簡介
本檔案介紹如何在Catalyst 9800上設定和疑難排解CWA,該CWA指向另一個WLC作為行動錨點。
必要條件
需求
思科建議您瞭解以下主題:
- 中央Web驗證(CWA)
- 無線區域網路控制器(WLC)
- 9800 WLC
- AireOS WLC
- 思科ISE
假設在啟動CWA錨點設定之前,您已經開啟了兩個WLC之間的行動通道。這超出了此組態範例的範圍。如需相關幫助,請參閱標題為在9800上設定行動拓撲的檔案
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 9800 17.2.1
- 5520 8.5.164 IRCM映像
- ISE 2.4
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
配置錨定到其他Catalyst 9800的Catalyst 9800
網路圖表
在兩台9800上配置AAA
在錨點和外部上,您需要先新增RADIUS伺服器並確保已啟用CoA。為此,請導航到選單Configuration > Security > AAA > Servers/Groups > Servers。 然後按一下Add按鈕。
現在需要建立伺服器組,並將剛才配置的伺服器放入該組中。為此,請導航到Configuration > Security > AAA > Servers/Groups > Server Groups > +Add。
現在,建立一個授權方法清單(對於CWA不需要身份驗證方法清單),其中型別為網路,組型別為組。將上一個操作中的伺服器組新增到此方法清單中。
為此,請導航至Configuration > Security > AAA > Servers/AAA Method List > Authorization > +Add。
(可選)使用與授權方法清單相同的伺服器組建立記帳方法清單。要建立記帳清單,請導航到Configuration > Security > AAA > Servers/AAA Method List > Accounting > +Add。
在WLC上配置WLAN
在兩台WLC上建立和配置WLAN。兩者上的WLAN必須相符。安全型別必須是mac過濾,並且必須應用上一步的授權方法清單。若要設定此設定,請導覽至Configuration > Tags & Profiles > WLANs > +Add。
在外部WLC上建立策略配置檔案和策略標籤
導覽至外部WLC Web UI。 要建立策略配置檔案,請導航到Configuration > Tags & Profiles > Policy > +Add。 錨定時,必須使用中心交換。
在Advanced索引標籤上,CWA必須使用AAA覆寫和RADIUS NAC。如果您選擇建立會計方法清單,還可以在此處應用會計方法清單。
在Mobility索引標籤上,不要勾選Export Anchor覈取方塊,而是將錨點WLC新增到錨點清單中。確保輸入Apply to Device。請注意,此假設兩個控制器之間已建立行動通道
為了讓AP使用此策略配置檔案,您需要建立策略標籤並將其應用到要使用的AP。
要建立策略標籤,請導航到Configuration > Tags & Profiles > Tags?Policy > +Add。
要同時將其新增到多個AP,請導航到Configuration > Wireless Setup > Advanced > Start Now。按一下標籤AP旁邊的專案符號欄,並將標籤新增到您選擇的AP中。
在錨點WLC上建立策略配置檔案
導覽至錨點WLC Web UI。在Configuration > Tags & Profiles > Tags > Policy > +Add下的錨點9800上新增策略配置檔案。確保此配置與外部裝置上的策略配置檔案相匹配,但移動頁籤和記帳清單除外。
此處您不會新增錨點,但會勾選「Export Anchor」覈取方塊。請勿在此處新增記帳清單。假設兩個控制器之間已建立行動通道。
註:沒有理由將此配置檔案與策略標籤中的WLAN相關聯。如果這樣做,就會產生問題。如果您想對此WLC上的AP使用相同的WLAN,請為其建立另一個原則設定檔。
重新導向兩台9800上的ACL設定
接下來,您需要在兩台9800上建立重新導向ACL組態。外部上的專案並不重要,因為它是將ACL套用到流量的錨點WLC。唯一的要求是它在那裡,並且有一些條目。錨點上的條目必須拒絕對埠8443上ISE的訪問並允許所有其他內容。此ACL僅適用於來自客戶端的流量,因此不需要返回流量的規則。DHCP和DNS在ACL中無條目通過。
配置ISE
最後一步是為CWA配置ISE。此指令有很多選項,但此範例僅用於基本資訊並使用預設的自註冊訪客輸入網站。
在ISE上,您需要建立授權配置檔案、帶有身份驗證策略的策略集和使用授權配置檔案的授權策略,將9800(外部)作為網路裝置新增到ISE,並建立使用者名稱和密碼以登入網路。
要建立授權配置檔案,請導航到Policy > Policy Elements > Authorization > Results > Authorization Profiles,然後按一下Add。確保返回的訪問型別為ACCESS_ACCEPT,然後設定要發回的屬性值對(AVP)。對於CWA,重定向ACL和重定向URL是必需的,但您也可以傳送回諸如VLAN ID和會話超時等內容。非常重要,ACL名稱應與外部和錨點9800上的重新導向ACL名稱相匹配。
然後,您需要配置一種方法,將剛剛建立的授權配置檔案應用到通過CWA的客戶端。為此,一種方法是建立在使用MAB時繞過身份驗證的策略集,並在使用被叫站ID中傳送的SSID時應用授權配置檔案。同樣,有很多方法可以實現這一點,因此,如果您需要一些更具體或更安全的方法,這是最簡單的方法。
要建立策略集,請轉至Policy > Policy Sets,然後按一下螢幕左側的+按鈕。命名新策略集,並確保將其設定為Default Network Access,或允許使用Process Host Lookup for MAB的任何允許的協定清單(要檢查允許的協定清單,請轉至Policy > Policy Elements > Results > Authentication > Allowed Protocols)。現在,按一下您建立的新策略集中間的+符號。
對於此策略設定,每次在ISE中使用MAB時,它都會通過此策略設定。稍後,您可以制定與被叫站ID匹配的授權策略,以便根據使用的WLAN應用不同的結果。此流程非常可定製,可以匹配許多內容。
在策略集中,建立策略。身份驗證策略可以在MAB上再次匹配,但您需要更改ID儲存以使用內部端點,並且需要更改選項以繼續Auth Fail和User Not Found。
設定身份驗證策略後,需要在授權策略中建立兩個規則。此策略看上去像ACL,因此順序需要將Post-Auth規則放在頂部,將Pre-Auth規則放在底部。身份驗證後規則匹配已通過訪客流的使用者。也就是說,如果他們已經登入,他們就可以到達規則,並且必須在此停止。如果他們尚未登入,則會繼續沿清單下並到達預先身份驗證規則,然後被重定向。最好將授權策略規則與以SSID結尾的被叫站ID進行匹配,以便其僅到達配置為這樣做的WLAN。
在配置策略集後,您需要通知ISE有關9800(外部)的資訊,以便ISE將其信任為身份驗證器。這可以通過導航到Admin > Network Resources > Network Device > +來實現。您需要為其命名、設定IP地址(在本例中是整個管理子網)、啟用RADIUS並設定共用金鑰。ISE上的共用金鑰必須與9800上的共用金鑰匹配,否則此進程失敗。新增配置後,按一下Submit按鈕將其儲存。
最後,您需要將客戶端要輸入的使用者名稱和密碼新增到登入頁中,以驗證它們是否必須有權訪問網路。為此,請導航到Admin > Identity Management > Identity > Users > +Add,並在新增後按一下Submit。 與ISE的所有其他配置一樣,這是可自定義的,無需使用者本地儲存,但也是最簡單的配置。
設定錨點到AireOS WLC的Catalyst 9800
Catalyst 9800外部組態
執行相同的先前步驟,跳過在錨點WLC上建立策略配置檔案部分。
錨點AireOS WLC上的AAA配置
前往Security > AAA > RADIUS > Authentication > New,將伺服器新增到WLC。新增伺服器IP地址、共用金鑰和支援CoA。
AireOS WLC上的WLAN配置
若要建立WLAN,請導覽至WLANs > Create New > Go。
配置Profile Name、WLAN ID和SSID,然後按一下Apply。
您必須進入WLAN配置。在General頁籤上,如果您不打算配置ISE在AVP中傳送,則可以新增希望客戶端使用的介面。接下來,導覽至Security > Layer2索引標籤,並匹配您在9800上使用的Layer 2 Security設定並啟用MAC Filtering。
現在移至Security > AAA Servers頁籤,並將ISE伺服器設定為Authentication Server。不要為記帳伺服器設定任何內容。取消選中Enable框以進行記帳。
仍處於WLAN配置中時,移至Advanced頁籤並啟用Allow AAA Override,並將NAC State更改為ISE NAC。
最後是把它固定在自己身上。為此,請導覽回WLANs頁面,並將滑鼠懸停在WLAN > Mobility Anchor右側的藍色方框上。將Switch IP Address(Anchor)設定為local,然後按一下Mobility Anchor Create按鈕。然後,它必須顯示優先順序0錨定本地。
在AireOS WLC上重定向ACL
這是AireOS WLC上所需的最終配置。若要建立重新導向ACL,請導覽至Security > Access Control Lists > Access Control Lists > New。輸入ACL名稱(必須與在AVP中傳送的名稱相匹配),然後點選Apply。
現在,按一下剛建立的ACL的名稱。按一下Add New Rule按鈕。與AireOS WLC上的9800控制器不同,您可以為允許到達ISE的流量配置允許語句,而無需重新導向。預設情況下允許DHCP和DNS。
配置ISE
最後一步是為CWA配置ISE。有多個選項可供選擇,但本示例使用基本資訊和預設的自註冊訪客門戶。
在ISE上,您需要建立授權配置檔案、帶有身份驗證策略的策略集和使用授權配置檔案的授權策略。將9800(外部)作為網路裝置新增到ISE,並建立使用者名稱和密碼以登入網路。
要建立授權配置檔案,請轉至Policy > Policy Elements > Authorization > Results > Authorization Profiles > +Add。確保返回的訪問型別為ACCESS_ACCEPT,然後設定要傳送回的AVP。對於CWA,重定向ACL和重定向URL是必需的,但您也可以像VLAN ID和會話超時一樣傳送回。非常重要,ACL名稱應與外部WLC和錨點WLC上的重新導向ACL名稱相符。
然後,您需要配置一種方法,將剛剛建立的授權配置檔案應用到通過CWA的客戶端。為此,一種方法是建立在使用MAB時繞過身份驗證的策略集,並在使用被叫站ID中傳送的SSID時應用授權配置檔案。同樣,有很多方法可以實現這一點,因此,如果您需要一些更具體或更安全的方法,這是最簡單的方法。
要建立策略集,請轉至Policy > Policy Sets,然後單擊螢幕左側的+按鈕。命名新策略集,並確保將其設定為Default Network Access,或允許使用Process Host Lookup for MAB的任何允許的協定清單(要檢查允許的協定清單,請轉至Policy > Policy Elements > Results > Authentication > Allowed Protocols)。現在,按一下您建立的新策略集中間的+符號。
對於此策略設定,每次在ISE中使用MAB時,它都可以通過此策略設定。稍後,您可以制定與被叫站ID匹配的授權策略,以便根據使用的WLAN應用不同的結果。此流程非常可定製,可以匹配許多內容
在策略集中,建立策略。身份驗證策略可以在MAB上再次匹配,但您需要更改ID儲存以使用Internal Endpoints,並且需要更改選項以繼續Auth Fail和User Not Found。
設定身份驗證策略後,需要在授權策略中建立兩個規則。此策略看上去像ACL,因此順序需要將Post-Auth規則放在頂部,將Pre-Auth規則放在底部。Post-Auth規則匹配已通過訪客流的使用者。也就是說,如果他們已經登入,則表示他們已達到該規則並停止該操作。如果他們尚未登入,則會繼續進入清單並按Pre-Auth規則以取得重新導向。最好將授權策略規則與以SSID結尾的被叫站ID進行匹配,以便其僅對配置為這樣做的WLAN命中。
在配置策略集後,您需要通知ISE有關9800(外部)的資訊,以便ISE將其信任為身份驗證器。這可以在Admin > Network Resources > Network Device > +中完成。您需要為其命名、設定IP地址(在本例中是整個管理子網)、啟用RADIUS並設定共用金鑰。ISE上的共用金鑰必須與9800上的共用金鑰匹配,否則此進程失敗。新增配置後,點選submit按鈕儲存配置。
