簡介
本檔案介紹如何設定Catalyst 9800無線LAN控制器存取點(AP)驗證原則。
背景資訊
若要授權存取點(AP),需要使用9800無線LAN控制器的本機資料庫或外部遠端驗證撥入使用者服務(RADIUS)伺服器來授權AP的乙太網路MAC位址。
此功能可確保只有授權存取點(AP)才能加入Catalyst 9800無線LAN控制器。本文檔不介紹網狀(1500系列)AP的情況,這些接入點需要mac過濾器條目才能加入控制器,但不會跟蹤典型的AP授權流(請參閱參考資料)。
必要條件
需求
思科建議您瞭解以下主題:
- 9800 WLC
- 對無線控制器的命令列介面(CLI)訪問
採用元件
9800 WLC v16.12
AP 1810W
AP 1700
身分識別服務引擎(ISE)v2.2
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
網路圖表
組態
MAC AP授權清單 — 本地
授權的AP的MAC位址儲存在9800 WLC本機。
步驟 1.建立本地授權憑證下載方法清單。
導覽至Configuration > Security > AAA > AAA Method List > Authorization > + Add
步驟 2.啟用AP MAC授權。
導航至 Configuration > Security > AAA > AAA Advanced > AP Policy。 啟用根據MAC授權AP,並選擇步驟1中建立的Authorization Method List。
步驟 3.新增AP乙太網mac地址。
導航至 Configuration > Security > AAA > AAA Advanced > Device Authentication > MAC Address > + Add
注意:AP乙太網MAC地址必須是 在16.12版的Web UI(xx:xx:xx:xx:xx:xx(或)xxxx.xxxx.xxxx(或)xx-xx-xx-xx-xx)中輸入時,採用其中一種格式。在17.3版中,格式必須為xxxxxxxxxx,不能使用任何分隔符。在任何版本中,CLI格式始終為xxxxxxxxxxxx(在16.12中,Web UI刪除配置中的分隔符)。思科錯誤ID CSCvv43870允許在CLI或Web UI的較新版本中使用任何格式。
CLI:
# config t
# aaa new-model
# aaa authorization credential-download <AP-auth> local
# ap auth-list authorize-mac
# ap auth-list method-list <AP-auth>
# username <aaaabbbbcccc> mac
MAC AP授權清單 — 外部RADIUS伺服器
9800 WLC組態
授權的AP的MAC地址儲存在外部RADIUS伺服器(在本例中為ISE)上。
在ISE上,您可以將AP的MAC地址註冊為使用者名稱/密碼或終端。各個步驟中會指導您選擇使用其中一種方法。
GUI:
步驟 1.宣告RADIUS伺服器
導覽至Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add,然後輸入RADIUS伺服器資訊。
如果您未來計畫使用中央 Web 驗證(或任何需要 CoA 的安全性類型),請確認「CoA 支援」已啟用。
步驟 2.將RADIUS伺服器新增到RADIUS群組
導覽至Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add
要使ISE將AP MAC地址作為使用者名稱進行身份驗證,請將MAC過濾保留為無。
在終端將MAC過濾更改為MAC時讓ISE驗證AP MAC地址。
步驟 3.建立授權憑證下載方法清單。
導覽至Configuration > Security > AAA > AAA Method List > Authorization > + Add
步驟 4.啟用AP MAC授權。
導航至 Configuration > Security > AAA > AAA Advanced > AP Policy。 啟用根據MAC授權AP,並選擇步驟3中建立的Authorization Method List。
CLI:
# config t
# aaa new-model
# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit
# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit
# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>
# aaa authorization credential-download <AP-auth> group <radius-grp-name>
# ap auth-list authorize-mac
# ap auth-list method-list <AP-ISE-auth>
ISE配置
步驟 1.要將9800 WLC新增到ISE:
在ISE上宣告9800 WLC
選擇根據身份驗證使用所需步驟配置AP的MAC地址:
配置USE以將MAC地址作為終端進行身份驗證
將ISE配置為以使用者名稱/密碼身份驗證MAC地址
配置ISE以將MAC地址作為終端進行身份驗證
步驟2.(可選)為接入點建立身份組
因為9800不會傳送具有AP授權的NAS-port-Type屬性Cisco錯誤IDCSCvy74904 )中,ISE無法將AP授權識別為MAB工作流,因此,如果AP的MAC地址位於終端清單中,則無法對AP進行身份驗證,除非您將MAB工作流修改為不要求ISE上的NAS-PORT-type屬性。
導航到Administrator > Network device profile,然後建立新的裝置配置檔案。為有線MAB啟用RADIUS並新增service-type=call-check。您可以從思科原始配置檔案中複製其餘部分,其理念是對於有線MAB沒有「nas埠型別」條件。
返回9800的網路裝置條目,並將其配置檔案設定為新建立的裝置配置檔案。
導航到Administration > Identity Management > Groups > Endpoint Identity Groups > + Add。
選擇名稱,然後點選提交。
步驟 3.將AP乙太網MAC地址新增到其終端身份組。
導航至工作中心>網路訪問>身份>終端> +
輸入所需資訊。
步驟 4.驗證預設身份驗證規則上使用的身份儲存是否包含內部終結點。
A.導航到Policy > Authentication,並注意Identity store。
B.導航到管理>身份管理>身份源序列>身份名稱。
C.確保內部終結點屬於它,如果不是,則新增它。
將ISE配置為以使用者名稱/密碼身份驗證MAC地址
不建議使用此方法,因為它需要較低的密碼策略以允許與使用者名稱相同的密碼。
但是,如果無法修改網路裝置配置檔案,則此解決方案可以作為一種解決方法
