Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. Catalyst Anleitungen
  4. Router
  5. 9K Serie
  6. Konfigurieren

Catalyst 9K Serie Konfigurieren

Konfiguration eines 802.1x wireless local access network (wlan) auf einem integrierten wireless controller (ewc) in einer fabric der catalyst switches
Vorschau ausblenden
Inhaltsverzeichnis

Werbung

Quicklinks

Diese Anleitung herunterladen
Konfigurieren Sie das 802.1X-WLAN auf dem
integrierten Wireless Controller des Catalyst
Switches der Serie 9K.
Inhalt
Einführung
Voraussetzungen
Anforderungen
Konfiguration
Einführung
Dieses Dokument beschreibt die Konfiguration eines 802.1X Wireless Local Access Network
(WLAN) auf einem integrierten Wireless Controller (EWC) in einer Fabric der Catalyst Switches
der Serie 9K in einer Komplettlösung. Diese Lösung ermöglicht die Verwaltung von Access Points
(APs) und Wireless-Netzwerken in einem einzigen physischen Gerät, das als Netzwerkkern
fungiert.
Voraussetzungen
In diesem Dokument wird davon ausgegangen, dass Access Points zuvor einem Onboarding-
Profil zugewiesen wurden und über eine geeignete Switch-Port-Konfiguration verfügen, um die
Client-Konnektivität zu ermöglichen.
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Konfiguration der AAA-Richtlinie
IOS-XE Wireless-Funktionen ab Version 17.3.1
Virtual Routing and Forwarding (VRF) in Catalyst-Plattformen
Fabric Wireless-Management

Werbung

Inhaltsverzeichnis
loading

Inhaltszusammenfassung für Catalyst 9K Serie

  • Seite 1: Inhaltsverzeichnis

    Einführung Dieses Dokument beschreibt die Konfiguration eines 802.1X Wireless Local Access Network (WLAN) auf einem integrierten Wireless Controller (EWC) in einer Fabric der Catalyst Switches der Serie 9K in einer Komplettlösung. Diese Lösung ermöglicht die Verwaltung von Access Points (APs) und Wireless-Netzwerken in einem einzigen physischen Gerät, das als Netzwerkkern fungiert.

  • Seite 2: Verwendete Komponenten

    Verwendete Komponenten Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware- Versionen: C9300L-24P-Switch, Softwareversion 17.3.1 Cisco Indentity Service Engine (ISE) Softwareversion 2.4 Access Points der Serien 2802 und 9115 Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung.
  • Seite 3 Sie Add (Hinzufügen) aus, wie im Bild gezeigt: Schritt 2: Geben Sie die Werte in den erforderlichen Feldern für die Gerätedefinition ein. Die IP- Adresse wird mit der Management-IP-Adresse des EWC konfiguriert, im Gegensatz zu einer Wireless-Management-Schnittstelle wie bei herkömmlichen 9800-Controllern. Der Gerätetyp wird für die Definition von Richtlinien in nachfolgenden Schritten verwendet.
  • Seite 4 Schritt 4: Navigieren Sie zu Richtlinien > Richtliniensätze, und klicken Sie auf das +-Symbol, um einen neuen Richtliniensatz zu definieren. Bearbeiten Sie sie mit einem Namen und einer Bedingung, die auf dem Gerätetyp basiert, der mit der zuvor definierten Bedingung für EWC identisch ist.

  • Seite 5: Konfigurieren Von Aaa-Parametern Auf Dem Controller

    Konfigurieren von AAA-Parametern auf dem Controller Schritt 1: Navigieren Sie zu Konfiguration > Sicherheit > AAA, wählen Sie die Schaltfläche +Hinzufügen aus, während im RADIUS-Auswahlfenster die Registerkarte Server geöffnet wird. Definieren Sie RADIUS-Serverparameter wie Servername, IP-Adresse, gemeinsam genutzter geheimer Schlüssel, Authentifizierungsport und Autorisierungsport, wie im Bild gezeigt: Schritt 2: Ändern Sie die Ansicht, um Servergruppen auszuwählen und klicken Sie erneut auf die Schaltfläche +Hinzufügen.
  • Seite 6 Schritt 3: Navigieren Sie zur Registerkarte AAA-Methodenliste, und wählen Sie im Menü links die Option Authentifizierung aus. Klicken Sie auf +Hinzufügen, geben Sie den Namen der Methodenliste ein, wählen Sie im Dropdownmenü Typ den Eintrag dot1x, wählen Sie im Dropdownmenü Gruppentyp die Gruppe aus, und fügen Sie die zuvor erstellte Servergruppe dem Bereich Zugewiesene Servergruppen hinzu, wie im Bild gezeigt: Schritt 4: Wählen Sie Autorisierung aus, und klicken Sie auf die Schaltfläche +Hinzufügen.

  • Seite 7: Konfigurieren Des Onboarding-Profils

    Konfigurieren des Onboarding-Profils Schritt 1: Navigieren Sie zu Konfiguration > Embedded Wireless Setup und wählen Sie den Speicherort aus, der für die AP-Integration erstellt wurde. Wählen Sie die Registerkarte Wireless Networks aus, und klicken Sie auf Hinzufügen, wie im Bild gezeigt: Schritt 2: Wählen Sie im Add Location Setup (Standorteinrichtung hinzufügen) ein zuvor konfiguriertes WLAN aus, oder definieren Sie ein neues.
  • Seite 8 Schritt 3: Wählen Sie anschließend die Registerkarte Sicherheitskonfiguration aus. Verwenden Sie für dieses Szenario WPA+WPA2 mit 802.1x, wie in den Bildern gezeigt:...
  • Seite 9 Schritt 4: Konfigurieren Sie jetzt AAA-Parameter. Eine Layer-3-Konfiguration ist nicht erforderlich. Wählen Sie die zuvor konfigurierte Authentifizierungsliste aus dem Dropdown-Menü aus. Klicken Sie dann auf Auf Gerät anwenden, wie im Bild gezeigt: Hinweis: Auf der Registerkarte Erweiterte Konfiguration werden in diesem Dokument Standardwerte verwendet.

  • Seite 10: Überprüfung

    Hinweis: Die erforderlichen VLAN-Informationen werden nur dann angezeigt, wenn Sie ein neues VLAN konfigurieren. Warnung: Das Client-VLAN muss sich von dem AP-Onboarding-VLAN und dem Catalyst 9K- Management-VLAN unterscheiden. Schritt 6: Nachdem Sie die richtigen Parameter festgelegt haben, klicken Sie auf Hinzufügen, und das WLAN wird dem Standort hinzugefügt, wie im Bild gezeigt:...

  • Seite 11: Fehlerbehebung

    Name L2-VNID L3-VNID IP Address Subnet Control plane name ---------------------------------------------------------------------------------------------------------------------- Mex-TAC_2_2673_4097_8190 8190 0.0.0.0 Mex-TAC_4_2652_4097_8192 8192 0.0.0.0 Mex-TAC_5_2675_4097_8195 8195 0.0.0.0 APONBOARDING_0_2651_4097_8188 8188 4097 172.16.50.0 255.255.255.0 Beachten Sie, dass für dieses Szenario VLAN 2675 (Client-VLAN) L2 VNID 8195 zugeordnet ist, wie in Mex-TAC_5_2675_4097_8195 gezeigt. Die Layer-3-VNID stimmt mit der für die VRF- Instanz konfigurierten ID überein.

  • Seite 12: Bedingtes Debuggen Und Radio Active Tracing

    (Stellen Sie sicher, dass Sie die Sitzung in einer Textdatei protokollieren). Schritt 1: Überprüfen Sie die aktuelle Uhrzeit des Controllers, damit Sie die Protokolle in der Zeit bis zum Auftreten des Problems verfolgen können. Tiger-9800# show clock Schritt 2: Erfassen Sie Syslogs aus dem Puffer des Controllers oder aus dem externen Syslog, wie von der Systemkonfiguration vorgegeben.
  • Seite 13 diesem Fall die MAC-Adresse des Clients). Führen Sie die folgenden Schritte aus, um bedingtes Debuggen zu aktivieren. Schritt 1: Stellen Sie sicher, dass keine Debugbedingungen aktiviert sind. Tiger-9800# clear platform condition all Schritt 2: Aktivieren Sie die Debugbedingung für die MAC-Adresse des Wireless-Clients, die überwacht werden soll.

  • Seite 14: Inhalte Anzeigen

    Protokolle, die eine ausführlichere Ansicht der Debug-Level-Protokolle darstellen. Sie müssen den Client nicht erneut debuggen, da der Befehl Debugprotokolle bereitstellt, die bereits gesammelt und intern gespeichert wurden. Tiger-9800# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d>...

  • Seite 15: Zugehörige Informationen

    Dot1x authentication started for 0x8E000004 (e8b1.fc48.4374) RADIUS: Send Access-Request to 172.16.55.20:1812 id 0/59, len 396 [...] Received an EAP Success EAPoL 4-Wege-Handshake: EAP key M1 Sent successfully Client key-mgmt state transition: S_INITPMK -> S_PTK_START M2 Status: EAP key M2 validation success EAP key M3 Sent successfully Client key-mgmt state transition: S_PTK_START ->...

Inhaltsverzeichnis