Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Authentification Web centrale (CWA) sur l'exemple de contrôleurs sans-fil du Catalyst 9800 et de configuration ISE v2.2

Options de téléchargement

  • PDF     (2.3 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (2.4 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:21 novembre 2018
ID du document:213918

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer un réseau local Sans fil d'authentification Web centrale (WLAN) sur les contrôleurs Sans fil de gamme Catalyst 9800 (9800 WLC) par l'interface utilisateur graphique (GUI) ou l'interface de ligne de commande (CLI).

    Contribué par Karla Cisneros Galvan, Nicolas Darchis et Sudha Katgeri, ingénieur TAC Cisco.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Mode de configuration 9800 WLC 

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • 9800 WLC IOS-XE Gibraltar v16.10
    • Engine de gestion d'identité (ISE) v2.2

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est vivant, assurez-vous que vous comprenez l'impact potentiel de n'importe quelle commande.

    Configurer

    Diagramme du réseau

    Configuration

    Configuration d'AAA sur 9800 WLC

    Étape 1. Ajoutez le serveur ISE à la configuration 9800 WLC et créez une liste de méthode d'authentification 

    Vous pouvez suivre les instructions de ce lien :

    Étape 2. Créez une liste d'authorization method

    Naviguez liste > autorisation vers la configuration > la Sécurité > d'AAA > d'AAA méthode > + ajoutent

    Étape 3 (facultative). Créez une liste d'accounting method

      

    Configuration WLAN

    Étape 1. Créez le WLAN

    GUI :

    Naviguez vers la configuration > la radio > les WLAN > + ajoutent et configurent le réseau comme nécessaire.

    Étape 2. Écrivez les informations WLAN

    Étape 3. Naviguez vers l'onglet Sécurité et sélectionnez la méthode nécessaire de Sécurité. Dans ce cas seulement filtrage MAC et la liste que vous avez créés à l'étape 2 sur la section de configuration d'AAA.

    Étape 3. Naviguez vers l'onglet d'AAA et sélectionnez également la méthode d'authentification (créée dans étape 1 de la section précédente) et la liste d'accounting method.

     CLI :

    # config t
    # wlan <ssid-name> <wlan-id> <profile-name>
    # mac-filtering <AuthZ-network-list>
    # no security wpa
    # no security wpa akm dot1x
    # no security wpa wpa2
    # no security wpa wpa2 ciphers aes
    # security dot1x authentication-list <dot1x-AuthC-list>
    # no shutdown

    Configuration de profil de stratégie

    À l'intérieur d'un profil de stratégie vous pouvez décider quel VLAN affectent les clients, entre d'autres configurations (comme liste de contrôles d'accès [ACLs], qualité de service [QoS], ancre de mobilité, temporisateurs et ainsi de suite).

    Vous pouvez ou utiliser votre profil de stratégie par défaut ou vous pouvez créer un nouveau.

    GUI :

    Étape 1. Créez un profil de nouvelle stratégie

    Naviguez vers la configuration > la radio > le profil de stratégie et configurez votre par défaut-stratégie-profil ou créez un neuf.

    Assurez que le profil est activé.

     Étape 2. Sélectionnez le VLAN

    Naviguez pour accéder à l'onglet de stratégies et pour sélectionner le nom de VLAN de la baisse vers le bas ou pour taper manuellement l'ID DE VLAN

    Étape 3. Configurez le profil de stratégie pour recevoir ISE ignore et modification de l'autorisation (CoA). Vous pouvez sur option spécifier une méthode de compte aussi.

    CLI :

    # config
# wireless profile policy <policy-profile-name>
# aaa-override
    # nac
    # vlan <vlan-id_or_vlan-name>
    # accounting-list <acct-list>
    # no shutdown

    Configuration de balise de stratégie

    À l'intérieur de la stratégie la balise est où vous joignez votre SSID avec votre profil de stratégie. Vous pouvez créer une balise de nouvelle stratégie ou utiliser la balise de stratégie par défaut.

      

    NoteLa par défaut-stratégie-balise trace automatiquement n'importe quel SSID avec un ID de WLAN entre 1 à 16 au par défaut-stratégie-profil. Il ne peut pas être modifié ou supprimé. Si vous avez un WLAN avec l'ID 17 ou plus élevé la par défaut-stratégie-balise ne peut pas être utilisée.

    GUI :

    Naviguez vers la configuration > les balises et les profils > les balises > la stratégie et ajoutez un neuf si nécessaire.

    Liez votre profil WLAN au profil désiré de stratégie.

    NoteMême lorsqu'il y a d'autres profils WLAN répertoriés sous la balise de stratégie, s'ils ne font pas tracer un profil de stratégie, ils ne sont pas activés sous cette balise de stratégie.

    CLI :

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    Rendez-vous de balise de stratégie

    Assignez la balise de stratégie aux aps nécessaires.

    GUI :

    Pour assigner la balise à un AP naviguez vers la configuration > la radio > les Points d'accès > le nom AP > les balises générales, faites l'affectation nécessaire et puis cliquez sur la mise à jour et appliquez au périphérique.

    NoteRendez-vous compte qu'après que la modification la balise de stratégie sur AP, il perde son association aux 9800 WLC et joignez de retour dans environ 1 minute.

    Pour assigner la même balise de stratégie à plusieurs aps naviguez vers la configuration > la radio > la configuration sans fil > le début maintenant > s'appliquent.


    Sélectionnez les aps auxquels vous voulez assigner la balise et le clic + la balise aps

    Sélectionnez la balise whished et cliquez sur la sauvegarde et appliquez au périphérique

    CLI :

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    Réorientez la configuration d'ACL

    Étape 1. Naviguez vers la configuration > la Sécurité > l'ACL > + ajoutent pour créer un nouvel ACL. 

    Sélectionnez un nom pour l'ACL, faites-lui le type étendu par ipv4 et ajoutez chaque règle comme ordre

    L'ACL doit ressembler à ceci (remplacez 172.16.0.12 par vous l'adresse IP d'ISE) :

    NotePour l'ACL de redirection, pensez pour refusent l'action comme redirection de refuser (ne pas refuser le trafic), et permettent l'action comme redirection d'autorisation.

    CLI :

    ip access-list extended REDIRECT
     deny udp any any eq domain
     deny udp any eq bootps any
     deny udp any any eq bootpc
     deny tcp any host 172.16.0.12 eq 8443
     permit tcp any any eq www
     permit tcp any any eq 443 >>> This redirects all HTTPS requests towards ISE. This has traditionally caused issues in scale deployment. So, use this config with caution.

    Configuration ISE

    Ajoutez 9800 WLC à ISE

    Étape 1. Naviguez vers la gestion > les ressources de réseau > les périphériques de réseau. 

     Étape 2. Cliquez sur +Add et écrivez les 9800 configurations WLC.

    Sur option, il peut être un nom modèle spécifié, version de logiciel, description et affecter des groupes de périphériques réseau basés sur des types de périphérique, l'emplacement ou le WLCs.

    a.b.c.d correspondent à l'interface du WLC qui envoie l'authentification demandée.

    Périphérique Groupsreview d'aboutNetwork de pour en savoir plus ce lien :

    ISE - Groupes de périphériques réseau

    Créez le nouvel utilisateur sur ISE

    Étape 1. Naviguez vers la gestion > la Gestion de l'identité > les identités > les utilisateurs > ajoutent 

    Étape 2. Écrivez les informations.

    Dans cet exemple, cet utilisateur appartient à un groupe appelé l'ALL_ACCOUNTS mais il peut être ajusté comme nécessaire

    Créez le profil d'autorisation

    Le profil de stratégie est le résultat assigné à un client basé sur ses paramètres (comme MAC address, qualifications, WLAN utilisé et ainsi de suite). Il peut assigner les configurations spécifiques comme le réseau local virtuel (VLAN), Listes de contrôle d'accès (ACL), l'uniform resource locator (URL) réoriente et ainsi de suite. 

    Ces étapes affichent comment créer le profil d'autorisation requis pour réorienter le client au portail d'authentification.

    Étape 1. Naviguez vers la stratégie > les éléments de stratégie > les résultats > l'autorisation > les profils d'autorisation > ajoutent

    Étape 2. Écrivez les informations de redirection. Assurez-vous que le nom d'ACL est identique qui a été configuré sur les 9800 WLC.

