Introduction
Este documento descreve como configurar uma rede local sem fio (WLAN) com segurança de autenticação MAC no Cisco Catalyst 9800 WLC.
Prerequisites
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Endereço MAC
- Controladores sem fio Cisco Catalyst 9800 Series
- Identity Service Engine (ISE)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Cisco IOS® XE Gibraltar v16.12
- ISE v2.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Diagrama de Rede

Configuração de AAA no 9800 WLC
Autenticar clientes com servidor externo
GUI:
Leia as Etapas 1-3 da seção 'Configuração AAA em 9800 WLCs' neste link:
Configuração de AAA em WLC 9800 Series
Etapa 4. Crie um método de rede de autorização.
Navegue até Configuration > Security > AAA > AAA Method List > Authorization > + Add
e criá-lo.


CLI:
# config t
# aaa new-model
# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit
# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit
# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>
# aaa authorization network <AuthZ-method-name> group <radius-grp-name>
Autenticar clientes localmente
Crie um método de rede de autorização local.
Navegue até Configuration > Security > AAA > AAA Method List > Authorization > + Add
e criá-lo.


CLI:
# config t
# aaa new-model
# aaa authorization network AuthZ-local local
Configuração de WLAN
GUI:
Etapa 1. Criar a WLAN.
Navegue até Configuration > Wireless > WLANs > + Add
e configurar a rede conforme necessário.

Etapa 2. Insira as informações da WLAN.

Etapa 3. Navegue até a página Security
e desativar Layer 2 Security Mode
e habilitar MAC Filtering
. De Authorization List
, escolha o método de autorização criado na etapa anterior. Em seguida clique em Save & Apply to Device
.

CLI:
# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# mac-filtering <authZ-network-method>
# no security wpa akm dot1x
# no security wpa wpa2 ciphers aes
# no shutdown
Configuração de perfil de política
Você deve habilitar aaa-override
no perfil de política para garantir que a filtragem de mac por SSID funcione bem.
Configuração do perfil de política no 9800 WLC
Configuração de marca de política
Marca de política no 9800 WLC
Atribuição de tag de política
Atribuição de marcação de política no 9800 WLC
Registre o endereço MAC permitido.
Registre localmente o endereço MAC na WLC para a autenticação local
Navegue até Configuration > Security > AAA > AAA Advanced > AP Authentication > + Add
.

Escreva o endereço mac em todas as letras minúsculas sem um separador e clique em Save & Apply to Device
.

Observação: nas versões anteriores à 17.3, a interface do usuário da Web alterou qualquer formato MAC digitado no formato 'sem separador' mostrado na ilustração. Na versão 17.3 e posterior, a interface do usuário da Web respeita qualquer design inserido e, portanto, é essencial não inserir nenhum separador. Bug de aprimoramento O bug da Cisco ID CSCv43870 rastreia o suporte de vários formatos para autenticação MAC.
CLI:
# config t
# username <aabbccddeeff> mac
Insira o endereço MAC no banco de dados do endpoint do ISE
Etapa 1. (Opcional) Crie um novo grupo de endpoints.
Navegue até Work Centers > Network Access > Id Groups > Endpoint Identity Groups > + Add
.


Etapa 2. Navegue até Work Centers > Network Access > Identities > Endpoints > +Add
.


Configuração do ISE
Adicionar o 9800 WLC ao ISE.
Leia as instruções neste link: Declare WLC to ISE.
Criar uma Regra de Autenticação
As regras de autenticação são usadas para verificar se as credenciais dos usuários estão corretas (verifique se o usuário realmente é quem diz ser) e limitar os métodos de autenticação que podem ser usados por ele.
Etapa 1. Navegue até Policy > Authentication
conforme mostrado na imagem.
Confirme se a regra MAB padrão existe no ISE.

Etapa 2. Verifique se a regra de autenticação padrão para MAB já existe:

Caso contrário, você poderá adicionar um novo quando clicar em Insert new row above
.

Criação de Regra de Autorização
A regra de autorização é responsável por determinar qual resultado de permissões (qual perfil de autorização) é aplicado ao cliente.
Etapa 1. Navegue até Policy > Authorization
conforme mostrado na imagem.

Etapa 2. Inserir uma nova regra conforme mostrado na imagem.

Etapa 3. Insira os valores.
Primeiro, escolha um nome para a regra e o grupo de Identidade onde o ponto de extremidade está armazenado (MACaddressgroup
)conforme mostrado na imagem.

Depois disso, escolha outras condições que fazem o processo de autorização para se enquadrar nessa regra. Neste exemplo, o processo de autorização atingirá essa regra se usar o MAB sem fio e sua ID da estação chamada (o nome do SSID) terminar com mac-auth
conforme mostrado na imagem.

Por fim, escolha o perfil de Autorização atribuído, nesse caso, PermitAccess
aos clientes que atingiram essa regra. Clique em Done
e salve-o.

Verificar
Você pode usar estes comandos para verificar a configuração atual:
# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Troubleshoot
A WLC 9800 fornece recursos de rastreamento SEMPRE ATIVOS. Isso garante que todos os erros, avisos e mensagens de nível de aviso relacionados à conectividade do cliente sejam constantemente registrados e que você possa exibir registros de uma condição de incidente ou falha após sua ocorrência.
Observação: embora dependa do volume de logs gerados, você pode voltar de algumas horas a vários dias.
Para visualizar os rastreamentos que a WLC 9800 coletou por padrão, você pode se conectar via SSH/Telnet à WLC 9800 e ler essas etapas (certifique-se de registrar a sessão em um arquivo de texto).
Etapa 1. Verifique a hora atual do controlador para que você possa controlar os registros desde a hora até quando o problema ocorreu.
# show clock
Etapa 2. Colete syslogs do buffer do controlador ou do syslog externo, conforme ditado pela configuração do sistema. Isso fornece uma visão rápida da integridade e dos erros do sistema, se houver.
# show logging
Etapa 3. Verifique se as condições de depuração estão ativadas.
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Observação: se você vir qualquer condição listada, isso significa que os rastreamentos são registrados no nível de depuração para todos os processos que encontram as condições ativadas (endereço mac, endereço IP e assim por diante). Isso aumenta o volume de registros. Portanto, recomenda-se limpar todas as condições quando não estiver depurando ativamente.
Etapa 4. Se o endereço MAC no teste não estiver listado como uma condição na Etapa 3, colete os rastreamentos de nível de aviso sempre ativo para o endereço MAC específico.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Você pode exibir o conteúdo da sessão ou copiar o arquivo para um servidor TFTP externo.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Depuração condicional e rastreamento radioativo
Se os rastreamentos sempre ativos não fornecerem informações suficientes para determinar o disparador do problema sob investigação, você poderá habilitar a depuração condicional e capturar o rastreamento de Radio Ative (RA), que fornece rastreamentos em nível de depuração para todos os processos que interagem com a condição especificada (endereço mac do cliente, neste caso). Para habilitar a depuração condicional, leia estas etapas.
Etapa 5. Verifique se não há condições de depuração habilitadas.
# clear platform condition all
Etapa 6. Ative a condição de depuração para o endereço MAC do cliente sem fio que você deseja monitorar.
Estes comandos começam a monitorar o endereço MAC fornecido por 30 minutos (1.800 segundos). Como alternativa, você pode aumentar esse tempo para até 2.085.978.494 segundos.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Note: Para monitorar mais de um cliente por vez, execute debug wireless mac
por endereço mac.
Observação: você não vê a saída da atividade do cliente na sessão do terminal, pois tudo é armazenado em buffer internamente para ser visualizado posteriormente.
Passo 7. Reproduza o problema ou comportamento que você deseja monitorar.
Etapa 8. Interrompa as depurações se o problema for reproduzido antes que o tempo de monitoramento padrão ou configurado acabe.
# no debug wireless mac <aaaa.bbbb.cccc>
Quando o tempo do monitor tiver decorrido ou a depuração sem fio tiver sido interrompida, a WLC 9800 gerará um arquivo local com o nome: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Etapa 9. Colete o arquivo da atividade do endereço MAC. Você pode copiar o ra trace .log
a um servidor externo ou exibir a saída diretamente na tela.
Verifique o nome do arquivo de rastreamentos de RA:
# dir bootflash: | inc ra_trace
Copie o arquivo para um servidor externo:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Mostre o conteúdo:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Etapa 10. Se a causa raiz ainda não for óbvia, colete os logs internos, que são uma visualização mais detalhada dos logs de depuração. Não é necessário depurar o cliente novamente, pois você só precisa dar uma olhada mais detalhada nos logs de depuração que já foram coletados e armazenados internamente.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Observação: a saída desse comando retorna rastros para todos os níveis de registro de todos os processos e é bastante volumosa. Envolva o Cisco TAC para ajudar a analisar esses rastreamentos.
Você pode copiar o ra-internal-FILENAME.txt
a um servidor externo ou exibir a saída diretamente na tela.
Copie o arquivo para um servidor externo:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Mostre o conteúdo:
# more bootflash:ra-internal-<FILENAME>.txt
Etapa 11. Remova as condições de depuração.
# clear platform condition all
Observação: certifique-se de sempre remover as condições de depuração após uma sessão de Troubleshooting.