Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Autenticação da Web central (CWA) em controladores sem fio do catalizador 9800 e em exemplo de configuração ISE v2.2

Opções de download

  • PDF     (2.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.4 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:21 de Novembro de 2018
ID do documento:213918
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este original descreve como configurar um Wireless Local Area Network da autenticação da Web da central (WLAN) no os controladores sem fio do Catalyst 9800 Series (9800 WLC) através da interface gráfica de usuário (GUI) ou do comando line interface(cli).

    Contribuído por Karla Cisneros Galvan, por Nicolas Darchis e por Sudha Katgeri, engenheiro de TAC da Cisco.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Modo de configuração 9800 WLC 

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • 9800 WLC IOS-XE Gibraltar v16.10
    • Motor do serviço da identidade (ISE) v2.2

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, assegure-se de que você compreenda o impacto potencial do comando any.

    Configurar

    Diagrama de Rede

    Configuração

    Configuração de AAA em 9800 WLC

    Etapa 1. Adicionar o server ISE a uma configuração 9800 WLC e crie uma lista do método de autenticação 

    Você pode seguir as instruções desta relação:

    Etapa 2. Crie uma lista do método de autorização

    Navegue ao > segurança da configuração > ao AAA > à lista de método > à autorização AAA > + adicionam

    Etapa 3 (opcional). Crie uma lista do método de contabilidade

      

    Configuração WLAN

    Etapa 1. Crie o WLAN

    GUI:

    Navegue à configuração > ao Sem fio > aos WLAN > + adicionam e configuram a rede como necessária.

    Etapa 2. Incorpore a informação WLAN

    Etapa 3. Navegue à ABA de segurança e selecione o método necessário da Segurança. Neste caso filtração somente MAC e a lista que você criou em etapa 2 na seção de configuração de AAA.

    Etapa 3. Navegue à aba AAA e igualmente selecione o método de autenticação (criado em etapa 1 da seção anterior) e a lista do método de contabilidade.

     CLI:

    # config t
    # wlan <ssid-name> <wlan-id> <profile-name>
    # mac-filtering <AuthZ-network-list>
    # no security wpa
    # no security wpa akm dot1x
    # no security wpa wpa2
    # no security wpa wpa2 ciphers aes
    # security dot1x authentication-list <dot1x-AuthC-list>
    # no shutdown

    Configuração de perfil da política

    Dentro de um perfil da política você pode decidir a que VLAN atribui os clientes, entre outros ajustes (como o [ACLs] da lista de controles de acesso, o [QoS] de Qualidade de Serviço, a âncora da mobilidade, os temporizadores e assim por diante).

    Você pode ou usar seu perfil da política padrão ou você pode criar um novo.

    GUI:

    Etapa 1. Crie um perfil novo da política

    Navegue à configuração > ao Sem fio > ao perfil da política e configurar seu padrão-política-perfil ou crie um novo.

    Assegure-se de que o perfil esteja permitido.

     Etapa 2. Selecione o VLAN

    Navegue às políticas de acesso aba e selecione o nome vlan da gota para baixo ou datilografe manualmente o VLAN-ID

    Etapa 3. Configurar o perfil da política para aceitar o ISE cancela e mudança da autorização (CoA). Você pode opcionalmente especificar um método da conta demasiado.

    CLI:

    # config
# wireless profile policy <policy-profile-name>
# aaa-override
    # nac
    # vlan <vlan-id_or_vlan-name>
    # accounting-list <acct-list>
    # no shutdown

    Configuração da etiqueta da política

    Dentro da política a etiqueta é onde você liga seu SSID com seu perfil da política. Você pode criar uma etiqueta nova da política ou usar a etiqueta da política padrão.

      

    NoteA padrão-política-etiqueta traça automaticamente todo o SSID com um ID de WLAN entre 1 a 16 ao padrão-política-perfil. Não pode ser alterada ou suprimido. Se você tem um WLAN com identificação 17 ou mais alto a padrão-política-etiqueta não pode ser usada.

