Contenido
Introducción
Este documento explica cómo configurar el punto de acceso Cisco OfficeExtend (OEAP) y la red de área local remota (RLAN) en el WLC 9800.
Un punto de acceso Cisco OfficeExtend (OEAP) proporciona comunicaciones seguras desde un controlador a un punto de acceso Cisco en una ubicación remota, ampliando sin problemas la WLAN corporativa a través de Internet a la residencia de un empleado. La experiencia del usuario en la oficina doméstica es exactamente la misma que en la oficina corporativa. El cifrado de seguridad de la capa de transporte del datagrama (DTLS) entre un punto de acceso y el controlador garantiza que todas las comunicaciones tengan el mayor nivel de seguridad.
Se utiliza una LAN remota (RLAN) para autenticar clientes con cables mediante el controlador. Una vez que el cliente cableado se une correctamente al controlador, los puertos LAN conmutan el tráfico entre los modos de conmutación central o local. El tráfico de los clientes por cable se trata como tráfico de cliente inalámbrico. El RLAN en punto de acceso (AP) envía la solicitud de autenticación para autenticar el cliente con cables. La autenticación de los clientes cableados en RLAN es similar al cliente inalámbrico central autenticado.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- WLC 9800
- Acceso de la interfaz de línea de comandos (CLI) a los controladores inalámbricos y los puntos de acceso
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Catalyst 9800 WLC versión 17.02.01
- AP serie 1815/1810
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
Diagrama de la red
Unión de AP detrás de NAT
En los códigos 16.12.x, debe configurar la dirección IP NAT desde la CLI. No hay ninguna opción de GUI disponible. También puede seleccionar CAPWAP discovery a través de IP pública o privada.
(config)#wireless management interface vlan 1114 nat public-ip x.x.x.x
(config-nat-interface)#capwap-discovery ?
private Include private IP in CAPWAP Discovery Response
public Include public IP in CAPWAP Discovery Response
En los códigos 17.x, navegue hasta Configuration > Interface > Wireless y luego haga clic en Wireless Management Interface, para configurar NAT IP y el tipo de detección CAPWAP desde la GUI.
Configuración
1. Para crear un perfil Flex, habilite Office Extend AP y navegue hasta Configuration > Tags & Profiles > Flex.
2. Para crear una etiqueta de sitio y asignar un perfil flexible, navegue hasta Configuración > Etiquetas y perfiles > Etiquetas.
3. Navegue para etiquetar el AP 1815 con la etiqueta del sitio creada por Configuration > Wireless Setup > Advanced > Tag AP.
Verificación
Una vez que el AP 1815 se reune al WLC, verifique este resultado:
vk-9800-1#show ap name AP1815 config general
Cisco AP Name : AP1815
=================================================
Cisco AP Identifier : 002c.c8de.3460
Country Code : Multiple Countries : IN,US
Regulatory Domain Allowed by Country : 802.11bg:-A 802.11a:-ABDN
AP Country Code : US - United States
Site Tag Name : Home-Office
RF Tag Name : default-rf-tag
Policy Tag Name : default-policy-tag
AP join Profile : default-ap-profile
Flex Profile : OEAP-FLEX
Administrative State : Enabled
Operation State : Registered
AP Mode : FlexConnect
AP VLAN tagging state : Disabled
AP VLAN tag : 0
CAPWAP Preferred mode : IPv4
CAPWAP UDP-Lite : Not Configured
AP Submode : Not Configured
Office Extend Mode : Enabled
Dhcp Server : Disabled
Remote AP Debug : Disabled
vk-9800-1#show ap link-encryption
Encryption Dnstream Upstream Last
AP Name State Count Count Update
--------------------------------------------------------------------------
N2 Disabled 0 0 06/08/20 00:47:33
AP1815 Enabled 43 865 06/08/20 00:46:56
when you enable the OfficeExtend mode for an access point DTLS data encryption is enabled automatically.
AP1815#show capwap client config
AdminState : ADMIN_ENABLED(1)
Name : AP1815
Location : default location
Primary controller name : vk-9800-1
ssh status : Enabled
ApMode : FlexConnect
ApSubMode : Not Configured
Link-Encryption : Enabled
OfficeExtend AP : Enabled
Discovery Timer : 10
Heartbeat Timer : 30
Syslog server : 255.255.255.255
Syslog Facility : 0
Syslog level : informational
vk-9800-1(config)#ap profile default-ap-profile
vk-9800-1(config-ap-profile)#no link-encryption
Disabling link-encryption globally will reboot the APs with link-encryption.
Are you sure you want to continue? (y/n)[y]:y
Inicie sesión en OEAP y configure el SSID personal
1. Puede acceder a la interfaz web de OEAP con su dirección IP. Las credenciales predeterminadas para iniciar sesión son admin y admin.
2. Se recomienda cambiar las credenciales predeterminadas por razones de seguridad.
3. Vaya a Configuration> SSID> 2.4GHz/5GHz para configurar el SSID personal.
4. Habilite la interfaz de radio.
5. Introduzca el SSID y active Broadcast (Difusión)
6. Para la encriptación, elija WPA-PSK o WPA2-PSK e introduzca la frase de paso para el tipo de seguridad correspondiente.
7. Haga clic en Aplicar para que los parámetros surtan efecto.
8. Los clientes que se conectan al SSID personal obtienen la dirección IP de la red 10.0.0.1/24 de forma predeterminada.
9. Los usuarios domésticos pueden utilizar el mismo AP para conectarse para su uso doméstico y que el tráfico no se pasa a través del túnel DTLS.
10. Para verificar las asociaciones de clientes en el OEAP, navegue hasta Inicio > Cliente. Puede ver los clientes locales y los clientes corporativos asociados con OEAP.
To clear personal ssidfrom office-extend ap
ewlc#ap name cisco-ap clear-personalssid-config
clear-personalssid-config Clears the Personal SSID config on an OfficeExtend AP
Configuración de RLAN en WLC 9800
Se utiliza una LAN remota (RLAN) para autenticar clientes con cables mediante el controlador. Una vez que el cliente cableado se une correctamente al controlador, los puertos LAN conmutan el tráfico entre los modos de conmutación central o local. El tráfico de los clientes por cable se trata como tráfico de cliente inalámbrico. El RLAN en punto de acceso (AP) envía la solicitud de autenticación para autenticar el cliente con cables.
La autenticación de los clientes cableados en RLAN es similar al cliente inalámbrico central autenticado.
Ejemplo de configuración de autenticación EAP local en el WLC de Catalyst 9800
- Para crear el perfil RLAN, navegue hasta Configuration > Wireless > Remote LAN e ingrese un Nombre y una ID RLAN para el perfil RLAN, como se muestra en esta imagen.
2. Navegue hasta Seguridad > Capa 2, para habilitar 802.1x para una RLAN, configure el estado 802.1x como Habilitado, como se muestra en esta imagen.
3. Navegue hasta Seguridad > AAA, establezca la Autenticación EAP local en habilitada y elija el Nombre de Perfil EAP requerido de la lista desplegable, como se muestra en esta imagen.
4. Para crear la política RLAN, navegue hasta Configuration > Wireless > Remote LAN y en la página Remote LAN, haga clic en la pestaña RLAN Policy, como se muestra en esta imagen.
Navegue hasta Políticas de acceso y configure la VLAN y el modo de host y aplique los parámetros.
5. Para crear la etiqueta de política y asignar el perfil RLAN a la política RLAN, navegue hasta Configuración > Etiquetas y perfiles > Etiquetas.
6. Habilite el puerto LAN y aplique la TAG de política en el AP. Navegue hasta Configuration > Wireless > Access Points y haga clic en el AP.
Aplique la configuración y el AP se reune al WLC. Haga clic en el AP, luego seleccione Interfaces y habilite el puerto LAN.
Aplique los parámetros y verifique el estado.
7. Conecte un PC en el puerto LAN3 del AP. La PC se autenticará a través de 802.1x y obtendrá una dirección IP de la VLAN configurada.
Vaya a Monitoring > Wireless > Clients para comprobar el estado del cliente.
vk-9800-1#show wireless client summary
Number of Clients: 2
MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
503e.aab7.0ff4 AP1815 WLAN 3 Run 11n(2.4) None Local
b496.9126.dd6c AP1810 RLAN 1 Run Ethernet Dot1x Local
Number of Excluded Clients: 0
Troubleshoot
Problemas comunes:
- Sólo el trabajo del SSID local, el SSID configurado en el WLC no se transmite: Verifique si el AP se ha unido al controlador correctamente.
- No se puede acceder a la GUI de OEAP: Compruebe si AP tiene dirección IP y verifique el alcance (firewall, ACL, etc. en la red)
- Los clientes con cables o inalámbricos conmutados centralmente no pueden autenticar ni obtener la dirección IP: Tome seguimientos de RA, siempre en rastros, etc.
Ejemplo de rastros siempre activos para el cliente 802.1x con cables:
[client-orch-sm] [18950]: (note): MAC: <client-mac> Association received. BSSID 00b0.e187.cfc0, old BSSID 0000.0000.0000, WLAN test_rlan, Slot 2 AP 00b0.e187.cfc0, Ap_1810
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
[dot11-validate] [18950]: (ERR): MAC: <client-mac> Failed to dot11 determine ms physical radio type. Invalid radio type :0 of the client.
[dot11] [18950]: (ERR): MAC: <client-mac> Failed to dot11 send association response. Encoding of assoc response failed for client reason code: 14.
[dot11] [18950]: (note): MAC: <client-mac> Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False AID list: 0x1| 0x0| 0x0| 0x0
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_ASSOCIATING -> S_CO_L2_AUTH_IN_PROGRESS
[client-auth] [18950]: (note): MAC: <client-mac> ADD MOBILE sent. Client state flags: 0x71 BSSID: MAC: 00b0.e187.cfc0 capwap IFID: 0x90000012
[client-auth] [18950]: (note): MAC: <client-mac> L2 Authentication initiated. method DOT1X, Policy VLAN 1119,AAA override = 0 , NAC = 0
[ewlc-infra-evq] [18950]: (note): Authentication Success. Resolved Policy bitmap:11 for client <client-mac>
[client-orch-sm] [18950]: (note): MAC: <client-mac> Mobility discovery triggered. Client mode: Local
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_L2_AUTH_IN_PROGRESS -> S_CO_MOBILITY_DISCOVERY_IN_PROGRESS
[mm-client] [18950]: (note): MAC: <client-mac> Mobility Successful. Roam Type None, Sub Roam Type MM_SUB_ROAM_TYPE_NONE, Previous BSSID MAC: 0000.0000.0000 Client IFID: 0xa0000003, Client Role: Local PoA: 0x90000012 PoP: 0x0
[client-auth] [18950]: (note): MAC: <client-mac> ADD MOBILE sent. Client state flags: 0x72 BSSID: MAC: 00b0.e187.cfc0 capwap IFID: 0x90000012
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_MOBILITY_DISCOVERY_IN_PROGRESS -> S_CO_DPATH_PLUMB_IN_PROGRESS
[dot11] [18950]: (note): MAC: <client-mac> Client datapath entry params - ssid:test_rlan,slot_id:2 bssid ifid: 0x0, radio_ifid: 0x90000006, wlan_ifid: 0xf0404001
[dpath_svc] [18950]: (note): MAC: <client-mac> Client datapath entry created for ifid 0xa0000003
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
[client-iplearn] [18950]: (note): MAC: <client-mac> Client IP learn successful. Method: DHCP IP: <Cliet-IP>
[apmgr-db] [18950]: (ERR): 00b0.e187.cfc0 Get ATF policy name from WLAN profile:: Failed to get wlan profile. Searched wlan profile test_rlan
[apmgr-db] [18950]: (ERR): 00b0.e187.cfc0 Failed to get ATF policy name
[apmgr-bssid] [18950]: (ERR): 00b0.e187.cfc0 Failed to get ATF policy name from WLAN profile name: No such file or directory
[client-orch-sm] [18950]: (ERR): Failed to get client ATF policy name: No such file or directory
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN