在Catalyst 9800上配置WLAN锚点移动功能

简介

本文档介绍如何使用Catalyst 9800无线控制器在外部/锚点方案上配置无线局域网(WLAN)。

先决条件

要求

Cisco 建议您了解以下主题：

• 对无线控制器的命令行界面(CLI)或图形用户界面(GUI)访问
• 思科无线局域网控制器(WLC)上的移动性
• 9800无线控制器
• AireOS WLCs

使用的组件

本文档中的信息基于以下软件和硬件版本：

• AireOS WLC版本8.8 MR2(还可以使用版本间控制器移动(IRCM)特殊8.5映像)
  
• 9800 WLC v16.10或更高版本
• 9800 WLC配置模型

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

此功能通常用于访客接入场景，将所有流量从客户端终止到单个L3出口点，即使客户端来自不同的控制器和物理位置也是如此。移动隧道提供了一种机制，使流量在通过网络时保持隔离。

9800 WLC之间的外部/锚点方案

此场景描述了所使用的两台Catalyst 9800。

网络图：两个Catalyst 9800 WLC

对于移动访客方案，有两个主要控制器角色：

• 外部控制器：此WLC拥有第2层或无线端。它连接了接入点。锚定WLAN的所有客户端流量将封装到移动隧道中，以发送到锚点。它不会在本地退出。
• 锚点控制器：这是第3层出口点。它从外部控制器接收移动隧道，并将客户端流量解封或终止到出口点(VLAN)。这是网络中看到客户端的点，即锚点名称。

外部WLC上的接入点广播WLAN SSID，并分配了将WLAN配置文件与相应策略配置文件链接起来的策略标记。当无线客户端连接到此SSID时，外部控制器将SSID名称和策略配置文件作为客户端信息的一部分发送到锚点WLC。收到数据包后，锚点WLC会检查自己的配置，以匹配SSID名称以及策略配置文件名称。一旦锚点WLC找到匹配项，它就会将与其对应的配置和退出点应用到无线客户端。因此，WLAN和策略配置文件名称和配置必须匹配外部9800 WLC和锚点9800 WLC上的配置，策略配置文件下的VLAN除外。

注意：9800锚点和9800外部WLC上的WLAN配置文件和策略配置文件名称可以匹配。

使用9800锚点配置9800外部

步骤1: 在外部9800 WLC和锚点9800 WLC之间构建移动隧道。

请参阅本文档：在Catalyst 9800上配置移动拓扑

第二步：在两个9800 WLC上创建所需的SSID。

支持的安全方法：

• Open（未解决）
• MAC过滤器
• PSK
• Dot1x
• 本地/外部Web身份验证(LWA)
• 集中Web身份验证(CWA)
  
  

注意：两个9800 WLC必须具有相同的配置类型，否则锚点不起作用。

第三步：登录到外部9800 WLC并在策略配置文件下定义锚点9800 WLC IP地址。

导航到Configuration > Tags & Profiles > Policy > + Add。

在Mobility选项卡上，选择锚点9800 WLC的IP地址。

第四步：将策略配置文件与分配给与此WLAN服务的外部控制器相关联的AP的策略标记内的WLAN链接。

导航到Configuration > Tags & Profiles > Tags  并新建一个或使用现有的一个。

确保选择Update & Apply to Device  以将更改应用于策略标记。

第 5 步（可选）：将策略标签分配给AP或验证其是否已拥有该标签。

导航到Configuration > Wireless > Access Points > AP name > General。

注意：请注意，如果在选择Update & Apply to Device后对AP标记执行更改，AP将重新启动其隧道CAPWAP，因此它将失去与9800 WLC的关联，然后恢复该关联。

从CLI：



Foreign 9800 WLC

# config t # wireless profile policy anchor-policy # mobility anchor 10.88.173.105 priority 3 # no shutdown # exit # wireless tag policy PT1 # wlan anchor-ssid policy anchor-policy # exit # ap aaaa.bbbb.dddd # site-tag PT1 # exit


第六步：登录锚点9800 WLC并创建锚点策略配置文件。确保它与您在外部9800 WLC上使用的名称完全相同。

导航到Configuration > Tags & Profiles > Policy > + Add。 

导航到Mobility  选项卡并启用Export Anchor。这指示9800 WLC是使用该策略配置文件的所有WLAN的锚点9800 WLC。当外部9800 WLC将客户端发送到锚点9800 WLC时，它会通知有关客户端分配到的WLAN和策略配置文件的信息，因此锚点9800 WLC知道使用哪个本地策略配置文件。

注意：您不能同时配置移动对等体和导出锚点。这是无效的配置方案。

注意：对于与具有接入点的控制器上的WLAN配置文件关联的任何策略配置文件，不得使用导出锚点设置。这会阻止广播SSID，因此此策略必须仅用于锚点功能。

从CLI：



Anchor 9800 WLC # config t # wireless profile policy <anchor-policy> # mobility anchor # vlan <VLAN-id_VLAN-name> # no shutdown # exit

外部9800 WLC -锚点AireOS

此设置描述了将Catalyst 9800 WLC用作外部，将AireOS Unified WLC用作锚点的场景。

Catalyst 9800外部- AireOS锚点网络图

使用AireOS锚点配置9800外部

步骤1: 在外部9800 WLC和锚点AireOS WLC之间建立移动隧道。

请参阅本文档：在Catalyst 9800上配置移动拓扑

第二步：在两个WLC上创建所需的WLAN。

支持的安全方法：

• Open（未解决）
• MAC过滤器
• PSK
• Dot1x
• 本地/外部Web身份验证(LWA)
• 集中Web身份验证(CWA)
  
  

注意：AireOS WLC和9800 WLC必须具有相同的配置类型，否则锚点不起作用。

第三步：登录到9800 WLC（充当外部）并创建锚点策略配置文件。

导航到Configuration > Tags & Profiles > Policy > + Add 。

导航到选Mobility  项卡，然后选择锚点AireOS WLC。9800 WLC将与此策略配置文件关联的SSID的流量转发到所选锚点。

第四步：将策略配置文件与分配给与此WLAN服务的外部控制器相关联的AP的策略标记内的WLAN链接。

导航到Configuration > Tags & Profiles > Tags  并新建一个或使用现有的一个。

确保选择Update & Apply to Device  以将更改应用于策略标记。

第 5 步（可选）：将站点分配给AP或验证其是否已拥有该站点。

导航到Configuration > Wireless > Access Points > AP name > General。

注意：请注意，如果您在选择Update & Apply to Device后对AP标记执行更改，AP将重新启动其隧道CAPWAP，因此它将失去与9800 WLC的关联，然后恢复该关联。

从CLI：



# config t # wireless profile policy anchor-policy # mobility anchor 10.88.173.105 priority 3 # no shutdown # exit # wireless tag policy PT1 # wlan anchor-ssid policy anchor-policy # exit # ap aaaa.bbbb.dddd # site-tag PT1 # exit


第六步：将AireOS WLC配置为锚点。

登录到AireOS并导航至WLANs > WLANs。选择WLAN行右端的箭头以导航到下拉菜单并选择Mobility Anchors。

将其设置为本地锚点。

从CLI：



> config wlan disable <wlan-id> > config wlan mobility anchor add <wlan-id> <AireOS-WLC's-mgmt-interface> > config wlan enable <wlan-id>  

外部AireOS -锚点9800 WLC

带9800锚点网络图的AireOS外部



使用AireOS锚点配置9800外线

步骤1: 在外部9800 WLC和锚点AireOS WLC之间建立移动隧道。

请参阅本文档：在Catalyst 9800上配置移动拓扑

第二步：在两个WLC上创建所需的SSID。

支持的安全方法：

• Open（未解决）
• MAC过滤器
• PSK
• Dot1x
• 本地/外部Web身份验证(LWA)
• 集中Web身份验证(CWA)

注意：AireOS WLC和9800 WLC必须具有相同的配置类型，否则锚点不起作用。

第三步：登录到9800 WLC（用作锚点）并创建锚点策略配置文件。

导航到Configuration > Tags & Profiles > Policy > + Add。确保9800上的策略配置文件的名称与AireOS WLC上的配置文件名称完全相同，否则它将不起作用。

导航到Mobility  选项卡并启用Export Anchor。这指示9800 WLC是使用该策略配置文件的所有WLAN的锚点9800 WLC。当外部AireOS WLC将客户端发送到锚点9800 WLC时，它会通知客户端分配到的WLAN名称，因此锚点9800 WLC知道要使用的本地WLAN配置，并且还使用此名称来了解要使用的本地策略配置文件。

注意：确保仅使用此策略配置文件接收来自外部控制器的流量。

从CLI：



Anchor 9800 WLC # config t # wireless profile policy <anchor-policy> # mobility anchor # vlan <VLAN-id_VLAN-name> # no shutdown # exit

第四步：将AireOS WLC配置为外部。

登录到AireOS并导航至WLANs > WLANs。导航至WLAN行末尾的向下箭头并选择Mobility Anchor。

将9800 WLC设置为此SSID的锚点。

从CLI：



> config wlan disable <wlan-id> > config wlan mobility anchor add <wlan-id> <9800 WLC's-mgmt-interface> > config wlan enable <wlan-id>

  

确认

您可以使用外部/锚点SSID使用这些命令来验证无线客户端的配置和状态。 

在9800 WLC上验证



# show run wlan # show wlan summary # show wireless client summary
# show wireless mobility summary
# show ap tag summary
# show ap <ap-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

在AireOS WLC上验证

> show client summary > show client detail <client-mac-addr> > show wlan summary > show wlan <wlan-id>

故障排除

WLC 9800 提供无间断跟踪功能。这样可以确保始终记录所有客户端连接相关的错误、警告和通知级别消息，并且您可以在事件发生后查看事件或故障情况。



注意：根据生成的日志量，您可以将时间从几小时缩短到几天。

要查看9800 WLC在默认情况下收集的跟踪，可以通过SSH/Telnet连接到9800 WLC并参考以下步骤。（确保您将会话记录到文本文件）

步骤1:检查控制器的当前时间，这样您就可以跟踪问题发生时的登录时间。



# show clock


第二步：根据系统配置的指示，从控制器缓冲区或外部系统日志收集系统日志。这样可以快速查看系统运行状况和错误（如果有）。



# show logging 


第三步：收集特定MAC或IP地址的“永远在线”通知级别跟踪。如果您怀疑移动隧道问题或无线客户端MAC地址，远程移动对等设备可以过滤此信息。



# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 


第四步：您可以显示会话内容，也可以将文件复制到外部 TFTP 服务器。



# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

条件调试和无线电主动跟踪

如果永远在线跟踪不能为您提供足够的信息来确定所调查问题的触发因素，您可以启用条件调试并捕获无线活动(RA)跟踪，从而为与指定条件（本例中为客户端MAC地址）交互的所有进程提供调试级别跟踪。要启用条件调试，请参阅以下步骤。

第五步：确保没有启用调试条件。



# clear platform condition all

第六步：启用要监控的无线客户端mac地址的调试条件。

这些命令用于开始监控所提供的 MAC 地址，持续 30 分钟（1800 秒）。您可以选择延长监控时间，最多监控 2085978494 秒。



# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>} 

  

注意：要同时监控多个客户端，请对每个mac地址运行debug wireless mac <aaaa.bbbb.cccc>命令。

注意：您不会在终端会话中看到客户端活动的输出，因为所有内容都在内部缓冲以备日后查看。

步骤 7.重现要监控的问题或行为。

步骤 8如果在默认或配置的监控时间开启之前重现问题，请停止调试。



# no debug wireless mac <aaaa.bbbb.cccc>


一旦监控时间过去或调试无线停止，9800 WLC将生成一个本地文件，其名称为：  ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

步骤 9 收集 MAC 地址活动的文件。   可以将RA跟踪复制.log到外部服务器，也可以直接在屏幕上显示输出。

检查RA跟踪文件的名称：



# dir bootflash: | inc ra_trace


将文件复制到外部服务器：



# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt


显示内容：



# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log


步骤 10如果根本原因仍不明显，请收集内部日志，这些日志是调试级别日志的更详细视图。您不需要再次调试客户端，因为日志已写入控制器内存，您只需要填充更详细的日志视图。



# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

注意：此命令输出返回所有进程的所有日志记录级别的跟踪，而且非常大。让Cisco TAC帮助分析这些跟踪。

您可以将ra-internal-FILENAME.txt复制到外部服务器或直接在屏幕上显示输出。

将文件复制到外部服务器：



# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt


显示内容：



# more bootflash:ra-internal-<FILENAME>.txt


步骤 11删除调试条件。

  

# clear platform condition all

注意：请确保在故障排除会话后始终删除调试条件。

验证AireOS WLC

您可以运行此命令来监控AireOS WLC上无线客户端的活动。



> debug client <client-mac-add>