在Catalyst 9800上配置WLAN錨點移動功能

簡介

本檔案介紹如何在使用Catalyst 9800無線控制器的外部/錨點案例中設定無線區域網路(WLAN)。

必要條件

需求

思科建議您瞭解以下主題：

• 對無線控制器的命令列介面(CLI)或圖形使用者介面(GUI)訪問
• 思科無線LAN控制器(WLC)上的行動化
• 9800無線控制器
• AireOS WLC

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• AireOS WLC 8.8版MR2(還可以使用發行間控制器移動(IRCM)特殊8.5映像)
  
• 9800 WLC v16.10或更高版本
• 9800 WLC組態型號

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

此功能通常用於訪客接入方案，用於將來自客戶端的所有流量終止到單個L3出口點，即使客戶端來自不同的控制器和物理位置也是如此。移動隧道提供了一種機制，使流量在穿過網路時保持隔離。

9800 WLC之間的外部/錨點方案

此案例說明使用過的兩個Catalyst 9800。

網路圖表：兩個Catalyst 9800 WLC

對於移動訪客場景，有兩個主要控制器角色：

• 外部控制器：此WLC擁有第2層或無線端。它有連線到它的存取點。錨定WLAN的所有使用者端流量都會封裝到行動通道中，以便傳送至錨點。它不會在本地退出。
• 錨點控制器：這是第3層出口點。從外部控制器接收行動通道，並解除封裝或終止使用者端流量進入送出點(VLAN)。這是網路中看到使用者端的點，因此是錨點名稱。

外部WLC上的存取點廣播WLAN SSID，並分配了一個策略標籤，用於將WLAN配置檔案與相應的策略配置檔案連結起來。當無線客戶端連線到此SSID時，外部控制器會將SSID名稱和策略配置檔案作為客戶端資訊的一部分傳送到錨點WLC。收到資料包後，錨點WLC會檢查自己的配置，以匹配SSID名稱和策略配置檔名稱。錨點WLC找到匹配項後，會將與其對應的配置和退出點應用於無線客戶端。因此，除策略配置檔案下的VLAN外，外來9800 WLC和錨點9800 WLC上的WLAN和策略配置檔名稱和配置必須匹配。

注意：9800錨點和9800外部WLC上的WLAN配置檔案和策略配置檔名稱可以匹配。

使用9800錨點配置9800外部

步驟 1. 在外部9800 WLC和錨點9800 WLC之間建立移動隧道。

請參閱以下文檔：在Catalyst 9800上配置移動拓撲

步驟 2.在兩個9800 WLC上建立所需的SSID。

支援的安全性方法：

• 未解決
• MAC過濾器
• PSK
• Dot1x
• 本地/外部Web驗證(LWA)
• 中央Web驗證(CWA)
  
  

注意：兩個9800 WLC必須具有相同的配置型別，否則錨點不起作用。

步驟 3.登入外部9800 WLC並在策略配置檔案下定義錨點9800 WLC IP地址。

導航到Configuration > Tags & Profiles > Policy > + Add。

在Mobility頁籤上，選擇錨點9800 WLC的IP地址。

步驟 4.將策略配置檔案與分配給與此WLAN服務的外部控制器相關聯的AP的策略標籤內的WLAN連結。

導航到Configuration > Tags & Profiles > Tags  並建立新路由表或使用現有路由表。

確保選擇Update & Apply to Device  將更改應用於策略標籤。

步驟 5.（選用）將策略標籤分配給AP或驗證其是否已經擁有該標籤。

導航到Configuration > Wireless > Access Points > AP name > General。

注意：請注意，如果在選擇Update & Apply to Device後對AP標籤執行更改，AP將重新啟動其隧道CAPWAP，因此它會失去與9800 WLC的關聯然後恢復它。

在CLI上：



Foreign 9800 WLC

# config t # wireless profile policy anchor-policy # mobility anchor 10.88.173.105 priority 3 # no shutdown # exit # wireless tag policy PT1 # wlan anchor-ssid policy anchor-policy # exit # ap aaaa.bbbb.dddd # site-tag PT1 # exit


步驟 6.登入錨點9800 WLC並建立錨點策略配置檔案。確保該名稱與您在外部9800 WLC上使用的名稱完全相同。

導航到Configuration > Tags & Profiles > Policy > + Add。 

導航到Mobility  頁籤並啟用Export Anchor。這指示9800 WLC它是使用該策略配置檔案的所有WLAN的錨點9800 WLC。當外部9800 WLC將客戶端傳送到錨點9800 WLC時，它會通知有關客戶端所分配到的WLAN和策略配置檔案的資訊，因此錨點9800 WLC知道要使用的本地策略配置檔案。

注意：您不能同時配置移動對等體和導出錨點。這是無效的配置方案。

注意：對於繫結到具有存取點的控制器上的WLAN配置檔案的任何策略配置檔案，均不得使用「導出錨點」設定。這將阻止廣播SSID，因此此策略必須專門用於錨點功能。

在CLI上：



Anchor 9800 WLC # config t # wireless profile policy <anchor-policy> # mobility anchor # vlan <VLAN-id_VLAN-name> # no shutdown # exit

外部9800 WLC -錨點AireOS

此設定說明Catalyst 9800 WLC被用作外部，而AireOS Unified WLC被用作錨點的情況。

Catalyst 9800外部- AireOS錨點網路圖

使用AireOS錨點配置9800外部

步驟 1. 在外部9800 WLC和錨點AireOS WLC之間建立移動隧道。

請參閱本文檔：在Catalyst 9800上配置移動拓撲

步驟 2.在兩個WLC上建立所需的WLAN。

支援的安全性方法：

• 未解決
• MAC過濾器
• PSK
• Dot1x
• 本地/外部Web驗證(LWA)
• 中央Web驗證(CWA)
  
  

注意：AireOS WLC和9800 WLC必須具有相同的配置型別，否則錨點不起作用。

步驟 3.登入9800 WLC（作為外部）並建立錨點原則設定檔。

導航到Configuration > Tags & Profiles > Policy > + Add 。

導航到Mobility  頁籤，然後選擇錨點AireOS WLC。9800 WLC將與此策略配置檔案關聯的SSID的流量轉發到所選錨點。

步驟 4.將策略配置檔案與分配給與此WLAN服務的外部控制器相關聯的AP的策略標籤內的WLAN連結。

導航到Configuration > Tags & Profiles > Tags  並建立新路由表或使用現有路由表。

確保選擇Update & Apply to Device  將更改應用於策略標籤。

步驟 5.（選用）將站點分配給AP或驗證它是否已經擁有該站點。

導航到Configuration > Wireless > Access Points > AP name > General。

注意：如果您在選擇Update & Apply to Device後對AP標籤執行更改，AP將重新啟動其隧道CAPWAP，因此它會失去與9800 WLC的關聯然後恢復它。

在CLI上：



# config t # wireless profile policy anchor-policy # mobility anchor 10.88.173.105 priority 3 # no shutdown # exit # wireless tag policy PT1 # wlan anchor-ssid policy anchor-policy # exit # ap aaaa.bbbb.dddd # site-tag PT1 # exit


步驟 6.將AireOS WLC配置為錨點。

登入到AireOS並導航至WLANs > WLANs。選擇WLAN行右端的箭頭以導航到下拉選單並選擇Mobility Anchors。

將其設定為本地錨點。

在CLI上：



> config wlan disable <wlan-id> > config wlan mobility anchor add <wlan-id> <AireOS-WLC's-mgmt-interface> > config wlan enable <wlan-id>  

外部AireOS -錨點9800 WLC

具有9800錨點網路圖的AireOS Foreign



使用AireOS錨點配置9800外部

步驟 1. 在外部9800 WLC和錨點AireOS WLC之間建立移動隧道。

請參閱以下文檔：在Catalyst 9800上配置移動拓撲

步驟 2.在兩個WLC上建立所需的SSID。

支援的安全性方法：

• 未解決
• MAC過濾器
• PSK
• Dot1x
• 本地/外部Web驗證(LWA)
• 中央Web驗證(CWA)

注意：AireOS WLC和9800 WLC必須具有相同的配置型別，否則錨點不起作用。

步驟 3.登入9800 WLC（作為錨點）並建立錨點原則設定檔。

導航到Configuration > Tags & Profiles > Policy > + Add。確保9800上的策略配置檔案的名稱與AireOS WLC上的配置檔名稱完全相同，否則，它將不起作用。

導航到Mobility  頁籤並啟用Export Anchor。這指示9800 WLC它是使用該策略配置檔案的所有WLAN的錨點9800 WLC。當外部AireOS WLC將客戶端傳送到錨點9800 WLC時，它會通知有關客戶端被分配到的WLAN名稱，因此錨點9800 WLC知道要使用的本地WLAN配置，它還會使用此名稱來瞭解要使用的本地策略配置檔案。

注意：請確保專門使用此策略配置檔案來接收來自外部控制器的流量。

在CLI上：



Anchor 9800 WLC # config t # wireless profile policy <anchor-policy> # mobility anchor # vlan <VLAN-id_VLAN-name> # no shutdown # exit

