Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

WLAN FlexConnect com sobreposição de AAA 802.1x nos Catalyst 9800 Wireless Controllers

Opções de download

  • PDF     (1.6 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.7 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de Novembro de 2018
ID do documento:213924
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar um controlador de LAN sem fio elástico (WLC 9800) com access points (APs) do modo FlexConnect e uma WLAN (Wireless Local Area Network) 802.1x comutada localmente com substituição de Autenticação, Autorização e Contabilidade (AAA - Virtual Local Area Network).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • modo de configuração de WLC 9800
    • FlexConnect

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • WLC 9800 v16.10

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    Configuração

    Configuração AAA em WLC 9800

    Você pode seguir as instruções deste link:

    Configuração AAA em WLC 9800

    Configuração da WLAN

    Você pode seguir as instruções deste link:

    Configuração da WLAN

    Definir AP como modo FlexConnect

    Diferentemente da configuração do AireOS, na WLC 9800 não é possível configurar o modo local ou flexconnect do AP diretamente. Siga estas etapas para configurar um AP no modo FlexConnect.

    GUI

    Etapa 1. Configure um perfil Flex.

    Navegar para Configuração > Marcas e perfis > Flex e modifique o perfil flex padrão ou clique em +Adicionar para criar um novo.

    Etapa 2. Adicione as VLANs necessárias (as VLANs padrão da WLAN ou as VLANs removidas do ISE).

      

    Nota: Na etapa 3 da seção Configuração do perfil de política, você seleciona a VLAN padrão atribuída ao SSID. Se você usar um nome de VLAN nessa etapa, certifique-se de usar o mesmo nome de vlan na configuração do perfil Flex, caso contrário, os clientes não poderão se conectar à WLAN.

    Você também pode adicionar ACLs específicas por VLAN.

     Opcionalmente, atribua um grupo de servidores Radius para permitir que os APs FlexConnect executem a autenticação local.

    Etapa 3. Configurar uma etiqueta de site.

    Navegue até Configuration > Tags & Profiles > Tags > Site. Modifique a marca de site padrão (que é a marca atribuída por padrão a todos os APs) ou crie uma nova (Clique em +Adicionar para criar uma nova). 

    Certifique-se de desabilitar a opção Enable Local Site, caso contrário a opção Flex Profile não estará disponível. 

    Nota: Qualquer AP que obtenha uma Etiqueta de Site com Ativar Site Local ativado é configurado como modo local. Da mesma forma, qualquer AP que obtenha uma Etiqueta de Site com Ativar Local desabilitado é configurado como modo flexconnect.

     Etapa 4. Faça um AP associado à WLC 9800 e atribua a tag Site configurada na Etapa 2.

    Navegue até Configuration > Wireless > Access Points > AP name e defina a tag Site. Em seguida, clique em Atualizar e aplicar ao dispositivo para definir a alteração.

    Observação: lembre-se de que, depois de alterar a marca em um AP, ela perde sua associação com a WLC 9800 e se junta novamente em cerca de 1 minuto. 

     Etapa 5. Quando o AP se juntar novamente, observe que o modo AP é Flex

    CLI

    # config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601

# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site

# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit

#show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : FlexConnect

    Configuração do Switch

    Configure a interface do switch à qual o AP está conectado.

    # config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end

    Configuração do perfil de política

    Dentro de um perfil de política, você pode decidir a qual VLAN atribui os clientes, entre outras configurações (como Lista de controles de acesso [ACLs], Qualidade de serviço [QoS], Âncora de mobilidade, Temporizadores e assim por diante).

    GUI

    Etapa 1. Configure o perfil de política a ser atribuído à WLAN.

      

    Navegue até Configuration > Tags & Profiles > Policy e crie um novo ou modifique o default-policy-profile.

     Etapa 2. Na guia Geral, atribua um nome ao perfil de política e altere o status para ATIVADO.

     Etapa 3. Na guia Políticas de acesso, atribua a VLAN à qual os clientes sem fio estão atribuídos quando se conectam a esta WLAN por padrão.

    Você pode selecionar um nome de VLAN na lista suspensa ou digitar manualmente uma id de vlan.

      

    Observação: se você selecionar um nome de vlan no menu suspenso, verifique se ele corresponde ao nome de vlan usado na etapa 2 da seção Definir AP como modo FlexConnect.

    or

    Etapa 4. Navegue até a guia Avançado e ative as opções Ativar e Permitir Substituição de AAA. A Comutação Central deve ser desativada.

    A autenticação central deve ser habilitada se você quiser que o processo de autenticação seja executado centralmente pela WLC 9800. Desative-o se desejar que os APs FlexConnect autentiquem os clientes sem fio.

    CLI

    # config t
    # wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown

    Configuração da etiqueta de política

    A etiqueta de política é usada para vincular o SSID ao perfil de política. Você pode criar uma nova etiqueta de política ou usar a marca de política padrão.

    Observação: a tag default-policy mapeia automaticamente qualquer SSID com uma ID de WLAN entre 1 e 16 para o perfil de política padrão. Não pode ser modificado nem excluído. Se você tiver uma WLAN com ID 17 ou superior, a tag default-policy não poderá ser usada.

    GUI:

    Navegue até Configuration > Tags & Profiles > Tags > Policy e adicione um novo se necessário.

    Vincule seu perfil de WLAN ao perfil de política desejado.

      

    CLI:

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    Atribuição de tag de política

    Atribuir a marca de política ao AP

    GUI

    Para atribuir a marca a um AP, navegue para Configuration > Wireless > Access Points > AP Name > General Tags (Configuração > Sem fio > Pontos de acesso > Nome do AP > Marcas gerais), faça a atribuição necessária e clique em Update & Apply to Device (Atualizar e aplicar ao dispositivo).

      

    Observação: lembre-se de que, depois de alterar a etiqueta de política em um AP, ela perde sua associação ao WLC 9800 e se junta novamente em cerca de 1 minuto.

    Para atribuir a mesma etiqueta de política a vários APs, navegue para Configuration > Wireless > Wireless Setup > Start Now > Apply (Configuração > Sem fio > Configuração sem fio > Iniciar agora > Aplicar).


    Selecione os APs aos quais deseja atribuir a marca e clique em + Tag APs

    Selecione a etiqueta desejada e clique em Salvar e aplicar ao dispositivo

    CLI

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    Configuração do ISE

    Para a configuração do ISE v1.2, verifique este link:

    Configuração do ISE

    Verificar

    Você pode usar esses comandos para verificar a configuração atual

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Troubleshoot

    O WLC 9800 oferece recursos de rastreamento SEMPRE ACESO. Isso garante que todos os erros relacionados à conectividade do cliente, mensagens de nível de aviso e de aviso sejam constantemente registradas e você pode exibir registros de um incidente ou condição de falha depois que ele ocorreu. 

    Nota: Dependendo do volume de registros sendo gerado, você pode voltar algumas horas para vários dias.

    Para visualizar os rastreamentos que a WLC 9800 coletou por padrão, você pode se conectar via SSH/Telnet à WLC 9800 e seguir estas etapas (certifique-se de que está fazendo o log da sessão em um arquivo de texto).

    Etapa 1. Verifique a hora atual do controlador para que você possa rastrear os registros no tempo até quando o problema ocorreu.

    # show clock

     Etapa 2. Colete syslogs do buffer do controlador ou do syslog externo conforme indicado pela configuração do sistema. Isso fornece uma visão rápida da integridade e dos erros do sistema, se houver.

    # show logging

    Etapa 3. Verifique se alguma condição de depuração está ativada.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Nota: Se você vir alguma condição listada, isso significa que os rastreamentos estão sendo registrados no nível de depuração para todos os processos que encontram as condições habilitadas (endereço mac, endereço ip etc.). Isso aumentaria o volume de registros. Portanto, é recomendável limpar todas as condições quando não a depuração ativa

    Etapa 4. Supondo que o endereço mac em teste não estivesse listado como uma condição na Etapa 3, colete os rastreamentos de nível de aviso sempre ativo para o endereço mac específico.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Você pode exibir o conteúdo da sessão ou pode copiar o arquivo para um servidor TFTP externo.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Depuração Condicional e Rastreamento Ativo de Rádio 

    Se os rastreamentos sempre ativos não fornecerem informações suficientes para determinar o disparo para o problema em investigação, você poderá ativar a depuração condicional e capturar o rastreamento de rádio ativo (RA), que fornecerá rastreamentos de nível de depuração para todos os processos que interagem com a condição especificada (endereço mac do cliente neste caso). Para habilitar a depuração condicional, siga estas etapas.

    Etapa 5. Verifique se não há condições de depuração habilitadas.

    # clear platform condition all

    Etapa 6. Ative a condição de depuração para o endereço mac do cliente sem fio que você deseja monitorar.

    Esses comandos começam a monitorar o endereço mac fornecido por 30 minutos (1800 segundos). Você também pode aumentar esse tempo para até 2085978494 segundos.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Observação: para monitorar mais de um cliente por vez, execute o comando debug wireless mac <aaaa.bbbb.ccc> por endereço mac.

    Nota: Você não vê a saída da atividade do cliente na sessão de terminal, pois tudo é colocado em buffer internamente para ser visualizado posteriormente.

      

    Passo 7. Reproduza o problema ou comportamento que você deseja monitorar.

    Etapa 8. Interrompa as depurações se o problema for reproduzido antes que o tempo padrão ou configurado do monitor esteja esgotado.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Depois que o monitor-time tiver transcorrido ou a depuração sem fio tiver sido interrompida, a WLC 9800 gera um arquivo local com o nome:

    ra_trace_MAC_aaaabbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year

    Etapa 9. Colete o arquivo da atividade de endereço MAC.  Você pode copiar o arquivo .log do rastro para um servidor externo ou exibir a saída diretamente na tela.

    Verifique o nome do arquivo de rastreamento RA

    # dir bootflash: | inc ra_trace

    Copie o arquivo para um servidor externo:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Exibir o conteúdo:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Etapa 10. Se a causa raiz ainda não for óbvia, colete os logs internos, que são uma visão mais detalhada dos logs de nível de depuração. Você não precisa depurar o cliente novamente, pois estamos somente analisando detalhadamente os logs de depuração que já foram coletados e armazenados internamente.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Nota: Essa saída de comando retorna rastreamentos para todos os níveis de registro para todos os processos e é bastante volumosa. Entre em contato com o Cisco TAC para ajudar a analisar esses rastreamentos.

    Você pode copiar o ra-internal-FILENAME.txt para um servidor externo ou exibir a saída diretamente na tela.

    Copie o arquivo para um servidor externo:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Exibir o conteúdo:

    # more bootflash:ra-internal-<FILENAME>.txt

     Etapa 11. Remova as condições de depuração.

    # clear platform condition all

    Nota: Certifique-se de sempre remover as condições de depuração após uma sessão de solução de problemas.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Karla Cisneros Galvan
      Cisco TAC Engineer
    • Sudha Katgeri
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Discussões relacionadas com comunidade da Cisco

    Este documento se refere a estes produtos

    Sobre a Cisco
    Fale Conosco
    Trabalhe Conosco