Catalyst 9800無線控制器上具有802.1x AAA覆寫的FlexConnect WLAN

簡介

本文說明如何使用FlexConnect模式存取點(AP)設定彈性無線LAN控制器(9800 WLC)，以及使用虛擬區域網路(VLAN)驗證、授權及計量(AAA)覆寫進行本地交換的802.1x無線區域網路(WLAN)。

必要條件

需求

思科建議您瞭解以下主題：

• 9800 WLC組態模式
• FlexConnect

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 9800 WLC v16.10

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

網路圖表

組態

9800 WLC 的 AAA 組態

您可以按照此連結中的說明進行操作：

9800 WLC 的 AAA 組態

WLAN配置

您可以按照此連結中的說明進行操作：

WLAN配置

將AP設定為FlexConnect模式

與AireOS配置不同，在9800 WLC上，無法直接從AP配置AP本地或flexconnect模式。按照以下步驟在FlexConnect模式下配置AP。

GUI

步驟 1.配置Flex配置檔案。

導航至 配置>標籤與配置檔案>Flex 並修改default-flex-profile 或按一下+Add以建立一個新配置檔案。

步驟 2.新增所需的VLAN（預設WLAN的VLAN或從ISE推送的VLAN）。

註：在策略配置檔案配置一節的步驟3中，選擇分配給SSID的預設VLAN。如果在此步驟中使用VLAN名稱，請確保在Flex Profile組態中使用相同的VLAN名稱，否則使用者端無法連線到WLAN。

您可以選擇性為每個VLAN新增特定ACL。

 或者，分配一個Radius伺服器組以允許FlexConnect AP執行本地身份驗證。

步驟 3.配置站點標籤。

導航到Configuration > Tags & Profiles > Tags > Site。 修改default-site-tag（預設情況下分配給所有AP的標籤）或建立一個新標籤(按一下+Add建立一個新標籤)。 

確保禁用啟用本地站點選項，否則Flex配置檔案選項不可用。 

注意：任何獲取啟用了Enable Local Site的站點標籤的AP均配置為本地模式。同樣，任何獲取禁用了啟用本地站點的站點標籤的AP都配置為flexconnect模式。

 步驟 4.使AP與9800 WLC相關聯，並分配在步驟2中配置的Site標籤。

導航到Configuration > Wireless > Access Points > AP name並設定Site標籤。然後點選Update & Apply to Device以設定更改。

注意:請注意，變更AP上的標籤後，AP會失去與9800 WLC的關聯，並在約1分鐘內重新加入。 

 步驟 5.AP連線回後，請注意AP模式為Flex

CLI

# config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601

# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site

# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit

#show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : FlexConnect

交換機配置

配置AP所連線的交換機介面。

# config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end

原則設定檔組態

在策略配置檔案中，您可以決定向哪個VLAN分配客戶端，以及其他設定（如訪問控制清單[ACL]、服務品質[QoS]、移動錨點、計時器等）。

GUI

步驟 1.配置要分配給WLAN的策略配置檔案。

導航到Configuration > Tags & Profiles > Policy，然後建立新配置檔案或修改default-policy-profile。

 步驟 2.在General選項卡中，為策略配置檔案分配名稱並將其狀態更改為ENABLED。

 步驟 3.在Access Policies頁籤中，預設分配無線客戶端連線到此WLAN時分配給的VLAN。

您可以從下拉選單中選擇一個VLAN名稱，也可以手動鍵入VLAN ID。

註:如果從下拉選單中選擇vlan名稱，請確保它與在將AP設定為FlexConnect模式一節的步驟2中使用的vlan名稱相匹配。

或

步驟 4.導覽至Advanced 索引標籤，然後啟用Central Authentication Enable和Allow AAA Overrideoptions。必須禁用集中交換。

如果希望9800 WLC集中執行驗證程式，必須啟用集中驗證。如果您希望FlexConnect AP對無線客戶端進行身份驗證，請將其禁用。

CLI

# config t
# wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown

原則標籤組態

策略標籤用於將SSID與策略配置檔案連結。您可以建立新的原則標籤，或使用 default-policy-tag。

注意:default-policy-tag會自動將WLAN ID介於1到16之間的所有SSID對映到default-policy-profile。不能修改或刪除。 如果您的WLAN的ID為17或更高，則不能使用default-policy-tag。

GUI:

如果需要，請導航到Configuration > Tags & Profiles > Tags > Policy，然後新增一個新檔案。

將 WLAN 設定檔連結至想要的原則設定檔。

CLI:

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

原則標籤指定

為AP分配策略標籤

GUI

要將標籤分配給一個AP，請導航到Configuration > Wireless > Access Points > AP Name > General Tags，進行所需的分配，然後點選Update & Apply to Device。

注意:請注意，變更AP上的原則標籤後，AP會失去與9800 WLC的關聯，並在約1分鐘內重新加入。

要將相同的策略標籤分配給多個AP，請導航至Configuration > Wireless > Wireless Setup > Start Now > Apply。

選擇要為其分配標籤的AP，然後按一下+ Tag AP

選擇已完成的標籤，然後按一下儲存並應用到裝置

CLI

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

ISE 組態

對於ISE v1.2配置，請檢查此連結：

ISE 組態

驗證

您可以使用以下指令確認目前的組態

# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

# show clock

# show logging

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

# clear platform condition all

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

# no debug wireless mac <aaaa.bbbb.cccc>

# dir bootflash: | inc ra_trace

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

# more bootflash:ra-internal-<FILENAME>.txt

# clear platform condition all