Introducción
Este documento describe cómo configurar una red de área local inalámbrica (WLAN) con seguridad de autenticación MAC en los controladores inalámbricos Cisco Catalyst serie 9800 mediante interfaz gráfica de usuario (GUI) o interfaz de línea de comandos (CLI).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Dirección MAC
- Controladores inalámbricos Cisco Catalyst serie 9800
- Identity Service Engine (ISE)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- IOS-XE Gibraltar v16.12
- ISE v2.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
Diagrama de la red

Configuración
Configuración AAA en el WLC 9800
Autenticar clientes con servidor externo
GUI:
Siga los pasos 1, 2 y 3 desde este enlace:
Configuración AAA en WLC de la serie 9800
Paso 4. Crear un método de red de autorización
Navegue hasta Configuration > Security > AAA > AAA Method List > Authorization > + Add y créelo.


CLI:
# config t
# aaa new-model
# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit
# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit
# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>
# aaa authorization network <AuthZ-method-name> group <radius-grp-name>
Autenticar clientes localmente
Crear un método de red de autorización local
Navegue hasta Configuration > Security > AAA > AAA Method List > Authorization > + Add y créelo.


CLI:
# config t
# aaa new-model
# aaa authorization network AuthZ-local local
Configuración de WLAN
GUI:
Paso 1. Creación de la WLAN
Navegue hasta Configuration > Wireless > WLANs > + Add y configure la red según sea necesario.

Paso 2. Introduzca la información WLAN

Paso 3. Navegue hasta la ficha Seguridad y desactive Modo de Seguridad de Capa 2 y habilite Filtrado MAC. En Lista de autorización, seleccione el método de autorización creado en el paso anterior. A continuación, haga clic en Guardar y aplicar al dispositivo.

CLI:
# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# mac-filtering <authZ-network-method>
# no security wpa akm dot1x
# no security wpa wpa2 ciphers aes
# no shutdown
Configuración del perfil de política
Necesita habilitar aaa-override en policy-profile para asegurarse de que el filtrado de mac por SSID funciona correctamente.
Configuración del perfil de política en el WLC 9800
Configuración de la etiqueta de política
Policy Tag en 9800 WLC
Asignación de etiqueta de política
Asignación de etiqueta de política en el WLC 9800
Registrar dirección MAC permitida
Registra localmente la dirección MAC en el WLC para la autenticación local
Vaya a Configuration > Security > AAA > AAA Advanced > AP Authentication > + Add

Escriba la dirección mac en todas las minúsculas y sin separador, después de hacer clic en Guardar y aplicar al dispositivo.

Nota: en las versiones anteriores a 17.3, la interfaz de usuario web estaba cambiando cualquier formato MAC que haya escrito en el formato "sin separador" que se muestra en la ilustración. En 17.3 y posteriores, la interfaz de usuario web respetará cualquier formato que haya introducido y, por lo tanto, es esencial no introducir ningún separador. Error de mejora CSCvv43870
realiza un seguimiento del soporte de varios formatos para la autenticación MAC
CLI:
# config t
# username <aabbccddeeff> mac
Introduzca la dirección MAC en la base de datos de terminales ISE
Paso 1. (Opcional) Cree un nuevo grupo de terminales.
Vaya a Centros de trabajo > Acceso de red > Grupos de ID > Grupos de identidades de terminales > + Agregar


Paso 2. Vaya a Centros de trabajo > Acceso a la red > Identidades > Terminales > +


Configuración de ISE
Agregar 9800 WLC a ISE
Siga las instrucciones de este enlace
Declarar WLC a ISE
Crear una regla de autenticación
Las reglas de autenticación se utilizan para verificar si las credenciales de los usuarios son correctas (verifique si el usuario es realmente quien dice ser) y limitar los métodos de autenticación que puede utilizar.
Paso 1. Vaya aPolicy > Authentication como se muestra en la imagen.
Confirme que la regla MAB predeterminada existe en su ISE.

Paso 2. Verifique que la regla de autenticación predeterminada para MAB ya exista:

Si no es así, puede agregar uno nuevo haciendo clic en Insertar nueva fila arriba.

Crear regla de autorización
La regla de autorización es la encargada de determinar qué permisos (qué perfil de autorización) se aplican al cliente.
Paso 1. Vaya aPolicy > Authorization como se muestra en la imagen.

Paso 2. Inserte una nueva regla como se muestra en la imagen.

Paso 3. Introduzca los valores.
Primero, seleccione un nombre para la regla y el grupo de identidad donde se almacena el extremo (MACaddressgroup) como se muestra en la imagen.

Después, seleccione otras condiciones que hagan que el proceso de autorización caiga en esta regla. En este ejemplo, el proceso de autorización llega a esta regla si utiliza el MAB inalámbrico y su ID de estación llamada (el nombre del SSID) termina con las autenticaciones mac mostradas en la imagen.

