Configurar a malha nos controladores de LAN sem fio Catalyst 9800

Opções de download

  • PDF     (2.8 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.7 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.4 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:30 de junho de 2023
ID do documento:215100

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve um exemplo de configuração básica sobre como unir um Ponto de Acesso (AP) de malha ao Catalyst 9800 Wireless LAN Controller (WLC)

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Modelo de configuração Catalyst Wireless 9800
    • Configuração de LAPs 
    • Controle e fornecimento de access points sem fio (CAPWAP)
    • Configuração de um servidor DHCP externo
    • Configuração de switches Cisco

    Componentes Utilizados

    Este exemplo usa o ponto de acesso lightweight (1572AP e 1542) que pode ser configurado como um Root AP (RAP) ou Mesh AP (MAP) para se unir ao Catalyst 9800 WLC. O procedimento é idêntico para 1542 ou 1562 pontos de acesso. O RAP é conectado ao Catalyst 9800 WLC através de um switch Cisco Catalyst.

    As informações neste documento são baseadas nestas versões de software e hardware:

    • C9800-CL v16.12.1
    • Switch de Camada 2 da Cisco
    • Pontos de acesso Cisco Aironet série 1572 Lightweight Outdoor para a seção Bridge
    • Cisco Aironet 1542 para a seção Flex+Bridge

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Estudo de caso 1: Modo em bridge

    Configurações

    Um AP de malha precisa ser autenticado para que ele se una ao controlador 9800. Este estudo de caso considera que você se une ao AP no modo local primeiro para o WLC e depois o converte para o modo de malha Bridge (também conhecido como).

    Para evitar a atribuição de perfis de junção de AP, use este exemplo, mas configure o método default aaa authorization credential-download para que qualquer AP de malha tenha permissão para se unir à controladora.

    Etapa 1: Configure os endereços MAC RAP/MAP em Autenticação de dispositivo.

    Vá para Configuration > AAA > AAA Advanced > Device Authentication .

    configurações de AAA

    Adicione o endereço MAC Ethernet base dos pontos de acesso da malha, adicione-o sem caracteres especiais, sem '.' ou ':'

    Importante: a partir da versão 17.3.1, se algum delimitador de endereço MAC como '.', ':' ou '-' for adicionado, o AP não será capaz de se unir. No momento, há 2 aprimoramentos abertos para isso: ID de bug Cisco CSCvv43870 e ID de bug Cisco CSCvr07920. No futuro, o 9800 aceitará todos os formatos de endereço mac.

    Adicionar um endereço MAC

    Etapa 2: Configurar a lista de métodos de autenticação e autorização.

    Vá para Configuration > Security > AAA > AAA Method list > Authentication e crie a lista de métodos de autenticação e a lista de métodos de autorização.

    configuração de autorização AAA

    configuração de autenticação AAA

    Etapa 3: Configure os parâmetros globais de malha.

    Vá para Configuration> Mesh> Global parameters. Inicialmente, podemos manter esses valores como padrão.

    Menu Malha

    Etapa 4: Crie um novo Perfil de Malha em Configuração > Malha > Perfil > +Adicionar

    Adicionar um perfil de malha

    Clique no perfil de malha criado para editar as configurações Geral e Avançado do perfil de malha.

    No diagrama como mostrado, precisamos mapear o perfil de autenticação e autorização criado antes para o perfil Mesh

    Configurações avançadas do perfil de malha

    Etapa 5: Criar um novo perfil de junção AP. Vá para Configure > Tags and Profiles: AP Join.

    Junção de AP

    Adicionar perfil de ingresso de AP

    Aplique o perfil de malha configurado anteriormente e configure a autenticação EAP AP AP:

    Definição dos detalhes da malha no perfil de junção AP

    Etapa 6: Crie uma tag de localização de malha como mostrado.

    Menu 'Marcas'

    Configure (Configurar) Clique na TAG de localização da malha criada na Etapa 6 para configurá-la.

    Chegou até a guia Site e aplique o Perfil de junção de AP do Mesh configurado anteriormente a ele:

    Adicionar Marca de Site

    Passo 7. Converta o AP para o modo Bridge.

    Alterar o AP para o modo bridge

    via CLI, você pode usar este comando no AP:

    capwap ap mode bridge

    O AP é reinicializado e volta como modo de Bridge.

    Etapa 8. Agora você pode definir a função do AP: AP raiz ou AP de malha.

    O AP raiz é aquele com uma conexão com fio à WLC, enquanto o AP de malha se une à WLC através de seu rádio que tenta se conectar a um AP raiz.

    Um AP de malha pode se unir à WLC através de sua interface com fio depois que ele não conseguir encontrar um AP raiz através de seu rádio, para fins de provisão.

    Não se esqueça de especificar a vlan nativa do tronco nas configurações do AP caso seja diferente da VLAN 1 padrão

    Definir a função da malha do AP

    Verificar

    aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
 method authentication Mesh_Authentication
 method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site Mesh_AP_Tag
 ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile Mesh_Profile

    Troubleshooting

    Na página Troubleshooting > Radioative Trace da UI da Web, clique em adicionar e insira o endereço MAC do AP.

    Adicionar endereço MAC do RAtrace

    Clique em Start e aguarde até que o AP tente se unir ao controlador novamente.

    Depois de concluído, clique em Gerar e escolha um período de tempo para coletar os logs (últimos 10 ou 30 minutos, por exemplo).

    Clique no nome do arquivo de rastreamento para baixá-lo do seu navegador.

    Aqui está um exemplo de AP não ingressado devido ao nome incorreto do método de autorização aaa definido :

    019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac

    O mesmo pode ser visto mais facilmente no painel da interface do usuário da Web quando se clica em APs não ingressados. "Autenticação de AP pendente" é a dica que aponta para a autenticação do próprio AP:

    Estatísticas de junção de APWidget de junção AP

    Estudo de caso 2: Flex + Bridge

    Esta seção destaca o processo de união de um AP 1542 no modo Flex+bridge com autenticação EAP feita localmente no WLC.

    Configurar

    • Etapa 1. Navegue até Configuration > Security > AAA > AAA Advanced > Device Authentication

    Página de adição de autenticação de dispositivo

    • Etapa 2. Selecione Device Authentication e Add
    • Etapa 3. Digite o endereço MAC Ethernet base do AP para ingressar na WLC, deixe o nome da lista de atributos em branco e selecione Apply to Device

    filtro MAC

    • Etapa 4. Navegue até Configuration > Security > AAA > AAA Method List > Authentication
    • Etapa 5. Selecione Add, o pop-up AAA Authentication será exibido

    Adicionar um método AAA de autenticação

    • Etapa 6. Digite um nome no Nome da lista de métodos, selecione 802.1x na lista suspensa Tipo* e local para o Tipo de grupo, finalmente selecione Aplicar ao dispositivo

    AAA authentication dot1x list

    • Etapa 6b. Caso seus APs entrem diretamente como modo de Bridge e não tenham recebido uma marca de site e política antes, repita a etapa 6, mas para o método padrão.
    • Configure um método de autenticação dot1x aaa que aponte para local (CLI aaa authentication dot1x default local)
    • Passo 7. Navegue até Configuration > Security > AAA > AAA Method List > Authorization
    • Etapa 8. Selecione Add, o pop-up AAA Authorization será exibido

    Adicionar um método de autorização AAA

    • Etapa 9. Digite um nome no Nome da lista de métodos, selecione o download credencial na lista suspensa Tipo* e local para o Tipo de grupo, finalmente selecione Aplicar ao dispositivo

    Perfil de autorização AAA de download de credenciais

    • Etapa 9b. Caso seu AP se una diretamente no modo Bridge (isto é, ele não se une primeiro no modo local), repita a etapa 9 para o método padrão de download de credencial (CLI aaa authorization credential-download default local)
    • Etapa 10. Navegue até Configuration > Wireless > Mesh > Profiles
    • Etapa 11. Selecione Add, o pop-up Add Mesh Profile será exibido

    Adicionar um perfil de malha

    • Etapa 12. Na guia Geral, defina um nome e uma descrição para o perfil Mesh

    Configurações gerais do perfil Mesh

    • Etapa 13. Na guia Advanced, selecione EAP para o campo Method
    • Etapa 14. Selecione o perfil de Autorização e Autenticação definido nas etapas 6 e 9 e selecione Aplicar ao Dispositivo

    Adicionar perfil de malha, configurações avançadas

    • Etapa 15. Navegue até Configuration > Tag & Profiles > AP Join > Profile
    • Etapa 16. Selecione Add, o pop-up AP Join Profile será exibido, defina um nome e uma descrição para o perfil de AP Join

    Adicionar perfil de ingresso de AP

    Adição de um perfil de ingresso AP: configurações gerais

    • Etapa 17. Navegue até a guia AP e selecione o Perfil da malha criado na etapa 12 no menu suspenso Nome do perfil da malha
    • Etapa 18. Certifique-se de que EAP-FAST e CAPWAP DTLS estejam definidos para os campos Tipo de EAP e Tipo de autorização de AP, respectivamente
    • Steo 19. Selecione Aplicar ao dispositivo

    Definir configurações de malha no perfil de junção AP

    • Etapa 20. Navegue até Configuração > Tag & Profiles > Tags > Site
    • Etapa 21. Selecione Add, a janela pop-up Site Tag será exibida
    • Adicionando uma marca de site
    • Etapa 22. Digite um nome e uma descrição para a Marca de Site

    Defina o perfil de junção de AP na tag site

    • Etapa 23. Selecione o Perfil de junção AP criado na etapa 16 no menu suspenso Perfil de junção AP
    • Etapa 24. Na parte inferior do pop-up Marca do site, desmarque a caixa de seleção Habilitar site local para habilitar o menu suspenso Perfil do Flex.
    • Etapa 35. No menu suspenso Flex Profile, selecione o Flex Profile que deseja usar para o AP

    Definindo o perfil flexível

    • Etapa 36. Conecte o AP à rede e verifique se o AP está no modo local.
    • Etapa 37. Para garantir que o AP esteja no modo local, emita o comando capwap ap mode local.

    O AP deve ter uma maneira de encontrar a controladora, broadcast L2, DHCP Opção 43, resolução DNS ou configuração manual.

    • Etapa 38. O AP se une à WLC, verifique se está listado na lista de APs, navegue para Configuration > Wireless > Access Points > All Access Points

    Verificação do modo local do AP

    • Etapa 39. Selecione o AP, o pop-up AP será exibido.
    • Etapa 40. Selecione a guia Site Tag criada na Etapa 22 em Geral > Tags > Site no pop-up AP, selecione Atualizar e aplicar ao dispositivo

    Aplicando a marca de site

    • Etapa 41. O AP é reinicializado e deve se unir de volta ao WLC no modo Flex + Bridge

    Observe que esse método junta o AP primeiro no modo local (onde não faz a autenticação dot1x) para aplicar a marca de site com o perfil de malha e, em seguida, comuta o AP para o modo de ponte.

    Para unir um AP que está preso no modo Bridge (ou Flex+Bridge), configure os métodos padrão (aaa authentication dot1x default local e aaa authorization cred default local).

    O AP é então capaz de autenticar e você pode atribuir as tags depois.

    Verificar

    Certifique-se de que o modo AP seja exibido como Flex + Bridge, conforme mostrado nesta imagem.

    Verificação do modo AP

    Execute esses comandos da CLI do WLC 9800 e procure o atributo AP Mode. Ele deve estar listado como Flex+Bridge

    aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site meshsite
 ap-profile meshapjoin
 no local-site
ap profile meshapjoin
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile mesh-profile

    Troubleshooting

    Certifique-se de que os ecommands aaa authentication dot1x default local e aaa authorization cred default local estejam presentes. Eles são necessários se o seu AP não tiver sido pré-ingressado no modo Local.

    O painel principal do 9800 tem um widget que exibe os APs que não podem se unir. Clique nele para obter uma lista de APs que falham ao ingressar:

    estatísticas de AP

    Clique no AP específico para ver o motivo pelo qual ele não ingressou. Nesse caso, vemos um problema de autenticação (autenticação de AP pendente) porque a marca do site não foi atribuída ao AP.

    Portanto, o 9800 não escolheu o método de autenticação/autorização nomeado para autenticar o AP :

    Estatísticas de junção de AP 2

    Para Troubleshooting mais avançado, vá para a página Troubleshooting > Radioative Trace na interface de usuário da Web.

    Se você inserir o endereço MAC do AP, poderá gerar imediatamente um arquivo para obter os logs sempre ativos (no nível de aviso) do AP que tenta juntar-se.

    Clique em Iniciar para habilitar a depuração avançada para esse endereço mac. Na próxima vez que os logs forem gerados, gere os logs, os logs de depuração para a junção do AP serão mostrados.

    página RAtrace

    Histórico de revisões

    Revisão Data de publicação Comentários
    4.0
    30-Jun-2023
    modificou a captura de tela de filtragem de MAC
    3.0
    20-Apr-2023
    Recertificação
    2.0
    10-Nov-2021
    Pequenas alterações de formatação
    1.0
    28-Nov-2019
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Bharti Khatri
      TAC da Cisco
    • Anand Shandilya
      TAC da Cisco
    • Israel Márquez Salinas
      TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos