¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Configuración del SSID de autenticación MAC en los controladores inalámbricos Cisco Catalyst 9800

Opciones de descarga

  • PDF     (1.1 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de noviembre de 2020
ID del documento:213922
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar una red de área local inalámbrica (WLAN) con seguridad de autenticación MAC en los controladores inalámbricos Cisco Catalyst serie 9800 mediante interfaz gráfica de usuario (GUI) o interfaz de línea de comandos (CLI).

    prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Dirección MAC
    • Controladores inalámbricos Cisco Catalyst serie 9800
    • Identity Service Engine (ISE)

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • IOS-XE Gibraltar v16.12
    • ISE v2.2

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de la red

    Configuración

    Configuración AAA en el WLC 9800

    Autenticar clientes con servidor externo

    GUI:

    Siga los pasos 1, 2 y 3 desde este enlace:

    Configuración AAA en WLC de la serie 9800

    Paso 4. Crear un método de red de autorización

    Navegue hasta Configuration > Security > AAA > AAA Method List > Authorization > + Add y créelo.

    CLI:

    # config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authorization network <AuthZ-method-name> group <radius-grp-name>
    Autenticar clientes localmente

    Crear un método de red de autorización local

    Navegue hasta Configuration > Security > AAA > AAA Method List > Authorization > + Add y créelo.

    CLI:

    # config t
    # aaa new-model
    # aaa authorization network AuthZ-local local

    Configuración de WLAN

    GUI:

    Paso 1. Creación de la WLAN

    Navegue hasta Configuration > Wireless > WLANs > + Add y configure la red según sea necesario.

    Paso 2. Introduzca la información WLAN

    Paso 3. Navegue hasta la ficha Seguridad y desactive Modo de Seguridad de Capa 2 y habilite Filtrado MAC. En Lista de autorización, seleccione el método de autorización creado en el paso anterior. A continuación, haga clic en Guardar y aplicar al dispositivo.

    CLI:

    # config t
# wlan <profile-name> <wlan-id> <ssid-name>
# mac-filtering <authZ-network-method>
    # no security wpa akm dot1x
    # no security wpa wpa2 ciphers aes
    # no shutdown

    Configuración del perfil de política

    Necesita habilitar aaa-override en policy-profile para asegurarse de que el filtrado de mac por SSID funciona correctamente.

    Configuración del perfil de política en el WLC 9800

    Configuración de la etiqueta de política

    Policy Tag en 9800 WLC

    Asignación de etiqueta de política

    Asignación de etiqueta de política en el WLC 9800

    Registrar dirección MAC permitida

    Registra localmente la dirección MAC en el WLC para la autenticación local

    Vaya a Configuration > Security > AAA > AAA Advanced > AP Authentication > + Add

    Escriba la dirección mac en todas las minúsculas y sin separador, después de hacer clic en Guardar y aplicar al dispositivo.

    Nota: en las versiones anteriores a 17.3, la interfaz de usuario web estaba cambiando cualquier formato MAC que haya escrito en el formato "sin separador" que se muestra en la ilustración. En 17.3 y posteriores, la interfaz de usuario web respetará el formato que haya introducido y, por lo tanto, es esencial no introducir ningún separador. Error de mejora CSCvv43870 realiza un seguimiento del soporte de varios formatos para la autenticación MAC

    CLI:

    # config t
# username <aabbccddeeff> mac
    Introduzca la dirección MAC en la base de datos de terminales ISE

    Paso 1. (Opcional) Cree un nuevo grupo de terminales.

    Vaya a Centros de trabajo > Acceso de red > Grupos de ID > Grupos de identidades de terminales > + Agregar

    Paso 2. Vaya a Centros de trabajo > Acceso a la red > Identidades > Terminales > +

    Configuración de ISE

    Agregar 9800 WLC a ISE

    Siga las instrucciones de este enlace

    Declarar WLC a ISE

    Crear una regla de autenticación

    Las reglas de autenticación se utilizan para verificar si las credenciales de los usuarios son correctas (verifique si el usuario es realmente quien dice ser) y limitar los métodos de autenticación que puede utilizar.

    Paso 1. Vaya aPolicy > Authentication como se muestra en la imagen.

    Confirme que la regla MAB predeterminada existe en su ISE.

    Paso 2. Verifique que la regla de autenticación predeterminada para MAB ya exista:

    Si no es así, puede agregar uno nuevo haciendo clic en Insertar nueva fila arriba.

    Crear regla de autorización

    La regla de autorización es la encargada de determinar qué permisos (qué perfil de autorización) se aplican al cliente.

    Paso 1. Vaya aPolicy > Authorization como se muestra en la imagen.

    Paso 2. Inserte una nueva regla como se muestra en la imagen.

    Paso 3. Introduzca los valores.

    Primero, seleccione un nombre para la regla y el grupo de identidad donde se almacena el extremo (MACaddressgroup) como se muestra en la imagen.

    Después, seleccione otras condiciones que hagan que el proceso de autorización caiga en esta regla. En este ejemplo, el proceso de autorización llega a esta regla si utiliza el MAB inalámbrico y su ID de estación llamada (el nombre del SSID) termina con las autenticaciones mac mostradas en la imagen.

    Por último, seleccione el perfil de autorización que se asigna, en este caso PermitAccess a los clientes que aplican esa regla, haga clic en Doney guárdelo .

      

    Verificación

    Puede utilizar estos comandos para verificar la configuración actual

    # show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Troubleshoot

    El WLC 9800 proporciona capacidades de seguimiento SIEMPRE ACTIVO. Esto asegura que todos los mensajes de nivel de aviso, advertencia y errores relacionados con la conectividad del cliente se registren constantemente y puede ver los registros de una condición de incidente o falla después de ocurrido. 

    Nota: Dependiendo del volumen de registros que se generen, puede retornar unas horas a varios días.

    Para ver los seguimientos que el WLC 9800 recolectó de forma predeterminada, puede conectarse a través de SSH/Telnet con el WLC 9800 y seguir estos pasos (asegúrese de registrar la sesión en un archivo de texto).

    Paso 1. Verifique la hora actual del controlador para que pueda rastrear los registros en el tiempo de vuelta al momento en que ocurrió el problema.

    # show clock

     Paso 2. Recopile los registros del sistema del buffer del controlador o del syslog externo según lo dictado por la configuración del sistema. Esto proporciona una vista rápida del estado del sistema y de los errores, si los hubiera.

    # show logging

    Paso 3. Verifique si hay alguna condición de depuración habilitada.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Nota: Si ve alguna condición en la lista, significa que los seguimientos se están registrando al nivel de depuración para todos los procesos que encuentran las condiciones activadas (dirección mac, dirección ip, etc). Esto aumentaría el volumen de registros. Por lo tanto, se recomienda borrar todas las condiciones cuando no se realiza la depuración activa

    Paso 4. Suponiendo que la dirección mac en prueba no se enumeró como condición en el Paso 3, recopile los seguimientos de nivel de aviso siempre activos para la dirección mac específica.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Puede mostrar el contenido en la sesión o copiar el archivo a un servidor TFTP externo.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Debugging condicional y Rastreo Activo de Radio 

    Si los seguimientos siempre activos no le proporcionan suficiente información para determinar el desencadenador del problema que se está investigando, puede habilitar la depuración condicional y capturar el seguimiento de Radio Activo (RA), que proporcionará seguimientos de nivel de depuración para todos los procesos que interactúan con la condición especificada (dirección mac del cliente en este caso). Para habilitar la depuración condicional, siga estos pasos.

    Paso 5. Asegúrese de que no haya condiciones de depuración habilitadas.

    # clear platform condition all

    Paso 6. Habilite la condición de depuración para la dirección MAC del cliente inalámbrico que desea monitorear.

    Estos comandos comienzan a monitorear la dirección mac proporcionada durante 30 minutos (1800 segundos). Opcionalmente, puede aumentar este tiempo hasta 2085978494 segundos.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Nota: Para monitorear más de un cliente a la vez, ejecute el comando debug wireless mac <aaaa.bbbb.cccc> por dirección mac.

    Nota: No ve el resultado de la actividad del cliente en la sesión de terminal, ya que todo se almacena internamente en la memoria intermedia para ser visto más tarde.

      

    Paso 7. Reproduzca el problema o comportamiento que desea supervisar.

    Paso 8. Detenga las depuraciones si el problema se reproduce antes de que se active la hora de monitor predeterminada o configurada.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Una vez que ha transcurrido el tiempo de monitoreo o se ha detenido el debug wireless, el WLC 9800 genera un archivo local con el nombre:

    ra_trace_MAC_aaabbbcccc_HMMSS.XXX_timezone_Day_Week_Month_Day_year.log

    Paso 9. Recopile el archivo de la actividad de la dirección mac.  Puede copiar el archivo ra trace .log en un servidor externo o mostrar el resultado directamente en la pantalla.

    Verifique el nombre del archivo de seguimientos de RA

    # dir bootflash: | inc ra_trace

    Copie el archivo a un servidor externo:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Mostrar el contenido:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Paso 10. Si la causa raíz todavía no es obvia, recopile los registros internos que son una vista más detallada de los registros de nivel de depuración. No es necesario que vuelva a depurar el cliente, ya que sólo estamos examinando más detalladamente los registros de depuración que ya se han recopilado y almacenado internamente.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Nota: Este resultado del comando devuelve seguimientos para todos los niveles de registro para todos los procesos y es bastante voluminoso. Póngase en contacto con el TAC de Cisco para que le ayude a analizar estos seguimientos.

    Puede copiar ra-internal-FILENAME.txt en un servidor externo o mostrar el resultado directamente en la pantalla.

    Copie el archivo a un servidor externo:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Mostrar el contenido:

    # more bootflash:ra-internal-<FILENAME>.txt

     Paso 11. Elimine las condiciones de depuración.

    # clear platform condition all

    Nota: Asegúrese de quitar siempre las condiciones de depuración después de una sesión de resolución de problemas.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Karla Cisneros Galvan
      Ingeniero del TAC de Cisco
    • Sudha Katgeri
      Ingeniero del TAC de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros