchar en el puerto 80 para reorientar. Esto cambiará adentro 17.3 y más adelante.
WLC 9800 proporciona SIEMPRE-EN las capacidades que rastrean. Esto se asegura que todos los errores relacionados de la Conectividad del cliente, wanring y mensajes llanos del aviso estén registrados constantemente y usted puede ver los registros para una condición del incidente o del error después de que haya ocurrido.
Nota: Dependiendo del volumen de registros que son generados, usted puede ir detrás pocas horas a varios días.
Para ver los rastros que 9800 WLC recogidos por abandono, usted pueden conectar vía SSH/Telnet con los 9800 WLC y seguir los siguientes pasos (asegúrese que usted está registrando la sesión a un archivo de texto).
Paso 1. La hora actual así que usted del regulador del control pueden seguir abre una sesión el tiempo de nuevo a cuando sucedió el problema.
# show clock
Paso 2. Recoja los Syslog del Syslog externo del regulador del almacenador intermediario o según lo dictado por la configuración del sistema. Esto proporciona a una visión rápida en los Estados generales del sistema y los errores, si los hay.
# show logging
Paso 3. Verifique si se activan algunas condiciones de la depuración.
# show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
Nota: Si usted ve cualquier condición enumerada, significa que los rastros se están registrando hasta la depuración llana para todos los procesos que encuentran las condiciones activadas (MAC address, IP address etc). Esto aumentaría el volumen de registros. Por lo tanto, se recomienda para borrar todas las condiciones al no activamente poner a punto
Paso 4. El MAC address asumido bajo prueba no fue enumerado como condición en el paso 3, recoge siempre-en los rastros del nivel del aviso para el MAC address específico.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Usted puede o visualizar el contenido en la sesión o usted puede copiar el fichero a un servidor del externo TFTP.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Debugging condicional y seguimiento activo de la radio
Si siempre-en los rastros no le dé bastante información para determinar el activador para el problema bajo investigación, usted puede activar el debugging condicional y capturar el rastro activo de radio (del RA), que proporcionará a los rastros del nivel de la depuración para todos los procesos que obren recíprocamente con la condición especificada (MAC address del cliente en este caso). Para activar el debugging condicional, siga los siguientes pasos.
Paso 5. Asegúrese que no haya condiciones de la depuración esté activado.
# clear platform condition all
Paso 6. Active la condición de la depuración para el MAC address del cliente de red inalámbrica que usted quiere vigilar.
Este comandos start de vigilar el MAC address proporcionado por 30 minutos (1800 segundos). Usted puede aumentar opcionalmente este vez a hasta 2085978494 segundos.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Nota: Para vigilar a más de un cliente al mismo tiempo, funcione con el comando inalámbrico del mac <aaaa.bbbb.cccc> de la depuración por el MAC address.
Nota: Usted no ve la salida de la actividad del cliente en la sesión terminal, pues todo se protege internamente para ser vista más adelante.
Paso 7. Reproduzca el problema o el comportamiento que usted quiere vigilar.
Paso 8. Pare las depuraciones si se reproduce el problema antes de que el valor por defecto o el tiempo configurado del monitor esté para arriba.
# no debug wireless mac <aaaa.bbbb.cccc>
Una vez que ha transcurrido el monitor-tiempo o se ha parado la Tecnología inalámbrica de la depuración, los 9800 WLC generan un archivo local con el nombre:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Paso 9. Recoja el fichero de la actividad del MAC address. Usted puede cualquier copia el rastro .log del ra a un servidor externo o visualizar la salida directamente en la pantalla.
Controle el nombre del fichero de rastros del RA
# dir bootflash: | inc ra_trace
Copie el fichero a un servidor externo:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Visualice el contenido:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Paso 10. Si la causa raíz todavía no es obvia, recoja los registros internos que son una vista más prolija de los registros del nivel de la depuración. Usted no necesita poner a punto al cliente otra vez mientras que estamos hechando una ojeada solamente detallada futher los registros de la depuración que colllected ya e internamente se han salvado.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Nota: Este comando hizo salir los rastros de las devoluciones para todos los niveles de registro para todos los procesos y es muy voluminoso. Dedique por favor el TAC de Cisco para ayudar a analizar a través de estos rastros.
Usted puede cualquier copia ra-internal-FILENAME.txt a un servidor externo o visualizar la salida directamente en la pantalla.
Copie el fichero a un servidor externo:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Visualice el contenido:
# more bootflash:ra-internal-<FILENAME>.txt
Paso 11 Quite las condiciones de la depuración.
# clear platform condition all
Nota: Asegúrese de que usted quite siempre las condiciones de la depuración después de una sesión del troubleshooting.
Si el resultado de la autenticación no es lo que usted espera, es importante ir a las operaciones ISE > página viva de los registros y conseguir los detalles de la autenticación resultan.
Le presentarán con la razón del error (si hay un error) y todos los atributos de RADIUS recibidos por ISE.
En el ejemplo abajo, ISE rechazó la autenticación porque ninguna regla de la autorización correspondió con. Esto es porque vemos el atributo Llamar-estación-identificación enviado como nombre SSID añadido al final del fichero al MAC address AP, mientras que la autorización era una exacta - hacemos juego al nombre SSID. Será fijada cambiando esa regla a “contiene” en vez del “igual”
Después de solucionar esto, el cliente del wifi todavía no puede assocate al SSID mientras que ISE demanda la autorización es un éxito y volvió los atributos correctos CWA.
Usted puede ir al troubleshooting > página radiactiva del rastro de la red UI WLC.
en la mayoría de los casos, usted puede confiar en siempre-en los registros e incluso conseguir los registros de los últimos intentos de conexión sin la reproducción del problema una vez más.
Agregue el MAC address del cliente y el tecleo genera
En este caso, el problema miente con el hecho que hicimos un error tipográfico al crear el nombre y lo ACL no hace juego el nombre ACL vuelto por ISEs o se queja el WLC allí no es ningún ACL tal como el pidió por ISE:
2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162 client authz result: FAILURE 2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42, 2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.