O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar um controlador de LAN sem fio elástico (WLC 9800) com access points (APs) do modo FlexConnect e uma WLAN (Wireless Local Area Network) 802.1x comutada localmente com substituição de Autenticação, Autorização e Contabilidade (AAA - Virtual Local Area Network).
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Você pode seguir as instruções deste link:
Você pode seguir as instruções deste link:
Diferentemente da configuração do AireOS, na WLC 9800 não é possível configurar o modo local ou flexconnect do AP diretamente. Siga estas etapas para configurar um AP no modo FlexConnect.
GUI
Etapa 1. Configure um perfil Flex.
Navegar para Configuração > Marcas e perfis > Flex e modifique o perfil flex padrão ou clique em +Adicionar para criar um novo.
Etapa 2. Adicione as VLANs necessárias (as VLANs padrão da WLAN ou as VLANs removidas do ISE).
Nota: Na etapa 3 da seção Configuração do perfil de política, você seleciona a VLAN padrão atribuída ao SSID. Se você usar um nome de VLAN nessa etapa, certifique-se de usar o mesmo nome de vlan na configuração do perfil Flex, caso contrário, os clientes não poderão se conectar à WLAN.
Você também pode adicionar ACLs específicas por VLAN.
Opcionalmente, atribua um grupo de servidores Radius para permitir que os APs FlexConnect executem a autenticação local.
Etapa 3. Configurar uma etiqueta de site.
Navegue até Configuration > Tags & Profiles > Tags > Site. Modifique a marca de site padrão (que é a marca atribuída por padrão a todos os APs) ou crie uma nova (Clique em +Adicionar para criar uma nova).
Certifique-se de desabilitar a opção Enable Local Site, caso contrário a opção Flex Profile não estará disponível.
Note: Qualquer AP que obtenha uma Etiqueta de Site com Ativar Site Local ativado é configurado como modo local. Da mesma forma, qualquer AP que obtenha uma Etiqueta de Site com Ativar Local desabilitado é configurado como modo flexconnect.
Etapa 4. Faça um AP associado à WLC 9800 e atribua a tag Site configurada na Etapa 2.
Navegue até Configuration > Wireless > Access Points > AP name e defina a tag Site. Em seguida, clique em Atualizar e aplicar ao dispositivo para definir a alteração.
Observação: lembre-se de que, depois de alterar a marca em um AP, ela perde sua associação com a WLC 9800 e se junta novamente em cerca de 1 minuto.
Etapa 5. Quando o AP se juntar novamente, observe que o modo AP é Flex
CLI
# config t # wireless profile flex new-flex-profile # arp-caching # description "New flex profile" # native-vlan-id 2601 # config t # wireless tag site new-flex-site # flex-profile new-flex-profile # no local-site # site-tag new-flex-site # config t # ap <eth-mac-address> # site-tag new-flex-site Associating site-tag will cause associated AP to reconnect # exit #show ap name <ap-name> config general | inc AP Mode AP Mode : FlexConnect
Configure a interface do switch à qual o AP está conectado.
# config t # interface <int-id> # switchport trunk native vlan 2601 # switchport mode trunk # spanning-tree portfast trunk # end
Dentro de um perfil de política, você pode decidir a qual VLAN atribui os clientes, entre outras configurações (como Lista de controles de acesso [ACLs], Qualidade de serviço [QoS], Âncora de mobilidade, Temporizadores e assim por diante).
GUI
Etapa 1. Configure o perfil de política a ser atribuído à WLAN.
Navegue até Configuration > Tags & Profiles > Policy e crie um novo ou modifique o default-policy-profile.
Etapa 2. Na guia Geral, atribua um nome ao perfil de política e altere o status para ATIVADO.
Etapa 3. Na guia Políticas de acesso, atribua a VLAN à qual os clientes sem fio estão atribuídos quando se conectam a esta WLAN por padrão.
Você pode selecionar um nome de VLAN na lista suspensa ou digitar manualmente uma id de vlan.
Observação: se você selecionar um nome de vlan no menu suspenso, verifique se ele corresponde ao nome de vlan usado na etapa 2 da seção Definir AP como modo FlexConnect.
or
Etapa 4. Navegue até a guia Avançado e ative as opções Ativar e Permitir Substituição de AAA. A Comutação Central deve ser desativada.
A autenticação central deve ser habilitada se você quiser que o processo de autenticação seja executado centralmente pela WLC 9800. Desative-o se desejar que os APs FlexConnect autentiquem os clientes sem fio.
CLI
# config t
# wireless profile policy new-policy-profile # central association # vlan <vlan-id or vlan-name> # no shutdown
A etiqueta de política é usada para vincular o SSID ao perfil de política. Você pode criar uma nova etiqueta de política ou usar a marca de política padrão.
Observação: a tag default-policy mapeia automaticamente qualquer SSID com uma ID de WLAN entre 1 e 16 para o perfil de política padrão. Não pode ser modificado nem excluído. Se você tiver uma WLAN com ID 17 ou superior, a tag default-policy não poderá ser usada.
GUI:
Navegue até Configuration > Tags & Profiles > Tags > Policy e adicione um novo se necessário.
Vincule seu perfil de WLAN ao perfil de política desejado.
CLI:
# config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name>
Atribuir a marca de política ao AP
GUI
Para atribuir a marca a um AP, navegue para Configuration > Wireless > Access Points > AP Name > General Tags (Configuração > Sem fio > Pontos de acesso > Nome do AP > Marcas gerais), faça a atribuição necessária e clique em Update & Apply to Device (Atualizar e aplicar ao dispositivo).
Observação: lembre-se de que, depois de alterar a etiqueta de política em um AP, ela perde sua associação ao WLC 9800 e se junta novamente em cerca de 1 minuto.
Para atribuir a mesma etiqueta de política a vários APs, navegue para Configuration > Wireless > Wireless Setup > Start Now > Apply (Configuração > Sem fio > Configuração sem fio > Iniciar agora > Aplicar).
Selecione os APs aos quais deseja atribuir a marca e clique em + Tag APs
Selecione a etiqueta desejada e clique em Salvar e aplicar ao dispositivo
CLI
# config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end
Para a configuração do ISE v1.2, verifique este link:
Você pode usar esses comandos para verificar a configuração atual
# show run wlan # show run aaa # show aaa servers # show ap config general # show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
O WLC 9800 oferece recursos de rastreamento SEMPRE ACESO. Isso garante que todos os erros relacionados à conectividade do cliente, mensagens de nível de aviso e de aviso sejam constantemente registradas e você pode exibir registros de um incidente ou condição de falha depois que ele ocorreu.
Note: Dependendo do volume de registros sendo gerado, você pode voltar algumas horas para vários dias.
Para visualizar os rastreamentos que a WLC 9800 coletou por padrão, você pode se conectar via SSH/Telnet à WLC 9800 e seguir estas etapas (certifique-se de que está fazendo o log da sessão em um arquivo de texto).
Etapa 1. Verifique a hora atual do controlador para que você possa rastrear os registros no tempo até quando o problema ocorreu.
# show clock
Etapa 2. Colete syslogs do buffer do controlador ou do syslog externo conforme indicado pela configuração do sistema. Isso fornece uma visão rápida da integridade e dos erros do sistema, se houver.
# show logging
Etapa 3. Verifique se alguma condição de depuração está ativada.
# show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
Note: Se você vir alguma condição listada, isso significa que os rastreamentos estão sendo registrados no nível de depuração para todos os processos que encontram as condições habilitadas (endereço mac, endereço ip etc.). Isso aumentaria o volume de registros. Portanto, é recomendável limpar todas as condições quando não a depuração ativa
Etapa 4. Supondo que o endereço mac em teste não estivesse listado como uma condição na Etapa 3, colete os rastreamentos de nível de aviso sempre ativo para o endereço mac específico.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Você pode exibir o conteúdo da sessão ou pode copiar o arquivo para um servidor TFTP externo.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Depuração Condicional e Rastreamento Ativo de Rádio
Se os rastreamentos sempre ativos não fornecerem informações suficientes para determinar o disparo para o problema em investigação, você poderá ativar a depuração condicional e capturar o rastreamento de rádio ativo (RA), que fornecerá rastreamentos de nível de depuração para todos os processos que interagem com a condição especificada (endereço mac do cliente neste caso). Para habilitar a depuração condicional, siga estas etapas.
Etapa 5. Verifique se não há condições de depuração habilitadas.
# clear platform condition all
Etapa 6. Ative a condição de depuração para o endereço mac do cliente sem fio que você deseja monitorar.
Esses comandos começam a monitorar o endereço mac fornecido por 30 minutos (1800 segundos). Você também pode aumentar esse tempo para até 2085978494 segundos.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Observação: para monitorar mais de um cliente por vez, execute o comando debug wireless mac <aaaa.bbbb.ccc> por endereço mac.
Nota: Você não vê a saída da atividade do cliente na sessão de terminal, pois tudo é colocado em buffer internamente para ser visualizado posteriormente.
Passo 7. Reproduza o problema ou comportamento que você deseja monitorar.
Etapa 8. Interrompa as depurações se o problema for reproduzido antes que o tempo padrão ou configurado do monitor esteja esgotado.
# no debug wireless mac <aaaa.bbbb.cccc>
Depois que o monitor-time tiver transcorrido ou a depuração sem fio tiver sido interrompida, a WLC 9800 gera um arquivo local com o nome:
ra_trace_MAC_aaaabbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year
Etapa 9. Colete o arquivo da atividade de endereço MAC. Você pode copiar o arquivo .log do rastro para um servidor externo ou exibir a saída diretamente na tela.
Verifique o nome do arquivo de rastreamento RA
# dir bootflash: | inc ra_trace
Copie o arquivo para um servidor externo:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Exibir o conteúdo:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Etapa 10. Se a causa raiz ainda não for óbvia, colete os logs internos, que são uma visão mais detalhada dos logs de nível de depuração. Você não precisa depurar o cliente novamente, pois estamos somente analisando detalhadamente os logs de depuração que já foram coletados e armazenados internamente.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Note: Essa saída de comando retorna rastreamentos para todos os níveis de registro para todos os processos e é bastante volumosa. Entre em contato com o Cisco TAC para ajudar a analisar esses rastreamentos.
Você pode copiar o ra-internal-FILENAME.txt para um servidor externo ou exibir a saída diretamente na tela.
Copie o arquivo para um servidor externo:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Exibir o conteúdo:
# more bootflash:ra-internal-<FILENAME>.txt
Etapa 11. Remova as condições de depuração.
# clear platform condition all
Note: Certifique-se de sempre remover as condições de depuração após uma sessão de solução de problemas.