Configurar a malha nos controladores de LAN sem fio Catalyst 9800

Opções de download

  • PDF     (2.9 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.7 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.6 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:7 de agosto de 2024
ID do documento:215100

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve um exemplo de configuração básica sobre como unir um Ponto de Acesso (AP) de malha ao Catalyst 9800 Wireless LAN Controller (WLC).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Modelo de configuração Catalyst Wireless 9800
    • Configuração de LAPs 
    • Controle e fornecimento de access points sem fio (CAPWAP)
    • Configuração de um servidor DHCP externo
    • Configuração de switches Cisco

    Componentes Utilizados

    Este exemplo usa o ponto de acesso lightweight (1572AP e 1542) que pode ser configurado como um Root AP (RAP) ou Mesh AP (MAP) para se unir ao Catalyst 9800 WLC. O procedimento é idêntico para 1542 ou 1562 pontos de acesso. O RAP é conectado ao Catalyst 9800 WLC através de um switch Cisco Catalyst.

    As informações neste documento são baseadas nestas versões de software e hardware:

    • C9800-CL v16.12.1
    • Switch de Camada 2 da Cisco
    • Pontos de acesso Cisco Aironet série 1572 Lightweight Outdoor para a seção Bridge
    • Cisco Aironet 1542 para a seção Flex+Bridge

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Estudo de caso 1: Modo em bridge

    Configurações

    Um AP de malha precisa ser autenticado para que ele se una ao controlador 9800. Este estudo de caso considera que você se une ao AP no modo local primeiro para o WLC e depois o converte para o modo de malha Bridge (também conhecido como). Para evitar a atribuição de perfis de junção de AP, use este exemplo, mas configure o método default aaa authorization credential-download para que qualquer AP de malha tenha permissão para se unir à controladora.

    Etapa 1: Configure os endereços MAC RAP/MAP em Autenticação de dispositivo.

    Navegue até Configuration > AAA > AAA Advanced > Device Authentication

    Configurações de AAA

    Adicione o endereço MAC Ethernet base dos pontos de acesso da malha. Adicione-o sem caracteres especiais, sem '.' ou ':'

    Observação: a partir da versão 17.3.1, se forem adicionados delimitadores de endereços mac como '.', ':' ou '-', o AP não poderá se unir. No momento, há 2 aprimoramentos abertos para isso: ID de bug da Cisco CSCvv43870 e ID de bug da Cisco CSCvr07920. No futuro, o 9800 aceitará todos os formatos de endereço mac.

    Adicionar um endereço MAC

    Etapa 2: Configure a lista de métodos de autenticação e autorização.

    Navegue para Configuration > Security > AAA > AAA Method list > Authentication e crie a lista de métodos de autenticação e a lista de métodos de autorização.

    Configuração de Autorização AAA

    Configuração de Autenticação AAA

    Etapa 3: Configure os parâmetros globais de malha.

    Navegue até Configuration> Mesh> Global parameters. Inicialmente, você pode manter esses valores como padrão.

    Menu Malha

    Etapa 4: Crie um novo perfil de malha em Configuration > Mesh > Profile > +Add.

    Adicionar um perfil de malha

    Clique no perfil de malha criado para editar as configurações Geral e Avançado do perfil de malha.

    No diagrama como mostrado, você precisa mapear o perfil de autenticação e autorização criado antes para o perfil Mesh.

    Configurações avançadas de perfil do Mesh

    Etapa 5: Crie um novo perfil de junção AP. Navegue para Configurar > Tags e perfis: AP Join.

    Junção AP

    Adicionar perfil de ingresso no AP

    Aplique o perfil de malha configurado anteriormente e configure a autenticação EAP AP AP:

    Definição dos detalhes da malha no perfil de junção AP

    Etapa 6: Crie uma tag de localização de malha conforme mostrado.

    Menu Marcas

    Configure Clique na TAG de localização da malha criada na Etapa 6 para configurá-la.

    Navegue até a guia Site e aplique o Perfil de junção de AP em malha configurado anteriormente a ela:

    Adicionar Marca de Site

    Passo 7. Atribua a marca de site ao AP. Navegue para Configuration > Wireless > Access points e clique no AP Mesh. Atribua a marca de site.

    Atribuir uma marca de siteAtribuir uma marca de site

    Etapa 8. Converta o AP para o modo Bridge.

    Definir modo de bridge

    Através da CLI, você pode usar este comando no AP:

    capwap ap mode bridge

    O AP reinicializa e se une novamente como modo de Bridge.

    Etapa 9. Agora você pode definir a função do AP: AP raiz ou AP de malha.

    O AP raiz é aquele com uma conexão com fio à WLC, enquanto o AP de malha se une à WLC através de seu rádio que tenta se conectar a um AP raiz. Um AP de malha pode se unir à WLC através de sua interface com fio depois que ele não conseguir encontrar um AP raiz através de seu rádio, para fins de provisão. Não se esqueça de especificar a vlan nativa do tronco nas configurações do AP caso seja diferente da VLAN 1 padrão.

    Atribuir função de malhaAtribuir função de malha

    Verificar

    aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
 method authentication Mesh_Authentication
 method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site Mesh_AP_Tag
 ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile Mesh_Profile

    Troubleshooting

    Na página Troubleshooting > Radioative Trace Web UI, clique em add e insira o endereço MAC do AP.

    Adicionar endereço MAC do RAtrace

    Clique em Start e aguarde até que o AP tente se unir ao controlador novamente. Depois de concluído, clique em Gerar e escolha um período de tempo para coletar os logs (últimos 10 ou 30 minutos, por exemplo).

    Clique no nome do arquivo de rastreamento para baixá-lo do seu navegador.

    Aqui está um exemplo de AP não unido porque o nome errado do método de autorização aaa foi definido :

    019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type: 23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40 Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP: 192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available. Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host: 192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0 port:38932MAC: 0062.ec80.b1ac

    O mesmo pode ser visto mais facilmente no painel da interface do usuário da Web quando os APs não estão unidos. Ap auth pending é a dica que aponta para a autenticação do AP em si:

    Estatísticas de Junção APWidget de junção AP

    Estudo de caso 2: Flex + Bridge

    Esta seção destaca o processo de união de um AP 1542 no modo Flex+bridge com autenticação EAP feita localmente no WLC.

    Configurar

    • Etapa 1. Navegue até Configuration > Security > AAA > AAA Advanced > Device Authentication.

    Página Adicionar Autenticação de Dispositivo

    • Etapa 2. Selecione Device Authentication e Add.
    • Etapa 3. Digite o endereço MAC Ethernet base do AP para se unir à WLC. Deixe o Nome da lista de atributos em branco e selecione Aplicar ao dispositivo.

    Filtro MAC

    • Etapa 4. Navegue até Configuration > Security > AAA > AAA Method List > Authentication.
    • Etapa 5. Selecione Adicionar. O pop-up AAA Authentication é exibido.

    Adicionar um método AAA de autenticação

    • Etapa 6. Digite um nome no campo Nome da lista de métodos. Selecione 802.1x na lista suspensa Tipo* e local para o Tipo de grupo. Por fim, selecione Apply to Device.

    AAA Authentication dot1x List

    • Etapa 6b. Caso seus APs entrem diretamente como modo Bridge e não tenham recebido uma marca de site e política antes, repita a etapa 6, mas para o método padrão.
    • Configure um método de autenticação dot1x aaa que aponte para local (CLI aaa authentication dot1x default local).
    • Passo 7. Navegue até Configuration > Security > AAA > AAA Method List > Authorization.
    • Etapa 8. Selecione Adicionar. O pop-up AAA Authorization é exibido.

    Adicionar um Método de Autorização AAA

    • Etapa 9. Digite um nome no Nome da lista de métodos, selecione download de credencial na lista suspensa Tipo* e local para o Tipo de grupo. Por fim, selecione Apply to Device.

    Perfil de Autorização AAA para download de credenciais

    • Etapa 9b. Caso seu AP entre diretamente no modo Bridge (ou seja, ele não entra no modo local primeiro), repita a etapa 9 para o método padrão de download de credenciais (CLI aaa authorization credential-download default local).
    • Etapa 10. Navegue até Configuration > Wireless > Mesh > Profiles.
    • Etapa 11. Selecione Adicionar. O pop-up Add Mesh Profile é exibido.

    Adicionar um perfil de malha

    • Etapa 12. Na guia Geral, defina um nome e uma descrição para o perfil Mesh.

    Configurações gerais do perfil do Mesh

    • Etapa 13. Na guia Advanced, selecione EAP para o campo Method.
    • Etapa 14. Selecione o perfil de Autorização e Autenticação definido nas etapas 6 e 9 e selecione Aplicar ao Dispositivo.

    Adicionar perfil de malha, configurações avançadas

    • Etapa 15. Navegue até Configuration > Tag & Profiles > AP Join > Profile.
    • Etapa 16. Selecione Adicionar. O pop-up Perfil de ingresso no AP é exibido. Defina um nome e uma descrição para o perfil de junção AP.

    Adicionar perfil de ingresso no AP

    Adicionando um perfil de ingresso no AP: Configurações gerais

    • Etapa 17. Navegue até a guia AP e selecione o Perfil da malha criado na etapa 12 no menu suspenso Nome do perfil da malha.
    • Etapa 18. Certifique-se de que EAP-FAST e CAPWAP DTLS estejam definidos para os campos EAP Type e AP Authorization Type, respectivamente.
    • Etapa 19. Selecione Apply to Device.

    Definir configurações de malha no perfil de união AP

    • Etapa 20. Navegue até Configuration > Tag & Profiles > Tags > Site.
    • Etapa 21. Selecione Adicionar. O pop-up Tag de site é exibido.

    Adicionando uma etiqueta de site

    • Etapa 22. Digite um nome e uma descrição para a Marca de Site.

    Defina o perfil de ingresso do AP na etiqueta do site

    • Etapa 23. Selecione o Perfil de junção AP criado na etapa 16 no menu suspenso Perfil de junção AP.
    • Etapa 24. Na parte inferior do pop-up Marca do site, desmarque a caixa de seleção Habilitar site local para habilitar o menu suspenso Perfil do Flex.
    • Etapa 35. No menu suspenso Flex Profile, selecione o Flex Profile que deseja usar para o AP.

    Definindo o perfil Flex

    • Etapa 36. Conecte o AP à rede e verifique se o AP está no modo local.
    • Etapa 37. Para garantir que o AP esteja no modo local, emita o comando capwap ap mode local.

    O AP deve ter uma maneira de encontrar a controladora, broadcast L2, DHCP Opção 43, resolução DNS ou configuração manual.

    • Etapa 38. O AP se junta à WLC. Verifique se ele está listado na lista de APs. Navegue até Configuration > Wireless > Access Points > All Access Points.

    Verificação do modo local do AP

    • Etapa 39. Selecione o AP. A janela pop-up AP é exibida.
    • Etapa 40. Selecione a Tag de site criada na Etapa 22 em Geral > Tags > guia Site no pop-up AP, selecione Atualizar e aplicar ao dispositivo.

    Aplicando a etiqueta de site

    • Etapa 41. O AP é reinicializado e deve se unir de volta à WLC no modo Flex + Bridge.

    Esse método junta o AP primeiro no modo local (onde ele não faz a autenticação dot1x) para aplicar a marca de site com o perfil de malha e, em seguida, comutar o AP para o modo de ponte.

    Para unir um AP que está preso no modo Bridge (ou Flex+Bridge), configure os métodos padrão (aaa authentication dot1x default local e aaa authorization cred default local).

    O AP é então capaz de autenticar e você pode atribuir as tags depois.

    Verificar

    Certifique-se de que o modo AP seja exibido como Flex + Bridge, conforme mostrado nesta imagem.

    Verificação do modo AP

    Execute esses comandos da CLI do WLC 9800 e procure o atributo AP Mode. Ele deve estar listado como Flex+Bridge.

    aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
 description "default mesh profile"
wireless tag site meshsite
 ap-profile meshapjoin
 no local-site
ap profile meshapjoin
 hyperlocation ble-beacon 0
 hyperlocation ble-beacon 1
 hyperlocation ble-beacon 2
 hyperlocation ble-beacon 3
 hyperlocation ble-beacon 4
 mesh-profile mesh-profile

    Troubleshooting

    Verifique se os comandos aaa authentication dot1x default local e aaa authorization cred default local estão presentes. Eles são necessários se o seu AP não tiver sido pré-ingressado no modo Local. O painel principal do 9800 tem um widget que exibe os APs que não podem se unir. Clique nele para obter uma lista de APs que falham ao ingressar:

    Estatísticas AP

    Clique no AP específico para ver o motivo pelo qual ele não ingressou. Nesse caso, você vê um problema de autenticação (autenticação de AP pendente) porque a marca do site não foi atribuída ao AP.

    Portanto, o 9800 não escolheu o método de autenticação/autorização nomeado para autenticar o AP:

    Estatísticas de junção do AP 2

    Para uma solução de problemas mais avançada, navegue até a página Troubleshooting > Radioative Trace na interface de usuário da Web. Se você inserir o endereço MAC do AP, poderá gerar imediatamente um arquivo para obter os logs sempre ativos (no nível de aviso) do AP que tenta juntar-se. Clique em Iniciar para habilitar a depuração avançada para esse endereço mac. Na próxima vez que os logs forem gerados, gere os logs, logs de depuração para a junção AP, como mostrado.

    Página RAtrace

    Histórico de revisões

    Revisão Data de publicação Comentários
    6.0
    07-Aug-2024
    Adicionada a etapa 7 no caso 1: atribuindo a marca de site
    5.0
    18-Jun-2024
    Texto Alt, requisitos de estilo e formatação atualizados.
    4.0
    30-Jun-2023
    modificou a captura de tela de filtragem de MAC
    3.0
    20-Apr-2023
    Recertificação
    2.0
    10-Nov-2021
    Pequenas alterações de formatação
    1.0
    28-Nov-2019
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Bharti Khatri
      Engenheiro de consultoria de segurança
    • Anand Shandilya
      Engenheiro de consultoria técnica
    • Israel Márquez Salinas
      Engenheiro de consultoria

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos