Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Liste d'autorisation des points d'accès des contrôleurs sans fil Catalyst 9800

Options de téléchargement

  • PDF     (1.9 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.9 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (2.1 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:21 juin 2021
ID du document:213916

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document explique comment configurer la stratégie d'authentification du point d'accès (AP). Cette fonctionnalité garantit que seuls les points d'accès autorisés peuvent rejoindre un contrôleur LAN sans fil Catalyst 9800. Ce document ne couvre pas le cas des points d'accès maillés (série 1500) qui nécessitent une entrée de filtre mac pour rejoindre le contrôleur, mais ne suivent pas le flux d'autorisation AP type (voir références).

    Informations générales

    Pour autoriser un point d'accès (AP), l'adresse MAC Ethernet du point d'accès doit être autorisée par rapport à la base de données locale avec le contrôleur de réseau local sans fil 9800 ou par rapport à un serveur RADIUS (Remote Authentication Dial-In User Service) externe.

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • 9800 WLC
    • Accès CLI (Command Line Interface) aux contrôleurs sans fil

    Components Used

    WLC 9800 v16.12

    AP 1810 W

    AP 1700

    Identity Service Engine (ISE) v2.2

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configuration

    Diagramme du réseau

    Configurations

    Liste d'autorisations des points d'accès MAC - Local

    L'adresse MAC des points d'accès autorisés est stockée localement dans le WLC 9800.

    Étape 1. Créez une liste de méthodes de téléchargement des informations d'identification d'autorisation locales.

    Accédez à Configuration > Security > AAA > AAA Method List > Authorization > + Add

    Étape 2. Activez l'autorisation MAC AP.

    Accéder à Configuration > Security > AAA > AAA Advanced > AP Policy. Activez Autoriser les points d'accès sur MAC et sélectionnez la liste des méthodes d'autorisation créée à l'étape 1.

      

      

    Étape 3. Ajoutez l'adresse MAC Ethernet du point d'accès.

    Accéder à Configuration > Security > AAA > AAA Advanced > Device Authentication > MAC Address > + Add


    Remarque : l'adresse MAC Ethernet du point d'accès doit être dans l'un de ces formats, lorsqu'il est entré dans l'interface utilisateur Web(xx:xx:xx:xx:xx (ou) xxxx.xxxx.xxxx (ou) xx-xx-xx-xx-xx-xx) dans la version 16.12. Dans la version 17.3, ils doivent être au format xxxxxxxxxxxx sans séparateur. Le format CLI est toujours xxxxxxxxxxxx dans n'importe quelle version (dans 16.12, l'interface utilisateur Web supprime les séparateurs dans la configuration). CSCvv43870 permettra d'utiliser n'importe quel format dans l'interface CLI ou Web dans les versions ultérieures.

    CLI :

    # config t
    # aaa new-model
# aaa authorization credential-download <AP-auth> local
    
# ap auth-list authorize-mac
# ap auth-list method-list <AP-auth>

# username <aaaabbbbcccc> mac

    Liste d'autorisations MAC AP - Serveur RADIUS externe

    Configuration WLC 9800

    L'adresse MAC des AP autorisés est stockée sur un serveur RADIUS externe, dans cet exemple ISE.

    Sur ISE, vous pouvez enregistrer l'adresse MAC des points d'accès en tant que noms d'utilisateur/mot de passe ou en tant que points de terminaison. Au cours des étapes, vous recevrez des instructions sur le paramètre à sélectionner pour utiliser d'une manière ou d'une autre.

    IUG:

    Étape 1 : déclaration du serveur RADIUS

    Accédez à Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add et saisissez les informations du serveur RADIUS.

    Assurez-vous que la prise en charge de CoA est activée si vous prévoyez d'utiliser l'authentification Web centrale (ou tout type de sécurité nécessitant CoA) dans le futur. 

    Étape 2. Ajouter le serveur RADIUS à un groupe RADIUS

    Accédez à Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add

    Pour que ISE authentifie l'adresse MAC de l'AP lorsque les noms d'utilisateur laissent le filtrage MAC comme aucun. 

    Pour que ISE authentifie l'adresse MAC du point d'accès au fur et à mesure que les points de terminaison changent MAC-Filtering en mac. 

    Étape 3. Créez une liste de méthodes de téléchargement des informations d'identification d'autorisation.

    Accédez à Configuration > Security > AAA > AAA Method List > Authorization > + Add

    Étape 4. Activez l'autorisation MAC AP.

    Accéder à Configuration > Security > AAA > AAA Advanced > AP Policy. Activez Autoriser les points d'accès sur MAC et sélectionnez la liste des méthodes d'autorisation créée à l'étape 3.

      

    CLI :

    # config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

    # aaa server radius dynamic-author
    # client <radius-server-ip> server-key <shared-key>

    # aaa authorization credential-download <AP-auth> group <radius-grp-name>
# ap auth-list authorize-mac
    # ap auth-list method-list <AP-ISE-auth>
    Configuration ISE

    Étape 1. Suivez ces instructions pour ajouter 9800 WLC à ISE

    Déclarer le WLC 9800 sur ISE

    En fonction de la façon dont vous voulez authentifier l'adresse MAC du point d'accès, procédez comme suit :

    Configurer USE pour authentifier l'adresse MAC en tant que points de terminaison

    Configurer ISE pour authentifier l'adresse MAC en tant que nom d'utilisateur/mot de passe

    Configurer ISE pour authentifier l'adresse MAC en tant que points d'extrémité

    Étape 2. (Facultatif) Créez un groupe d'identité pour les points d'accès

    En raison du fait que le 9800 n'envoie pas l'attribut NAS-port-Type lors de l'autorisation AP (CSCvy74904 ), ISE ne reconnaît pas une autorisation de point d'accès en tant que workflow MAB et il n'est donc pas possible d'authentifier un point d'accès en plaçant l'adresse MAC du point d'accès dans la liste des points d'extrémité, sauf si vous modifiez les workflows MAB pour ne pas exiger l'attribut de type NAS-PORT sur ISE.

    Accédez à Administrateur > Profil de périphérique réseau et créez un nouveau profil de périphérique. Activez RADIUS, et ajoutez service-type=call-check pour le MAB câblé. Vous pouvez copier le reste à partir du profil d'origine de Cisco. L'idée est de ne pas avoir de condition de type nas-port pour le MAB câblé.

    Revenez à l'entrée de votre périphérique réseau pour le 9800 et définissez son profil sur le profil de périphérique nouvellement créé.

    Accédez à Administration > Identity Management > Groups > Endpoint Identity Groups > + Add.

    Choisissez un nom et cliquez sur Soumettre.

    Étape 3. Ajoutez l'adresse MAC Ethernet du point d'accès à son groupe d'identité de point d'extrémité.

    Accédez à Centres de travail > Accès réseau > Identités > Terminaux > +

    Saisissez les informations nécessaires.

    Étape 4. Vérifiez que le magasin d'identité utilisé sur votre règle d'authentification par défaut contient les points de terminaison internes.

    A. Accédez à Policy > Authentication et prenez note du magasin d'identités.

    B. Accédez à Administration > Identity Management > Identity Source Sequences > Identity Name.

    C. Assurez-vous que les terminaux internes y appartiennent, sinon ajoutez-les.

    Configurer ISE pour authentifier l'adresse MAC en tant que nom d'utilisateur/mot de passe

    Cette méthode n'est pas conseillée car elle nécessite de diminuer vos stratégies de mot de passe afin de permettre d'avoir le même mot de passe que le nom d'utilisateur. Il peut toutefois être contourné si vous ne pouvez pas modifier votre profil de périphérique réseau

    Étape 2. (Facultatif) Créez un groupe d'identité pour les points d'accès

    Accédez à Administration > Identity Management > Groups > User Identity Groups > + Add.

    Choisissez un nom et cliquez sur Soumettre.

    Étape 3. Vérifiez que votre stratégie de mot de passe actuelle vous permet d'ajouter une adresse MAC en tant que nom d'utilisateur et mot de passe.

    Accédez à Administration > Identity Management > Settings > User Authentication Settings > Password Policy et assurez-vous qu'au moins ces options sont désactivées :

    Remarque : Vous pouvez également désactiver l'option Désactiver le compte utilisateur après XX jours si le mot de passe n'a pas été modifié.Comme il s'agit d'une adresse MAC, le mot de passe ne change jamais. 

    Étape 4. Ajoutez l'adresse MAC Ethernet du point d'accès.

    Accédez à Administration > Identity Management > Identities > Users > + Add

    Saisissez les informations nécessaires.

    Remarque : Name and Login Passwordfield doit être l'adresse MAC Ethernet de l'AP, tous les minuscules et aucun séparateur.

    Stratégie d'autorisation pour authentifier les points d'accès

    Accédez à Stratégie > Autorisation comme indiqué dans l'image.

    Insérez une nouvelle règle comme l'illustre l'image.

    Tout d'abord, sélectionnez un nom pour la règle et le groupe d'identités dans lequel le point d'accès est stocké (AccessPoints). Sélectionnez User Identity Groups si vous avez décidé d'authentifier l'adresse MAC en tant que mot de passe de nom d'utilisateur ou End Identity Groups si vous choisissez d'authentifier l'adresse MAC de l'AP en tant que points de terminaison.

    Ensuite, sélectionnez d'autres conditions qui effectuent le processus d'autorisation pour tomber dans cette règle. Dans cet exemple, le processus d'autorisation applique cette règle s'il utilise le contrôle d'appel de type service et que la demande d'authentification provient de l'adresse IP 10.88.173.52.

    Enfin, sélectionnez le profil d'autorisation attribué aux clients qui ont atteint cette règle, cliquez surDoneet enregistrez-le comme indiqué dans l'image.

    Remarque : les AP qui ont déjà rejoint le contrôleur ne perdent pas leur association. Cependant, si, après avoir activé la liste d'autorisations, ils perdent la communication avec le contrôleur et tentent de se joindre à nouveau, ils passent par le processus d'authentification. Si leurs adresses MAC ne sont pas répertoriées localement ou sur le serveur RADIUS, elles ne peuvent pas se joindre au contrôleur.

    Vérification

    Vérifier si le WLC 9800 a activé la liste d'authentification AP

    # show ap auth-list

    Authorize APs against MAC : Disabled
    Authorize APs against Serial Num : Enabled
    Authorization Method List : <auth-list-name>

     Vérifier la configuration de radius :

    # show run aaa

    Dépannage

    Le WLC 9800 fournit des fonctionnalités de suivi TOUJOURS ACTIVÉES. Cela garantit que tous les messages relatifs aux jointures AP, aux avertissements et aux niveaux de notification sont constamment consignés et vous pouvez afficher les journaux d'un incident ou d'une défaillance après qu'il se soit produit. 

    Note: Selon le volume de journaux générés, vous pouvez revenir quelques heures en arrière à plusieurs jours.

    Afin d'afficher les traces collectées par défaut par le WLC 9800, vous pouvez vous connecter via SSH/Telnet au WLC 9800 et suivre ces étapes (assurez-vous que vous enregistrez la session dans un fichier texte).

    Étape 1. Vérifiez l'heure actuelle du contrôleur afin que vous puissiez suivre les journaux dans le temps remontant au moment où le problème s'est produit.

    # show clock

     Étape 2. Collectez les syslogs à partir de la mémoire tampon du contrôleur ou du syslog externe, comme le dicte la configuration système. Cela permet d'afficher rapidement l'état du système et les erreurs, le cas échéant.

    # show logging

    Étape 3. Vérifiez si des conditions de débogage sont activées.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Note: Si vous voyez une condition répertoriée, cela signifie que les traces sont enregistrées jusqu'au niveau de débogage pour tous les processus qui rencontrent les conditions activées (adresse MAC, adresse IP, etc.). Cela augmenterait le volume des journaux. Par conséquent, il est recommandé d'effacer toutes les conditions lorsque le débogage n'est pas actif

    Étape 4. En supposant que l'adresse MAC testée n'est pas répertoriée comme condition à l'étape 3, collectez les traces de niveau de notification toujours actives pour l'adresse MAC radio spécifique.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Vous pouvez afficher le contenu de la session ou copier le fichier sur un serveur TFTP externe.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Débogage conditionnel et suivi radio actif 

    Si les traces toujours actives ne vous donnent pas suffisamment d'informations pour déterminer le déclencheur du problème en cours d'investigation, vous pouvez activer le débogage conditionnel et capturer la trace Radio Active (RA), qui fournira des traces de niveau de débogage pour tous les processus qui interagissent avec la condition spécifiée (adresse MAC du client dans ce cas). Afin d'activer le débogage conditionnel, suivez ces étapes.

    Étape 5. Assurez-vous qu'aucune condition de débogage n'est activée.

    # clear platform condition all

    Étape 6. Activez la condition de débogage pour l'adresse MAC du client sans fil que vous voulez surveiller.

    Cette commande commence à surveiller l'adresse mac fournie pendant 30 minutes (1 800 secondes). Vous pouvez éventuellement augmenter cette durée jusqu'à 2085978494 secondes.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Remarque : Afin de surveiller plusieurs clients à la fois, exécutez la commande debug wireless mac <aaaa.bbbb.cccc> par adresse mac.

    Remarque : Vous ne voyez pas le résultat de l'activité du client sur la session de terminal, car tout est mis en mémoire tampon en interne pour être affiché ultérieurement.

      

    Étape 7. Reproduisez le problème ou le comportement à surveiller.

    Étape 8. Arrêtez les débogages si le problème est reproduit avant que l'heure de surveillance par défaut ou configurée ne soit activée.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Une fois que le temps de surveillance est écoulé ou que le débogage sans fil a été arrêté, le WLC 9800 génère un fichier local portant le nom suivant :

    ra_trace_MAC_aaabbbcccc_HHMMSS.XXX_timezone_Day_Week_Month_Day_year.log

    Étape 9. Collectez le fichier de l'activité d'adresse MAC.  Vous pouvez copier le fichier .log de la trace de ra sur un serveur externe ou afficher la sortie directement à l'écran.

    Vérifier le nom du fichier de traces RA

    # dir bootflash: | inc ra_trace

    Copiez le fichier sur un serveur externe :

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Afficher le contenu :

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Étape 10. Si la cause racine n'est toujours pas évidente, collectez les journaux internes qui sont une vue plus détaillée des journaux de niveau débogage. Vous n'avez pas besoin de déboguer à nouveau le client car nous ne faisons qu'examiner plus en détail les journaux de débogage qui ont déjà été collectés et stockés en interne.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Note: Cette sortie de commande retourne des traces pour tous les niveaux de journalisation pour tous les processus et est assez volumineux. Contactez le TAC de Cisco pour vous aider à analyser ces traces.

    Vous pouvez copier le fichier ra-internal-FILENAME.txt sur un serveur externe ou afficher le résultat directement à l'écran.

    Copiez le fichier sur un serveur externe :

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Afficher le contenu :

    # more bootflash:ra-internal-<FILENAME>.txt

     Étape 11. Supprimez les conditions de débogage.

      

    # clear platform condition all

    Note: Assurez-vous de toujours supprimer les conditions de débogage après une session de dépannage.

    Références

    Joindre les points d'accès maillés au WLC 9800

    TAC Authored

    Contribution d’experts de Cisco

    • Nicolas Darchis
      Cisco TAC Engineer
    • Sudha Katgeri
      Cisco TAC Engineer
    • Andres Silva
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits