Configuration de FlexConnect avec authentification sur le WLC Catalyst 9800

Introduction

Ce document décrit comment configurer FlexConnect avec l'authentification centrale ou locale sur le contrôleur LAN sans fil Catalyst 9800.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Modèle de configuration Catalyst Wireless 9800
• FlexConnect
• 802.1x

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• C980-CL, Cisco IOS-XE® 17.3.4
  

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

FlexConnect est une solution sans fil pour le déploiement de bureaux distants. Il vous permet de configurer des points d'accès (AP) dans des emplacements distants à partir du bureau de l'entreprise via une liaison WAN (Wide Area Network) sans devoir déployer un contrôleur dans chaque emplacement. Les points d'accès FlexConnect peuvent commuter le trafic de données client localement et effectuer l'authentification client localement lorsque la connexion au contrôleur est perdue. En mode connecté, les points d'accès FlexConnect peuvent également effectuer une authentification locale.

Configurer

Diagramme du réseau

Configurations

Configuration AAA sur les WLC 9800

Étape 1. Déclarez le serveur RADIUS. Dans l'interface GUI, accédez à Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add et entrez les informations du serveur RADIUS.

Assurez-vous que la prise en charge de CoA est activée si vous prévoyez d'utiliser tout type de sécurité qui nécessite CoA à l'avenir. 

  

Remarque : Remarque : Radius CoA n'est pas pris en charge dans le déploiement d'authentification locale Flex Connect. .

Étape 2. Ajoutez le serveur RADIUS à un groupe RADIUS. Dans l'interface graphique : accédez à Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add.

Étape 3. Créez une liste de méthodes d'authentification. Dans l'interface graphique : Naviguez jusqu'à Configuration > Security > AAA > AAA Method List > Authentication > + Add

À partir de CLI :

# config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>

# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>

Configuration d’un réseau local sans fil (WLAN)

Étape 1. À partir de l'interface graphique : accédez à Configuration > Wireless > WLANs et cliquez sur +Add pour créer un nouveau WLAN, puis entrez les informations WLAN. Cliquez ensuite sur Apply to Device.

Étape 2. À partir de l'interface utilisateur graphique : accédez à l'onglet Security (Sécurité) pour configurer le mode de sécurité Layer2/Layer3 tant que la méthode de cryptage et la liste d'authentification au cas où la norme 802.1x serait utilisée. Cliquez ensuite sur Update & Apply to Device.

Configuration du profil des politiques

Étape 1. Dans l'interface graphique : accédez à Configuration > Tags & Profiles > Policy et cliquez sur +Add pour créer un profil de stratégie.

Étape 2. Ajoutez le nom et décochez la case Commutation centrale. Avec cette configuration, le contrôleur gère l'authentification client et le point d'accès FlexConnect commute localement les paquets de données client.

Remarque : l'association et la commutation doivent toujours être appariées, si la commutation centrale est désactivée, l'association centrale doit également être désactivée sur tous les profils de stratégie lorsque des points d'accès Flexconnect sont utilisés.

Étape 3. Dans l'interface utilisateur graphique : accédez à l'onglet Access Policies pour attribuer le VLAN auquel les clients sans fil peuvent être attribués lorsqu'ils se connectent à ce WLAN par défaut.

Vous pouvez sélectionner un nom de VLAN dans la liste déroulante ou, comme pratique recommandée, saisir manuellement un ID de VLAN.

Étape 4. À partir de l'interface graphique : accédez à l'onglet Advanced pour configurer les délais d'expiration WLAN, DHCP, WLAN Flex Policy et la politique AAA en cas d'utilisation. Cliquez ensuite sur Update & Apply to Device.

Configuration des balises des politiques

Étape 1. Dans l'interface graphique : accédez à Configuration > Tags & Profiles > Tags > Policy > +Add. 

Étape 2. Attribuez un nom et mappez le profil de stratégie et le profil WLAN créés avant.

Configuration du profil flexible

Étape 1. À partir de l'interface graphique : accédez à Configuration > Tags & Profiles > Flex et cliquez sur +Add pour en créer un nouveau.

Remarque : l'ID de VLAN natif fait référence au VLAN utilisé par les AP qui peuvent obtenir ce profil flexible attribué, et il doit s'agir du même ID de VLAN configuré comme natif sur le port de commutateur où les AP sont connectés.

Étape 2. Sous l'onglet VLAN, ajoutez les VLAN nécessaires, ceux affectés par défaut au WLAN via un profil de stratégie, ou ceux poussés par un serveur RADIUS. Cliquez ensuite sur Update & Apply to Device.

Remarque : pour Policy Profile, lorsque vous sélectionnez le VLAN par défaut affecté au SSID. Si vous utilisez un nom de VLAN à cette étape, assurez-vous que vous utilisez le même nom de VLAN dans la configuration Flex Profile, sinon les clients ne pourront pas se connecter au WLAN.

Remarque : pour configurer une liste de contrôle d'accès pour flexConnect avec remplacement AAA, configurez-la uniquement sur "policy ACL", si une liste de contrôle d'accès est attribuée à un VLAN spécifique, ajoutez ACL on lorsque vous ajoutez le VLAN, puis ajoutez l'ACL sur "policy ACL".

Configuration des balises de site

Étape 1. Dans l'interface GUI, accédez à Configuration > Tags & Profiles > Tags > Site et cliquez sur +Add pour créer une nouvelle balise de site. Décochez la case Enable Local Site pour permettre aux points d'accès de commuter le trafic de données client localement, et ajoutez le profil flexible créé précédemment.

Remarque : l'option Activer le site local étant désactivée, les points d'accès auxquels cette balise de site est attribuée peuvent être configurés en mode FlexConnect.

Étape 2. À partir de l'interface graphique : accédez à Configuration > Wireless > Access Points > AP name pour ajouter l'étiquette de site et l'étiquette de stratégie à un point d'accès associé. Cela peut entraîner le point d'accès à redémarrer son tunnel CAPWAP et à se joindre à nouveau au WLC 9800.

Une fois que le point d'accès se reconnecte, notez qu'il est maintenant en mode FlexConnect.

Authentification locale avec serveur RADIUS externe

Étape 1. Ajoutez le point d'accès en tant que périphérique réseau au serveur RADIUS. Pour un exemple, référez-vous à Comment utiliser Identity Service Engine (ISE) comme serveur RADIUS

Étape 2. Créez un WLAN.

La configuration peut être la même que celle précédemment configurée.

Étape 3. Configuration du profil des politiques.

Vous pouvez soit en créer un nouveau, soit utiliser le précédemment configuré. Cette fois, décochez les cases Commutation centrale, Authentification centrale, DHCP central, et Association centrale activée.

Étape 4. Configuration des balises de politiques.

Associez le WLAN configuré et le profil de stratégie créé.

Étape 5. Configuration du profil flexible.

Créez un profil flexible, accédez à l'onglet Authentification locale, configurez le groupe de serveurs Radius et cochez la case RADIUS.

Étape 6. Configuration des balises de site.

Configurez le profil paramétrable configuré à l'étape 5 et décochez la case Enable Local Site.

Vérifier

Authentification centrale :

Authentification locale :

 Vous pouvez utiliser ces commandes pour vérifier la configuration actuelle:

À partir de CLI :

# show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>  

Dépannage

Le WLC 9800 offre des fonctionnalités de suivi ALWAYS-ON. Cela garantit que tous les messages d'erreur, d'avertissement et de niveau de notification liés à la connectivité du client sont constamment consignés et que vous pouvez afficher les journaux d'un incident ou d'une défaillance après qu'il se soit produit. 

Remarque : en fonction du volume de journaux générés, vous pouvez revenir en arrière de quelques heures à plusieurs jours.

Afin d'afficher les traces que le WLC 9800 a collectées par défaut, vous pouvez vous connecter via SSH/Telnet au WLC 9800 et passer par ces étapes (assurez-vous que vous consignez la session dans un fichier texte).

Étape 1. Vérifiez l'heure actuelle du contrôleur de sorte que vous puissiez suivre les journaux dans l'heure jusqu'à quand le problème s'est produit.

À partir de CLI :

# show clock

Étape 2. Collectez les syslogs à partir de la mémoire tampon du contrôleur ou du syslog externe, comme dicté par la configuration système. Cela permet d'obtenir un aperçu rapide de l'état du système et des erreurs éventuelles.

