Para parceiros
O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este original descreve como configurar um Wireless Local Area Network da autenticação da Web da central (WLAN) no os controladores sem fio do Catalyst 9800 Series (9800 WLC) através da interface gráfica de usuário (GUI) ou do comando line interface(cli).
Contribuído por Karla Cisneros Galvan, por Nicolas Darchis e por Sudha Katgeri, engenheiro de TAC da Cisco.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, assegure-se de que você compreenda o impacto potencial do comando any.
Etapa 1. Adicionar o server ISE a uma configuração 9800 WLC e crie uma lista do método de autenticação
Você pode seguir as instruções desta relação:
Etapa 2. Crie uma lista do método de autorização
Navegue ao > segurança da configuração > ao AAA > à lista de método > à autorização AAA > + adicionam
Etapa 3 (opcional). Crie uma lista do método de contabilidade
Etapa 1. Crie o WLAN
GUI:
Navegue à configuração > ao Sem fio > aos WLAN > + adicionam e configuram a rede como necessária.
Etapa 2. Incorpore a informação WLAN
Etapa 3. Navegue à ABA de segurança e selecione o método necessário da Segurança. Neste caso filtração somente MAC e a lista que você criou em etapa 2 na seção de configuração de AAA.
Etapa 3. Navegue à aba AAA e igualmente selecione o método de autenticação (criado em etapa 1 da seção anterior) e a lista do método de contabilidade.
CLI:
# config t
# wlan <ssid-name> <wlan-id> <profile-name>
# mac-filtering <AuthZ-network-list>
# no security wpa
# no security wpa akm dot1x
# no security wpa wpa2
# no security wpa wpa2 ciphers aes
# security dot1x authentication-list <dot1x-AuthC-list>
# no shutdown
Dentro de um perfil da política você pode decidir a que VLAN atribui os clientes, entre outros ajustes (como o [ACLs] da lista de controles de acesso, o [QoS] de Qualidade de Serviço, a âncora da mobilidade, os temporizadores e assim por diante).
Você pode ou usar seu perfil da política padrão ou você pode criar um novo.
GUI:
Etapa 1. Crie um perfil novo da política
Navegue à configuração > ao Sem fio > ao perfil da política e configurar seu padrão-política-perfil ou crie um novo.
Assegure-se de que o perfil esteja permitido.
Etapa 2. Selecione o VLAN
Navegue às políticas de acesso aba e selecione o nome vlan da gota para baixo ou datilografe manualmente o VLAN-ID
Etapa 3. Configurar o perfil da política para aceitar o ISE cancela e mudança da autorização (CoA). Você pode opcionalmente especificar um método da conta demasiado.
CLI:
# config # wireless profile policy <policy-profile-name> # aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown
Dentro da política a etiqueta é onde você liga seu SSID com seu perfil da política. Você pode criar uma etiqueta nova da política ou usar a etiqueta da política padrão.
Note: A padrão-política-etiqueta traça automaticamente todo o SSID com um ID de WLAN entre 1 a 16 ao padrão-política-perfil. Não pode ser alterada ou suprimido. Se você tem um WLAN com identificação 17 ou mais alto a padrão-política-etiqueta não pode ser usada.
GUI:
Navegue à configuração > às etiquetas & aos perfis > às etiquetas > à política e adicionar um novo se necessário.
Ligue seu perfil WLAN ao perfil desejado da política.
Note: Mesmo quando há outros perfis WLAN alistados sob a política etiquetam, se não têm um perfil da política traçado, eles não estão permitidos sob esta etiqueta da política.
CLI:
# config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name>
Atribua a etiqueta da política aos APs necessários.
GUI:
Para atribuir a etiqueta a um AP navegue à configuração > ao Sem fio > aos Access point > ao nome AP > etiquetas gerais, faça a atribuição necessário e então clique a atualização & aplique-a ao dispositivo.
Note: Esteja ciente que depois que a mudança a etiqueta da política em um AP, ele perde sua associação aos 9800 WLC e junte-se para trás dentro de cerca de 1 minuto.
Para atribuir a mesma etiqueta da política a diversos APs navegue à configuração > ao Sem fio > instalação > começo sem fio agora > aplicam-se.
Selecione os APs a que você quer atribuir a etiqueta e o clique + a etiqueta APs
Selecione a etiqueta whished e clique a salvaguarda & aplique-a ao dispositivo
CLI:
# config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end
Etapa 1. Navegue ao > segurança da configuração > ao ACL > + adicionam para criar um ACL novo.