    GUI:

    Navegue à configuração > às etiquetas & aos perfis > às etiquetas > à política e adicionar um novo se necessário.

    Ligue seu perfil WLAN ao perfil desejado da política.

    NoteMesmo quando há outros perfis WLAN alistados sob a política etiquetam, se não têm um perfil da política traçado, eles não estão permitidos sob esta etiqueta da política.

    CLI:

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    Encargo da etiqueta da política

    Atribua a etiqueta da política aos APs necessários.

    GUI:

    Para atribuir a etiqueta a um AP navegue à configuração > ao Sem fio > aos Access point > ao nome AP > etiquetas gerais, faça a atribuição necessário e então clique a atualização & aplique-a ao dispositivo.

    NoteEsteja ciente que depois que a mudança a etiqueta da política em um AP, ele perde sua associação aos 9800 WLC e junte-se para trás dentro de cerca de 1 minuto.

    Para atribuir a mesma etiqueta da política a diversos APs navegue à configuração > ao Sem fio > instalação > começo sem fio agora > aplicam-se.


    Selecione os APs a que você quer atribuir a etiqueta e o clique + a etiqueta APs

    Selecione a etiqueta whished e clique a salvaguarda & aplique-a ao dispositivo

    CLI:

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    Reoriente a configuração ACL

    Etapa 1. Navegue ao > segurança da configuração > ao ACL > + adicionam para criar um ACL novo. 

    Selecione um nome para o ACL, faça-lhe o tipo estendido IPv4 e adicionar-lo cada regra como uma sequência

    O ACL deve olhar como este (substitua 172.16.0.12 com você o IP address do ISE):

    NotePara a reorientação ACL, pense para negam a ação como uma reorientação da negação (para não negar o tráfego), e permitem a ação como a reorientação da licença.

    CLI:

    ip access-list extended REDIRECT
     deny udp any any eq domain
     deny udp any eq bootps any
     deny udp any any eq bootpc
     deny tcp any host 172.16.0.12 eq 8443
     permit tcp any any eq www
     permit tcp any any eq 443 >>> This redirects all HTTPS requests towards ISE. This has traditionally caused issues in scale deployment. So, use this config with caution.

    Configuração ISE

    Adicionar 9800 WLC ao ISE

    Etapa 1. Navegue à administração > aos recursos de rede > aos dispositivos de rede. 

     Etapa 2. Clique +Add e incorpore os 9800 ajustes WLC.

    Opcionalmente, pode ser um nome modelo especificado, versão de software, descrição e atribuir os grupos de dispositivo de rede baseados em tipos de dispositivo, em lugar ou em WLCs.

    a.b.c.d correspondem à relação do WLC que envia a autenticação pedida.

    Para mais dispositivo Groupsreview do aboutNetwork da informação esta relação:

    ISE - Grupos de dispositivo de rede

    Crie o novo usuário no ISE

    Etapa 1. Navegue ao > Add da administração > do Gerenciamento de identidades > das identidades > dos usuários 

    Etapa 2. Incorpore a informação.

    Neste exemplo, este usuário pertence a um grupo chamado ALL_ACCOUNTS mas pode ser ajustado como necessário

    Crie o perfil da autorização

    O perfil da política é o resultado atribuído a um cliente baseado em seus parâmetros (como MAC address, credenciais, WLAN usado e assim por diante). Pode atribuir ajustes específicos como a rede de área local virtual (VLAN), Access Control Lists (ACLs), o Uniform Resource Locator (URL) reorienta e assim por diante. 

    Estas etapas mostram como criar o perfil da autorização necessário reorientar o cliente ao portal da autenticação.

    Etapa 1. Navegue ao > Add da política > dos elementos > dos resultados > da autorização > da autorização dos perfis da política

    Etapa 2. Incorpore a informação da reorientação. Assegure-se de que o nome ACL seja o mesmo que foi configurado nos 9800 WLC.

    Configurar a regra da autenticação

    Etapa 1. Navegue à política > à autenticação.

    Etapa 2. O clique edita da regra MAB.

    Etapa 3. Altere a rede padrão MAB para continuar à fase da autorização mesmo quando o cliente não é encontrado internamente.

    Etapa 4. Clique feito salvar para salvar as mudanças.

    Configurar regras da autorização

    A regra da autorização é essa responsável para determinar que resultado das permissões (que perfil da autorização) é aplicado ao cliente.

    Etapa 1. Navegue o toPolicy > a autorização segundo as indicações da imagem. Uma vez que, vai à primeira regra, clique sobre a seta ao lado de editam e selecionam a regra nova da inserção acima.

    Etapa 2. Selecione as circunstâncias para que o processo da autorização caia nesta regra. Neste exemplo, o processo da autorização bate esta regra se sua identificação da estação chamada contém o cwa-SSID.

     Etapa 3. Selecione o perfil da autorização que é atribuído aos clientes que batem essa regra, a clicam feito e a salvar para salvar as mudanças.

     Etapa 3. Duplique a regra da reorientação acima dse.

    Etapa 4. Adicionar o acesso de rede: UseCase IGUALA GuestFlow como uma outra condição da regra duplicada e muda a permissão a PermitAccess.

    Esta regra detecta se o cliente tem sido autenticado previamente (usando o exemplo do uso do acesso de rede) e em caso afirmativo, ele aplica um acesso da licença. Opcionalmente, em vez de uma permissão de PermitAccess você poderia construir um perfil novo da autorização e atribuir parâmetros novos (como um ACL)

    Etapa 5. Salvar as regras

    Clique a salvaguarda na parte inferior das regras.

    Em caso dos Access point do switching local de Flexconnect

    Que se você tem Access point do switching local de Flexconnect e WLAN? As seções anterior são ainda válidas. Contudo, nós precisamos uma etapa extra a fim empurrar adiantado a reorientação ACL para os APs.

    Navegue à configuração > às etiquetas & aos perfis > ao cabo flexível e clique sobre seu perfil do cabo flexível. Vá à aba da política ACL.

    O clique adiciona

    Escolha o seu reorientam o nome ACL e permitem “a autenticação da Web central”. Esta caixa de seleção inverte automaticamente o ACL no AP próprio (esta é porque “negue” a indicação significa que “não reoriente a este IP” no WLC em IOS-XE contudo no AP “negam” a indicação significa o oposto, assim que esta caixa de seleção troca automaticamente todas as licenças e nega-as ao empurrar para o AP. Você pode verificar este com da “um formulário da lista de acessos IP mostra” o AP CLI).

    Não esqueça bater para salvar então e atualizar e aplicar-se ao dispositivo.

    Verificar

    Você pode usar estes comandos verificar a configuração atual

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | nme | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Troubleshooting

    WLC 9800 fornece SEMPRE-em capacidades de seguimento. Isto assegura-se de que todos os erros relacionados da conectividade de cliente, wanring e mensagens niveladas da observação estejam registradas constantemente e você possa ver logs para um incidente ou uma condição de falha depois que ocorreu. 

    Note: Segundo o volume de logs que estão sendo gerados, você pode ir para trás poucas horas a diversos dias.

    A fim ver os traços que 9800 WLC recolhidos à revelia, você podem conectar através de SSH/Telnet aos 9800 WLC e seguir estas etapas (assegure-se de que você esteja registrando a sessão a um arquivo de texto).

    Etapa 1. As horas atual assim que você do controlador da verificação podem seguir entram o tempo de volta a quando a edição aconteceu.

    # show clock

     Etapa 2. Recolha Syslog do buffer ou do Syslog externo do controlador como ditado pela configuração de sistema. Isto fornece uma vista rápida nas saúdes de sistema e nos erros, se exister.

