Configure la autenticación SSID MAC en el Cisco Catalyst 9800 reguladores inalámbricos

Introducción

Este documento describe cómo poner una red de área local inalámbrica (red inalámbrica (WLAN)) con la Seguridad de la autenticación MAC en los reguladores inalámbricos de las Cisco Catalyst 9800 Series por la interfaz gráfica de usuario (GUI) o el comando line interface(cli).

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Dirección MAC
• Reguladores de la Tecnología inalámbrica de las Cisco Catalyst 9800 Series
• Motor del servicio de la identidad (ISE)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• IOS-XE Gibraltar v16.10
• ISE v2.2

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúrese de que usted entienda el impacto potencial del comando any.

Configurar

Diagrama de la red

Configuración

Configuración AAA en 9800 WLC

Autentique a los clientes con el servidor externo

GUI:

Siga el paso 1, 2 y 3 de esto link:

Configuración AAA en el eWLC

Paso 4. Cree un método de la red de la autorización

Navegue a la lista de métodos > a la autorización del > Security (Seguridad) de la configuración >AAA >AAA > + la agregan y crean.

CLI:

# config t
# aaa new-model
# dot1x system-auth-control

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authorization network <AuthZ-method-name> group <radius-grp-name>

Autentique a los clientes localmente

Paso 1. Control auténtico del sistema del permiso Dot1x

Usted necesita permitir al control auténtico del sistema Dot1x permitir a 9800 WLC actuar como authenticator.

Navegue a la lista de métodos del > Security (Seguridad) de la configuración >AAA >AAA y active el control auténtico del sistema Dot1x, ese tecleo se aplican después al dispositivo.

Paso 2. Cree un método local de la red de la autorización

Navegue a la lista de métodos > a la autorización del > Security (Seguridad) de la configuración >AAA >AAA > + la agregan y crean.

CLI:

# config t
# aaa new-model
# dot1x system-auth-control
# aaa authorization network AuthZ-local local

Configuración de la red inalámbrica (WLAN)

GUI:

Paso 1. Cree la red inalámbrica (WLAN)

Navegue a la configuración > a la Tecnología inalámbrica > a las redes inalámbricas (WLAN) > + agregan y configuran la red según las necesidades.

Paso 2. Ingrese la información WLAN

Paso 3. Navegue a la ficha de seguridad y inhabilite al modo seguro de la capa 2 y active la filtración MAC. De la lista de la autorización, seleccione el método de autorización creado en el paso anterior. Después haga clic la salvaguardia y apliqúese al dispositivo.

CLI:

# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# mac-filtering <authZ-network-method>
# no security wpa akm dot1x
# no security wpa wpa2 ciphers aes
# no shutdown

Configuración del perfil de la directiva

Configuración del perfil de la directiva en 9800 WLC

Configuración de la etiqueta de la directiva

Etiqueta de la directiva en 9800 WLC

Asignación de la etiqueta de la directiva

Asignación de la etiqueta de la directiva en 9800 WLC

Dirección MAC permitida registro

Localmente dirección MAC del registro

GUI:

Navegue al > Security (Seguridad) de la configuración >AAA >AAA avanzado > autenticación AP > + agregan

Escriba a MAC address toda la minúscula y ningún separador, después esa salvaguardia del tecleo y apliqúese al dispositivo.

CLI:

# config t
# username <aabbccddeeff> mac

Dirección MAC del registro ISE

El paso 1. (opcional) crea a un nuevo grupo de la punto final.

Navegue a los centros > al acceso a la red > a la identificación de trabajo agrupa > los grupos de la identidad de la punto final > + agregan

Paso 2. Navegue a los centros > al acceso a la red > a las identidades > a las puntos finales de trabajo > +

Configuración ISE

Agregue 9800 WLC a ISE

Siga las instrucciones de este link

Declare WLC a ISE

Cree una regla de la autenticación

Las reglas de la autenticación se utilizan para verificar si las credenciales de los usuarios correcto (verifique si el usuario es realmente quién dice que es) y limitar los métodos de autenticación que se permiten ser utilizados por él.

Paso 1. Navegue el toPolicy > la autenticación tal y como se muestra en de la imagen.

Confirme que la regla MAB del valor por defecto existe en su ISE.

Paso 2. Verifique que exista la regla de la autenticación del valor por defecto para el MAB ya:

Si no, usted puede agregar un nuevo por fila del separador de millares del tecleo la nueva arriba.

Cree la regla de la autorización

La regla de la autorización es la que está responsable determinar qué resultado de los permisos (que perfil de la autorización) se aplica al cliente.

Paso 1. Navegue el toPolicy > la autorización tal y como se muestra en de la imagen.

Paso 2. Inserte una nueva regla tal y como se muestra en de la imagen.

Paso 3. Ingrese los valores.

Primero, seleccione un nombre para la regla y el grupo de la identidad donde la punto final se salva (MACaddressgroup) tal y como se muestra en de la imagen.

Después de eso, seleccione otras condiciones que hagan el proceso de la autorización para bajar en esta regla. En este ejemplo, el proceso de la autorización golpea esta regla si utiliza la Tecnología inalámbrica MAB y sus estación que recibe la llamada withmac-authas de los finales identificación (el nombre del SSID) mostrados en la imagen.

Finalmente, seleccione el perfil de la autorización se asigna que, en este caso PermitAccess a los clientes que golpean esa regla, salvaguardia del clickDoneand él.

  

Verificación

Usted puede utilizar estos comandos de verificar la configuración actual

# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

Troubleshooting

WLC 9800 proporciona SIEMPRE-EN las capacidades que rastrean. Esto se asegura que todos los errores relacionados de la Conectividad del cliente, wanring y mensajes llanos del aviso estén registrados constantemente y usted puede ver los registros para una condición del incidente o del error después de que haya ocurrido. 

Note: Dependiendo del volumen de registros que son generados, usted puede ir detrás pocas horas a varios días.

Para ver los rastros que 9800 WLC recogidos por abandono, usted pueden conectar vía SSH/Telnet con los 9800 WLC y seguir los siguientes pasos (asegúrese que usted está registrando la sesión a un archivo de texto).

Paso 1. La hora actual así que usted del regulador del control pueden seguir abre una sesión el tiempo de nuevo a cuando sucedió el problema.

# show clock

 Paso 2. Recoja los Syslog del Syslog externo del regulador del almacenador intermediario o según lo dictado por la configuración del sistema. Esto proporciona a una visión rápida en los Estados generales del sistema y los errores, si los hay.

# show logging

Paso 3. Verifique si se activan algunas condiciones de la depuración.

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Note: Si usted ve cualquier condición enumerada, significa que los rastros se están registrando hasta la depuración llana para todos los procesos que encuentran las condiciones activadas (MAC address, IP address etc). Esto aumentaría el volumen de registros. Por lo tanto, se recomienda para borrar todas las condiciones al no activamente poner a punto

Paso 4. El MAC address asumido bajo prueba no fue enumerado como condición en el paso 3, recoge siempre-en los rastros del nivel del aviso para el MAC address específico.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

Usted puede o visualizar el contenido en la sesión o usted puede copiar el fichero a un servidor del externo TFTP.

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Debugging condicional y seguimiento activo de la radio 

Si siempre-en los rastros no le dé bastante información para determinar el activador para el problema bajo investigación, usted puede activar el debugging condicional y capturar el rastro activo de radio (del RA), que proporcionará a los rastros del nivel de la depuración para todos los procesos que obren recíprocamente con la condición especificada (MAC address del cliente en este caso). Para activar el debugging condicional, siga los siguientes pasos.

Paso 5. Asegúrese que no haya condiciones de la depuración esté activado.

# clear platform condition all

Paso 6. Active la condición de la depuración para el MAC address del cliente de red inalámbrica que usted quiere vigilar.

Este comandos start de vigilar el MAC address proporcionado por 30 minutos (1800 segundos). Usted puede aumentar opcionalmente este vez a hasta 2085978494 segundos.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

  

Note: Para vigilar a más de un cliente al mismo tiempo, funcione con el comando inalámbrico del mac <aaaa.bbbb.cccc> de la depuración por el MAC address.

Note: Usted no ve la salida de la actividad del cliente en la sesión terminal, pues todo se protege internamente para ser vista más adelante.

  

Paso 7. Reproduzca el problema o el comportamiento que usted quiere vigilar.

Paso 8. Pare las depuraciones si se reproduce el problema antes de que el valor por defecto o el tiempo configurado del monitor esté para arriba.

# no debug wireless mac <aaaa.bbbb.cccc>

Una vez que ha transcurrido el monitor-tiempo o se ha parado la Tecnología inalámbrica de la depuración, los 9800 WLC generan un archivo local con el nombre:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Paso 9. Recoja el fichero de la actividad del MAC address.  Usted puede cualquier copia el rastro .log del ra a un servidor externo o visualizar la salida directamente en la pantalla.

Controle el nombre del fichero de rastros del RA

# dir bootflash: | inc ra_trace

Copie el fichero a un servidor externo:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

 Visualice el contenido:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Paso 10. Si la causa raíz todavía no es obvia, recoja los registros internos que son una vista más prolija de los registros del nivel de la depuración. Usted no necesita poner a punto al cliente otra vez mientras que estamos hechando una ojeada solamente detallada futher los registros de la depuración que colllected ya e internamente se han salvado.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Note: Este comando hizo salir los rastros de las devoluciones para todos los niveles de registro para todos los procesos y es muy voluminoso. Dedique por favor el TAC de Cisco para ayudar a analizar a través de estos rastros.

Usted puede cualquier copia ra-internal-FILENAME.txt a un servidor externo o visualizar la salida directamente en la pantalla.

Copie el fichero a un servidor externo:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

Visualice el contenido:

# more bootflash:ra-internal-<FILENAME>.txt

 Paso 11 Quite las condiciones de la depuración.

# clear platform condition all

Note: Asegúrese de que usted quite siempre las condiciones de la depuración después de una sesión del troubleshooting.