Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer un réseau local Sans fil d'authentification Web centrale (WLAN) sur les contrôleurs Sans fil de gamme Catalyst 9800 (9800 WLC) par l'interface utilisateur graphique (GUI) ou l'interface de ligne de commande (CLI).
Contribué par Karla Cisneros Galvan, Nicolas Darchis et Sudha Katgeri, ingénieur TAC Cisco.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est vivant, assurez-vous que vous comprenez l'impact potentiel de n'importe quelle commande.
Étape 1. Ajoutez le serveur ISE à la configuration 9800 WLC et créez une liste de méthode d'authentification
Vous pouvez suivre les instructions de ce lien :
Étape 2. Créez une liste d'authorization method
Naviguez liste > autorisation vers la configuration > la Sécurité > d'AAA > d'AAA méthode > + ajoutent
Étape 3 (facultative). Créez une liste d'accounting method
Étape 1. Créez le WLAN
GUI :
Naviguez vers la configuration > la radio > les WLAN > + ajoutent et configurent le réseau comme nécessaire.
Étape 2. Écrivez les informations WLAN
Étape 3. Naviguez vers l'onglet Sécurité et sélectionnez la méthode nécessaire de Sécurité. Dans ce cas seulement filtrage MAC et la liste que vous avez créés à l'étape 2 sur la section de configuration d'AAA.
Étape 3. Naviguez vers l'onglet d'AAA et sélectionnez également la méthode d'authentification (créée dans étape 1 de la section précédente) et la liste d'accounting method.
CLI :
# config t
# wlan <ssid-name> <wlan-id> <profile-name>
# mac-filtering <AuthZ-network-list>
# no security wpa
# no security wpa akm dot1x
# no security wpa wpa2
# no security wpa wpa2 ciphers aes
# security dot1x authentication-list <dot1x-AuthC-list>
# no shutdown
À l'intérieur d'un profil de stratégie vous pouvez décider quel VLAN affectent les clients, entre d'autres configurations (comme liste de contrôles d'accès [ACLs], qualité de service [QoS], ancre de mobilité, temporisateurs et ainsi de suite).
Vous pouvez ou utiliser votre profil de stratégie par défaut ou vous pouvez créer un nouveau.
GUI :
Étape 1. Créez un profil de nouvelle stratégie
Naviguez vers la configuration > la radio > le profil de stratégie et configurez votre par défaut-stratégie-profil ou créez un neuf.
Assurez que le profil est activé.
Étape 2. Sélectionnez le VLAN
Naviguez pour accéder à l'onglet de stratégies et pour sélectionner le nom de VLAN de la baisse vers le bas ou pour taper manuellement l'ID DE VLAN
Étape 3. Configurez le profil de stratégie pour recevoir ISE ignore et modification de l'autorisation (CoA). Vous pouvez sur option spécifier une méthode de compte aussi.
CLI :
# config # wireless profile policy <policy-profile-name> # aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown
À l'intérieur de la stratégie la balise est où vous joignez votre SSID avec votre profil de stratégie. Vous pouvez créer une balise de nouvelle stratégie ou utiliser la balise de stratégie par défaut.
Note: La par défaut-stratégie-balise trace automatiquement n'importe quel SSID avec un ID de WLAN entre 1 à 16 au par défaut-stratégie-profil. Il ne peut pas être modifié ou supprimé. Si vous avez un WLAN avec l'ID 17 ou plus élevé la par défaut-stratégie-balise ne peut pas être utilisée.
GUI :
Naviguez vers la configuration > les balises et les profils > les balises > la stratégie et ajoutez un neuf si nécessaire.
Liez votre profil WLAN au profil désiré de stratégie.
Note: Même lorsqu'il y a d'autres profils WLAN répertoriés sous la balise de stratégie, s'ils ne font pas tracer un profil de stratégie, ils ne sont pas activés sous cette balise de stratégie.
CLI :
# config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name>
Assignez la balise de stratégie aux aps nécessaires.
GUI :
Pour assigner la balise à un AP naviguez vers la configuration > la radio > les Points d'accès > le nom AP > les balises générales, faites l'affectation nécessaire et puis cliquez sur la mise à jour et appliquez au périphérique.
Note: Rendez-vous compte qu'après que la modification la balise de stratégie sur AP, il perde son association aux 9800 WLC et joignez de retour dans environ 1 minute.
Pour assigner la même balise de stratégie à plusieurs aps naviguez vers la configuration > la radio > la configuration sans fil > le début maintenant > s'appliquent.
Sélectionnez les aps auxquels vous voulez assigner la balise et le clic + la balise aps
Sélectionnez la balise whished et cliquez sur la sauvegarde et appliquez au périphérique
CLI :
# config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end
Étape 1. Naviguez vers la configuration > la Sécurité > l'ACL > + ajoutent pour créer un nouvel ACL.
