はじめに
このドキュメントでは、Catalyst 9800ワイヤレスLANコントローラで中央認証またはローカル認証を使用してFlexConnectを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Catalyst Wireless 9800設定モデル
- FlexConnect
- 802.1X
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- C9800-CL、Cisco IOS-XE® 17.3.4
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
FlexConnectは、リモートオフィスへの導入に適したワイヤレスソリューションです。これにより、各ロケーションにコントローラを導入することなく、ワイドエリアネットワーク(WAN)リンクを介して企業オフィスから離れた場所にあるアクセスポイント(AP)を設定できます。FlexConnect APは、コントローラへの接続が失われたときに、クライアントデータトラフィックをローカルにスイッチし、クライアント認証をローカルに実行できます。接続モードでは、FlexConnect APはローカル認証も実行できます。
設定
ネットワーク図

コンフィギュレーション
9800 WLC での認証、許可、およびアカウンティング(AAA)の設定
ステップ 1:Remote Authentication Dial-In User Service(RADIUS)サーバーを宣言します。GUIから、Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Addand enter the RADIUS server informationの順に移動します。

今後、CoAを必要とするセキュリティを使用する場合は、CoAのサポートが有効になっていることを確認します。

注:注:Radius CoAは、Flex Connectローカル認証導入ではサポートされていません。
ステップ 2:RADIUS サーバーを RADIUS グループに追加します。 GUIから、Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Addの順に移動します。


ステップ 3:認証方式リストを作成します。GUIから、Configuration > Security > AAA > AAA Method List > Authentication > + Addの順に移動します。


CLI から:
# config t
# aaa new-model
# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit
# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit
# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>
# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>
WLAN 設定
ステップ 1:GUIの場合:Configuration > Wireless > WLANsの順に移動し、+Addをクリックして新しいWLANを作成し、WLAN情報を入力します。次に、Apply to Deviceをクリックします。


ステップ 2:GUIから:Security タブに移動し、暗号化方式と、802.1xが使用されている場合の認証リスト(AAAサーバ)を使用する限り、レイヤ2/レイヤ3セキュリティモードを設定します。次に、Update & Apply to Deviceをクリックします。

ポリシープロファイルの設定
ステップ 1:GUIから:Configuration > Tags & Profiles > Policyの順に移動し、+Addをクリックしてポリシープロファイルを作成します。

ステップ 2:名前を追加し、Central Switchingボックスのチェックマークを外します。この設定では、コントローラがクライアント認証を処理し、FlexConnectアクセスポイントがクライアントデータパケットをローカルでスイッチします。

注:関連付けとスイッチングは常にペアにする必要があります。中央スイッチングが無効になっている場合、Flexconnect APの使用時にすべてのポリシープロファイルでも中央アソシエーションを無効にする必要があります。
ステップ 3:GUIから:Access Policiesタブに移動し、ワイヤレスクライアントがデフォルトでこのWLANに接続する際に割り当てることができるVLANを割り当てます。
ドロップダウンからVLAN名を1つ選択するか、ベストプラクティスとしてVLAN IDを手動で入力します。

ステップ 4:GUIから:Advanced タブに移動し、WLANタイムアウト、DHCP、WLAN Flex Policy、およびAAAポリシーが使用されている場合にそれらを設定します。次に、Update & Apply to Deviceをクリックします。

ポリシータグの設定
ステップ 1:GUIから、Configuration > Tags & Profiles > Tags > Policy > +Addの順に移動します。

ステップ 2:名前を割り当て、前に作成したポリシープロファイルとWLANプロファイルをマッピングします。

Flex プロファイルの設定
ステップ1:GUIから:設定>タグとプロファイル>フレックスに移動し、+追加をクリックして新しい設定を作成します。


注:ネイティブVLAN IDとは、このFlex Profileを割り当てることができるAPで使用されるVLANを指し、APが接続されているスイッチポートでネイティブとして設定されているものと同じVLAN IDである必要があります。
ステップ 2:VLANタブで、必要なVLAN、ポリシープロファイルを介してWLANにデフォルトで割り当てられているVLAN、またはRADIUSサーバによってプッシュされたVLANを追加します。次に、Update & Apply to Deviceをクリックします。

注:ポリシープロファイルに関しては、SSIDに割り当てるデフォルトのVLANを選択した場合です。この手順でVLAN名を使用する場合は、Flex Profile設定で同じVLAN名を使用していることを確認してください。そうしないと、クライアントはWLANに接続できません。
注:AAAオーバーライドを使用するflexConnect用のACLを設定するには、「ポリシーACL」でのみACLを設定します。ACLが特定のVLANに割り当てられている場合、VLANを追加するときにACLを追加し、次に「ポリシーACL」でACLを追加します。
サイトタグの設定
ステップ 1:GUIから、Configuration > Tags & Profiles > Tags > Siteの順に移動し、+Addをクリックして新しいサイトタグを作成します。Enable Local Siteボックスのチェックマークを外して、APがクライアントデータトラフィックをローカルにスイッチできるようにし、前に作成したFlex Profileを追加します。


注:Enable Local Siteがディセーブルになっているため、このサイトタグを割り当てられたAPをFlexConnectモードに設定できます。
ステップ 2:GUIから:Configuration > Wireless > Access Points > AP nameの順に移動し、関連付けられているAPにSite Tag とPolicy Tag を追加します。これにより、APはCAPWAPトンネルを再起動し、9800 WLCに戻ります。


APが加入したら、APがFlexConnectモードになっていることを確認します。

外部RADIUSサーバによるローカル認証
ステップ 1:APをネットワークデバイスとしてRADIUSサーバに追加します。例については、「RADIUSサーバとしてIdentity Service Engine(ISE)を使用する方法」を参照してください。
ステップ 2:WLANを作成します。
この設定は、以前に設定した設定と同じにすることができます。

ステップ 3:ポリシープロファイルの設定.
新しいプロファイルを作成するか、以前に設定したプロファイルを使用できます。今回は、Central Switching、Central Authentication、Central DHCP、およびCentral Association Enableの各ボックスのチェックマークを外します。

ステップ 4:ポリシータグの設定.
設定したWLANと作成したポリシープロファイルを関連付けます。
ステップ 5:Flex プロファイルの設定.
Flex Profileを作成し、Local Authenticationタブに移動して、RADIUSサーバグループを設定し、RADIUSボックスにチェックマークを付けます。

手順 6:サイトタグの設定。
ステップ5で設定したFlex Profileを設定し、Enable Local Siteボックスのチェックマークを外します。

確認
GUIから:Monitoring > Wireless > Clients に移動し、Policy Manager StateとFlexConnectパラメータを確認します。
中央認証:

ローカル認証:

次のコマンドを使用して、現在の設定を確認できます。
CLI から:
# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
トラブルシュート
WLC 9800 は、常時オンのトレース機能を備えています。これにより、クライアント接続に関連するすべてのエラー、警告、および通知レベルのメッセージが継続的にログに記録され、発生後にインシデントまたは障害状態のログを表示できます。
注:生成されるログの量に基づいて、数時間から数日に戻ることができます。
9800 WLCがデフォルトで収集したトレースを表示するには、SSH/Telnet経由で9800 WLCに接続し、次の手順を実行します(セッションをテキストファイルに記録していることを確認します)。
ステップ 1:コントローラの現在時刻を確認して、問題が発生した時刻までのログを追跡できるようにします。
CLI から:
# show clock
ステップ 2:システム設定に従って、コントローラのバッファまたは外部syslogからsyslogを収集します。これにより、システムの状態とエラー(ある場合)をすばやく確認できます。
CLI から:
# show logging
ステップ 3:デバッグ条件が有効になっているかどうかを確認します。
CLI から:
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
注:条件が一覧表示されている場合は、有効な条件(MACアドレス、IPアドレスなど)に遭遇するすべてのプロセスについて、トレースがデバッグレベルで記録されていることを意味します。 これにより、ログの量が増加します。したがって、デバッグが必要ないときは、すべての条件をクリアすることをお勧めします。
ステップ 4:テスト対象のMACアドレスがステップ3の条件としてリストされていないと想定される場合は、特定のMACアドレスのAlways-on Notice Level(EIP)トレースを収集します。
CLI から:
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
セッションで内容を表示するか、ファイルを外部 TFTP サーバーにコピーできます。
CLI から:
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
条件付きデバッグおよび無線アクティブトレース
常時接続トレースで、調査中の問題のトリガーを判別するのに十分な情報が得られない場合は、条件付きデバッグを有効にしてRadio Active(RA)トレースをキャプチャできます。これにより、指定された条件(この場合はクライアントMACアドレス)と対話するすべてのプロセスに対してデバッグレベルのトレースを提供できます。 条件付きデバッグを有効にするには、次の手順を実行します。
ステップ 5:デバッグ条件が有効になっていないことを確認します。
CLI から:
# clear platform condition all
手順 6:モニターするワイヤレスクライアントの MAC アドレスのデバッグ条件を有効にします。
次のコマンドは、指定された MAC アドレスの 30 分間(1800 秒)のモニターを開始します。 必要に応じて、この時間を最大 2085978494 秒まで増やすことができます。
CLI から:
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
注:一度に複数のクライアントをモニターするには、MAC アドレスごとに debug wireless mac <aaaa.bbbb.cccc> コマンドを実行します。
注:ターミナルセッションでは、すべてが後で表示できるように内部的にバッファされているため、クライアントアクティビティの出力は表示されません。
手順 7:モニターする問題または動作を再現します。
ステップ 8:デフォルトまたは設定されたモニタ時間がアップになる前に問題が再現した場合は、デバッグを停止します。
CLI から:
# no debug wireless mac <aaaa.bbbb.cccc>
モニター時間が経過するか、debug wireless が停止すると、9800 WLC では次の名前のローカルファイルが生成されます。
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
ステップ 9: MAC アドレスアクティビティのファイルを収集します。 ra trace.log を外部サーバーにコピーするか、出力を画面に直接表示できます。
RAトレースファイルの名前を確認します
CLI から:
# dir bootflash: | inc ra_trace
ファイルを外部サーバーにコピーします。
CLI から:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
内容を表示します。
CLI から:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
ステップ 10:根本原因がまだ明らかでない場合は、デバッグレベルのログのより詳細なビューである内部ログを収集します。すでに収集されて内部に保存されているデバッグログを詳細に調べたので、クライアントを再度デバッグする必要はありません。
CLI から:
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
注:このコマンド出力は、すべてのプロセスのすべてのログレベルのトレースを返し、かなり大量です。これらのトレースを解析する場合は、Cisco TAC にお問い合わせください。
ra-internal-FILENAME.txt を外部サーバーにコピーするか、出力を画面に直接表示できます。
ファイルを外部サーバーにコピーします。
CLI から:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
内容を表示します。
CLI から:
# more bootflash:ra-internal-<FILENAME>.txt
ステップ 11デバッグ条件を削除します。
CLI から:
# clear platform condition all
注:トラブルシューティングセッションの後は、デバッグ条件を必ず削除してください。