Configuración del SSID de autenticación MAC en los controladores inalámbricos Catalyst 9800

Opciones de descarga

  • PDF     (1.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:24 de febrero de 2023
ID del documento:213922

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar una red de área local inalámbrica (WLAN) con seguridad de autenticación MAC en Cisco Catalyst 9800 WLC.

    Prerequisites

    Requisito

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Dirección MAC
    • Controladores inalámbricos Cisco Catalyst serie 9800
    • Identity Service Engine (ISE)

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco IOS® XE Gibraltar v16.12
    • ISE v2.2

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de la red

    Topology Diagram

    Configuración de AAA en WLC 9800

    Autenticar clientes con servidor externo

    GUI:

    Lea los pasos 1-3 de la sección 'Configuración AAA en WLC 9800' de este link:

    Configuración AAA en el WLC de la serie 9800

    Paso 4. Cree un método de red de autorización.

    Desplácese hasta  Configuration > Security > AAA > AAA Method List > Authorization > + Add  y crearlo.

    Add AAA Accounting Method

    Defining a AAA Authorization Network Method

    CLI:

    # config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authorization network <AuthZ-method-name> group <radius-grp-name>


    Autenticar clientes localmente

    Cree un método de red de autorización local.

    Desplácese hasta  Configuration > Security > AAA > AAA Method List > Authorization > + Add  y crearlo.

    Add AAA Accounting Method

    Local Network Authorization Method

    CLI:

    # config t
    # aaa new-model
    # aaa authorization network AuthZ-local local


    Configuración de WLAN

    GUI:

    Paso 1. Cree la WLAN.

    Desplácese hasta  Configuration > Wireless > WLANs > + Add  y configurar la red según sea necesario.

    Add a Wireless Network

    Paso 2. Introduzca la información de la WLAN.

    New WLAN Page

    Paso 3. Desplácese hasta el  Security  y desactivar  Layer 2 Security Mode  y habilitar  MAC Filtering. Desde  Authorization List, elija el método de autorización creado en el paso anterior. Haga clic en  Save & Apply to Device.

    WLAN Security Layer2 Page



    CLI:

    # config t
# wlan <profile-name> <wlan-id> <ssid-name>
# mac-filtering <authZ-network-method>
    # no security wpa akm dot1x
    # no security wpa wpa2 ciphers aes
    # no shutdown


    Configuración del perfil de la política

    Debe activar  aaa-override en el perfil de políticas para asegurarse de que el filtrado de MAC por SSID funciona correctamente.

    Configuración del perfil de política en 9800 WLC

    Configuración de etiquetas de políticas

    Etiqueta de política en el WLC 9800

    Asignación de etiquetas de políticas

    Asignación de etiquetas de políticas en el WLC 9800

    Registre la dirección MAC permitida.

    Registre localmente la dirección MAC en el WLC para la autenticación local

    Desplácese hasta  Configuration > Security > AAA > AAA Advanced > AP Authentication > + Add.

    Add AP Authentication MAC on the WLC

    Escriba la dirección MAC en minúsculas sin separadores y haga clic en  Save & Apply to Device.

    New MAC Address

    Nota: En las versiones anteriores a la 17.3, la interfaz de usuario web cambió cualquier formato MAC que haya escrito al formato 'sin separador' que se muestra en la ilustración. En la versión 17.3 y posteriores, la interfaz de usuario web respeta cualquier diseño que haya introducido y, por lo tanto, es esencial no introducir ningún separador. El Id. de bug Cisco CSCvv43870 de la mejora rastrea el soporte de varios formatos para la autenticación MAC.

    CLI:

    # config t
# username <aabbccddeeff> mac

    Introduzca la dirección MAC en la base de datos de terminales ISE

    Paso 1. (Opcional) Cree un nuevo grupo de terminales.
    Desplácese hasta  Work Centers > Network Access > Id Groups > Endpoint Identity Groups > + Add.

    Add an Identity Group


    New Endpoint Identity Group on ISE


    Paso 2. Desplácese hasta  Work Centers > Network Access > Identities > Endpoints > +Add.

    Creating a New Endpoint on ISE


    Add an Endpoint on ISE

    Configuración de ISE

    Adición del WLC 9800 a ISE.

    Lea las instrucciones de este enlace: Declare el WLC a ISE.

    Crear una regla de autenticación

    Las reglas de autenticación se utilizan para comprobar si las credenciales de los usuarios son correctas (comprobar si el usuario es realmente quien dice ser) y limitar los métodos de autenticación que puede utilizar.

    Paso 1. Desplácese hasta Policy > Authentication  como se muestra en la imagen.
    Confirme que la regla MAB predeterminada existe en su ISE.

    New Authentication Policy on ISE

    Paso 2. Verifique que la regla de autenticación predeterminada para MAB ya existe:

    MAB Rule on ISE

    Si no es así, puede agregar uno nuevo al hacer clic en  Insert new row above.

    Insert a New Authentication Rule on ISE

    Creación de reglas de autorización

    La regla de autorización es la encargada de determinar qué resultado de permiso (perfil de autorización) se aplica al cliente.

    Paso 1. Desplácese hasta Policy > Authorization  como se muestra en la imagen.

    New Authorization Policy on ISE

    Paso 2. Inserte una nueva regla como se muestra en la imagen.

    Insert a New Authorization Rule on ISE

    Paso 3. Introduzca los valores.

    En primer lugar, elija un nombre para la regla y el grupo de identidad donde se almacena el extremo (MACaddressgroup), como se muestra en la imagen.

    Selecting an Endpoint Group on ISE

    Después de esto, elija otras condiciones que realizan el proceso de autorización para que se ajusten a esta regla. En este ejemplo, el proceso de autorización llega a esta regla si utiliza Wireless MAB y su ID de estación llamada (el nombre del SSID) termina con mac-auth  como se muestra en la imagen.

    MAC Rule Detailed

    Por último, elija el perfil de autorización que se asigna, en este caso,  PermitAccess a los clientes que cumplen esa regla. Haga clic en Done  y guárdelo.

    MAC Rule on ISE

    Verificación

    Puede utilizar estos comandos para verificar la configuración actual:

    # show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Troubleshoot

    El WLC 9800 proporciona capacidades de seguimiento SIEMPRE ACTIVO. Esto garantiza que todos los errores, advertencias y mensajes de nivel de notificación relacionados con la conectividad del cliente se registren constantemente y que pueda ver los registros de una condición de incidente o error después de que se haya producido.

    Nota: Aunque depende del volumen de registros generados, puede retroceder unas horas a varios días.

    Para ver los seguimientos que 9800 WLC recolectó por defecto, puede conectarse vía SSH/Telnet al 9800 WLC y leer estos pasos (asegúrese de registrar la sesión en un archivo de texto).

    Paso 1. Compruebe la hora actual del controlador para poder realizar un seguimiento de los registros desde el momento en que se produjo el problema.

    # show clock


    Paso 2. Recopile registros del sistema del buffer del controlador o del registro del sistema externo según lo dicte la configuración del sistema. Esto proporciona una vista rápida del estado y los errores del sistema, si los hubiera.

    # show logging


    Paso 3. Verifique si hay alguna condición de depuración habilitada.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Nota: Si ve alguna condición en la lista, significa que los seguimientos se registran en el nivel de depuración para todos los procesos que encuentran las condiciones habilitadas (dirección MAC, dirección IP, etc.). Esto aumenta el volumen de registros. Por lo tanto, se recomienda borrar todas las condiciones cuando no se está depurando activamente.


    Paso 4. Si la dirección MAC en la prueba no se incluyó como condición en el paso 3, recopile los seguimientos del nivel de aviso siempre activo para la dirección MAC específica.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>


    Puede mostrar el contenido de la sesión o copiar el archivo en un servidor TFTP externo.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>


    Depuración condicional y seguimiento activo por radio 

    Si los seguimientos siempre activos no proporcionan suficiente información para determinar el desencadenador del problema que se está investigando, puede habilitar la depuración condicional y capturar el seguimiento de Radio Active (RA), que proporciona seguimientos de nivel de depuración para todos los procesos que interactúan con la condición especificada (dirección MAC del cliente en este caso). Para habilitar la depuración condicional, lea estos pasos.

    Paso 5. Asegúrese de que no hay condiciones de depuración habilitadas.

    # clear platform condition all


    Paso 6. Habilite la condición de depuración para la dirección MAC del cliente inalámbrico que desea monitorear.

    Estos comandos comienzan a monitorear la dirección MAC proporcionada durante 30 minutos (1800 segundos). Opcionalmente, puede aumentar este tiempo hasta 2 085 978 494 segundos.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Nota: Para monitorear más de un cliente a la vez, ejecute debug wireless mac   por dirección mac.

    Nota: Usted no ve el resultado de la actividad del cliente en la sesión de terminal, ya que todo se almacena en buffer internamente para ser visto más tarde.


    Paso 7. Reproduzca el problema o el comportamiento que desea monitorear.

    Paso 8. Detenga las depuraciones si el problema se reproduce antes de que se agote el tiempo de monitoreo predeterminado o configurado.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Una vez que ha transcurrido el tiempo del monitor o se ha detenido el debug wireless, el WLC 9800 genera un archivo local con el nombre: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Paso 9. Recopile el archivo de la actividad de la dirección MAC. Puede copiar el archivo  ra trace .log  a un servidor externo o muestre el resultado directamente en la pantalla.

    Verifique el nombre del archivo de seguimiento activo por radio:

    # dir bootflash: | inc ra_trace


    Copie el archivo en un servidor externo:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Muestre el contenido:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log


    Paso 10. Si la causa raíz aún no es obvia, recopile los registros internos que son una vista más detallada de los registros de nivel de depuración. No es necesario depurar el cliente de nuevo, ya que solo se tiene en cuenta un aspecto más detallado de los registros de depuración que ya se han recopilado y almacenado internamente.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Nota: Esta salida de comando devuelve seguimientos para todos los niveles de registro para todos los procesos y es bastante voluminosa. Póngase en contacto con el TAC de Cisco para analizar estos seguimientos.


    Puede copiar el archivo  ra-internal-FILENAME.txt a un servidor externo o muestre el resultado directamente en la pantalla.

    Copie el archivo en un servidor externo:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt


    Muestre el contenido:

    # more bootflash:ra-internal-<FILENAME>.txt


    Paso 11. Elimine las condiciones de depuración.

    # clear platform condition all

    Nota: Asegúrese de eliminar siempre las condiciones de depuración después de una sesión de troubleshooting.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    4.0
    24-Feb-2023
    Actualizaciones de formato secundarias
    3.0
    05-Dec-2022
    Actualizaciones de formato pequeñas
    1.0
    21-Nov-2018
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Karla Cisneros Galvan
      Cisco TAC Engineer
    • Sudha Katgeri
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos