FlexConnect WLAN mit 802.1x AAA-Übersteuerung auf Catalyst 9800 Wireless Controllern

Download-Optionen

  • PDF     (1.8 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.9 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.1 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:27. November 2018
Dokument-ID:213924

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Einrichtung eines elastischen Wireless LAN-Controllers (9800 WLC) mit Access Points im FlexConnect-Modus (APs) und eines lokal geschalteten 802.1x Wireless Local Area Network (WLAN) mit Übersteuerung des Virtual Local Area Network (VLAN) für Authentifizierung, Autorisierung und Abrechnung (AAA) beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Konfigurationsmodus des 9800 WLC
    • FlexConnect

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • 9800 WLC v16.10

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Netzwerkdiagramm

    Konfiguration

    AAA-Konfiguration auf dem 9800 WLC

    Folgen Sie den Anweisungen unter diesem Link:

    AAA-Konfiguration auf dem 9800 WLC

    WLAN-Konfiguration

    Folgen Sie den Anweisungen unter diesem Link:

    WLAN-Konfiguration

    AP als FlexConnect-Modus festlegen

    Im Gegensatz zur AireOS-Konfiguration ist es auf dem 9800 WLC nicht möglich, den AP Local- oder Flexconnect-Modus direkt vom AP aus zu konfigurieren. Führen Sie die folgenden Schritte aus, um einen Access Point im FlexConnect-Modus zu konfigurieren.

    GUI

    Schritt 1: Konfigurieren Sie ein Flex Profile.

    Navigieren Sie zu Konfiguration > Tags & Profile > Flex und entweder das default-flex-Profil ändern oder auf +Hinzufügen klicken, um ein neues zu erstellen.

    Schritt 2: Fügen Sie die erforderlichen VLANs hinzu (sowohl die Standard-VLANs des WLANs als auch die VLANs, die über die ISE übertragen werden).

      

    Hinweis: In Schritt 3 des Abschnitts "Richtlinienprofil-Konfiguration" wählen Sie das der SSID zugewiesene Standard-VLAN aus. Wenn Sie in diesem Schritt einen VLAN-Namen verwenden, stellen Sie sicher, dass Sie in der Konfiguration des Flex-Profils denselben VLAN-Namen verwenden. Andernfalls können die Clients keine Verbindung mit dem WLAN herstellen.

    Optional können spezifische ACLs pro VLAN hinzugefügt werden.

     Optional können Sie eine Radius-Servergruppe zuweisen, damit die FlexConnect-APs eine lokale Authentifizierung durchführen können.

    Schritt 3: Konfigurieren eines Site-Tags

    Navigieren Sie zu Konfiguration > Tags & Profile > Tags > Site. Ändern Sie entweder das default-site-tag (das Tag, das standardmäßig allen APs zugewiesen ist), oder erstellen Sie ein neues Tag (klicken Sie auf +Hinzufügen, um ein neues zu erstellen). 

    Stellen Sie sicher, dass Sie die Option Lokalen Standort aktivieren deaktivieren, da andernfalls die Option Flex Profile nicht verfügbar ist. 

    Hinweis: Alle APs, für die die Option "Lokalen Standort aktivieren" aktiviert ist, werden als lokaler Modus konfiguriert. Ebenso wird jeder Access Point, der eine Site-Tag-Nummer mit deaktivierter Funktion zum Aktivieren des lokalen Standorts erhält, als Flexconnect-Modus konfiguriert.

     Schritt 4: Ordnen Sie einen AP dem 9800 WLC zu, und weisen Sie ihm das in Schritt 2 konfigurierte Site-Tag zu.

    Navigieren Sie zu Configuration > Wireless > Access Points > AP name, und legen Sie das Site-Tag fest. Klicken Sie dann auf Aktualisieren und auf Gerät anwenden, um die Änderung festzulegen.

    Hinweis: Beachten Sie, dass nach dem Ändern des Tags auf einem AP die Verknüpfung mit dem 9800 WLC verloren geht und die Verbindung innerhalb von ca. 1 Minute wiederhergestellt wird. 

     Schritt 5: Sobald der AP wieder angeschlossen ist, ist der AP-Modus "Flex"

    CLI

    # config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601

# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site

# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit

#show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : FlexConnect

    Switch-Konfiguration

    Konfigurieren Sie die Schnittstelle des Switches, mit der der WAP verbunden ist.

    # config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end

    Richtlinienprofilkonfiguration

    In einem Richtlinienprofil können Sie neben anderen Einstellungen (wie Zugriffskontrolllisten, Quality of Service [QoS], Mobility Anchor, Timer usw.) entscheiden, welchem VLAN die Clients zugewiesen werden.

    GUI

    Schritt 1: Konfigurieren Sie das Richtlinienprofil, das dem WLAN zugewiesen werden soll.

      

    Navigieren Sie zu Configuration > Tags & Profiles > Policy, und erstellen Sie entweder ein neues, oder ändern Sie das default-policy-Profil.

     Schritt 2: Weisen Sie dem Richtlinienprofil auf der Registerkarte Allgemein einen Namen zu, und ändern Sie dessen Status zu ENABLED.

     Schritt 3: Weisen Sie auf der Registerkarte Access Policies (Zugriffsrichtlinien) das VLAN zu, dem die Wireless-Clients bei der standardmäßigen Verbindung mit diesem WLAN zugewiesen sind.

    Sie können entweder einen VLAN-Namen aus dem Dropdown-Menü auswählen oder manuell eine VLAN-ID eingeben.

      

    Hinweis: Wenn Sie einen VLAN-Namen aus der Dropdown-Liste auswählen, stellen Sie sicher, dass er mit dem VLAN-Namen übereinstimmt, der in Schritt 2 aus dem Abschnitt AP als FlexConnect-Modus festlegen verwendet wird.

    Oder

    Schritt 4: Navigieren Sie zur Registerkarte Erweitert, und aktivieren Sie die Optionen Zentrale Authentifizierung aktivieren und AAA-Außerkraftsetzung zulassen. Zentrales Switching muss deaktiviert sein.

    Die zentrale Authentifizierung muss aktiviert werden, wenn der Authentifizierungsprozess zentral vom 9800 WLC durchgeführt werden soll. Deaktivieren Sie diese Funktion, wenn die FlexConnect-APs die Wireless-Clients authentifizieren sollen.

    CLI

    # config t
    # wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown

    Richtlinien-Tag-Konfiguration

    Das Policy Tag (Richtlinien-Tag) dient zum Verknüpfen der SSID mit dem Richtlinienprofil. Sie können entweder ein neues Richtlinien-Tag erstellen oder das Standard-Richtlinien-Tag verwenden.

    Hinweis: Das Standard-Richtlinien-Tag ordnet automatisch jede SSID mit einer WLAN-ID zwischen 1 und 16 dem Standard-Richtlinienprofil zu. Sie kann weder geändert noch gelöscht werden. Wenn Sie über ein WLAN mit der ID 17 oder höher verfügen, kann das default-policy-tag nicht verwendet werden.

    GUI:

    Navigieren Sie zu Configuration > Tags & Profiles > Tags > Policy, und fügen Sie bei Bedarf eine neue hinzu.

    Verknüpfen Sie Ihr WLAN-Profil mit dem gewünschten Richtlinienprofil.

      

    CLI:

    # config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

    Richtlinien-Tag-Zuweisung

    Zuweisen des Policy-Tags zum AP

    GUI

    Um das Tag einem AP zuzuweisen, navigieren Sie zu Configuration > Wireless > Access Points > AP Name > General Tags, nehmen Sie die erforderliche Zuweisung vor, und klicken Sie dann auf Update & Apply to Device (Aktualisieren und auf Gerät anwenden).

      

    Hinweis: Beachten Sie, dass nach der Änderung des Richtlinien-Tags an einem AP die Verbindung zum 9800 WLC unterbrochen wird und die Verbindung innerhalb von etwa einer Minute wiederhergestellt wird.

    Um mehreren APs dieselbe Policy Tag (Richtlinie) zuzuweisen, navigieren Sie zu Configuration > Wireless > Wireless Setup > Start Now > Apply (Konfiguration > Wireless > Wireless-Einrichtung > Jetzt starten > Anwenden).


    Wählen Sie die APs aus, denen Sie das Tag zuweisen möchten, und klicken Sie auf + Tag APs.

    Wählen Sie den gewünschten Tag aus, und klicken Sie auf Speichern und auf Gerät anwenden.

    CLI

    # config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

    ISE-Konfiguration

    Für die ISE v1.2-Konfiguration prüfen Sie diesen Link:

    ISE-Konfiguration

    Überprüfung

    Mit diesen Befehlen können Sie die aktuelle Konfiguration überprüfen

    # show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    Fehlerbehebung

    WLC 9800 bietet ALWAYS-ON-Tracing-Funktionen (immer aktiv). Dadurch wird sichergestellt, dass alle mit der Client-Verbindung zusammenhängenden Fehler, Warnungen und Benachrichtigungen ständig protokolliert werden und Sie Protokolle für Vorfälle oder Fehler anzeigen können, nachdem sie aufgetreten sind. 

    Hinweis: Je nach Umfang der generierten Protokolle können Sie einige Stunden bis mehrere Tage zurückgehen.

    Um die standardmäßig vom 9800 WLC erfassten Nachverfolgungen anzuzeigen, können Sie sich über SSH/Telnet mit dem 9800 WLC verbinden und die folgenden Schritte ausführen (stellen Sie sicher, dass Sie die Sitzung in einer Textdatei protokollieren).

    Schritt 1: Überprüfen Sie die aktuelle Uhrzeit des Controllers, damit Sie die Protokolle bis zum Auftreten des Problems nachverfolgen können.

    # show clock

     Schritt 2: Rufen Sie Syslogs aus dem Puffer des Controllers oder dem externen Syslog ab, wie von der Systemkonfiguration vorgeschrieben. Dadurch erhalten Sie einen schnellen Überblick über den Systemzustand und eventuelle Fehler.

    # show logging

    Schritt 3: Überprüfen Sie, ob Debug-Bedingungen aktiviert sind.

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    Hinweis: Wenn eine Bedingung aufgelistet wird, bedeutet dies, dass die Traces für alle Prozesse, bei denen die aktivierten Bedingungen (MAC-Adresse, IP-Adresse usw.) auftreten, auf Debug-Ebene protokolliert werden. Dies würde das Protokollvolumen erhöhen. Daher wird empfohlen, alle Bedingungen zu löschen, wenn gerade kein Debugging aktiv ist

    Schritt 4: Wenn die zu testende MAC-Adresse in Schritt 3 nicht als Bedingung aufgeführt wurde, rufen Sie die Always-On-Nachverfolgungsebenen für die spezifische MAC-Adresse ab.

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    Sie können entweder den Inhalt der Sitzung anzeigen oder die Datei auf einen externen TFTP-Server kopieren.

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    Bedingtes Debugging und Radio Active Tracing  

    Wenn Ihnen die Always-On-Ablaufverfolgung nicht genügend Informationen liefert, um den Auslöser für das untersuchte Problem zu bestimmen, können Sie das bedingte Debugging aktivieren und ein Radio Active Tracing (RA) erfassen, die Ablaufverfolgungen auf Debug-Ebene für alle Prozesse bereitstellt, die mit der angegebenen Bedingung interagieren (in diesem Fall die Client-MAC-Adresse). Gehen Sie folgendermaßen vor, um das bedingte Debuggen zu aktivieren.

    Schritt 5: Stellen Sie sicher, dass keine Debug-Bedingungen aktiviert sind.

    # clear platform condition all

    Schritt 6: Aktivieren Sie die Debug-Bedingung für die MAC-Adresse des Wireless-Clients, die Sie überwachen möchten.

    Mit diesen Befehlen wird die angegebene MAC-Adresse 30 Minuten (1800 Sekunden) lang überwacht. Sie können diese Zeit optional auf bis zu 2085978494 Sekunden erhöhen.

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    Hinweis: Um mehr als einen Client gleichzeitig zu überwachen, führen Sie den Befehl „debug wireless mac <aaaa.bbbb.cccc>“ für jede MAC-Adresse aus.

    Hinweis: Sie sehen die Ausgabe der Client-Aktivität in der Terminalsitzung nicht, da alles intern gepuffert wird, um später angezeigt zu werden.

      

    Schritt 7. Reproduzieren Sie das Problem oder Verhalten, das Sie überwachen möchten.

    Schritt 8: Stoppen Sie die Debugs, wenn das Problem reproduziert wird, bevor die standardmäßige oder konfigurierte Monitoring-Zeit abgelaufen ist.

    # no debug wireless mac <aaaa.bbbb.cccc>

    Sobald die Monitoring-Zeit abgelaufen ist oder das Wireless-Debugging beendet wurde, generiert der 9800 WLC eine lokale Datei mit dem Namen:

    ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Schritt 9. Rufen Sie die Datei mit der MAC-Adressaktivität ab.  Sie können entweder die Datei „ra trace.log“ auf einen externen Server kopieren oder die Ausgabe direkt auf dem Bildschirm anzeigen.

    Überprüfen Sie den Namen der RA-Tracing-Datei

    # dir bootflash: | inc ra_trace

    Datei auf externen Server kopieren:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     Inhalt anzeigen:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    Schritt 10. Wenn die Ursache immer noch nicht offensichtlich ist, rufen Sie die internen Protokolle ab, die eine ausführlichere Ansicht der Protokolle auf Debug-Ebene darstellen. Sie müssen den Client nicht noch einmal debuggen, da wir uns nur die bereits gesammelten und intern gespeicherten Debug-Protokolle genauer ansehen.

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    Hinweis: Diese Befehlsausgabe gibt Traces für alle Protokollierungsebenen für alle Prozesse zurück und ist sehr umfangreich. Wenden Sie sich an das Cisco TAC, um diese Nachverfolgungen zu analysieren.

    Sie können entweder die Datei „ra-internal-FILENAME.txt“ auf einen externen Server kopieren oder die Ausgabe direkt auf dem Bildschirm anzeigen.

    Datei auf externen Server kopieren:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    Inhalt anzeigen:

    # more bootflash:ra-internal-<FILENAME>.txt

     Schritt 11. Entfernen Sie die Debug-Bedingungen.

    # clear platform condition all

    Hinweis: Stellen Sie sicher, dass Sie die Debug-Bedingungen immer nach einer Fehlerbehebungssitzung entfernen.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    21-Nov-2018
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Karla Cisneros Galvan
      Cisco TAC Engineer
    • Sudha Katgeri
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.