在Catalyst 9800上設定WLAN錨點行動功能

簡介

本文說明如何使用Catalyst 9800無線控制器在外部/錨點方案上設定無線區域網路(WLAN)。

必要條件

需求

思科建議您瞭解以下主題：

• 對無線控制器的命令列介面(CLI)或圖形使用者介面(GUI)訪問
• 思科無線LAN控制器(WLC)上的行動化
• 9800無線控制器
• AireOS WLC

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• AireOS WLC版本8.8 MR2(您還可以使用版本間控制器移動(IRCM)特殊8.5映像)
  
• 9800 WLC v16.10或更高版本
• 9800 WLC組態型號

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

此功能通常用於Guest訪問方案，用於將來自客戶端的所有流量終止到單個L3出口點，即使客戶端來自不同的控制器和物理位置也是如此。 移動隧道提供了一種機制，使流量在穿越網路時保持隔離。

9800 WLC之間的外部/錨點案例

此案例說明使用的是兩部Catalyst 9800。

網路圖表：兩個Catalyst 9800 WLC

對於行動化訪客案例，有兩個主要控制器角色：

• 外部控制器：此WLC擁有第2層或無線端。它有接入點。錨點WLAN的所有使用者端流量都會封裝到行動通道中，以傳送至錨點。它不會在本地退出。
• 錨點控制器：這是第3層出口點。它接收來自外部控制器的行動通道，並對進入出口點(VLAN)的客戶端流量解除封裝或終止。這是網路中可見客戶端的點，因此是錨點名稱。

外部WLC上的接入點廣播WLAN SSID，並分配了將WLAN配置檔案與相應策略配置檔案連結起來的策略標籤。當無線客戶端連線到此SSID時，外部控制器將兩者都作為客戶端資訊的一部分將SSID名稱和策略配置檔案傳送到錨點WLC。收到錨點WLC後，會檢查其自己的配置，以匹配SSID名稱以及策略配置檔名稱。錨點WLC找到相符專案後，會將與其對應的組態和退出點套用到無線使用者端。因此，除了策略配置檔案下的VLAN外，外來9800 WLC和錨點9800 WLC上的WLAN和策略配置檔名稱和配置必須匹配。

注意:9800錨點和9800外部WLC上的WLAN配置檔案和策略配置檔名稱都可以匹配。

使用9800錨點設定9800外部

步驟1. 在外部9800 WLC和錨點9800 WLC之間建立行動通道。

請參閱以下檔案：在Catalyst 9800上設定行動化拓撲

步驟2.在兩台9800 WLC上建立所需的SSID。

支援的安全方法：

• 未解決
• MAC過濾器
• PSK
• Dot1x
• 本地/外部Web驗證(LWA)
• 中央Web驗證(CWA)
  
  

註：兩個9800 WLC必須具有相同型別的配置，否則錨點無法使用。

步驟3.登入到外部9800 WLC並在策略配置檔案下定義錨點9800 WLC IP地址。

導航至  Configuration > Tags & Profiles > Policy > + Add.

在  Mobility 頁籤，選擇錨點9800 WLC的IP地址。

步驟4.將策略配置檔案與分配給與此WLAN服務的外部控制器相關聯的AP的策略標籤內的WLAN連結。

導航至  Configuration > Tags & Profiles > Tags  然後建立一個新的或者使用現存的一個。

確保您選擇  Update & Apply to Device  將更改應用到策略標籤。

步驟 5.（選用）將策略標籤分配給AP或驗證它是否已經擁有該標籤。

導航至  Configuration > Wireless > Access Points > AP name > General.

附註： 請注意，如果您在選擇後對AP標籤執行更改，  Update & Apply to Device中，AP重新啟動其通道CAPWAP，因此它與9800 WLC失去關聯然後恢復它。

在CLI上：

Foreign 9800 WLC

# config t
# wireless profile policy anchor-policy
# mobility anchor 10.88.173.105 priority 3
# no shutdown
# exit

# wireless tag policy PT1
# wlan anchor-ssid policy anchor-policy
# exit

# ap aaaa.bbbb.dddd
# site-tag PT1
# exit

步驟6.登入到錨點9800 WLC並建立錨點原則設定檔。確保其與您在外部9800 WLC上使用的名稱完全相同。

導航至  Configuration > Tags & Profiles > Policy > + Add. 

導航至  Mobility  頁籤並啟用  Export Anchor.這指示9800 WLC它是使用該原則設定檔的任何WLAN的錨點9800 WLC。當外部9800 WLC將使用者端傳送到錨點9800 WLC時，它會通知有關使用者端所指派的WLAN和原則設定檔，因此錨點9800 WLC知道使用哪個本地原則設定檔。

註：不能同時配置移動對等體和匯出錨點。這是無效的配置方案。

注意：對於與具有接入點的控制器上的WLAN配置檔案關聯的任何策略配置檔案，不得使用「匯出錨點」設定。這將阻止廣播SSID，因此此策略必須專門用於錨點功能。

在CLI上：

Anchor 9800 WLC

# config t
# wireless profile policy <anchor-policy>
# mobility anchor
# vlan <VLAN-id_VLAN-name>
# no shutdown
# exit

外部9800 WLC — 錨點AireOS

此設定描述以下情況：將Catalyst 9800 WLC用作外部，將AireOS Unified WLC用作錨點。

Catalyst 9800外部 — AireOS錨點網路圖

使用AireOS錨點配置9800外部

步驟1. 在外部9800 WLC和錨點AireOS WLC之間建立行動通道。

請參閱本檔案：在Catalyst 9800上設定行動化拓撲

步驟2.在兩個WLC上建立所需的WLAN。

支援的安全方法：

• 未解決
• MAC過濾器
• PSK
• Dot1x
• 本地/外部Web驗證(LWA)
• 中央Web驗證(CWA)
  
  

註:AireOS WLC和9800 WLC必須具有相同的配置型別，否則錨點無法正常工作。

步驟3.登入9800 WLC（作為外部使用）並建立錨點原則設定檔。

導航至 Configuration > Tags & Profiles > Policy > + Add .

導航至  Mobility  頁籤，然後選擇錨點AireOS WLC。9800 WLC將與此原則設定檔關聯的SSID流量轉送到選定的錨點。

步驟4.將策略配置檔案與分配給與此WLAN服務的外部控制器相關聯的AP的策略標籤內的WLAN連結。

導航至  Configuration > Tags & Profiles > Tags  然後建立一個新的或者使用現存的一個。

確保您選擇 Update & Apply to Device  將更改應用到策略標籤。

步驟 5.（選用）將站點分配給AP或驗證它是否已經擁有該站點。

導航至  Configuration > Wireless > Access Points > AP name > General.

註：請注意，如果您在選擇後對AP標籤執行更改，  Update & Apply to Device中，AP重新啟動其通道CAPWAP，因此它與9800 WLC失去關聯然後恢復它。

在CLI上：

# config t
# wireless profile policy anchor-policy
# mobility anchor 10.88.173.105 priority 3
# no shutdown
# exit

# wireless tag policy PT1
# wlan anchor-ssid policy anchor-policy
# exit

# ap aaaa.bbbb.dddd
# site-tag PT1
# exit

步驟6.將AireOS WLC配置為錨點。

登入到AireOS並導航至  WLANs > WLANs.選擇WLAN行右端的箭頭以導航至下拉選單並選擇  Mobility Anchors.

將其設定為本地錨點。

在CLI上：

> config wlan disable <wlan-id>
> config wlan mobility anchor add <wlan-id> <AireOS-WLC's-mgmt-interface>
> config wlan enable <wlan-id>  

外部AireOS — 錨點9800 WLC

帶9800錨點網路圖的AireOS Foreign

使用AireOS錨點配置9800外部

步驟1. 在外部9800 WLC和錨點AireOS WLC之間建立行動通道。

請參閱以下檔案：在Catalyst 9800上設定行動化拓撲

步驟2.在兩台WLC上建立所需的SSID。

支援的安全方法：

• 未解決
• MAC過濾器
• PSK
• Dot1x
• 本地/外部Web驗證(LWA)
• 中央Web驗證(CWA)

註:AireOS WLC和9800 WLC必須具有相同的配置型別，否則錨點無法正常工作。

步驟3.登入9800 WLC（充當錨點）並建立錨點原則設定檔。

導航至  Configuration > Tags & Profiles > Policy > + Add.請確保9800上的策略配置檔案的名稱與AireOS WLC上的配置檔名稱完全相同，否則，該名稱不起作用。

導航至  Mobility  頁籤並啟用  Export Anchor.這指示9800 WLC它是使用該原則設定檔的任何WLAN的錨點9800 WLC。當外部AireOS WLC將使用者端傳送到錨點9800 WLC時，它會通知有關使用者端所指派的WLAN名稱的資訊，因此錨點9800 WLC知道要使用的本地WLAN組態，並且它也會使用此名稱來知道要使用的本地原則設定檔。

注意：請確保專門使用此策略配置檔案來接收來自外部控制器的流量。

在CLI上：

Anchor 9800 WLC

# config t
# wireless profile policy <anchor-policy>
# mobility anchor
# vlan <VLAN-id_VLAN-name>
# no shutdown
# exit

步驟4.將AireOS WLC配置為外部。

登入到AireOS並導航至  WLANs > WLANs導航到WLAN行末尾的箭頭並選擇  Mobility Anchors .

將9800 WLC設定為此SSID的錨點。

在CLI上：

> config wlan disable <wlan-id>
> config wlan mobility anchor add <wlan-id> <9800 WLC's-mgmt-interface>
> config wlan enable <wlan-id>

  

驗證

可以使用這些命令來檢驗使用外部/錨點SSID的無線客戶端的配置和狀態。 

在9800 WLC上驗證

# show run wlan 
# show wlan summary
# show wireless client summary
# show wireless mobility summary
# show ap tag summary
# show ap <ap-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

在AireOS WLC上驗證

> show client summary
> show client detail <client-mac-addr>
> show wlan summary
> show wlan <wlan-id>

疑難排解

WLC 9800 提供永不間斷的追蹤功能。這可確保所有與客戶端連線相關的錯誤、警告和通知級別消息均被持續記錄，並且您可在事件或故障條件發生後檢視事件。

注意：根據生成的日誌量，您可以將時間從幾小時縮短到幾天。

若要檢視9800 WLC在預設情況下蒐集的追蹤，可以透過SSH/Telnet連線至9800 WLC，並參考以下步驟。（確保您將會話記錄到文本檔案）

步驟1.檢查控制器的當前時間，以便可以跟蹤問題發生時的記錄。

# show clock

步驟2.根據系統配置的指示，從控制器緩衝區或外部系統日誌中收集系統日誌。這樣可以快速檢視系統運行狀況和錯誤（如果有）。

# show logging

步驟3.收集特定MAC或IP地址的「永遠線上」通知級別跟蹤。如果懷疑移動隧道有問題，或者無線客戶端MAC地址，遠端移動對等裝置可以過濾此資訊。

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

步驟4.您可顯示作業階段中的內容，或可將檔案複製到外部 TFTP 伺服器。

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

條件式偵錯和無線電主動式追蹤

如果永遠線上(always-on)跟蹤未為您提供足夠的資訊來確定所調查問題的觸發因素，則可以啟用條件調試並捕獲無線活動(RA)跟蹤，該跟蹤為與指定條件（本例中為客戶端mac地址）互動的所有進程提供調試級別跟蹤。要啟用條件調試，請參閱以下步驟。

步驟5.確保未啟用調試條件。

# clear platform condition all

步驟6.為要監控的無線客戶端mac地址啟用調試條件。

以下命令會開始監控提供的 MAC 位址 30 分鐘（1800 秒）。您可選擇將此時間增加至 2085978494 秒。

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

  

注意:若要一次監控多個使用者端，請對每個mac位址執行debug wireless mac <aaaa.bbb.cccc>命令。

注意:您看不到終端會話上客戶端活動的輸出，因為所有內容都在內部緩衝，供以後檢視。

步驟7.重現您要監控的問題或行為。

步驟8.如果在預設或配置的監控器時間開啟之前重現問題，則停止調試。

# no debug wireless mac <aaaa.bbbb.cccc>

監控時間過後或偵錯無線功能停止後，9800 WLC會產生具有以下名稱的本地檔案：  ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

步驟9. 收集 MAC 位址活動的檔案。   您可以複製RA跟蹤  .log 或直接在螢幕上顯示輸出。

檢查RA跟蹤檔案的名稱：

# dir bootflash: | inc ra_trace

將檔案複製到外部伺服器：

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

顯示內容：

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

步驟10.如果根本原因仍不明顯，請收集內部日誌，這些日誌是調試級別日誌的更詳細檢視。不需要再次調試客戶端，因為日誌已寫入控制器記憶體中，並且您只需要填充更詳細的日誌檢視。

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

注意：此命令輸出返回所有進程的所有日誌記錄級別的跟蹤，而且非常大。聯絡Cisco TAC以幫助分析這些跟蹤。

您可以複製  ra-internal-FILENAME.txt 或直接在螢幕上顯示輸出。

將檔案複製到外部伺服器：

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

顯示內容：

# more bootflash:ra-internal-<FILENAME>.txt

步驟11.移除偵錯條件。

  

# clear platform condition all

注意：請確保在故障排除會話後始終刪除調試條件。

驗證AireOS WLC

您可以運行此命令來監控AireOS WLC上無線客戶端的活動。

> debug client <client-mac-add>