Sélectionnez un nom pour l'ACL, faites-lui le type étendu par ipv4 et ajoutez chaque règle comme ordre
L'ACL doit ressembler à ceci (remplacez 172.16.0.12 par vous l'adresse IP d'ISE) :
Note: Pour l'ACL de redirection, pensez pour refusent l'action comme redirection de refuser (ne pas refuser le trafic), et permettent l'action comme redirection d'autorisation.
CLI :
ip access-list extended REDIRECT
deny udp any any eq domain
deny udp any eq bootps any
deny udp any any eq bootpc
deny tcp any host 172.16.0.12 eq 8443
permit tcp any any eq www
permit tcp any any eq 443 >>> This redirects all HTTPS requests towards ISE. This has traditionally caused issues in scale deployment. So, use this config with caution.
Étape 1. Naviguez vers la gestion > les ressources de réseau > les périphériques de réseau.
Étape 2. Cliquez sur +Add et écrivez les 9800 configurations WLC.
Sur option, il peut être un nom modèle spécifié, version de logiciel, description et affecter des groupes de périphériques réseau basés sur des types de périphérique, l'emplacement ou le WLCs.
a.b.c.d correspondent à l'interface du WLC qui envoie l'authentification demandée.
Périphérique Groupsreview d'aboutNetwork de pour en savoir plus ce lien :
ISE - Groupes de périphériques réseau
Étape 1. Naviguez vers la gestion > la Gestion de l'identité > les identités > les utilisateurs > ajoutent
Étape 2. Écrivez les informations.
Dans cet exemple, cet utilisateur appartient à un groupe appelé l'ALL_ACCOUNTS mais il peut être ajusté comme nécessaire
Le profil de stratégie est le résultat assigné à un client basé sur ses paramètres (comme MAC address, qualifications, WLAN utilisé et ainsi de suite). Il peut assigner les configurations spécifiques comme le réseau local virtuel (VLAN), Listes de contrôle d'accès (ACL), l'uniform resource locator (URL) réoriente et ainsi de suite.
Ces étapes affichent comment créer le profil d'autorisation requis pour réorienter le client au portail d'authentification.
Étape 1. Naviguez vers la stratégie > les éléments de stratégie > les résultats > l'autorisation > les profils d'autorisation > ajoutent
Étape 2. Écrivez les informations de redirection. Assurez-vous que le nom d'ACL est identique qui a été configuré sur les 9800 WLC.
Étape 1. Naviguez vers la stratégie > l'authentification.
Étape 2. Cliquez sur Edit de la règle de MAB.
Étape 3. Modifiez le réseau de par défaut de MAB pour continuer à la phase d'autorisation même lorsque le client n'est pas intérieurement trouvé.
Étape 4. Cliquez sur fait et sauvegardez pour sauvegarder les modifications.
La règle d'autorisation est celle responsable pour déterminer quel résultat d'autorisations (qui profil d'autorisation) est appliqué au client.
Étape 1. Naviguez le toPolicy > l'autorisation suivant les indications de l'image. Une fois que là, allez à la première règle, cliquez sur en fonction la flèche à côté de éditent et sélectionnent la nouvelle règle d'insertion ci-dessus.
Étape 2. Sélectionnez les conditions pour que le processus d'autorisation tombe dans cette règle. Dans cet exemple, le processus d'autorisation frappe cette règle si son ID de station appelée contient cwa-SSID.
Étape 3. Sélectionnez le profil d'autorisation qui est assigné aux clients qui frappent cette règle, cliquent sur fait et l'sauvegardent pour sauvegarder les modifications.
Étape 3. Reproduisez la règle de réorientation au-dessus de elle-même.
Étape 4. Ajoutez l'accès au réseau : UseCase ÉGALE GuestFlow comme une autre condition de la règle reproduite et change l'autorisation à PermitAccess.
Cette règle la détecte si le client a été précédemment authentifié (utilisant le cas d'utilisation d'accès au réseau) et si oui, il applique un accès d'autorisation. Sur option, au lieu d'une autorisation de PermitAccess vous pourriez établir un nouveau profil d'autorisation et assigner de nouveaux paramètres (comme un ACL)
Étape 5. Sauvegardez les règles
Sauvegarde de clic au bas des règles.
Ce qui si vous avez des Points d'accès de commutation locale de Flexconnect et des WLAN ? Les sections précédentes sont encore valides. Cependant, nous avons besoin d'une étape supplémentaire afin de pousser l'ACL de réorientation aux aps à l'avance.
Naviguez vers la configuration > les balises et les profils > le flexible et cliquez sur en fonction votre profil de flexible. Allez à l'ACL de stratégie l'onglet.
Cliquez sur Add
Choisissez le votre réorientent le nom d'ACL et activent « l'authentification Web centrale ». Cette case à cocher inverse automatiquement l'ACL sur AP lui-même (c'est parce que « refusez » la déclaration signifie que « le redirect to cet IP » sur le WLC dans IOS-XE cependant sur AP « ne refusent pas » la déclaration signifie l'opposé, ainsi cette case à cocher permute automatiquement toutes les autorisations et refuse en poussant à AP. Vous pouvez vérifier ceci avec une forme « de liste d'accès de show ip » AP CLI).
N'oubliez pas de frapper pour sauvegarder et alors mettre à jour et appliquer au périphérique.
Vous pouvez utiliser ces commandes de vérifier la configuration en cours
# show run wlan # show run aaa # show aaa servers # show ap config general # show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
WLC 9800 fournit des capacités ILLIMITÉES de suivi. Ceci s'assure que tous les erreurs associées par Connectivité de client, wanring et messages de niveau d'avis sont constamment connectés et vous pouvez visualiser des logs pour un incident ou une condition de panne après qu'elle se soit produite.
Note: Selon le volume de logs étant générés, vous pouvez retourner peu d'heures à plusieurs jours.
Afin de visualiser les suivis que 9800 WLC collectés par défaut, vous peuvent se connecter par l'intermédiaire de SSH/Telnet aux 9800 WLC et suivre ces étapes (assurez que vous vous connectez la session à un fichier texte).
Étape 1. Le temps en cours ainsi vous du contrôleur de contrôle peut dépister les logins le temps de nouveau à quand la question s'est produite.
# show clock
Étape 2. Collectez les Syslog de la mémoire tampon ou du Syslog externe du contrôleur comme dicté par la configuration de système. Ceci fournit une vue rapide dans les états du système et les erreurs éventuelles.
# show logging
Étape 3. Vérifiez si des debugs condition sont activés.
# show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
Note: Si vous voyez n'importe quelle condition répertoriée, il signifie que les suivis sont enregistré jusqu'à mettent au point de niveau pour tous les processus qui rencontrent les conditions activées (MAC address, IP address etc.). Ceci augmenterait le volume de logs. Par conséquent, il est recommandé pour effacer toutes les conditions en mettant au point pas activement
Étape 4. Le MAC address arrogant au test n'a pas été répertorié comme condition dans l'étape 3, collectent les suivis illimités de niveau d'avis pour le MAC address spécifique.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Vous pouvez ou afficher le contenu sur la session ou vous pouvez copier le fichier sur un serveur externe TFTP.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Élimination des imperfections conditionnelle et suivi actif par radio
Si les suivis illimités ne te fournissent pas assez d'informations pour déterminer le déclencheur pour le problème à l'étude, vous pouvez activer l'élimination des imperfections conditionnelle et capturer le suivi actif par radio (de RA), qui fournira mettez au point les suivis de niveau pour tous les processus qui interagissent avec l'état spécifié (MAC address de client dans ce cas). Afin d'activer l'élimination des imperfections conditionnelle, suivez ces étapes.
Étape 5. Assurez qu'il n'y a aucun debug condition sont activés.
# clear platform condition all
Étape 6. Activez le debug condition pour le MAC address de client sans fil que vous voulez surveiller.
Ceci commande le début pour surveiller le MAC address fourni pendant 30 minutes (1800 secondes). Vous pouvez sur option augmenter cette fois à jusqu'à 2085978494 secondes.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Note: Afin de surveiller plus d'un client à la fois, exécutez-vous mettent au point la commande Sans fil du MAC <aaaa.bbbb.cccc> par MAC address.
Note: Vous ne voyez pas la sortie de l'activité de client sur la session de travail, car tout est mis en mémoire tampon intérieurement pour être visualisé plus tard.
Étape 7. Reproduisez la question ou le comportement que vous voulez surveiller.
Étape 8. Arrêtez met au point si la question est reproduite avant que le par défaut ou le temps configuré de moniteur soit en hausse.
# no debug wireless mac <aaaa.bbbb.cccc>
Une fois que le moniteur-temps s'est écoulé ou la radio de débogage a été arrêtée, les 9800 WLC génèrent un fichier local avec le nom :
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Étape 9. Collectez le fichier de l'activité de MAC address. Vous pouvez copier le suivi .log de Ra sur un serveur externe ou afficher la sortie directement sur l'écran.
Vérifiez le nom du fichier de suivi de RA
# dir bootflash: | inc ra_trace
Copiez le fichier sur un serveur externe :
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Affichez le contenu :
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Étape 10. Si la cause principale n'est toujours pas évidente, collectez les logs internes sont dont une vue plus bavarde mettent au point de niveau des logs. Vous n'avez pas besoin de mettre au point le client de nouveau pendant que nous prenons seulement un futher détaillé les regardons mettons au point les logs qui colllected déjà et ont été intérieurement enregistrés.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Note: Cette sortie de commande renvoie des suivis pour tous les niveaux se connectants pour tous les processus et est tout à fait volumineuse. Veuillez engager Cisco TAC aider à analyser par ces suivis.
Vous pouvez copier ra-internal-FILENAME.txt sur un serveur externe ou afficher la sortie directement sur l'écran.
Copiez le fichier sur un serveur externe :
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Affichez le contenu :
# more bootflash:ra-internal-<FILENAME>.txt
Étape 11. Retirez les debugs condition.
# clear platform condition all
Note: Assurez-vous que vous retirez toujours les debugs condition après une session de dépannage.