¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Configure para asegurar un Switchport de Flexconnect AP con Dot1x

Opciones de descarga

  • PDF     (376.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (309.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (353.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:19 de diciembre de 2018
ID del documento:200492
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la configuración para asegurar los Switchports donde los puntos de acceso de FlexConnect autentican con Dot1x usando el radio VSA del device-traffic-class=switch para permitir el tráfico de LANs inalámbrico localmente cambiado (redes inalámbricas (WLAN)).

    Prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • FlexConnect en el regulador inalámbrico Lan (WLC)
    • 802.1x en el Switches de Cisco
    • Topología de la autenticación del borde de la red (ASEADA)

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • WS-C3560CX-8PC-S, 15.2(4)E1

    • AIR-CT-2504-K9, 8.2.141.0
    • Motor del servicio de la identidad (ISE) 2.0

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

    Configurar

    Diagrama de la red

      

    En este puesto el Punto de acceso actúa como el suplicante del 802.1x y es autenticado por el conmutador contra ISE usando el EAP-FAST. Una vez que el puerto se configura para la autenticación del 802.1x, el conmutador no permite que ningún tráfico con excepción del tráfico del 802.1x pase a través del puerto hasta que el dispositivo conectado con el puerto autentique con éxito.

    Una vez que el Punto de acceso autentica con éxito contra ISE, el conmutador recibe device-traffic-class=switch del atributo de Cisco VSA “y mueve automáticamente el puerto al tronco.

    Este los medios, si el AP utiliza el modo de FlexConnect y localmente ha cambiado los SSID configurados, podrá enviar el tráfico marcado con etiqueta. Asegúrese de que la ayuda vlan esté activada en el AP y el vlan nativo correcto está configurada. 

    Configuración AP: -

    1. Si el AP se une a ya al WLC, va la tabulación inalámbrica y hace clic en el Punto de acceso. Va el campo de Credetials y el nder las credenciales del suplicante del 802.1x que dirigen, controla el cuadro global de las credenciales de la invalidación para fijar el nombre de usuario y contraseña del 802.1x para este Punto de acceso. 

    Usted puede también fijar un nombre de usuario y contraseña del comman para todos los Puntos de acceso que se unen a al WLC con el menú de la configuración global.

    2. Si el Punto de acceso no se ha unido a un WLC todavía, usted debe consolar en el REVESTIMIENTO para fijar las credenciales y para utilizar este comando CLI:

    Consola cli del capwap de LAP#debug
    <password> de la contraseña del <username> username de LAP#capwap ap dot1x 

    Configuración del switch: -

    1. Active dot1x en el conmutador global y agregue el servidor ISE para cambiar

    aaa de modelo nuevo

    ¡!
    radio del grupo predeterminado de la autenticación dot1x aaa

    ¡!
    radio del grupo predeterminado de la autorización de red AAA

    ¡!

    sistema-auth-control dot1x

    ¡!

    servidor de RADIUS ISE
    acct-puerto 1646 del auténtico-puerto 1645 del direccionamiento ipv4 10.48.39.161
      clave 7 123A0C0411045D5679

    2. Ahora configure el puerto del switch AP

    interconecte GigabitEthernet0/4
    VLAN de acceso al puerto del switch 231
    switchport trunk no prohibido 231,232 vlan
    acceso de modo del switchport
    multi-host de la autenticación host-MODE
    orden dot1x de la autenticación
    auto del puerto-control de la autenticación
    authenticator de los pae dot1x
    borde del árbol de expansión Portfast

    Si uno quiere configurar el MAB en vez de dot1x entonces el config del puerto parece: -

    interfaz GigabitEthernet0/4
    VLAN de acceso al puerto del switch 231
    switchport trunk no prohibido 231,232 vlan
    acceso de modo del switchport
    multi-host de la autenticación host-MODE
    orden mab de la autenticación
    auto del puerto-control de la autenticación
    mab
    borde del árbol de expansión Portfast

    Configuración ISE: - 

    1. En ISE, uno puede activar simplemente ASEADO para el perfil de la autorización AP para fijar el atributo correcto, sin embargo, en otros servidores de RADIUS, usted puede configurar manualmente.

    2. En ISE, uno también necesita configurar la directiva de la política de autenticación y de la autorización. En este caso golpeamos la regla de la autenticación del valor por defecto que es dot.1x(wired atado con alambre MAB en caso de MAB) pero uno puede personalizarlo según el requisito. 

    En cuanto a la directiva de la autorización (Port_AuthZ), en este caso agregamos las credenciales AP a un grupo de usuarios (APs) y empujamos el perfil de la autorización (AP_Flex_Trunk) basado en esto. 

    Verificación

    Use esta sección para confirmar que su configuración funciona correctamente.

    1. En el conmutador, puede utilizar una vez el comando “autocfg todo de la característica de la autenticación de la depuración” de controlar si el puerto se está moviendo al puerto troncal o no. 

    20 de febrero 12:34:18.119: %LINK-3-UPDOWN: Interfaz GigabitEthernet0/4, estado cambiado a para arriba
    20 de febrero 12:34:19.122: %LINEPROTO-5-UPDOWN: Línea protocolo en el interfaz GigabitEthernet0/4, estado cambiado a para arriba
    akshat_sw#
    akshat_sw#
    20 de febrero 12:38:11.113: AUTHENTIC-FEAT-AUTOCFG-EVENT: En el start_fn dot1x AutoCfg, epm_handle: 3372220456
    20 de febrero 12:38:11.113: AUTHENTIC-FEAT-AUTOCFG-EVENT: [588d.0997.061d, tipo de dispositivo Gi0/4] = conmutador
    20 de febrero 12:38:11.113: AUTHENTIC-FEAT-AUTOCFG-EVENT: [588d.0997.061d, nuevo cliente Gi0/4]
    20 de febrero 12:38:11.113: AUTHENTIC-FEAT-AUTOCFG-EVENT: Estatus macro interno de la aplicación [Gi0/4] Autocfg: 1
    20 de febrero 12:38:11.113: AUTHENTIC-FEAT-AUTOCFG-EVENT: Tipo de dispositivo [Gi0/4]: 2
    20 de febrero 12:38:11.113: AUTHENTIC-FEAT-AUTOCFG-EVENT: Auto-config [Gi0/4]: el stp tiene port_config 0x85777D8
    20 de febrero 12:38:11.113: AUTHENTIC-FEAT-AUTOCFG-EVENT: Auto-config [Gi0/4]: el port_config del stp tiene guard_config 2 del bpdu
    20 de febrero 12:38:11.116: AUTHENTIC-FEAT-AUTOCFG-EVENT: Aplicación [Gi0/4] auto-cfg en el puerto.
    20 de febrero 12:38:11.116: AUTHENTIC-FEAT-AUTOCFG-EVENT: [Gi0/4] Vlan: VLAN-Str 231: 231
    20 de febrero 12:38:11.116: AUTHENTIC-FEAT-AUTOCFG-EVENT: [Gi0/4] que aplica la macro dot1x_autocfg_supp
    20 de febrero 12:38:11.116: Aplicando el comando… 'ningún VLAN de acceso al puerto del switch 231' en Gi0/4
    20 de febrero 12:38:11.127: Aplicando el comando… “ningún nonegotiate del switchport” en Gi0/4
    20 de febrero 12:38:11.127: Aplicando el comando… “tronco del modo del switchport” en Gi0/4
    20 de febrero 12:38:11.134: Aplicando el comando… 'switchport trunk 231' vlan nativo en Gi0/4
    20 de febrero 12:38:11.134: Aplicando el comando… “tronco del árbol de expansión Portfast” en Gi0/4
    20 de febrero 12:38:12.120: %LINEPROTO-5-UPDOWN: Línea protocolo en el interfaz GigabitEthernet0/4, estado cambiado a abajo
    20 de febrero 12:38:15.139: %LINEPROTO-5-UPDOWN: Línea protocolo en el interfaz GigabitEthernet0/4, estado cambiado a para arriba

    2. La salida del “funcionamiento internacional el g0/4" de la demostración mostrará que el puerto ha cambiado a un puerto troncal.

