Configuración de FlexConnect con autenticación en el WLC Catalyst 9800

Introducción

Este documento describe cómo configurar FlexConnect con autenticación central o local en el controlador de LAN inalámbrica de Catalyst 9800.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Modelo de configuración de Catalyst Wireless 9800
• FlexConnect
• 802.1x


Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• C9800-CL, Cisco IOS-XE® 17.3.4
  

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

FlexConnect es una solución inalámbrica para la implementación en oficinas remotas. Permite configurar puntos de acceso (AP) en ubicaciones remotas desde la oficina corporativa a través de un enlace de red de área extensa (WAN) sin necesidad de implementar un controlador en cada ubicación. Los AP FlexConnect pueden conmutar el tráfico de datos del cliente localmente y realizar la autenticación del cliente localmente cuando se pierde la conexión con el controlador. En el modo conectado, los puntos de acceso de FlexConnect también pueden realizar la autenticación local.

Configurar

Diagrama de la red

Configuraciones

Configuración AAA en WLC 9800

Paso 1. Declarar servidor RADIUS. Desde GUI: Navegue hasta Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add e ingrese la información del servidor RADIUS.

Asegúrese de que Support for CoA esté habilitado si planea utilizar cualquier tipo de seguridad que requiera CoA en el futuro. 

  

Nota: Radius CoA no se admite en la implementación de autenticación local de Flex Connect. .

Paso 2. Agregue el servidor RADIUS a un grupo RADIUS. En GUI: vaya a Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add.

Paso 3. Cree una lista de métodos de autenticación. En GUI: vaya a Configuration > Security > AAA > AAA Method List > Authentication > + Add

Desde CLI:

# config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>

Configuración de WLAN

Paso 1. Desde GUI: Navegue hasta Configuration > Wireless > WLANs y haga clic en +Add para crear una nueva WLAN, e ingrese la información de WLAN. A continuación, haga clic en Aplicar al dispositivo.

Paso 2. Desde la GUI: Vaya a la pestaña Security para configurar el modo de seguridad de capa 2/capa 3, siempre y cuando el método de cifrado y la lista de autenticación estén en uso. A continuación, haga clic en Update & Apply to Device.

Configuración del perfil de la política

Paso 1. En GUI: vaya a Configuration > Tags & Profiles > Policy y haga clic en +Add para crear un perfil de política.

Paso 2. Agregue el nombre y desmarque la casilla Central Switching. Con esta configuración, el controlador gestiona la autenticación del cliente y el punto de acceso FlexConnect conmuta los paquetes de datos del cliente localmente.

Nota: La asociación y el switching deben estar siempre emparejados, si el switching central está inhabilitado, la asociación central también debe inhabilitarse en todos los perfiles de políticas cuando se utilizan AP Flexconnect.

Paso 3. Desde GUI: Vaya a la pestaña Access Policies para asignar la VLAN a la que se pueden asignar los clientes inalámbricos cuando se conectan a esta WLAN de forma predeterminada.

Puede seleccionar un nombre de VLAN en el menú desplegable o, como práctica recomendada, escribir manualmente un ID de VLAN.

Paso 4. Desde la GUI: vaya a la pestaña Advanced para configurar los tiempos de espera de WLAN, DHCP, la política WLAN Flex y la política AAA en caso de que estén en uso. A continuación, haga clic en Update & Apply to Device.

Configuración de etiquetas de políticas

Paso 1. En GUI: vaya a Configuration > Tags & Profiles > Tags > Policy > +Add. 

Paso 2. Asigne un nombre y asigne el perfil de política y el perfil WLAN antes de crear.

Configuración de perfil flexible

Paso 1. Desde GUI: Navegue hasta Configuration > Tags & Profiles > Flex y haga clic en +Add para crear uno nuevo.

Nota: El ID de VLAN nativa hace referencia a la VLAN utilizada por los AP que pueden asignar este Flex Profile y debe ser el mismo ID de VLAN configurado como nativo en el puerto del switch donde se conectan los AP.

Paso 2. En la pestaña VLAN, agregue las VLAN necesarias, las asignadas de forma predeterminada a la WLAN a través de un perfil de política o las que envía un servidor RADIUS. A continuación, haga clic en Update & Apply to Device.

Nota: Para Policy Profile, cuando selecciona la VLAN predeterminada asignada al SSID. Si utiliza un nombre de VLAN en ese paso, asegúrese de que utiliza el mismo nombre de VLAN en la configuración de Flex Profile; de lo contrario, los clientes no podrán conectarse a la WLAN.

Nota: Para configurar una ACL para flexConnect con anulación de AAA, solo configúrela en la "política ACL"; si la ACL está asignada a una VLAN específica, agregue la ACL al agregar la VLAN y, a continuación, agregue la ACL en la "política ACL".

Configuración de etiqueta de sitio

Paso 1. En GUI: vaya a Configuration > Tags & Profiles > Tags > Site y haga clic en +Add para crear una nueva etiqueta Site. Desmarque la casilla Enable Local Site para permitir que los APs conmuten el tráfico de datos del cliente localmente, y agregue el Flex Profile creado anteriormente.

Nota: al deshabilitar la opción Habilitar sitio local, los AP a los que se asigna esta etiqueta de sitio se pueden configurar como modo FlexConnect.

Paso 2. Desde GUI: Navegue hasta Configuration > Wireless > Access Points > AP name para agregar la etiqueta Site Tag y la etiqueta Policy a un AP asociado. Esto puede hacer que el AP reinicie su túnel CAPWAP y vuelva a unirse al WLC 9800.

Una vez que el AP se une nuevamente, observe que el AP está ahora en el modo FlexConnect.

Autenticación local con servidor RADIUS externo

Paso 1. Agregue el AP como un dispositivo de red en el servidor RADIUS. Para ver un ejemplo, consulte Cómo utilizar Identity Service Engine (ISE) como servidor RADIUS

Paso 2. Cree una WLAN.

La configuración puede ser la misma que la configurada anteriormente.

Paso 3. Configuración del perfil de la política.

Puede crear uno nuevo o utilizar el configurado anteriormente. Esta vez, desmarque las casillas Central Switching, Central Authentication, Central DHCP y Central Association Enable.

Paso 4. Configuración de etiquetas de políticas.

Asocie la WLAN configurada y el perfil de política creado.

Paso 5. Configuración de Flex Profile.

Cree un Flex Profile, navegue hasta la ficha Local Authentication, configure el Radius Server Group y marque la casilla RADIUS.

Paso 6. Configuración de la etiqueta del sitio.

Configure el Flex Profile configurado en el paso 5 y desmarque la casilla Enable Local Site.

Verificación

Autenticación central:

Autenticación local:

 Puede utilizar estos comandos para verificar la configuración actual:

Desde CLI:

# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>  

Troubleshoot

El WLC 9800 proporciona capacidades de seguimiento SIEMPRE ACTIVO. Esto garantiza que todos los mensajes de nivel de aviso, advertencias y errores relacionados con la conectividad del cliente se registren constantemente y que pueda ver los registros de una condición de incidente o error después de que se haya producido. 

Nota: Según el volumen de registros generados, puede retroceder unas horas a varios días.

Para ver los seguimientos que 9800 WLC recolectó por defecto, puede conectarse vía SSH/Telnet al 9800 WLC y seguir estos pasos (asegúrese de registrar la sesión en un archivo de texto).

Paso 1. Compruebe la hora actual del controlador para poder realizar un seguimiento de los registros en el tiempo hasta el momento en que ocurrió el problema.

Desde CLI:

# show clock

Paso 2. Recopile registros del sistema del buffer del controlador o del registro del sistema externo según lo dicte la configuración del sistema. Esto proporciona una vista rápida del estado del sistema y de los errores, si los hubiera.

Desde CLI:

# show logging

Paso 3. Verifique si hay alguna condición de depuración habilitada.

Desde CLI:

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Nota: Si encuentra alguna condición en la lista, significa que los seguimientos se registran en el nivel de depuración para todos los procesos que encuentran las condiciones habilitadas (dirección MAC, dirección IP, etc.). Esto aumenta el volumen de registros. Por lo tanto, se recomienda borrar todas las condiciones cuando no se depura activamente.

Paso 4. Si asume que la dirección MAC en prueba no se incluyó como condición en el Paso 3, recopile los seguimientos del nivel de aviso siempre activo para la dirección MAC específica.

Desde CLI:

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

Puede mostrar el contenido de la sesión o copiar el archivo en un servidor TFTP externo.

Desde CLI:

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Depuración condicional y seguimiento de radio activo 

Si los seguimientos siempre activos no proporcionan suficiente información para determinar el desencadenador del problema que se está investigando, puede habilitar la depuración condicional y capturar el seguimiento de Radio Active (RA), que puede proporcionar seguimientos de nivel de depuración para todos los procesos que interactúan con la condición especificada (dirección MAC del cliente en este caso). Para habilitar la depuración condicional, siga estos pasos.

Paso 5. Asegúrese de que no haya condiciones de depuración habilitadas.

Desde CLI:

# clear platform condition all

Paso 6. Habilite la condición de depuración para la dirección MAC del cliente inalámbrico que desea monitorear.

Este comando comienza a monitorear la dirección MAC proporcionada durante 30 minutos (1800 segundos). Opcionalmente, puede aumentar este tiempo hasta 2 085 978 494 segundos.

Desde CLI:

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

  

Nota: Para monitorear más de un cliente a la vez, ejecute el comando debug wireless mac<aaaa.bbbb.cccc> por dirección MAC.

Nota: Usted no ve el resultado de la actividad del cliente en la sesión de terminal, ya que todo se almacena en buffer internamente para ser visto más tarde.

  

Paso 7. Reproduzca el problema o el comportamiento que desea monitorear.

Paso 8. Detenga las depuraciones si el problema se reproduce antes de que se agote el tiempo de monitoreo predeterminado o configurado.

Desde CLI:

# no debug wireless mac <aaaa.bbbb.cccc>

Una vez que ha transcurrido el tiempo de monitoreo o se ha detenido la depuración inalámbrica, el WLC 9800 genera un archivo local con el nombre:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Paso 9. Recopile el archivo de la actividad de la dirección MAC.     Puede copiar el archivo de seguimiento activo por radio  .log en un servidor externo o mostrar el resultado directamente en la pantalla.

Verifique el nombre del archivo de seguimiento activo por radio

Desde CLI:

# dir bootflash: | inc ra_trace

Copie el archivo en un servidor externo:

Desde CLI:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

 Muestre el contenido:

Desde CLI:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Paso 10. Si la causa raíz aún no es obvia, recopile los registros internos, que son una vista más detallada de los registros de nivel de depuración. No es necesario depurar el cliente de nuevo, ya que ha realizado un examen detallado de los registros de depuración que ya se han recopilado y almacenado internamente.

Desde CLI:

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Nota: Esta salida de comando devuelve seguimientos para todos los niveles de registro para todos los procesos y es bastante voluminosa. Utilice Cisco TAC para analizar estos seguimientos.

Puede copiar ra-internal-FILENAME.txt en un servidor externo o mostrar el resultado directamente en la pantalla.

Copie el archivo en un servidor externo:

Desde CLI:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

Muestre el contenido:

Desde CLI:

# more bootflash:ra-internal-<FILENAME>.txt

 Paso 11. Elimine las condiciones de depuración.

Desde CLI:

# clear platform condition all

Nota: Asegúrese de eliminar siempre las condiciones de depuración después de una sesión de troubleshooting.