WLAN FlexConnect con anulación de 802.1x AAA en los controladores inalámbricos Catalyst 9800

Opciones de descarga

  • PDF     (1.8 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.9 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:27 de noviembre de 2018
ID del documento:213924

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar un controlador de LAN inalámbrica elástico (9800 WLC) con puntos de acceso (AP) en modo FlexConnect y una red de área local inalámbrica (WLAN) 802.1x conmutada localmente con la invalidación de autenticación, autorización y contabilidad (AAA) de la red de área local virtual (VLAN).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Modo de configuración del WLC 9800
    • FlexConnect

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • 9800 WLC v16.10

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de la red

    Configuración

    Configuración de AAA en WLC 9800

    Puede seguir las instrucciones de este enlace:

    Configuración de AAA en WLC 9800

    Configuración de WLAN

    Puede seguir las instrucciones de este enlace:

    Configuración de WLAN

    Establecer AP como modo FlexConnect

    A diferencia de la configuración de AireOS, en el WLC 9800 no es posible configurar el modo de flexconnect o local AP directamente desde el AP. Siga estos pasos para configurar un AP en el modo FlexConnect.

    GUI

    Paso 1. Configuración de un perfil flexible.

    Desplácese hasta Configuración > Etiquetas y perfiles > Flex y modifique el default-flex-profile o haga clic en +Agregar para crear uno nuevo.

    Paso 2. Agregue las VLAN necesarias (tanto las VLAN de la WLAN predeterminada como las VLAN transferidas desde ISE).

      

    Nota: En el paso 3 de la sección Configuración del Perfil de Política, seleccione la VLAN predeterminada asignada al SSID. Si utiliza un nombre de VLAN en ese paso, asegúrese de utilizar el mismo nombre de VLAN en la configuración de Flex Profile; de lo contrario, los clientes no podrán conectarse a la WLAN.

    Opcionalmente, puede agregar ACL específicas por VLAN.

     Opcionalmente, asigne un grupo de servidores Radius para permitir que los AP FlexConnect realicen la autenticación local.

    Paso 3. Configurar una etiqueta de sitio.

    Vaya a Configuración > Etiquetas y perfiles > Etiquetas > Sitio. Modifique la etiqueta default-site-tag (que es la etiqueta asignada de forma predeterminada a todos los AP) o cree una nueva etiqueta (haga clic en +Agregar para crear una nueva). 

    Asegúrese de desactivar la opción Enable Local Site; de lo contrario, la opción Flex Profile no estará disponible. 

    Nota: Cualquier AP que obtenga una etiqueta del sitio con la opción Habilitar sitio local habilitada, se configura como modo local. Del mismo modo, cualquier AP que tenga una etiqueta de sitio con Habilitar sitio local desactivado, se configura como modo flexconnect.

     Paso 4. Asocie un AP al WLC 9800 y asigne la etiqueta del sitio configurada en el paso 2.

    Vaya a Configuration > Wireless > Access Points > AP name y establezca la etiqueta Site. A continuación, haga clic en Update & Apply to Device para establecer el cambio.

    Nota: Tenga en cuenta que después de cambiar la etiqueta en un AP, pierde su asociación con el WLC 9800 y se une de nuevo dentro de aproximadamente 1 minuto. 

     Paso 5. Una vez que el AP se une nuevamente, observe que el modo AP es Flex

    CLI

    # config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601

# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site

# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit

#show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : FlexConnect

    Configuración del switch

    Configure la interfaz del switch a la que el AP está conectado.

    # config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end

    Configuración del perfil de la política

    Dentro de un perfil de política puede decidir a qué VLAN asignar los clientes, entre otras configuraciones (como la lista de controles de acceso [ACL], calidad de servicio [QoS], ancla de movilidad, temporizadores, etc.).

    GUI

    Paso 1. Configure el perfil de política que se asignará a la WLAN.

      

    Navegue hasta Configuration > Tags & Profiles > Policy y cree uno nuevo o modifique el default-policy-profile.

     Paso 2. En la ficha General, asigne un nombre al perfil de directiva y cambie su estado a ENABLED (HABILITADO).

     Paso 3. En la pestaña Access Policies , asigne la VLAN a la que están asignados los clientes inalámbricos cuando se conectan a esta WLAN de forma predeterminada.

    Puede seleccionar un nombre de VLAN en el menú desplegable o escribir manualmente un ID de VLAN.

      

    Nota: Si selecciona un nombre de vlan del menú desplegable, asegúrese de que coincida con el nombre de vlan utilizado en el paso 2 de la sección Establecer AP como modo FlexConnect.

    or

    Paso 4. Vaya a la pestaña Advanced y habilite las opciones Central Authentication Enable y Allow AAA . El Switching Central debe estar inhabilitado.

    La autenticación central debe estar habilitada si desea que el proceso de autenticación sea realizado centralmente por el WLC 9800. Desactívela si desea que los puntos de acceso de FlexConnect autentiquen los clientes inalámbricos.

    CLI

    # config t
    # wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown

    Configuración de etiquetas de políticas

    La etiqueta de directiva se utiliza para vincular el SSID con el perfil de directiva. Puede crear una nueva etiqueta de política o utilizar la etiqueta de política predeterminada.

    Nota: La etiqueta de política predeterminada asigna automáticamente cualquier SSID con una ID de WLAN entre 1 y 16 al perfil de política predeterminado. No se puede modificar ni eliminar. Si tiene una WLAN con ID 17 o superior, no se puede utilizar default-policy-tag.

    GUI:

    Navegue hasta Configuration > Tags & Profiles > Tags > Policy y agregue uno nuevo si es necesario.

    Vincule su perfil de WLAN con el perfil de política deseado.

