Introduction
Este documento descreve como configurar uma Rede Local Sem Fio (WLAN - Wireless Local Area Network) com segurança de autenticação MAC em Cisco Catalyst 9800 Series Wireless Controllers por Interface Gráfica de Usuário (GUI - Graphic User Interface) ou Interface de Linha de Comando (CLI - Command Line Interface).
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Endereço MAC
- Controladores sem fio Cisco Catalyst 9800 Series
- Identity Service Engine (ISE)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- IOS-XE Gibraltar v16.12
- ISE v2.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Diagrama de Rede

Configuração
Configuração AAA em WLC 9800
Autenticar clientes com servidor externo
GUI:
Siga as etapas 1, 2 e 3 deste link:
Configuração AAA em WLC 9800 Series
Etapa 4. Criar um método de rede de autorização
Navegue até Configuration > Security > AAA > AAA Method List > Authorization > + Add e crie.


CLI:
# config t
# aaa new-model
# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit
# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit
# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>
# aaa authorization network <AuthZ-method-name> group <radius-grp-name>
Autenticar clientes localmente
Criar um método de rede de autorização local
Navegue até Configuration > Security > AAA > AAA Method List > Authorization > + Add e crie.


CLI:
# config t
# aaa new-model
# aaa authorization network AuthZ-local local
Configuração da WLAN
GUI:
Etapa 1. Criar a WLAN
Navegue até Configuration > Wireless > WLANs > + Add e configure a rede conforme necessário.

Etapa 2. Insira as informações da WLAN

Etapa 3. Navegue até a guia Segurança e desative o Modo de Segurança da Camada 2 e habilite a Filtragem MAC. Na Lista de autorizações, selecione o método de autorização criado na etapa anterior. Em seguida, clique em Salvar e aplicar ao dispositivo.

CLI:
# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# mac-filtering <authZ-network-method>
# no security wpa akm dot1x
# no security wpa wpa2 ciphers aes
# no shutdown
Configuração do perfil de política
É necessário habilitar aaa-override no perfil de política para garantir que a filtragem mac por SSID esteja funcionando bem.
Configuração de perfil de política no 9800 WLC
Configuração da etiqueta de política
Tag de política em WLC 9800
Atribuição de tag de política
Atribuição de etiqueta de política na WLC 9800
Registrar endereço MAC permitido
Registre localmente o endereço MAC na WLC para autenticação local
Navegue até Configuration > Security > AAA > AAA Advanced > AP Authentication > + Add

Escreva o endereço mac em letras minúsculas e sem separador, depois clique em Salvar e aplicar ao dispositivo.

Note: em versões anteriores à 17.3, a interface do usuário da Web estava alterando qualquer formato MAC digitado no formato "sem separador" mostrado na ilustração. Na versão 17.3 e posterior, a interface de usuário da Web respeitará qualquer formato que você tiver inserido, sendo, portanto, essencial não inserir nenhum separador. Bug de melhoria CSCvv43870
controla o suporte de vários formatos para autenticação MAC
CLI:
# config t
# username <aabbccddeeff> mac
Insira o endereço MAC no banco de dados de endpoint do ISE
Etapa 1. (Opcional) Crie um novo grupo de endpoints.
Navegar para Centros de Trabalho > Acesso à Rede > Grupos de Id > Grupos de identidade de endpoint > + Adicionar


Etapa 2. Navegue até Centros de trabalho > Acesso à rede > Identidades > Endpoints > +


Configuração do ISE
Adicionar WLC 9800 ao ISE
Siga as instruções deste link
Declarar WLC para ISE
Criar uma regra de autenticação
As regras de autenticação são usadas para verificar se as credenciais dos usuários estão corretas (verifique se o usuário realmente é quem ele diz ser) e limite os métodos de autenticação que podem ser usados por ele.
Etapa 1. Navegue paraPolítica > Autenticação conforme mostrado na imagem.
Confirme se a regra MAB padrão existe no ISE.

Etapa 2. Verifique se a regra de autenticação padrão para MAB já existe:

Caso contrário, você pode adicionar um novo clicando em Inserir nova linha acima.

Criar regra de autorização
A regra de autorização é a que está encarregada para determinar quais permissões (que perfil de autorização) o resultado é aplicado ao cliente.
Etapa 1. Navegue paraPolítica > Autorização conforme mostrado na imagem.

Etapa 2. Insira uma nova regra conforme mostrado na imagem.

Etapa 3. Insira os valores.
Primeiro, selecione um nome para a regra e o grupo Identidade onde o ponto final está armazenado (MACaddressgroup), como mostrado na imagem.

Depois disso, selecione outras condições que fazem o processo de autorização para cair nessa regra. Neste exemplo, o processo de autorização atinge esta regra se ele usa o Wireless MAB e sua ID de estação chamada (O nome do SSID) termina com mac-authas mostradas na imagem.

Finalmente, selecione o perfil de autorização atribuído, neste caso PermitAccess aos clientes que atingem essa regra, clique emDonee salve-a .

Verificar
Você pode usar esses comandos para verificar a configuração atual
# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Troubleshoot
O WLC 9800 oferece recursos de rastreamento SEMPRE ACESO. Isso garante que todos os erros relacionados à conectividade do cliente, mensagens de nível de aviso e de aviso sejam constantemente registradas e você pode exibir registros de um incidente ou condição de falha depois que ele ocorreu.
Note: Dependendo do volume de registros sendo gerado, você pode voltar algumas horas para vários dias.
Para visualizar os rastreamentos que a WLC 9800 coletou por padrão, você pode se conectar via SSH/Telnet à WLC 9800 e seguir estas etapas (certifique-se de que está fazendo o log da sessão em um arquivo de texto).
Etapa 1. Verifique a hora atual do controlador para que você possa rastrear os registros no tempo até quando o problema ocorreu.
# show clock
Etapa 2. Colete syslogs do buffer do controlador ou do syslog externo conforme indicado pela configuração do sistema. Isso fornece uma visão rápida da integridade e dos erros do sistema, se houver.
# show logging
Etapa 3. Verifique se alguma condição de depuração está ativada.
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Note: Se você vir alguma condição listada, isso significa que os rastreamentos estão sendo registrados no nível de depuração para todos os processos que encontram as condições habilitadas (endereço mac, endereço ip etc.). Isso aumentaria o volume de registros. Portanto, é recomendável limpar todas as condições quando não a depuração ativa
Etapa 4. Supondo que o endereço mac em teste não estivesse listado como uma condição na Etapa 3, colete os rastreamentos de nível de aviso sempre ativo para o endereço mac específico.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Você pode exibir o conteúdo da sessão ou pode copiar o arquivo para um servidor TFTP externo.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Depuração Condicional e Rastreamento Ativo de Rádio
Se os rastreamentos sempre ativos não fornecerem informações suficientes para determinar o disparo para o problema em investigação, você poderá ativar a depuração condicional e capturar o rastreamento de rádio ativo (RA), que fornecerá rastreamentos de nível de depuração para todos os processos que interagem com a condição especificada (endereço mac do cliente neste caso). Para habilitar a depuração condicional, siga estas etapas.
Etapa 5. Verifique se não há condições de depuração habilitadas.
# clear platform condition all
Etapa 6. Ative a condição de depuração para o endereço mac do cliente sem fio que você deseja monitorar.
Esses comandos começam a monitorar o endereço mac fornecido por 30 minutos (1800 segundos). Você também pode aumentar esse tempo para até 2085978494 segundos.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Observação: para monitorar mais de um cliente por vez, execute o comando debug wireless mac <aaaa.bbbb.ccc> por endereço mac.
Nota: Você não vê a saída da atividade do cliente na sessão de terminal, pois tudo é colocado em buffer internamente para ser visualizado posteriormente.
Passo 7. Reproduza o problema ou comportamento que você deseja monitorar.
Etapa 8. Interrompa as depurações se o problema for reproduzido antes que o tempo padrão ou configurado do monitor esteja esgotado.
# no debug wireless mac <aaaa.bbbb.cccc>
Depois que o monitor-time tiver transcorrido ou a depuração sem fio tiver sido interrompida, a WLC 9800 gera um arquivo local com o nome:
ra_trace_MAC_aaaabbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year
Etapa 9. Colete o arquivo da atividade de endereço MAC. Você pode copiar o arquivo .log do rastro para um servidor externo ou exibir a saída diretamente na tela.
Verifique o nome do arquivo de rastreamento RA
# dir bootflash: | inc ra_trace
Copie o arquivo para um servidor externo:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Exibir o conteúdo:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Etapa 10. Se a causa raiz ainda não for óbvia, colete os logs internos, que são uma visão mais detalhada dos logs de nível de depuração. Você não precisa depurar o cliente novamente, pois estamos somente analisando detalhadamente os logs de depuração que já foram coletados e armazenados internamente.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Note: Essa saída de comando retorna rastreamentos para todos os níveis de registro para todos os processos e é bastante volumosa. Entre em contato com o Cisco TAC para ajudar a analisar esses rastreamentos.
Você pode copiar o ra-internal-FILENAME.txt para um servidor externo ou exibir a saída diretamente na tela.
Copie o arquivo para um servidor externo:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Exibir o conteúdo:
# more bootflash:ra-internal-<FILENAME>.txt
Etapa 11. Remova as condições de depuração.
# clear platform condition all
Note: Certifique-se de sempre remover as condições de depuração após uma sessão de solução de problemas.