Introduction
Ce document décrit comment configurer un contrôleur LAN sans fil élastique (WLC 9800) avec des points d'accès en mode FlexConnect et un réseau local sans fil 802.1x commuté localement avec l'option AAA (Authentification, Autorisation et Comptabilité) du réseau local virtuel (VLAN).
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Mode de configuration du WLC 9800
- FlexConnect
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configuration
Diagramme du réseau
Configuration
Configuration AAA sur WLC 9800
Vous pouvez suivre les instructions de ce lien :
Configuration AAA sur WLC 9800
Configuration WLAN
Vous pouvez suivre les instructions de ce lien :
Configuration WLAN
Définir AP comme mode FlexConnect
Contrairement à la configuration d'AireOS, sur le WLC 9800 il n'est pas possible de configurer le mode local ou flexconnect AP directement à partir de l'AP. Suivez ces étapes pour configurer un AP en mode FlexConnect.
IUG
Étape 1. Configurez un profil flexible.
Accéder à Configuration > Balises et profils > Flex et modifiez le profil flex par défaut ou cliquez sur +Ajouter pour en créer un nouveau.
Étape 2. Ajoutez les VLAN nécessaires (à la fois les VLAN du WLAN par défaut ou les VLAN poussés depuis ISE).
Remarque : À l'étape 3 de la section Configuration du profil de stratégie, vous sélectionnez le VLAN par défaut attribué au SSID. Si vous utilisez un nom de VLAN à cette étape, assurez-vous que vous utilisez le même nom de VLAN dans la configuration Flex Profile, sinon les clients ne pourront pas se connecter au WLAN.
Vous pouvez éventuellement ajouter des listes de contrôle d’accès spécifiques par VLAN.
Vous pouvez éventuellement affecter un groupe de serveurs Radius pour permettre aux AP FlexConnect d'effectuer une authentification locale.
Étape 3. Configurez une balise de site.
Naviguez jusqu'à Configuration > Tags & Profiles > Tags > Site. Modifiez la balise default-site (qui est la balise attribuée par défaut à tous les points d'accès) ou créez-en une (cliquez sur +Ajouter pour en créer une nouvelle).
Assurez-vous de désactiver l'option Activer le site local, sinon l'option Profil flexible n'est pas disponible.
Note: Tout point d'accès qui obtient une balise de site avec Activer le site local activé, est configuré en mode local. De même, tout point d'accès qui obtient une balise de site avec Activer le site local désactivé, est configuré en mode flexconnect.
Étape 4. Associez un point d'accès au WLC 9800 et attribuez l'étiquette de site configurée à l'étape 2.
Accédez à Configuration > Wireless > Access Points > AP name et définissez l'étiquette Site. Cliquez ensuite sur Mettre à jour et appliquer au périphérique pour définir la modification.
Remarque : Sachez qu'après avoir modifié la balise sur un AP, il perd son association au WLC 9800 et se reconnecte dans un délai d'environ 1 minute.
Étape 5. Une fois que le point d'accès se reconnecte, remarquez que le mode AP est Flex
CLI
# config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601
# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site
# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit
#show ap name <ap-name> config general | inc AP Mode
AP Mode : FlexConnect
Configuration du commutateur
Configurez l'interface du commutateur à laquelle le point d'accès est connecté.
# config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end
Configuration du profil de stratégie
Dans un profil de stratégie, vous pouvez décider à quel VLAN attribuer les clients, entre autres paramètres (liste de contrôle d'accès [ACL], qualité de service [QoS], ancrage de mobilité, minuteurs, etc.).
IUG
Étape 1. Configurez le profil de stratégie à attribuer au WLAN.
Accédez à Configuration > Balises et profils > Stratégie et créez-en un nouveau ou modifiez le profil de stratégie par défaut.
Étape 2. Dans l'onglet Général, attribuez un nom au profil de stratégie et modifiez son état en ACTIVÉ.
Étape 3. Dans l'onglet Access Policies, affectez le VLAN auquel les clients sans fil sont affectés lorsqu'ils se connectent à ce WLAN par défaut.
Vous pouvez sélectionner un nom de VLAN dans la liste déroulante ou taper manuellement un ID de VLAN.
Remarque : Si vous sélectionnez un nom de VLAN dans la liste déroulante, assurez-vous qu'il correspond au nom de VLAN utilisé à l'étape 2 de la section Définir l'AP comme mode FlexConnect.
ou
Étape 4. Accédez à l'onglet Advanced et activez l'option Central Authentication Enable et Allow AAA Overrideoptions. La commutation centrale doit être désactivée.
L'authentification centrale doit être activée si vous voulez que le processus d'authentification soit exécuté de manière centralisée par le WLC 9800. Désactivez-le si vous voulez que les AP FlexConnect authentifient les clients sans fil.
CLI
# config t
# wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown
Configuration des balises de stratégie
La balise de stratégie est utilisée pour lier le SSID au profil de stratégie. Vous pouvez créer une nouvelle balise de stratégie ou utiliser la balise default-policy.
Remarque : la balise default-policy mappe automatiquement tout SSID avec un ID WLAN compris entre 1 et 16 au profil de stratégie par défaut. Il ne peut être ni modifié ni supprimé. Si vous avez un WLAN avec ID 17 ou supérieur, le tag default-policy-tag ne peut pas être utilisé.
IUG:
Naviguez jusqu'à Configuration > Tags & Profiles > Tags > Policy et ajoutez-en un nouveau si nécessaire.
Liez votre profil WLAN au profil de stratégie souhaité.
CLI :
# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>
Attribution de balise de stratégie
Attribuer la balise Policy au point d'accès
IUG
Pour affecter la balise à un point d'accès, accédez à Configuration > Wireless > Access Points > AP Name > General Tags, effectuez l'affectation requise, puis cliquez sur Update & Apply to Device.
Remarque : Sachez qu'après avoir modifié la balise de stratégie sur un point d'accès, il perd son association au WLC 9800 et se joint en 1 minute environ.
Pour affecter la même balise de stratégie à plusieurs points d'accès, accédez à Configuration > Wireless > Wireless Setup > Start Now > Apply.
Sélectionnez les points d'accès auxquels vous voulez affecter la balise et cliquez sur + Tag APs
Sélectionnez la balise blanchie et cliquez sur Enregistrer et appliquer au périphérique
CLI
# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end
Configuration ISE
Pour la configuration d'ISE v1.2, vérifiez ce lien :
Configuration ISE
Vérification
Vous pouvez utiliser ces commandes pour vérifier la configuration actuelle
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Dépannage
Le WLC 9800 fournit des fonctionnalités de suivi TOUJOURS ACTIVÉES. Cela garantit que toutes les erreurs liées à la connectivité du client, les messages de niveau d'avertissement et d'avertissement sont constamment enregistrés et vous pouvez consulter les journaux d'un incident ou d'une défaillance après qu'il se soit produit.
Note: Selon le volume de journaux générés, vous pouvez revenir quelques heures en arrière à plusieurs jours.
Afin d'afficher les traces collectées par défaut par le WLC 9800, vous pouvez vous connecter via SSH/Telnet au WLC 9800 et suivre ces étapes (assurez-vous que vous enregistrez la session dans un fichier texte).
Étape 1. Vérifiez l'heure actuelle du contrôleur afin que vous puissiez suivre les journaux dans le temps remontant au moment où le problème s'est produit.
# show clock
Étape 2. Collectez les syslogs à partir de la mémoire tampon du contrôleur ou du syslog externe, comme le dicte la configuration système. Cela permet d'afficher rapidement l'état du système et les erreurs, le cas échéant.
# show logging
Étape 3. Vérifiez si des conditions de débogage sont activées.
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Note: Si vous voyez une condition répertoriée, cela signifie que les traces sont enregistrées jusqu'au niveau de débogage pour tous les processus qui rencontrent les conditions activées (adresse MAC, adresse IP, etc.). Cela augmenterait le volume des journaux. Par conséquent, il est recommandé d'effacer toutes les conditions lorsque le débogage n'est pas actif
Étape 4. En supposant que l'adresse MAC testée n'est pas répertoriée comme condition à l'étape 3, collectez les traces de niveau de notification toujours actives pour l'adresse MAC spécifique.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Vous pouvez afficher le contenu de la session ou copier le fichier sur un serveur TFTP externe.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Débogage conditionnel et suivi radio actif
Si les traces toujours actives ne vous donnent pas suffisamment d'informations pour déterminer le déclencheur du problème en cours d'investigation, vous pouvez activer le débogage conditionnel et capturer la trace Radio Active (RA), qui fournira des traces de niveau de débogage pour tous les processus qui interagissent avec la condition spécifiée (adresse MAC du client dans ce cas). Afin d'activer le débogage conditionnel, suivez ces étapes.
Étape 5. Assurez-vous qu'aucune condition de débogage n'est activée.
# clear platform condition all
Étape 6. Activez la condition de débogage pour l'adresse MAC du client sans fil que vous voulez surveiller.
Cette commande commence à surveiller l'adresse mac fournie pendant 30 minutes (1 800 secondes). Vous pouvez éventuellement augmenter cette durée jusqu'à 2085978494 secondes.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Remarque : Afin de surveiller plusieurs clients à la fois, exécutez la commande debug wireless mac <aaaa.bbbb.cccc> par adresse mac.
Remarque : Vous ne voyez pas le résultat de l'activité du client sur la session de terminal, car tout est mis en mémoire tampon en interne pour être affiché ultérieurement.
Étape 7. Reproduisez le problème ou le comportement à surveiller.
Étape 8. Arrêtez les débogages si le problème est reproduit avant que l'heure de surveillance par défaut ou configurée ne soit activée.
# no debug wireless mac <aaaa.bbbb.cccc>
Une fois que le temps de surveillance est écoulé ou que le débogage sans fil a été arrêté, le WLC 9800 génère un fichier local portant le nom suivant :
ra_trace_MAC_aaabbbcccc_HHMMSS.XXX_timezone_Day_Week_Month_Day_year.log
Étape 9. Collectez le fichier de l'activité d'adresse MAC. Vous pouvez copier le fichier .log de la trace de ra sur un serveur externe ou afficher la sortie directement à l'écran.
Vérifier le nom du fichier de traces RA
# dir bootflash: | inc ra_trace
Copiez le fichier sur un serveur externe :
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Afficher le contenu :
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Étape 10. Si la cause racine n'est toujours pas évidente, collectez les journaux internes qui sont une vue plus détaillée des journaux de niveau débogage. Vous n'avez pas besoin de déboguer à nouveau le client car nous ne faisons qu'examiner plus en détail les journaux de débogage qui ont déjà été collectés et stockés en interne.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Note: Cette sortie de commande retourne des traces pour tous les niveaux de journalisation pour tous les processus et est assez volumineux. Contactez le TAC de Cisco pour vous aider à analyser ces traces.
Vous pouvez copier le fichier ra-internal-FILENAME.txt sur un serveur externe ou afficher le résultat directement à l'écran.
Copiez le fichier sur un serveur externe :
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Afficher le contenu :
# more bootflash:ra-internal-<FILENAME>.txt
Étape 11. Supprimez les conditions de débogage.
# clear platform condition all
Note: Assurez-vous de toujours supprimer les conditions de débogage après une session de dépannage.
Commentaires