    Configuración actual 295 bytes
    ¡!
    interfaz GigabitEthernet0/4
    switchport trunk no prohibido 231,232,239 vlan
    switchport trunk 231 vlan nativos
    tronco del modo del switchport
    multi-host de la autenticación host-MODE
    orden dot1x de la autenticación
    auto del puerto-control de la autenticación
    authenticator de los pae dot1x
    tronco del borde del árbol de expansión Portfast
    extremo

    3. En ISE, bajo Operations>>Radius Livelogs uno podemos la autenticación que es acertada y el perfil correcto de la autorización que es empujado. 

    4. Si conectamos a un cliente después de que esto entonces su MAC address sea aprendida en el puerto del switch AP en el cliente 232 vlan. 

    direccionamiento-tabla internacional g0/4 del mac del akshat_sw#sh
    Tabla del MAC address
    -------------------------------------------

    Tipo puertos del MAC address de Vlan
    ---- ----------- -------- -----
    231 588d.0997.061d Gi0/4 ESTÁTICOS - AP 
    232 c0ee.fbd7.8824 Gi0/4 DINÁMICO - Cliente 

    En el WLC, en el detalle del cliente puede ser visto que pertenece este cliente 232 vlan y el SSID localmente está cambiado. Aquí está un recorte.

    (Detalle c0:ee:fb:d7:88:24 del cliente del >show del regulador de Cisco)
    Dirección MAC ............................... c0:ee:fb:d7:88:24 del cliente
    Nombre de usuario del cliente ................................. N/A
    Dirección MAC ................................... b4:14:89:82:cb:90 AP
    Nombre AP .......................................... Aks_desk_3502
    Identificación del número de slot de radio AP ................................. 1
    Estado del cliente ..................................... Asociado
    Grupo de usuario de cliente ................................
    Estado del cliente NAC OOB ............................. Acceso
    Identificación LAN de la Tecnología inalámbrica .................................. 2
    Nombre de red inalámbrico LAN (SSID) ................. Puerto-Auth
    Nombre del perfil inalámbrico LAN ........................ Puerto-auth
    Hotspot (802.11u) ................................ Not Supported
    BSSID ............................................ b4:14:89:82:cb:9f
    Conectado por ................................... 42 secs
    Canal .......................................... 44
    Dirección IP ....................................... 192.168.232.90
    Dirección del gateway .................................. 192.168.232.1
    Máscara de red .......................................... 255.255.255.0
    Identificación de la asociación ................................... 1
    Algoritmo de la autenticación ......................... Sistema operativo
    Código de motivo ...................................... 1
    Código de estado ...................................... 0

    Transferencia de los datos de FlexConnect ....................... Local
    Estatus DHCP de FlexConnect .......................... Local
    FlexConnect Vlan basó la transferencia central ......... No
    Autenticación de FlexConnect ....................... Central
    Asociación central de FlexConnect .................. No
    NOMBRE ............................ 232 vlan del VLA N de FlexConnect
    VLA N de la cuarentena .................................. 0
    Tenga acceso al VLA N ...................................... 232
    VLA N que puentea local .............................. 232

    Troubleshooting

    En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

    • Si la autenticación falla, utilice la depuración dot1x, ponen a punto los comandos authentication.
    • Si el puerto no se mueve al tronco, ingrese el comando all del autocfg de la característica de la autenticación del poner a punto.
    • Asegúrese que usted haga el modo del multi-host (multi-host de la autenticación host-MODE) configurar. El Multi-host tiene que ser activado para permitir las direcciones MAC de la Tecnología inalámbrica del cliente.
    • el comando de la “autorización de red AAA” se debe configurar para que el conmutador valide y aplique los atributos enviados por ISE. 
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Bastien Migette
      TAC de Cisco
    • Ritin Mahajan
      TAC de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Déjenos ayudarlo

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros