Configuración de malla en los controladores de LAN inalámbrica de Catalyst 9800

Opciones de descarga

  • PDF     (2.9 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.7 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.6 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:7 de agosto de 2024
ID del documento:215100

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe un ejemplo de configuración básica sobre cómo unir un punto de acceso (AP) de malla al controlador de LAN inalámbrica (WLC) Catalyst 9800.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Modelo de configuración de Catalyst Wireless 9800
    • Configuración de LAPs 
    • Control y suministro de puntos de acceso inalámbricos (CAPWAP)
    • Configuración de un servidor DHCP externo
    • Configuración de switches Cisco

    Componentes Utilizados

    Este ejemplo utiliza un punto de acceso ligero (1572AP y 1542) que se puede configurar como un punto de acceso raíz (RAP) o un punto de acceso de malla (MAP) para unirse al WLC de Catalyst 9800. El procedimiento es idéntico para los puntos de acceso 1542 o 1562. El RAP está conectado al WLC Catalyst 9800 a través de un switch Cisco Catalyst.

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • C9800-CL v16.12.1
    • Switch de capa 2 de Cisco
    • Sección Lightweight Outdoor Access Points de Cisco Aironet serie 1572 para el puente
    • Cisco Aironet 1542 para la sección Flex+Bridge

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Caso práctico 1: Modo puente

    Configuraciones

    Un AP de malla necesita ser autenticado para que se una al controlador 9800. Este caso práctico considera que usted se une al AP en el modo local primero al WLC y después lo convierte al modo de malla del puente (también conocido como). Para evitar la asignación de perfiles de unión de AP, utilice este ejemplo pero configure el método de descarga de credenciales de autorización de aaa predeterminado de modo que cualquier AP de malla pueda unirse al controlador.

    Paso 1: Configure las direcciones MAC de RAP/MAP en Autenticación del Dispositivo.

    Vaya a Configuration > AAA > AAA Advanced > Device Authentication

    Configuración AAA

    Agregue la dirección MAC de Ethernet base de los puntos de acceso de malla. Añádalo sin caracteres especiales, sin '.' o ':'

    Nota: A partir de la versión 17.3.1, si se agrega algún delimitador de dirección mac como '.', ':' o '-', el AP no puede unirse. Actualmente hay 2 mejoras abiertas para esto: ID de bug de Cisco CSCvv43870 e ID de bug de Cisco CSCvr07920. En el futuro, 9800 aceptará todos los formatos de direcciones MAC.

    Agregar una dirección MAC

    Paso 2: Configure la lista de métodos de autenticación y autorización.

    Navegue hasta Configuration > Security > AAA > AAA Method list > Authentication y cree la lista de métodos de autenticación y la lista de métodos de autorización.

    Configuración de autorización AAA

    Configuración de autenticación AAA

    Paso 3: Configure los parámetros de malla global.

    Vaya a Configuration> Mesh> Global parameters. Inicialmente, puede mantener estos valores predeterminados.

    Menú de malla

    Paso 4: Cree un nuevo perfil de malla en Configuration > Mesh > Profile > +Add.

    Agregar un perfil de malla

    Haga clic en el perfil de malla creado para editar la configuración General y Avanzada para el perfil de malla.

    En el diagrama que se muestra, debe asignar el perfil de autenticación y autorización creado anteriormente al perfil de malla.

    Configuración avanzada del perfil de malla

    Paso 5: Crear un nuevo perfil de unión a AP. Vaya a Configure > Tags and Profiles: AP Join.

    Incorporación de AP

    Agregar perfil de unión a PA

    Aplique el perfil de malla previamente configurado y configure la autenticación EAP AP:

    Configuración de los Detalles de Malla en el Perfil de Unión AP

    Paso 6: Cree una etiqueta de ubicación de malla como se muestra.

    Menú Etiquetas

    Configure Haga clic en la ETIQUETA de ubicación de malla creada en el paso 6 para configurarla.

    Navegue hasta la pestaña Sitio y aplíquele el perfil de unión de AP de malla previamente configurado:

    Agregar etiqueta de sitio

    Paso 7. Asigne la etiqueta del sitio al AP. Vaya a Configuration > Wireless > Access points y haga clic en Mesh AP. Asigne la etiqueta del sitio.

    Asignar una etiqueta de sitioAsignar una etiqueta de sitio

    Paso 8. Convierta el AP al modo Bridge.

    Establecer modo de puente

    A través de CLI, puede utilizar este comando en el AP:

    capwap ap mode bridge

    El AP se reinicia y se une nuevamente como modo Bridge.

    Paso 9. Ahora puede definir el papel del AP: AP raíz o AP de malla.

    El AP raíz es el que tiene una conexión cableada al WLC mientras que el AP de la malla se une al WLC vía su radio que intenta conectar a un AP raíz. Un AP de malla puede unirse al WLC a través de su interfaz cableada una vez que no ha podido encontrar un AP raíz a través de su radio, para propósitos de provisión. No olvide especificar la VLAN nativa troncal en la configuración de AP en caso de que sea diferente de la VLAN 1 predeterminada.

    Asignar rol de mallaAsignar rol de malla

    Verificación

    aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
 method authentication Mesh_Authentication
 method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site Mesh_AP_Tag
 ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile Mesh_Profile

    Troubleshoot

    En la página Troubleshooting > Radioactive Trace Web UI, haga clic en add e ingrese la dirección MAC del AP.

    Agregar dirección MAC de RAtrace

    Haga clic en Inicio y espere a que el AP intente unirse al controlador otra vez. Una vez hecho esto, haga clic en Generar y elija un período de tiempo para recopilar los registros (por ejemplo, los últimos 10 o 30 minutos).

    Haga clic en el nombre del archivo de seguimiento para descargarlo desde su navegador.

    Aquí hay un ejemplo de AP no unido porque se definió el nombre incorrecto del método de autorización aaa :

    019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac

    Lo mismo se puede ver más fácilmente en el panel de interfaz de usuario web cuando se hace clic en AP no unidos. Ap auth pending es el indicio que apunta hacia la autenticación del propio AP:

    Estadísticas de unión a PAWidget Unir PA

    Caso práctico 2: Flex + Bridge

    Esta sección resalta el proceso de unión de un AP 1542 en el modo Flex+Bridge con la autenticación EAP hecha localmente en el WLC.

    Configurar

    • Paso 1. Vaya a Configuration > Security > AAA > AAA Advanced > Device Authentication.

    Página Autenticación de Dispositivo: Agregar

    • Paso 2. Seleccione Autenticación de dispositivo y seleccione Agregar.
    • Paso 3. Escriba la dirección MAC Ethernet básica del AP para unirse al WLC. Deje el Nombre de la lista de atributos en blanco y seleccione Aplicar al dispositivo.

    Filtro MAC

    • Paso 4. Vaya a Configuration > Security > AAA > AAA Method List > Authentication.
    • Paso 5. Seleccione Agregar. Aparece la ventana emergente Autenticación AAA.

    Agregar un método AAA de autenticación

    • Paso 6. Escriba un nombre en el Nombre de la lista de métodos. Seleccione 802.1x en la lista desplegable Type* y local para el Group Type. Por último, seleccione Apply to Device.

    AAA Authentication dot1x List

    • Paso 6b. En caso de que sus AP se unan directamente como modo Bridge y no se les haya asignado un sitio y una etiqueta de política antes, repita el paso 6 pero para el método predeterminado.
    • Configure un método de autenticación dot1x aaa que apunte a local (CLI aaa authentication dot1x default local).
    • Paso 7. Vaya a Configuration > Security > AAA > AAA Method List > Authorization.
    • Paso 8. Seleccione Agregar. Aparece la ventana emergente AAA Authorization.

    Agregar un método de autorización AAA

    • Paso 9. Escriba un nombre en Nombre de lista de métodos, seleccione descarga de credenciales en la lista desplegable Tipo* y local para el Tipo de grupo. Por último, seleccione Apply to Device.

    Perfil de autorización AAA de descarga de credenciales

    • Paso 9b. En caso de que su AP se una directamente en el modo Bridge (es decir, no se une primero en el modo local), repita el paso 9 para el método predeterminado de descarga de credenciales (CLI aaa authorization credential-download default local).
    • Paso 10. Vaya a Configuration > Wireless > Mesh > Profiles .
    • Paso 11. Seleccione Agregar. Aparece la ventana emergente Add Mesh Profile.

    Agregar un perfil de malla

    • Paso 12. En la pestaña General, establezca un nombre y una descripción para el perfil de malla.

    Configuración general del perfil de malla

    • Paso 13. En la pestaña Advanced, seleccione EAP para el campo Method.
    • Paso 14. Seleccione el perfil de autorización y autenticación definido en los pasos 6 y 9, y seleccione Aplicar al dispositivo.

    Agregar perfil de malla, configuración avanzada

    • Paso 15. Navegue hasta Configuración > Etiqueta y perfiles > Unión AP > Perfil.
    • Paso 16. Seleccione Agregar. Aparece la ventana emergente AP Join Profile . Establezca un nombre y una descripción para el perfil de unión de PA.

    Agregar perfil de unión a PA

    Adición de un perfil de unión a PA: Configuración general

    • Paso 17. Navegue hasta la pestaña AP y seleccione el perfil de malla creado en el paso 12 del menú desplegable Nombre del perfil de malla.
    • Paso 18. Asegúrese de que EAP-FAST y CAPWAP DTLS estén configurados para los campos EAP Type y AP Authorization Type respectivamente.
    • Paso 19. Seleccione Aplicar al dispositivo.

    Definición de la configuración de malla en el perfil de unión AP

    • Paso 20. Vaya a Configuration > Tag & Profiles > Tags > Site.
    • Paso 21. Seleccione Agregar. Aparecerá la ventana emergente Etiqueta del sitio.

    Adición de una etiqueta de sitio

    • Paso 22. Escriba un nombre y una descripción para la etiqueta del sitio.

    Establecer el perfil de unión al punto de acceso en la etiqueta del sitio

    • Paso 23. Seleccione el AP Join Profile creado en el paso 16 del menú desplegable AP Join Profile.
    • Paso 24. En la parte inferior de la ventana emergente Site Tag (Etiqueta del sitio), desmarque la casilla de verificación Enable Local Site para habilitar el menú desplegable Flex Profile.
    • Paso 35. En el menú desplegable Flex Profile, seleccione el Flex Profile que desea utilizar para el AP.

    Configuración del perfil flexible

    • Paso 36. Conecte el AP a la red y asegúrese de que el AP esté en el modo local.
    • Paso 37. Para asegurarse de que el AP esté en el modo local, ejecute el comando capwap ap mode local.

    El AP debe tener una manera de encontrar el controlador, ya sea la difusión L2, la opción DHCP 43, la resolución DNS o la configuración manual.

    • Paso 38. El AP se une al WLC. Asegúrese de que aparezca en la lista AP. Vaya a Configuration > Wireless > Access Points > All Access Points .

    Verificación del Modo Local de AP

    • Paso 39. Seleccione el AP. Aparece la ventana emergente AP.
    • Paso 40. Seleccione la etiqueta del sitio creada en el paso 22 en General > Etiquetas > ficha del sitio dentro de la ventana emergente AP, seleccione Actualizar y aplicar al dispositivo.

    Aplicación de la etiqueta del sitio

    • Paso 41. El AP se reinicia y debe unirse nuevamente al WLC en el modo Flex + Bridge.

    Este método une el AP primero en modo local (donde no hace la autenticación dot1x) para aplicar la etiqueta del sitio con el perfil de malla y luego conmutar el AP al modo de bridge.

    Para unirse a un AP que está atascado en el modo Bridge (o Flex+Bridge), configure los métodos predeterminados (aaa authentication dot1x default local y aaa authorization cred default local).

    El AP puede entonces autenticarse y puede asignar las etiquetas después.

    Verificación

    Asegúrese de que el modo AP se muestre como Flex + Bridge, como se muestra en esta imagen.

    Verificación del Modo AP

    Ejecute estos comandos desde WLC 9800 CLI y busque el atributo AP Mode. Debe aparecer como Flex+Bridge (Enlace flexible).

    aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site meshsite
 ap-profile meshapjoin
 no local-site
ap profile meshapjoin
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile mesh-profile

    Troubleshoot

    Asegúrese de que los comandos aaa authentication dot1x default local y aaa authorization cred default local estén presentes. Son necesarios si su AP no fue pre-unido en el modo local. El panel principal del 9800 tiene un widget que muestra los AP que no pueden unirse. Haga clic en él para obtener una lista de AP que no pueden unirse:

    Estadísticas de AP

    Haga clic en el AP específico para ver la razón por la que no está unido. En este caso, verá un problema de autenticación (autenticación de AP pendiente) porque la etiqueta del sitio no fue asignada al AP.

    Por lo tanto, el 9800 no eligió el método de autenticación/autorización designado para autenticar el AP:

    Estadísticas de unión a PA 2

    Para una resolución de problemas más avanzada, navegue hasta la página Troubleshooting > Radioactive Trace en la interfaz de usuario web. Si ingresa la dirección MAC del AP, puede generar inmediatamente un archivo para obtener los registros siempre activos (en el nivel de aviso) del AP que intenta unirse. Haga clic en Start para habilitar la depuración avanzada para esa dirección MAC. La próxima vez que se generen los registros, genere los registros, registros de nivel de depuración para la unión de AP como se muestra.

    Página RAtrace

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    6.0
    07-Aug-2024
    Se ha añadido el paso 7 en el caso 1:asignación de la etiqueta del sitio
    5.0
    18-Jun-2024
    Texto alternativo, requisitos de estilo y formato actualizados.
    4.0
    30-Jun-2023
    captura de pantalla de filtrado de MAC modificada
    3.0
    20-Apr-2023
    Recertificación
    2.0
    10-Nov-2021
    Cambios de formato menores
    1.0
    28-Nov-2019
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Bharti Khatri
      Security Consulting Engineer
    • Anand Shandilya
      Technical Consulting Engineer
    • Israel Marquez Salinas
      Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos