Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

FlexConnect WLAN com ultrapassagem do 802.1x AAA em controladores sem fio do catalizador 9800

Opções de download

  • PDF     (1.6 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.7 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de Novembro de 2018
ID do documento:213924
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este original descreve como estabelecer um controlador elástico do Wireless LAN (9800 WLC) com pontos de acesso de modo de FlexConnect (APs) e um Wireless Local Area Network do 802.1x (WLAN) comutado localmente com ultrapassagem da autenticação, da autorização e da contabilidade da rede de área local virtual (VLAN) (AAA).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Modo de configuração 9800 WLC
    • FlexConnect

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • 9800 WLC v16.10

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, assegure-se de que você compreenda o impacto potencial do comando any.

    Configurar

    Diagrama de Rede

    Configuração

    Configuração de AAA em 9800 WLC

    Você pode seguir as instruções desta relação:

    Configuração de AAA em 9800 WLC

    Configuração WLAN

    Você pode seguir as instruções desta relação:

    Configuração WLAN

    Ajuste o AP como o modo de FlexConnect

    Ao contrário da configuração de AireOS, em 9800 WLC não é possível configurar o modo do local ou do flexconnect AP diretamente do AP. Siga estas etapas para configurar um AP no modo de FlexConnect.

    GUI

    Etapa 1. Configurar um perfil do cabo flexível.

    Navegue à configuração > às etiquetas & os perfis > o cabo flexível e alteram o padrão-cabo-perfil ou clicam +Add para criar um novo.

    Etapa 2. Adicionar os VLAN necessários (os VLAN do padrão o WLAN ou os VLAN empurrados do ISE).

      

    NoteEm etapa 3 da configuração de perfil da política da seção, você seleciona o VLAN padrão atribuído ao SSID. Se você usa um nome VLAN nessa etapa, assegure-se de que você use o mesmo nome vlan na configuração de perfil do cabo flexível, se não os clientes não poderão conectar ao WLAN.

    Você pode opcionalmente adicionar ACL específicos pelo VLAN.

     Opcionalmente, atribua um grupo de servidor Radius para permitir o FlexConnect APs executam a autenticação local.

    Etapa 3. Configurar uma etiqueta do local.

    Navegue à configuração > às etiquetas & aos perfis > às etiquetas > ao local. Altere a padrão-local-etiqueta (que é a etiqueta atribuída à revelia a todos os APs) ou crie um novo (clique +Add para criar um novo). 

    Assegure-se de que você inutilização permita a opção da site local, se não a opção do perfil do cabo flexível não está disponível. 

    Note: Todo o AP que obtiver uma etiqueta do local com permite a site local permitida, é configurado como o modo local. Igualmente, todo o AP que obtiver uma etiqueta do local com permite a site local desabilitada, é configurado como o modo do flexconnect.

     Etapa 4. Faça um associado AP aos 9800 WLC e atribua a etiqueta do local configurada em etapa 2.

    Navegue à configuração > ao Sem fio > aos Access point > ao nome AP e ajuste a etiqueta do local. Então clique a atualização & aplique-a ao dispositivo para ajustar a mudança.

    NoteEsteja ciente que depois que a mudança a etiqueta em um AP, ele perde sua associação aos 9800 WLC e junte-se para trás dentro de cerca de 1 minuto. 

     Etapa 5. Uma vez que o AP se junta para trás, observe que o modo AP é cabo flexível

    CLI

    # config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601

# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site

# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit

#show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : FlexConnect

    Configuração do Switch

    Configurar a relação do interruptor a que o AP é conectado.

    # config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end

    Configuração de perfil da política

    Dentro de um perfil da política você pode decidir a que VLAN atribui os clientes, entre outros ajustes (como o [ACLs] da lista de controles de acesso, o [QoS] de Qualidade de Serviço, a âncora da mobilidade, os temporizadores e assim por diante).

    GUI

    Etapa 1. Configurar o perfil da política a ser atribuído ao WLAN.

      

    Navegue à configuração > às etiquetas & os perfis > a política e criam um novo ou alteram o padrão-política-perfil.

     Etapa 2. Do tab geral, atribua um nome ao perfil da política e mude seu estado ao PERMITIDO.

     Etapa 3. Da aba das políticas de acesso atribua o VLAN a que os clientes Wireless são atribuídos quando conectam a este WLAN à revelia.

    Você pode selecionar um nome VLAN da gota para baixo ou manualmente datilografar uma identificação vlan.

      

    NoteSe você seleciona um nome vlan do dropdown, assegure-se de que combine o nome vlan usado em etapa 2 da seção AP ajustado como o modo de FlexConnect.

    ou

    Etapa 4. Navegue ao guia avançada e permita a autenticação central permitem permitem AAA Overrideoptions. O interruptor central deve ser desabilitado.

    A autenticação central deve ser permitida se você quer o processo de autenticação ser executado centralmente pelos 9800 WLC. Desabilite-a se você quer o FlexConnect APs autentica os clientes Wireless.

    CLI

    # config t
    # wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown

    Configuração da etiqueta da política

    A etiqueta da política é usada para ligar o SSID com o perfil da política. Você pode criar uma etiqueta nova da política ou usar a etiqueta da política padrão.

    NoteA padrão-política-etiqueta traça automaticamente todo o SSID com um ID de WLAN entre 1 a 16 ao padrão-política-perfil. Não pode ser alterada nem suprimido. Se você tem um WLAN com identificação 17 ou mais alto, a padrão-política-etiqueta não pode ser usada.

    GUI:

    Navegue à configuração > às etiquetas & aos perfis > às etiquetas > à política e adicionar um novo se necessário.

    Ligue seu perfil WLAN ao perfil desejado da política.

      

    CLI:

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    Encargo da etiqueta da política

    Atribua a etiqueta da política ao AP

    GUI

    Para atribuir a etiqueta a um AP navegue à configuração > ao Sem fio > aos Access point > ao nome AP > etiquetas gerais, faça a atribuição necessário e então clique a atualização & aplique-a ao dispositivo.

      

    NoteEsteja ciente que depois que a mudança a etiqueta da política em um AP, ele perde sua associação aos 9800 WLC e junte-se para trás dentro de cerca de 1 minuto.

    Para atribuir a mesma etiqueta da política a diversos APs navegue à configuração > ao Sem fio > instalação > começo sem fio agora > aplicam-se.


    Selecione os APs a que você quer atribuir a etiqueta e o clique + a etiqueta APs

    Selecione a etiqueta whished e clique a salvaguarda & aplique-a ao dispositivo

    CLI

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    Configuração ISE

    Para a configuração do v1.2 ISE verifique esta relação:

    Configuração ISE

    Verificar

    Você pode usar estes comandos verificar a configuração atual

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Troubleshooting

    WLC 9800 fornece SEMPRE-em capacidades de seguimento. Isto assegura-se de que todos os erros relacionados da conectividade de cliente, wanring e mensagens niveladas da observação estejam registradas constantemente e você possa ver logs para um incidente ou uma condição de falha depois que ocorreu. 

    Note: Segundo o volume de logs que estão sendo gerados, você pode ir para trás poucas horas a diversos dias.

    A fim ver os traços que 9800 WLC recolhidos à revelia, você podem conectar através de SSH/Telnet aos 9800 WLC e seguir estas etapas (assegure-se de que você esteja registrando a sessão a um arquivo de texto).

    Etapa 1. As horas atual assim que você do controlador da verificação podem seguir entram o tempo de volta a quando a edição aconteceu.

    # show clock

     Etapa 2. Recolha Syslog do buffer ou do Syslog externo do controlador como ditado pela configuração de sistema. Isto fornece uma vista rápida nas saúdes de sistema e nos erros, se exister.

    # show logging

    Etapa 3. Verifique se alguns debugam circunstâncias são permitidos.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Note: Se você vê qualquer circunstância alistada, significa que os traços estão sendo registrados até debugam o nível para todos os processos que encontram as circunstâncias permitidas (MAC address, IP address etc.). Isto aumentaria o volume de logs. Consequentemente, recomenda-se cancelar todas as circunstâncias ao não ativamente debugar

    Etapa 4. O MAC address presumido sob o teste não foi alistado como uma condição em etapa 3, recolhe sempre-em traços do nível da observação para o MAC address específico.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Você pode ou indicar o índice na sessão ou você pode copiar o arquivo a um servidor TFTP externo.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Debugging condicional e traçado ativo do rádio 

    Se sempre-em traços não lhe dê bastante informação para determinar o disparador para o problema sob a investigação, você pode permitir o debugging condicional e para capturar o traço ativo de rádio (do RA), que fornecerá debugar traços nivelados para todos os processos que interagem com a condição especificada (endereço MAC de cliente neste caso). A fim permitir o debugging condicional, siga estas etapas.

    Etapa 5. Assegure-se de que haja nenhum debugue circunstâncias esteja permitido.

    # clear platform condition all

    Etapa 6. Permita a condição debugar para o MAC address do cliente Wireless que você quer monitorar.

    Este comandos start monitorar o MAC address fornecido por 30 minutos (1800 segundos). Você pode opcionalmente aumentar este tempo a até 2085978494 segundos.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    NoteA fim monitorar mais de um cliente de cada vez, seja executado debugam o comando sem fio do Mac <aaaa.bbbb.cccc> pelo MAC address.

    NoteVocê não vê a saída da atividade de cliente na sessão terminal, porque tudo é protegido internamente para ser visto mais tarde.

      

    Etapa 7. Reproduza a edição ou o comportamento que você quer monitorar.

    Etapa 8. Pare debuga se a edição é reproduzida antes que o padrão ou o tempo configurado do monitor estejam acima.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Uma vez que o monitor-tempo decorreu ou o Sem fio debugar esteve parado, os 9800 WLC gerenciem um arquivo local com o nome:

    ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Etapa 9. Recolha o arquivo da atividade do MAC address.  Você pode uma ou outra cópia o traço .log do ra a um servidor interno ou para indicar a saída diretamente na tela.

    Verifique o nome do arquivo de traços do RA

    # dir bootflash: | inc ra_trace

    Copie o arquivo a um servidor interno:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Indique o índice:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Etapa 10. Se a causa de raiz não é ainda óbvia, recolha os logs internos de que é uma ideia mais verboso debuga logs nivelados. Você não precisa de debugar outra vez o cliente enquanto nós estamos olhando somente detalhado futher debugamos os logs que já colllected e foram armazenados internamente.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Note: Esta saída do comando retorna traços para todos os níveis de registro para todos os processos e é bastante volumoso. Contrate por favor o tac Cisco para ajudar a analisar gramaticalmente através destes traços.

    Você pode uma ou outra cópia ra-internal-FILENAME.txt a um servidor interno ou para indicar a saída diretamente na tela.

    Copie o arquivo a um servidor interno:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Indique o índice:

    # more bootflash:ra-internal-<FILENAME>.txt

     Etapa 11. Remova as condições debugar.

    # clear platform condition all

    Note: Assegure-se de que você remova sempre as condições debugar após uma sessão de Troubleshooting.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Karla Cisneros Galvan
      Engenheiro de TAC da Cisco
    • Sudha Katgeri
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Discussões relacionadas com comunidade da Cisco

    Este documento se refere a estes produtos

    Sobre a Cisco
    Fale Conosco
    Trabalhe Conosco