はじめに
このドキュメントでは、FlexConnectモードのアクセスポイント(AP)と、仮想ローカルエリアネットワーク(VLAN)認証、許可、およびアカウンティング(AAA)の上書きを使用してローカルにスイッチされる802.1xワイヤレスローカルエリアネットワーク(WLAN)を使用して、Elastic Wireless LAN Controller(9800 WLC)をセットアップする方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- 9800 WLCコンフィギュレーションモード
- FlexConnect
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ネットワーク図
コンフィギュレーション
9800 WLC での AAA 設定
次のリンクの指示に従ってください。
9800 WLC での AAA 設定
WLAN 設定
次のリンクの指示に従ってください。
WLAN 設定
APをFlexConnectモードに設定
AireOSの設定とは異なり、9800 WLCでは、APローカルまたはFlexConnectモードをAPから直接設定することはできません。FlexConnectモードでAPを設定するには、次の手順に従います。
GUI
ステップ 1:Flex Profileを設定します。
移動先 Configuration > Tags & Profiles > Flex default-flex-profileを変更するか、+Addをクリックして新しいプロファイルを作成します。
ステップ 2:必要なVLAN(デフォルトのWLANのVLANまたはISEからプッシュされたVLANの両方)を追加します。
注:「ポリシープロファイルの設定」セクションのステップ3で、SSIDに割り当てられたデフォルトのVLANを選択します。この手順でVLAN名を使用する場合は、Flex Profile設定で同じVLAN名を使用していることを確認してください。そうしないと、クライアントはWLANに接続できません。
オプションで、VLANごとに特定のACLを追加できます。
オプションで、FlexConnect APがローカル認証を実行できるようにRadiusサーバグループを割り当てます。
ステップ 3:サイトタグを設定します。
[設定(Configuration)] > [タグとプロファイル(Tags & Profiles)] > [タグ(Tags)] > [サイト(Site)] に移動します。 default-site-tag(すべてのAPにデフォルトで割り当てられるタグ)を変更するか、新しいタグを作成します(新しいタグを作成するには、+Addをクリックします)。
Enable Local Siteオプションを必ず無効にしてください。無効にしない場合、Flex Profileオプションは使用できません。
注:Enable Local Siteが有効になっているサイトタグを受け取るAPはすべて、ローカルモードとして設定されます。同様に、Enable Local Siteが無効になっているサイトタグを受け取るAPは、すべてflexconnectモードに設定されます。
ステップ 4:APを9800 WLCに関連付け、手順2で設定したサイトタグを割り当てます。
Configuration > Wireless > Access Points > AP nameの順に移動し、Siteタグを設定します。次に、Update & Apply to Deviceをクリックして変更を設定します。
注:APでタグを変更すると、9800 WLCへの関連付けが失われ、約1分以内に再度加入することに注意してください。
ステップ 5:APが加入したら、APモードがFlexであることに注意してください
CLI を使う場合:
# config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601
# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site
# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit
#show ap name <ap-name> config general | inc AP Mode
AP Mode : FlexConnect
スイッチの設定
APが接続されているスイッチのインターフェイスを設定します。
# config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end
ポリシープロファイルの設定
ポリシープロファイル内では、他の設定(アクセスコントロールリスト[ACL]、Quality of Service [QoS]、モビリティアンカー、タイマーなど)の中から、クライアントを割り当てるVLANを決定できます。
GUI
ステップ 1:WLANに割り当てるポリシープロファイルを設定します。
Configuration > Tags & Profiles > Policyの順に移動し、新しいプロファイルを作成するか、default-policy-profileを変更します。
ステップ 2:Generalタブで、ポリシープロファイルに名前を割り当て、そのステータスをENABLEDに変更します。
ステップ 3:Access Policiesタブから、ワイヤレスクライアントがデフォルトでこのWLANに接続するときに割り当てるVLANを割り当てます。
ドロップダウンからVLAN名を1つ選択するか、手動でVLAN IDを入力します。
注:ドロップダウンからVLAN名を選択する場合は、「APをFlexConnectモードに設定する」の項の手順2で使用したVLAN名と一致していることを確認します。
または
ステップ 4:Advanced タブに移動し、Central Authentication EnableおよびAllow AAA Overrideoptionsを有効にします。中央スイッチングを無効にする必要があります。
認証プロセスを9800 WLCで中央で実行する場合は、中央認証をイネーブルにする必要があります。FlexConnect APでワイヤレスクライアントを認証する場合は、これを無効にします。
CLI を使う場合:
# config t
# wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown
ポリシータグの設定
ポリシータグは、SSIDとポリシープロファイルをリンクするために使用されます。新しいポリシータグを作成するか、default-policy タグを使用します。
注:default-policy-tagは、1 ~ 16のWLAN IDを持つすべてのSSIDをdefault-policy-profileに自動的にマッピングします。変更も削除もできません。 ID 17以上のWLANがある場合、default-policy-tagは使用できません。
GUI:
Configuration > Tags & Profiles > Tags > Policyの順に移動し、必要に応じて新しいプロファイルを追加します。
WLAN プロファイルを目的のポリシープロファイルにリンクします。
CLI:
# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>
ポリシータグの割り当て
APへのポリシータグの割り当て
GUI
1つのAPにタグを割り当てるには、Configuration > Wireless > Access Points > AP Name > General Tagsの順に選択し、必要な割り当てを行ってからUpdate & Apply to Deviceをクリックします。
注:APでポリシータグを変更すると、9800 WLCへの関連付けが失われ、約1分以内に再度参加することに注意してください。
同じポリシータグを複数のAPに割り当てるには、Configuration > Wireless > Wireless Setup > Start Now > Applyの順に選択します。
タグを割り当てるAPを選択し、+ Tag APsをクリックします
ホイッシュしたタグを選択し、Save & Apply to Deviceをクリックします
CLI を使う場合:
# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end
ISE 設定
ISE v1.2設定の場合は、次のリンクを確認します。
ISE 設定
確認
次のコマンドを使用して、現在の設定を確認できます
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
トラブルシュート
WLC 9800 では、ALWAYS-ON トレース機能を利用できます。これにより、クライアント接続に関連するすべてのエラー、警告および通知レベルのメッセージが常にログに記録され、インシデントまたは障害条件の発生後にログを表示できます。
注:生成されるログの量に応じて、数時間から数日に戻ることができます。
9800 WLC がデフォルトで収集したトレースを表示するには、SSH/Telnet 経由で 9800 WLC に接続し、次の手順に従います(セッションをテキストファイルに記録していることを確認します)。
ステップ 1:問題が発生した時点までのログを追跡できるように、コントローラの現在の時刻を確認します。
# show clock
ステップ 2:コントローラのバッファまたはシステム設定に従って外部syslogからsyslogを収集します。これにより、システムの正常性とエラー(発生している場合)をすぐに確認できます。
# show logging
ステップ 3:デバッグ条件が有効になっているかどうかを確認します。
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
注:リストされている条件は、有効な条件(MACアドレス、IPアドレスなど)に遭遇するすべてのプロセスについて、トレースがデバッグレベルでログされていることを意味します。これにより、ログの量が増加します。したがって、デバッグが必要ないときは、すべての条件をクリアすることをお勧めします。
ステップ 4:テスト対象のMACアドレスがステップ3の条件としてリストされていないとすると、特定のMACアドレスのalways-on notice levelトレースを収集します。
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
セッションで内容を表示するか、ファイルを外部 TFTP サーバーにコピーできます。
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
条件付きデバッグとラジオアクティブトレース
常時オンのトレースで調査中の問題のトリガーを特定するのに十分な情報が得られない場合は、条件付きデバッグを有効にして、ラジオアクティブ(RA)トレースをキャプチャできます。これにより、指定の条件(この場合はクライアントの MAC アドレス)を満たすすべてのプロセスのデバッグレベルトレースが可能になります。条件付きデバッグを有効にするには、次の手順に従います。
ステップ 5:デバッグ条件が有効になっていないことを確認します。
# clear platform condition all
手順 6:監視するワイヤレスクライアントのMACアドレスのデバッグ条件を有効にします。
このコマンドは、指定されたMACアドレスの監視を30分間(1800秒)開始します。必要に応じて、この時間を最大 2085978494 秒まで増やすことができます。
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
注:複数のクライアントを同時にモニタするには、MACアドレスごとにdebug wireless mac <aaaa.bbbb.cccc>コマンドを実行します。
注:すべてが後で表示できるように内部でバッファされるため、ターミナルセッションのクライアントアクティビティの出力は表示されません。
手順 7:監視する問題または動作を再現します。
ステップ 8:デフォルトまたは設定されたモニタ時間がアップする前に問題が再現した場合は、デバッグを停止します。
# no debug wireless mac <aaaa.bbbb.cccc>
モニター時間が経過するか、debug wireless が停止すると、9800 WLC では次の名前のローカルファイルが生成されます。
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
ステップ 9: MAC アドレスアクティビティのファイルを収集します。 ra trace.log を外部サーバーにコピーするか、出力を画面に直接表示できます。
RAトレースファイルの名前を確認します
# dir bootflash: | inc ra_trace
ファイルを外部サーバーにコピーします。
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
内容を表示します。
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
ステップ 10:根本原因がまだ明らかでない場合は、デバッグレベルのログのより詳細なビューである内部ログを収集します。すでに収集されて内部に保存されているデバッグログをさらに詳しく調べるだけなので、クライアントを再度デバッグする必要はありません。
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
注:このコマンド出力は、すべてのプロセスのすべてのログレベルのトレースを返し、非常に大量です。これらのトレースを解析する場合は、Cisco TAC にお問い合わせください。
ra-internal-FILENAME.txt を外部サーバーにコピーするか、出力を画面に直接表示できます。
ファイルを外部サーバーにコピーします。
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
内容を表示します。
# more bootflash:ra-internal-<FILENAME>.txt
ステップ 11デバッグ条件を削除します。
# clear platform condition all
注:トラブルシューティングセッションの後は、必ずデバッグ条件を削除してください。