Introducción
Este documento describe un ejemplo de configuración básica sobre cómo unir un punto de acceso (AP) de malla al controlador de LAN inalámbrica (WLC) Catalyst 9800.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Modelo de configuración de Catalyst Wireless 9800
- Configuración de LAPs
- Control y suministro de puntos de acceso inalámbricos (CAPWAP)
- Configuración de un servidor DHCP externo
- Configuración de switches Cisco
Componentes Utilizados
Este ejemplo utiliza un punto de acceso ligero (1572AP y 1542) que se puede configurar como un punto de acceso raíz (RAP) o un punto de acceso de malla (MAP) para unirse al WLC de Catalyst 9800. El procedimiento es idéntico para los puntos de acceso 1542 o 1562. El RAP está conectado al WLC Catalyst 9800 a través de un switch Cisco Catalyst.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- C9800-CL v16.12.1
- Switch de capa 2 de Cisco
- Sección Lightweight Outdoor Access Points de Cisco Aironet serie 1572 para el puente
- Cisco Aironet 1542 para la sección Flex+Bridge
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
Caso práctico 1: Modo puente
Configuraciones
Un AP de malla necesita ser autenticado para que se una al controlador 9800. Este caso práctico considera que usted se une al AP en el modo local primero al WLC y después lo convierte al modo de malla del puente (también conocido como). Para evitar la asignación de perfiles de unión de AP, utilice este ejemplo pero configure el método de descarga de credenciales de autorización de aaa predeterminado de modo que cualquier AP de malla pueda unirse al controlador.
Paso 1: Configure las direcciones MAC de RAP/MAP en Autenticación del Dispositivo.
Vaya a Configuration > AAA > AAA Advanced > Device Authentication.
Agregue la dirección MAC de Ethernet base de los puntos de acceso de malla. Añádalo sin caracteres especiales, sin '.' o ':'
Nota: A partir de la versión 17.3.1, si se agrega algún delimitador de dirección mac como '.', ':' o '-', el AP no puede unirse. Actualmente hay 2 mejoras abiertas para esto: ID de bug de Cisco CSCvv43870 e ID de bug de Cisco CSCvr07920. En el futuro, 9800 aceptará todos los formatos de direcciones MAC.
Paso 2: Configure la lista de métodos de autenticación y autorización.
Navegue hasta Configuration > Security > AAA > AAA Method list > Authentication y cree la lista de métodos de autenticación y la lista de métodos de autorización.
Paso 3: Configure los parámetros de malla global.
Vaya a Configuration> Mesh> Global parameters. Inicialmente, puede mantener estos valores predeterminados.
Paso 4: Cree un nuevo perfil de malla en Configuration > Mesh > Profile > +Add.
Haga clic en el perfil de malla creado para editar la configuración General y Avanzada para el perfil de malla.
En el diagrama que se muestra, debe asignar el perfil de autenticación y autorización creado anteriormente al perfil de malla.
Paso 5: Crear un nuevo perfil de unión a AP. Vaya a Configure > Tags and Profiles: AP Join.
Aplique el perfil de malla previamente configurado y configure la autenticación EAP AP:
Paso 6: Cree una etiqueta de ubicación de malla como se muestra.
Configure Haga clic en la ETIQUETA de ubicación de malla creada en el paso 6 para configurarla.
Navegue hasta la pestaña Sitio y aplíquele el perfil de unión de AP de malla previamente configurado:
Paso 7. Asigne la etiqueta del sitio al AP. Vaya a Configuration > Wireless > Access points y haga clic en Mesh AP. Asigne la etiqueta del sitio.
Asignar una etiqueta de sitio
Paso 8. Convierta el AP al modo Bridge.
A través de CLI, puede utilizar este comando en el AP:
capwap ap mode bridge
El AP se reinicia y se une nuevamente como modo Bridge.
Paso 9. Ahora puede definir el papel del AP: AP raíz o AP de malla.
