Configurar a malha nos controladores de LAN sem fio Catalyst 9800

Introduction

Este documento descreve um exemplo básico de configuração sobre como se unir a um ponto de acesso em malha (AP) ao controlador de LAN sem fio (WLC - Wireless LAN Controller) do Catalyst 9800

Este exemplo usa um ponto de acesso leve (1572AP e 1542) que pode ser configurado como um AP raiz (RAP) ou AP em malha (MAP) para se unir ao Catalyst 9800 WLC. O procedimento será idêntico para access points 1542 ou 1562. O RAP é conectado à WLC do Catalyst 9800 através de um switch Cisco Catalyst.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Modelo de configuração do Catalyst Wireless 9800
• Conhecimento básico da configuração dos LAPs 
• Conhecimento básico sobre controle e provisionamento de access points sem fio (CAPWAP)
• Conhecimento da configuração de um servidor DHCP externo
• Conhecimento de configuração básica de switches Cisco

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• C9800-CL v16.12.1
• Switch Cisco de Camada 2
• Pontos de acesso externos leves Cisco Aironet 1572 Series para a seção Bridge
  
• Cisco Aironet 1542 para a seção Flex+Bridge

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Casos Práticos 1: Modo de Bridge

Diagrama de Rede

Configurações

Um AP de malha precisa ser autenticado para se juntar à controladora 9800. Este estudo de caso considera que você vai se unir ao AP no modo local primeiro na WLC e depois convertê-lo no modo de malha Bridge (também conhecido como a).

Se quiser evitar atribuir perfis de junção de AP, você também pode seguir este exemplo, mas configurar o método de download de credenciais de autorização de aaa padrão para que qualquer AP de malha tenha permissão para ingressar na controladora

Etapa1: Configure endereços MAC RAP/MAP em Device Authentication.

Vá para Configuration > AAA > AAA Advanced > Device Authentication como abaixo

Adicione o endereço MAC Ethernet base dos pontos de acesso em malha, sem caracteres especiais, sem '.' ou ':'

Importante: A partir da versão 17.4.1, iSe qualquer delimitador de endereço mac como '.', ':' ou '-' for adicionado, o AP não poderá ingressar. No momento, há duas melhorias abertas para isso: CSCvv43870 & CSCvr07920 . No futuro, o 9800 deve aceitar todos os formatos de endereço mac.

Etapa 2: configurar a lista de métodos de autenticação e autorização.

Vá para Configuration > Security > AAA > AAA Method list > Authentication e crie a lista de métodos de autenticação e a lista de métodos de autorização, como abaixo.

Etapa 3: Configure os parâmetros globais de malha.

Vá para Configuração> Mesh> Parâmetros globais. Inicialmente, podemos manter esses valores como padrão.

Etapa 4: Crie um novo perfil de malha em Configuration > Mesh > Profile > +Add

Clique no perfil de malha criado para editar as configurações gerais e avançadas do perfil de malha.

No diagrama como mostrado, precisamos mapear o perfil de autenticação e autorização criado antes do perfil Mesh

Etapa 5: Crie um novo perfil de união de AP. Vá para Configurar > Marcas e perfis: AP Join.

Aplique o perfil de malha configurado anteriormente e configure a autenticação do AP EAP como abaixo:

Etapa 6: Crie uma etiqueta de local da malha como abaixo:

Configure a TAG da localização da malha criada na Etapa 6 clicando nela.

Acesse a guia Site e aplique o Perfil de junção do Mesh AP configurado anteriormente como abaixo:

Passo 7. Converta o AP no modo Bridge.

via CLI, você pode fazer este comando no AP :

capwap ap mode bridge

O AP deve reinicializar e se unir de volta como modo de Bridge.

Etapa 8. Agora você pode definir a função do AP : AP raiz ou AP em malha. O AP raiz é aquele com uma conexão com fio para a WLC, enquanto o AP em malha ingressará na WLC por meio de seu rádio, que tentará se conectar a um AP raiz. Um AP em malha pode se unir à WLC por meio de sua interface com fio, depois de não ter encontrado um AP raiz por meio de seu rádio, para fins de provisionamento.

Verificar

aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
 method authentication Mesh_Authentication
 method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site Mesh_AP_Tag
 ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile Mesh_Profile

Troubleshoot

Na página Troubleshoot > Radioative Trace web UI, clique em Add e insira o endereço MAC do AP.

Clique em Iniciar e aguarde até que o AP tente ingressar no controlador novamente.

Depois de concluído, clique em Gerar e escolha um período de tempo para coletar os logs (últimos 10 ou 30 minutos, por exemplo).

Você pode clicar no nome do arquivo Trace para baixá-lo do navegador.

Aqui está um exemplo de AP que não está ingressando devido ao nome errado do método de autorização de aaa que foi definido :

019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac

O mesmo pode ser visto mais facilmente no painel da IU da Web quando se clica em APs não associados. "Ap auth pending" é a sugestão que aponta para a autenticação do próprio AP:

Casos Práticos 2: Flex + Bridge

Esta seção destacará o processo de união de um AP 1542 no modo Flex+bridge com autenticação EAP feita localmente na WLC.

Configurar

• Etapa 1. Navegue até Configuration > Security > AAA > AAA Advanced > Device Authentication

• Etapa 2. Selecione Autenticação de dispositivo e selecione Adicionar
• Etapa 3. Digite o endereço MAC Ethernet base do AP para ingressar na WLC, deixe o Nome da lista de atributos em branco e, finalmente, selecione Aplicar ao dispositivo

• Etapa 4. Navegue até Configuration > Security > AAA > AAA Method List > Autenticação
  
• Etapa 5. Selecione Add, o pop-up AAA Authentication (Autenticação AAA) será exibido

• Etapa 6. Digite um nome no nome da lista de métodos, selecione 802.1x na lista suspensa de Tipo* e local para o tipo de grupo, e, por fim, selecione Aplicar ao dispositivo

• Etapa 6b. Caso seus APs se unam diretamente como modo de Bridge e não tenham sido atribuídos a uma tag de site e política antes, repita a etapa 6, mas para o método padrão. Configurar um método de autenticação dot1x aaa apontando para local (CLI aaa authentication dot1x default local)
  

• Passo 7. Navegue até Configuration > Security > AAA > AAA Method List > Autorização
  
• Etapa 8. Selecione Add, a janela pop-up AAA Authorization (Autorização de AAA) será exibida

• Etapa 9. Digite um nome no nome da lista de métodos, selecione download de credenciais na lista suspensa Tipo* e local para o tipo de grupo e, por fim, selecione Aplicar ao dispositivo

• Etapa 9b. Caso seu AP ingresse diretamente no modo Bridge (isto é, ele não ingressa no modo local primeiro), você precisará repetir a etapa 9 para o método de download de credenciais padrão (CLI aaa authorization credencial-download default local)
• Etapa 10. Navegue até Configuration > Wireless > Mesh > Profiles
• Etapa 11. Selecione Add, o pop-up Add Mesh Profile (Adicionar perfil de malha) será exibido

• Etapa 12. Na guia Geral, defina um nome e uma descrição para o perfil Mesh

• Etapa 13. Na guia Avançado, selecione EAP para o campo Método
• Etapa 14. Selecione o perfil de autorização e autenticação definido nas etapas 6 e 9 e, finalmente, selecione Aplicar ao dispositivo

• Etapa 15. Navegue até Configuration > Tag & Profiles > AP Join > Profile
• Etapa 16. Selecione Add, o pop-up AP Join Profile será exibido, defina um nome e uma descrição para o perfil AP Join

• Etapa 17. Navegue até a guia AP e selecione o perfil de malha criado na etapa 12 do menu suspenso Nome do perfil da malha
• Etapa 18. Verifique se EAP-FAST e CAPWAP DTLS estão definidos para os campos EAP Type e AP Authorization Type respectivamente
• Steo 19. Selecione Aplicar ao dispositivo

• Etapa 20. Navegue até Configuração > Etiqueta e perfis > Marcas > Site
• Etapa 21. Selecione Adicionar, o pop-up Etiqueta do site será exibido
• 
• Etapa 22. Digite um nome e uma descrição para a etiqueta do site

• Etapa 23. Selecione o Perfil de junção do AP criado na etapa 16 no menu suspenso Perfil de junção do AP

• Etapa 24. Na parte inferior da janela pop-up Site Tag, desmarque a caixa de seleção Enable Local Site para habilitar o menu suspenso Flex Profile.
• Etapa 35. No menu suspenso Flex Profile, selecione o Flex Profile que deseja usar para o AP

• Etapa 36. Conecte o AP à rede e verifique se o AP está no modo local.
• Etapa 37. Para garantir que o AP esteja no modo local, emita o comando "capwap mode local"

Note: O AP deve ter uma maneira de encontrar a controladora, seja broadcast L2, DHCP Option 43, resolução DNS ou configuração manual.

• Etapa 38. O AP se une à WLC, verifique se está listado na lista de APs, navegue até Configuration > Wireless > Access Points > All Access Points

• Etapa 39. Selecione o AP, o pop-up AP será exibido.
• Etapa 40. Selecione a etiqueta do site criada na Etapa 22 em Geral > Marcas > Site na janela pop-up AP, selecione Atualizar e Aplicar ao dispositivo

• Etapa 41. O AP é reinicializado e deve se unir novamente à WLC no modo Flex + Bridge

Observe que esse método exige que o AP seja ingressado primeiro no modo local (onde ele não faz autenticação dot1x) para que você possa aplicar a tag de site com o perfil de malha e, em seguida, alternar o AP para o modo bridge.

Caso deseje ingressar em um AP que está preso no modo Bridge (ou Flex+Bridge), você também pode configurar métodos padrão (aaa authentication dot1x default local e aaa authorization cred local). O AP será então capaz de autenticar e você poderá atribuir as marcas posteriormente.

Verificar

Verifique se o modo AP é mostrado como Flex + Bridge, como mostrado na imagem a seguir.

Você também pode executar o seguinte comando da CLI do WLC 9800 e procurar o atributo AP Mode, ele deve ser listado como Flex+Bridge

aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site meshsite
 ap-profile meshapjoin
 no local-site
ap profile meshapjoin
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile mesh-profile

Troubleshoot

Certifique-se de que os comandos aaa authentication dot1x default local e aaa authorization cred local estejam presentes. Eles são necessários se seu AP não foi pré-ingressado no modo local.

O painel principal do 9800 tem um widget que mostra que os APs não podem ingressar. Ao clicar nele, você pode obter uma lista de APs que não estão participando :

Ao clicar no AP específico, você poderá ver o motivo pelo qual ele não está ingressando, neste caso, estamos vendo um problema de autenticação ("autenticação de AP pendente") porque a marca de site não foi atribuída ao AP e, portanto, o 9800 não estava escolhendo o método de autenticação/autorização nomeado para autenticar o AP :

Para depuração mais avançada, você pode ir para a página Troubleshooting > Radioative Trace na interface da Web.

Se você digitar o endereço MAC do AP, poderá gerar imediatamente um arquivo para obter os logs sempre on (no nível de notificação) do AP que está tentando ingressar. Você também pode clicar em "Iniciar" para habilitar a depuração avançada para esse endereço mac. Na próxima vez em que você gerar os logs, será possível ver os logs de nível de depuração para a junção do AP.