在 Catalyst 9800 無線控制器系列上設定 802.1X 驗證

簡介

本文說明如何在Cisco Catalyst 9800系列無線控制器上設定具有802.1X安全性的WLAN。

必要條件

需求

思科建議您瞭解以下主題：

• 802.1X

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Catalyst 9800無線控制器系列(Catalyst 9800-CL)
• Cisco IOS® XE 17.12.5
• Cisco ISE 3.0

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

網路圖表

WLC組態

9800 WLC上的AAA組態

GUI:

步驟1.宣告RADIUS伺服器。導覽至 Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add並輸入RADIUS伺服器資訊。

如果您計畫將來使用中央Web驗證（或任何需要授權變更[CoA]的安全型別），請確保啟用CoA支援，並配置CoA伺服器金鑰。 

附註：Cisco 9800 WLC上的授權變更(CoA)伺服器金鑰是共用金鑰，用於驗證WLC和RADIUS伺服器之間的CoA要求。此金鑰必須與RADIUS伺服器上的CoA配置匹配，以確保成功通訊。請確保在所有裝置上安全一致地配置CoA伺服器金鑰，以防止CoA消息被拒絕。

步驟2.將RADIUS伺服器新增到RADIUS組。導航到 Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add. 為組指定名稱並移動您之前在清單中建立的伺服器 Assigned Servers.

步驟3.建立身份驗證方法清單。導航至 Configuration > Security > AAA > AAA Method List > Authentication > + Add.

輸入以下資訊： 

CLI:

# config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>

關於AAA失效伺服器檢測的註釋

設定RADIUS伺服器後，您就可以檢查它是否被認為是「ALIVE」：

#show aaa servers | s WNCD
     Platform State from WNCD (1) : current UP
     Platform State from WNCD (2) : current UP
     Platform State from WNCD (3) : current UP
     Platform State from WNCD (4) : current UP
     ...

您可以在dead criteria,WLC上設定deadtime和，尤其是使用多個RADIUS伺服器時。 

#radius-server dead-criteria time 5 tries 3
#radius-server deadtime 5

附註：是用dead criteria於將RADIUS伺服器標籤為dead的標準。它包括：1.超時（以秒為單位），表示從控制器上次從RADIUS伺服器收到有效封包時間到伺服器標籤為停用的時間之間必須經過的時間。2.計數器，表示RADIUS伺服器標籤為失效之前，控制器上必須發生的連續超時數。

附註：指deadtime，在死條件將其標籤為死後，伺服器保持死狀態的時間（以分鐘為單位）。一旦死區期滿，控制器會將伺服器標籤為UP(ALIVE)，並通知已註冊的客戶端狀態變化。如果在狀態標籤為UP後伺服器仍然無法訪問，並且滿足dead條件，則在死時間間隔內，伺服器將再次標籤為dead。

WLAN配置檔案配置

GUI:

步驟1.建立WLAN。導覽至Configuration > Tags&Profiles > WLANs > + Add，然後根據需要配置網路。

步驟 2. 輸入 WLAN 資訊

步驟 3a.導航到Security頁籤，然後選擇所需的安全方法。在本例中WPA2 + 802.1x。

3b. WPA2+WPA3混合模式的示例，

附註：Cisco 9800 WLC上的WPA2+WPA3混合模式實現了現代WPA3裝置和傳統WPA2裝置的無縫共存，儘可能確保相容性和增強的安全性。快速過渡(FT)在此場景中是可選的，啟用AKM FT+802.1x後成為強制性的。

步驟4.從標籤Security > AAA 中，從9800 WLC上的AAA配置部分選擇在步驟3上建立的身份驗證方法。

CLI:

# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# security dot1x authentication-list <dot1x-list-name>
# no shutdown

原則設定檔組態

在策略配置檔案中，您可以決定要將客戶端分配到哪個VLAN，以及其他設定（如訪問控制清單[ACL]、服務品質[QoS]、移動錨點、計時器等）。

您可以使用預設策略配置檔案，也可以建立新配置檔案。

GUI:

導覽至Configuration > Tags & Profiles > Policy Profile ，然後設定default-policy-profile 或建立一個新配置檔案。

確認設定檔已啟用。

此外，如果您的接入點(AP)處於本地模式，請確保策略配置檔案啟用了集中交換、集中身份驗證和集中DHCP。

在Access Policies頁籤中選擇需要分配客戶端的VLAN。

如果您計畫將ISE返回屬性置於類似於VLAN分配的Access-Accept中，請在頁籤中啟用AAA覆Advanced寫：

CLI:

# config
# wireless profile policy <policy-profile-name>
# aaa-override
# central switching
# description "<description>"
# vlan <vlanID-or-VLAN_name>
# no shutdown

原則標籤組態

策略標籤用於將SSID與策略配置檔案連結。您可以建立新的原則標籤，或使用 default-policy-tag。

GUI:

如果需要，Configugation > Tags & Profiles > Tags > Policy 請導航到並新增新資料夾。

將 WLAN 設定檔連結至想要的原則設定檔。

CLI:

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

原則標籤指定

指派原則標籤至需要的 AP。

GUI:

要將標籤分配給一個AP，請導航以分配Configuration > Wireless > Access Points > AP Name > General Tags,相關的策略標籤，然後按一下 Update & Apply to Device.

附註：請注意，當AP上的策略標籤發生更改時，它會將其與9800 WLC的關聯捨棄，並在幾分鐘後重新連線。

要將相同的策略標籤分配給多個AP，請導航至 Configuration > Wireless Setup > Advanced > Start Now > Apply.

選擇要為其分配標籤的AP，然後按一下 + Tag APs

選擇適用於策略、站點和RF的標籤，然後點選Save & Apply to Device

CLI:

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

ISE 組態

宣告ISE上的WLC

步驟1.開啟ISE控制檯並導航至Administration > Network Resources > Network Devices > Add如下圖所示。

步驟2.配置網路裝置。

或者，它可以是指定的型號名稱、軟體版本、說明，並根據裝置型別、位置或WLC分配網路裝置組。

這裡的IP位址對應傳送驗證要求的WLC介面。預設情況下為管理介面，如下圖所示：

有關複習章節的詳細資訊 Network Device Groups:從《思科身份服務引擎管理員指南》(Cisco Identity Services Engine Administrator Guide)管理網路裝置：網路裝置組

在 ISE 上建立新使用者

步驟1.導 Administration > Identity Management > Identities > Users > Add 航至如下圖所示：

步驟2.輸入使用者資訊。在此示例中，此使用者屬於名為ALL_ACCOUNTS的組，但可以根據需要對其進行調整，如下圖所示：

建立授權設定檔

由Authorization Profile匹配條件時返回的一組屬性組成。授權配置檔案確定客戶端是否有權訪問網路、推送訪問控制清單(ACL)、VLAN覆蓋或任何其他引數。本示例中顯示的授權配置檔案傳送客戶端的訪問接受並將客戶端分配給VLAN 1416。

步驟1.導航至Policy > Policy Elements > Results > Authorization > Authorization Profiles 並點選按Add鈕。

步驟 2. 輸入值（如影像所示）。在此我們可以返回AAA覆蓋屬性，例如VLAN。WLC 9800接受使用VLAN ID或名稱的通道屬性64、65、81，並且也接受該屬性的使AirSpace-Interface-Name用。

創建策略集

策略集定義身份驗證和授權規則的集合。要建立一個，請轉到，Policy > Policy Sets按一下清單中第一個策略集的齒輪，然後選擇Insert new row above如下圖所示：

為此策略集配置名稱並建立條件。在本範例中，條件指定我們與來自WLC的流量相符：

Radius:NAS-IP-Address EQUALS X.X.X.X     // X.X.X.X is the WLC IP address

確保在Default Network Access中選擇了Allowed Protocols / Server Sequence。 

建立身份驗證策略

要配置身份驗證和授權策略，需要輸入策略集配置。如果按一下以下行右側的藍色箭頭，可以執行此操Policy Set作：

驗證策略用於驗證使用者憑證是否正確（驗證使用者是否真正是其所言者）。 在「Authenticaton Policy,Create an Authentication Policy（建立身份驗證策略）」下，按照如下圖所示進行配置。本示例中使用的策略條件為：

RADIUS:Called-Station-ID ENDS_WITH    //  is the SSID of your WLAN

此外，選擇此身份驗證策略頁籤下的Internal UsersUse。 

建立授權策略

在同一頁面上，轉到Authorization Policy ，並建立一個新頁面。此授權策略的條件為：

RADIUS:Called-Station-ID ENDS_WITH    //  is the SSID of your WLAN

在此策Result > Profiles略的頁籤下，選擇您之前創Authorization Profile建的專案。這麼做會導致ISE將正確的屬性傳送到WLC（如果使用者通過驗證）。

此時，WLC和ISE的所有配置都已完成，您現在可以嘗試連線到客戶端。

有關ISE允許協定策略的詳細資訊，請查閱一章：從《思科身份服務引擎管理員指南管理身份驗證策略》管理身份驗證策略

有關ISE身份源的詳細資訊，請查閱一章：從《Cisco Identity Services Engine管理員指南：身份源》管理使用者和外部身份源

驗證

您可以使用以下命令驗證目前的組態：

# show run wlan // WLAN configuration
# show run aaa // AAA configuration (server, server group, methods)
# show aaa servers // Configured AAA servers
# show ap config general // AP's configurations 
# show ap name <ap-name> config general // Detailed configuration of specific AP
# show ap tag summary // Tag information for AP'S
# show wlan { summary | id | name | all } // WLAN details
# show wireless tag policy detailed <policy-tag name> // Detailed information on given policy tag
# show wireless profile policy detailed <policy-profile name>// Detailed information on given policy profile

疑難排解

附註：外部負載均衡器的使用效果良好。但是，請確保負載平衡器使用calling-station-id RADIUS屬性基於每個客戶端運行。依賴UDP來源連線埠不是用於平衡9800的RADIUS要求的支援機制。

WLC上的疑難排解

WLC 9800提供永遠線上的追蹤功能。這可確保所有與客戶端連線相關的錯誤、警告和通知級別消息均持續記錄，並且您可以在發生事故或故障情況後檢視其日誌。 

這取決於生成的日誌量，但通常，您可以返回幾小時到幾天。

若要檢視9800 WLC在預設情況下蒐集的追蹤，可以透過SSH/Telnet連線到9800 WLC並執行下列步驟：（確保將會話記錄到文本檔案）。

步驟1.檢查WLC的目前時間，以便您可以追蹤問題發生時的記錄時間。

# show clock

 步驟2.根據系統設定的要求，從WLC緩衝區或外部系統日誌收集系統日誌。如此可快速檢視系統健全狀況和錯誤（如有）。

# show logging

步驟 3. 確認所有偵錯條件是否已啟用。

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

附註：如果您看到列出任何條件，就表示遇到啟用條件（mac位址、ip位址等）的所有進程的追蹤都會記錄到偵錯層級。 這將增加日誌量。因此，建議在不主動調試時清除所有條件。

步驟4.假設測試的mac地址未作為步驟3中的條件列出，請收集特定mac地址的always-on通知級別跟蹤：

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

您可以顯示作業階段上的內容，也可以將檔案複製到外部TFTP伺服器：

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

條件式偵錯和無線電主動式追蹤 

如果永遠線上(always-on)跟蹤未為您提供足夠的資訊來確定所調查問題的觸發因素，則可以啟用條件調試並捕獲無線活動(RA)跟蹤，該跟蹤為與指定條件（本例中為客戶端mac地址）互動的所有進程提供調試級別跟蹤。 您可以通過GUI或CLI執行此操作。

CLI: 

要啟用條件調試，請執行以下步驟：

步驟5.確保未啟用調試條件。

# clear platform condition all

步驟 6. 針對您想要監控的無線用戶端 MAC 位址啟用偵錯條件。

此命令開始監控提供的mac地址達30分鐘（1800秒）。 您可以選擇將此時間增加至2085978494秒。

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

附註：若要同時監控多個用戶端，請針對每個 MAC 位址執行 debug wireless mac <aaaa.bbbb.cccc> 指令。

注意:您不會在終端會話上看到客戶端活動的輸出，因為所有內容都在內部緩衝，供以後檢視。

步驟 7. 重現您想要監控的問題或行為。

步驟8.如果在預設或配置的監控器時間過期之前重現問題，則停止調試。

# no debug wireless mac <aaaa.bbbb.cccc>

當監控時間結束或偵錯無線停止後，9800 WLC 會產生本機檔案，名稱如下：

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

步驟9.收集mac地址活動的檔案。  可以將ra trace.log複製到外部伺服器，也可以直接在螢幕上顯示輸出。

檢查 RA 追蹤檔案的名稱:

# dir bootflash: | inc ra_trace

將檔案複製到外部伺服器：

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

 顯示內容：

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

步驟10.如果根本原因仍不明顯，請收集內部日誌，這是調試級別日誌的更詳細檢視。您無需再次調試客戶端，因為我們將更詳細地檢視已收集並在內部儲存的調試日誌。

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

附註：此命令輸出返回所有進程的所有日誌級別的跟蹤，而且非常大。請聯絡 Cisco TAC 協助剖析此類追蹤。

您可將 ra-internal-FILENAME.txt 複製到外部伺服器，或將輸出內容直接顯示於螢幕上。

將檔案複製到外部伺服器：

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

顯示內容：

# more bootflash:ra-internal-<FILENAME>.txt

 步驟 11. 移除偵錯條件。

# clear platform condition all

附註：請確保在排解作業階段進行疑難排解後總是移除偵錯條件。

GUI: 

步驟1.轉Troubleshooting > Radioactive Trace > + Add 至並指定要進行故障排除的客戶端的MAC/IP地址。

步驟2.按一下「Start」。

步驟3.重現問題。

步驟4.按一下「Stop」。

步驟5.按一下Generate該按鈕，選擇要獲取日誌的時間間隔，然後按一下 Apply to Device. In this example, the logs for the last 10 minutes are requested.

步驟6.在電腦上下載放射性跟蹤，然後按一下下載按鈕並對其進行檢查。

在ISE上進行故障排除

如果您遇到客戶端身份驗證問題，您可以驗證ISE伺服器上的日誌。轉到Operations > RADIUS > Live Logs，您會看到身份驗證請求清單、匹配的策略集、每個請求的結果等。如果按一下每行頁籤下的放大鏡，Details可以獲得更多詳細資訊，如下圖所示：