最後,您需要將客戶端要輸入的使用者名稱和密碼新增到登入頁中,以驗證它們是否必須有權訪問網路。此操作在Admin > Identity Management > Identity > Users > +Addat下完成,並確保在新增後按一下Submit。與ISE的所有其他配置一樣,這是可定製的,無需使用者本地儲存,但也是最簡單的配置。
當AireOS WLC是外部,Catalyst 9800是錨點時,配置的差異
如果您希望AireOs WLC成為外部控制器,則配置與前面介紹的相同,但存在一些差異。
- AAA記帳從來不在錨點上完成,因此9800沒有記帳方法清單,而AireOS WLC將啟用記帳並指向ISE。
- AireOS需要錨定到9800而不是其自身。在Policy Profile中,9800不會選擇錨點,但會選中Export Anchor框。
- 必須注意的是,當AireOS WLC將客戶端匯出到9800時,沒有策略配置檔案的概念。只會傳送WLAN設定檔名稱。因此,9800會將從AireOS傳送的WLAN配置檔名稱應用到WLAN配置檔名稱和策略配置檔名稱。從AireOS WLC錨定到9800 WLC時,兩個WLC上的WLAN配置檔名稱和9800上的策略配置檔名稱必須匹配。
驗證
若要驗證9800 WLC上的組態,請執行以下命令:
Show Run | section aaa|radius
Show wlan id <wlan id>
Show wireless profile policy detailed <profile name>
Show wireless tag policy detailed <policy tag name>
Show IP access-list <ACL name>
Show wireless mobility summary
要驗證AireOS WLC上的配置,請運行命令。
Show radius summary
Show WLAN <wlan id>
Show acl detailed <acl name>
Show mobility summary
疑難排解
根據客戶端在該過程中停止的點,故障排除看起來不同。例如,如果WLC從未從MAB上的ISE收到響應,則客戶端將停滯在Policy Manager State: Associating中,並且不會匯出到錨點。在這種情況下,您只會對外路由進行疑難排解,您需要為WLC和ISE之間的流量收集RA追蹤和封包擷取。另一個範例是MAB已成功通過,但使用者端沒有收到重新導向。在這種情況下,您需要確保外部在AVP中收到重定向並將其應用於客戶端。您還需要檢查錨點,以確保客戶端的正確ACL位於錨點上。此故障排除範圍不屬於本文的設計範圍(有關通用客戶端故障排除指南,請檢視相關資訊)。
如需更多有關在9800 WLC上排除CWA的幫助,請參閱Cisco Live!簡報DGTL-TSCENT-404。
附註:只有完成註冊的思科使用者有權存取思科內部工具與資訊。
Catalyst 9800故障排除資訊
客戶端詳細資訊
show wireless client mac-address <client mac> detail
在此必須檢視Policy Manager State、Session Manager > Auth Method、Mobility Role。
也可在GUI的Monitoring > Clients下找到此資訊。
嵌入式封包擷取
命令從CLI中啟動#monitor capture <capture name>,然後是選項。
在GUI中轉至Troubleshooting > Packet Capture > +Add。
RadioActive跟蹤
在CLI上:
debug wireless mac|ip <client mac|ip>
使用該命令的no形式將其停止。記錄到名為ra_trace的bootflash中的檔案中,然後記錄客戶端MAC或IP地址以及日期和時間。
在GUI中導覽至Troubleshoot > Radiative Trace > +Add。新增客戶端mac或ip地址,按一下Apply,然後點選start。完成該過程數次後,停止跟蹤、生成日誌並將其下載到您的裝置。
AireOS故障排除資訊
客戶端詳細資訊
在CLI中,show client details <client mac>。
在GUI上,選擇Monitor > Clients。
從CLI調試
Debug client <client mac>
Debug mobility handoff
Debug mobility config
相關資訊