Catalyst 9800 AP-machtigingslijst voor draadloze controllers
Inhoud
Inleiding
Achtergrondinformatie Voorwaarden
Vereisten
Gebruikte componenten Configureren
Netwerkdiagram Configuraties
MAC AP autorisatie List - Local
MAC AP Authorized List - Externe RADIUS-server Verifiëren
Problemen oplossen Referenties
Inleiding
Dit document legt uit hoe u het beleid voor AP-verificatie (Access Point) kunt configureren. Deze optie garandeert dat alleen geautoriseerde access points (AP’s) zich kunnen aansluiten bij een Catalyst 9800 draadloze LAN-controller. Dit document heeft geen betrekking op AP's met een maaswijdte (1500 Series) waarvoor een mac-filter moet worden ingevoerd om zich bij de controller aan te sluiten, maar niet op de typische AP-autorisatiestroom (zie referenties).
Achtergrondinformatie
Om een access point (AP) te autoriseren, moet het Ethernet MAC-adres van de AP geautoriseerd worden tegen een lokale database met 9800 draadloze LAN-controller of tegen een
externeRemote Verificatie inbel-server (RADIUS) met gebruikersservice.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
9800 WLC
●
Opdracht line Interface (CLI) toegang tot de draadloze controllers
●
Gebruikte componenten
9800 WLC v16.12 AP1810W
AP 1700
Identity Services Engine (ISE) v2.2
De informatie in dit document is gebaseerd op de apparaten in een specifieke
laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Configureren
Netwerkdiagram
Configuraties
MAC AP autorisatie List - Local
Het MAC-adres van de geautoriseerde AP's wordt lokaal opgeslagen in de 9800 WLC.
Stap 1. Maak een lijst met de lokale autorisatie-download-methode.
Navigatie in Configuration > Security > AAA-methodelijst > autorisatie > + Add
Stap 2. Schakel de AP MAC-vergunning in.
Navigeren in om Configuratie > Beveiliging > AAA > Geavanceerd > AP-beleid. Schakel APs tegen MAC in en selecteer de Lijst van de Vergunningsmethode die in Stap 1 is gemaakt.
Stap 3. Voeg het Ethernet-adres van het AP toe.
Navigeren in om Configuratie > Beveiliging > AAA > Geavanceerd > Apparaatverificatie > MAC-
adres > + Add
Opmerking: AP's Ethernet hoofdadres moet zijn in een van deze bestandsindelingen wanneer deze in het web UI (xx:xx:xx:xx:xx:xx:xx (of) xxxx.xxxx (of) xx-xx-xx-xx-xx) zijn ingevoerd in versie 16.12. In versie 17.3 moeten deze indelingen beschikbaar zijn in formaat xxxxxxxxxx zonder enige scheidingsteken. Het CLI-formaat is altijd xxxxxxx in elke versie (in 16.12 verwijdert het web UI de scheidingstekens in de configuratie). CSCv43870 Laat elk formaat in CLI of web UI in latere releases gebruiken.
CLI:
# config t
# aaa new-model # aaa authorization credential-download <AP-auth> local
# ap auth-list authorize-mac # ap auth-list method-list <AP-auth> # username <aaaabbbbcccc> mac MAC AP Authorized List - Externe RADIUS-server
9800 WLC-configuratie
Het MAC-adres van de geautoriseerde AP's wordt opgeslagen op een externe RADIUS-server, in
dit voorbeeld ISE.
Op ISE kunt u het MAC-adres van de AP's registreren als gebruikersnamen/wachtwoord of als endpoints. In de stappen wordt u geïnstrueerd welke instelling u op de een of andere manier wilt gebruiken.
GUI:
Stap 1. Vermeld RADIUS-server
Navigeer naar Configuratie > Beveiliging > AAA > servers / Groepen > RADIUS > servers > + Add en voer de informatie van de RADIUS-server in.
Zorg ervoor dat ondersteuning voor CoA is ingeschakeld als u van plan bent de Central Web Verificatie (of elke beveiliging waarvoor CoA nodig is) in de toekomst te gebruiken.
Stap 2. Voeg de RADIUS-server toe aan een RADIUS-groep
Navigeren in configuratie > Beveiliging > AAA > servers/groepen > RADIUS > servergroepen > + Add
Om ISE te hebben, laat het MAC-adres van AP als gebruikersnamen MAC-Filtering als geen authenticatie toe.
Om ISE te hebben moet het MAC-adres van AP worden geauthentiseerd als endpoints MAC- filtering op mac veranderen.
Stap 3. Maak een lijst van de door de autorisatie gecrediteerde downloadmethode.
Navigatie in Configuration > Security > AAA-methodelijst > autorisatie > + Add
Stap 4. Schakel de AP MAC-vergunning in.
Navigeren in om Configuratie > Beveiliging > AAA > Geavanceerd > AP-beleid. Schakel APs tegen MAC in en selecteer de Lijst van de Vergunningsmethode die in Stap 3 is gemaakt.