步驟2.(可選)為接入點建立身份組
導航到Administration > Identity Management > Groups > User Identity Groups > + Add。
選擇名稱,然後點選提交。
步驟 3.驗證您當前的密碼策略是否允許您將mac地址新增為使用者名稱和密碼。
導航到Administration > Identity Management > Settings > User Authentication Settings > Password Policy,並確保至少禁用以下選項:
注意:如果密碼未更改,則還可以禁用在XX天后禁用使用者帳戶選項。由於這是mac地址,因此密碼從不更改。
步驟 4.新增AP乙太網mac地址。
導航到管理>身份管理>身份>使用者> +新增
輸入所需資訊。
註: Name 和Login Password欄位必須是AP的乙太網MAC地址,全部為小寫且無分隔符。
對AP進行身份驗證的授權策略
導覽至Policy > Authorization,如下圖所示。
插入新規則,如下圖所示。
首先,為規則選擇一個名稱,然後為儲存接入點的身份組(AccessPoints)選擇一個名稱。 如果您決定將MAC地址作為使用者名稱密碼進行身份驗證,請選擇User Identity Groups;如果您選擇將AP MAC地址作為端點進行身份驗證,請選擇Endpoint Identity Groups。
接著,選取讓授權程序符合此規則的其他條件。在本示例中,如果授權進程使用服務型別呼叫檢查,並且身份驗證請求來自IP地址10.88.173.52,則授權進程會命中此規則。
最後,選擇分配給符合該規則的客戶端的授權配置檔案,單擊Donee並儲存它,如下圖所示。
注意:已加入控制器的AP不會失去關聯。但是,如果在啟用授權清單後,這些控制器與控制器失去通訊並嘗試重新加入,則它們會執行驗證程式。如果沒有在本地或RADIUS伺服器中列出其MAC位址,則它們無法重新加入控制器。
驗證
驗證9800 WLC是否已啟用ap驗證清單
# show ap auth-list
Authorize APs against MAC : Disabled
Authorize APs against Serial Num : Enabled
Authorization Method List : <auth-list-name>
驗證radius設定:
# show run aaa
疑難排解
WLC 9800提供永遠線上的追蹤功能。這可確保持續記錄所有與AP連線相關的錯誤、警告和通知級別消息,並且您可在發生事件或故障情況後檢視其日誌。
註:生成的日誌數量從幾小時到幾天不等。
若要檢視9800 WLC在預設情況下蒐集的追蹤軌跡,您可以透過這些步驟,透過SSH/Telnet連線至9800 WLC(請確保將作業階段記錄到文字檔中)。
步驟 1.檢查控制器當前時間,這樣您就可以跟蹤問題發生時之前的日誌。
# show clock
步驟 2.根據系統配置的指示,從控制器緩衝區或外部系統日誌中收集系統日誌。如此可快速檢視系統健全狀況和錯誤(如有)。
# show logging
步驟 3.驗證是否已啟用任何調試條件。
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Trace Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
註:如果您看到列出了任何條件,則表示遇到啟用條件(mac地址、ip地址等)的所有進程的跟蹤將記錄到調試級別。如此可能會增加記錄量。因此,建議您在未主動偵錯時清除所有條件。
步驟 4.假設在步驟3中未將待測試的mac地址列為條件,收集特定無線電mac地址的always-on通知級別跟蹤。
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
您可顯示作業階段中的內容,或可將檔案複製到外部 TFTP 伺服器。
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
條件式偵錯和無線電主動式追蹤
如果全天候運作的追蹤未提供充足資訊,使您在調查之下無法判斷問題的觸發原因,則您可啟用條件式偵錯並擷取無線電主動式 (RA) 追蹤,如此可將偵錯層級追蹤提供給所有與指定條件(在此案例中為用戶端 MAC 位址)互動的所有程序。
步驟 5.確保未啟用調試條件。
# clear platform condition all
步驟 6.為要監控的無線客戶端mac地址啟用調試條件。
此指令會開始監控提供的 MAC 位址 30 分鐘(1800 秒)。您可選擇將此時間增加至 2085978494 秒。
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
附註:若要同時監控多個用戶端,請針對每個 MAC 位址執行 debug wireless mac <aaaa.bbbb.cccc> 指令。
附註:您沒有看到終端作業階段的用戶端活動輸出內容,因為每項內容皆在內部緩衝,稍後才可檢視。
步驟 7.重現您要監控的問題或行為。
步驟 8.如果在預設或配置的監控器時間開啟之前重現問題,則停止調試。
# no debug wireless mac <aaaa.bbbb.cccc>
當監控時間結束或偵錯無線停止後,9800 WLC 會產生本機檔案,名稱如下:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
步驟 9. 收集 MAC 位址活動的檔案。 您可將 ra_trace.log 複製到外部伺服器,或將輸出內容直接顯示於螢幕上。
檢查 RA 追蹤檔案的名稱
# dir bootflash: | inc ra_trace
將檔案複製到外部伺服器:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
顯示內容:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
步驟 10.如果根本原因仍不明顯,請收集內部日誌,這些日誌是調試級別日誌的更詳細檢視。您無需再次調試客戶端,因為我們只需進一步詳細檢視已收集並內部儲存的調試日誌。
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
注意:此命令輸出返回所有進程的所有日誌記錄級別的跟蹤,而且非常大。請聯絡 Cisco TAC 協助剖析此類追蹤。
您可將 ra-internal-FILENAME.txt 複製到外部伺服器,或將輸出內容直接顯示於螢幕上。
將檔案複製到外部伺服器:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
顯示內容:
# more bootflash:ra-internal-<FILENAME>.txt
步驟 11.移除偵錯條件。
# clear platform condition all
注意:請確保在故障排除會話後始終刪除調試條件。
參考資料
將網狀無線接入點連線到9800 WLC