步驟 4.將AireOS WLC配置為外部。

登入到AireOS並導航到WLANs > WLANs。導航到WLAN行末尾的箭頭並選擇Mobility Anchor。

將9800 WLC設定為此SSID的錨點。

在CLI上：



> config wlan disable <wlan-id> > config wlan mobility anchor add <wlan-id> <9800 WLC's-mgmt-interface> > config wlan enable <wlan-id>

  

驗證

您可以使用這些命令來驗證使用外部/錨點SSID的無線客戶端的配置和狀態。 

在9800 WLC上驗證



# show run wlan # show wlan summary # show wireless client summary
# show wireless mobility summary
# show ap tag summary
# show ap <ap-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

在AireOS WLC上驗證

> show client summary > show client detail <client-mac-addr> > show wlan summary > show wlan <wlan-id>

疑難排解

WLC 9800 提供永不間斷的追蹤功能。這可確保所有與客戶端連線相關的錯誤、警告和通知級別的消息被持續記錄，並且您可以在事件發生後檢視事件或故障條件的事件。



注意：根據生成的日誌量，您可以將時間從幾個小時縮短到幾天。

要檢視9800 WLC預設收集的跟蹤，可以透過SSH/Telnet連線到9800 WLC並參考以下步驟。（確保將會話記錄到文本檔案中）

步驟 1.檢查控制器的目前時間，以便追蹤記錄到問題發生時的時間。



# show clock


步驟 2.根據系統配置要求，從控制器緩衝區或外部系統日誌收集系統日誌。這樣可以快速檢視系統運行狀況和錯誤（如果有）。



# show logging 


步驟 3.收集特定MAC或IP地址的永遠線上通知級別跟蹤。如果懷疑移動隧道問題或無線客戶端MAC地址，遠端移動對等體可以過濾此問題。



# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 


步驟 4.您可顯示作業階段中的內容，或可將檔案複製到外部 TFTP 伺服器。



# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

條件式偵錯和無線電主動式追蹤

如果永遠開啟的追蹤無法提供足夠資訊來判斷觸發調查中問題的原因，您可以啟用條件式偵錯並擷取「無線電作用中(RA)」追蹤，此追蹤會為與指定條件（此案例為使用者端mac位址）互動的所有處理作業提供偵錯層級追蹤。若要啟用條件式除錯，請參閱以下步驟。

步驟 5.確保未啟用調試條件。



# clear platform condition all

步驟 6.為要監控的無線客戶端MAC地址啟用調試條件。

以下命令會開始監控提供的 MAC 位址 30 分鐘（1800 秒）。您可選擇將此時間增加至 2085978494 秒。



# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>} 

  

附註：若要同時監控多個用戶端，請針對每個 MAC 位址執行 debug wireless mac <aaaa.bbbb.cccc> 指令。

注意：您不會在終端會話中看到客戶端活動的輸出，因為所有內容都在內部進行緩衝以便以後檢視。

步驟 7.重現您要監控的問題或行為。

步驟 8.如果在預設或配置的監控時間之前重現問題，則停止調試。



# no debug wireless mac <aaaa.bbbb.cccc>


一旦經過監控時間或停止偵錯無線，9800 WLC會產生具有以下名稱的本機檔案：  ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

步驟 9. 收集 MAC 位址活動的檔案。   您可以將RA跟蹤.log複製到外部伺服器，或直接在螢幕上顯示輸出。

檢查 RA 追蹤檔案的名稱:



# dir bootflash: | inc ra_trace


將檔案複製到外部伺服器：



# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt


顯示內容：



# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log


步驟 10.如果根本原因仍不明顯，請收集內部日誌，這些日誌是調試級別日誌的更詳細檢視。您不需要再次偵錯使用者端，因為記錄已寫入控制器記憶體中，而且您只需要填入更詳細的檢視。



# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

注意：此命令輸出返回所有進程的所有日誌記錄級別的跟蹤，而且輸出量非常大。與Cisco TAC接洽，幫助分析這些跟蹤。

您可以將ra-internal-FILENAME.txt複製到外部伺服器，或直接在螢幕上顯示輸出。

將檔案複製到外部伺服器：



# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt


顯示內容：



# more bootflash:ra-internal-<FILENAME>.txt


步驟 11.移除偵錯條件。

  

# clear platform condition all

注意：請確保在故障排除會話結束後始終刪除調試條件。

驗證AireOS WLC

您可以運行此命令來監控AireOS WLC上無線客戶端的活動。



> debug client <client-mac-add>