Introduction
Este documento descreve como configurar uma Rede Local Sem Fio (WLAN - Wireless Local Area Network) em um cenário externo/ancorador com os Controladores Sem Fio Catalyst 9800.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Acesso à Interface de Linha de Comando (CLI - Command Line Interface) ou Interface Gráfica de Usuário (GUI - Graphic User Interface) para os controladores sem fio.
- Mobilidade em Cisco Wireless LAN Controllers (WLCs)
- Controladores sem fio 9800
- WLCs AireOS
Componentes Utilizados
- AireOS WLC versão 8.8 MR2 . Você também pode usar imagens especiais 8.5 do Inter-Release Controller Mobility (IRCM)
- 9800 WLC v16.10 ou superior
- Modelo de configuração de WLC 9800
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configuração
Esse é um recurso normalmente usado para cenários de acesso de convidado, para encerrar todo o tráfego dos clientes em um único ponto de saída L3, mesmo que os clientes sejam provenientes de controladores e locais físicos diferentes.
O túnel de mobilidade fornece um mecanismo para manter o tráfego isolado, enquanto atravessa a rede
Cenário de âncora/estrangeiro entre 9800 WLCs
Este cenário descreve dois Catalyst 9800s sendo usados
Diagrama de Rede: dois Catalyst 9800

Para cenários de convidados de mobilidade, há duas funções de controlador principais:
- Controlador estrangeiro: essa WLC possui a camada 2 ou o lado sem fio. ele tem pontos de acesso conectados a ele. Todo o tráfego do cliente para as WLANs ancoradas é encapsulado no túnel de mobilidade a ser enviado para a âncora, ele não sai localmente
- Controlador de âncora: este é o ponto de saída da camada 3. Ele recebe os túneis de mobilidade dos controladores externos e desencapsula ou encerra o tráfego do cliente no ponto de saída (vlan). Esse é o ponto em que os clientes são vistos na rede, portanto o nome da âncora
Os pontos de acesso na WLC externa transmitem os SSIDs da WLAN e têm uma etiqueta de política atribuída que vincula o perfil da WLAN ao perfil de política correspondente. Quando um cliente sem fio se conecta a esse SSID, o controlador externo envia o nome SSID e o perfil de política como parte das informações do cliente para a WLC âncora. Ao receber o recebimento, a WLC âncora verifica sua própria configuração para corresponder ao nome do SSID, bem como ao nome do Perfil de política. Quando a WLC âncora encontra uma correspondência, ela aplica a configuração e o ponto de saída correspondentes ao cliente sem fio. Portanto, é obrigatório que a WLAN e o perfil de política nomeiem e configurem nas WLC 9800 estrangeiras e na WLC 9800 âncora, com exceção da VLAN sob o perfil de política.
Configurar um 9800 Foreign com âncora 9800
Etapa 1. Crie um túnel de mobilidade entre a WLC do Foreign 9800 e a WLC do Anchor 9800.
Você pode seguir este documento:
Configurando topologias de mobilidade no Catalyst 9800
Etapa 2. Crie o SSID desejado em ambas as WLCs 9800.
Métodos de segurança suportados:
- Abrir
- filtro MAC
- PSK
- Dot1x
- Autenticação da Web local/externa (LWA)
- Autenticação da Web central (CWA)
As WLCs 9800 devem ter o mesmo tipo de configuração, caso contrário, a âncora não funciona.
Etapa 3. Faça login na WLC 9800 estrangeira e defina o endereço ip da WLC 9800 âncora no perfil da política
Navegue até Configuração > Marcas e perfis > Política > + Adicionar.

Na guia Mobilidade, selecione o endereço IP da WLC 9800 âncora.

Etapa 4. Vincule o perfil de política à WLAN dentro da etiqueta de política atribuída aos APs associados ao controlador externo que atende a essa WLAN.
Navegue até Configuration > Tags & Profiles > Tags e crie um novo ou use um existente.

Certifique-se de selecionar Atualizar e aplicar ao dispositivo para aplicar as alterações à etiqueta de política.

Etapa 5 (opcional). Atribua a etiqueta de política a um AP ou verifique se ele já a possui.
Navegue até Configuração > Sem fio > Pontos de acesso > Nome do AP > Geral

Observação: lembre-se de que se você executar uma alteração na tag do AP, depois de selecionar Atualizar e Aplicar ao dispositivo, o AP reinicia seu CAPWAP de túnel, então perde a associação à WLC 9800 e a recupera.
CLI:
Foreign 9800 WLC
# config t
# wireless profile policy anchor-policy
# mobility anchor 10.88.173.105 priority 3
# no shutdown
# exit
# wireless tag policy PT1
# wlan anchor-ssid policy anchor-policy
# exit
# ap aaaa.bbbb.dddd
# site-tag PT1
# exit
Etapa 6. Faça login na WLC 9800 e crie o perfil de política de âncora. Assegure-se de que tenha exatamente o mesmo nome que você usou nas WLCs 9800 estrangeiras.
Navegue até Configuração > Marcas e perfis > Política > + Adicionar

Navegue até a guia Mobilidade e ative Exportar âncora. Isso instrui essa WLC 9800 de que ela é a âncora da WLC 9800 para qualquer WLAN que use esse perfil de política. Quando a WLC estrangeira 9800 envia os clientes para a WLC 9800 âncora, informa sobre a WLAN e o perfil de política ao qual o cliente está atribuído, de modo que a WLC 9800 âncora sabe a que perfil de política local deve ser usado.
Notas Importantes:
- Você não deve configurar peers de mobilidade e exportar âncora ao mesmo tempo. Esse é um cenário de configuração inválido
- Você não deve usar a configuração Exportar âncora para nenhum perfil de política vinculado a um perfil de WLAN em um controlador com pontos de acesso. Isso impede que o SSID seja transmitido, portanto, essa política deve ser usada exclusivamente para a funcionalidade Anchor

CLI:
Anchor 9800 WLC
# config t
# wireless profile policy <anchor-policy>
# mobility anchor
# vlan <VLAN-id_VLAN-name>
# no shutdown
# exit
WLC 9800 Estrangeira - AireOS de âncora
Essa configuração descreve o cenário em que um Catalyst 9800 é usado como Estrangeiro com uma WLC Unificada AireOS usada como âncora.
Diagrama de Rede de Âncora do Catalyst 9800 Foreign - AireOS

Configurar o 9800 estrangeiro com âncora AireOS
Etapa 1. Crie um túnel de mobilidade entre a WLC do Foreign 9800 e a WLC do Anchor AireOS.
Você pode seguir este documento:
Configurando topologias de mobilidade no Catalyst 9800
Etapa 2. Crie as WLANs desejadas em ambas as WLCs.
Métodos de segurança suportados:
- Abrir
- filtro MAC
- PSK
- Dot1x
- Autenticação da Web local/externa (LWA)
- Autenticação da Web central (CWA)
A WLC AireOS e a WLC 9800 devem ter o mesmo tipo de configuração, caso contrário, a âncora não funciona
Etapa 3. Faça login na WLC 9800 (atuando como estranha) e crie o perfil de política de âncora.
Navegue até Configuração > Marcas e perfis > Política > + Adicionar

Navegue até a guia Mobilidade e selecione a WLC AireOS âncora. A WLC 9800 encaminha o tráfego do SSID associado a esse perfil de política para a âncora selecionada.

Etapa 4. Vincule o perfil de política à WLAN dentro da etiqueta de política atribuída aos APs associados ao controlador externo que atende a essa WLAN.
Navegue até Configuration > Tags & Profiles > Tags e crie um novo ou use um existente.

Certifique-se de selecionar Atualizar e aplicar ao dispositivo para aplicar as alterações à etiqueta de política.

Etapa 5 (opcional). Atribua o site a um AP ou verifique se ele já o possui.
Navegue até Configuração > Sem fio > Pontos de acesso > Nome do AP > Geral

Note: Lembre-se de que se você executar uma alteração na tag do AP, depois de selecionar Atualizar e Aplicar ao dispositivo, o AP reinicia seu CAPWAP de túnel, então perde a associação à WLC 9800 e a recupera.
CLI:
# config t
# wireless profile policy anchor-policy
# mobility anchor 10.88.173.105 priority 3
# no shutdown
# exit
# wireless tag policy PT1
# wlan anchor-ssid policy anchor-policy
# exit
# ap aaaa.bbbb.dddd
# site-tag PT1
# exit
Etapa 6. Configurar o WLC AireOS como âncora
Faça login no AireOS e navegue até WLANs > WLANs. Selecione a seta para a extremidade direita da linha WLAN para navegar até o menu suspenso e selecionar Âncora de mobilidade

Defina como âncora local.

CLI:
> config wlan disable <wlan-id>
> config wlan mobility anchor add <wlan-id> <AireOS-WLC's-mgmt-interface>
> config wlan enable <wlan-id>
AireOS Externo - Anchor 9800 WLC
AireOS Foreign com diagrama de rede de âncora 9800

Configurar um 9800 Foreign com uma âncora AireOS
Etapa 1. Crie um túnel de mobilidade entre a WLC do Foreign 9800 e a WLC do Anchor AireOS.
Você pode seguir este documento:
Configurando topologias de mobilidade no Catalyst 9800
Etapa 2. Crie o SSID desejado em ambas as WLCs.
Métodos de segurança suportados:
- Abrir
- filtro MAC
- PSK
- Dot1x
- Autenticação da Web local/externa (LWA)
- Autenticação da Web central (CWA)
A WLC AireOS e a WLC 9800 devem ter o mesmo tipo de configuração, caso contrário, a âncora não funciona.
Etapa 3. Faça login na WLC 9800 (atuando como âncora) e crie o perfil de política de âncora.
Navegue até Configuração > Marcas e perfis > Política > + Adicionar. Certifique-se de que o nome do perfil de política seja exatamente o mesmo nome do SSID configurado na WLC AireOS, caso contrário não funciona.

Navegue até a guia Mobilidade e ative Exportar âncora. Isso instrui essa WLC 9800 de que ela é a WLC 9800 âncora para qualquer WLAN que use esse perfil de política. Quando a WLC AireOS estrangeira envia os clientes para a WLC 9800 âncora, informa sobre o nome da WLAN à qual o cliente está atribuído, de modo que a WLC 9800 âncora sabe qual configuração de WLAN local usar e também usa esse nome para saber a que Perfil de política local usar.

Note: Certifique-se de usar esse perfil de política exclusivamente para receber o tráfego dos controladores externos.
CLI:
Anchor 9800 WLC
# config t
# wireless profile policy <anchor-policy>
# mobility anchor
# vlan <VLAN-id_VLAN-name>
# no shutdown
# exit
Etapa 4. Configurar a WLC AireOS como estranha
Faça login no AireOS e navegue até WLANs > WLANs. Navegue até a seta abaixo no final da linha da WLAN e selecione Âncora de mobilidade

Defina a WLC 9800 como âncora para este SSID.

CLI:
> config wlan disable <wlan-id>
> config wlan mobility anchor add <wlan-id> <9800 WLC's-mgmt-interface>
> config wlan enable <wlan-id>
Verificação
Você pode usar esses comandos para verificar a configuração e o estado dos clientes sem fio usando um SSID externo/ancorante.
Verifique na WLC 9800
# show run wlan
# show wlan summary
# show wireless client summary
# show wireless mobility summary
# show ap tag summary
# show ap <ap-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Verificar na WLC AireOS
> show client summary
> show client detail <client-mac-addr>
> show wlan summary
> show wlan <wlan-id>
Troubleshoot
O WLC 9800 fornece recursos de rastreamento sempre ativos. Isso garante que todos os erros relacionados à conectividade do cliente, mensagens de aviso e nível de aviso sejam constantemente registrados e você pode visualizar eventos para um incidente ou condição de falha depois que ele ocorreu.
Note: Dependendo do volume de registros sendo gerado, você pode voltar algumas horas para vários dias.
Para visualizar os rastreamentos que a WLC 9800 coletou por padrão, você pode se conectar via SSH/Telnet à WLC 9800 e seguir estas etapas (certifique-se de que está fazendo o log da sessão em um arquivo de texto).
Etapa 1. Verifique a hora atual do controlador para que você possa rastrear os registros no tempo até quando o problema ocorreu.
# show clock
Etapa 2. Colete syslogs do buffer do controlador ou do syslog externo conforme indicado pela configuração do sistema. Isso fornece uma visão rápida da integridade e dos erros do sistema, se houver.
# show logging
Etapa 3. Colete os rastreamentos de nível de aviso sempre ativo para o MAC ou endereço IP específico. Isso pode ser filtrado por peer de mobilidade remota, se você suspeitar de um problema de túnel de mobilidade, ou por endereço mac do cliente sem fio
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Você pode exibir o conteúdo da sessão ou pode copiar o arquivo para um servidor TFTP externo.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Depuração Condicional e Rastreamento Ativo de Rádio
Se os rastreamentos sempre ativos não fornecerem informações suficientes para determinar o disparo para o problema em investigação, você poderá ativar a depuração condicional e capturar o rastreamento de rádio ativo (RA), que fornece rastreamentos de nível de depuração para todos os processos que interagem com a condição especificada (endereço mac do cliente neste caso). Para habilitar a depuração condicional, siga estas etapas.
Etapa 5. Verifique se não há condições de depuração habilitadas.
# clear platform condition all
Etapa 6. Ative a condição de depuração para o endereço mac do cliente sem fio que você deseja monitorar.
Esses comandos começam a monitorar o endereço mac fornecido por 30 minutos (1800 segundos). Você também pode aumentar esse tempo para até 2085978494 segundos.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Observação: para monitorar mais de um cliente por vez, execute o comando debug wireless mac <aaaa.bbbb.ccc> por endereço mac.
Nota: Você não vê a saída da atividade do cliente na sessão de terminal, pois tudo é colocado em buffer internamente para ser visualizado posteriormente.
Passo 7. Reproduza o problema ou comportamento que você deseja monitorar.
Etapa 8. Interrompa as depurações se o problema for reproduzido antes que o tempo padrão ou configurado do monitor esteja esgotado.
# no debug wireless mac <aaaa.bbbb.cccc>
Depois que o monitor-time tiver transcorrido ou a depuração sem fio tiver sido interrompida, a WLC 9800 gera um arquivo local com o nome:
ra_trace_MAC_aaaabbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year
Etapa 9. Colete o arquivo da atividade de endereço MAC. Você pode copiar o arquivo .log do rastro para um servidor externo ou exibir a saída diretamente na tela.
Verifique o nome do arquivo de rastreamento RA
# dir bootflash: | inc ra_trace
Copie o arquivo para um servidor externo:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Exibir o conteúdo:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Etapa 10. Se a causa raiz ainda não for óbvia, colete os logs internos, que são uma visão mais detalhada dos logs de nível de depuração. Você não precisa depurar o cliente novamente, pois os logs já foram gravados na memória do controlador e só precisa preencher uma visualização mais detalhada deles.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Note: Essa saída de comando retorna rastreamentos para todos os níveis de registro para todos os processos e é bastante volumosa. Entre em contato com o Cisco TAC para ajudar a analisar esses rastreamentos.
Você pode copiar o ra-internal-FILENAME.txt para um servidor externo ou exibir a saída diretamente na tela.
Copie o arquivo para um servidor externo:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Exibir o conteúdo:
# more bootflash:ra-internal-<FILENAME>.txt
Etapa 11. Remova as condições de depuração.
# clear platform condition all
Note: Certifique-se de sempre remover as condições de depuração após uma sessão de solução de problemas.
Verifique a WLC do AireOS
Você pode executar esse comando para monitorar a atividade de um cliente sem fio em uma WLC AireOS
> debug client <client-mac-add>