El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar y resolver problemas de un CWA en el Catalyst 9800 que apunta a otro WLC como anclaje de movilidad.
Cisco recomienda que tenga conocimiento sobre estos temas:
Se supone que antes de iniciar la configuración de anclaje CWA ya ha activado el túnel de movilidad entre los dos WLC. Esto está fuera del alcance de este ejemplo de configuración. Si necesita ayuda con esto, consulte el documento titulado Configuración de topologías de movilidad en 9800
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Tanto en el anclaje como en el externo, primero debe agregar el servidor RADIUS y asegurarse de que CoA está habilitado. Para hacerlo, navegue hasta el menú Configuration > Security > AAA > Servers/Groups > Servers. A continuación, haga clic en el botón Add.
Ahora necesita crear un grupo de servidores y colocar el servidor que acaba de configurar en ese grupo. Para hacerlo, navegue hasta Configuration > Security > AAA > Servers/Groups > Server Groups > +Add.
Ahora, cree una lista de métodos de autorización (no se requiere una lista de métodos de autenticación para CWA) donde el tipo sea red y el tipo de grupo sea grupo. Agregue el grupo de servidores de la acción anterior a esta lista de métodos.
Para hacerlo, navegue hasta Configuration > Security > AAA > Servers/AAA Method List > Authorization > +Add.
(Opcional) Cree una lista de métodos de contabilización utilizando el mismo grupo de servidores que la lista de métodos de autorización. Para crear la lista de contabilización, navegue hasta Configuration > Security > AAA > Servers/AAA Method List > Accounting > +Add.
Cree y configure las WLAN en ambos WLC. Las WLANs deben coincidir en ambos. El tipo de seguridad debe ser filtrado de MAC y se debe aplicar la lista de métodos de autorización del paso anterior. Para configurar esto, navegue hasta Configuration > Tags & Profiles > WLANs > +Add.
Navegue hasta la interfaz de usuario web del WLC externo. Para crear el perfil de política, navegue hasta Configuration > Tags & Profiles > Policy > +Add. Al anclar, debe utilizar el switching central.
En la pestaña Advanced, la invalidación AAA y RADIUS NAC son obligatorias para CWA. Aquí también puede aplicar la lista de métodos de contabilidad si decide crear una.
En la Movilidad pestaña NO marque la casilla de verificación Exportar Ancla, sino más bien agregue el WLC de anclaje a la lista de anclaje. Asegúrese de introducir Apply to Device. Como recordatorio, esto supone que ya tiene una configuración de túnel de movilidad entre los dos controladores
Para que los AP utilicen este perfil de política, necesita crear una etiqueta de política y aplicarla a los AP que desea utilizar.
Para crear la etiqueta de directiva, vaya a Configuration > Tags & Profiles > Tags?Policy > +Add.
Para agregar esto a varios AP al mismo tiempo, navegue hasta Configuration > Wireless Setup > Advanced > Start Now. Haga clic en las barras de viñetas junto a Tag APs y agregue la etiqueta a los AP que elija.
Navegue hasta la interfaz de usuario web del WLC de anclaje. Agregue el perfil de política en el ancla 9800 bajo Configuration > Tags & Profiles > Tags > Policy > +Add. Asegúrese de que coincide con el perfil de política realizado en el extranjero, excepto para la ficha de movilidad y la lista de cuentas.
Aquí no agrega un ancla pero marca la casilla de verificación Exportar ancla. No agregue aquí la lista de cuentas. Esto supone que ya tiene una configuración de túnel de movilidad entre los dos controladores.
Nota: No hay ninguna razón para asociar este perfil a una WLAN en una etiqueta de política. Esto crea problemas si lo hace. Si desea utilizar la misma WLAN para los AP en este WLC cree otro perfil de la política para él.
A continuación, debe crear la configuración de ACL de redirección en ambos 9800. Las entradas en el extranjero no importan porque es el WLC de anclaje que aplica la ACL al tráfico. El único requisito es que esté ahí y tenga alguna entrada. Las entradas del anclaje deben denegar el acceso a ISE en el puerto 8443 y permitir todo lo demás. Esta ACL sólo se aplica al tráfico entrante desde el cliente, por lo que no se necesitan reglas para el tráfico de retorno. DHCP y DNS pasan sin entradas en la ACL.
El último paso es configurar ISE para CWA. Hay un montón de opciones para esto, pero este ejemplo se ciñe a lo básico y utiliza el portal de invitados autoregistrado predeterminado.
En ISE, debe crear un perfil de autorización, un conjunto de políticas con una política de autenticación y una política de autorización que utilice el perfil de autorización, agregar el 9800 (externo) a ISE como dispositivo de red y crear un nombre de usuario y una contraseña para iniciar sesión en la red.
