소개
이 문서에서는 FlexConnect Central 및 로컬 인증을 위해 9800 WLC를 구성하는 방법에 대해 설명합니다.
배경 정보
FlexConnect는 원격 사무실 구축을 위한 무선 솔루션입니다.이를 통해 고객은 각 위치에 컨트롤러를 구축하지 않고도 WAN(Wide Area Network) 링크를 통해 기업 지사의 원격 위치에서 액세스 포인트(AP)를 구성할 수 있습니다.FlexConnect AP는 클라이언트 데이터 트래픽을 로컬로 전환하고 컨트롤러에 대한 연결이 끊어질 때 클라이언트 인증을 로컬로 수행할 수 있습니다.연결된 모드에서 FlexConnect AP는 로컬 인증도 수행할 수 있습니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Catalyst Wireless 9800 구성 모델
- FlexConnect
- 802.1x
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
구성
네트워크 다이어그램

구성
C9800의 AAA 컨피그레이션
이 링크의 지침을 따를 수 있습니다.
9800 WLC의 AAA 컨피그레이션
WLAN 컨피그레이션
1단계. Configuration(컨피그레이션) > Wireless(무선) > WLANs(WLAN)로 이동하고 +Add(추가)를 클릭하여 새 WLAN을 생성합니다.

2단계. WLAN 정보를 입력합니다.

Security(보안) 탭으로 이동하여 암호화 방법을 사용하는 경우 Layer2/Layer3 보안 모드를 구성하고, Authentication List(인증 목록)는 802.1x를 사용 중입니다.그런 다음 Save & Apply to Device를 클릭합니다.

정책 프로파일 컨피그레이션
1단계. Configuration(컨피그레이션) > Tags & Profiles(태그 및 프로파일) > Policy(정책)로 이동하고 +Add(추가)를 클릭하여 정책 프로파일을 생성합니다.이름을 추가하고 Central Switching 상자의 선택을 취소합니다.이 설정을 통해 컨트롤러는 클라이언트 인증을 처리하고 FlexConnect 액세스 포인트는 클라이언트 데이터 패킷을 로컬로 전환합니다.

2단계. Access Policies(액세스 정책) 탭으로 이동하여 무선 클라이언트가 기본적으로 이 WLAN에 연결할 때 할당할 VLAN을 할당합니다.
드롭다운에서 VLAN 이름 하나를 선택하거나 수동으로 VLAN ID를 입력할 수 있습니다.

4단계. Advanced(고급) 탭으로 이동하여 WLAN 시간 제한, DHCP, WLAN Flex Policy 및 AAA 정책을 구성합니다(사용 중인 경우).그런 다음 Save & Apply to Device를 클릭합니다.

정책 태그 컨피그레이션
1단계. Configuration(구성) > Tags & Profiles(태그 및 프로파일) > Tags(태그) > Policy(정책) > +Add(추가)로 이동합니다.이름을 할당하고 전에 정책 프로파일 및 WLAN 프로파일 생성을 매핑합니다.

Flex 프로필 컨피그레이션
1단계. 다음으로 이동합니다. Configuration(컨피그레이션) > Tags & Profiles(태그 및 프로파일) > Flex 및 +Add를 클릭하여 새 항목을 만듭니다.

참고:네이티브 VLAN ID는 이 Flex Profile을 할당할 AP에서 사용하는 VLAN을 나타내며, AP가 연결된 스위치 포트에서 기본으로 구성된 VLAN ID와 동일해야 합니다.
2단계. VLAN 탭 아래에서 필요한 VLAN, 정책 프로파일을 통해 WLAN에 기본적으로 할당된 VLAN 또는 RADIUS 서버에서 푸시된 VLAN을 추가합니다.그런 다음 Save & Apply to Device를 클릭합니다.