    # show logging

    Etapa 3. Verifique se alguns debugam circunstâncias são permitidos.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Note: Se você vê qualquer circunstância alistada, significa que os traços estão sendo registrados até debugam o nível para todos os processos que encontram as circunstâncias permitidas (MAC address, IP address etc.). Isto aumentaria o volume de logs. Consequentemente, recomenda-se cancelar todas as circunstâncias ao não ativamente debugar

    Etapa 4. O MAC address presumido sob o teste não foi alistado como uma condição em etapa 3, recolhe sempre-em traços do nível da observação para o MAC address específico.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Você pode ou indicar o índice na sessão ou você pode copiar o arquivo a um servidor TFTP externo.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Debugging condicional e traçado ativo do rádio 

    Se sempre-em traços não lhe dê bastante informação para determinar o disparador para o problema sob a investigação, você pode permitir o debugging condicional e para capturar o traço ativo de rádio (do RA), que fornecerá debugar traços nivelados para todos os processos que interagem com a condição especificada (endereço MAC de cliente neste caso). A fim permitir o debugging condicional, siga estas etapas.

    Etapa 5. Assegure-se de que haja nenhum debugue circunstâncias esteja permitido.

    # clear platform condition all

    Etapa 6. Permita a condição debugar para o MAC address do cliente Wireless que você quer monitorar.

    Este comandos start monitorar o MAC address fornecido por 30 minutos (1800 segundos). Você pode opcionalmente aumentar este tempo a até 2085978494 segundos.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    NoteA fim monitorar mais de um cliente de cada vez, seja executado debugam o comando sem fio do Mac <aaaa.bbbb.cccc> pelo MAC address.

    NoteVocê não vê a saída da atividade de cliente na sessão terminal, porque tudo é protegido internamente para ser visto mais tarde.

      

    Etapa 7. Reproduza a edição ou o comportamento que você quer monitorar.

    Etapa 8. Pare debuga se a edição é reproduzida antes que o padrão ou o tempo configurado do monitor estejam acima.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Uma vez que o monitor-tempo decorreu ou o Sem fio debugar esteve parado, os 9800 WLC gerenciem um arquivo local com o nome:

    ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Etapa 9. Recolha o arquivo da atividade do MAC address.  Você pode uma ou outra cópia o traço .log do ra a um servidor interno ou para indicar a saída diretamente na tela.

    Verifique o nome do arquivo de traços do RA

    # dir bootflash: | inc ra_trace

    Copie o arquivo a um servidor interno:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Indique o índice:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Etapa 10. Se a causa de raiz não é ainda óbvia, recolha os logs internos de que é uma ideia mais verboso debuga logs nivelados. Você não precisa de debugar outra vez o cliente enquanto nós estamos olhando somente detalhado futher debugamos os logs que já colllected e foram armazenados internamente.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Note: Esta saída do comando retorna traços para todos os níveis de registro para todos os processos e é bastante volumoso. Contrate por favor o tac Cisco para ajudar a analisar gramaticalmente através destes traços.

    Você pode uma ou outra cópia ra-internal-FILENAME.txt a um servidor interno ou para indicar a saída diretamente na tela.

    Copie o arquivo a um servidor interno:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Indique o índice:

    # more bootflash:ra-internal-<FILENAME>.txt

     Etapa 11. Remova as condições debugar.

    # clear platform condition all

    Note: Assegure-se de que você remova sempre as condições debugar após uma sessão de Troubleshooting.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Karla Cisneros Galvan
      Engenheiro de TAC da Cisco
    • Nicolas Darchis
      Engenheiro de TAC da Cisco
    • Sudha Katgeri
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Discussões relacionadas com comunidade da Cisco

    Este documento se refere a estes produtos

    Sobre a Cisco
    Fale Conosco
    Trabalhe Conosco