El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar un controlador de LAN inalámbrica elástico (9800 WLC) con puntos de acceso (AP) en modo FlexConnect y una red de área local inalámbrica (WLAN) 802.1x conmutada localmente con la invalidación de autenticación, autorización y contabilidad (AAA) de la red de área local virtual (VLAN).
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Puede seguir las instrucciones de este enlace:
Configuración de AAA en WLC 9800
Puede seguir las instrucciones de este enlace:
A diferencia de la configuración de AireOS, en el WLC 9800 no es posible configurar el modo de flexconnect o local AP directamente desde el AP. Siga estos pasos para configurar un AP en el modo FlexConnect.
GUI
Paso 1. Configuración de un perfil flexible.
Desplácese hasta Configuración > Etiquetas y perfiles > Flex y modifique el default-flex-profile o haga clic en +Agregar para crear uno nuevo.
Paso 2. Agregue las VLAN necesarias (tanto las VLAN de la WLAN predeterminada como las VLAN transferidas desde ISE).
Nota: En el paso 3 de la sección Configuración del Perfil de Política, seleccione la VLAN predeterminada asignada al SSID. Si utiliza un nombre de VLAN en ese paso, asegúrese de utilizar el mismo nombre de VLAN en la configuración de Flex Profile; de lo contrario, los clientes no podrán conectarse a la WLAN.
Opcionalmente, puede agregar ACL específicas por VLAN.
Opcionalmente, asigne un grupo de servidores Radius para permitir que los AP FlexConnect realicen la autenticación local.
Paso 3. Configurar una etiqueta de sitio.
Vaya a Configuración > Etiquetas y perfiles > Etiquetas > Sitio. Modifique la etiqueta default-site-tag (que es la etiqueta asignada de forma predeterminada a todos los AP) o cree una nueva etiqueta (haga clic en +Agregar para crear una nueva).
Asegúrese de desactivar la opción Enable Local Site; de lo contrario, la opción Flex Profile no estará disponible.
Nota: Cualquier AP que obtenga una etiqueta del sitio con la opción Habilitar sitio local habilitada, se configura como modo local. Del mismo modo, cualquier AP que tenga una etiqueta de sitio con Habilitar sitio local desactivado, se configura como modo flexconnect.
Paso 4. Asocie un AP al WLC 9800 y asigne la etiqueta del sitio configurada en el paso 2.
Vaya a Configuration > Wireless > Access Points > AP name y establezca la etiqueta Site. A continuación, haga clic en Update & Apply to Device para establecer el cambio.
Nota: Tenga en cuenta que después de cambiar la etiqueta en un AP, pierde su asociación con el WLC 9800 y se une de nuevo dentro de aproximadamente 1 minuto.
Paso 5. Una vez que el AP se une nuevamente, observe que el modo AP es Flex
CLI
# config t # wireless profile flex new-flex-profile # arp-caching # description "New flex profile" # native-vlan-id 2601 # config t # wireless tag site new-flex-site # flex-profile new-flex-profile # no local-site # site-tag new-flex-site # config t # ap <eth-mac-address> # site-tag new-flex-site Associating site-tag will cause associated AP to reconnect # exit #show ap name <ap-name> config general | inc AP Mode AP Mode : FlexConnect
Configure la interfaz del switch a la que el AP está conectado.
# config t # interface <int-id> # switchport trunk native vlan 2601 # switchport mode trunk # spanning-tree portfast trunk # end
Dentro de un perfil de política puede decidir a qué VLAN asignar los clientes, entre otras configuraciones (como la lista de controles de acceso [ACL], calidad de servicio [QoS], ancla de movilidad, temporizadores, etc.).
GUI
Paso 1. Configure el perfil de política que se asignará a la WLAN.
Navegue hasta Configuration > Tags & Profiles > Policy y cree uno nuevo o modifique el default-policy-profile.
Paso 2. En la ficha General, asigne un nombre al perfil de directiva y cambie su estado a ENABLED (HABILITADO).
Paso 3. En la pestaña Access Policies , asigne la VLAN a la que están asignados los clientes inalámbricos cuando se conectan a esta WLAN de forma predeterminada.
Puede seleccionar un nombre de VLAN en el menú desplegable o escribir manualmente un ID de VLAN.
Nota: Si selecciona un nombre de vlan del menú desplegable, asegúrese de que coincida con el nombre de vlan utilizado en el paso 2 de la sección Establecer AP como modo FlexConnect.
or
Paso 4. Vaya a la pestaña Advanced y habilite las opciones Central Authentication Enable y Allow AAA . El Switching Central debe estar inhabilitado.
La autenticación central debe estar habilitada si desea que el proceso de autenticación sea realizado centralmente por el WLC 9800. Desactívela si desea que los puntos de acceso de FlexConnect autentiquen los clientes inalámbricos.
CLI
# config t
# wireless profile policy new-policy-profile # central association # vlan <vlan-id or vlan-name> # no shutdown
La etiqueta de directiva se utiliza para vincular el SSID con el perfil de directiva. Puede crear una nueva etiqueta de política o utilizar la etiqueta de política predeterminada.
Nota: La etiqueta de política predeterminada asigna automáticamente cualquier SSID con una ID de WLAN entre 1 y 16 al perfil de política predeterminado. No se puede modificar ni eliminar. Si tiene una WLAN con ID 17 o superior, no se puede utilizar default-policy-tag.
GUI:
Navegue hasta Configuration > Tags & Profiles > Tags > Policy y agregue uno nuevo si es necesario.
Vincule su perfil de WLAN con el perfil de política deseado.
