De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u een Central Web Verificatie (CWA) kunt configureren en oplossen op Catalyst 9800, waarbij u naar een andere Wireless LAN Controller (WLC) wijst als een mobiliteitshandel, met inbegrip van bestemming met AireOS of een andere 9800 WLC.
Het wordt aanbevolen dat u een basisbegrip hebt van de 9800 WLC, AireOS WLC en Cisco ISE. Aangenomen wordt dat voordat u de CWA ankerconfiguratie start u de mobiliteitstunnel tussen de twee WLC's reeds hebt opgetild. Dit valt buiten de reikwijdte van dit configuratievoorbeeld. Als u hier hulp bij nodig hebt, raadpleeg dan het document "Mobility Tunnel bouwen op Catalyst 9800 controllers"
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
9800 17.2.1
5520 8.5.164 IRCM-beeld
ISE 2.4
Op zowel het anker als het buitenland moet u eerst de RADIUS-server toevoegen en ervoor zorgen dat CoA is ingeschakeld. Dit kan in het menu gedaan wordenConfiguratie>Beveiliging>AAA>servers/groepen>servers> Klik op de knop Toevoegen
U moet nu een servergroep maken en de server die u zojuist hebt ingesteld, in die groep plaatsen. Dit gebeurt hier Configuratie>Beveiliging>AAA>servers/groepen>servergroepen>+Add.
Maak nu een lijst van de machtigingsmethode (een lijst van de authentificatiemethode is niet vereist voor CWA) waar het type netwerk is en het groepstype groep. Voeg de servergroep uit de vorige actie toe aan deze methodelijst.
Dit configureren gebeurt hier Configuration>Security>AAA>servers/AAA-methodelijst>Verificatie>+Add
(Optioneel) Maak een boekhoudingsmethodelijst met dezelfde servergroep als de machtigingsmethodelijst. U kunt de boekhoudlijst hier maken Configuration>Security>AAA>servers/AAA-methodelijst>Accounting>+Add
Maak en vorm de WLAN’s op beide WLC’s. De WLAN’s moeten op beide netwerken worden afgestemd. Het beveiligingstype moet bestaan uit het filteren van de mac en de lijst van de autorisatiemethode van de vorige stap moet worden toegepast. Deze configuratie wordt uitgevoerd onder Configuration>Tags en profielen>WLAN’s>+Add
Ga naar het externe WLC web UI.
U maakt het beleidsprofiel als volgt naar Configuratie>Tabellen en profielen>Beleid>+Add
Bij verankering moet je centrale switching gebruiken.
In het tabblad "Geavanceerd" zijn AAA-Override en RADIUS NAC verplicht voor CWA. Hier kunt u ook de boekhoudmethodelijst toepassen indien u ervoor kiest er een te maken.
In het tabblad "Mobility" NIET controleren u het selectieteken "uitvoeranker", maar voegt u eerder het anker WLC toe aan de ankerlijst. Zorg ervoor dat u op "Toepassen op apparaat" klikt. Ter herinnering, dit veronderstelt dat u al een mobiliteitstunnelinstelling hebt tussen de twee controllers
Om de AP's dit beleidsprofiel te kunnen gebruiken, zult u een beleidslaag moeten creëren en het op de AP's moeten toepassen die u wilt gebruiken.
U kunt de beleidstag als volgt definiëren op Configuration>Tags en profielen>Tags?Policy>+Add
Als u dit wilt toevoegen aan meerdere AP's tegelijk, gaat u naar Configuration>Wireless Setup>Geavanceerd>Nu starten. Klik op de kogelbalken naast "Tabeljauze" en voeg de tag toe aan de door u gekozen AP's.
Ga naar het ankerweb UI. Voeg het beleidsprofiel op het anker 9800 toe onder Configuration>Taps en profielen>Taps>Policy>+Add. Zorg ervoor dat dit overeenkomt met het beleidsprofiel dat op het buitenland is gemaakt, behalve het tabblad mobiliteit en de boekhoudlijst.
Hier voegt u geen anker toe maar u controleert wel het selectieteken "Exporteren Anchor". Voeg hier de boekhoudlijst niet toe. Ter herinnering, dit veronderstelt dat u al een mobiliteitstunnelinstelling hebt tussen de twee controllers
Opmerking: Er is geen reden om dit profiel aan een WLAN in een beleidstag te koppelen. Dit zal problemen opleveren als je dat doet. Als u dezelfde WLAN’s voor AP’s op deze WLC wilt gebruiken, maakt u er een ander beleidsprofiel voor.
Daarna moet u ACL opnieuw richten op beide 9800s. De items op het buitenland doen er niet toe omdat het de ankerfunctie WLC is die ACL op het verkeer toepast. De enige vereiste is dat het er is en dat het een ingang heeft. De inzendingen op het anker moeten de toegang tot ISE op poort 8443 "ontzeggen" en "alles toestaan". Deze ACL wordt alleen toegepast op verkeer dat "binnen" van de client komt zodat regels voor retourverkeer niet nodig zijn. DHCP en DNS gaan zonder ingangen in de ACL door.
De laatste stap is ISE voor CWA te configureren. Er zijn een heleboel opties voor dit onderwerp, maar dit voorbeeld zal aan de basis blijven houden en het standaard zelf geregistreerde gastartaal gebruiken.
Op ISE, moet u een vergunningprofiel, een beleid creëren met een authentificatiebeleid en een vergunningenbeleid dat het vergunningprofiel gebruikt, 9800 (buitenlands) aan ISE als netwerkapparaat toevoegen, en een gebruikersnaam en wachtwoord om aan het netwerk in te loggen.
Als u het autorisatieprofiel wilt maken, gaat u naar Beleidselementen>Vergunning>Resultaten>Vergunningsprofielen>en klikt u op Toevoegen. Zorg ervoor dat het geretourneerde toegangstype "access_accepteren" is en stel vervolgens de AVP's (attribuut-value paren) in die u wilt terugsturen. Voor CWA is het nasturen van ACL en het opnieuw richten van URL verplicht maar u kunt ook dingen zoals VLAN ID en sessietijd terugsturen. Het is belangrijk dat de ACL-naam overeenkomt met de naam van de herleiding ACL op zowel het buitenland als de ankernaam 9800.
U moet dan een manier configureren om het autorisatieprofiel toe te passen dat u net hebt gemaakt voor de klanten die CWA doorlopen. Om dit te bereiken, is één manier om een beleidsset te creëren die authenticatie omzeilt bij het gebruik van MAB en het autorisatieprofiel toepast bij het gebruik van SSID's die in de opgeroepen stationID zijn verzonden. Nogmaals, er zijn een heleboel manieren om dit te bereiken, dus als je iets specifiekers of zekerder nodig hebt, dan is dit gewoon de eenvoudigste manier om het te doen.
Om de beleidsset te maken, gaat u naar Beleidsformaten en klikt u op de +-toets aan de linkerkant van het scherm. Geef de nieuwe beleidsset een naam en zorg ervoor dat deze is ingesteld op "standaard netwerktoegang" of een toegestane protocollijst waarmee "Proceshost Lookup" voor MAB( om de toegestane protocollijst te controleren gaat naar Beleidselementen>Resultaten>Verificatie>Toegestane protocollen). Druk op dat + teken in het midden van de nieuwe beleidsset die u hebt gecreëerd.
Voor dit beleid wordt elke keer dat MAB in ISE wordt gebruikt, dit beleid doorgevoerd. Later kunt u autorisatiebeleid maken dat overeenkomt met de genoemde stationID zodat verschillende resultaten kunnen worden toegepast, afhankelijk van de WLAN’s die worden gebruikt. Dit proces is zeer aanpasbaar met een hoop dingen waar je op kunt passen.
Voer in het beleidskader het beleid in. Het authenticatiebeleid kan opnieuw overeenkomen op MAB maar u moet de ID winkel wijzigen om 'interne eindpunten' te gebruiken en de opties wijzigen om auth fail en user not found te blijven.
Zodra het authenticatiebeleid is ingesteld, moet je twee regels opstellen in het autorisatiebeleid. Dit beleid leest als een ACL, zodat de volgorde aan de top en de pre-auth regel aan de onderkant moet zijn. De post-auth-regel zal gelijk zijn aan gebruikers die al door de gastenstroom zijn gegaan. Dat wil zeggen dat als zij al hebben getekend, zij die regel zullen treffen en daar ophouden. Als ze niet in hebben getekend, blijven ze de lijst volgen en op de pre-auth regel klikken om de herleiding te krijgen. Het is een goed idee om de regels van het autorisatiebeleid aan te passen aan het genoemde station ID eindigen met de SSID zodat het alleen raakt voor WLAN’s die zo zijn geconfigureerd.
Nu de beleidsset is geconfigureerd, moet u ISE over de 9800 (buitenlandse) vertellen om ISE als authenticator te kunnen vertrouwen. Dit kan worden gedaan bij Admin>Netwerkbronnen>Netwerkapparaat>+. U moet het naam geven, het IP-adres instellen (of in dit geval het gehele admin-subnetwerk), RADIUS inschakelen en het gedeelde geheim instellen. Het gedeelde geheim op ISE moet overeenkomen met het gedeelde geheim over de 9800, anders zal dit proces mislukken. Nadat de configuratie is toegevoegd, drukt u op de knop Insturen om deze op te slaan.
Tot slot moet u de gebruikersnaam en het wachtwoord toevoegen dat de client naar de inlogpagina gaat invoeren om te kunnen bevestigen dat ze toegang hebben tot het netwerk. Dit gebeurt onder Admin>identiteitsbeheer>Identity>Gebruikers>+Add en zorg ervoor dat u na het toevoegen van de bestanden op inzenden. Zoals alles met ISE, is dit aanpasbaar en moet niet een lokaal opgeslagen gebruiker zijn maar opnieuw, is het de makkelijkste configuratie.
Volg dezelfde stappen als eerder besproken en overslaat u het gedeelte "Het beleidsprofiel maken op het ankergedeelte WLC".
Voeg de server toe aan de WLC door naar Security>AAA>RADIUS>Verificatie>New. Voeg het server IP adres, gedeeld geheim en ondersteuning voor CoA toe.
Ga naar WLAN’s>Nieuw>Ga naar WLAN’s om een WLAN te maken.
Configuratie van de naam van het profiel, WLAN ID, en SSID en druk vervolgens op "Toepassen".
Dit zou u naar de WLAN-configuratie moeten brengen. Op het tabblad "Algemeen" kunt u de interface toevoegen die u wilt dat de clients worden gebruikt als u geen ISE gaat configureren om deze in een AVP te verzenden. Ga daarna naar het tabblad Security>Layer 2 en stem het bestand "Layer 2 security" aan dat u op de 9800 hebt gebruikt en schakelt "MAC Filtering" in.
Ga nu naar het tabblad Security>AAA-servers en stel de ISE-server in als de "Verificatieservers". Stel niets in voor de "Accounting Server". Schakel het vakje "Inschakelen" uit voor het accounting.
Terwijl u nog in de WLAN-configuratie zit, gaat u naar het tabblad "Geavanceerd" en schakelt u "AAA-override toestaan" in en wijzigt u de "NAC-staat" in "ISE NAC"
Het laatste is het verankeren ervan in zichzelf. Ga voor dit geval terug naar WLAN’s pagina en klik op het blauwe vakje rechts van de WLAN>Mobiliteitsanaloge modem. Stel "Switch IP Address (Anchor)" in op Local en druk op de knop "Mobility Anchor Create". Het zou dan moeten verschijnen met prioriteit 0 verankerd lokaal.
Dit is de laatste configuratie nodig op de AireOS WLC. Om ACL-richting te maken gaat u naar Security>Toegangscontrolelijsten>Toegangscontrolelijsten>Nieuw. Voer de ACL-naam in (deze moet overeenkomen met wat in de AVP’s wordt verzonden) en druk op "Toepassen".
Klik nu op de naam van ACL die u zojuist hebt gemaakt. Klik op de knop "Nieuwe regel toevoegen". In tegenstelling tot de 9800 controller op AireOS WLC, vormt u een vergunningsverklaring voor verkeer dat ISE kan bereiken zonder herleiding. DHCP en DNS zijn standaard toegestaan.
De laatste stap is ISE voor CWA te configureren. Er zijn een heleboel opties voor dit onderwerp, maar dit voorbeeld zal aan de basis blijven houden en het standaard zelf geregistreerde gastartaal gebruiken.
Op ISE, moet u een vergunningprofiel, een beleid creëren met een authentificatiebeleid en een vergunningenbeleid dat het vergunningprofiel gebruikt, 9800 (buitenlands) aan ISE als netwerkapparaat toevoegen, en een gebruikersnaam en wachtwoord om aan het netwerk in te loggen.
Ga naar Beleidselementen>Vergunningsprofiel>Resultaten maken>Vergunningsprofielen>Auditing profielen>+Add. Zorg ervoor dat het geretourneerde toegangstype "access_accepteren" is en stel vervolgens de AVP's (attribuut-value paren) in die u wilt terugsturen. Voor CWA is het nasturen van ACL en het opnieuw richten van URL verplicht maar u kunt ook dingen zoals VLAN ID en sessietijd terugsturen. Het is belangrijk dat de ACL-naam overeenkomt met de naam van de herleiding ACL op zowel het buitenland als de ankernaam WLC.
U moet dan een manier configureren om het autorisatieprofiel toe te passen dat u net hebt gemaakt voor de klanten die CWA doorlopen. Om dit te bereiken, is één manier om een beleidsset te creëren die authenticatie omzeilt bij het gebruik van MAB en het autorisatieprofiel toepast bij het gebruik van SSID's die in de opgeroepen stationID zijn verzonden. Nogmaals, er zijn een heleboel manieren om dit te bereiken, dus als je iets specifiekers of zekerder nodig hebt, dan is dit gewoon de eenvoudigste manier om het te doen.
Om de beleidsset te maken, gaat u naarPolicy>Instellingen>en klikt u op de +-toets aan de linkerkant van het scherm. Geef de nieuwe beleidsset een naam en zorg ervoor dat deze is ingesteld op "standaard netwerktoegang" of een toegestane protocollijst waarmee "Proceshost Lookup" voor MAB( om de toegestane protocollijst te controleren gaat naar Beleidselementen>Resultaten>Verificatie>Toegestane protocollen). Druk op dat + teken in het midden van de nieuwe beleidsset die u hebt gecreëerd.
Voor dit beleid wordt elke keer dat MAB in ISE wordt gebruikt, dit beleid doorgevoerd. Later kunt u autorisatiebeleid maken dat overeenkomt met de genoemde stationID zodat verschillende resultaten kunnen worden toegepast, afhankelijk van de WLAN’s die worden gebruikt. Dit proces is zeer aanpasbaar met een hoop dingen waar je op kunt passen
Voer in het beleidskader het beleid in. Het authenticatiebeleid kan opnieuw overeenkomen op MAB maar u moet de ID winkel wijzigen om 'interne eindpunten' te gebruiken en de opties wijzigen om auth fail en user not found te blijven.
Zodra het authenticatiebeleid is ingesteld, moet je twee regels opstellen in het autorisatiebeleid. Dit beleid leest als een ACL, zodat de volgorde aan de top en de pre-auth regel aan de onderkant moet zijn. De post-auth-regel zal gelijk zijn aan gebruikers die al door de gastenstroom zijn gegaan. Dat wil zeggen dat als zij al hebben getekend, zij die regel zullen treffen en daar ophouden. Als ze niet in hebben getekend, blijven ze de lijst volgen en op de pre-auth regel klikken om de herleiding te krijgen. Het is een goed idee om de regels van het autorisatiebeleid aan te passen aan het genoemde station ID eindigen met de SSID zodat het alleen raakt voor WLAN’s die zo zijn geconfigureerd.
Nu de beleidsset is geconfigureerd, moet u ISE over de 9800 (buitenlandse) vertellen om ISE als authenticator te kunnen vertrouwen. Dit kan worden gedaan opAdmin>Netwerkbronnen>Netwerkapparaat>+. U moet het naam geven, het IP-adres instellen (of in dit geval het gehele admin-subnetwerk), RADIUS inschakelen en het gedeelde geheim instellen. Het gedeelde geheim op ISE moet overeenkomen met het gedeelde geheim over de 9800, anders zal dit proces mislukken. Nadat de configuratie is toegevoegd, drukt u op de knop Insturen om deze op te slaan.
Tot slot moet u de gebruikersnaam en het wachtwoord toevoegen dat de client naar de inlogpagina gaat invoeren om te kunnen bevestigen dat ze toegang hebben tot het netwerk. Dit gebeurt onderAdmin>identiteitsbeheer>Identity>Gebruikers>+Adden zorg ervoor dat u op Insturen klikt nadat u deze hebt toegevoegd. Zoals alles met ISE, is dit aanpasbaar en moet niet een lokaal opgeslagen gebruiker zijn maar opnieuw, is het de makkelijkste configuratie.
Als u wilt dat AireOs WLC de buitenlandse controller is is de configuratie hetzelfde als met slechts twee verschillen.
Om de configuratie van de 9800 WLC te controleren voert u de opdrachten uit
Show Run | section aaa|radius
Show wlan id <wlan id>
Show wireless profile policy detailed <profile name>
Show wireless tag policy detailed <policy tag name>
Show IP access-list <ACL name>
Show wireless mobility summary
Om de configuratie van AireOS WLC te controleren voert u de opdrachten uit
Show radius summary
Opmerking: RFC3576 is de CoA-configuratie
Show WLAN <wlan id>
Show acl detailed <acl name>
Show mobility summary
Problemen oplossen ziet er anders uit, afhankelijk van het punt in het proces dat de client stopt. Bijvoorbeeld, als de WLC nooit een reactie van ISE op MAB krijgt, zou de cliënt vast komen te zitten in de "Policy Manager State: Associatie" en wordt niet geëxporteerd naar de ankerplaats. In deze situatie zou u alleen problemen oplossen op het buitenland en u zou een RA spoor en een pakketvastlegging voor verkeer tussen de WLC en ISE kunnen verzamelen. Een ander voorbeeld zou zijn dat MAB succesvol is overgegaan maar de cliënt ontvangt geen herleiding. In dat geval moet u ervoor zorgen dat het buitenland de herleiding in de AVP's heeft ontvangen en deze op de cliënt heeft toegepast. U moet ook het anker controleren om te verzekeren de client is met de juiste ACL. Dit bereik van probleemoplossing valt buiten het ontwerp van dit technische document (controleer de referenties voor een generieke client-probleemoplossing-richtlijnen).
Zie Cisco Live voor meer hulp bij het oplossen van problemen met CWA op de 9800 WLC! presentatie DGTL-TSCENT-404
show wireless client mac-addressdetail
Hier kunt u de "Policy Manager State", "Session Manager>Auth Methode", "Mobility Rol" bekijken.
U kunt deze informatie ook vinden in de GUI onder Controle>Clients
Vanaf de CLI start de opdracht #monitor Capture <Capture name> en daarna komen de opties beschikbaar.
Ga vanuit de GUI naar probleemoplossing>Packet Capture>+Add
Van de CLI
debug wireless mac|ip
Gebruik het bestandsindeling van de opdracht om het te stoppen. Dit wordt ingelogd op een bestand in een flitser met de naam "ra_trace", het MAC- of IP-adres van de client en de datum en tijd.
Ga vanuit de GUI naar probleemoplossing>Radioactief spoor>+Add. Voeg het mac- of ip-adres van de klant toe, klik op van toepassing en klik vervolgens op Start. Nadat u het proces een paar keer hebt doorlopen, stop het spoor, genereer het logbestand en download het op uw apparaat.
Van de CLI toon clientgegevens <client mac>
Vanuit de GUI-monitor>Clients
Debug client
Debug mobility handoff
Debug mobility config
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
20-Sep-2021 |
minor formatting changes |
1.0 |
17-Sep-2021 |
Eerste vrijgave |