Para crear el perfil de autorización, navegue hasta Política > Elementos de política > Autorización > Resultados > Perfiles de autorización, luego haga clic en Agregar. Asegúrese de que el tipo de acceso devuelto es ACCESS_ACCEPT y, a continuación, establezca los pares atributo-valor (AVP) que desea devolver. Para CWA, la ACL de redirección y la URL de redirección son obligatorias, pero también puede devolver cosas como el ID de VLAN y el tiempo de espera de la sesión. Es importante que el nombre de la ACL coincida con el nombre de la ACL de redirección en el sistema externo y en el anclaje 9800.
A continuación, debe configurar una forma de aplicar el perfil de autorización que acaba de crear a los clientes que pasan a través de CWA. Para lograr esto, una manera es crear un conjunto de políticas que omita la autenticación cuando se utiliza MAB y aplicar el perfil de autorización cuando se utiliza el SSID enviado en el ID de estación llamada. De nuevo, hay muchas maneras de lograr esto, así que si necesitas algo más específico o más seguro, que bien, esta es solo la manera más simple de hacerlo.
Para crear el conjunto de políticas, vaya a Policy > Policy Sets y haga clic en el botón + situado en el lado izquierdo de la pantalla. Dé un nombre al nuevo conjunto de políticas y asegúrese de que esté configurado en Acceso a la Red Predeterminado o en cualquier lista de protocolos permitidos que permita Process Host Lookup para MAB (para verificar la lista de protocolos permitidos vaya a Política > Elementos de Política > Resultados > Autenticación > Protocolos Permitidos). Ahora, haga clic en el signo + en medio del nuevo conjunto de directivas que ha creado.
Para este conjunto de políticas, cada vez que se utiliza MAB en ISE, pasa por este conjunto de políticas. Posteriormente, puede hacer que las políticas de autorización coincidan con el ID de la estación a la que se llama, de modo que se puedan aplicar resultados diferentes dependiendo de la WLAN que se esté utilizando. Este proceso es muy personalizable con un montón de cosas con las que puede coincidir.
Dentro del conjunto de directivas, cree las directivas. La política de autenticación puede volver a coincidir en el MAB, pero debe cambiar el almacén de ID para utilizar los terminales internos y cambiar las opciones para continuar con Auth Fail y User Not Found.
Una vez establecida la directiva de autenticación, debe crear dos reglas en la directiva de autorización. Esta política se lee como una ACL, por lo que el pedido necesita tener la regla Post-Auth en la parte superior y la regla Pre-Auth en la inferior. La regla Post-Auth coincide con los usuarios que ya han pasado por el flujo de invitado. Es decir, si ya firmaron pueden llegar a la regla y deben detenerse ahí. Si no han iniciado sesión, continúan por la lista y alcanzan la regla Pre-Auth y luego son redirigidos. Es una buena idea hacer coincidir las reglas de la política de autorización con el ID de la estación llamada que termina con el SSID para que sólo llegue a las WLAN que están configuradas para hacerlo.
Ahora que el conjunto de políticas está configurado, debe informar a ISE sobre el 9800 (externo) para que ISE confíe en él como autenticador. Para ello, vaya a Admin > Network Resources > Network Device > +. Debe asignarle un nombre, establecer la dirección IP (o, en este caso, toda la subred de administración), activar RADIUS y establecer el secreto compartido. El secreto compartido en ISE debe coincidir con el secreto compartido en el 9800; de lo contrario, se producirá un error en este proceso. Una vez agregada la configuración, haga clic en el botón Submit para guardarla.
Finalmente, debe agregar el nombre de usuario y la contraseña que el cliente va a ingresar en la página de inicio de sesión para validar que deben tener acceso a la red. Para hacerlo, navegue hasta Admin > Identity Management > Identity > Users > +Add y haga clic en Submit después de agregarlo. Al igual que todo lo demás con ISE, se puede personalizar y no tiene que ser un usuario almacenado localmente, pero, de nuevo, es la configuración más sencilla.
Realice los mismos pasos anteriores, omitiendo la sección Creación del perfil de política en el WLC de anclaje.
Agregue el servidor al WLC yendo a Security > AAA > RADIUS > Authentication > New. Agregue la dirección IP del servidor, el secreto compartido y la compatibilidad con CoA.
Para crear la WLAN, navegue hasta WLANs > Create New > Go.
Configure el Profile Name, WLAN ID, y el SSID, luego haga clic en Apply.
Esto le debe llevar a la configuración de WLAN. En la pestaña General, puede agregar la interfaz que desea que utilicen los clientes si no va a configurar ISE para enviarla en los AVP. A continuación, navegue hasta la pestaña Security > Layer2 y haga coincidir la configuración de Layer 2 Security que utilizó en el 9800 y habilite el filtrado de MAC.
Ahora pase a la pestaña Security > AAA Servers y establezca el servidor ISE como Authentication Servers. No establezca nada para los servidores de cuentas. Desmarque la casilla Enable para la contabilización.
Mientras esté todavía en las configuraciones WLAN, pase a la pestaña Advanced y habilite Allow AAA Override, así como cambie el estado de NAC a ISE NAC.
Lo último es anclarlo a sí mismo. Para esto, navegue de nuevo a la página WLANs y pase el cursor sobre el cuadro azul a la derecha de WLAN > Mobility Anchors. Establezca Switch IP Address (Anchor) en local y haga clic en el botón Mobility Anchor Create. Luego debe aparecer con la prioridad 0 anclada local.
Esta es la configuración final necesaria en el WLC de AireOS. Para crear la ACL de redirección, navegue hasta Seguridad > Listas de control de acceso > Listas de control de acceso > Nuevo. Introduzca el nombre de ACL (debe coincidir con el que se envía en los AVP) y haga clic en Apply.
Ahora haga clic en el nombre de la ACL que acaba de crear. A continuación, haga clic en el botón Agregar nueva regla. A diferencia del controlador 9800, en el WLC de AireOS, usted configura una declaración de permiso para el tráfico que puede alcanzar ISE sin ser redirigido. DHCP y DNS están permitidos de forma predeterminada.
El último paso es configurar ISE para CWA. Hay varias opciones para esto, pero este ejemplo utiliza lo básico y el portal de invitados autoregistrado predeterminado.
En ISE, debe crear un perfil de autorización, un conjunto de políticas con una política de autenticación y una política de autorización que utilice el perfil de autorización. Agregue el 9800 (externo) a ISE como dispositivo de red y cree un nombre de usuario y una contraseña para iniciar sesión en la red.
Para crear el perfil de autorización, vaya a Política > Elementos de política > Autorización > Resultados > Perfiles de autorización > +Agregar. Asegúrese de que el tipo de acceso devuelto es ACCESS_ACCEPT y, a continuación, establezca los AVP que desea devolver. Para CWA, la ACL de redirección y la URL de redirección son obligatorias, pero también puede devolver como el ID de VLAN, por ejemplo, y el tiempo de espera de la sesión. Es importante que el nombre de la ACL coincida con el nombre de la ACL de redirección en el WLC externo y de anclaje.
A continuación, debe configurar una forma de aplicar el perfil de autorización que acaba de crear a los clientes que pasan a través de CWA. Para lograr esto, una manera es crear un conjunto de políticas que omita la autenticación cuando se utiliza MAB y aplicar el perfil de autorización cuando se utiliza el SSID enviado en el ID de estación llamada. De nuevo, hay muchas maneras de lograr esto, así que si necesitas algo más específico o más seguro, que bien, esta es solo la manera más simple de hacerlo.
Para crear el conjunto de políticas, vaya aDirectiva > Conjuntos de políticas y haga clic en el botón + situado a la izquierda de la pantalla. Dé un nombre al nuevo conjunto de políticas y asegúrese de que esté configurado en Acceso a la Red Predeterminado o en cualquier lista de protocolos permitidos que permita Process Host Lookup para MAB (para verificar la lista de protocolos permitidos vaya a Política > Elementos de Política > Resultados > Autenticación > Protocolos Permitidos). Ahora haga clic en el signo + que se encuentra en medio del nuevo conjunto de directivas que ha creado.
Para este conjunto de políticas, cada vez que se utiliza MAB en ISE, puede pasar por este conjunto de políticas. Posteriormente, puede hacer que las políticas de autorización coincidan con el ID de la estación a la que se llama, de modo que se puedan aplicar resultados diferentes dependiendo de la WLAN que se esté utilizando. Este proceso es muy personalizable con un montón de cosas con las que puede coincidir
Dentro del conjunto de directivas, cree las directivas. La política de autenticación puede volver a coincidir en el MAB, pero debe cambiar el almacén de ID para utilizar los terminales internos y debe cambiar las opciones para continuar con Auth Fail y User Not Found.
Una vez establecida la directiva de autenticación, debe crear dos reglas en la directiva de autorización. Esta política se lee como una ACL, por lo que el pedido debe tener la regla Post-Auth en la parte superior y la regla Pre-Auth en la inferior. La regla Post-Auth coincide con los usuarios que ya han pasado por el flujo de invitados. Es decir, si ya han firmado, reaccionan a esa regla y se detienen allí. Si no han iniciado sesión, continúan en la lista y presionan la regla Pre-Auth para obtener el redireccionamiento. Es una buena idea hacer coincidir las reglas de la política de autorización con el ID de la estación llamada que termina con el SSID de modo que sólo llegue a las WLAN que están configuradas para hacerlo.
Ahora que el conjunto de políticas está configurado, debe informar a ISE sobre el 9800 (externo) para que ISE confíe en él como autenticador. Esto se puede hacer en Admin > Network Resources > Network Device > +. Debe asignarle un nombre, establecer la dirección IP (o, en este caso, toda la subred de administración), activar RADIUS y establecer el secreto compartido. El secreto compartido en ISE debe coincidir con el secreto compartido en el 9800; de lo contrario, se producirá un error en este proceso. Después de agregar la configuración, presione el botón de envío para guardarla.
Finalmente, debe agregar el nombre de usuario y la contraseña que el cliente va a ingresar en la página de inicio de sesión para validar que deben tener acceso a la red. Esto se hace bajoAdmin > Identity Management > Identity > Users > +Add y asegúrese de hacer clic en Submit después de agregarlo. Al igual que todo lo demás con ISE, se puede personalizar y no es necesario que el usuario se almacene localmente, pero, de nuevo, es la configuración más sencilla.
Si desea que el WLC de AireOs sea el controlador externo, la configuración es la misma que se describió anteriormente con algunas diferencias.
Para verificar las configuraciones en el 9800 WLC ejecute estos comandos:
Show Run | section aaa|radius
Show wlan id <wlan id>
Show wireless profile policy detailed <profile name>
Show wireless tag policy detailed <policy tag name>
Show IP access-list <ACL name>
Show wireless mobility summary
Para verificar las configuraciones en el WLC de AireOS ejecute los comandos.
Show radius summary
Nota: RFC3576 es la configuración de CoA.
Show WLAN <wlan id>
Show acl detailed <acl name>
Show mobility summary
La resolución de problemas es diferente en función del punto del proceso en el que se detiene el cliente. Por ejemplo, si el WLC nunca obtiene una respuesta de ISE en MAB, el cliente se atascaría en el estado del administrador de políticas: Asociando y no se exportaría al anclaje. En esta situación, solo tendría que resolver problemas en el extranjero y tendría que recopilar un seguimiento de RA y una captura de paquetes para el tráfico entre el WLC e ISE. Otro ejemplo sería que el MAB ha pasado correctamente pero el cliente no recibe la redirección. En este caso, debe asegurarse de que el extranjero recibió la redirección en los AVP y la aplicó al cliente. También debe verificar el anclaje para asegurarse de que el cliente está allí con la ACL correcta. Este ámbito de solución de problemas no forma parte del diseño de este artículo (consulte la Información relacionada para obtener instrucciones genéricas sobre solución de problemas de un cliente).
Para obtener más ayuda con la resolución de problemas de CWA en el WLC 9800, consulte la presentación de Cisco Live! DGTL-TSCENT-404.
Nota: Solo los usuarios registrados de Cisco tienen acceso a la información y las herramientas internas de Cisco.
show wireless client mac-address <client mac> detail
Aquí debe ver el Estado del administrador de políticas, Administrador de sesiones > Método de autenticación, Función de movilidad.
También puede encontrar esta información en la GUI en Monitoring > Clients.
Desde la CLI, el comando inicia #monitor capture <nombre de captura> y luego vienen las opciones.
Desde la GUI, vaya a Troubleshooting > Packet Capture > +Add.
Desde la CLI:
debug wireless mac|ip <client mac|ip>
Utilice la forma no del comando para detenerlo. Esto se registra en un archivo en la memoria flash de inicialización denominado ra_trace y luego en la dirección MAC o IP del cliente y la fecha y hora.
Desde la GUI, navegue hasta Troubleshooting > Radioactive Trace > +Add. Agregue la dirección MAC o IP del cliente, haga clic en Apply y luego presione start. Una vez que haya pasado por el proceso varias veces, detenga el seguimiento, genere el registro y descárguelo en su dispositivo.
Desde la CLI, show client details <client mac>.
Desde la GUI, Monitor > Clients.
Debug client <client mac>
Debug mobility handoff
Debug mobility config
Revisión | Fecha de publicación | Comentarios |
---|---|---|
3.0 |
28-Mar-2024 |
Recertificación |
2.0 |
20-Sep-2021 |
cambios de formato menores |
1.0 |
17-Sep-2021 |
Versión inicial |