Introduction
Este documento descreve como configurar um controlador de LAN sem fio elástico (WLC 9800) com access points (APs) do modo FlexConnect e uma WLAN (Wireless Local Area Network) 802.1x comutada localmente com substituição de Autenticação, Autorização e Contabilidade (AAA - Virtual Local Area Network).
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- modo de configuração de WLC 9800
- FlexConnect
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Diagrama de Rede

Configuração
Configuração AAA em WLC 9800
Você pode seguir as instruções deste link:
Configuração AAA em WLC 9800
Configuração da WLAN
Você pode seguir as instruções deste link:
Configuração da WLAN
Definir AP como modo FlexConnect
Diferentemente da configuração do AireOS, na WLC 9800 não é possível configurar o modo local ou flexconnect do AP diretamente. Siga estas etapas para configurar um AP no modo FlexConnect.
GUI
Etapa 1. Configure um perfil Flex.
Navegar para Configuração > Marcas e perfis > Flex e modifique o perfil flex padrão ou clique em +Adicionar para criar um novo.


Etapa 2. Adicione as VLANs necessárias (as VLANs padrão da WLAN ou as VLANs removidas do ISE).
Nota: Na etapa 3 da seção Configuração do perfil de política, você seleciona a VLAN padrão atribuída ao SSID. Se você usar um nome de VLAN nessa etapa, certifique-se de usar o mesmo nome de vlan na configuração do perfil Flex, caso contrário, os clientes não poderão se conectar à WLAN.

Você também pode adicionar ACLs específicas por VLAN.

Opcionalmente, atribua um grupo de servidores Radius para permitir que os APs FlexConnect executem a autenticação local.

Etapa 3. Configurar uma etiqueta de site.
Navegue até Configuration > Tags & Profiles > Tags > Site. Modifique a marca de site padrão (que é a marca atribuída por padrão a todos os APs) ou crie uma nova (Clique em +Adicionar para criar uma nova).

Certifique-se de desabilitar a opção Enable Local Site, caso contrário a opção Flex Profile não estará disponível.

Note: Qualquer AP que obtenha uma Etiqueta de Site com Ativar Site Local ativado é configurado como modo local. Da mesma forma, qualquer AP que obtenha uma Etiqueta de Site com Ativar Local desabilitado é configurado como modo flexconnect.
Etapa 4. Faça um AP associado à WLC 9800 e atribua a tag Site configurada na Etapa 2.
Navegue até Configuration > Wireless > Access Points > AP name e defina a tag Site. Em seguida, clique em Atualizar e aplicar ao dispositivo para definir a alteração.

Observação: lembre-se de que, depois de alterar a marca em um AP, ela perde sua associação com a WLC 9800 e se junta novamente em cerca de 1 minuto.
Etapa 5. Quando o AP se juntar novamente, observe que o modo AP é Flex

CLI
# config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601
# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site
# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit
#show ap name <ap-name> config general | inc AP Mode
AP Mode : FlexConnect
Configuração do Switch
Configure a interface do switch à qual o AP está conectado.
# config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end
Configuração do perfil de política
Dentro de um perfil de política, você pode decidir a qual VLAN atribui os clientes, entre outras configurações (como Lista de controles de acesso [ACLs], Qualidade de serviço [QoS], Âncora de mobilidade, Temporizadores e assim por diante).
GUI
Etapa 1. Configure o perfil de política a ser atribuído à WLAN.
Navegue até Configuration > Tags & Profiles > Policy e crie um novo ou modifique o default-policy-profile.

Etapa 2. Na guia Geral, atribua um nome ao perfil de política e altere o status para ATIVADO.

Etapa 3. Na guia Políticas de acesso, atribua a VLAN à qual os clientes sem fio estão atribuídos quando se conectam a esta WLAN por padrão.
Você pode selecionar um nome de VLAN na lista suspensa ou digitar manualmente uma id de vlan.
Observação: se você selecionar um nome de vlan no menu suspenso, verifique se ele corresponde ao nome de vlan usado na etapa 2 da seção Definir AP como modo FlexConnect.

or

Etapa 4. Navegue até a guia Avançado e ative as opções Ativar e Permitir Substituição de AAA. A Comutação Central deve ser desativada.
A autenticação central deve ser habilitada se você quiser que o processo de autenticação seja executado centralmente pela WLC 9800. Desative-o se desejar que os APs FlexConnect autentiquem os clientes sem fio.

CLI
# config t
# wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown
Configuração da etiqueta de política
A etiqueta de política é usada para vincular o SSID ao perfil de política. Você pode criar uma nova etiqueta de política ou usar a marca de política padrão.
Observação: a tag default-policy mapeia automaticamente qualquer SSID com uma ID de WLAN entre 1 e 16 para o perfil de política padrão. Não pode ser modificado nem excluído. Se você tiver uma WLAN com ID 17 ou superior, a tag default-policy não poderá ser usada.
GUI:
Navegue até Configuration > Tags & Profiles > Tags > Policy e adicione um novo se necessário.

Vincule seu perfil de WLAN ao perfil de política desejado.



CLI:
# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>
Atribuição de tag de política
Atribuir a marca de política ao AP
GUI
Para atribuir a marca a um AP, navegue para Configuration > Wireless > Access Points > AP Name > General Tags (Configuração > Sem fio > Pontos de acesso > Nome do AP > Marcas gerais), faça a atribuição necessária e clique em Update & Apply to Device (Atualizar e aplicar ao dispositivo).

Observação: lembre-se de que, depois de alterar a etiqueta de política em um AP, ela perde sua associação ao WLC 9800 e se junta novamente em cerca de 1 minuto.
Para atribuir a mesma etiqueta de política a vários APs, navegue para Configuration > Wireless > Wireless Setup > Start Now > Apply (Configuração > Sem fio > Configuração sem fio > Iniciar agora > Aplicar).

Selecione os APs aos quais deseja atribuir a marca e clique em + Tag APs

Selecione a etiqueta desejada e clique em Salvar e aplicar ao dispositivo

CLI
# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end
Configuração do ISE
Para a configuração do ISE v1.2, verifique este link:
Configuração do ISE
Verificar
Você pode usar esses comandos para verificar a configuração atual
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Troubleshoot
O WLC 9800 oferece recursos de rastreamento SEMPRE ACESO. Isso garante que todos os erros relacionados à conectividade do cliente, mensagens de nível de aviso e de aviso sejam constantemente registradas e você pode exibir registros de um incidente ou condição de falha depois que ele ocorreu.
Note: Dependendo do volume de registros sendo gerado, você pode voltar algumas horas para vários dias.
Para visualizar os rastreamentos que a WLC 9800 coletou por padrão, você pode se conectar via SSH/Telnet à WLC 9800 e seguir estas etapas (certifique-se de que está fazendo o log da sessão em um arquivo de texto).
Etapa 1. Verifique a hora atual do controlador para que você possa rastrear os registros no tempo até quando o problema ocorreu.
# show clock
Etapa 2. Colete syslogs do buffer do controlador ou do syslog externo conforme indicado pela configuração do sistema. Isso fornece uma visão rápida da integridade e dos erros do sistema, se houver.
# show logging
Etapa 3. Verifique se alguma condição de depuração está ativada.
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Note: Se você vir alguma condição listada, isso significa que os rastreamentos estão sendo registrados no nível de depuração para todos os processos que encontram as condições habilitadas (endereço mac, endereço ip etc.). Isso aumentaria o volume de registros. Portanto, é recomendável limpar todas as condições quando não a depuração ativa
Etapa 4. Supondo que o endereço mac em teste não estivesse listado como uma condição na Etapa 3, colete os rastreamentos de nível de aviso sempre ativo para o endereço mac específico.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Você pode exibir o conteúdo da sessão ou pode copiar o arquivo para um servidor TFTP externo.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Depuração Condicional e Rastreamento Ativo de Rádio
Se os rastreamentos sempre ativos não fornecerem informações suficientes para determinar o disparo para o problema em investigação, você poderá ativar a depuração condicional e capturar o rastreamento de rádio ativo (RA), que fornecerá rastreamentos de nível de depuração para todos os processos que interagem com a condição especificada (endereço mac do cliente neste caso). Para habilitar a depuração condicional, siga estas etapas.
Etapa 5. Verifique se não há condições de depuração habilitadas.
# clear platform condition all
Etapa 6. Ative a condição de depuração para o endereço mac do cliente sem fio que você deseja monitorar.
Esses comandos começam a monitorar o endereço mac fornecido por 30 minutos (1800 segundos). Você também pode aumentar esse tempo para até 2085978494 segundos.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Observação: para monitorar mais de um cliente por vez, execute o comando debug wireless mac <aaaa.bbbb.ccc> por endereço mac.
Nota: Você não vê a saída da atividade do cliente na sessão de terminal, pois tudo é colocado em buffer internamente para ser visualizado posteriormente.
Passo 7. Reproduza o problema ou comportamento que você deseja monitorar.
Etapa 8. Interrompa as depurações se o problema for reproduzido antes que o tempo padrão ou configurado do monitor esteja esgotado.
# no debug wireless mac <aaaa.bbbb.cccc>
Depois que o monitor-time tiver transcorrido ou a depuração sem fio tiver sido interrompida, a WLC 9800 gera um arquivo local com o nome:
ra_trace_MAC_aaaabbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year
Etapa 9. Colete o arquivo da atividade de endereço MAC. Você pode copiar o arquivo .log do rastro para um servidor externo ou exibir a saída diretamente na tela.
Verifique o nome do arquivo de rastreamento RA
# dir bootflash: | inc ra_trace
Copie o arquivo para um servidor externo:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Exibir o conteúdo:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Etapa 10. Se a causa raiz ainda não for óbvia, colete os logs internos, que são uma visão mais detalhada dos logs de nível de depuração. Você não precisa depurar o cliente novamente, pois estamos somente analisando detalhadamente os logs de depuração que já foram coletados e armazenados internamente.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Note: Essa saída de comando retorna rastreamentos para todos os níveis de registro para todos os processos e é bastante volumosa. Entre em contato com o Cisco TAC para ajudar a analisar esses rastreamentos.
Você pode copiar o ra-internal-FILENAME.txt para um servidor externo ou exibir a saída diretamente na tela.
Copie o arquivo para um servidor externo:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Exibir o conteúdo:
# more bootflash:ra-internal-<FILENAME>.txt
Etapa 11. Remova as condições de depuração.
# clear platform condition all
Note: Certifique-se de sempre remover as condições de depuração após uma sessão de solução de problemas.