简介
本文档介绍如何将网状无线接入点(AP)连接到Catalyst 9800无线LAN控制器(WLC)的基本配置示例
先决条件
要求
Cisco 建议您了解以下主题:
- Catalyst无线9800配置型号
- LAP的配置
- 无线接入点的控制和提供(CAPWAP)
- 配置外部DHCP服务器
- 思科交换机的配置
使用的组件
本示例使用轻量接入点(1572AP和1542),可以将其配置为根AP(RAP)或网状AP(MAP)以加入Catalyst 9800 WLC。1542或1562接入点的操作步骤相同。RAP通过Cisco Catalyst交换机连接到Catalyst 9800 WLC。
本文档中的信息基于以下软件和硬件版本:
- C9800-CL v16.12.1
- Cisco 第 2 层交换机
- Cisco Aironet 1572系列轻型室外网桥接入点部分
- 适用于Flex+Bridge部分的Cisco Aironet 1542
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
案例研究1:网桥模式
配置
网状无线接入点需要经过身份验证才能加入9800控制器。本案例研究认为,您首先以本地模式将AP连接到WLC,然后将其转换为网桥(a.k.a)网状模式。
要避免分配AP加入配置文件,请使用此示例,但配置默认aaa authorization credential-download方法,以便允许任何网状AP加入控制器。
第1步:在Device Authentication下配置RAP/MAP mac地址。
转至Configuration > AAA > AAA Advanced > Device Authentication。
添加MAP的基本以太网MAC地址,添加时不带任何特殊字符,不带“。”或“:”
重要信息:自17.3.1版本起,如果添加了“。”、“:”或“ — ”等任何mac地址分隔符,则AP无法加入。目前为此打开了2个增强功能:Cisco Bug ID CSCvv43870和Cisco Bug ID CSCvr07920。将来,9800会接受所有mac地址格式。
第2步:配置身份验证和授权方法列表。
转至Configuration > Security > AAA > AAA Method list > Authentication,然后创建身份验证方法列表和授权方法列表。
第3步:配置全局网状网参数。
转到Configuration> Mesh> Global参数。最初,我们可以将这些值保留为默认值。
第4步:在Configuration > Mesh > Profile > +Add下创建新的网状配置文件
单击已创建的网格剖面,编辑网格剖面的常规和高级设置。
如图所示,我们需要将之前创建的身份验证和授权配置文件映射到Mesh配置文件
第5步:创建新的AP加入配置文件。转至Configure > Tags and Profiles: AP Join。
应用之前配置的网状配置文件并配置AP EAP身份验证:
第6步:如图所示创建网格位置标签。
配置单击第6步中创建的Mesh location TAG对其进行配置。
转至Site选项卡,并将之前配置的Mesh AP加入配置文件应用到Site选项卡:
步骤 7.将AP转换为网桥模式。
通过CLI,您可以在AP上发出此命令:
capwap ap mode bridge
AP重新启动后作为网桥模式重新加入。
步骤 8现在您可以定义AP的角色:根AP或网状AP。
当网状AP通过其尝试连接到根AP的无线电加入WLC时,根AP是与WLC具有有线连接的网络。
当网状AP无法通过其无线电找到根AP以进行调配时,可以通过其有线接口加入WLC。
请勿忘记在AP设置中指定TRUNK本征VLAN,以防它与默认VLAN 1不同
验证
aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
method authentication Mesh_Authentication
method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site Mesh_AP_Tag
ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile Mesh_Profile
故障排除
在Troubleshoot > Radiative Trace Web UI页中,单击add,然后输入AP mac地址。
单击Start并等待AP再次尝试加入控制器。
完成后,单击Generate并选择收集日志的时间段(例如最近10或30分钟)。
单击Trace file name(跟踪文件名)从浏览器下载。
以下是AP未加入的示例,因为定义的aaa授权方法名称错误:
019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac
点击未加入的AP时,在Web UI控制面板中更容易看到相同内容。“Ap auth pending”是指向AP自身身份验证的提示:
案例研究2:Flex +网桥
本部分重点介绍1542 AP在Flex+网桥模式下与EAP身份验证在WLC上本地完成的加入过程。
配置
- 步骤1:导航到配置 > 安全 > AAA > AAA高级 > 设备身份验证
- 第二步:选择Device Authentication,然后选择Add
- 第三步:键入要加入WLC的AP的基本以太网MAC地址,将Attribute List Name留空,然后选择Apply to Device
- 第四步:导航到Configuration > Security > AAA > AAA Method List > Authentication