Selecione um nome para o ACL, faça-lhe o tipo estendido IPv4 e adicionar-lo cada regra como uma sequência
O ACL deve olhar como este (substitua 172.16.0.12 com você o IP address do ISE):
Note: Para a reorientação ACL, pense para negam a ação como uma reorientação da negação (para não negar o tráfego), e permitem a ação como a reorientação da licença.
CLI:
ip access-list extended REDIRECT
deny udp any any eq domain
deny udp any eq bootps any
deny udp any any eq bootpc
deny tcp any host 172.16.0.12 eq 8443
permit tcp any any eq www
permit tcp any any eq 443 >>> This redirects all HTTPS requests towards ISE. This has traditionally caused issues in scale deployment. So, use this config with caution.
Etapa 1. Navegue à administração > aos recursos de rede > aos dispositivos de rede.
Etapa 2. Clique +Add e incorpore os 9800 ajustes WLC.
Opcionalmente, pode ser um nome modelo especificado, versão de software, descrição e atribuir os grupos de dispositivo de rede baseados em tipos de dispositivo, em lugar ou em WLCs.
a.b.c.d correspondem à relação do WLC que envia a autenticação pedida.
Para mais dispositivo Groupsreview do aboutNetwork da informação esta relação:
ISE - Grupos de dispositivo de rede
Etapa 1. Navegue ao > Add da administração > do Gerenciamento de identidades > das identidades > dos usuários
Etapa 2. Incorpore a informação.
Neste exemplo, este usuário pertence a um grupo chamado ALL_ACCOUNTS mas pode ser ajustado como necessário
O perfil da política é o resultado atribuído a um cliente baseado em seus parâmetros (como MAC address, credenciais, WLAN usado e assim por diante). Pode atribuir ajustes específicos como a rede de área local virtual (VLAN), Access Control Lists (ACLs), o Uniform Resource Locator (URL) reorienta e assim por diante.
Estas etapas mostram como criar o perfil da autorização necessário reorientar o cliente ao portal da autenticação.
Etapa 1. Navegue ao > Add da política > dos elementos > dos resultados > da autorização > da autorização dos perfis da política
Etapa 2. Incorpore a informação da reorientação. Assegure-se de que o nome ACL seja o mesmo que foi configurado nos 9800 WLC.
Etapa 1. Navegue à política > à autenticação.
Etapa 2. O clique edita da regra MAB.
Etapa 3. Altere a rede padrão MAB para continuar à fase da autorização mesmo quando o cliente não é encontrado internamente.
Etapa 4. Clique feito e salvar para salvar as mudanças.
A regra da autorização é essa responsável para determinar que resultado das permissões (que perfil da autorização) é aplicado ao cliente.
Etapa 1. Navegue o toPolicy > a autorização segundo as indicações da imagem. Uma vez que, vai à primeira regra, clique sobre a seta ao lado de editam e selecionam a regra nova da inserção acima.
Etapa 2. Selecione as circunstâncias para que o processo da autorização caia nesta regra. Neste exemplo, o processo da autorização bate esta regra se sua identificação da estação chamada contém o cwa-SSID.
Etapa 3. Selecione o perfil da autorização que é atribuído aos clientes que batem essa regra, a clicam feito e a salvar para salvar as mudanças.
Etapa 3. Duplique a regra da reorientação acima dse.
Etapa 4. Adicionar o acesso de rede: UseCase IGUALA GuestFlow como uma outra condição da regra duplicada e muda a permissão a PermitAccess.
Esta regra detecta se o cliente tem sido autenticado previamente (usando o exemplo do uso do acesso de rede) e em caso afirmativo, ele aplica um acesso da licença. Opcionalmente, em vez de uma permissão de PermitAccess você poderia construir um perfil novo da autorização e atribuir parâmetros novos (como um ACL)
Etapa 5. Salvar as regras
Clique a salvaguarda na parte inferior das regras.
Que se você tem Access point do switching local de Flexconnect e WLAN? As seções anterior são ainda válidas. Contudo, nós precisamos uma etapa extra a fim empurrar adiantado a reorientação ACL para os APs.
Navegue à configuração > às etiquetas & aos perfis > ao cabo flexível e clique sobre seu perfil do cabo flexível. Vá à aba da política ACL.
O clique adiciona
Escolha o seu reorientam o nome ACL e permitem “a autenticação da Web central”. Esta caixa de seleção inverte automaticamente o ACL no AP próprio (esta é porque “negue” a indicação significa que “não reoriente a este IP” no WLC em IOS-XE contudo no AP “negam” a indicação significa o oposto, assim que esta caixa de seleção troca automaticamente todas as licenças e nega-as ao empurrar para o AP. Você pode verificar este com da “um formulário da lista de acessos IP mostra” o AP CLI).
Não esqueça bater para salvar então e atualizar e aplicar-se ao dispositivo.
Você pode usar estes comandos verificar a configuração atual
# show run wlan # show run aaa # show aaa servers # show ap config general # show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
WLC 9800 fornece SEMPRE-em capacidades de seguimento. Isto assegura-se de que todos os erros relacionados da conectividade de cliente, wanring e mensagens niveladas da observação estejam registradas constantemente e você possa ver logs para um incidente ou uma condição de falha depois que ocorreu.
Note: Segundo o volume de logs que estão sendo gerados, você pode ir para trás poucas horas a diversos dias.
A fim ver os traços que 9800 WLC recolhidos à revelia, você podem conectar através de SSH/Telnet aos 9800 WLC e seguir estas etapas (assegure-se de que você esteja registrando a sessão a um arquivo de texto).
Etapa 1. As horas atual assim que você do controlador da verificação podem seguir entram o tempo de volta a quando a edição aconteceu.
# show clock
Etapa 2. Recolha Syslog do buffer ou do Syslog externo do controlador como ditado pela configuração de sistema. Isto fornece uma vista rápida nas saúdes de sistema e nos erros, se exister.
# show logging
Etapa 3. Verifique se alguns debugam circunstâncias são permitidos.
# show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
Note: Se você vê qualquer circunstância alistada, significa que os traços estão sendo registrados até debugam o nível para todos os processos que encontram as circunstâncias permitidas (MAC address, IP address etc.). Isto aumentaria o volume de logs. Consequentemente, recomenda-se cancelar todas as circunstâncias ao não ativamente debugar
Etapa 4. O MAC address presumido sob o teste não foi alistado como uma condição em etapa 3, recolhe sempre-em traços do nível da observação para o MAC address específico.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Você pode ou indicar o índice na sessão ou você pode copiar o arquivo a um servidor TFTP externo.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Debugging condicional e traçado ativo do rádio
Se sempre-em traços não lhe dê bastante informação para determinar o disparador para o problema sob a investigação, você pode permitir o debugging condicional e para capturar o traço ativo de rádio (do RA), que fornecerá debugar traços nivelados para todos os processos que interagem com a condição especificada (endereço MAC de cliente neste caso). A fim permitir o debugging condicional, siga estas etapas.
Etapa 5. Assegure-se de que haja nenhum debugue circunstâncias esteja permitido.
# clear platform condition all
Etapa 6. Permita a condição debugar para o MAC address do cliente Wireless que você quer monitorar.
Este comandos start monitorar o MAC address fornecido por 30 minutos (1800 segundos). Você pode opcionalmente aumentar este tempo a até 2085978494 segundos.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Note: A fim monitorar mais de um cliente de cada vez, seja executado debugam o comando sem fio do Mac <aaaa.bbbb.cccc> pelo MAC address.
Note: Você não vê a saída da atividade de cliente na sessão terminal, porque tudo é protegido internamente para ser visto mais tarde.
Etapa 7. Reproduza a edição ou o comportamento que você quer monitorar.
Etapa 8. Pare debuga se a edição é reproduzida antes que o padrão ou o tempo configurado do monitor estejam acima.
# no debug wireless mac <aaaa.bbbb.cccc>
Uma vez que o monitor-tempo decorreu ou o Sem fio debugar esteve parado, os 9800 WLC gerenciem um arquivo local com o nome:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Etapa 9. Recolha o arquivo da atividade do MAC address. Você pode uma ou outra cópia o traço .log do ra a um servidor interno ou para indicar a saída diretamente na tela.
Verifique o nome do arquivo de traços do RA
# dir bootflash: | inc ra_trace
Copie o arquivo a um servidor interno:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Indique o índice:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Etapa 10. Se a causa de raiz não é ainda óbvia, recolha os logs internos de que é uma ideia mais verboso debuga logs nivelados. Você não precisa de debugar outra vez o cliente enquanto nós estamos olhando somente detalhado futher debugamos os logs que já colllected e foram armazenados internamente.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Note: Esta saída do comando retorna traços para todos os níveis de registro para todos os processos e é bastante volumoso. Contrate por favor o tac Cisco para ajudar a analisar gramaticalmente através destes traços.
Você pode uma ou outra cópia ra-internal-FILENAME.txt a um servidor interno ou para indicar a saída diretamente na tela.
Copie o arquivo a um servidor interno:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Indique o índice:
# more bootflash:ra-internal-<FILENAME>.txt
Etapa 11. Remova as condições debugar.
# clear platform condition all
Note: Assegure-se de que você remova sempre as condições debugar após uma sessão de Troubleshooting.