Introduction
Ce document décrit comment installer un contrôleur LAN Sans fil élastique (9800 WLC) avec les Points d'accès de mode de FlexConnect (aps) et un réseau local sans fil de 802.1x (WLAN) localement commuté avec le dépassement virtuel d'authentification, d'autorisation et de comptabilité du réseau local (VLAN) (AAA).
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Mode de configuration 9800 WLC
- FlexConnect
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est vivant, assurez-vous que vous comprenez l'impact potentiel de n'importe quelle commande.
Configurer
Configuration
Configuration d'AAA sur 9800 WLC
Vous pouvez suivre les instructions de ce lien :
Configuration d'AAA sur 9800 WLC
Configuration WLAN
Vous pouvez suivre les instructions de ce lien :
Configuration WLAN
Placez AP comme mode de FlexConnect
À la différence de la configuration d'AireOS, sur 9800 WLC il n'est pas possible de configurer le mode de gens du pays ou de flexconnect AP directement d'AP. Suivez ces étapes pour configurer AP en mode de FlexConnect.
GUI
Étape 1. Configurez un profil de flexible.
Naviguez vers la configuration > les balises et les profils > le flexible et modifient le par défaut-flexible-profil ou cliquent sur +Add pour créer un neuf.
Étape 2. Ajoutez les VLAN nécessaires (les VLAN de par défaut le WLAN ou les VLAN poussés d'ISE).
Note: À l'étape 3 de la configuration de profil de stratégie de section, vous sélectionnez le par défaut VLAN assigné au SSID. Si vous utilisez un nom VLAN sur cette étape, assurez-vous que vous utilisez le même nom de VLAN sur la configuration de profil de flexible, autrement les clients ne pourra pas se connecter au WLAN.
Vous pouvez sur option ajouter ACLs spécifique par VLAN.
Sur option, affectez un groupe de serveurs de Radius pour permettre le FlexConnect aps exécutent l'authentification locale.
Étape 3. Configurez une balise de site.
Naviguez vers la configuration > les balises et les profils > les balises > le site. Modifiez la par défaut-site-balise (qui est la balise assignée par défaut à tous les aps) ou créez un neuf (clic +Add pour créer un neuf).
Assurez-vous l'option de site local d'enable de débronchement, autrement l'option de profil de flexible n'êtes pas disponible.
Note: N'importe quel AP qui obtient une balise de site avec le site local d'enable activé, est configuré en tant que mode local. De même, n'importe quel AP qui obtient une balise de site avec le site local d'enable a désactivé, est configuré comme mode de flexconnect.
Étape 4. Faites un associé AP aux 9800 WLC et assignez la balise de site configurée sur l'étape 2.
Naviguez vers la configuration > la radio > les Points d'accès > le nom AP et placez la balise de site. Alors cliquez sur la mise à jour et appliquez au périphérique pour placer la modification.
Note: Rendez-vous compte qu'après que la modification la balise sur AP, il perde son association aux 9800 WLC et joignez de retour dans environ 1 minute.
Étape 5. Une fois qu'AP se joint de retour, notez que le mode AP est flexible
CLI
# config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601
# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site
# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit
#show ap name <ap-name> config general | inc AP Mode
AP Mode : FlexConnect
Configuration du commutateur
Configurez l'interface du commutateur à la à laquelle on connecte AP.
# config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end
Configuration de profil de stratégie
À l'intérieur d'un profil de stratégie vous pouvez décider quel VLAN affectent les clients, entre d'autres configurations (comme liste de contrôles d'accès [ACLs], qualité de service [QoS], ancre de mobilité, temporisateurs et ainsi de suite).
GUI
Étape 1. Configurez le profil de stratégie à assigner au WLAN.
Naviguez vers la configuration > les balises et les profils > la stratégie et créent un neuf ou modifient le par défaut-stratégie-profil.
Étape 2. De l'onglet Général, assignez un nom au profil de stratégie et changez son état à ACTIVER.
Étape 3. De l'onglet de stratégies d'Access assignez le VLAN auquel les clients sans fil sont assignés quand ils se connectent à ce WLAN par défaut.
Vous pouvez sélectionner un nom VLAN de la baisse vers le bas ou manuellement taper un id de VLAN.
Note: Si vous sélectionnez un nom de VLAN du déroulant, assurez qu'il apparie le nom de VLAN utilisé sur l'étape 2 de la section AP réglé comme mode de FlexConnect.
ou
Étape 4. Naviguez vers l'onglet Avancé et activez l'enable central d'authentification et permettez l'AAA Overrideoptions. La commutation centrale doit être désactivée.
L'authentification centrale doit être activée si vous voulez que la procédure d'authentification soit exécutée centralement par les 9800 WLC. Désactivez-le si vous voulez l'aps authenticate de FlexConnect les clients sans fil.
CLI
# config t
# wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown
Configuration de balise de stratégie
La balise de stratégie est utilisée pour joindre le SSID avec le profil de stratégie. Vous pouvez créer une balise de nouvelle stratégie ou utiliser la balise de stratégie par défaut.
Note: La par défaut-stratégie-balise trace automatiquement n'importe quel SSID avec un ID de WLAN entre 1 à 16 au par défaut-stratégie-profil. Il ne peut pas être modifié ni supprimé. Si vous avez un WLAN avec l'ID 17 ou plus élevé, la par défaut-stratégie-balise ne peut pas être utilisée.
GUI :
Naviguez vers la configuration > les balises et les profils > les balises > la stratégie et ajoutez un neuf si nécessaire.
Liez votre profil WLAN au profil désiré de stratégie.
CLI :
# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>
Rendez-vous de balise de stratégie
Assignez la balise de stratégie à AP
GUI
Pour assigner la balise à un AP naviguez vers la configuration > la radio > les Points d'accès > le nom AP > les balises générales, faites l'affectation nécessaire et puis cliquez sur la mise à jour et appliquez au périphérique.
Note: Rendez-vous compte qu'après que la modification la balise de stratégie sur AP, il perde son association aux 9800 WLC et joignez de retour dans environ 1 minute.
Pour assigner la même balise de stratégie à plusieurs aps naviguez vers la configuration > la radio > la configuration sans fil > le début maintenant > s'appliquent.
Sélectionnez les aps auxquels vous voulez assigner la balise et le clic + la balise aps
Sélectionnez la balise whished et cliquez sur la sauvegarde et appliquez au périphérique
CLI
# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end
Configuration ISE
Pour le contrôle de configuration ISE v1.2 ce lien :
Configuration ISE
Vérifiez
Vous pouvez utiliser ces commandes de vérifier la configuration en cours
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Dépanner
WLC 9800 fournit des capacités ILLIMITÉES de suivi. Ceci s'assure que tous les erreurs associées par Connectivité de client, wanring et messages de niveau d'avis sont constamment connectés et vous pouvez visualiser des logs pour un incident ou une condition de panne après qu'elle se soit produite.
Note: Selon le volume de logs étant générés, vous pouvez retourner peu d'heures à plusieurs jours.
Afin de visualiser les suivis que 9800 WLC collectés par défaut, vous peuvent se connecter par l'intermédiaire de SSH/Telnet aux 9800 WLC et suivre ces étapes (assurez que vous vous connectez la session à un fichier texte).
Étape 1. Le temps en cours ainsi vous du contrôleur de contrôle peut dépister les logins le temps de nouveau à quand la question s'est produite.
# show clock
Étape 2. Collectez les Syslog de la mémoire tampon ou du Syslog externe du contrôleur comme dicté par la configuration de système. Ceci fournit une vue rapide dans les états du système et les erreurs éventuelles.
# show logging
Étape 3. Vérifiez si des debugs condition sont activés.
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Note: Si vous voyez n'importe quelle condition répertoriée, il signifie que les suivis sont enregistré jusqu'à mettent au point de niveau pour tous les processus qui rencontrent les conditions activées (MAC address, IP address etc.). Ceci augmenterait le volume de logs. Par conséquent, il est recommandé pour effacer toutes les conditions en mettant au point pas activement
Étape 4. Le MAC address arrogant au test n'a pas été répertorié comme condition dans l'étape 3, collectent les suivis illimités de niveau d'avis pour le MAC address spécifique.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Vous pouvez ou afficher le contenu sur la session ou vous pouvez copier le fichier sur un serveur externe TFTP.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Élimination des imperfections conditionnelle et suivi actif par radio
Si les suivis illimités ne te fournissent pas assez d'informations pour déterminer le déclencheur pour le problème à l'étude, vous pouvez activer l'élimination des imperfections conditionnelle et capturer le suivi actif par radio (de RA), qui fournira mettez au point les suivis de niveau pour tous les processus qui interagissent avec l'état spécifié (MAC address de client dans ce cas). Afin d'activer l'élimination des imperfections conditionnelle, suivez ces étapes.
Étape 5. Assurez qu'il n'y a aucun debug condition sont activés.
# clear platform condition all
Étape 6. Activez le debug condition pour le MAC address de client sans fil que vous voulez surveiller.
Ceci commande le début pour surveiller le MAC address fourni pendant 30 minutes (1800 secondes). Vous pouvez sur option augmenter cette fois à jusqu'à 2085978494 secondes.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Note: Afin de surveiller plus d'un client à la fois, exécutez-vous mettent au point la commande Sans fil du MAC <aaaa.bbbb.cccc> par MAC address.
Note: Vous ne voyez pas la sortie de l'activité de client sur la session de travail, car tout est mis en mémoire tampon intérieurement pour être visualisé plus tard.
Étape 7. Reproduisez la question ou le comportement que vous voulez surveiller.
Étape 8. Arrêtez met au point si la question est reproduite avant que le par défaut ou le temps configuré de moniteur soit en hausse.
# no debug wireless mac <aaaa.bbbb.cccc>
Une fois que le moniteur-temps s'est écoulé ou la radio de débogage a été arrêtée, les 9800 WLC génèrent un fichier local avec le nom :
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Étape 9. Collectez le fichier de l'activité de MAC address. Vous pouvez copier le suivi .log de Ra sur un serveur externe ou afficher la sortie directement sur l'écran.
Vérifiez le nom du fichier de suivi de RA
# dir bootflash: | inc ra_trace
Copiez le fichier sur un serveur externe :
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Affichez le contenu :
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Étape 10. Si la cause principale n'est toujours pas évidente, collectez les logs internes sont dont une vue plus bavarde mettent au point de niveau des logs. Vous n'avez pas besoin de mettre au point le client de nouveau pendant que nous prenons seulement un futher détaillé les regardons mettons au point les logs qui colllected déjà et ont été intérieurement enregistrés.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Note: Cette sortie de commande renvoie des suivis pour tous les niveaux se connectants pour tous les processus et est tout à fait volumineuse. Veuillez engager Cisco TAC aider à analyser par ces suivis.
Vous pouvez copier ra-internal-FILENAME.txt sur un serveur externe ou afficher la sortie directement sur l'écran.
Copiez le fichier sur un serveur externe :
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Affichez le contenu :
# more bootflash:ra-internal-<FILENAME>.txt
Étape 11. Retirez les debugs condition.
# clear platform condition all
Note: Assurez-vous que vous retirez toujours les debugs condition après une session de dépannage.
Commentaires