Inleiding
Dit document beschrijft een basisconfiguratievoorbeeld hoe u een mesh access point (AP) kunt aansluiten op de Catalyst 9800 draadloze LAN-controller (WLC)
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Catalyst draadloze 9800 configuratiemodel
- Configuratie van LAP’s
- Beheer en levering van draadloze access points (CAPWAP)
- Configuratie van een externe DHCP-server
- Configuratie van Cisco-switches
Gebruikte componenten
In dit voorbeeld wordt gebruik gemaakt van een lichtgewicht access point (1572AP en 1542) dat kan worden geconfigureerd als een Root AP (RAP) of mesh AP (MAP) om toe te voegen aan Catalyst 9800 WLC. De procedure is identiek voor 1542 of 1562 toegangspunten. De RAP is via een Cisco Catalyst switch verbonden met de Catalyst 9800 WLC.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- C980-CL v16.12.1
- Cisco Layer 2 Switch
- Cisco Aironet 1572 Series lichtgewicht access points voor buitengebruik voor de sectie Bridge
- Cisco Aironet 1542 voor de Flex+Bridge-sectie
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Casestudy 1: Bridge Mode
Configuraties
Een mesh AP moet worden geverifieerd voordat het kan worden toegevoegd aan de 9800 controller. In deze casestudy wordt overwogen dat u eerst in de lokale modus bij het toegangspunt wordt aangesloten en vervolgens naar de WLC-modus (ook bekend als Bridge) wordt geconverteerd.
Om de toewijzing van AP Josef profielen te vermijden, gebruik dit voorbeeld maar vorm de standaard aaa autorisatie credential-download methode zodat om het even welke netwerkAP wordt toegestaan om zich bij het controlemechanisme aan te sluiten.
Stap 1: Rap/MAP mac-adressen configureren onder Apparaatverificatie.
Ga naar Configuratie > AAA > AAA Advanced > Apparaatverificatie.
Voeg het Base Ethernet MAC-adres van de mesh access points toe en voeg het toe zonder speciale tekens, zonder '.' of ':'
Belangrijk: Vanaf release 17.3.1, als er mac-adresscheidingstekens zoals '.', ':' of '-' zijn toegevoegd, kan het toegangspunt niet meedoen. Er zijn momenteel 2 verbeteringen geopend voor dit product: Cisco bug-id CSCv43870 en Cisco bug-id CSCvr07920. In de toekomst, 9800 accepteert alle mac adresformaten.
Stap 2: Configureer de lijst met verificatiemethode en autorisatie.
Ga naar Configuratie > Beveiliging > AAA > AAA-methodelijst > Verificatie en maak een lijst met verificatiemethode en een lijst met autorisatiemethoden.
Stap 3: Configureer de globale netwerkparameters.
Ga naar Configuration> mesh> wereldwijde parameters. In eerste instantie kunnen we deze waarden standaard houden.
Stap 4: Maak een nieuw mesh profiel onder Configuration > Mesh > Profile > +Add
Klik op het profiel voor het gemaakte netwerk om de algemene en geavanceerde instellingen voor het netwerkprofiel te bewerken.
In het diagram zoals getoond moeten we het verificatie- en autorisatieprofiel dat voor het Mesh-profiel is gemaakt, in kaart brengen
Stap 5: Maak een nieuwe AP-verbinding profiel. Ga naar Configureren > Tags en profielen: AP Join.
Pas het eerder geconfigureerde mesh profiel toe en configureer de EAP-auth:
Stap 6: Maak een netlocatie Tag zoals getoond.
Configureer Klik op de mesh location TAG die in stap 6 is gemaakt om deze te configureren.
Ga naar het tabblad Site en pas het eerder geconfigureerde mesh AP-toetredprofiel toe op het:
Stap 7. Converteer het AP naar de Bridge modus.
via CLI kunt u deze opdracht op het toegangspunt uitvoeren:
capwap ap mode bridge
Het toegangspunt start opnieuw op en treedt terug als Bridge-modus.
Stap 8. U kunt de rol van AP nu bepalen: of wortel AP of netwerk AP.
De root-AP is degene met een bekabelde verbinding met de WLC terwijl de mesh AP zich aansluit bij de WLC via de radio die probeert verbinding te maken met een root-AP.
