FlexConnect configureren met verificatie op Catalyst 9800 WLC

Inleiding

In dit document wordt beschreven hoe u FlexConnect configureert met centrale of lokale verificatie op de draadloze Catalyst 9800 LAN-controller.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Configuratiemodel Catalyst Wireless 9800
• FlexConnect
• 802,1x

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• C9800-CL, Cisco IOS-XE® 17.3.4
  

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

FlexConnect is een draadloze oplossing voor implementatie op externe kantoren. Hiermee kunt u toegangspunten (AP's) configureren op externe locaties vanaf het hoofdkantoor via een WAN-verbinding (Wide Area Network) zonder dat u op elke locatie een controller hoeft te implementeren. De FlexConnect-toegangspunten kunnen het clientgegevensverkeer lokaal switches en de clientverificatie lokaal uitvoeren wanneer de verbinding met de controller wordt verbroken. In de verbonden modus kunnen de FlexConnect-toegangspunten ook lokale verificatie uitvoeren.

Configureren

Netwerkdiagram

Configuraties

AAA-configuratie op 9800 WLC's

Stap 1. RADIUS-server declareren. Van GUI: Navigeer naar Configuratie > Beveiliging > AAA > Servers / Groepen > RADIUS > Servers > + Toevoegen en voer de RADIUS-servergegevens in.

Zorg ervoor dat ondersteuning voor CoA is ingeschakeld als u van plan bent om in de toekomst elke vorm van beveiliging te gebruiken die CoA vereist. 

Opmerking: Radius CoA wordt niet ondersteund in de implementatie van lokale autoriteiten van Flex connect. .

Stap 2. Voeg de RADIUS-server toe aan een RADIUS-groep. Van GUI: Navigeer naar Configuratie > Beveiliging > AAA > Servers / Groepen > RADIUS > Servergroepen > + Toevoegen.

Stap 3. Maak een lijst met verificatiemethoden. Van GUI: Navigeer naar Configuratie > Beveiliging > AAA > Methodenlijst > Authenticatie > + Toevoegen

Van CLI:

# config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>

WLAN-configuratie

Stap 1. Van GUI: Navigeer naar Configuratie > Draadloos > WLAN's en klik op +Toevoegen om een nieuw WLAN te maken en voer de WLAN-gegevens in. Klik vervolgens op Toepassen op apparaat.

Stap 2. Van GUI: Navigeer naar het tabblad Beveiliging om de beveiligingsmodus Layer2/Layer3 te configureren zolang de coderingsmethode en de verificatielijst in gebruik zijn als 802.1x wordt gebruikt. Klik vervolgens op Bijwerken en toepassen op apparaat.

Configuratie beleidsprofiel

Stap 1. Van GUI: Navigeer naar Configuratie > Tags & Profielen > Beleid en klik +Toevoegen om een Beleidsprofiel te maken.

Stap 2. Voeg de naam toe en schakel het vakje Centrale omschakeling uit. Met deze installatie verwerkt de controller de clientverificatie en worden de clientgegevenspakketten lokaal door het FlexConnect Access Point-switch verwerkt.

Opmerking: koppeling en schakelen moeten altijd gekoppeld zijn, als centrale schakeling is uitgeschakeld, moet centrale koppeling ook worden uitgeschakeld op alle beleidsprofielen wanneer FlexConnect-toegangspunten worden gebruikt.

Stap 3. Via GUI: Navigeer naar het tabblad Toegangsbeleid om het VLAN toe te wijzen waaraan de draadloze clients kunnen worden toegewezen wanneer ze standaard verbinding maken met dit WLAN.

U kunt één VLAN-naam selecteren in de vervolgkeuzelijst of handmatig een VLAN-ID typen.

Stap 4. Van GUI: Navigeer naar het tabblad Geavanceerd om de WLAN-time-outs, DHCP, WLAN Flex-beleid en AAA-beleid te configureren voor het geval ze in gebruik zijn. Klik vervolgens op Bijwerken en toepassen op apparaat.

Beleidstag-configuratie

Stap 1. Van GUI: Navigeer naar Configuratie > Tags en profielen > Tags > Beleid > +Toevoegen. 

Stap 2. Wijs een naam toe en wijs het eerder gemaakte beleidsprofiel en WLAN-profiel toe.

Flex-profielconfiguratie

Stap 1. Van GUI: Navigeer naar Configuratie > Tags & Profielen > Flex en klik +Toevoegen om een nieuwe te maken.

Opmerking: de Native VLAN-ID verwijst naar het VLAN dat wordt gebruikt door de toegangspunten waaraan dit Flex-profiel kan worden toegewezen, en het moet dezelfde VLAN-ID zijn die is geconfigureerd als de Native op de poort van de switch waarop de toegangspunten zijn aangesloten.

Stap 2. Voeg onder het tabblad VLAN de benodigde VLAN's toe, de VLAN's die standaard aan het WLAN zijn toegewezen via een beleidsprofiel of de VLAN's die door een RADIUS-server worden gepusht. Klik vervolgens op Bijwerken en toepassen op apparaat.

Opmerking: bij Beleidsprofiel, wanneer u het standaard VLAN selecteert dat aan de SSID is toegewezen. Als u in die stap een VLAN-naam gebruikt, moet u ervoor zorgen dat u dezelfde VLAN-naam gebruikt in de Flex Profile-configuratie, anders kunnen clients geen verbinding maken met het WLAN.

Opmerking: Als u een ACL voor flexConnect met AAA-overschrijving wilt configureren, configureert u deze alleen in "ACL-beleid". Als ACL aan een specifiek VLAN is toegewezen, voegt u ACL toe wanneer u het VLAN toevoegt en voegt u vervolgens de ACL toe aan de "ACL-beleid".

Configuratie van sitetag

Stap 1. Van GUI: Navigeer naar Configuratie > Tags & Profielen > Tags > Site en klik +Toevoegen om een nieuwe Site-tag te maken. Schakel het vak Lokale site inschakelen uit om AP's toe te staan het clientgegevensverkeer lokaal te switches en het eerder gemaakte Flex-profiel toe te voegen.

Opmerking: als Lokale site inschakelen is uitgeschakeld, kunnen de toegangspunten waaraan deze sitetag is toegewezen, worden geconfigureerd als de FlexConnect-modus.

Stap 2. Van GUI: Navigeer naar Configuratie > Draadloos > Toegangspunten > Naam toegangspunt om de sitetag en beleidstag aan een gekoppeld toegangspunt toe te voegen. Hierdoor kan het toegangspunt zijn CAPWAP-tunnel opnieuw starten en weer aansluiten bij de 9800 WLC.

Zodra het toegangspunt weer is aangesloten, ziet u dat het toegangspunt zich nu in de FlexConnect-modus bevindt.

Lokale verificatie met externe RADIUS-server

Stap 1. Voeg het toegangspunt als netwerkapparaat toe aan de RADIUS-server. Zie bijvoorbeeld Identity Service Engine (ISE) gebruiken als RADIUS-server

Stap 2. Maak een WLAN.

De configuratie kan dezelfde zijn als de eerder geconfigureerde configuratie.

Stap 3. Configuratie van beleidsprofielen.

U kunt een nieuwe maken of de eerder geconfigureerde instellingen gebruiken. Schakel deze keer de selectievakjes Centraal schakelen, Centrale verificatie, Centrale DHCP en Centrale koppeling inschakelen uit.

Stap 4. Beleidstag configuratie.

Koppel het WLAN dat is geconfigureerd en het beleidsprofiel dat is gemaakt.

Stap 5. Flex-profielconfiguratie.

Maak een Flex-profiel aan, navigeer naar het tabblad Lokale verificatie, configureer de Radius-servergroep en vink het selectievakje RADIUS aan.

Stap 6. Configuratie van sitetag.

Configureer het in stap 5 geconfigureerde Flex-profiel en schakel het vakje Lokale site inschakelen uit.

Verifiëren

Centrale verificatie:

Lokale verificatie:

 U kunt deze opdrachten gebruiken om de huidige configuratie te controleren:

Van CLI:

# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>  

Problemen oplossen

De WLC 9800 biedt Always-ON-traceringsmogelijkheden. Dit zorgt ervoor dat alle fouten, waarschuwingen en meldingen met betrekking tot de connectiviteit van de client voortdurend worden geregistreerd en dat u logboeken kunt bekijken voor een incident of een storing nadat deze zich heeft voorgedaan. 

Opmerking: op basis van het aantal gegenereerde logs kunt u enkele uren teruggaan naar meerdere dagen.

Om de sporen te bekijken die 9800 WLC standaard heeft verzameld, kunt u via SSH/Telnet verbinding maken met de 9800 WLC en deze stappen doorlopen (zorg ervoor dat u de sessie aanmeldt bij een tekstbestand).

Stap 1. Controleer de huidige tijd van de controller, zodat u de logs kunt volgen in de tijd terug naar het moment waarop het probleem zich voordeed.

Van CLI:

# show clock

Stap 2. Verzamel syslogs van de controllerbuffer of de externe syslog zoals voorgeschreven door de systeemconfiguratie. Dit biedt een snel overzicht van de systeemstatus en eventuele fouten.

Van CLI:

# show logging

Stap 3. Controleer of eventuele foutopsporingsvoorwaarden zijn ingeschakeld.

Van CLI:

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Opmerking: Als u een voorwaarde vindt die wordt vermeld, betekent dit dat de sporen zijn aangemeld op foutopsporingsniveau voor alle processen die de ingeschakelde voorwaarden tegenkomen (mac-adres, IP-adres enzovoort). Dit zou het volume van de logboeken vergroten. Daarom wordt aanbevolen om alle voorwaarden te wissen wanneer niet actief debuggen

Stap 4. Als u ervan uitgaat dat het geteste mac-adres niet als voorwaarde in stap 3 is vermeld, verzamelt u de altijd-aan-melding niveausporen voor het specifieke mac-adres.

Van CLI:

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

U kunt de inhoud van de sessie weergeven of het bestand kopiëren naar een externe TFTP-server.

Van CLI:

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Voorwaardelijke foutopsporing en Radio Active Trace 

Als de always-on traces u niet genoeg informatie geven om de trigger voor het onderzochte probleem te bepalen, kunt u voorwaardelijke debugging inschakelen en Radio Active (RA)-tracering vastleggen, die foutopsporingsniveau-traces kan bieden voor alle processen die met de opgegeven voorwaarde interageren (client-MAC-adres in dit geval). Ga door deze stappen om voorwaardelijke foutopsporing in te schakelen.

Stap 5. Zorg ervoor dat er geen foutopsporingsvoorwaarden zijn ingeschakeld.

Van CLI:

# clear platform condition all

Stap 6. Schakel de foutopsporingsvoorwaarde in voor het draadloze MAC-adres van de client dat u wilt controleren.

Met deze opdracht wordt het opgegeven MAC-adres gedurende 30 minuten (1800 seconden) gecontroleerd. U kunt deze tijd optioneel verhogen tot 2085978494 seconden.

Van CLI:

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

Opmerking: Voer de opdracht debug wireless mac <aaaa.bbbb.cccc> per mac-adres uit om meer dan één client tegelijk te controleren.

Opmerking: U ziet niet de uitvoer van de clientactiviteit op de terminalsessie, omdat alles intern wordt gebufferd om later te worden bekeken.

Stap 7. Reproduceer het probleem of gedrag dat u wilt controleren.

Stap 8. Stop de foutopsporing als het probleem wordt gereproduceerd voordat de standaard of geconfigureerde monitortijd is verstreken.

Van CLI:

# no debug wireless mac <aaaa.bbbb.cccc>

Nadat de monitortijd is verstreken of het draadloze foutopsporingsbericht is gestopt, genereert de 9800 WLC een lokaal bestand met de naam:

ra_trace_MAC_aabbbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Stap 9. Verzamel het bestand van de MAC-adresactiviteit.  U kunt het log voor het traceren van gegevens kopiëren naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.

Controleer de naam van het RA-traces-bestand

Van CLI:

# dir bootflash: | inc ra_trace

Kopieer het bestand naar een externe server:

Van CLI:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

 De inhoud weergeven:

Van CLI:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Stap 10. Als de hoofdoorzaak nog steeds niet duidelijk is, verzamelt u de interne logs die een uitgebreidere weergave zijn van logboeken op debugniveau. U hoeft de client niet opnieuw te debuggen omdat u een gedetailleerde blik hebt genomen op debug-logs die al zijn verzameld en intern zijn opgeslagen.

Van CLI:

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Opmerking: deze opdrachtuitvoer retourneert sporen voor alle logboekniveaus voor alle processen en is vrij omvangrijk. Schakel Cisco TAC in om deze sporen te ontleden.

U kunt de ra-internal-FILENAME.txt kopiëren naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.

Kopieer het bestand naar een externe server:

Van CLI:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

De inhoud weergeven:

Van CLI:

# more bootflash:ra-internal-<FILENAME>.txt

 Stap 11. Verwijder de foutopsporingsvoorwaarden.

Van CLI:

# clear platform condition all

Opmerking: zorg ervoor dat u altijd de foutopsporingsvoorwaarden verwijdert na een probleemoplossingssessie.