Introduction
Este documento descreve um exemplo de configuração básica sobre como unir um Ponto de Acesso (AP) de malha ao Catalyst 9800 Wireless LAN Controller (WLC)
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Modelo de configuração Catalyst Wireless 9800
- Configuração de LAPs
- Controle e fornecimento de access points sem fio (CAPWAP)
- Configuração de um servidor DHCP externo
- Configuração de switches Cisco
Componentes Utilizados
Este exemplo usa o ponto de acesso lightweight (1572AP e 1542) que pode ser configurado como um Root AP (RAP) ou Mesh AP (MAP) para se unir ao Catalyst 9800 WLC. O procedimento é idêntico para 1542 ou 1562 pontos de acesso. O RAP é conectado ao Catalyst 9800 WLC através de um switch Cisco Catalyst.
As informações neste documento são baseadas nestas versões de software e hardware:
- C9800-CL v16.12.1
- Switch de Camada 2 da Cisco
- Pontos de acesso Cisco Aironet série 1572 Lightweight Outdoor para a seção Bridge
- Cisco Aironet 1542 para a seção Flex+Bridge
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Estudo de caso 1: Modo em bridge
Diagrama de Rede
Configurações
Um AP de malha precisa ser autenticado para que ele se una ao controlador 9800. Este estudo de caso considera que você se une ao AP no modo local primeiro para o WLC e depois o converte para o modo de malha Bridge (também conhecido como).
Para evitar a atribuição de perfis de junção de AP, use este exemplo, mas configure o método default aaa authorization credential-download para que qualquer AP de malha tenha permissão para se unir à controladora.
Etapa 1: Configure os endereços MAC RAP/MAP em Autenticação de dispositivo.
Vá para Configuration > AAA > AAA Advanced > Device Authentication .

Adicione o endereço MAC Ethernet base dos pontos de acesso da malha, adicione-o sem caracteres especiais, sem '.' ou ':'
Importante: a partir da versão 17.3.1, iSe algum delimitador de endereço MAC, como '.', ':' ou '-', for adicionado, o AP não poderá se unir. No momento, há 2 aprimoramentos abertos para isso: ID de bug Cisco CSCvv43870 e ID de bug Cisco CSCvr07920. No futuro, o 9800 aceitará todos os formatos de endereço mac.

Etapa 2: Configurar a lista de métodos de autenticação e autorização.
Vá para Configuration > Security > AAA > AAA Method list > Authentication e crie a lista de métodos de autenticação e a lista de métodos de autorização.


Etapa 3: Configure os parâmetros globais de malha.
Vá para Configuration> Mesh> Global parameters. Inicialmente, podemos manter esses valores como padrão.

Etapa 4: Crie um novo Perfil de Malha em Configuração > Malha > Perfil > +Adicionar

Clique no perfil de malha criado para editar as configurações Geral e Avançado do perfil de malha.
No diagrama como mostrado, precisamos mapear o perfil de autenticação e autorização criado antes para o perfil Mesh

Etapa 5: Criar um novo perfil de junção AP. Vá para Configure > Tags and Profiles: AP Join.


Aplique o perfil de malha configurado anteriormente e configure a autenticação EAP AP AP:

Etapa 6: Crie uma tag de localização de malha como mostrado.

Configure (Configurar) Clique na TAG de localização da malha criada na Etapa 6 para configurá-la.
Chegou até a guia Site e aplique o Perfil de junção de AP do Mesh configurado anteriormente a ele:

Passo 7. Converta o AP para o modo Bridge.

via CLI, você pode usar este comando no AP:
capwap ap mode bridge
O AP é reinicializado e volta como modo de Bridge.
Etapa 8. Agora você pode definir a função do AP: AP raiz ou AP de malha.
O AP raiz é aquele com uma conexão com fio à WLC, enquanto o AP de malha se une à WLC através de seu rádio que tenta se conectar a um AP raiz.
Um AP de malha pode se unir à WLC através de sua interface com fio depois que ele não conseguir encontrar um AP raiz através de seu rádio, para fins de provisão.

Verificar
aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
method authentication Mesh_Authentication
method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site Mesh_AP_Tag
ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile Mesh_Profile
Troubleshoot
Na página Troubleshooting > Radioative Trace da UI da Web, clique em adicionar e insira o endereço MAC do AP.

Clique em Start e aguarde até que o AP tente se unir ao controlador novamente.
Depois de concluído, clique em Gerar e escolha um período de tempo para coletar os logs (últimos 10 ou 30 minutos, por exemplo).
Clique no nome do arquivo de rastreamento para baixá-lo do seu navegador.
Aqui está um exemplo de AP não ingressado devido ao nome incorreto do método de autorização aaa definido :
019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac
O mesmo pode ser visto mais facilmente no painel da interface do usuário da Web quando se clica em APs não ingressados. "Autenticação de AP pendente" é a dica que aponta para a autenticação do próprio AP:


Estudo de caso 2: Flex + Bridge
Esta seção destaca o processo de união de um AP 1542 no modo Flex+bridge com autenticação EAP feita localmente no WLC.
Configurar
- Etapa 1. Navegue até Configuration > Security > AAA > AAA Advanced > Device Authentication

- Etapa 2. Selecione Device Authentication e Add
- Etapa 3. Digite o endereço MAC Ethernet base do AP para ingressar na WLC, deixe o nome da lista de atributos em branco e selecione Apply to Device

- Etapa 4. Navegue até Configuration > Security > AAA > AAA Method List > Autenticação
- Etapa 5. Selecione Add, o pop-up AAA Authentication será exibido

- Etapa 6. Digite um nome no Nome da lista de métodos, selecione 802.1x na lista suspensa Tipo* e local para o Tipo de grupo, finalmente selecione Aplicar ao dispositivo

- Etapa 6b. Caso seus APs entrem diretamente como modo de Bridge e não tenham recebido uma marca de site e política antes, repita a etapa 6, mas para o método padrão.
- Configure um método de autenticação dot1x aaa que aponte para local (CLI aaa authentication dot1x default local)
- Passo 7. Navegue até Configuration > Security > AAA > AAA Method List > Autorização
- Etapa 8. Selecione Add, o pop-up AAA Authorization será exibido

- Etapa 9. Digite um nome no Nome da lista de métodos, selecione o download credencial na lista suspensa Tipo* e local para o Tipo de grupo, finalmente selecione Aplicar ao dispositivo

- Etapa 9b. Caso seu AP se una diretamente no modo Bridge (isto é, ele não se une primeiro no modo local), repita a etapa 9 para o método padrão de download de credencial (CLI aaa authorization credential-download default local)
- Etapa 10. Navegue até Configuration > Wireless > Mesh > Profiles
- Etapa 11. Selecione Add, o pop-up Add Mesh Profile será exibido

- Etapa 12. Na guia Geral, defina um nome e uma descrição para o perfil Mesh

- Etapa 13. Na guia Advanced, selecione EAP para o campo Method
- Etapa 14. Selecione o perfil de Autorização e Autenticação definido nas etapas 6 e 9 e selecione Aplicar ao Dispositivo

- Etapa 15. Navegue até Configuration > Tag & Profiles > AP Join > Profile
- Etapa 16. Selecione Add, o pop-up AP Join Profile será exibido, defina um nome e uma descrição para o perfil de AP Join


- Etapa 17. Navegue até a guia AP e selecione o Perfil da malha criado na etapa 12 no menu suspenso Nome do perfil da malha
- Etapa 18. Certifique-se de que EAP-FAST e CAPWAP DTLS estejam definidos para os campos Tipo de EAP e Tipo de autorização de AP, respectivamente
- Steo 19. Selecione Aplicar ao dispositivo

- Etapa 20. Navegue até Configuração > Tag & Profiles > Tags > Site
- Etapa 21. Selecione Add, a janela pop-up Site Tag será exibida

- Etapa 22. Digite um nome e uma descrição para a Marca de Site

- Etapa 23. Selecione o Perfil de junção AP criado na etapa 16 no menu suspenso Perfil de junção AP
- Etapa 24. Na parte inferior do pop-up Marca do site, desmarque a caixa de seleção Habilitar site local para habilitar o menu suspenso Perfil do Flex.
- Etapa 35. No menu suspenso Flex Profile, selecione o Flex Profile que deseja usar para o AP

- Etapa 36. Conecte o AP à rede e verifique se o AP está no modo local.
- Etapa 37. Para garantir que o AP esteja no modo local, emita o comando capwap ap mode local.
O AP deve ter uma maneira de encontrar a controladora, broadcast L2, DHCP Opção 43, resolução DNS ou configuração manual.
- Etapa 38. O AP se une à WLC, verifique se está listado na lista de APs, navegue para Configuration > Wireless > Access Points > All Access Points

- Etapa 39. Selecione o AP, o pop-up AP será exibido.
- Etapa 40. Selecione a guia Site Tag criada na Etapa 22 em Geral > Tags > Site no pop-up AP, selecione Atualizar e aplicar ao dispositivo

- Etapa 41. O AP é reinicializado e deve se unir de volta ao WLC no modo Flex + Bridge
Observe que esse método junta o AP primeiro no modo local (onde não faz a autenticação dot1x) para aplicar a marca de site com o perfil de malha e, em seguida, comuta o AP para o modo de ponte.
Para unir um AP que está preso no modo Bridge (ou Flex+Bridge), configure os métodos padrão (aaa authentication dot1x default local e aaa authorization cred default local).
O AP é então capaz de autenticar e você pode atribuir as tags depois.
Verificar
Certifique-se de que o modo AP seja exibido como Flex + Bridge, conforme mostrado nesta imagem.

Execute esses comandos da CLI do WLC 9800 e procure o atributo AP Mode. Ele deve estar listado como Flex+Bridge
aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site meshsite
ap-profile meshapjoin
no local-site
ap profile meshapjoin
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile mesh-profile
Troubleshoot
Certifique-se de que os ecommands aaa authentication dot1x default local e aaa authorization cred default local estejam presentes. Eles são necessários se o seu AP não tiver sido pré-ingressado no modo Local.
O painel principal do 9800 tem um widget que exibe os APs que não podem se unir. Clique nele para obter uma lista de APs que falham ao ingressar:

Clique no AP específico para ver o motivo pelo qual ele não ingressou. Nesse caso, vemos um problema de autenticação (autenticação de AP pendente) porque a marca do site não foi atribuída ao AP.
Portanto, o 9800 não escolheu o método de autenticação/autorização nomeado para autenticar o AP :

Para Troubleshooting mais avançado, vá para a página Troubleshooting > Radioative Trace na interface de usuário da Web.
Se você inserir o endereço MAC do AP, poderá gerar imediatamente um arquivo para obter os logs sempre ativos (no nível de aviso) do AP que tenta juntar-se.
Clique em Iniciar para habilitar a depuração avançada para esse endereço mac. Na próxima vez que os logs forem gerados, gere os logs, os logs de depuração para a junção do AP serão mostrados.