Een maas-AP kan zich aansluiten bij de WLC via zijn bekabelde interface als het er niet in is geslaagd om een wortel-AP te vinden via zijn radio, voor provisioningdoeleinden.
Vergeet niet om de native VLAN van de trunk in de AP-instellingen op te geven voor het geval dat deze afwijkt van de standaard VLAN 1
Verifiëren
aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
method authentication Mesh_Authentication
method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site Mesh_AP_Tag
ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile Mesh_Profile
Problemen oplossen
In Probleemoplossing > Radioactive Trace web UI pagina, klikt u op toevoegen en voer het AP mac-adres in.
Klik op Start en wacht tot het toegangspunt opnieuw probeert zich bij de controller aan te sluiten.
Als u klaar bent, klikt u op Generate (Generate) en kiest u een tijdsperiode om de logbestanden te verzamelen (bijvoorbeeld laatste 10 of 30 minuten).
Klik op de naam van het Trace-bestand om het van uw browser te downloaden.
Hier is een voorbeeld van AP niet aangesloten wegens de verkeerde naam van de aaa vergunningsmethode werd bepaald:
019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac
Het zelfde kan gemakkelijker in het Web UI dashboard worden gezien wanneer klik op APs niet verenigd. "Ap auth hangend" is de hint die wijst op de authenticatie van het toegangspunt zelf:
Case study 2: Flex + Bridge
In dit gedeelte wordt het samenvoegen van een 1542 AP in Flex+bridge-modus benadrukt met EAP-verificatie die lokaal op de WLC wordt uitgevoerd.
Configureren
- Stap 1. Navigeren naar Configuratie > Beveiliging > AAA > AAA Advanced > Apparaatverificatie
- Stap 2. Selecteer Apparaatverificatie en selecteer Toevoegen
- Stap 3. Typ het MAC-adres van Base Ethernet van het toegangspunt om toe te voegen aan de WLC, laat de naam van de lijst met kenmerken leeg en selecteer Toepassen op apparaat
- Stap 4. Navigeren naar Configuratie > Beveiliging > AAA > AAA-methodelijst > Verificatie
- Stap 5. Selecteer Add en het pop-upvenster AAA-verificatie verschijnt
- Stap 6. Type in een naam in de Naam van de Lijst van de Methode, selecteer 802.1x van Type* vervolgkeuzelijst en lokaal voor het Type van Groep, tenslotte selecteer Toepassen op Apparaat
- Stap 6b. Als uw AP's zich rechtstreeks als Bridge-modus aansluiten en niet eerder een site- en beleidstag toegewezen hebben gekregen, herhaalt u stap 6, maar voor de standaardmethode.
- Configureer een methode met dot1x aaa-verificatie die naar lokaal wijst (CLI aaa-verificatie dot1x standaard lokaal)
- Stap 7. Naar configuratie navigeren > Beveiliging > AAA > AAA-methodelijst > Autorisatie
- Stap 8. Selecteer Add en het pop-upvenster AAA-autorisatie verschijnt
- Stap 9. Type in een naam in de Naam van de Lijst van de Methode, selecteer geloofsdownload van de vervolgkeuzelijst Type* en lokaal voor het Type van Groep, tenslotte selecteer Toepassen op Apparaat
- Stap 9b. Als uw AP zich rechtstreeks in de Bridge-modus aanmeldt (dat wil zeggen, het doet niet eerst in de lokale modus), herhaal stap 9 voor de standaard credential-download methode (CLI aaa autorisatie credential-download standaard lokaal)
- Stap 10. Naar configuratie navigeren > Draadloos > mesh > profielen
- Stap 11. Selecteer Add, het pop-upvenster Add Mesh Profile verschijnt
- Stap 12. Stel in het tabblad Algemeen een naam en beschrijving in voor het mesh-profiel
- Stap 13. Selecteer onder het tabblad Geavanceerd EAP voor het veld Methode
- Stap 14. Selecteer het in stap 6 en 9 gedefinieerde autorisatie- en verificatieprofiel en selecteer Toepassen op apparaat
- Stap 15. Naar configuratie navigeren > Tag & Profiles > AP Join > Profile
- Stap 16. Selecteer Add (Toevoegen), de pop-up Join Profile van AP verschijnt, een naam en een beschrijving instellen voor het profiel van AP Join
- Stap 17. Navigeer naar het tabblad AP en selecteer het in stap 12 gemaakte mesh profiel uit de vervolgkeuzelijst mesh profiel naam
- Stap 18. Zorg ervoor dat EAP-FAST- en CAPWAP DTLS zijn ingesteld voor de velden EAP-type en AP-autorisatietype
- Steo 19. Selecteer Toepassen op apparaat
- Stap 20. Navigeren naar Configuratie > Tag & Profiles > Tags > Site
- Stap 21. Selecteer Toevoegen, de pop-up Site Tag verschijnt
- Stap 22. Typ een naam en beschrijving voor de Site Tag
- Stap 23. Selecteer het AP Join Profile dat is gemaakt in stap 16 uit de vervolgkeuzelijst AP Join Profile
- Stap 24. Onder aan de site tag pop-up vinkt u het aanvinkvakje Local Site inschakelen aan om de vervolgkeuzelijst Flex Profile in te schakelen.
- Stap 35. Selecteer in de vervolgkeuzelijst Flex Profile het Flex Profile dat u wilt gebruiken voor het AP
- Stap 36. Sluit het toegangspunt aan op het netwerk en controleer of het toegangspunt zich in de lokale modus bevindt.
- Stap 37. Om er zeker van te zijn dat het toegangspunt zich in de lokale modus bevindt, moet u de opdracht Capwap-modus lokaal uitgeven.
Het toegangspunt moet een manier hebben om de controller te vinden, L2-uitzending, DHCP-optie 43, DNS-resolutie of handmatige installatie.
- Stap 38. AP sluit zich aan bij WLC, verzeker het onder de AP lijst is, navigeer aan Configuratie > Draadloos > Access points > Alle access points
- Stap 39. Selecteer het toegangspunt, het pop-upvenster AP verschijnt.
- Stap 40. Selecteer de sitetag die in Stap 22 is gemaakt onder Algemeen > Tags > Site tabblad in het pop-upvenster, selecteer Update en pas deze toe op apparaat
- Stap 41. AP start opnieuw op en moet zich aansluiten bij de WLC in Flex + Bridge-modus
Let op dat deze methode eerst met het toegangspunt wordt verbonden in de lokale modus (waar geen verificatie met dot1x wordt uitgevoerd) om de sitetag met het netwerkprofiel toe te passen en vervolgens het toegangspunt naar de overbruggingsmodus te switches.
Als u zich wilt aansluiten bij een AP die vastzit in de Bridge-modus (of Flex+Bridge), configureert u standaardmethoden (aaa verificatiedot1x standaard lokaal en aaa autorisatie standaard lokaal).
Het toegangspunt kan vervolgens worden geverifieerd en u kunt vervolgens de tags toewijzen.
Verifiëren
Zorg ervoor dat de AP-modus wordt weergegeven als Flex + Bridge zoals in deze afbeelding.
Start deze opdrachten van WLC 9800 CLI en zoek naar het kenmerk AP Mode. Het moet worden vermeld als Flex+Bridge
aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site meshsite
ap-profile meshapjoin
no local-site
ap profile meshapjoin
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile mesh-profile
Problemen oplossen
Zorg ervoor dat de opdrachten aaa verificatie dot1x standaard lokaal en aaa autorisatie cred standaard lokaal aanwezig zijn. Ze zijn nodig als uw toegangspunt niet vooraf is aangesloten in de modus Lokaal.
Het hoofddashboard van de 9800 heeft een widget waarin AP's niet kunnen meedoen. Klik op de knop om een lijst op te halen van AP's die niet meedoen:
Klik op de specifieke AP om de reden te zien waarom het niet is aangesloten bij. In dit geval zien we een verificatieprobleem (AP auth in behandeling) omdat de site tag niet is toegewezen aan de AP.
Daarom heeft de 9800 niet de genoemde authenticatie-/autorisatiemethode gekozen om het toegangspunt te authenticeren:
Ga voor meer geavanceerde probleemoplossing naar de pagina Problemen oplossen > Radioactive Trace op de web UI.
Als u het adres van het toegangspunt invoert, kunt u onmiddellijk een bestand genereren om de altijd ingeschakelde logbestanden (op berichtniveau) te verkrijgen van het toegangspunt dat probeert toe te treden.
Klik op Start om geavanceerde debugging voor dat MAC-adres in te schakelen. De volgende keer dat de logbestanden worden gegenereerd, genereren de logbestanden, debug-level logbestanden voor de AP-koppeling worden getoond.