소개
이 문서에서는 Catalyst 9800 Wireless Controller를 사용하여 외부/앵커 시나리오에서 WLAN(Wireless Local Area Network)을 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- 무선 컨트롤러에 대한 CLI(Command Line Interface) 또는 GUI(Graphic User Interface) 액세스
- Cisco WLC(Wireless LAN Controller)의 모빌리티
- 9800 Wireless Controller
- AireOS WLC
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- AireOS WLC 버전 8.8 MR2(IRCM(Inter Release Controller Mobility) 특수 8.5 이미지를 사용할 수도 있음)
- 9800 WLC v16.10 이상
- 9800 WLC 컨피그레이션 모델
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
이 기능은 일반적으로 게스트 액세스 시나리오에서 클라이언트가 서로 다른 컨트롤러 및 물리적 위치에서 온 경우에도 클라이언트에서 단일 L3 종료 지점으로 보내는 모든 트래픽을 종료하는 데 사용됩니다. 모빌리티 터널은 네트워크를 이동할 때 트래픽을 격리하는 메커니즘을 제공합니다.
9800 WLC 간 외부/앵커 시나리오
이 시나리오에서는 사용된 Catalyst 9800 2개를 보여 줍니다.
네트워크 다이어그램: Catalyst 9800 WLC 2개
모빌리티 게스트 시나리오의 경우 두 가지 주요 컨트롤러 역할이 있습니다.
- 외부 컨트롤러: 이 WLC는 레이어 2 또는 무선 측면을 소유합니다. 액세스 포인트가 연결되어 있습니다. 고정된 WLAN에 대한 모든 클라이언트 트래픽은 모빌리티 터널로 캡슐화되어 앵커로 전송됩니다. 로컬로 종료되지 않습니다.
- 앵커 컨트롤러: 레이어 3 종료 지점입니다. 외부 컨트롤러에서 모빌리티 터널을 수신하고 클라이언트 트래픽을 종료 지점(VLAN)으로 역캡슐화하거나 종료합니다. 이는 네트워크에서 클라이언트가 표시되는 지점이며 따라서 앵커 이름입니다.
외부 WLC의 액세스 포인트는 WLAN SSID를 브로드캐스트하고 WLAN 프로파일을 적절한 정책 프로파일과 연결하는 정책 태그가 할당됩니다. 무선 클라이언트가 이 SSID에 연결되면 외부 컨트롤러는 앵커 WLC에 클라이언트 정보의 일부로 SSID 이름 및 정책 프로파일을 모두 전송합니다. 수신 시 앵커 WLC는 SSID 이름 및 정책 프로파일 이름과 일치하도록 자체 컨피그레이션을 확인합니다. 앵커 WLC가 일치 항목을 찾으면 그에 해당하는 컨피그레이션과 종료 지점을 무선 클라이언트에 적용합니다. 따라서 WLAN 및 정책 프로파일 이름과 컨피그레이션이 외부 9800 WLC 및 앵커 9800 WLC 모두에서 일치해야 합니다. 단, 정책 프로파일의 VLAN은 예외입니다.
참고: WLAN 프로필 및 정책 프로필 이름은 9800 Anchor 및 9800 Foreign WLC 모두에서 일치할 수 있습니다.
9800 앵커를 사용하여 9800 외래 구성
1단계. Foreign 9800 WLC와 Anchor 9800 WLC 간에 모빌리티 터널을 구축합니다.
Catalyst 9800에서 모빌리티 토폴로지 구성을 참조할 수 있습니다.
2단계. 두 9800 WLC에서 원하는 SSID를 생성합니다.
지원되는 보안 방법:
- 열기
- MAC 필터
- PSK
- 점1x
- 로컬/외부 웹 인증(LWA)
- CWA(Central Web Authentication)
참고: 두 9800 WLC는 동일한 종류의 컨피그레이션을 가져야 하며, 그렇지 않으면 anchor가 작동하지 않습니다.
3단계. 외부 9800 WLC에 로그인하고 정책 프로파일 아래에 앵커 9800 WLC IP 주소를 정의합니다.
로 Configuration > Tags & Profiles > Policy > + Add 이동합니다.
탭에서 Mobility 앵커 9800 WLC의 IP 주소를 선택합니다.
4단계. 이 WLAN을 서비스하는 외부 컨트롤러와 연결된 AP에 할당된 정책 태그 내의 WLAN에 정책 프로필을 연결합니다.
로 Configuration > Tags & Profiles > Tags 이동하여 새 파일을 만들거나 기존 파일을 사용합니다.
정책 태그Update & Apply to Device 에 변경 사항을 적용하도록 선택하십시오.
5단계(선택 사항) AP에 정책 태그를 할당하거나 이미 보유하고 있는지 확인합니다.
로 Configuration > Wireless > Access Points > AP name > General 이동합니다.
참고: 선택한Update & Apply to Device 후 AP 태그를 변경하면 AP가 터널 CAPWAP를 다시 시작하므로 9800 WLC와의 연결이 끊긴 다음 복구됩니다.
CLI에서:
Foreign 9800 WLC
# config t # wireless profile policy anchor-policy # mobility anchor 10.88.173.105 priority 3 # no shutdown # exit # wireless tag policy PT1 # wlan anchor-ssid policy anchor-policy # exit # ap aaaa.bbbb.dddd # site-tag PT1 # exit
6단계. 앵커 9800 WLC에 로그인하고 앵커 정책 프로필을 생성합니다. 외래 9800 WLC에서 사용한 것과 동일한 이름이 있는지 확인합니다.
로 Configuration > Tags & Profiles > Policy > + Add 이동합니다.
탭으로 Mobility 이동하여 활성화합니다Export Anchor. 그러면 9800 WLC에 해당 정책 프로파일을 사용하는 WLAN에 대한 앵커 9800 WLC가 됩니다. 외부 9800 WLC는 앵커 9800 WLC로 클라이언트를 전송할 때 클라이언트가 할당된 WLAN 및 정책 프로파일에 대해 알려주므로 앵커 9800 WLC는 사용할 로컬 정책 프로파일을 파악합니다.
참고: 모빌리티 피어와 내보내기 앵커를 동시에 구성해서는 안 됩니다. 잘못된 컨피그레이션 시나리오입니다.
참고: 액세스 포인트가 있는 컨트롤러의 WLAN 프로필에 연결된 정책 프로필에 대해서는 Export Anchor 설정을 사용하지 않아야 합니다. 그러면 SSID가 브로드캐스트되지 않으므로 이 정책은 앵커 기능에만 사용해야 합니다.
CLI에서:
Anchor 9800 WLC # config t # wireless profile policy <anchor-policy> # mobility anchor # vlan <VLAN-id_VLAN-name> # no shutdown # exit
Foreign 9800 WLC - Anchor AireOS
이 설정에서는 Catalyst 9800 WLC가 외산으로 사용되고 AireOS Unified WLC가 앵커로 사용되는 시나리오를 보여 줍니다.
Catalyst 9800 Foreign - AireOS Anchor Network 다이어그램
AireOS Anchor로 9800 Foreign 구성
1단계. Foreign 9800 WLC와 Anchor AireOS WLC 간에 모빌리티 터널을 구축합니다.
Catalyst 9800에서 모빌리티 토폴로지 구성 이 문서를 참조하십시오.
2단계. 두 WLC에서 원하는 WLAN을 생성합니다.
지원되는 보안 방법:
- 열기
- MAC 필터
- PSK
- 점1x
- 로컬/외부 웹 인증(LWA)
- CWA(Central Web Authentication)
참고: AireOS WLC와 9800 WLC는 모두 같은 종류의 컨피그레이션이어야 합니다. 그렇지 않으면 anchor가 작동하지 않습니다.
3단계. 9800 WLC(외부 역할)에 로그인하고 앵커 정책 프로필을 생성합니다.
로 Configuration > Tags & Profiles > Policy > + Add 이동합니다.
탭으로 Mobility 이동하고 앵커 AireOS WLC를 선택합니다. 9800 WLC는 이 정책 프로파일과 연결된 SSID의 트래픽을 선택한 앵커에 전달합니다.
4단계. 이 WLAN을 서비스하는 외부 컨트롤러와 연결된 AP에 할당된 정책 태그 내의 WLAN에 정책 프로필을 연결합니다.
로 Configuration > Tags & Profiles > Tags 이동하여 새 파일을 만들거나 기존 파일을 사용합니다.
정책 태그Update & Apply to Device 에 변경 사항을 적용하도록 선택하십시오.
5단계(선택 사항) 사이트를 AP에 할당하거나 AP가 이미 있는지 확인합니다.
로 Configuration > Wireless > Access Points > AP name > General 이동합니다.
참고: 선택한Update & Apply to Device 후 AP 태그를 변경하면 AP가 터널 CAPWAP를 다시 시작하므로 9800 WLC와의 연결이 끊긴 다음 복구됩니다.
CLI에서:
# config t # wireless profile policy anchor-policy # mobility anchor 10.88.173.105 priority 3 # no shutdown # exit # wireless tag policy PT1 # wlan anchor-ssid policy anchor-policy # exit # ap aaaa.bbbb.dddd # site-tag PT1 # exit
6단계. AireOS WLC를 앵커로 구성합니다.
AireOS에 로그인하여 로 WLANs > WLANs 이동합니다. WLAN 행의 오른쪽 끝에 있는 화살표를 선택하여 드롭다운 메뉴로 이동한 다음 을 선택합니다Mobility Anchors.
로컬 앵커로 설정합니다.
CLI에서:
> config wlan disable <wlan-id> > config wlan mobility anchor add <wlan-id> <AireOS-WLC's-mgmt-interface> > config wlan enable <wlan-id>
Foreign AireOS - Anchor 9800 WLC
AireOS Foreign with 9800 Anchor Network 다이어그램
AireOS Anchor로 9800 Foreign 구성
1단계. Foreign 9800 WLC와 Anchor AireOS WLC 간에 모빌리티 터널을 구축합니다.
Catalyst 9800에서 모빌리티 토폴로지 구성을 참조할 수 있습니다.
2단계. 두 WLC에서 원하는 SSID를 생성합니다.
지원되는 보안 방법:
- 열기
- MAC 필터
- PSK
- 점1x
- 로컬/외부 웹 인증(LWA)
- CWA(Central Web Authentication)
참고: AireOS WLC와 9800 WLC는 모두 같은 종류의 컨피그레이션이어야 합니다. 그렇지 않으면 anchor가 작동하지 않습니다.
3단계. 앵커 역할을 하는 9800 WLC에 로그인하고 앵커 정책 프로필을 생성합니다.
로 이동합니다. Configuration > Tags & Profiles > Policy > + Add9800의 정책 프로파일 이름이 AireOS WLC의 프로파일 이름과 정확히 같은 이름인지 확인합니다. 그렇지 않으면 작동하지 않습니다.
탭으로 Mobility 이동하여 활성화합니다Export Anchor. 그러면 9800 WLC에 해당 정책 프로파일을 사용하는 WLAN에 대한 앵커 9800 WLC가 됩니다. 외부 AireOS WLC는 앵커 9800 WLC로 클라이언트를 전송할 때 클라이언트가 할당된 WLAN 이름을 알려줍니다. 따라서 앵커 9800 WLC는 사용할 로컬 WLAN 컨피그레이션을 알고 있으며 이 이름을 사용하여 사용할 로컬 정책 프로파일을 알 수 있습니다.
참고: 외부 컨트롤러에서 트래픽을 수신하기 위해 이 정책 프로필을 독점적으로 사용해야 합니다.
CLI에서:
Anchor 9800 WLC # config t # wireless profile policy <anchor-policy> # mobility anchor # vlan <VLAN-id_VLAN-name> # no shutdown # exit
4단계. AireOS WLC를 외래로 구성합니다.
AireOS에 로그인하여 WLANs > WLANs로 이동합니다.WLAN 행 끝에 있는 아래쪽 화살표로 이동하여 을 Mobility Anchor선택합니다
.
9800 WLC를 이 SSID의 앵커로 설정합니다.
CLI에서:
> config wlan disable <wlan-id> > config wlan mobility anchor add <wlan-id> <9800 WLC's-mgmt-interface> > config wlan enable <wlan-id>
확인
외부/앵커 SSID를 사용하여 무선 클라이언트의 컨피그레이션 및 상태를 확인하려면 이 명령을 사용할 수 있습니다.
9800 WLC에서 확인
# show run wlan # show wlan summary # show wireless client summary
# show wireless mobility summary
# show ap tag summary
# show ap <ap-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
AireOS WLC에서 확인
> show client summary > show client detail <client-mac-addr> > show wlan summary > show wlan <wlan-id>
문제 해결
WLC 9800은 상시 추적 기능을 제공합니다. 이렇게 하면 모든 클라이언트 연결 관련 오류, 경고 및 알림 수준 메시지가 지속적으로 로깅되며, 사고 또는 장애 발생 후 상태에 대한 이벤트를 볼 수 있습니다.
참고: 생성된 로그의 양에 따라 몇 시간에서 며칠로 돌아갈 수 있습니다.
9800 WLC가 기본적으로 수집한 추적을 보려면 SSH/텔넷을 통해 9800 WLC에 연결하고 다음 단계를 참조하십시오. (세션을 텍스트 파일에 기록하십시오.)
1단계. 문제가 발생했을 때까지의 시간에 로그를 추적할 수 있도록 컨트롤러의 현재 시간을 확인합니다.
# show clock
2단계. 시스템 컨피그레이션에 따라 컨트롤러 버퍼 또는 외부 syslog에서 syslog를 수집합니다. 이렇게 하면 시스템 상태 및 오류(있는 경우)를 빠르게 볼 수 있습니다.
# show logging
3단계. 특정 mac 또는 IP 주소에 대한 always-on 알림 레벨 추적을 수집합니다. 원격 모빌리티 피어는 모빌리티 터널 문제가 의심되는 경우 또는 무선 클라이언트 mac 주소로 이를 필터링할 수 있습니다.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
4단계. 세션의 콘텐츠를 표시하거나 파일을 외부 TFTP 서버에 복사할 수 있습니다.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
조건부 디버깅 및 무선 활성 추적
Always-on 추적이 조사 중인 문제의 트리거를 확인하는 데 충분한 정보를 제공하지 않으면 조건부 디버깅을 활성화하고 RA(Radio Active) 추적을 캡처할 수 있습니다. 그러면 지정된 조건(이 경우 클라이언트 mac 주소)과 상호 작용하는 모든 프로세스에 대해 디버그 레벨 추적을 제공합니다. 조건부 디버깅을 활성화하려면 다음 단계를 참조하십시오.
5단계. 활성화된 디버그 조건이 없는지 확인합니다.
# clear platform condition all
6단계. 모니터링할 무선 클라이언트 mac 주소에 대한 디버그 조건을 활성화합니다.
이 명령은 30분(1,800초) 동안 제공된 MAC 주소를 모니터링하기 시작합니다. 선택적으로 이 시간을 최대 2,085,978,494초까지 늘릴 수 있습니다.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
참고: 한 번에 둘 이상의 클라이언트를 모니터링하려면 mac 주소당 debug wireless mac <aaaa.bbb.cccc> 명령을 실행합니다.
참고: 모든 것이 나중에 볼 수 있도록 내부적으로 버퍼링되므로 터미널 세션에서 클라이언트 활동의 출력이 표시되지 않습니다.
7단계. 모니터링할 문제나 동작을 재현합니다.
8단계. 기본 또는 구성된 모니터 시간이 끝나기 전에 문제가 재현되는 경우 디버그를 중지합니다.
# no debug wireless mac <aaaa.bbbb.cccc>
모니터 시간이 경과하거나 디버그 무선이 중지되면 9800 WLC는 다음과 같은 이름의 로컬 파일을 생성합니다. ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
9단계. MAC 주소 활동의 파일을 수집합니다. RA 추적을 외부 서버에 복사하거나.log 화면에 출력을 직접 표시할 수 있습니다.
RA 추적 파일의 이름을 확인합니다:
# dir bootflash: | inc ra_trace
파일을 외부 서버에 복사:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
콘텐츠 표시:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
10단계. 근본 원인이 아직 명확하지 않은 경우 디버그 레벨 로그를 더 자세히 보여주는 내부 로그를 수집합니다. 로그가 이미 컨트롤러 메모리에 기록되었으므로 클라이언트를 다시 디버깅할 필요는 없으며, 자세한 보기만 작성하면 됩니다.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
참고: 이 명령 출력은 모든 프로세스의 모든 로깅 레벨에 대한 추적을 반환하며 상당히 방대합니다. 이러한 추적을 분석하도록 Cisco TAC와 협력하십시오.
를 외부 서버에 복사하거나ra-internal-FILENAME.txt 화면에 출력을 직접 표시할 수 있습니다.
파일을 외부 서버에 복사:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
콘텐츠 표시:
# more bootflash:ra-internal-<FILENAME>.txt
11단계. 디버그 조건을 제거합니다.
# clear platform condition all
참고: 트러블슈팅 세션 후에는 항상 디버그 조건을 제거해야 합니다.
AireOS WLC 확인
이 명령을 실행하여 AireOS WLC에서 무선 클라이언트의 활동을 모니터링할 수 있습니다.
> debug client <client-mac-add>