      

    CLI:

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    Asignación de etiquetas de políticas

    Asigne la etiqueta Policy al AP

    GUI

    Para asignar la etiqueta a un AP, navegue hasta Configuration > Wireless > Access Points > AP Name > General Tags, realice la asignación necesaria y luego haga clic en Update & Apply to Device .

      

    Nota: Tenga en cuenta que después de cambiar la etiqueta de la política en un AP, pierde su asociación al WLC 9800 y se une de nuevo dentro de aproximadamente 1 minuto.

    Para asignar la misma etiqueta de política a varios AP, navegue hasta Configuration > Wireless > Wireless Setup > Start Now > Apply .


    Seleccione los AP a los que desea asignar la etiqueta y haga clic en + Tag APs

    Seleccione la etiqueta deseada y haga clic en Guardar y aplicar al dispositivo

    CLI

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    Configuración de ISE

    Para la configuración de ISE v1.2, verifique este enlace:

    Configuración de ISE

    Verificación

    Puede utilizar estos comandos para verificar la configuración actual

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Troubleshoot

    El WLC 9800 ofrece capacidades de seguimiento SIEMPRE ACTIVAS. Esto garantiza que todos los errores relacionados con la conectividad del cliente, los mensajes de nivel de aviso y las advertencias se registren constantemente y que pueda ver los registros de una condición de incidente o falla después de que se haya producido. 

    Nota: Dependiendo del volumen de registros que se generen, puede retroceder unas horas a varios días.

    Para ver los seguimientos que recopiló el WLC 9800 de manera predeterminada, puede conectarse a través de SSH/Telnet al WLC 9800 y seguir estos pasos (asegúrese de registrar la sesión en un archivo de texto).

    Paso 1. Compruebe la hora actual del controlador para poder realizar un seguimiento de los registros en el tiempo hasta el momento en que ocurrió el problema.

    # show clock

     Paso 2. Recopile syslogs del búfer del controlador o syslogs externos según lo determine la configuración del sistema. Esto proporciona una vista rápida del estado del sistema y de los errores, si corresponde.

    # show logging

    Paso 3. Verifique si hay alguna condición de depuración habilitada.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Nota: Si ve alguna condición en la lista, significa que los seguimientos se están registrando en el nivel de depuración para todos los procesos que encuentran las condiciones habilitadas (dirección MAC, dirección IP, etc.). Esto aumenta el volumen de registros. Por lo tanto, se recomienda borrar todas las condiciones cuando no se depura activamente.

    Paso 4. Si se supone que la dirección MAC que se prueba no figura como condición en el Paso 3, recopile los seguimientos de nivel de aviso siempre activos para la dirección MAC específica.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Puede mostrar el contenido de la sesión o copiar el archivo en un servidor TFTP externo.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Depuración condicional y seguimiento activo por radio 

    Si los seguimientos siempre activos no le proporcionan información suficiente para determinar el desencadenante del problema que se está investigando, puede habilitar la depuración condicional y capturar el seguimiento activo por radio (RA) que proporcionará seguimientos de nivel de depuración para todos los procesos que interactúan con la condición (dirección MAC del cliente en este caso). Para habilitar la depuración condicional, siga estos pasos.

    Paso 5. Asegúrese de que no haya condiciones de depuración habilitadas.

    # clear platform condition all

    Paso 6. Habilite la condición de depuración para la dirección MAC del cliente inalámbrico que desea monitorear.

    Estos comandos comienzan a monitorear la dirección MAC proporcionada durante 30 minutos (1800 segundos). Opcionalmente, puede aumentar este tiempo hasta 2 085 978 494 segundos.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Nota: Para monitorear más de un cliente a la vez, ejecute el comando debug wireless mac<aaaa.bbbb.cccc> por dirección MAC.

    Nota: No verá el resultado de la actividad del cliente en la sesión del terminal, ya que todo se almacena internamente para verlo más adelante.

      

    Paso 7. Reproduzca el problema o el comportamiento que desea monitorear.

    Paso 8. Detenga las depuraciones si el problema se reproduce antes de que se agote el tiempo de monitoreo predeterminado o configurado.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Una vez que ha transcurrido el tiempo de monitoreo o se ha detenido la depuración inalámbrica, el WLC 9800 genera un archivo local con el nombre:

    ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Paso 9. Recopile el archivo de la actividad de la dirección MAC.     Puede copiar el archivo de seguimiento activo por radio  .log en un servidor externo o mostrar el resultado directamente en la pantalla.

    Verifique el nombre del archivo de seguimiento activo por radio

    # dir bootflash: | inc ra_trace

    Copie el archivo en un servidor externo:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Muestre el contenido:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Paso 10. Si la causa raíz aún no es obvia, recopile los registros internos, que son una vista más detallada de los registros de nivel de depuración. No es necesario depurar el cliente de nuevo, ya que solo estamos dando un vistazo más detallado a los registros de depuración que ya se han recopilado y almacenado internamente.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Nota: Esta salida de comando devuelve seguimientos para todos los niveles de registro para todos los procesos y es bastante voluminosa. Utilice Cisco TAC para analizar estos seguimientos.

    Puede copiar ra-internal-FILENAME.txt en un servidor externo o mostrar el resultado directamente en la pantalla.

    Copie el archivo en un servidor externo:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Muestre el contenido:

    # more bootflash:ra-internal-<FILENAME>.txt

     Paso 11. Elimine las condiciones de depuración.

    # clear platform condition all

    Nota: Asegúrese de eliminar siempre las condiciones de depuración después de una sesión de troubleshooting.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    21-Nov-2018
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Karla Cisneros Galvan
      Cisco TAC Engineer
    • Sudha Katgeri
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos