Catalyst 9800 Wireless LAN Controller에서 메시 구성

소개

이 문서에서는 메시 AP(Access Point)를 Catalyst 9800 WLC(Wireless LAN Controller)에 조인하는 방법에 대한 기본 컨피그레이션 예를 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Catalyst Wireless 9800 구성 모델
• LAP 컨피그레이션 
• CAPWAP(Control And Provision of Wireless Access Points)
• 외부 DHCP 서버의 컨피그레이션
• Cisco 스위치 구성

사용되는 구성 요소

이 예에서는 Catalyst 9800 WLC에 연결하기 위해 루트 AP(RAP) 또는 메시 AP(MAP)로 구성할 수 있는 경량 액세스 포인트(1572AP 및 1542)를 사용합니다. 절차는 1542 또는 1562 액세스 포인트와 동일합니다. RAP는 Cisco Catalyst 스위치를 통해 Catalyst 9800 WLC에 연결됩니다.

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• C9800-CL v16.12.1
• Cisco 레이어 2 스위치
• Cisco Aironet 1572 Series Lightweight Outdoor Access Point for the Bridge 섹션
  
• Flex+Bridge 섹션용 Cisco Aironet 1542

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

사례 연구 1: 브리지 모드

설정

메시 AP가 9800 컨트롤러에 조인하려면 인증해야 합니다. 이 사례 연구에서는 먼저 로컬 모드의 AP를 WLC에 연결한 다음 Bridge(a.k.a) 메시 모드로 변환하는 것을 고려합니다. AP 조인 프로파일 할당을 방지하려면 이 예를 사용하되, 메시 AP가 컨트롤러에 조인할 수 있도록 기본 aaa 권한 부여 자격 증명 다운로드 방법을 구성합니다.

1단계: Device Authentication(디바이스 인증) 아래에서 RAP/MAP mac 주소를 구성합니다.

Configuration(컨피그레이션) > AAA > AAA Advanced(AAA 고급) > Device Authentication(디바이스 인증)으로 이동합니다. 

메시 액세스 포인트의 기본 이더넷 MAC 주소를 추가합니다. '.' 또는 ':' 없이 특수 문자 없이 추가합니다.

참고: 17.3.1 릴리스부터 '.', ':' 또는 '-'와 같은 mac 주소 구분 기호를 추가하면 AP가 조인할 수 없습니다. 이를 위해 현재 Cisco 버그 ID CSCv43870 및 Cisco 버그 ID CSCvr07920의 2가지 개선 사항이 있습니다. 향후 9800은 모든 mac 주소 형식을 허용합니다.

2단계: 인증 및 권한 부여 방법 목록을 구성합니다.

Configuration(컨피그레이션) > Security(보안) > AAA > AAA Method list(AAA 방법 목록) > Authentication(인증)으로 이동하고 인증 방법 목록 및 권한 부여 방법 목록을 생성합니다.

3단계: 전역 메시 매개변수를 구성합니다.

Configuration(컨피그레이션) > Mesh(메시) > Global parameters(전역 매개변수)로 이동합니다. 처음에는 이러한 값을 기본값으로 유지할 수 있습니다.

4단계: Configuration(컨피그레이션) > Mesh(메시) > Profile(프로파일) > +Add(추가)에서 새 메시 프로파일을 생성합니다.

생성된 메시 프로파일을 클릭하여 메시 프로파일에 대한 일반 및 고급 설정을 편집합니다.

그림과 같이 Mesh 프로필에 앞서 생성한 인증 및 권한 부여 프로필을 매핑해야 합니다.

5단계: 새 AP 조인 프로필을 생성합니다. Configure(구성) > Tags and Profiles(태그 및 프로필): AP Join(AP 조인)으로 이동합니다.

이전에 구성한 메시 프로필을 적용하고 AP EAP 인증을 구성합니다.

6단계: 표시된 대로 메쉬 위치 태그를 생성합니다.

구성 6단계에서 생성한 메시 위치 TAG를 클릭하여 구성합니다.

Site(사이트) 탭으로 이동하여 이전에 구성한 메시 AP 조인 프로파일을 적용합니다.

7단계. AP에 사이트 태그를 할당합니다. Configuration(컨피그레이션) > Wireless(무선) > Access points(액세스 포인트)로 이동하고 Mesh AP를 클릭합니다. 사이트 태그를 할당합니다.

사이트 태그 할당

8단계. AP를 브리지 모드로 변환합니다.

CLI를 통해 AP에서 다음 명령을 사용할 수 있습니다.

capwap ap mode bridge

AP가 재부팅되고 브리지 모드로 다시 결합됩니다.

9단계. 이제 AP의 역할(루트 AP 또는 메시 AP)을 정의할 수 있습니다.

루트 AP는 WLC에 유선 연결이 있는 반면 메시 AP는 루트 AP에 연결하려고 시도하는 무선 장치를 통해 WLC에 연결됩니다. 프로비저닝을 위해 라디오를 통해 루트 AP를 찾지 못한 경우 메시 AP는 유선 인터페이스를 통해 WLC에 조인할 수 있습니다. 기본 VLAN 1과 다를 경우 AP 설정에서 트렁크 네이티브 VLAN을 지정하는 것을 잊지 마십시오.

메시 역할 할당

다음을 확인합니다.

aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
 method authentication Mesh_Authentication
 method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site Mesh_AP_Tag
 ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile Mesh_Profile

문제 해결

Troubleshoot(트러블슈팅) > Radioactive Trace(방사능 추적) 웹 UI 페이지에서 add(추가)를 클릭하고 AP mac 주소를 입력합니다.

Start(시작)를 클릭하고 AP가 컨트롤러 가입을 다시 시도할 때까지 기다립니다. 완료되면 Generate(생성)를 클릭하고 로그를 수집할 기간을 선택합니다(예: 최근 10분 또는 30분).

추적 파일 이름을 클릭하여 브라우저에서 다운로드합니다.

다음은 잘못된 aaa 권한 부여 메서드 이름이 정의되었기 때문에 조인되지 않은 AP의 예입니다.

019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac

APs not joined(조인되지 않은 AP)를 클릭하면 웹 UI 대시보드에서 더 쉽게 확인할 수 있습니다. Ap auth pending(AP 인증 보류 중)은 AP 자체의 인증을 가리키는 힌트입니다.

사례 연구 2: Flex + Bridge

이 섹션에서는 WLC에서 로컬로 EAP 인증이 수행되는 Flex+Bridge 모드의 1542 AP의 조인 프로세스를 중점적으로 살펴봅니다.

구성

• 1단계. Configuration(컨피그레이션) > Security(보안) > AAA > AAA Advanced(AAA 고급) > Device Authentication(디바이스 인증)으로 이동합니다.

• 2단계. Device Authentication(디바이스 인증)을 선택하고 Add(추가)를 선택합니다.
• 3단계. WLC에 가입할 AP의 기본 이더넷 MAC 주소를 입력합니다. 속성 목록 이름을 비워 두고 [장치에 적용]을 선택합니다.

• 4단계. Configuration(컨피그레이션) > Security(보안) > AAA > AAA Method List(AAA 방법 목록) > Authentication(인증)으로 이동합니다.
• 5단계. Add를 선택합니다. AAA Authentication 팝업 창이 나타납니다.

• 6단계. 메서드 목록 이름에 이름을 입력합니다. Type* 드롭다운에서 802.1x를 선택하고 Group Type(그룹 유형)의 local(로컬)을 선택합니다. 마지막으로, Apply to Device(디바이스에 적용)를 선택합니다.

• 6b단계. AP가 브리지 모드로 직접 연결되고 이전에 사이트 및 정책 태그가 할당되지 않은 경우 6단계를 반복하되 기본 방법을 사용합니다.
• 로컬을 가리키는 dot1x aaa 인증 방법(CLI aaa authentication dot1x default local)을 구성합니다.
  

• 7단계. Configuration(컨피그레이션) > Security(보안) > AAA > AAA Method List(AAA 메서드 목록) > Authorization(권한 부여)으로 이동합니다.
  
• 8단계. Add를 선택합니다. AAA Authorization 팝업이 나타납니다.

• 9단계. Method List Name(방법 목록 이름)에 이름을 입력하고 Type(유형) 드롭다운에서 credential download(인증서 다운로드)를 선택하고 Group Type(그룹 유형)에 대해 local(로컬)을 선택합니다. 마지막으로, Apply to Device(디바이스에 적용)를 선택합니다.

• 9b단계. AP가 브리지 모드에서 직접 조인하는 경우(즉, 먼저 로컬 모드에서 조인하지 않음) 기본 자격 증명 다운로드 방법(CLI aaa authorization credential-download default local)에 대해 9단계를 반복합니다.
• 10단계. Configuration(컨피그레이션) > Wireless(무선) > Mesh(메시) > Profiles(프로파일)로 이동합니다.
• 11단계. Add를 선택합니다. Add Mesh Profile 팝업이 나타납니다.

• 12단계. General(일반) 탭에서 메시 프로필의 이름과 설명을 설정합니다.

• 13단계. Advanced(고급) 탭에서 Method(방법) 필드에 대해 EAP를 선택합니다.
• 14단계. 6단계와 9단계에서 정의한 Authorization and Authentication profile(권한 부여 및 인증 프로파일)을 선택하고 Apply to Device(디바이스에 적용)를 선택합니다.

• 15단계. Configuration(컨피그레이션) > Tag & Profiles(태그 및 프로필) > AP Join(AP 조인) > Profile(프로필)로 이동합니다.
• 16단계. Add를 선택합니다. AP Join Profile 팝업 창이 나타납니다. AP 가입 프로필의 이름 및 설명을 설정합니다.

• 17단계. AP 탭으로 이동하여 Mesh Profile Name(메시 프로필 이름) 드롭다운에서 12단계에서 생성한 메시 프로필을 선택합니다.
• 18단계. EAP Type(EAP 유형) 및 CAPWAP DTLS가 각각 EAP Type(EAP 유형) 및 AP Authorization Type(AP 권한 부여 유형) 필드에 대해 설정되었는지 확인합니다.
• 19단계. Apply to Device(디바이스에 적용)를 선택합니다.

• 20단계. Configuration(컨피그레이션) > Tag & Profiles(태그 및 프로필) > Tags(태그) > Site(사이트)로 이동합니다.
• 21단계. Add를 선택합니다. Site Tag 팝업 창이 나타납니다.

• 22단계. 사이트 태그의 이름과 설명을 입력합니다.

• 23단계. AP Join Profile(AP 조인 프로파일) 드롭다운에서 16단계에서 생성한 AP 조인 프로파일을 선택합니다.
• 24단계. Site Tag(사이트 태그) 팝업창의 아래쪽에서 Enable Local Site(로컬 사이트 사용) 확인란을 선택 취소하여 Flex Profile(플렉스 프로필) 드롭다운을 활성화합니다.
• 35단계. Flex Profile 드롭다운에서 AP에 사용할 Flex Profile을 선택합니다.

• 36단계. AP를 네트워크에 연결하고 AP가 로컬 모드인지 확인합니다.
• 37단계. AP가 로컬 모드에 있는지 확인하려면 capwap ap ap mode local 명령을 실행합니다.

AP는 컨트롤러를 찾을 수 있는 방법(L2 브로드캐스트, DHCP 옵션 43, DNS 확인 또는 수동 설정)이 있어야 합니다.

• 38단계. AP가 WLC에 조인합니다. AP 목록 아래에 나열되어 있는지 확인합니다. Configuration(컨피그레이션) > Wireless(무선) > Access Points(액세스 포인트) > All Access Points(모든 액세스 포인트)로 이동합니다.

• 39단계. AP를 선택합니다. AP 팝업이 나타납니다.
• 40단계. AP 팝업에서 General(일반) > Tags(태그) > Site(사이트) 탭에서 22단계에서 생성한 Site Tag(사이트 태그)를 선택하고 Update and Apply to Device(디바이스에 업데이트 및 적용)를 선택합니다.

• 41단계. AP가 재부팅되며 Flex + Bridge 모드에서 WLC에 다시 연결해야 합니다.

이 방법은 먼저 AP를 로컬 모드(dot1x 인증을 수행하지 않음)에서 조인하여 메시 프로필로 사이트 태그를 적용한 다음 AP를 브리지 모드로 전환합니다.

브리지(또는 Flex+Bridge) 모드에 있는 AP에 연결하려면 기본 방법(aaa authentication dot1x default local 및 aaa authorization cred default local)을 구성합니다.

그러면 AP에서 인증할 수 있으며 나중에 태그를 할당할 수 있습니다.

다음을 확인합니다.

이 이미지에 표시된 대로 AP 모드가 Flex + Bridge로 표시되는지 확인합니다.

WLC 9800 CLI에서 이러한 명령을 실행하고 AP 모드 특성을 찾습니다. Flex+Bridge로 나열되어야 합니다.

aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site meshsite
 ap-profile meshapjoin
 no local-site
ap profile meshapjoin
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile mesh-profile

문제 해결

aaa authentication dot1x default local 및 aaa authorization cred default local 명령이 있는지 확인합니다. AP가 로컬 모드에서 사전 조인되지 않은 경우 필요합니다. 기본 9800 대시보드에는 참가할 수 없는 AP를 표시하는 위젯이 있습니다. 가입에 실패한 AP 목록을 가져오려면 클릭합니다.

특정 AP를 클릭하여 해당 AP가 조인되지 않은 이유를 확인합니다. 이 경우 사이트 태그가 AP에 할당되지 않았기 때문에 인증 문제(AP 인증 보류 중)가 표시됩니다.

따라서 9800에서는 명명된 인증/권한 부여 방법을 선택하여 AP를 인증하지 않았습니다.

고급 문제 해결을 보려면 웹 UI의 Troubleshooting(문제 해결) > Radioactive Trace(방사능 추적) 페이지로 이동하십시오. AP mac 주소를 입력하면 즉시 파일을 생성하여 참가를 시도하는 AP의 Always-On 로그(알림 수준)를 가져올 수 있습니다. Start(시작)를 클릭하여 해당 mac 주소에 대한 고급 디버깅을 활성화합니다. 다음에 로그가 생성되면 표시된 대로 AP 조인에 대한 로그, 디버그 레벨 로그를 생성합니다.