참고:Policy Profile Configuration(정책 프로파일 컨피그레이션) 섹션 2단계에서 SSID에 할당된 기본 VLAN을 선택합니다.해당 단계에서 VLAN 이름을 사용하는 경우 Flex Profile 컨피그레이션에서 동일한 VLAN 이름을 사용해야 합니다. 그렇지 않으면 클라이언트가 WLAN에 연결할 수 없습니다.
사이트 태그 구성
1단계. Configuration(구성) > Tags & Profiles(태그 및 프로파일) > Tags(태그) > Site(사이트)로 이동하고 +Add(추가)를 클릭하여 새 사이트 태그를 생성합니다.Enable Local Site(로컬 사이트 활성화) 상자를 선택 취소하여 AP가 클라이언트 데이터 트래픽을 로컬로 전환하도록 허용하고 위에서 생성한 Flex Profile을 추가합니다.

참고:Enable Local Site(로컬 사이트 활성화)가 비활성화되면 이 사이트 태그를 할당하는 AP가 FlexConnect 모드로 구성됩니다.
2단계. Configuration(컨피그레이션) > Wireless(무선) > Access Points(액세스 포인트) > AP 이름으로 이동하여 사이트 태그 및 정책 태그를 연결된 AP에 추가합니다.그러면 AP가 CAPWAP 터널을 다시 시작하고 9800 WLC에 다시 연결됩니다.

AP가 다시 연결되면 이제 AP가 FlexConnect 모드에 있음을 확인합니다.

외부 RADIUS 서버를 사용한 로컬 인증
1단계. RADIUS 서버에 AP를 네트워크 디바이스로 추가합니다.
ISE(Identity Service Engine)를 RADIUS 서버로 사용하는 예를 보려면 다음 링크를 참조하십시오.
https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/201044-802-1x-authentication-with-PEAP-ISE-2-1.html#anc10
2단계. WLAN을 생성합니다.
컨피그레이션은 이전에 구성한 컨피그레이션과 같을 수 있습니다.
3단계. 정책 프로파일 컨피그레이션.
새 항목을 만들거나 이전에 구성한 를 사용할 수 있습니다.이번에는 Central Switching(중앙 스위칭), Central Authentication(중앙 인증), Central DHCP 및 Central Association Enable(중앙 연결 활성화) 상자의 선택을 취소합니다.

4단계. 정책 태그 컨피그레이션
1단계에서 구성된 WLAN과 이 섹션의 3단계에서 생성된 정책 프로필을 연결합니다.
5단계. Flex Profile Configuration.
Flex Profile(Flex Profile)을 생성하고, Local Authentication(로컬 인증) 탭으로 이동하고, Radius Server Group(RADIUS 서버 그룹)을 구성하고, RADIUS 상자를 선택합니다.

6단계. 사이트 태그 구성.
5단계에서 구성된 Flex Profile을 구성하고 Enable Local Site(로컬 사이트 활성화) 상자를 선택 취소합니다.
다음을 확인합니다.
Monitoring(모니터링) > Wireless(무선) > Clients(클라이언트)로 이동하고 Policy Manager State(정책 관리자 상태) 상태 및 FlexConnect 매개변수를 확인합니다.
중앙 인증:

로컬 인증:

다음 명령을 사용하여 현재 컨피그레이션을 확인할 수 있습니다.
# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
문제 해결
WLC 9800은 ALWAYS-ON 추적 기능을 제공합니다.이렇게 하면 모든 클라이언트 연결 관련 오류, 경고 및 알림 수준 메시지가 지속적으로 로깅되며, 발생 후 장애 또는 장애 상태에 대한 로그를 볼 수 있습니다.
참고:생성되는 로그 볼륨에 따라 몇 시간에서 며칠로 돌아갈 수 있습니다.
기본적으로 수집된 9800 WLC의 추적을 보려면 SSH/텔넷을 통해 9800 WLC에 연결하고 다음 단계를 수행하십시오(텍스트 파일에 세션을 로깅하는지 확인).
1단계. 컨트롤러의 현재 시간을 확인하여 문제가 발생한 시점으로 돌아가 로그를 추적할 수 있습니다.
# show clock
2단계. 시스템 컨피그레이션에 따라 컨트롤러의 버퍼 또는 외부 syslog에서 syslog를 수집합니다.시스템 상태 및 오류(있는 경우)를 빠르게 볼 수 있습니다.
# show logging
3단계. 디버그 조건이 활성화되었는지 확인합니다.
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
참고:나열된 조건이 있는 경우, 활성화된 조건(mac 주소, ip 주소 등)이 발생하는 모든 프로세스의 디버그 레벨로 추적이 로깅되고 있음을 의미합니다. 이렇게 하면 로그 볼륨이 증가합니다.따라서 능동적으로 디버깅하지 않을 때는 모든 조건을 지우는 것이 좋습니다
4단계. 테스트 중인 mac 주소가 3단계에서 조건으로 나열되지 않았다고 가정하면 특정 mac 주소에 대한 상시 알림 레벨 추적을 수집합니다.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
세션의 내용을 표시하거나 파일을 외부 TFTP 서버에 복사할 수 있습니다.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
조건부 디버깅 및 무선 활성 추적
Always-On 추적이 조사 중인 문제의 트리거를 확인할 수 있는 충분한 정보를 제공하지 않는 경우 조건부 디버깅을 활성화하고 RA(Radio Active) 추적을 캡처할 수 있습니다. 그러면 지정된 조건과 상호 작용하는 모든 프로세스(이 경우 클라이언트 MAC 주소)에 대한 디버그 수준 추적을 제공할 수 있습니다. 조건부 디버깅을 활성화하려면 다음 단계를 수행합니다.
5단계. 활성화된 디버그 조건이 없는지 확인합니다.
# clear platform condition all
6단계. 모니터링할 무선 클라이언트 MAC 주소에 대한 디버그 조건을 활성화합니다.
이 명령은 제공된 mac 주소를 30분(1800초) 동안 모니터링하기 시작합니다. 선택적으로 이 시간을 최대 2085978494초로 늘릴 수 있습니다.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
참고: 한 번에 두 개 이상의 클라이언트를 모니터링하려면 mac 주소당 디버그 무선 mac <aaaa.bbbb.cccc> 명령을 실행합니다.
참고: 모든 항목이 내부적으로 버퍼링되어 나중에 볼 수 있으므로 터미널 세션에서 클라이언트 활동의 출력이 표시되지 않습니다.
7단계. 모니터링할 문제 또는 동작을 재현합니다.
8단계. 기본 또는 구성된 모니터 시간이 시작되기 전에 문제가 재현되는 경우 디버그를 중지합니다.
# no debug wireless mac <aaaa.bbbb.cccc>
모니터 시간이 경과하거나 디버그 무선이 중지되면 9800 WLC는 이름이 다음과 같은 로컬 파일을 생성합니다.
ra_trace_MAC_aaabbcccc_HHMSS.XXX_timezone_DayWeek_Month_Day_year.log
9단계. mac 주소 활동의 파일을 수집합니다. ra trace .log를 외부 서버에 복사하거나 화면에 직접 출력을 표시할 수 있습니다.
RA 추적 파일의 이름 확인
# dir bootflash: | inc ra_trace
파일을 외부 서버에 복사합니다.
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
내용 표시:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
10단계. 근본 원인이 아직 명확하지 않은 경우 디버그 수준 로그를 보다 자세히 볼 수 있는 내부 로그를 수집합니다.이미 수집 및 내부적으로 저장된 디버그 로그만 자세히 살펴보기 때문에 클라이언트를 다시 디버깅할 필요가 없습니다.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
참고:이 명령 출력은 모든 프로세스의 모든 로깅 레벨에 대한 추적을 반환하며 상당한 양의 데이터를 제공합니다.Cisco TAC에 문의하여 이러한 추적을 분석하십시오.
ra-internal-FILENAME.txt를 외부 서버에 복사하거나 화면에 직접 출력을 표시할 수 있습니다.
파일을 외부 서버에 복사합니다.
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
내용 표시:
# more bootflash:ra-internal-<FILENAME>.txt
11단계. 디버그 조건을 제거합니다.
# clear platform condition all
참고:문제 해결 세션 후에 항상 디버그 조건을 제거해야 합니다.