CLI:
# config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name>
Asigne la etiqueta Policy al AP
GUI
Para asignar la etiqueta a un AP, navegue hasta Configuration > Wireless > Access Points > AP Name > General Tags, realice la asignación necesaria y luego haga clic en Update & Apply to Device .
Nota: Tenga en cuenta que después de cambiar la etiqueta de la política en un AP, pierde su asociación al WLC 9800 y se une de nuevo dentro de aproximadamente 1 minuto.
Para asignar la misma etiqueta de política a varios AP, navegue hasta Configuration > Wireless > Wireless Setup > Start Now > Apply .
Seleccione los AP a los que desea asignar la etiqueta y haga clic en + Tag APs
Seleccione la etiqueta deseada y haga clic en Guardar y aplicar al dispositivo
CLI
# config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end
Para la configuración de ISE v1.2, verifique este enlace:
Puede utilizar estos comandos para verificar la configuración actual
# show run wlan # show run aaa # show aaa servers # show ap config general # show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
El WLC 9800 ofrece capacidades de seguimiento SIEMPRE ACTIVAS. Esto garantiza que todos los errores relacionados con la conectividad del cliente, los mensajes de nivel de aviso y las advertencias se registren constantemente y que pueda ver los registros de una condición de incidente o falla después de que se haya producido.
Nota: Dependiendo del volumen de registros que se generen, puede retroceder unas horas a varios días.
Para ver los seguimientos que recopiló el WLC 9800 de manera predeterminada, puede conectarse a través de SSH/Telnet al WLC 9800 y seguir estos pasos (asegúrese de registrar la sesión en un archivo de texto).
Paso 1. Compruebe la hora actual del controlador para poder realizar un seguimiento de los registros en el tiempo hasta el momento en que ocurrió el problema.
# show clock
Paso 2. Recopile syslogs del búfer del controlador o syslogs externos según lo determine la configuración del sistema. Esto proporciona una vista rápida del estado del sistema y de los errores, si corresponde.
# show logging
Paso 3. Verifique si hay alguna condición de depuración habilitada.
# show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
Nota: Si ve alguna condición en la lista, significa que los seguimientos se están registrando en el nivel de depuración para todos los procesos que encuentran las condiciones habilitadas (dirección MAC, dirección IP, etc.). Esto aumenta el volumen de registros. Por lo tanto, se recomienda borrar todas las condiciones cuando no se depura activamente.
Paso 4. Si se supone que la dirección MAC que se prueba no figura como condición en el Paso 3, recopile los seguimientos de nivel de aviso siempre activos para la dirección MAC específica.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Puede mostrar el contenido de la sesión o copiar el archivo en un servidor TFTP externo.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Depuración condicional y seguimiento activo por radio
Si los seguimientos siempre activos no le proporcionan información suficiente para determinar el desencadenante del problema que se está investigando, puede habilitar la depuración condicional y capturar el seguimiento activo por radio (RA) que proporcionará seguimientos de nivel de depuración para todos los procesos que interactúan con la condición (dirección MAC del cliente en este caso). Para habilitar la depuración condicional, siga estos pasos.
Paso 5. Asegúrese de que no haya condiciones de depuración habilitadas.
# clear platform condition all
Paso 6. Habilite la condición de depuración para la dirección MAC del cliente inalámbrico que desea monitorear.
Estos comandos comienzan a monitorear la dirección MAC proporcionada durante 30 minutos (1800 segundos). Opcionalmente, puede aumentar este tiempo hasta 2 085 978 494 segundos.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Nota: Para monitorear más de un cliente a la vez, ejecute el comando debug wireless mac<aaaa.bbbb.cccc> por dirección MAC.
Nota: No verá el resultado de la actividad del cliente en la sesión del terminal, ya que todo se almacena internamente para verlo más adelante.
Paso 7. Reproduzca el problema o el comportamiento que desea monitorear.
Paso 8. Detenga las depuraciones si el problema se reproduce antes de que se agote el tiempo de monitoreo predeterminado o configurado.
# no debug wireless mac <aaaa.bbbb.cccc>
Una vez que ha transcurrido el tiempo de monitoreo o se ha detenido la depuración inalámbrica, el WLC 9800 genera un archivo local con el nombre:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Paso 9. Recopile el archivo de la actividad de la dirección MAC. Puede copiar el archivo de seguimiento activo por radio .log en un servidor externo o mostrar el resultado directamente en la pantalla.
Verifique el nombre del archivo de seguimiento activo por radio
# dir bootflash: | inc ra_trace
Copie el archivo en un servidor externo:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Muestre el contenido:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Paso 10. Si la causa raíz aún no es obvia, recopile los registros internos, que son una vista más detallada de los registros de nivel de depuración. No es necesario depurar el cliente de nuevo, ya que solo estamos dando un vistazo más detallado a los registros de depuración que ya se han recopilado y almacenado internamente.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Nota: Esta salida de comando devuelve seguimientos para todos los niveles de registro para todos los procesos y es bastante voluminosa. Utilice Cisco TAC para analizar estos seguimientos.
Puede copiar ra-internal-FILENAME.txt en un servidor externo o mostrar el resultado directamente en la pantalla.
Copie el archivo en un servidor externo:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Muestre el contenido:
# more bootflash:ra-internal-<FILENAME>.txt
Paso 11. Elimine las condiciones de depuración.
# clear platform condition all
Nota: Asegúrese de eliminar siempre las condiciones de depuración después de una sesión de troubleshooting.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
21-Nov-2018 |
Versión inicial |