Configurar o SSID de autenticação MAC nos Cisco Catalyst 9800 Wireless Controllers

Introduction

Este documento descreve como configurar uma Rede Local Sem Fio (WLAN - Wireless Local Area Network) com segurança de autenticação MAC em Cisco Catalyst 9800 Series Wireless Controllers por Interface Gráfica de Usuário (GUI - Graphic User Interface) ou Interface de Linha de Comando (CLI - Command Line Interface).

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Endereço MAC
• Controladores sem fio Cisco Catalyst 9800 Series
• Identity Service Engine (ISE)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• IOS-XE Gibraltar v16.12
• ISE v2.2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Diagrama de Rede

Configuração

Configuração AAA em WLC 9800

Autenticar clientes com servidor externo

GUI:

Siga as etapas 1, 2 e 3 deste link:

Configuração AAA em WLC 9800 Series

Etapa 4. Criar um método de rede de autorização

Navegue até Configuration > Security > AAA > AAA Method List > Authorization > + Add e crie.

CLI:

# config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authorization network <AuthZ-method-name> group <radius-grp-name>

Autenticar clientes localmente

Criar um método de rede de autorização local

Navegue até Configuration > Security > AAA > AAA Method List > Authorization > + Add e crie.

CLI:

# config t
# aaa new-model
# aaa authorization network AuthZ-local local

Configuração da WLAN

GUI:

Etapa 1. Criar a WLAN

Navegue até Configuration > Wireless > WLANs > + Add e configure a rede conforme necessário.

Etapa 2. Insira as informações da WLAN

Etapa 3. Navegue até a guia Segurança e desative o Modo de Segurança da Camada 2 e habilite a Filtragem MAC. Na Lista de autorizações, selecione o método de autorização criado na etapa anterior. Em seguida, clique em Salvar e aplicar ao dispositivo.

CLI:

# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# mac-filtering <authZ-network-method>
# no security wpa akm dot1x
# no security wpa wpa2 ciphers aes
# no shutdown

Configuração do perfil de política

É necessário habilitar aaa-override no perfil de política para garantir que a filtragem mac por SSID esteja funcionando bem.

Configuração de perfil de política no 9800 WLC

Configuração da etiqueta de política

Tag de política em WLC 9800

Atribuição de tag de política

Atribuição de etiqueta de política na WLC 9800

Registrar endereço MAC permitido

Registre localmente o endereço MAC na WLC para autenticação local

Navegue até Configuration > Security > AAA > AAA Advanced > AP Authentication > + Add

Escreva o endereço mac em letras minúsculas e sem separador, depois clique em Salvar e aplicar ao dispositivo.

Nota: em versões anteriores à 17.3, a interface do usuário da Web estava alterando qualquer formato MAC digitado no formato "sem separador" mostrado na ilustração. Na versão 17.3 e posterior, a interface de usuário da Web respeitará qualquer formato que você tiver inserido, sendo, portanto, essencial não inserir nenhum separador. Bug de melhoria CSCvv43870 controla o suporte de vários formatos para autenticação MAC

CLI:

# config t
# username <aabbccddeeff> mac

Insira o endereço MAC no banco de dados de endpoint do ISE

Etapa 1. (Opcional) Crie um novo grupo de endpoints.

Navegar para Centros de Trabalho > Acesso à Rede > Grupos de Id > Grupos de identidade de endpoint > + Adicionar

Etapa 2. Navegue até Centros de trabalho > Acesso à rede > Identidades > Endpoints > +

Configuração do ISE

Adicionar WLC 9800 ao ISE

Siga as instruções deste link

Declarar WLC para ISE

Criar uma regra de autenticação

As regras de autenticação são usadas para verificar se as credenciais dos usuários estão corretas (verifique se o usuário realmente é quem ele diz ser) e limite os métodos de autenticação que podem ser usados por ele.

Etapa 1. Navegue paraPolítica > Autenticação conforme mostrado na imagem.

Confirme se a regra MAB padrão existe no ISE.

Etapa 2. Verifique se a regra de autenticação padrão para MAB já existe:

Caso contrário, você pode adicionar um novo clicando em Inserir nova linha acima.

Criar regra de autorização

A regra de autorização é a que está encarregada para determinar quais permissões (que perfil de autorização) o resultado é aplicado ao cliente.

Etapa 1. Navegue paraPolítica > Autorização conforme mostrado na imagem.

Etapa 2. Insira uma nova regra conforme mostrado na imagem.

Etapa 3. Insira os valores.

Primeiro, selecione um nome para a regra e o grupo Identidade onde o ponto final está armazenado (MACaddressgroup), como mostrado na imagem.

Depois disso, selecione outras condições que fazem o processo de autorização para cair nessa regra. Neste exemplo, o processo de autorização atinge esta regra se ele usa o Wireless MAB e sua ID de estação chamada (O nome do SSID) termina com mac-authas mostradas na imagem.

Finalmente, selecione o perfil de autorização atribuído, neste caso PermitAccess aos clientes que atingem essa regra, clique emDonee salve-a .

  

Verificar

Você pode usar esses comandos para verificar a configuração atual

# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

Troubleshoot

O WLC 9800 oferece recursos de rastreamento SEMPRE ACESO. Isso garante que todos os erros relacionados à conectividade do cliente, mensagens de nível de aviso e de aviso sejam constantemente registradas e você pode exibir registros de um incidente ou condição de falha depois que ele ocorreu. 

Nota: Dependendo do volume de registros sendo gerado, você pode voltar algumas horas para vários dias.

Para visualizar os rastreamentos que a WLC 9800 coletou por padrão, você pode se conectar via SSH/Telnet à WLC 9800 e seguir estas etapas (certifique-se de que está fazendo o log da sessão em um arquivo de texto).

Etapa 1. Verifique a hora atual do controlador para que você possa rastrear os registros no tempo até quando o problema ocorreu.

# show clock

 Etapa 2. Colete syslogs do buffer do controlador ou do syslog externo conforme indicado pela configuração do sistema. Isso fornece uma visão rápida da integridade e dos erros do sistema, se houver.

# show logging

Etapa 3. Verifique se alguma condição de depuração está ativada.

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Nota: Se você vir alguma condição listada, isso significa que os rastreamentos estão sendo registrados no nível de depuração para todos os processos que encontram as condições habilitadas (endereço mac, endereço ip etc.). Isso aumentaria o volume de registros. Portanto, é recomendável limpar todas as condições quando não a depuração ativa

Etapa 4. Supondo que o endereço mac em teste não estivesse listado como uma condição na Etapa 3, colete os rastreamentos de nível de aviso sempre ativo para o endereço mac específico.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

Você pode exibir o conteúdo da sessão ou pode copiar o arquivo para um servidor TFTP externo.

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Depuração Condicional e Rastreamento Ativo de Rádio 

Se os rastreamentos sempre ativos não fornecerem informações suficientes para determinar o disparo para o problema em investigação, você poderá ativar a depuração condicional e capturar o rastreamento de rádio ativo (RA), que fornecerá rastreamentos de nível de depuração para todos os processos que interagem com a condição especificada (endereço mac do cliente neste caso). Para habilitar a depuração condicional, siga estas etapas.

Etapa 5. Verifique se não há condições de depuração habilitadas.

# clear platform condition all

Etapa 6. Ative a condição de depuração para o endereço mac do cliente sem fio que você deseja monitorar.

Esses comandos começam a monitorar o endereço mac fornecido por 30 minutos (1800 segundos). Você também pode aumentar esse tempo para até 2085978494 segundos.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

  

Observação: para monitorar mais de um cliente por vez, execute o comando debug wireless mac <aaaa.bbbb.ccc> por endereço mac.

Nota: Você não vê a saída da atividade do cliente na sessão de terminal, pois tudo é colocado em buffer internamente para ser visualizado posteriormente.

  

Passo 7. Reproduza o problema ou comportamento que você deseja monitorar.

Etapa 8. Interrompa as depurações se o problema for reproduzido antes que o tempo padrão ou configurado do monitor esteja esgotado.

# no debug wireless mac <aaaa.bbbb.cccc>

Depois que o monitor-time tiver transcorrido ou a depuração sem fio tiver sido interrompida, a WLC 9800 gera um arquivo local com o nome:

ra_trace_MAC_aaaabbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year

Etapa 9. Colete o arquivo da atividade de endereço MAC.  Você pode copiar o arquivo .log do rastro para um servidor externo ou exibir a saída diretamente na tela.

Verifique o nome do arquivo de rastreamento RA

# dir bootflash: | inc ra_trace

Copie o arquivo para um servidor externo:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

 Exibir o conteúdo:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Etapa 10. Se a causa raiz ainda não for óbvia, colete os logs internos, que são uma visão mais detalhada dos logs de nível de depuração. Você não precisa depurar o cliente novamente, pois estamos somente analisando detalhadamente os logs de depuração que já foram coletados e armazenados internamente.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Nota: Essa saída de comando retorna rastreamentos para todos os níveis de registro para todos os processos e é bastante volumosa. Entre em contato com o Cisco TAC para ajudar a analisar esses rastreamentos.

Você pode copiar o ra-internal-FILENAME.txt para um servidor externo ou exibir a saída diretamente na tela.

Copie o arquivo para um servidor externo:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

Exibir o conteúdo:

# more bootflash:ra-internal-<FILENAME>.txt

 Etapa 11. Remova as condições de depuração.

# clear platform condition all

Nota: Certifique-se de sempre remover as condições de depuração após uma sessão de solução de problemas.