Configuratie van Centrale Webverificatie met Anchor op Catalyst 9800
Inhoud
Inleiding
Dit document beschrijft hoe u een Central Web Verificatie (CWA) kunt configureren en oplossen op Catalyst 9800, waarbij u naar een andere Wireless LAN Controller (WLC) wijst als een mobiliteitshandel, met inbegrip van bestemming met AireOS of een andere 9800 WLC.
Voorwaarden
Vereisten
Het wordt aanbevolen dat u een basisbegrip hebt van de 9800 WLC, AireOS WLC en Cisco ISE. Aangenomen wordt dat voordat u de CWA ankerconfiguratie start u de mobiliteitstunnel tussen de twee WLC's reeds hebt opgetild. Dit valt buiten de reikwijdte van dit configuratievoorbeeld. Als u hier hulp bij nodig hebt, raadpleeg dan het document "Mobility Tunnel bouwen op Catalyst 9800 controllers"
Gebruikte componenten
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
9800 17.2.1
5520 8.5.164 IRCM-beeld
ISE 2.4
Configureer een Catalyst 9800 die aan een andere Catalyst 9800 is verankerd
Netwerkdiagram
AAA instellen op beide 9800s
Op zowel het anker als het buitenland moet u eerst de RADIUS-server toevoegen en ervoor zorgen dat CoA is ingeschakeld. Dit kan in het menu gedaan wordenConfiguratie>Beveiliging>AAA>servers/groepen>servers> Klik op de knop Toevoegen
U moet nu een servergroep maken en de server die u zojuist hebt ingesteld, in die groep plaatsen. Dit gebeurt hier Configuratie>Beveiliging>AAA>servers/groepen>servergroepen>+Add.
Maak nu een lijst van de machtigingsmethode (een lijst van de authentificatiemethode is niet vereist voor CWA) waar het type netwerk is en het groepstype groep. Voeg de servergroep uit de vorige actie toe aan deze methodelijst.
Dit configureren gebeurt hier Configuration>Security>AAA>servers/AAA-methodelijst>Verificatie>+Add
(Optioneel) Maak een boekhoudingsmethodelijst met dezelfde servergroep als de machtigingsmethodelijst. U kunt de boekhoudlijst hier maken Configuration>Security>AAA>servers/AAA-methodelijst>Accounting>+Add
De WLAN’s op de WLC’s configureren
Maak en vorm de WLAN’s op beide WLC’s. De WLAN’s moeten op beide netwerken worden afgestemd. Het beveiligingstype moet bestaan uit het filteren van de mac en de lijst van de autorisatiemethode van de vorige stap moet worden toegepast. Deze configuratie wordt uitgevoerd onder Configuration>Tags en profielen>WLAN’s>+Add
Maak het beleidsprofiel en de beleidstag op de externe WLC
Ga naar het externe WLC web UI.
U maakt het beleidsprofiel als volgt naar Configuratie>Tabellen en profielen>Beleid>+Add
Bij verankering moet je centrale switching gebruiken.
In het tabblad "Geavanceerd" zijn AAA-Override en RADIUS NAC verplicht voor CWA. Hier kunt u ook de boekhoudmethodelijst toepassen indien u ervoor kiest er een te maken.
In het tabblad "Mobility" NIET controleren u het selectieteken "uitvoeranker", maar voegt u eerder het anker WLC toe aan de ankerlijst. Zorg ervoor dat u op "Toepassen op apparaat" klikt. Ter herinnering, dit veronderstelt dat u al een mobiliteitstunnelinstelling hebt tussen de twee controllers
Om de AP's dit beleidsprofiel te kunnen gebruiken, zult u een beleidslaag moeten creëren en het op de AP's moeten toepassen die u wilt gebruiken.
U kunt de beleidstag als volgt definiëren op Configuration>Tags en profielen>Tags?Policy>+Add
Als u dit wilt toevoegen aan meerdere AP's tegelijk, gaat u naar Configuration>Wireless Setup>Geavanceerd>Nu starten. Klik op de kogelbalken naast "Tabeljauze" en voeg de tag toe aan de door u gekozen AP's.
Het beleidsprofiel op de ankerplaats WLC maken
Ga naar het ankerweb UI. Voeg het beleidsprofiel op het anker 9800 toe onder Configuration>Taps en profielen>Taps>Policy>+Add. Zorg ervoor dat dit overeenkomt met het beleidsprofiel dat op het buitenland is gemaakt, behalve het tabblad mobiliteit en de boekhoudlijst.
Hier voegt u geen anker toe maar u controleert wel het selectieteken "Exporteren Anchor". Voeg hier de boekhoudlijst niet toe. Ter herinnering, dit veronderstelt dat u al een mobiliteitstunnelinstelling hebt tussen de twee controllers
Opmerking: Er is geen reden om dit profiel aan een WLAN in een beleidstag te koppelen. Dit zal problemen opleveren als je dat doet. Als u dezelfde WLAN’s voor AP’s op deze WLC wilt gebruiken, maakt u er een ander beleidsprofiel voor.
Richt ACL op beide 9800s opnieuw
Daarna moet u ACL opnieuw richten op beide 9800s. De items op het buitenland doen er niet toe omdat het de ankerfunctie WLC is die ACL op het verkeer toepast. De enige vereiste is dat het er is en dat het een ingang heeft. De inzendingen op het anker moeten de toegang tot ISE op poort 8443 "ontzeggen" en "alles toestaan". Deze ACL wordt alleen toegepast op verkeer dat "binnen" van de client komt zodat regels voor retourverkeer niet nodig zijn. DHCP en DNS gaan zonder ingangen in de ACL door.
ISE configureren
De laatste stap is ISE voor CWA te configureren. Er zijn een heleboel opties voor dit onderwerp, maar dit voorbeeld zal aan de basis blijven houden en het standaard zelf geregistreerde gastartaal gebruiken.
Op ISE, moet u een vergunningprofiel, een beleid creëren met een authentificatiebeleid en een vergunningenbeleid dat het vergunningprofiel gebruikt, 9800 (buitenlands) aan ISE als netwerkapparaat toevoegen, en een gebruikersnaam en wachtwoord om aan het netwerk in te loggen.
Als u het autorisatieprofiel wilt maken, gaat u naar Beleidselementen>Vergunning>Resultaten>Vergunningsprofielen>en klikt u op Toevoegen. Zorg ervoor dat het geretourneerde toegangstype "access_accepteren" is en stel vervolgens de AVP's (attribuut-value paren) in die u wilt terugsturen. Voor CWA is het nasturen van ACL en het opnieuw richten van URL verplicht maar u kunt ook dingen zoals VLAN ID en sessietijd terugsturen. Het is belangrijk dat de ACL-naam overeenkomt met de naam van de herleiding ACL op zowel het buitenland als de ankernaam 9800.
U moet dan een manier configureren om het autorisatieprofiel toe te passen dat u net hebt gemaakt voor de klanten die CWA doorlopen. Om dit te bereiken, is één manier om een beleidsset te creëren die authenticatie omzeilt bij het gebruik van MAB en het autorisatieprofiel toepast bij het gebruik van SSID's die in de opgeroepen stationID zijn verzonden. Nogmaals, er zijn een heleboel manieren om dit te bereiken, dus als je iets specifiekers of zekerder nodig hebt, dan is dit gewoon de eenvoudigste manier om het te doen.
Om de beleidsset te maken, gaat u naar Beleidsformaten en klikt u op de +-toets aan de linkerkant van het scherm. Geef de nieuwe beleidsset een naam en zorg ervoor dat deze is ingesteld op "standaard netwerktoegang" of een toegestane protocollijst waarmee "Proceshost Lookup" voor MAB( om de toegestane protocollijst te controleren gaat naar Beleidselementen>Resultaten>Verificatie>Toegestane protocollen). Druk op dat + teken in het midden van de nieuwe beleidsset die u hebt gecreëerd.
Voor dit beleid wordt elke keer dat MAB in ISE wordt gebruikt, dit beleid doorgevoerd. Later kunt u autorisatiebeleid maken dat overeenkomt met de genoemde stationID zodat verschillende resultaten kunnen worden toegepast, afhankelijk van de WLAN’s die worden gebruikt. Dit proces is zeer aanpasbaar met een hoop dingen waar je op kunt passen. 
Voer in het beleidskader het beleid in. Het authenticatiebeleid kan opnieuw overeenkomen op MAB maar u moet de ID winkel wijzigen om 'interne eindpunten' te gebruiken en de opties wijzigen om auth fail en user not found te blijven.
Zodra het authenticatiebeleid is ingesteld, moet je twee regels opstellen in het autorisatiebeleid. Dit beleid leest als een ACL, zodat de volgorde aan de top en de pre-auth regel aan de onderkant moet zijn. De post-auth-regel zal gelijk zijn aan gebruikers die al door de gastenstroom zijn gegaan. Dat wil zeggen dat als zij al hebben getekend, zij die regel zullen treffen en daar ophouden. Als ze niet in hebben getekend, blijven ze de lijst volgen en op de pre-auth regel klikken om de herleiding te krijgen. Het is een goed idee om de regels van het autorisatiebeleid aan te passen aan het genoemde station ID eindigen met de SSID zodat het alleen raakt voor WLAN’s die zo zijn geconfigureerd.
Nu de beleidsset is geconfigureerd, moet u ISE over de 9800 (buitenlandse) vertellen om ISE als authenticator te kunnen vertrouwen. Dit kan worden gedaan bij Admin>Netwerkbronnen>Netwerkapparaat>+. U moet het naam geven, het IP-adres instellen (of in dit geval het gehele admin-subnetwerk), RADIUS inschakelen en het gedeelde geheim instellen. Het gedeelde geheim op ISE moet overeenkomen met het gedeelde geheim over de 9800, anders zal dit proces mislukken. Nadat de configuratie is toegevoegd, drukt u op de knop Insturen om deze op te slaan.
Tot slot moet u de gebruikersnaam en het wachtwoord toevoegen dat de client naar de inlogpagina gaat invoeren om te kunnen bevestigen dat ze toegang hebben tot het netwerk. Dit gebeurt onder Admin>identiteitsbeheer>Identity>Gebruikers>+Add en zorg ervoor dat u na het toevoegen van de bestanden op inzenden. Zoals alles met ISE, is dit aanpasbaar en moet niet een lokaal opgeslagen gebruiker zijn maar opnieuw, is het de makkelijkste configuratie.
Configuratie van een Catalyst 9800 verankerd aan een AireOS WLC
Catalyst 9800 buitenlandse configuratie
Volg dezelfde stappen als eerder besproken en overslaat u het gedeelte "Het beleidsprofiel maken op het ankergedeelte WLC".
AAA configureren op het anker AireOS WLC
Voeg de server toe aan de WLC door naar Security>AAA>RADIUS>Verificatie>New. Voeg het server IP adres, gedeeld geheim en ondersteuning voor CoA toe.
WLAN-configuratie op de AireOS-WLC
Ga naar WLAN’s>Nieuw>Ga naar WLAN’s om een WLAN te maken.
Configuratie van de naam van het profiel, WLAN ID, en SSID en druk vervolgens op "Toepassen".
Dit zou u naar de WLAN-configuratie moeten brengen. Op het tabblad "Algemeen" kunt u de interface toevoegen die u wilt dat de clients worden gebruikt als u geen ISE gaat configureren om deze in een AVP te verzenden. Ga daarna naar het tabblad Security>Layer 2 en stem het bestand "Layer 2 security" aan dat u op de 9800 hebt gebruikt en schakelt "MAC Filtering" in.
Ga nu naar het tabblad Security>AAA-servers en stel de ISE-server in als de "Verificatieservers". Stel niets in voor de "Accounting Server". Schakel het vakje "Inschakelen" uit voor het accounting.
Terwijl u nog in de WLAN-configuratie zit, gaat u naar het tabblad "Geavanceerd" en schakelt u "AAA-override toestaan" in en wijzigt u de "NAC-staat" in "ISE NAC"
Het laatste is het verankeren ervan in zichzelf. Ga voor dit geval terug naar WLAN’s pagina en klik op het blauwe vakje rechts van de WLAN>Mobiliteitsanaloge modem. Stel "Switch IP Address (Anchor)" in op Local en druk op de knop "Mobility Anchor Create". Het zou dan moeten verschijnen met prioriteit 0 verankerd lokaal.
ACL omleiden via het AireOS WLC
Dit is de laatste configuratie nodig op de AireOS WLC. Om ACL-richting te maken gaat u naar Security>Toegangscontrolelijsten>Toegangscontrolelijsten>Nieuw. Voer de ACL-naam in (deze moet overeenkomen met wat in de AVP’s wordt verzonden) en druk op "Toepassen".
Klik nu op de naam van ACL die u zojuist hebt gemaakt. Klik op de knop "Nieuwe regel toevoegen". In tegenstelling tot de 9800 controller op AireOS WLC, vormt u een vergunningsverklaring voor verkeer dat ISE kan bereiken zonder herleiding. DHCP en DNS zijn standaard toegestaan.
ISE configureren
De laatste stap is ISE voor CWA te configureren. Er zijn een heleboel opties voor dit onderwerp, maar dit voorbeeld zal aan de basis blijven houden en het standaard zelf geregistreerde gastartaal gebruiken.
Op ISE, moet u een vergunningprofiel, een beleid creëren met een authentificatiebeleid en een vergunningenbeleid dat het vergunningprofiel gebruikt, 9800 (buitenlands) aan ISE als netwerkapparaat toevoegen, en een gebruikersnaam en wachtwoord om aan het netwerk in te loggen.
Ga naar Beleidselementen>Vergunningsprofiel>Resultaten maken>Vergunningsprofielen>Auditing profielen>+Add. Zorg ervoor dat het geretourneerde toegangstype "access_accepteren" is en stel vervolgens de AVP's (attribuut-value paren) in die u wilt terugsturen. Voor CWA is het nasturen van ACL en het opnieuw richten van URL verplicht maar u kunt ook dingen zoals VLAN ID en sessietijd terugsturen. Het is belangrijk dat de ACL-naam overeenkomt met de naam van de herleiding ACL op zowel het buitenland als de ankernaam WLC.
U moet dan een manier configureren om het autorisatieprofiel toe te passen dat u net hebt gemaakt voor de klanten die CWA doorlopen. Om dit te bereiken, is één manier om een beleidsset te creëren die authenticatie omzeilt bij het gebruik van MAB en het autorisatieprofiel toepast bij het gebruik van SSID's die in de opgeroepen stationID zijn verzonden. Nogmaals, er zijn een heleboel manieren om dit te bereiken, dus als je iets specifiekers of zekerder nodig hebt, dan is dit gewoon de eenvoudigste manier om het te doen.
Om de beleidsset te maken, gaat u naarPolicy>Instellingen>en klikt u op de +-toets aan de linkerkant van het scherm. Geef de nieuwe beleidsset een naam en zorg ervoor dat deze is ingesteld op "standaard netwerktoegang" of een toegestane protocollijst waarmee "Proceshost Lookup" voor MAB( om de toegestane protocollijst te controleren gaat naar Beleidselementen>Resultaten>Verificatie>Toegestane protocollen). Druk op dat + teken in het midden van de nieuwe beleidsset die u hebt gecreëerd.
Voor dit beleid wordt elke keer dat MAB in ISE wordt gebruikt, dit beleid doorgevoerd. Later kunt u autorisatiebeleid maken dat overeenkomt met de genoemde stationID zodat verschillende resultaten kunnen worden toegepast, afhankelijk van de WLAN’s die worden gebruikt. Dit proces is zeer aanpasbaar met een hoop dingen waar je op kunt passen
Voer in het beleidskader het beleid in. Het authenticatiebeleid kan opnieuw overeenkomen op MAB maar u moet de ID winkel wijzigen om 'interne eindpunten' te gebruiken en de opties wijzigen om auth fail en user not found te blijven.
Zodra het authenticatiebeleid is ingesteld, moet je twee regels opstellen in het autorisatiebeleid. Dit beleid leest als een ACL, zodat de volgorde aan de top en de pre-auth regel aan de onderkant moet zijn. De post-auth-regel zal gelijk zijn aan gebruikers die al door de gastenstroom zijn gegaan. Dat wil zeggen dat als zij al hebben getekend, zij die regel zullen treffen en daar ophouden. Als ze niet in hebben getekend, blijven ze de lijst volgen en op de pre-auth regel klikken om de herleiding te krijgen. Het is een goed idee om de regels van het autorisatiebeleid aan te passen aan het genoemde station ID eindigen met de SSID zodat het alleen raakt voor WLAN’s die zo zijn geconfigureerd.
Nu de beleidsset is geconfigureerd, moet u ISE over de 9800 (buitenlandse) vertellen om ISE als authenticator te kunnen vertrouwen. Dit kan worden gedaan opAdmin>Netwerkbronnen>Netwerkapparaat>+. U moet het naam geven, het IP-adres instellen (of in dit geval het gehele admin-subnetwerk), RADIUS inschakelen en het gedeelde geheim instellen. Het gedeelde geheim op ISE moet overeenkomen met het gedeelde geheim over de 9800, anders zal dit proces mislukken. Nadat de configuratie is toegevoegd, drukt u op de knop Insturen om deze op te slaan.
Tot slot moet u de gebruikersnaam en het wachtwoord toevoegen dat de client naar de inlogpagina gaat invoeren om te kunnen bevestigen dat ze toegang hebben tot het netwerk. Dit gebeurt onderAdmin>identiteitsbeheer>Identity>Gebruikers>+Adden zorg ervoor dat u op Insturen klikt nadat u deze hebt toegevoegd. Zoals alles met ISE, is dit aanpasbaar en moet niet een lokaal opgeslagen gebruiker zijn maar opnieuw, is het de makkelijkste configuratie.
Verschillen in configuratie wanneer AireOS WLC het buitenland is en Catalyst 9800 het anker is
Als u wilt dat AireOs WLC de buitenlandse controller is is de configuratie hetzelfde als met slechts twee verschillen.
- AAA-accounting wordt nooit op het anker uitgevoerd zodat de 9800 geen boekhoudkundige methodelijst zou hebben en de AireOS WLC zou accounting mogelijk hebben gemaakt en naar ISE wijst.
- Het AireOS zou zich aan de 9800 moeten koppelen in plaats van aan zichzelf. In het beleidsprofiel zou de 9800 geen geselecteerd anker hebben, maar het vakje "Exporteren Anchor" laten aangevinkt.
- Het is belangrijk op te merken dat wanneer AireOS WLCs de client naar de 9800 exporteren er geen concept van beleidsprofielen is, het alleen de WLAN Profile Name verstuurt. Daarom zal de 9800 de WLAN-profielnaam toepassen die van AireOS wordt verzonden op zowel de WLAN-profielnaam als de beleidsprofielnaam. Dit gezegd hebbende, wanneer het anker worden van een AireOS-WLC naar een 9800 WLC, moet de WLAN-profielnaam op zowel WLC als de Policy Profile Name op de 9800 alle overeenkomen.
Verifiëren
Om de configuratie van de 9800 WLC te controleren voert u de opdrachten uit
- AAA
Show Run | section aaa|radius
- WLAN
Show wlan id <wlan id>
- Beleidsprofiel
Show wireless profile policy detailed <profile name>
- Beleidslijn
Show wireless tag policy detailed <policy tag name>
- ACL
Show IP access-list <ACL name>
- Controleer of de mobiliteit bij het anker is
Show wireless mobility summary
Om de configuratie van AireOS WLC te controleren voert u de opdrachten uit
- AAA
Show radius summary
Opmerking: RFC3576 is de CoA-configuratie
- WLAN
Show WLAN <wlan id>
- ACL
Show acl detailed <acl name>
- Controleer of mobiliteit in het buitenland is
Show mobility summary
Problemen oplossen
Problemen oplossen ziet er anders uit, afhankelijk van het punt in het proces dat de client stopt. Bijvoorbeeld, als de WLC nooit een reactie van ISE op MAB krijgt, zou de cliënt vast komen te zitten in de "Policy Manager State: Associatie" en wordt niet geëxporteerd naar de ankerplaats. In deze situatie zou u alleen problemen oplossen op het buitenland en u zou een RA spoor en een pakketvastlegging voor verkeer tussen de WLC en ISE kunnen verzamelen. Een ander voorbeeld zou zijn dat MAB succesvol is overgegaan maar de cliënt ontvangt geen herleiding. In dat geval moet u ervoor zorgen dat het buitenland de herleiding in de AVP's heeft ontvangen en deze op de cliënt heeft toegepast. U moet ook het anker controleren om te verzekeren de client is met de juiste ACL. Dit bereik van probleemoplossing valt buiten het ontwerp van dit technische document (controleer de referenties voor een generieke client-probleemoplossing-richtlijnen).
Zie Cisco Live voor meer hulp bij het oplossen van problemen met CWA op de 9800 WLC! presentatie DGTL-TSCENT-404
Catalyst 9800 informatie over probleemoplossing
Clientgegevens
show wireless client mac-address
detail
Hier kunt u de "Policy Manager State", "Session Manager>Auth Methode", "Mobility Rol" bekijken.
U kunt deze informatie ook vinden in de GUI onder Controle>Clients
Ingesloten pakketvastlegging
Vanaf de CLI start de opdracht #monitor Capture <Capture name> en daarna komen de opties beschikbaar.
Ga vanuit de GUI naar probleemoplossing>Packet Capture>+Add
RadioActive Traces
Van de CLI
debug wireless mac|ip
Gebruik het bestandsindeling van de opdracht om het te stoppen. Dit wordt ingelogd op een bestand in een flitser met de naam "ra_trace", het MAC- of IP-adres van de client en de datum en tijd.
Ga vanuit de GUI naar probleemoplossing>Radioactief spoor>+Add. Voeg het mac- of ip-adres van de klant toe, klik op van toepassing en klik vervolgens op Start. Nadat u het proces een paar keer hebt doorlopen, stop het spoor, genereer het logbestand en download het op uw apparaat.
Informatie over AireOS-probleemoplossing
Clientgegevens
Van de CLI toon clientgegevens <client mac>
Vanuit de GUI-monitor>Clients
Debugs van het CLI
Debug client
Debug mobility handoff
Debug mobility config
Referenties
Revision History
| Revision | Publish Date | Comments |
|---|---|---|
2.0 |
20-Sep-2021 |
minor formatting changes |
1.0 |
17-Sep-2021 |
Initial Release |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)