Einführung Dieses Dokument beschreibt die Konfiguration eines 802.1X Wireless Local Access Network (WLAN) auf einem integrierten Wireless Controller (EWC) in einer Fabric der Catalyst Switches der Serie 9K in einer Komplettlösung. Diese Lösung ermöglicht die Verwaltung von Access Points (APs) und Wireless-Netzwerken in einem einzigen physischen Gerät, das als Netzwerkkern fungiert.
Verwendete Komponenten Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware- Versionen: C9300L-24P-Switch, Softwareversion 17.3.1 Cisco Indentity Service Engine (ISE) Softwareversion 2.4 Access Points der Serien 2802 und 9115 Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung.
Seite 3
Sie Add (Hinzufügen) aus, wie im Bild gezeigt: Schritt 2: Geben Sie die Werte in den erforderlichen Feldern für die Gerätedefinition ein. Die IP- Adresse wird mit der Management-IP-Adresse des EWC konfiguriert, im Gegensatz zu einer Wireless-Management-Schnittstelle wie bei herkömmlichen 9800-Controllern. Der Gerätetyp wird für die Definition von Richtlinien in nachfolgenden Schritten verwendet.
Seite 4
Schritt 4: Navigieren Sie zu Richtlinien > Richtliniensätze, und klicken Sie auf das +-Symbol, um einen neuen Richtliniensatz zu definieren. Bearbeiten Sie sie mit einem Namen und einer Bedingung, die auf dem Gerätetyp basiert, der mit der zuvor definierten Bedingung für EWC identisch ist.
Konfigurieren von AAA-Parametern auf dem Controller Schritt 1: Navigieren Sie zu Konfiguration > Sicherheit > AAA, wählen Sie die Schaltfläche +Hinzufügen aus, während im RADIUS-Auswahlfenster die Registerkarte Server geöffnet wird. Definieren Sie RADIUS-Serverparameter wie Servername, IP-Adresse, gemeinsam genutzter geheimer Schlüssel, Authentifizierungsport und Autorisierungsport, wie im Bild gezeigt: Schritt 2: Ändern Sie die Ansicht, um Servergruppen auszuwählen und klicken Sie erneut auf die Schaltfläche +Hinzufügen.
Seite 6
Schritt 3: Navigieren Sie zur Registerkarte AAA-Methodenliste, und wählen Sie im Menü links die Option Authentifizierung aus. Klicken Sie auf +Hinzufügen, geben Sie den Namen der Methodenliste ein, wählen Sie im Dropdownmenü Typ den Eintrag dot1x, wählen Sie im Dropdownmenü Gruppentyp die Gruppe aus, und fügen Sie die zuvor erstellte Servergruppe dem Bereich Zugewiesene Servergruppen hinzu, wie im Bild gezeigt: Schritt 4: Wählen Sie Autorisierung aus, und klicken Sie auf die Schaltfläche +Hinzufügen.
Konfigurieren des Onboarding-Profils Schritt 1: Navigieren Sie zu Konfiguration > Embedded Wireless Setup und wählen Sie den Speicherort aus, der für die AP-Integration erstellt wurde. Wählen Sie die Registerkarte Wireless Networks aus, und klicken Sie auf Hinzufügen, wie im Bild gezeigt: Schritt 2: Wählen Sie im Add Location Setup (Standorteinrichtung hinzufügen) ein zuvor konfiguriertes WLAN aus, oder definieren Sie ein neues.
Seite 8
Schritt 3: Wählen Sie anschließend die Registerkarte Sicherheitskonfiguration aus. Verwenden Sie für dieses Szenario WPA+WPA2 mit 802.1x, wie in den Bildern gezeigt:...
Seite 9
Schritt 4: Konfigurieren Sie jetzt AAA-Parameter. Eine Layer-3-Konfiguration ist nicht erforderlich. Wählen Sie die zuvor konfigurierte Authentifizierungsliste aus dem Dropdown-Menü aus. Klicken Sie dann auf Auf Gerät anwenden, wie im Bild gezeigt: Hinweis: Auf der Registerkarte Erweiterte Konfiguration werden in diesem Dokument Standardwerte verwendet.
Hinweis: Die erforderlichen VLAN-Informationen werden nur dann angezeigt, wenn Sie ein neues VLAN konfigurieren. Warnung: Das Client-VLAN muss sich von dem AP-Onboarding-VLAN und dem Catalyst 9K- Management-VLAN unterscheiden. Schritt 6: Nachdem Sie die richtigen Parameter festgelegt haben, klicken Sie auf Hinzufügen, und das WLAN wird dem Standort hinzugefügt, wie im Bild gezeigt:...
Name L2-VNID L3-VNID IP Address Subnet Control plane name ---------------------------------------------------------------------------------------------------------------------- Mex-TAC_2_2673_4097_8190 8190 0.0.0.0 Mex-TAC_4_2652_4097_8192 8192 0.0.0.0 Mex-TAC_5_2675_4097_8195 8195 0.0.0.0 APONBOARDING_0_2651_4097_8188 8188 4097 172.16.50.0 255.255.255.0 Beachten Sie, dass für dieses Szenario VLAN 2675 (Client-VLAN) L2 VNID 8195 zugeordnet ist, wie in Mex-TAC_5_2675_4097_8195 gezeigt. Die Layer-3-VNID stimmt mit der für die VRF- Instanz konfigurierten ID überein.
(Stellen Sie sicher, dass Sie die Sitzung in einer Textdatei protokollieren). Schritt 1: Überprüfen Sie die aktuelle Uhrzeit des Controllers, damit Sie die Protokolle in der Zeit bis zum Auftreten des Problems verfolgen können. Tiger-9800# show clock Schritt 2: Erfassen Sie Syslogs aus dem Puffer des Controllers oder aus dem externen Syslog, wie von der Systemkonfiguration vorgegeben.
Seite 13
diesem Fall die MAC-Adresse des Clients). Führen Sie die folgenden Schritte aus, um bedingtes Debuggen zu aktivieren. Schritt 1: Stellen Sie sicher, dass keine Debugbedingungen aktiviert sind. Tiger-9800# clear platform condition all Schritt 2: Aktivieren Sie die Debugbedingung für die MAC-Adresse des Wireless-Clients, die überwacht werden soll.
Protokolle, die eine ausführlichere Ansicht der Debug-Level-Protokolle darstellen. Sie müssen den Client nicht erneut debuggen, da der Befehl Debugprotokolle bereitstellt, die bereits gesammelt und intern gespeichert wurden. Tiger-9800# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d>...
Dot1x authentication started for 0x8E000004 (e8b1.fc48.4374) RADIUS: Send Access-Request to 172.16.55.20:1812 id 0/59, len 396 [...] Received an EAP Success EAPoL 4-Wege-Handshake: EAP key M1 Sent successfully Client key-mgmt state transition: S_INITPMK -> S_PTK_START M2 Status: EAP key M2 validation success EAP key M3 Sent successfully Client key-mgmt state transition: S_PTK_START ->...