El AP raíz es el que tiene una conexión cableada al WLC mientras que el AP de la malla se une al WLC vía su radio que intenta conectar a un AP raíz. Un AP de malla puede unirse al WLC a través de su interfaz cableada una vez que no ha podido encontrar un AP raíz a través de su radio, para propósitos de provisión. No olvide especificar la VLAN nativa troncal en la configuración de AP en caso de que sea diferente de la VLAN 1 predeterminada.
Asignar rol de malla
Verificación
aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
method authentication Mesh_Authentication
method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site Mesh_AP_Tag
ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile Mesh_Profile
Troubleshoot
En la página Troubleshooting > Radioactive Trace Web UI, haga clic en add e ingrese la dirección MAC del AP.
Haga clic en Inicio y espere a que el AP intente unirse al controlador otra vez. Una vez hecho esto, haga clic en Generar y elija un período de tiempo para recopilar los registros (por ejemplo, los últimos 10 o 30 minutos).
Haga clic en el nombre del archivo de seguimiento para descargarlo desde su navegador.
Aquí hay un ejemplo de AP no unido porque se definió el nombre incorrecto del método de autorización aaa :
019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac
Lo mismo se puede ver más fácilmente en el panel de interfaz de usuario web cuando se hace clic en AP no unidos. Ap auth pending es el indicio que apunta hacia la autenticación del propio AP:
Caso práctico 2: Flex + Bridge
Esta sección resalta el proceso de unión de un AP 1542 en el modo Flex+Bridge con la autenticación EAP hecha localmente en el WLC.
Configurar
- Paso 1. Vaya a Configuration > Security > AAA > AAA Advanced > Device Authentication.
- Paso 2. Seleccione Autenticación de dispositivo y seleccione Agregar.
- Paso 3. Escriba la dirección MAC Ethernet básica del AP para unirse al WLC. Deje el Nombre de la lista de atributos en blanco y seleccione Aplicar al dispositivo.
- Paso 4. Vaya a Configuration > Security > AAA > AAA Method List > Authentication.
- Paso 5. Seleccione Agregar. Aparece la ventana emergente Autenticación AAA.
- Paso 6. Escriba un nombre en el Nombre de la lista de métodos. Seleccione 802.1x en la lista desplegable Type* y local para el Group Type. Por último, seleccione Apply to Device.
- Paso 6b. En caso de que sus AP se unan directamente como modo Bridge y no se les haya asignado un sitio y una etiqueta de política antes, repita el paso 6 pero para el método predeterminado.
- Configure un método de autenticación dot1x aaa que apunte a local (CLI aaa authentication dot1x default local).
- Paso 7. Vaya a Configuration > Security > AAA > AAA Method List > Authorization.
- Paso 8. Seleccione Agregar. Aparece la ventana emergente AAA Authorization.
- Paso 9. Escriba un nombre en Nombre de lista de métodos, seleccione descarga de credenciales en la lista desplegable Tipo* y local para el Tipo de grupo. Por último, seleccione Apply to Device.
- Paso 9b. En caso de que su AP se una directamente en el modo Bridge (es decir, no se une primero en el modo local), repita el paso 9 para el método predeterminado de descarga de credenciales (CLI aaa authorization credential-download default local).
- Paso 10. Vaya a Configuration > Wireless > Mesh > Profiles .
- Paso 11. Seleccione Agregar. Aparece la ventana emergente Add Mesh Profile.
- Paso 12. En la pestaña General, establezca un nombre y una descripción para el perfil de malla.
- Paso 13. En la pestaña Advanced, seleccione EAP para el campo Method.
- Paso 14. Seleccione el perfil de autorización y autenticación definido en los pasos 6 y 9, y seleccione Aplicar al dispositivo.
- Paso 15. Navegue hasta Configuración > Etiqueta y perfiles > Unión AP > Perfil.
- Paso 16. Seleccione Agregar. Aparece la ventana emergente AP Join Profile . Establezca un nombre y una descripción para el perfil de unión de PA.
- Paso 17. Navegue hasta la pestaña AP y seleccione el perfil de malla creado en el paso 12 del menú desplegable Nombre del perfil de malla.
- Paso 18. Asegúrese de que EAP-FAST y CAPWAP DTLS estén configurados para los campos EAP Type y AP Authorization Type respectivamente.
- Paso 19. Seleccione Aplicar al dispositivo.
- Paso 20. Vaya a Configuration > Tag & Profiles > Tags > Site.
- Paso 21. Seleccione Agregar. Aparecerá la ventana emergente Etiqueta del sitio.
- Paso 22. Escriba un nombre y una descripción para la etiqueta del sitio.
- Paso 23. Seleccione el AP Join Profile creado en el paso 16 del menú desplegable AP Join Profile.
- Paso 24. En la parte inferior de la ventana emergente Site Tag (Etiqueta del sitio), desmarque la casilla de verificación Enable Local Site para habilitar el menú desplegable Flex Profile.
- Paso 35. En el menú desplegable Flex Profile, seleccione el Flex Profile que desea utilizar para el AP.
- Paso 36. Conecte el AP a la red y asegúrese de que el AP esté en el modo local.
- Paso 37. Para asegurarse de que el AP esté en el modo local, ejecute el comando capwap ap mode local.
El AP debe tener una manera de encontrar el controlador, ya sea la difusión L2, la opción DHCP 43, la resolución DNS o la configuración manual.
- Paso 38. El AP se une al WLC. Asegúrese de que aparezca en la lista AP. Vaya a Configuration > Wireless > Access Points > All Access Points .
- Paso 39. Seleccione el AP. Aparece la ventana emergente AP.
- Paso 40. Seleccione la etiqueta del sitio creada en el paso 22 en General > Etiquetas > ficha del sitio dentro de la ventana emergente AP, seleccione Actualizar y aplicar al dispositivo.
- Paso 41. El AP se reinicia y debe unirse nuevamente al WLC en el modo Flex + Bridge.
Este método une el AP primero en modo local (donde no hace la autenticación dot1x) para aplicar la etiqueta del sitio con el perfil de malla y luego conmutar el AP al modo de bridge.
Para unirse a un AP que está atascado en el modo Bridge (o Flex+Bridge), configure los métodos predeterminados (aaa authentication dot1x default local y aaa authorization cred default local).
El AP puede entonces autenticarse y puede asignar las etiquetas después.
Verificación
Asegúrese de que el modo AP se muestre como Flex + Bridge, como se muestra en esta imagen.
Ejecute estos comandos desde WLC 9800 CLI y busque el atributo AP Mode. Debe aparecer como Flex+Bridge (Enlace flexible).
aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site meshsite
ap-profile meshapjoin
no local-site
ap profile meshapjoin
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile mesh-profile
Troubleshoot
Asegúrese de que los comandos aaa authentication dot1x default local y aaa authorization cred default local estén presentes. Son necesarios si su AP no fue pre-unido en el modo local. El panel principal del 9800 tiene un widget que muestra los AP que no pueden unirse. Haga clic en él para obtener una lista de AP que no pueden unirse:
Haga clic en el AP específico para ver la razón por la que no está unido. En este caso, verá un problema de autenticación (autenticación de AP pendiente) porque la etiqueta del sitio no fue asignada al AP.
Por lo tanto, el 9800 no eligió el método de autenticación/autorización designado para autenticar el AP:
Para una resolución de problemas más avanzada, navegue hasta la página Troubleshooting > Radioactive Trace en la interfaz de usuario web. Si ingresa la dirección MAC del AP, puede generar inmediatamente un archivo para obtener los registros siempre activos (en el nivel de aviso) del AP que intenta unirse. Haga clic en Start para habilitar la depuración avanzada para esa dirección MAC. La próxima vez que se generen los registros, genere los registros, registros de nivel de depuración para la unión de AP como se muestra.