À partir de CLI :

# show logging

Étape 3. Vérifiez si les conditions de débogage sont activées.

À partir de CLI :

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Remarque : si vous trouvez une condition répertoriée, cela signifie que les traces sont enregistrées au niveau de débogage pour tous les processus qui rencontrent les conditions activées (adresse MAC, adresse IP, etc.). Cela augmenterait le volume de journaux. Par conséquent, il est recommandé d’effacer toutes les conditions lorsque le débogage n’est pas actif.

Étape 4. Si vous supposez que l'adresse MAC testée n'était pas répertoriée comme condition à l'étape 3, collectez les traces de niveau de notification toujours actif pour l'adresse MAC spécifique.

À partir de CLI :

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

Vous pouvez soit afficher le contenu de la session, soit copier le fichier sur un serveur TFTP externe.

À partir de CLI :

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Débogage conditionnel et suivi actif radio 

Si les traces toujours actives ne vous donnent pas suffisamment d'informations pour déterminer le déclencheur du problème en cours d'investigation, vous pouvez activer le débogage conditionnel et capturer la trace Radio Active (RA), qui peut fournir des traces de niveau de débogage pour tous les processus qui interagissent avec la condition spécifiée (adresse MAC du client dans ce cas). Afin d'activer le débogage conditionnel, passez par ces étapes.

Étape 5. Assurez-vous qu’aucune condition de débogage n’est activée.

À partir de CLI :

# clear platform condition all

Étape 6. Activez la condition de débogage pour l’adresse MAC du client sans fil que vous souhaitez surveiller.

Cette commande commence à surveiller l'adresse MAC fournie pendant 30 minutes (1 800 secondes). Vous pouvez aussi augmenter ce délai pour qu’il atteigne jusqu’à 2085978494 secondes.

À partir de CLI :

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

  

Remarque : Afin de surveiller plusieurs clients à la fois, exécutez la <aaaa.bbbb.cccc>commande de débogage sans fil mac par adresse MAC.

Remarque : vous ne voyez pas le résultat de l'activité du client sur la session du terminal, car tout est mis en mémoire tampon en interne pour être visualisé ultérieurement.

  

Étape 7. Reproduisez le problème ou le comportement que vous souhaitez surveiller.

Étape 8. Arrêtez le débogage si le problème est reproduit avant la fin du temps de surveillance par défaut ou configuré.

À partir de CLI :

# no debug wireless mac <aaaa.bbbb.cccc>

Une fois que le temps de surveillance s’est écoulé ou que le débogage sans fil a été arrêté, le contrôleur WLC 9800 génère un fichier local du nom de :

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Étape 9.   Recueillir le fichier de l’activité de l’adresse MAC.     Il est possible de copier le fichier de suivi RA  .log sur un serveur externe ou d’afficher le résultat directement à l’écran.

Vérifiez le nom du fichier de suivi RA

À partir de CLI :

# dir bootflash: | inc ra_trace

Copiez le fichier sur un serveur externe :

À partir de CLI :

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

 Affichez-en le contenu :

À partir de CLI :

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Étape 10. Si vous ne trouvez toujours pas la cause première, collectez les journaux internes, qui peuvent vous offrir une vue plus détaillée des journaux de niveau de débogage. Vous n'avez pas besoin de déboguer à nouveau le client car vous avez examiné en détail les journaux de débogage qui ont déjà été collectés et stockés en interne.

À partir de CLI :

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Remarque : cette sortie de commande retourne des traces pour tous les niveaux de journalisation pour tous les processus et est assez volumineuse. Veuillez faire appel à Cisco TAC pour faciliter l’analyse de ces suivis.

Vous pouvez soit copier le fichier ra-internal-FILENAME.txt sur un serveur externe, soit afficher le résultat directement à l’écran.

Copiez le fichier sur un serveur externe :

À partir de CLI :

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

Affichez-en le contenu :

À partir de CLI :

# more bootflash:ra-internal-<FILENAME>.txt

 Étape 11. Supprimez les conditions de débogage.

À partir de CLI :

# clear platform condition all

Remarque : assurez-vous de toujours supprimer les conditions de débogage après une session de dépannage.