CLI:
# config t
# aaa new-model
# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit
# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit
# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>
# aaa authorization credential-download <AP-auth> group <radius-grp-name> # ap auth-list authorize-mac
# ap auth-list method-list <AP-ISE-auth>
ISE-configuratie
Stap 1. Volg deze instructies om 9800 WLC aan ISE toe te voegen verklaring van 9800 WLC op ISE
Op basis van de manier waarop u het MAC-adres van de AP wilt authenticeren, volgt u de vereiste stappen:
Gebruik configureren om MAC-adres als endpoints te controleren
ISE configureren om MAC-adres als gebruikersnaam/wachtwoord voor te authentiseren
ISE configureren om MAC-adres als endpoints te controleren
Stap 2. (Optioneel) Maak een identiteitsgroep voor access points
Navigeren in beheer > Identity Management > Groepen > Endpoint Identity Groepen > + Add.
Kies een naam en klik op Indienen.
Stap 3. Voeg het Ethernet-hoofdadres van de AP toe aan het eindpunt van het concern.
Navigatie in naar werkcentra > Toegang tot netwerk > Identificaties > Endpoints > +
Voer de gewenste informatie in.
Stap 4. Controleer de identiteitsopslag die op de standaard verificatieregel wordt gebruikt, de interne eindpunten bevat.
A. Navigeer naar beleid > Verificatie en neem nota van de winkel Identity.
B. Navigeer naar Administratie > identiteitsbeheer > Vereveningen van identiteitsbron > Naam.
C. Zorg ervoor dat interne endpoints er, indien niet, toe behoren.
ISE configureren om MAC-adres als gebruikersnaam/wachtwoord voor te authentiseren
Stap 2. (Optioneel) Maak een identiteitsgroep voor access points
Navigeer naar Administratie > identiteitsbeheer > Groepen > Gebruikers identiteitsgroepen > + Toevoegen.
Kies een naam en klik op Indienen.
Stap 3. Controleer dat uw huidige wachtwoordbeleid u in staat stelt om een nieuw adres als gebruikersnaam en wachtwoord toe te voegen.
Navigeer naar Administratie > identiteitsbeheer > Instellingen > Instellingen voor
gebruikersverificatie > Wachtwoordbeleid en zorg ervoor dat ten minste deze opties worden uitgeschakeld:
Opmerking: U kunt ook de optie gebruikersaccount uitschakelen na twee dagen als het wachtwoord niet is gewijzigd, omdat dit een belangrijk adres is, verandert het wachtwoord nooit.
Stap 4. Voeg het Ethernet-hoofdadres van het AP toe.
Navigeren in naar Administratie > identiteitsbeheer > Identificatiebeheer > Gebruikers > + Toevoegen
Voer de gewenste informatie in.
Opmerking: Naam en Wachtwoord voor aanmelding moeten het Ethernet MAC-adres van het AP zijn, alle kleine letters en geen scheidingstekens.
Verificatiebeleid om APs te certificeren
Navigeer in op Policy > Authorization zoals in de afbeelding getoond.
Plaats een nieuwe regel zoals in de afbeelding.
Selecteer eerst een naam voor de regel en de groep Identity waar het Access Point is opgeslagen (AccessPoint). Selecteer User Identity Group als u heeft besloten om het MAC-adres als
gebruikersnaam of Endpoint Identity Group te authentiseren als u ervoor kiest om het MAC-adres van AP als endpoints te authenticeren.
Selecteer vervolgens andere voorwaarden voor de vergunningprocedure die in deze regel moeten worden opgenomen. In dit voorbeeld bereikt het vergunningsproces deze regel als het servicetype Call Check gebruikt en het authenticatieverzoek afkomstig is van het IP-adres 10.8.173.52.
Selecteer tot slot het machtigingsprofiel dat aan de klanten wordt toegewezen die die die regel klikken, en bewaar het zoals in de afbeelding.
Opmerking: AP's die al zijn aangesloten bij de controller verliezen hun associatie niet. Indien echter na het toestaan van een autorisatielijst de communicatie met de verantwoordelijke voor de verwerking wordt verbroken en wordt gepoogd zich terug te voegen, worden de verificaties uitgevoerd. Als hun hoofdadressen niet lokaal of in de RADIUS-server zijn vermeld, kunnen zij zich niet opnieuw bij de controller aansluiten.
Verifiëren
Controleer of 9800 WLC een ap-verificatielijst heeft ingeschakeld
# show ap auth-list
Authorize APs against MAC : Disabled Authorize APs against Serial Num : Enabled Authorization Method List : <auth-list-name>
Controleer de Straalconfiguratie:
# show run aaa
Problemen oplossen
WLC 9800 biedt ALTIJD opsporingsmogelijkheden. Dit waarborgt dat alle AP zich aansluit bij gerelateerde fouten, waarschuwing en waarschuwingsniveau berichten constant worden geregistreerd en u kunt logboeken voor een incident of mislukking bekijken nadat het is voorgekomen.
Opmerking: Afhankelijk van het volume logbestanden dat wordt gegenereerd, kan je een paar uur tot een aantal dagen teruggaan.
Om de sporen te bekijken die standaard 9800 WLC hebben verzameld, kunt u via SSH/telnet verbinden met de 9800 WLC en deze stappen volgen (Zorg ervoor dat u de sessie aan een tekstbestand registreert).
Stap 1. Controleer de huidige tijd van de controller zodat u de logs kunt bijhouden in de tijd terug op het moment dat het probleem zich heeft voorgedaan.
# show clock
Stap 2. Verzamel syslogs van de buffer van de controller of de externe slang zoals
voorgeschreven door de systeemconfiguratie. Dit geeft een snel beeld van de systeemgezondheid en eventuele fouten.
# show logging
Stap 3. Controleer of de juiste omstandigheden zijn ingeschakeld.
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port ---|---
Opmerking: Als u een voorwaarde in de lijst ziet, betekent dit dat de sporen worden geregistreerd om niveau te debug van alle processen die de ingestelde voorwaarden bereiken (adres, ip adres etc.). Hierdoor zou het aantal stammen toenemen. Daarom wordt aangeraden alle voorwaarden te wissen wanneer niet actief het debuggen is
Stap 4. Als het te testen hoofdadres niet als voorwaarde in stap 3 was vermeld, verzamel dan de sporen van het altijd in te lichten niveau voor het specifieke radiomac-adres.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
U kunt de inhoud op de sessie weergeven of het bestand naar een externe TFTP-server kopiëren.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Voorwaardelijk afluisteren en actieve tracering van radio
Als de altijd-on sporen u niet genoeg informatie geven om de trekker voor het onderzochte
probleem te bepalen, kunt u voorwaardelijke het zuiveren toestaan en radiofrequente (RA) sporen opnemen, die zullen debug level sporen voor alle processen leveren die met de gespecificeerde voorwaarde (client mac adres in dit geval) interageren. Om voorwaardelijke het zuiveren toe te laten, volg deze stappen.
Stap 5. Zorg ervoor dat er geen debug-omstandigheden zijn ingeschakeld.
# clear platform condition all
Stap 6. Schakel de debug-conditie in voor het draadloze client-mac-adres dat u wilt controleren.
Deze opdrachten beginnen het opgegeven mac-adres gedurende 30 minuten (1800 seconden) te controleren. U kunt deze tijd optioneel verlengen tot 2085978494 seconden.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Opmerking: Om meer dan één client tegelijk te controleren, moet u de draadloze mac
<a.bb.cc>-opdracht per adres uitvoeren.
Opmerking: U ziet de uitvoer van de clientactiviteit niet op de eindsessie, omdat alles intern wordt gebufferd om later te worden bekeken.
Stap 7. Reinig het probleem of het gedrag dat u wilt bewaken.
Stap 8. Stop de uiteinden als het probleem is gereproduceerd voordat de standaard- of ingesteld monitor-tijd is ingesteld.
# no debug wireless mac <aaaa.bbbb.cccc>
Zodra de monitor-tijd is verlopen of de debug draadloze controller is gestopt, genereert de 9800 WLC een lokaal bestand met de naam:
ra_trace_MAC_ABBC_HMMSS.XXX_timezone_DayWeek_Day_Day_Jaar_jaar.log
Stap 9. Verzamel het bestand van de mac-adresactiviteit. U kunt de overtrek .log naar een externe server kopiëren of de uitvoer rechtstreeks op het scherm weergeven.
Controleer de naam van het RA-bestand
# dir bootflash: | inc ra_trace
Kopieert het bestand naar een externe server:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
De inhoud weergeven:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Stap 10. Als de oorzaak nog niet voor de hand ligt, verzamel de interne loggen die een meer breedaardige weergave van de loggen van het debug-niveau zijn. U hoeft de client niet opnieuw te debug omdat we alleen maar een gedetailleerd overzicht nemen van debug-logbestanden die al zijn verzameld en intern opgeslagen.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Opmerking: Deze opdrachtoutput retourneert sporen voor alle houtkapniveaus voor alle processen en is vrij omvangrijk. Neem contact op met Cisco TAC om u te helpen door deze sporen te bladeren.
U kunt de interne FILENAME.txt kopiëren naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.
Kopieert het bestand naar een externe server:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
De inhoud weergeven:
# more bootflash:ra-internal-<FILENAME>.txt
Stap 1. Verwijder de debug-omstandigheden.
# clear platform condition all
Opmerking: Zorg ervoor dat u altijd de debug-voorwaarden na een sessie voor probleemoplossing verwijdert.
Referenties
APs met mazen samenvoegen naar 9800 WLC