Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Configurar o SSID de autenticação MAC nos Cisco Catalyst 9800 Wireless Controllers

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.2 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:23 de Novembro de 2020
ID do documento:213922

Linguagem livre de preconceitos

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar uma Rede Local Sem Fio (WLAN - Wireless Local Area Network) com segurança de autenticação MAC em Cisco Catalyst 9800 Series Wireless Controllers por Interface Gráfica de Usuário (GUI - Graphic User Interface) ou Interface de Linha de Comando (CLI - Command Line Interface).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Endereço MAC
    • Controladores sem fio Cisco Catalyst 9800 Series
    • Identity Service Engine (ISE)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • IOS-XE Gibraltar v16.12
    • ISE v2.2

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    Configuração

    Configuração AAA em WLC 9800

    Autenticar clientes com servidor externo

    GUI:

    Siga as etapas 1, 2 e 3 deste link:

    Configuração AAA em WLC 9800 Series

    Etapa 4. Criar um método de rede de autorização

    Navegue até Configuration > Security > AAA > AAA Method List > Authorization > + Add e crie.

    CLI:

    # config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authorization network <AuthZ-method-name> group <radius-grp-name>
    Autenticar clientes localmente

    Criar um método de rede de autorização local

    Navegue até Configuration > Security > AAA > AAA Method List > Authorization > + Add e crie.

    CLI:

    # config t
    # aaa new-model
    # aaa authorization network AuthZ-local local

    Configuração da WLAN

    GUI:

    Etapa 1. Criar a WLAN

    Navegue até Configuration > Wireless > WLANs > + Add e configure a rede conforme necessário.

    Etapa 2. Insira as informações da WLAN

    Etapa 3. Navegue até a guia Segurança e desative o Modo de Segurança da Camada 2 e habilite a Filtragem MAC. Na Lista de autorizações, selecione o método de autorização criado na etapa anterior. Em seguida, clique em Salvar e aplicar ao dispositivo.

    CLI:

    # config t
# wlan <profile-name> <wlan-id> <ssid-name>
# mac-filtering <authZ-network-method>
    # no security wpa akm dot1x
    # no security wpa wpa2 ciphers aes
    # no shutdown

    Configuração do perfil de política

    É necessário habilitar aaa-override no perfil de política para garantir que a filtragem mac por SSID esteja funcionando bem.

    Configuração de perfil de política no 9800 WLC

    Configuração da etiqueta de política

    Tag de política em WLC 9800

    Atribuição de tag de política

    Atribuição de etiqueta de política na WLC 9800

    Registrar endereço MAC permitido

    Registre localmente o endereço MAC na WLC para autenticação local

    Navegue até Configuration > Security > AAA > AAA Advanced > AP Authentication > + Add

    Escreva o endereço mac em letras minúsculas e sem separador, depois clique em Salvar e aplicar ao dispositivo.

    Note: em versões anteriores à 17.3, a interface do usuário da Web estava alterando qualquer formato MAC digitado no formato "sem separador" mostrado na ilustração. Na versão 17.3 e posterior, a interface de usuário da Web respeitará qualquer formato que você tiver inserido, sendo, portanto, essencial não inserir nenhum separador. Bug de melhoria CSCvv43870 controla o suporte de vários formatos para autenticação MAC

    CLI:

    # config t
# username <aabbccddeeff> mac
    Insira o endereço MAC no banco de dados de endpoint do ISE

    Etapa 1. (Opcional) Crie um novo grupo de endpoints.

    Navegar para Centros de Trabalho > Acesso à Rede > Grupos de Id > Grupos de identidade de endpoint > + Adicionar

    Etapa 2. Navegue até Centros de trabalho > Acesso à rede > Identidades > Endpoints > +

    Configuração do ISE

    Adicionar WLC 9800 ao ISE

    Siga as instruções deste link

    Declarar WLC para ISE

    Criar uma regra de autenticação

    As regras de autenticação são usadas para verificar se as credenciais dos usuários estão corretas (verifique se o usuário realmente é quem ele diz ser) e limite os métodos de autenticação que podem ser usados por ele.

    Etapa 1. Navegue paraPolítica > Autenticação conforme mostrado na imagem.

    Confirme se a regra MAB padrão existe no ISE.

    Etapa 2. Verifique se a regra de autenticação padrão para MAB já existe:

    Caso contrário, você pode adicionar um novo clicando em Inserir nova linha acima.

    Criar regra de autorização

    A regra de autorização é a que está encarregada para determinar quais permissões (que perfil de autorização) o resultado é aplicado ao cliente.

    Etapa 1. Navegue paraPolítica > Autorização conforme mostrado na imagem.

    Etapa 2. Insira uma nova regra conforme mostrado na imagem.

    Etapa 3. Insira os valores.

    Primeiro, selecione um nome para a regra e o grupo Identidade onde o ponto final está armazenado (MACaddressgroup), como mostrado na imagem.

    Depois disso, selecione outras condições que fazem o processo de autorização para cair nessa regra. Neste exemplo, o processo de autorização atinge esta regra se ele usa o Wireless MAB e sua ID de estação chamada (O nome do SSID) termina com mac-authas mostradas na imagem.

    Finalmente, selecione o perfil de autorização atribuído, neste caso PermitAccess aos clientes que atingem essa regra, clique emDonee salve-a .

      

    Verificar

    Você pode usar esses comandos para verificar a configuração atual

    # show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Troubleshoot

    O WLC 9800 oferece recursos de rastreamento SEMPRE ACESO. Isso garante que todos os erros relacionados à conectividade do cliente, mensagens de nível de aviso e de aviso sejam constantemente registradas e você pode exibir registros de um incidente ou condição de falha depois que ele ocorreu. 

    Note: Dependendo do volume de registros sendo gerado, você pode voltar algumas horas para vários dias.

    Para visualizar os rastreamentos que a WLC 9800 coletou por padrão, você pode se conectar via SSH/Telnet à WLC 9800 e seguir estas etapas (certifique-se de que está fazendo o log da sessão em um arquivo de texto).

    Etapa 1. Verifique a hora atual do controlador para que você possa rastrear os registros no tempo até quando o problema ocorreu.

    # show clock

     Etapa 2. Colete syslogs do buffer do controlador ou do syslog externo conforme indicado pela configuração do sistema. Isso fornece uma visão rápida da integridade e dos erros do sistema, se houver.

    # show logging

    Etapa 3. Verifique se alguma condição de depuração está ativada.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Note: Se você vir alguma condição listada, isso significa que os rastreamentos estão sendo registrados no nível de depuração para todos os processos que encontram as condições habilitadas (endereço mac, endereço ip etc.). Isso aumentaria o volume de registros. Portanto, é recomendável limpar todas as condições quando não a depuração ativa

    Etapa 4. Supondo que o endereço mac em teste não estivesse listado como uma condição na Etapa 3, colete os rastreamentos de nível de aviso sempre ativo para o endereço mac específico.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Você pode exibir o conteúdo da sessão ou pode copiar o arquivo para um servidor TFTP externo.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Depuração Condicional e Rastreamento Ativo de Rádio 

    Se os rastreamentos sempre ativos não fornecerem informações suficientes para determinar o disparo para o problema em investigação, você poderá ativar a depuração condicional e capturar o rastreamento de rádio ativo (RA), que fornecerá rastreamentos de nível de depuração para todos os processos que interagem com a condição especificada (endereço mac do cliente neste caso). Para habilitar a depuração condicional, siga estas etapas.

    Etapa 5. Verifique se não há condições de depuração habilitadas.

    # clear platform condition all

    Etapa 6. Ative a condição de depuração para o endereço mac do cliente sem fio que você deseja monitorar.

    Esses comandos começam a monitorar o endereço mac fornecido por 30 minutos (1800 segundos). Você também pode aumentar esse tempo para até 2085978494 segundos.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Observação: para monitorar mais de um cliente por vez, execute o comando debug wireless mac <aaaa.bbbb.ccc> por endereço mac.

    Nota: Você não vê a saída da atividade do cliente na sessão de terminal, pois tudo é colocado em buffer internamente para ser visualizado posteriormente.

      

    Passo 7. Reproduza o problema ou comportamento que você deseja monitorar.

    Etapa 8. Interrompa as depurações se o problema for reproduzido antes que o tempo padrão ou configurado do monitor esteja esgotado.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Depois que o monitor-time tiver transcorrido ou a depuração sem fio tiver sido interrompida, a WLC 9800 gera um arquivo local com o nome:

    ra_trace_MAC_aaaabbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year

    Etapa 9. Colete o arquivo da atividade de endereço MAC.  Você pode copiar o arquivo .log do rastro para um servidor externo ou exibir a saída diretamente na tela.

    Verifique o nome do arquivo de rastreamento RA

    # dir bootflash: | inc ra_trace

    Copie o arquivo para um servidor externo:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Exibir o conteúdo:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Etapa 10. Se a causa raiz ainda não for óbvia, colete os logs internos, que são uma visão mais detalhada dos logs de nível de depuração. Você não precisa depurar o cliente novamente, pois estamos somente analisando detalhadamente os logs de depuração que já foram coletados e armazenados internamente.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Note: Essa saída de comando retorna rastreamentos para todos os níveis de registro para todos os processos e é bastante volumosa. Entre em contato com o Cisco TAC para ajudar a analisar esses rastreamentos.

    Você pode copiar o ra-internal-FILENAME.txt para um servidor externo ou exibir a saída diretamente na tela.

    Copie o arquivo para um servidor externo:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Exibir o conteúdo:

    # more bootflash:ra-internal-<FILENAME>.txt

     Etapa 11. Remova as condições de depuração.

    # clear platform condition all

    Note: Certifique-se de sempre remover as condições de depuração após uma sessão de solução de problemas.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Karla Cisneros Galvan
      Cisco TAC Engineer
    • Sudha Katgeri
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos