在Catalyst 9800上使用錨點配置中央Web驗證

簡介

本檔案介紹如何在Catalyst 9800上設定和疑難排解CWA，該CWA指向另一個WLC作為行動錨點。

必要條件

需求

思科建議您瞭解以下主題：

• 中央Web驗證(CWA)
• 無線區域網路控制器(WLC)
• 9800 WLC
• AireOS WLC
• 思科ISE

假設在啟動CWA錨點設定之前，您已經開啟了兩個WLC之間的行動通道。這超出了此組態範例的範圍。如需相關幫助，請參閱標題為在9800上設定行動拓撲的檔案

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 9800 17.2.1
• 5520 8.5.164 IRCM映像
• ISE 2.4

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

配置錨定到其他Catalyst 9800的Catalyst 9800

網路圖表

在兩台9800上配置AAA

在錨點和外部上，您需要先新增RADIUS伺服器並確保已啟用CoA。為此，請導航到選單Configuration > Security > AAA > Servers/Groups > Servers。 然後按一下Add按鈕。

現在需要建立伺服器組，並將剛才配置的伺服器放入該組中。為此，請導航到Configuration > Security > AAA > Servers/Groups > Server Groups > +Add。

現在，建立一個授權方法清單（對於CWA不需要身份驗證方法清單），其中型別為網路，組型別為組。將上一個操作中的伺服器組新增到此方法清單中。

為此，請導航至Configuration > Security > AAA > Servers/AAA Method List > Authorization > +Add。

（可選）使用與授權方法清單相同的伺服器組建立記帳方法清單。要建立記帳清單，請導航到Configuration > Security > AAA > Servers/AAA Method List > Accounting > +Add。

在WLC上配置WLAN

在兩台WLC上建立和配置WLAN。兩者上的WLAN必須相符。安全型別必須是mac過濾，並且必須應用上一步的授權方法清單。若要設定此設定，請導覽至Configuration > Tags & Profiles > WLANs > +Add。

在外部WLC上建立策略配置檔案和策略標籤

導覽至外部WLC Web UI。 要建立策略配置檔案，請導航到Configuration > Tags & Profiles > Policy > +Add。 錨定時，必須使用中心交換。

在Advanced索引標籤上，CWA必須使用AAA覆寫和RADIUS NAC。如果您選擇建立會計方法清單，還可以在此處應用會計方法清單。 

在Mobility索引標籤上，不要勾選Export Anchor覈取方塊，而是將錨點WLC新增到錨點清單中。確保輸入Apply to Device。請注意，此假設兩個控制器之間已建立行動通道

為了讓AP使用此策略配置檔案，您需要建立策略標籤並將其應用到要使用的AP。

要建立策略標籤，請導航到Configuration > Tags & Profiles > Tags?Policy > +Add。

要同時將其新增到多個AP，請導航到Configuration > Wireless Setup > Advanced > Start Now。按一下標籤AP旁邊的專案符號欄，並將標籤新增到您選擇的AP中。

在錨點WLC上建立策略配置檔案

導覽至錨點WLC Web UI。在Configuration > Tags & Profiles > Tags > Policy > +Add下的錨點9800上新增策略配置檔案。確保此配置與外部裝置上的策略配置檔案相匹配，但移動頁籤和記帳清單除外。 

此處您不會新增錨點，但會勾選「Export Anchor」覈取方塊。請勿在此處新增記帳清單。假設兩個控制器之間已建立行動通道。

註：沒有理由將此配置檔案與策略標籤中的WLAN相關聯。如果這樣做，就會產生問題。如果您想對此WLC上的AP使用相同的WLAN，請為其建立另一個原則設定檔。

重新導向兩台9800上的ACL設定

接下來，您需要在兩台9800上建立重新導向ACL組態。外部上的專案並不重要，因為它是將ACL套用到流量的錨點WLC。唯一的要求是它在那裡，並且有一些條目。錨點上的條目必須拒絕對埠8443上ISE的訪問並允許所有其他內容。此ACL僅適用於來自客戶端的流量，因此不需要返回流量的規則。DHCP和DNS在ACL中無條目通過。

配置ISE

最後一步是為CWA配置ISE。此指令有很多選項，但此範例僅用於基本資訊並使用預設的自註冊訪客輸入網站。

在ISE上，您需要建立授權配置檔案、帶有身份驗證策略的策略集和使用授權配置檔案的授權策略，將9800（外部）作為網路裝置新增到ISE，並建立使用者名稱和密碼以登入網路。

要建立授權配置檔案，請導航到Policy > Policy Elements > Authorization > Results > Authorization Profiles，然後按一下Add。確保返回的訪問型別為ACCESS_ACCEPT，然後設定要發回的屬性值對(AVP)。對於CWA，重定向ACL和重定向URL是必需的，但您也可以傳送回諸如VLAN ID和會話超時等內容。非常重要，ACL名稱應與外部和錨點9800上的重新導向ACL名稱相匹配。

然後，您需要配置一種方法，將剛剛建立的授權配置檔案應用到通過CWA的客戶端。為此，一種方法是建立在使用MAB時繞過身份驗證的策略集，並在使用被叫站ID中傳送的SSID時應用授權配置檔案。同樣，有很多方法可以實現這一點，因此，如果您需要一些更具體或更安全的方法，這是最簡單的方法。

要建立策略集，請轉至Policy > Policy Sets，然後按一下螢幕左側的+按鈕。命名新策略集，並確保將其設定為Default Network Access，或允許使用Process Host Lookup for MAB的任何允許的協定清單(要檢查允許的協定清單，請轉至Policy > Policy Elements > Results > Authentication > Allowed Protocols)。現在，按一下您建立的新策略集中間的+符號。

對於此策略設定，每次在ISE中使用MAB時，它都會通過此策略設定。稍後，您可以制定與被叫站ID匹配的授權策略，以便根據使用的WLAN應用不同的結果。此流程非常可定製，可以匹配許多內容。

在策略集中，建立策略。身份驗證策略可以在MAB上再次匹配，但您需要更改ID儲存以使用內部端點，並且需要更改選項以繼續Auth Fail和User Not Found。

設定身份驗證策略後，需要在授權策略中建立兩個規則。此策略看上去像ACL，因此順序需要將Post-Auth規則放在頂部，將Pre-Auth規則放在底部。身份驗證後規則匹配已通過訪客流的使用者。也就是說，如果他們已經登入，他們就可以到達規則，並且必須在此停止。如果他們尚未登入，則會繼續沿清單下並到達預先身份驗證規則，然後被重定向。最好將授權策略規則與以SSID結尾的被叫站ID進行匹配，以便其僅到達配置為這樣做的WLAN。

在配置策略集後，您需要通知ISE有關9800（外部）的資訊，以便ISE將其信任為身份驗證器。這可以通過導航到Admin > Network Resources > Network Device > +來實現。您需要為其命名、設定IP地址（在本例中是整個管理子網）、啟用RADIUS並設定共用金鑰。ISE上的共用金鑰必須與9800上的共用金鑰匹配，否則此進程失敗。新增配置後，按一下Submit按鈕將其儲存。

最後，您需要將客戶端要輸入的使用者名稱和密碼新增到登入頁中，以驗證它們是否必須有權訪問網路。為此，請導航到Admin > Identity Management > Identity > Users > +Add，並在新增後按一下Submit。  與ISE的所有其他配置一樣，這是可自定義的，無需使用者本地儲存，但也是最簡單的配置。

設定錨點到AireOS WLC的Catalyst 9800

Catalyst 9800外部組態

執行相同的先前步驟，跳過在錨點WLC上建立策略配置檔案部分。

錨點AireOS WLC上的AAA配置

前往Security > AAA > RADIUS > Authentication > New，將伺服器新增到WLC。新增伺服器IP地址、共用金鑰和支援CoA。

AireOS WLC上的WLAN配置

若要建立WLAN，請導覽至WLANs > Create New > Go。

配置Profile Name、WLAN ID和SSID，然後按一下Apply。

您必須進入WLAN配置。在General頁籤上，如果您不打算配置ISE在AVP中傳送，則可以新增希望客戶端使用的介面。接下來，導覽至Security > Layer2索引標籤，並匹配您在9800上使用的Layer 2 Security設定並啟用MAC Filtering。

現在移至Security > AAA Servers頁籤，並將ISE伺服器設定為Authentication Server。不要為記帳伺服器設定任何內容。取消選中Enable框以進行記帳。

仍處於WLAN配置中時，移至Advanced頁籤並啟用Allow AAA Override，並將NAC State更改為ISE NAC。

最後是把它固定在自己身上。為此，請導覽回WLANs頁面，並將滑鼠懸停在WLAN > Mobility Anchor右側的藍色方框上。將Switch IP Address(Anchor)設定為local，然後按一下Mobility Anchor Create按鈕。然後，它必須顯示優先順序0錨定本地。

在AireOS WLC上重定向ACL

這是AireOS WLC上所需的最終配置。若要建立重新導向ACL，請導覽至Security > Access Control Lists > Access Control Lists > New。輸入ACL名稱（必須與在AVP中傳送的名稱相匹配），然後點選Apply。

現在，按一下剛建立的ACL的名稱。按一下Add New Rule按鈕。與AireOS WLC上的9800控制器不同，您可以為允許到達ISE的流量配置允許語句，而無需重新導向。預設情況下允許DHCP和DNS。

配置ISE

最後一步是為CWA配置ISE。有多個選項可供選擇，但本示例使用基本資訊和預設的自註冊訪客門戶。

在ISE上，您需要建立授權配置檔案、帶有身份驗證策略的策略集和使用授權配置檔案的授權策略。將9800（外部）作為網路裝置新增到ISE，並建立使用者名稱和密碼以登入網路。

要建立授權配置檔案，請轉至Policy > Policy Elements > Authorization > Results > Authorization Profiles > +Add。確保返回的訪問型別為ACCESS_ACCEPT，然後設定要傳送回的AVP。對於CWA，重定向ACL和重定向URL是必需的，但您也可以像VLAN ID和會話超時一樣傳送回。非常重要，ACL名稱應與外部WLC和錨點WLC上的重新導向ACL名稱相符。

然後，您需要配置一種方法，將剛剛建立的授權配置檔案應用到通過CWA的客戶端。為此，一種方法是建立在使用MAB時繞過身份驗證的策略集，並在使用被叫站ID中傳送的SSID時應用授權配置檔案。同樣，有很多方法可以實現這一點，因此，如果您需要一些更具體或更安全的方法，這是最簡單的方法。

要建立策略集，請轉至Policy > Policy Sets，然後單擊螢幕左側的+按鈕。命名新策略集，並確保將其設定為Default Network Access，或允許使用Process Host Lookup for MAB的任何允許的協定清單(要檢查允許的協定清單，請轉至Policy > Policy Elements > Results > Authentication > Allowed Protocols)。現在，按一下您建立的新策略集中間的+符號。

對於此策略設定，每次在ISE中使用MAB時，它都可以通過此策略設定。稍後，您可以制定與被叫站ID匹配的授權策略，以便根據使用的WLAN應用不同的結果。此流程非常可定製，可以匹配許多內容

在策略集中，建立策略。身份驗證策略可以在MAB上再次匹配，但您需要更改ID儲存以使用Internal Endpoints，並且需要更改選項以繼續Auth Fail和User Not Found。 

設定身份驗證策略後，需要在授權策略中建立兩個規則。此策略看上去像ACL，因此順序需要將Post-Auth規則放在頂部，將Pre-Auth規則放在底部。Post-Auth規則匹配已通過訪客流的使用者。也就是說，如果他們已經登入，則表示他們已達到該規則並停止該操作。如果他們尚未登入，則會繼續進入清單並按Pre-Auth規則以取得重新導向。最好將授權策略規則與以SSID結尾的被叫站ID進行匹配，以便其僅對配置為這樣做的WLAN命中。

在配置策略集後，您需要通知ISE有關9800（外部）的資訊，以便ISE將其信任為身份驗證器。這可以在Admin > Network Resources > Network Device > +中完成。您需要為其命名、設定IP地址（在本例中是整個管理子網）、啟用RADIUS並設定共用金鑰。ISE上的共用金鑰必須與9800上的共用金鑰匹配，否則此進程失敗。新增配置後，點選submit按鈕儲存配置。

最後，您需要將客戶端要輸入的使用者名稱和密碼新增到登入頁中，以驗證它們是否必須有權訪問網路。此操作在Admin > Identity Management > Identity > Users > +Addat下完成，並確保在新增後按一下Submit。與ISE的所有其他配置一樣，這是可定製的，無需使用者本地儲存，但也是最簡單的配置。

當AireOS WLC是外部，Catalyst 9800是錨點時，配置的差異

如果您希望AireOs WLC成為外部控制器，則配置與前面介紹的相同，但存在一些差異。

1. AAA記帳從來不在錨點上完成，因此9800沒有記帳方法清單，而AireOS WLC將啟用記帳並指向ISE。
2. AireOS需要錨定到9800而不是其自身。在Policy Profile中，9800不會選擇錨點，但會選中Export Anchor框。
3. 必須注意的是，當AireOS WLC將客戶端匯出到9800時，沒有策略配置檔案的概念。只會傳送WLAN設定檔名稱。因此，9800會將從AireOS傳送的WLAN配置檔名稱應用到WLAN配置檔名稱和策略配置檔名稱。從AireOS WLC錨定到9800 WLC時，兩個WLC上的WLAN配置檔名稱和9800上的策略配置檔名稱必須匹配。

驗證

若要驗證9800 WLC上的組態，請執行以下命令：

• AAA:

Show Run | section aaa|radius

• WLAN:

Show wlan id <wlan id>

• 策略配置檔案：

Show wireless profile policy detailed <profile name>

• 策略標籤：

Show wireless tag policy detailed <policy tag name>

• ACL:

Show IP access-list <ACL name>

• 使用錨點驗證移動性是否啟動：

Show wireless mobility summary

要驗證AireOS WLC上的配置，請運行命令。

• AAA:

Show radius summary

註:RFC3576是CoA配置。

• WLAN:

Show WLAN <wlan id>

• ACL:

Show acl detailed <acl name>

• 驗證與外部裝置的移動性是否為up:

Show mobility summary

疑難排解

根據客戶端在該過程中停止的點，故障排除看起來不同。例如，如果WLC從未從MAB上的ISE收到響應，則客戶端將停滯在Policy Manager State: Associating中，並且不會匯出到錨點。在這種情況下，您只會對外路由進行疑難排解，您需要為WLC和ISE之間的流量收集RA追蹤和封包擷取。另一個範例是MAB已成功通過，但使用者端沒有收到重新導向。在這種情況下，您需要確保外部在AVP中收到重定向並將其應用於客戶端。您還需要檢查錨點，以確保客戶端的正確ACL位於錨點上。此故障排除範圍不屬於本文的設計範圍（有關通用客戶端故障排除指南，請檢視相關資訊）。

如需更多有關在9800 WLC上排除CWA的幫助，請參閱Cisco Live！簡報DGTL-TSCENT-404。

附註：只有完成註冊的思科使用者有權存取思科內部工具與資訊。

Catalyst 9800故障排除資訊

客戶端詳細資訊

show wireless client mac-address <client mac> detail

在此必須檢視Policy Manager State、Session Manager > Auth Method、Mobility Role。

也可在GUI的Monitoring > Clients下找到此資訊。

嵌入式封包擷取

命令從CLI中啟動#monitor capture <capture name>,然後是選項。

在GUI中轉至Troubleshooting > Packet Capture > +Add。

RadioActive跟蹤

在CLI上：

debug wireless mac|ip <client mac|ip>   

使用該命令的no形式將其停止。記錄到名為ra_trace的bootflash中的檔案中，然後記錄客戶端MAC或IP地址以及日期和時間。

在GUI中導覽至Troubleshoot > Radiative Trace > +Add。新增客戶端mac或ip地址，按一下Apply，然後點選start。完成該過程數次後，停止跟蹤、生成日誌並將其下載到您的裝置。

AireOS故障排除資訊

客戶端詳細資訊

在CLI中，show client details <client mac>。

在GUI上，選擇Monitor > Clients。

從CLI調試

Debug client <client mac>

Debug mobility handoff

Debug mobility config

相關資訊

• 使用9800控制器構建移動隧道
• 9800上的無線調試和日誌收集
• 思科技術支援與下載