- 第五步:选择Add,系统将显示AAA Authentication弹出窗口
- 第六步:在Method List Name中键入名称,从Type*下拉列表中选择802.1x,并为Group Type选择local,最后选择Apply to Device
- 步骤6b.如果您的AP直接以网桥模式加入,并且之前没有分配站点和策略标签,请重复步骤6,但使用默认方法。
- 配置指向本地的dot1x aaa身份验证方法(CLI aaa authentication dot1x default local)
- 步骤 7.导航到Configuration > Security > AAA > AAA Method List > Authorization
- 步骤 8选择Add,系统将显示AAA Authorization弹出窗口
- 步骤 9在Method List Name中键入名称,从Type*下拉菜单中选择credential download,并为Group Type选择local,最后选择Apply to Device
- 步骤9b.如果AP直接在网桥模式下加入(即它不会首先在本地模式下加入),请对默认凭证下载方法(CLI aaa authorization credential-download default local)重复步骤9
- 步骤 10导航到配置 > 无线 > 网状 > 配置文件
- 步骤 11选择Add,系统将显示Add Mesh Profile弹出窗口
- 步骤 12在General选项卡中,设置网状配置文件的名称和说明
- 步骤 13在Advanced选项卡下,为Method字段选择EAP
- 步骤 14选择Authorization和Authentication配置文件(在步骤6和9中定义),然后选择Apply to Device
- 步骤 15导航到配置 > 标记和配置文件 > AP加入 > 配置文件
- 步骤 16选择Add,系统将显示AP Join Profile弹出窗口,为AP Join配置文件设置名称和说明
- 步骤 17导航到AP选项卡,从Mesh Profile Name下拉列表选择在步骤12中创建的Mesh Profile
- 步骤 18.确保分别为EAP Type和AP Authorization Type字段设置EAP-FAST和CAPWAP DTLS
- 斯蒂奥19。选择应用到设备
- 步骤 20.导航到配置 > 标记和配置文件 > 标记 >站点
- 步骤 21.选择Add,系统将显示Site Tag弹出窗口
- 步骤 22.输入站点标签的名称和说明
- 步骤 23.从AP Join Profile下拉列表选择在步骤16中创建的AP加入配置文件
- 步骤 24在Site Tag弹出窗口的底部,取消选中Enable Local Site复选框以启用Flex Profile下拉列表。
- 步骤 35从Flex Profile下拉列表选择要用于AP的Flex Profile
- 步骤 36将AP连接到网络并确保AP处于本地模式。
- 步骤 37要确保AP处于本地模式,请发出命令capwap ap ap mode local。
AP必须找到控制器,可以是L2广播、DHCP选项43、DNS解析或手动设置。
- 步骤 38AP加入WLC,确保它列在AP列表下,导航到Configuration > Wireless > Access Points > All Access Points
- 步骤 39选择AP,系统将显示AP弹出窗口。
- 步骤 40在AP弹出窗口中的General > Tags > Site选项卡下,选择Update and Apply to Device,在步骤22中创建的Site Tag
- 步骤 41AP重新启动并且必须以Flex +网桥模式连接回WLC
请注意,此方法首先在本地模式(不执行dot1x身份验证)下加入AP,以应用带网状配置文件的站点标记,然后将AP切换到网桥模式。
要加入滞留在网桥(或Flex+Bridge)模式中的AP,请配置默认方法(aaa authentication dot1x default local和aaa authorization cred default local)。
然后,AP能够进行身份验证,您随后可以分配标签。
验证
确保AP模式显示为Flex + Bridge,如下图所示。
从WLC 9800 CLI运行这些命令并查找AP模式属性。它必须列为Flex+Bridge
aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site meshsite
ap-profile meshapjoin
no local-site
ap profile meshapjoin
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile mesh-profile
故障排除
确保存在aaa authentication dot1x default local和aaa authorization cred default local命令。如果您的AP未在本地模式下预先加入,则需要这些设置。
9800主控制面板有一个显示无法加入的AP的构件。点击它可获取无法加入的AP列表:
单击特定AP以查看未加入的原因。在本例中,我们看到身份验证问题(AP身份验证挂起),因为站点标记未分配到AP。
因此,9800未选择命名身份验证/授权方法对AP进行身份验证:
有关更高级的故障排除,请转到Web UI上的Troubleshooting > Radiative Trace页。
如果输入AP MAC地址,您可以立即生成文件来获取尝试加入的AP的永远在线日志(在通知级别)。
单击Start以启用该MAC地址的高级调试。下次生成日志时,将会显示AP加入的调试级别日志。