簡介
本文件說明如何使用 Cisco Catalyst 9800 WLC 的 MAC 驗證安全性設定無線區域網路 (WLAN)。
必要條件
需求
思科建議您瞭解以下主題:
- MAC 地址
- Cisco Catalyst 9800 系列無線控制器
- 身分識別服務引擎 (ISE)
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco IOS® XE 直布羅陀 v16.12 版
- ISE v2.2
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
網路圖表
9800 WLC 的 AAA 組態
透過外部伺服器驗證用戶端
GUI:
已閱讀9800系列WLC上AAA配置一節的步驟1-3。
步驟 4.建立授權網路方法。
導覽至Configuration > Security > AAA > AAA Method List > Authorization > + Add 並建立。
CLI:
# config t
# aaa new-model
# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit
# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit
# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>
# aaa authorization network <AuthZ-method-name> group <radius-grp-name>
在本機驗證用戶端
建立本機授權網路方法.
導覽至Configuration > Security > AAA > AAA Method List > Authorization > + Add 並建立。
CLI:
# config t
# aaa new-model
# aaa authorization network AuthZ-local local
WLAN配置
GUI:
步驟 1.建立WLAN。
導覽至Configuration > Wireless > WLANs > + Add 並根據需要設定網路。
步驟 2.輸入WLAN資訊。
步驟 3.導航到選項Security 卡並禁用Layer 2 Security Mode 和啟用MAC Filtering。從Authorization List,選擇在上一步中建立的授權方法。然後按一下Save & Apply to Device。
CLI:
# config t # wlan <profile-name> <wlan-id> <ssid-name> # mac-filtering <authZ-network-method>
# no security wpa akm dot1x
# no security wpa wpa2 ciphers aes
# no shutdown
原則設定檔組態
必須在策略配置檔案中啟用aaa-override,以確保每個SSID的mac過濾工作正常。
9800 WLC 的原則設定檔組態
原則標籤組態
9800 WLC 的原則標籤
原則標籤指定
9800 WLC 的原則標籤指定
註冊允許的MAC地址。
在本機的 WLC 上註冊 MAC 位址,以進行本機驗證
導航至Configuration > Security > AAA > AAA Advanced > AP Authentication > + Add。
以所有小寫寫出mac地址,不帶分隔符,然後按一下Save & Apply to Device。
注意:在17.3之前的版本中,Web使用者介面(UI)更改了您鍵入的任何MAC格式,使其變為圖中所示的無分隔符格式。在17.3及更高版本中,Web UI尊重您輸入的任何設計,因此,不輸入任何分隔符至關重要。增強功能錯誤Cisco錯誤ID CSCvv43870會追蹤是否支援幾種格式進行MAC驗證。
CLI:
# config t # username <aabbccddeeff> mac
在ISE終端資料庫上輸入MAC地址
步驟 1. (選用)建立新的端點群組。
導航至Work Centers > Network Access > Id Groups > Endpoint Identity Groups > + Add。
步驟 2.導航至Work Centers > Network Access > Identities > Endpoints > +Add。
ISE 組態
將 9800 WLC 新增至 ISE.
閱讀此連結中的說明:向ISE宣告WLC。
建立驗證規則
驗證規則可用於驗證使用者的認證是否正確(驗證使用者的真實身分正確無誤),並限制其所允許使用的驗證方法。
步驟 1.導覽至Policy > Authentication,如下圖所示。
確認ISE上存在預設MAB規則。
步驟 2.驗證MAB的預設身份驗證規則已存在:
如果沒有,則可以在按一下時新增新的Insert new row above。
授權規則建立
授權規則為負責決定哪個權限(哪個授權設定檔)結果套用至用戶端的項目。
步驟 1.導覽至Policy > Authorization,如下圖所示。
步驟 2.插入新規則,如下圖所示。
步驟 3.輸入值。
首先,選擇規則的名稱以及儲存端點的身份組(MACaddressgroup),如下圖所示。
然後,選擇執行授權流程的其他條件以屬於此規則。在本示例中,如果授權進程使用無線MAB,並且其被叫站ID(SSID的名稱)以如下圖所mac-auth示,則授權進程會到達此規則。
最後,選擇分配給符合該規則的客戶端(在本例中PermitAccess)的授權配置檔案。按一下Done並儲存它。
驗證
您可以使用這些命令驗證當前配置:
# show wlan { summary | id | name | all } # show run wlan # show run aaa # show aaa servers # show ap config general # show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
疑難排解
WLC 9800提供永遠線上的追蹤功能。這可確保所有與客戶端連線相關的錯誤、警告和通知級別消息均持續記錄,並且您可以在發生事故或故障情況後檢視其日誌。
注意:雖然這取決於生成的日誌量,但您可以返回幾小時到幾天。
若要檢視9800 WLC在預設情況下蒐集的追蹤,可以透過SSH/Telnet連線到9800 WLC並讀取以下步驟(確保將作業階段記錄到文字檔中)。
步驟 1.請檢查控制器的當前時間,以便您可以跟蹤從問題發生時開始的日誌。
# show clock
步驟 2.根據系統配置的指示,從控制器緩衝區或外部系統日誌中收集系統日誌。這樣可以快速檢視系統的運行狀況和錯誤(如果有)。
# show logging
步驟 3.驗證是否已啟用任何調試條件。
# show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
註:如果您看到列出了任何條件,則表示遇到啟用條件(mac地址、IP地址等)的所有進程的跟蹤將記錄到調試級別。這將增加日誌量。因此,建議在不主動調試時清除所有條件。
步驟 4.如果測試中的MAC地址未作為步驟3中的條件列出,請收集特定MAC地址的always-on通知級別跟蹤。
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
您可顯示作業階段中的內容,或可將檔案複製到外部 TFTP 伺服器。
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
條件式偵錯和無線電主動式追蹤
如果永遠線上(always-on)跟蹤未為您提供足夠的資訊來確定所調查問題的觸發因素,則可以啟用條件調試並捕獲無線活動(RA)跟蹤,該跟蹤為與指定條件(本例中為客戶端mac地址)互動的所有進程提供調試級別跟蹤。要啟用條件調試,請閱讀以下步驟。
步驟 5.確保未啟用調試條件。
# clear platform condition all
步驟 6.為要監控的無線客戶端mac地址啟用調試條件。
以下命令會開始監控提供的 MAC 位址 30 分鐘(1800 秒)。您可選擇將此時間增加至 2085978494 秒。
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
注意:為了同時監控多個客戶端,請對每個mac地址運行debug wireless mac<aaaa.bbbb.cccc>命令。
注意:您看不到終端會話上客戶端活動的輸出,因為所有內容都在內部緩衝,供以後檢視。
步驟 7.重現您要監控的問題或行為。
步驟 8.如果在預設或配置的監控器時間開啟之前重現問題,則停止調試。
# no debug wireless mac <aaaa.bbbb.cccc>
監控時間過後或偵錯無線功能停止後,9800 WLC會產生具有以下名稱的本地檔案: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
步驟 9. 收集 MAC 位址活動的檔案。 您可以將複製到ra trace .log 外部伺服器,或者直接在螢幕上顯示輸出。
檢查 RA 追蹤檔案的名稱:
# dir bootflash: | inc ra_trace
將檔案複製到外部伺服器:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
顯示內容:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
步驟 10.如果根本原因仍不明顯,請收集內部日誌,這些日誌是調試級別日誌的更詳細檢視。您無需再次調試客戶端,因為您只需進一步詳細檢視已收集和內部儲存的調試日誌。
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
注意:此命令輸出返回所有進程的所有日誌記錄級別的跟蹤,而且非常大。請聯絡Cisco TAC以幫助您分析這些跟蹤。
您可以將複製到ra-internal-FILENAME.txt外部伺服器,或者直接在螢幕上顯示輸出。
將檔案複製到外部伺服器:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
顯示內容:
# more bootflash:ra-internal-<FILENAME>.txt
步驟 11.移除偵錯條件。
# clear platform condition all
注意:請確保在故障排除會話後始終刪除調試條件。
相關資訊