Por último, seleccione el perfil de autorización que se asigna, en este caso PermitAccess a los clientes que aplican esa regla, haga clic en Doney guárdelo .

Verificación
Puede utilizar estos comandos para verificar la configuración actual
# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Troubleshoot
El WLC 9800 proporciona capacidades de seguimiento SIEMPRE ACTIVO. Esto asegura que todos los mensajes de nivel de aviso, advertencia y errores relacionados con la conectividad del cliente se registren constantemente y puede ver los registros de una condición de incidente o falla después de ocurrido.
Nota: Dependiendo del volumen de registros que se generen, puede retornar unas horas a varios días.
Para ver los seguimientos que el WLC 9800 recolectó de forma predeterminada, puede conectarse a través de SSH/Telnet con el WLC 9800 y seguir estos pasos (asegúrese de registrar la sesión en un archivo de texto).
Paso 1. Verifique la hora actual del controlador para que pueda rastrear los registros en el tiempo de vuelta al momento en que ocurrió el problema.
# show clock
Paso 2. Recopile los registros del sistema del buffer del controlador o del syslog externo según lo dictado por la configuración del sistema. Esto proporciona una vista rápida del estado del sistema y de los errores, si los hubiera.
# show logging
Paso 3. Verifique si hay alguna condición de depuración habilitada.
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Nota: Si ve alguna condición en la lista, significa que los seguimientos se están registrando al nivel de depuración para todos los procesos que encuentran las condiciones activadas (dirección mac, dirección ip, etc). Esto aumentaría el volumen de registros. Por lo tanto, se recomienda borrar todas las condiciones cuando no se realiza la depuración activa
Paso 4. Suponiendo que la dirección mac en prueba no se enumeró como condición en el Paso 3, recopile los seguimientos de nivel de aviso siempre activos para la dirección mac específica.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Puede mostrar el contenido en la sesión o copiar el archivo a un servidor TFTP externo.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Debugging condicional y Rastreo Activo de Radio
Si los seguimientos siempre activos no le proporcionan suficiente información para determinar el desencadenador del problema que se está investigando, puede habilitar la depuración condicional y capturar el seguimiento de Radio Activo (RA), que proporcionará seguimientos de nivel de depuración para todos los procesos que interactúan con la condición especificada (dirección mac del cliente en este caso). Para habilitar la depuración condicional, siga estos pasos.
Paso 5. Asegúrese de que no haya condiciones de depuración habilitadas.
# clear platform condition all
Paso 6. Habilite la condición de depuración para la dirección MAC del cliente inalámbrico que desea monitorear.
Estos comandos comienzan a monitorear la dirección mac proporcionada durante 30 minutos (1800 segundos). Opcionalmente, puede aumentar este tiempo hasta 2085978494 segundos.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Nota: Para monitorear más de un cliente a la vez, ejecute el comando debug wireless mac <aaaa.bbbb.cccc> por dirección mac.
Nota: No ve el resultado de la actividad del cliente en la sesión de terminal, ya que todo se almacena en búfer internamente para ser visto más tarde.
Paso 7. Reproduzca el problema o comportamiento que desea supervisar.
Paso 8. Detenga las depuraciones si el problema se reproduce antes de que se active la hora de monitor predeterminada o configurada.
# no debug wireless mac <aaaa.bbbb.cccc>
Una vez que ha transcurrido el tiempo de monitoreo o se ha detenido el debug wireless, el WLC 9800 genera un archivo local con el nombre:
ra_trace_MAC_aaabbbcccc_HMMSS.XXX_timezone_Day_Week_Month_Day_year.log
Paso 9. Recopile el archivo de la actividad de la dirección mac. Puede copiar el archivo ra trace .log en un servidor externo o mostrar el resultado directamente en la pantalla.
Verifique el nombre del archivo de seguimientos de RA
# dir bootflash: | inc ra_trace
Copie el archivo a un servidor externo:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Mostrar el contenido:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Paso 10. Si la causa raíz todavía no es obvia, recopile los registros internos que son una vista más detallada de los registros de nivel de depuración. No es necesario que vuelva a depurar el cliente, ya que sólo estamos examinando más detalladamente los registros de depuración que ya se han recopilado y almacenado internamente.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Nota: Este resultado del comando devuelve seguimientos para todos los niveles de registro para todos los procesos y es bastante voluminoso. Póngase en contacto con el TAC de Cisco para que le ayude a analizar estos seguimientos.
Puede copiar ra-internal-FILENAME.txt en un servidor externo o mostrar el resultado directamente en la pantalla.
Copie el archivo a un servidor externo:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Mostrar el contenido:
# more bootflash:ra-internal-<FILENAME>.txt
Paso 11. Elimine las condiciones de depuración.
# clear platform condition all
Nota: Asegúrese de quitar siempre las condiciones de depuración después de una sesión de resolución de problemas.