    Configurez la règle d'authentification

    Étape 1. Naviguez vers la stratégie > l'authentification.

    Étape 2. Cliquez sur Edit de la règle de MAB.

    Étape 3. Modifiez le réseau de par défaut de MAB pour continuer à la phase d'autorisation même lorsque le client n'est pas intérieurement trouvé.

    Étape 4. Cliquez sur fait et sauvegardez pour sauvegarder les modifications.

    Configurez les règles d'autorisation

    La règle d'autorisation est celle responsable pour déterminer quel résultat d'autorisations (qui profil d'autorisation) est appliqué au client.

    Étape 1. Naviguez le toPolicy > l'autorisation suivant les indications de l'image. Une fois que là, allez à la première règle, cliquez sur en fonction la flèche à côté de éditent et sélectionnent la nouvelle règle d'insertion ci-dessus.

    Étape 2. Sélectionnez les conditions pour que le processus d'autorisation tombe dans cette règle. Dans cet exemple, le processus d'autorisation frappe cette règle si son ID de station appelée contient cwa-SSID.

     Étape 3. Sélectionnez le profil d'autorisation qui est assigné aux clients qui frappent cette règle, cliquent sur fait et l'sauvegardent pour sauvegarder les modifications.

     Étape 3. Reproduisez la règle de réorientation au-dessus de elle-même.

    Étape 4. Ajoutez l'accès au réseau : UseCase ÉGALE GuestFlow comme une autre condition de la règle reproduite et change l'autorisation à PermitAccess.

    Cette règle la détecte si le client a été précédemment authentifié (utilisant le cas d'utilisation d'accès au réseau) et si oui, il applique un accès d'autorisation. Sur option, au lieu d'une autorisation de PermitAccess vous pourriez établir un nouveau profil d'autorisation et assigner de nouveaux paramètres (comme un ACL)

    Étape 5. Sauvegardez les règles

    Sauvegarde de clic au bas des règles.

    En cas de Points d'accès de commutation locale de Flexconnect

    Ce qui si vous avez des Points d'accès de commutation locale de Flexconnect et des WLAN ? Les sections précédentes sont encore valides. Cependant, nous avons besoin d'une étape supplémentaire afin de pousser l'ACL de réorientation aux aps à l'avance.

    Naviguez vers la configuration > les balises et les profils > le flexible et cliquez sur en fonction votre profil de flexible. Allez à l'ACL de stratégie l'onglet.

    Cliquez sur Add

    Choisissez le votre réorientent le nom d'ACL et activent « l'authentification Web centrale ». Cette case à cocher inverse automatiquement l'ACL sur AP lui-même (c'est parce que « refusez » la déclaration signifie que « le redirect to cet IP » sur le WLC dans IOS-XE cependant sur AP « ne refusent pas » la déclaration signifie l'opposé, ainsi cette case à cocher permute automatiquement toutes les autorisations et refuse en poussant à AP. Vous pouvez vérifier ceci avec une forme « de liste d'accès de show ip » AP CLI).

    N'oubliez pas de frapper pour sauvegarder et alors mettre à jour et appliquer au périphérique.

    Vérifiez

    Vous pouvez utiliser ces commandes de vérifier la configuration en cours

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | nme | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Dépanner

    WLC 9800 fournit des capacités ILLIMITÉES de suivi. Ceci s'assure que tous les erreurs associées par Connectivité de client, wanring et messages de niveau d'avis sont constamment connectés et vous pouvez visualiser des logs pour un incident ou une condition de panne après qu'elle se soit produite. 

    Note: Selon le volume de logs étant générés, vous pouvez retourner peu d'heures à plusieurs jours.

    Afin de visualiser les suivis que 9800 WLC collectés par défaut, vous peuvent se connecter par l'intermédiaire de SSH/Telnet aux 9800 WLC et suivre ces étapes (assurez que vous vous connectez la session à un fichier texte).

    Étape 1. Le temps en cours ainsi vous du contrôleur de contrôle peut dépister les logins le temps de nouveau à quand la question s'est produite.

    # show clock

     Étape 2. Collectez les Syslog de la mémoire tampon ou du Syslog externe du contrôleur comme dicté par la configuration de système. Ceci fournit une vue rapide dans les états du système et les erreurs éventuelles.

    # show logging

    Étape 3. Vérifiez si des debugs condition sont activés.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Note: Si vous voyez n'importe quelle condition répertoriée, il signifie que les suivis sont enregistré jusqu'à mettent au point de niveau pour tous les processus qui rencontrent les conditions activées (MAC address, IP address etc.). Ceci augmenterait le volume de logs. Par conséquent, il est recommandé pour effacer toutes les conditions en mettant au point pas activement

    Étape 4. Le MAC address arrogant au test n'a pas été répertorié comme condition dans l'étape 3, collectent les suivis illimités de niveau d'avis pour le MAC address spécifique.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Vous pouvez ou afficher le contenu sur la session ou vous pouvez copier le fichier sur un serveur externe TFTP.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Élimination des imperfections conditionnelle et suivi actif par radio 

    Si les suivis illimités ne te fournissent pas assez d'informations pour déterminer le déclencheur pour le problème à l'étude, vous pouvez activer l'élimination des imperfections conditionnelle et capturer le suivi actif par radio (de RA), qui fournira mettez au point les suivis de niveau pour tous les processus qui interagissent avec l'état spécifié (MAC address de client dans ce cas). Afin d'activer l'élimination des imperfections conditionnelle, suivez ces étapes.

    Étape 5. Assurez qu'il n'y a aucun debug condition sont activés.

    # clear platform condition all

    Étape 6. Activez le debug condition pour le MAC address de client sans fil que vous voulez surveiller.

    Ceci commande le début pour surveiller le MAC address fourni pendant 30 minutes (1800 secondes). Vous pouvez sur option augmenter cette fois à jusqu'à 2085978494 secondes.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    NoteAfin de surveiller plus d'un client à la fois, exécutez-vous mettent au point la commande Sans fil du MAC <aaaa.bbbb.cccc> par MAC address.

    NoteVous ne voyez pas la sortie de l'activité de client sur la session de travail, car tout est mis en mémoire tampon intérieurement pour être visualisé plus tard.

      

    Étape 7. Reproduisez la question ou le comportement que vous voulez surveiller.

    Étape 8. Arrêtez met au point si la question est reproduite avant que le par défaut ou le temps configuré de moniteur soit en hausse.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Une fois que le moniteur-temps s'est écoulé ou la radio de débogage a été arrêtée, les 9800 WLC génèrent un fichier local avec le nom :

    ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Étape 9. Collectez le fichier de l'activité de MAC address.  Vous pouvez copier le suivi .log de Ra sur un serveur externe ou afficher la sortie directement sur l'écran.

    Vérifiez le nom du fichier de suivi de RA

    # dir bootflash: | inc ra_trace

    Copiez le fichier sur un serveur externe :

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Affichez le contenu :

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Étape 10. Si la cause principale n'est toujours pas évidente, collectez les logs internes sont dont une vue plus bavarde mettent au point de niveau des logs. Vous n'avez pas besoin de mettre au point le client de nouveau pendant que nous prenons seulement un futher détaillé les regardons mettons au point les logs qui colllected déjà et ont été intérieurement enregistrés.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Note: Cette sortie de commande renvoie des suivis pour tous les niveaux se connectants pour tous les processus et est tout à fait volumineuse. Veuillez engager Cisco TAC aider à analyser par ces suivis.

    Vous pouvez copier ra-internal-FILENAME.txt sur un serveur externe ou afficher la sortie directement sur l'écran.

    Copiez le fichier sur un serveur externe :

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Affichez le contenu :

    # more bootflash:ra-internal-<FILENAME>.txt

     Étape 11. Retirez les debugs condition.

    # clear platform condition all

    Note: Assurez-vous que vous retirez toujours les debugs condition après une session de dépannage.

    TAC Authored

    Contribution d’experts de Cisco

    • Karla Cisneros Galvan
      Ingénieur TAC Cisco
    • Nicolas Darchis
      Ingénieur TAC Cisco
    • Sudha Katgeri
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits