在Catalyst 9800無線LAN控制器上設定網狀網路

下載選項

PDF (3.0 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (2.7 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (2.4 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2023 年 6 月 30 日

文件 ID:215100

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文說明如何將網狀存取點(AP)連線到Catalyst 9800無線LAN控制器(WLC)的基本組態範例

必要條件

需求

思科建議您瞭解以下主題：

Catalyst無線9800組態型號
LAP配置
控制和提供無線接入點(CAPWAP)
配置外部DHCP伺服器
思科交換機的配置

採用元件

此範例使用輕型存取點（1572AP和1542），其可設定為根AP(RAP)或網狀AP(MAP)以加入Catalyst 9800 WLC。1542或1562接入點的過程相同。RAP通過Cisco Catalyst交換機連線到Catalyst 9800 WLC。

本文中的資訊係根據以下軟體和硬體版本：

C9800-CL v16.12.1
思科第2層交換器
適用於網橋的Cisco Aironet 1572系列輕量型室外接入點部分
適用於Flex+Bridge部分的Cisco Aironet 1542

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

案例研究1：網橋模式

組態

網狀存取點需要透過驗證才能加入9800控制器。本案例研究認為您先以本機模式加入AP到WLC，然後將其轉換為橋接器(a.k.a)網狀模式。

要避免分配AP加入配置檔案，請使用此示例，但配置預設aaa authorization credential-download方法，以便允許任何網狀AP加入控制器。

第1步：在Device Authentication下配置RAP/MAP mac地址。

轉至Configuration > AAA > AAA Advanced > Device Authentication。

AAA設定

新增網狀無線接入點的基本乙太網MAC地址，新增時不帶任何特殊字元，不帶「。」或「：」

重要：自17.3.1版起，如果新增任何mac地址分隔符（如「。」、「：」或「 — 」），則AP無法加入。目前為此版本開啟了兩個增強功能：思科錯誤ID CSCvv43870和思科錯誤ID CSCvr07920。將來，9800會接受所有mac地址格式。

新增MAC地址

第2步：配置身份驗證和授權方法清單。

轉至Configuration > Security > AAA > AAA Method list > Authentication，然後建立身份驗證方法清單和授權方法清單。

AAA授權設定

AAA身份驗證設定

第3步：配置全域性網格引數。

轉至Configuration > Mesh > Global parameters。最初，我們可以將這些值保留為預設值。

網格選單

第4步：在配置(Configuration)>網格(Mesh)>輪廓(Profile)> +新增(Add)下建立新的網格輪廓

新增網格剖面

按一下建立的網格剖面，編輯網格剖面的常規和高級設定。

如圖所示，我們需要將之前建立的身份驗證和授權配置檔案對映到Mesh配置檔案

高級網格配置檔案設定

第5步：創建新的AP加入配置檔案。轉至Configure > Tags and Profiles: AP Join。

AP加入

新增AP加入配置檔案

應用先前配置的網狀配置檔案並配置AP EAP身份驗證：

在AP加入配置檔案中設定網格詳細資訊

第6步：建立網格位置標籤，如下所示。

「標籤」選單

配置按一下在步驟6中建立的Mesh位置TAG對其進行配置。

轉至「站點」頁籤並將先前配置的「網狀AP連線配置檔案」應用到該頁籤：

新增站點標籤

步驟 7.將AP轉換為網橋模式。

將AP更改為網橋模式

您可透過CLI在AP上發出此命令：

capwap ap mode bridge

AP重新啟動後以橋接模式重新加入。

步驟 8.現在，您可以定義AP的角色：根AP或網格AP。

當網狀AP透過其嘗試連線到根AP的無線電加入WLC時，根AP是具有有線連線到WLC的AP。

網狀無線接入點在無法通過其無線電找到根AP以進行調配時，可以通過其有線介面加入WLC。

如果中繼本地VLAN與預設VLAN 1不同，請不要忘記在AP設定中指定中繼本地VLAN

設定AP網狀角色

驗證

aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
 method authentication Mesh_Authentication
 method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site Mesh_AP_Tag
 ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile Mesh_Profile

疑難排解

在Troubleshooting > Radiative Trace Web UI頁面中，按一下add並輸入AP MAC地址。

新增RAtrace MAC地址

按一下「Start」，然後等待AP再次嘗試加入控制器。

完成後，按一下Generate並選擇收集日誌的時間段（例如，過去10或30分鐘）。

按一下跟蹤檔名從瀏覽器下載。

以下範例顯示由於定義了錯誤的aaa授權方法名稱而未加入AP:

019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac

按一下未加入的AP時，在Web UI控制面板中更容易看到相同的內容。「Ap auth pending」是提示，指向AP本身的身份驗證：

AP加入統計資訊 AP加入構件

案例研究2:Flex +網橋

本部分重點介紹1542 AP在Flex+網橋模式下與EAP身份驗證在WLC本地進行的加入過程。

設定

步驟 1.導覽至Configuration > Security > AAA > AAA Advanced > Device Authentication

裝置身份驗證新增頁面

步驟 2.選擇Device Authentication，然後選擇Add
步驟 3.鍵入要加入WLC的AP的基本乙太網MAC地址，將Attribute List Name留空，然後選擇Apply to Device

MAC過濾器

步驟 4.導覽至Configuration > Security > AAA > AAA Method List> Authentication
步驟 5.選擇Add，系統將顯示AAA Authentication彈出視窗

新增身份驗證AAA方法

步驟 6.在Method List Name中鍵入名稱，從Type*下拉選單中選擇802.1x，並為Group Type選擇local，最後選擇Apply to Device

AAA authentication dot1x list

第6b步：如果您的AP直接以網橋模式加入，並且之前未分配站點和策略標籤，請重複步驟6，但使用預設方法。
配置指向本地的dot1x aaa身份驗證方法(CLI aaa authentication dot1x default local)

步驟 7.導覽至Configuration > Security > AAA > AAA Method List> Authorization
步驟 8.選擇Add，系統將顯示AAA Authorization彈出視窗

新增AAA授權方法

步驟 9.在Method List Name中鍵入名稱，從Type*下拉選單中選擇credential download，然後為Group Type選擇local，最後選擇Apply to Device

憑證下載AAA授權設定檔

第9b步：如果您的AP直接以網橋模式加入（即它不會首先以本地模式加入），請對預設憑證下載方法(CLI aaa authorization credenticate-download default local)重複步驟9
步驟 10.導覽至Configuration > Wireless > Mesh > Profiles
步驟 11.選擇Add，此時會顯示Add Mesh Profile彈出視窗

新增網格剖面

步驟 12.在「General」頁籤中，為「網格」輪廓設定名稱和說明

網格剖面的常規設定

步驟 13.在Advanced頁籤下，為Method欄位選擇EAP
步驟 14.選擇步驟6和9中定義的Authorization和Authentication配置檔案，然後選擇Apply to Device

新增網格配置檔案，高級設定

步驟 15.導覽至Configuration > Tag & Profiles > AP Join > Profile
步驟 16.選擇Add，出現AP Join Profile彈出視窗，為AP Join配置檔案設定名稱和說明

新增AP加入配置檔案

新增AP加入配置檔案：常規設定

步驟 17.導航到AP頁籤，從Mesh Profile Name下拉選單中選擇步驟12中建立的Mesh Profile
步驟 18.確保分別為EAP Type和AP Authorization Type欄位設定EAP-FAST和CAPWAP DTLS
斯蒂奧19。選擇Apply to Device

在AP聯接配置檔案中定義網格設定

步驟 20.導覽至Configuration > Tag & Profiles > Tags > Site
步驟 21.選擇「Add」，系統將顯示「站點標籤」彈出視窗
步驟 22.輸入站點標籤的名稱和說明

在站點標籤中設定AP加入配置檔案

步驟 23.從AP Join Profile下拉選單中選擇在步驟16中建立的AP加入配置檔案
步驟 24.在Site Tag彈出視窗的底部，取消選中Enable Local Site覈取方塊以啟用Flex Profile下拉選單。
步驟 35.從Flex Profile下拉選單中，選擇要用於AP的Flex Profile

設定彈性配置檔案

步驟 36.將AP連線到網路並確保該AP處於本地模式。
步驟 37.要確保AP處於本地模式，請發出命令capwap ap ap mode local。

AP必須找到控制器，可以是L2廣播、DHCP選項43、DNS解析或手動設定。

步驟 38.AP加入WLC，確保它列在AP清單下，導航至Configuration > Wireless > Access Points > All Access Points

檢驗AP本地模式

步驟 39.選擇AP，出現AP彈出視窗。
步驟 40.在AP彈出視窗的General > Tags > Site頁籤下，選擇Update and Apply to Device下的Site Tag，在步驟22中建立

應用站點標籤

步驟 41.AP重新啟動，必須以Flex +網橋模式連線回WLC

請注意，此方法首先在本地模式（不執行dot1x身份驗證）下加入AP，以應用帶有網格剖面的站點標籤，然後將AP切換到網橋模式。

要加入停滯在Bridge（或Flex+Bridge）模式中的AP，請配置預設方法(aaa authentication dot1x default local和aaa authorization cred default local)。

然後AP能夠進行身份驗證，您之後可以分配標籤。

驗證

確保AP模式顯示為Flex +網橋，如下圖所示。

檢驗AP模式

從WLC 9800 CLI運行這些命令，並尋找「AP Mode」屬性。必須列為Flex+Bridge

aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site meshsite
 ap-profile meshapjoin
 no local-site
ap profile meshapjoin
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile mesh-profile

疑難排解

確儲存在aaa authentication dot1x default local和aaa authorization cred default local命令。如果您的AP未預先加入本地模式，則需要這些引數。

主9800儀表板有一個顯示無法加入的AP的小部件。按一下它可獲取無法加入的AP清單：

AP統計資訊

按一下特定AP以檢視其未加入的原因。在這種情況下，我們看到身份驗證問題（AP身份驗證掛起），因為站點標籤未分配給AP。

因此，9800沒有選取命名驗證/授權方法來驗證AP:

AP加入統計資訊2

如需更多高級疑難排解，請前往Web UI上的疑難排解 > 放射追蹤頁面。

如果您輸入AP MAC地址，則可以立即生成檔案來獲取嘗試加入的AP的永遠線上（通知級別）日誌。

按一下Start以啟用該MAC地址的高級調試。下次生成日誌時，將顯示AP連線的生成日誌和調試級別日誌。

RAtrace頁

修訂記錄

修訂	發佈日期	意見
4.0	30-Jun-2023	已修改MAC過濾螢幕截圖
3.0	20-Apr-2023	重新認證
2.0	10-Nov-2021	較小的格式更改
1.0	28-Nov-2019	初始版本

由思科工程師貢獻

Bharti Khatri
Cisco TAC
Anand Shandilya
Cisco TAC
Israel Marquez Salinas
Cisco TAC

這份文件是否有所幫助？

意見

讓思科協助您

開啟支援問題單
(需有思科服務合約)

在Catalyst 9800無線LAN控制器上設定網狀網路

下載選項

無偏見用語

關於此翻譯

目錄

簡介

必要條件

需求

採用元件

設定

案例研究1：網橋模式

組態

驗證

疑難排解

案例研究2:Flex +網橋

設定

驗證

疑難排解

修訂記錄

由思科工程師貢獻

這份文件是否有所幫助？

讓思科協助您

本文件適用於這些產品