Únase a la malla APs al regulador LAN de la Tecnología ... · Paso 15. Navegue a la...
Transcript of Únase a la malla APs al regulador LAN de la Tecnología ... · Paso 15. Navegue a la...
Configurar la malla en los reguladores delWireless LAN del Catalyst 9800 Contenido
IntroducciónprerrequisitosRequisitosComponentes UtilizadosConfigurarCaso práctico 1: Modo BridgeDiagrama de la redConfiguracionesVerificaciónTroubleshootingCaso práctico 2: Flexión + BridgeConfigurarVerificaciónTroubleshooting
Introducción
Este documento proporciona un ejemplo de la configuración básica en cómo unirse a un punto deacceso de la malla al regulador del Wireless LAN del Catalyst 9800 (el WLC)
Este ejemplo utiliza el Lightweight Access Point (1572AP y 1542) que puede ser configuradocomo AP raíz (RAP) o enredar AP (MAPA) para unirse a al WLC del Catalyst 9800. Elprocedimiento será idéntico para 1542 o 1562 Puntos de acceso. El RAP está conectado con elWLC del theCatalyst 9800 a través de un Switch del Cisco Catalyst.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
Modelo de la configuración de la Tecnología inalámbrica 9800 del Catalyst●
Conocimiento básico de la configuración de los revestimientos ●
Conocimiento básico del control y aprovisionamiento de los untos de acceso de redinalámbrica (CAPWAP)
●
Conocimiento de la configuración de un servidor DHCP externo●
Información básica de configuración de switches de Cisco●
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software yhardware.
C9800-CL v16.12.1●
Layer 2 Switch de Cisco●
Puntos de acceso al aire libre ligeros de las 1572 Series del Cisco Aironet para la sección delBridge
●
Cisco Aironet 1542 para la sección Flex+Bridge●
La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Configurar
Caso práctico 1: Modo Bridge
Diagrama de la red
Configuraciones
Una malla AP necesita ser autenticada para que se una al regulador 9800. Este caso prácticoconsidera que usted se unirá al AP en el modo local primero al WLC y en seguida lo convertirápara interligar (a.k.a) el modo de la malla.
Si usted quiere evitar asignar el AP únase a los perfiles, usted puede también seguir este ejemplosino configurar el método de la credencial-descarga de la autorización aaa del valor por defectopara permitir cualquier malla AP que se una al regulador
Step1: Configure los direccionamientos del mac RAP/MAP bajo autenticación del dispositivo.
Va a la configuración >AAA >AAA avanzada > la autenticación del dispositivo como abajo
Agregue el MAC address de los Puntos de acceso de la malla.
Paso 2: Configure la lista de métodos de la autenticación y autorización.
Vaya a la lista de métodos > a la autenticación del > Security (Seguridad) de la configuración
>AAA >AAA y cree la lista del método de autentificación y la lista del método de autorizacióncomo abajo.
Paso 3: Configure los parámetros globales de la malla.
Vaya a los Parámetros globales de Configuration> Mesh>. Inicialmente, podemos guardar estos
valores para omitir.
Paso 4: Cree un nuevo perfil de la malla bajo la configuración > la malla > el perfil > +Add
Haga clic en el perfil de la malla creado para editar el general y las configuraciones avanzadaspara el perfil de la malla.
En el diagrama como se muestra necesitamos asociar el perfil de la autenticación y autorizacióncreado antes para enredar el profie
Paso 5: Cree un nuevo AP se unen al perfil. Vaya a la configuración > a las etiquetas y a losperfiles: El AP se une a.
Aplique el perfil previamente configurado de la malla y configure el auth AP EAP como abajo:
Paso 6: Cree una etiqueta de la ubicación de la malla como abajo:
Configure la ETIQUETA de la ubicación de la malla creada en el paso 6 haciendo clic enlo.
Consiguió localizar la lengueta y aplicar la malla previamente configurada AP únase al perfil a élcomo abajo:
Paso 7. Convierta el AP al modo Bridge.
vía el CLI usted puede este commad en el AP:
capwap ap mode bridge
El AP debe reiniciar y unirse a detrás como modo Bridge.
Paso 8. Usted puede ahora definir el papel del AP: AP raíz o malla AP. El AP raíz es el que estácon una conexión alámbrica al WLC mientras que la malla AP se unirá al WLC vía su radio queintente conectar con un AP raíz. Una malla AP puede unirse al WLC vía su interfaz atada conalambre una vez que no ha podido encontrar un AP raíz vía su radio, para disposición purposes.
Verificación
aaa new-model
aaa local authentication default authorization default
!
!
aaa authentication dot1x default local
aaa authentication dot1x Mesh_Authentication local
aaa authorization network default local
aaa authorization credential-download default local
aaa authorization credential-download Mesh_Authz local
username 111122223333 mac
wireless profile mesh Mesh_Profile
method authentication Mesh_Authentication
method authorization Mesh_Authz
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site Mesh_AP_Tag
ap-profile Mesh_AP_Join_Profile
ap profile Mesh_AP_Join_Profile
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile Mesh_Profile
Troubleshooting
En el Troubleshooting > la página radiactiva de la red UI de la traza, tecleo agrega y ingresa elMAC address AP.
Haga clic el comienzo y espere el AP para intentar unirse al regulador otra vez.
Una vez que está hecho, el tecleo genera y eligió un período de tiempo para recoger los registros(último 10 o 30 minutos por ejemplo).
Usted puede entonces hacer clic en el nombre del archivo de la traza para descargarlo de suhojeador.
Aquí está un ejemplo del AP que no se une a debido al nombre incorrecto del método deautorización aaa fue definido:
019/11/28 13:08:38.269 {wncd_x_R0-0}{1}: [capwapac-smgr-srvr] [23388]: (info): Session-IP:
192.168.88.48[5272] Mac: DTLS session has been established for AP
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [23388]: (info): DTLS record type:
23, application data
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP:
192.168.88.48[5272] Mac: Capwap message received, type: join_request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess] [23388]: (info): Session-IP:
192.168.88.48[5272] Mac: Received CAPWAP join request
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK
cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK
cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [mesh-config] [23388]: (ERR): Failed to get ap PMK
cache rec status
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (info): 00a3.8e95.6c40 Ap
auth pending
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): Failed to
initialize author request, Reason: Invalid argument
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-capwap-join] [23388]: (ERR): 00a3.8e95.6c40
Auth request init failed
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to
get wtp record: Get ap tag info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [apmgr-db] [23388]: (ERR): 00a3.8e95.6c40 Failed to
get ap tag info : Get ap join fail info
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (ERR): Session-IP:
192.168.88.48[5272] Mac: 00a3.8e95.6c40 Unmapped previous state in transition S_JOIN_PROCESS to
S_END on E_AP_INTERFACE_DOWN
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (info): Session-IP:
192.168.88.48[5272] Mac: 00a3.8e95.6c40 Terminating AP CAPWAP session.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP:
192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Control Packet received 0 seconds ago.
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [capwapac-smgr-sess-fsm] [23388]: (note): Session-IP:
192.168.88.48[5272] Mac: 00a3.8e95.6c40 Last Data Keep Alive Packet information not available.
Data session was not established
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host:
192.168.88.48[5272] Sending DTLS alert message, closing session..
2019/11/28 13:08:38.288 {wncd_x_R0-0}{1}: [ewlc-dtls-sessmgr] [23388]: (info): Remote Host:
192.168.88.48[5272] alert type:warning, description:close notify
2019/11/28 13:08:38.289 {wncmgrd_R0-0}{1}: [ewlc-infra-evq] [23038]: (debug): instance :0
port:38932MAC: 0062.ec80.b1ac
Lo mismo se pueden ver más fácilmente en el panel de la red UI cuando haga clic en los AP nounidos. El “auth Ap pendiente” es la indirecta que señala hacia la autenticación del AP sí mismo:
Caso práctico 2: Flexión + Bridge
Esta sección resaltará el proceso del unido de 1542 AP en el modo Flex+bridge con laautenticación EAP hecha localmente en el WLC.
Configurar
Paso 1. Navegue al > Security (Seguridad) de la configuración >AAA >AAA avanzado >●
autenticación del dispositivo
Paso 2. Seleccione la autenticación del dispositivo y selecto agregue●
Paso 3. Teclee adentro el Ethernet MAC Address bajo del AP para unirse a al WLC, deje elespacio en blanco del nombre de la lista de atribución, finalmente selecto se aplican aldispositivo
●
Paso 4. Navegue a la lista de métodos > a la autenticación del > Security (Seguridad) de laconfiguración >AAA >AAA
●
Paso 5. Selecto agregue, la autenticación AAA móvil aparece●
Paso 6. Teclee adentro un nombre en el nombre de la lista de métodos, 802.1x selecto deldescenso-abajo de Type* y el local para el Tipo de grupo, finalmente selecto se aplica aldispositivo
●
Paso 7. Navegue a la lista de métodos > a la autorización del > Security (Seguridad) de laconfiguración >AAA >AAA
●
Paso 8. Selecto agregue, la autorización AAA móvil aparece●
Paso 9. Teclee adentro un nombre en el nombre de la lista de métodos, descarga credeentialselecta del descenso-abajo de Type* y el local para el Tipo de grupo, finalmente selecto seaplica al dispositivo
●
Paso 10. Navegue a la configuración > a la Tecnología inalámbrica > a la malla > a losperfiles
●
Paso 11 Selecto agregue, el perfil de la malla del agregar móvil aparece●
Paso 12. En la ficha general fijada un nombre y una descripción para el perfil de la malla●
Paso 13. Bajo ficha Avanzadas seleccione el EAP para el campo del método●
Paso 14. Selecto él perfil de la autorización y de la autenticación definido en los pasos 6 y 9,finalmente selecto se aplica al dispositivo
●
Paso 15. Navegue a la configuración > a la etiqueta y los perfiles > el AP se unen a > perfil●
Paso 16. Selecto agregue, el AP se une al perfil móvil aparece, fijó un nombre y ladescripción para el AP se une al perfil
●
Paso 17. Navegue a la lengueta AP y seleccione el perfil de la malla creado en el paso 12 delnombre del perfil de la malla dropdown
●
Paso 18. Asegúrese que el EAP-FAST y CAPWAP DTL estén fijados para el tipo EAP y tipode autorización AP coloca respectivamente
●
Steo 19. Selecto apliqúese al dispositivo●
Paso 20. Navegue a la configuración > a la etiqueta y a los perfiles > a las etiquetas > al sitio●
Paso 21. Selecto agregue, la etiqueta del sitio hacen estallar para arriba aparece●
●
Paso 22. Teclee adentro un nombre y una descripción para la etiqueta del sitio●
Paso 23. Seleccione el AP se unen al perfil creado en el paso 16 del AP se unen al perfildropdown
●
Paso 24. En la parte inferior del popup de la etiqueta del sitio desmarque el checkbox del sitiolocal del permiso para habilitar el perfil de la flexión dropdown.
●
Paso 35. Del perfil de la flexión dropdown seleccione el perfil de la flexión que usted quiereutilizar para el AP
●
Paso 36. Conecte el AP con la red y asegúrese que el AP está en el modo local.●
Paso 37. Para asegurar el AP es en el problema del modo local el comando “local del capwapmodo AP”
●
Nota: El AP debe tener una manera de encontrar el regulador, el broadcast L2, la opciónDHCP 43, resolución de DNS o configuración manual.
Paso 38. El AP se une al WLC, se asegura que es mencionado conforme a la lista AP,navega a la configuración > a la Tecnología inalámbrica > a los Puntos de acceso > todos losPuntos de acceso
●
Paso 39. Seleccione el AP, el popup AP aparece.●
Paso 40. Seleccione la etiqueta del sitio creada en el paso 22 bajo la lengueta del general >de las etiquetas > del sitio dentro del popup AP, seleccione la actualización y apliqúese aldispositivo
●
Paso 41. El AP reinicia y debe unirse a detrás el WLC en la flexión + el modo Bridge●
Observe que este método requiere unirse al AP primero en el modo local (donde no hace laautenticación del dot1x) de modo que usted pueda aplicar la etiqueta del sitio con el perfil de lamalla y después conmutar el AP al modo Bridge.
En caso de que usted quiera unirse a un AP que se pega en el modo del Bridge (o Flex+Bridge)usted puede también configurar los métodos predeterminados (local del valor por defecto deldot1x de la autenticación aaa y local predeterminado cred autorización aaa). El AP entoncespodrá autenticar y usted puede asignar las etiquetas luego.
Verificación
Asegúrese que modo AP esté mostrado mientras que flexión + Bridge tal y como se muestra ende la imagen siguiente.
Usted puede también funcionar con el siguiente comando del WLC 9800 CLI y buscar modo AP elatributo, debe ser enumerado como Flex+Bridge
aaa authorization credential-download mesh-ap local
aaa authentication dot1x mesh-ap local
wireless profile mesh default-mesh-profile
description "default mesh profile"
wireless tag site meshsite
ap-profile meshapjoin
no local-site
ap profile meshapjoin
hyperlocation ble-beacon 0
hyperlocation ble-beacon 1
hyperlocation ble-beacon 2
hyperlocation ble-beacon 3
hyperlocation ble-beacon 4
mesh-profile mesh-profile
Troubleshooting
El panel de la tubería 9800 tiene un aparato que le muestra los AP no capaces de unirse a.Haciendo clic enlo, usted puede conseguir una lista de AP que no pueden unirse a:
Haciendo clic en el AP específico, usted podrá ver la razón por la que no se está uniendo a, eneste caso nosotros está viendo un problema de la autenticación (“auth AP pendiente”) porque laetiqueta del sitio no fue asignada al AP y por lo tanto los 9800 no escogían la autenticación/elmétodo de autorización Nombrados para autenticar el AP:
Para un debugging más avanzado, usted puede ir al troubleshooting > página radiactiva de latraza en la red UI.
Si usted ingresa el MAC address AP, usted puede generar inmediatamente un archivo paraconseguir siempre-en los registros (en el nivel del aviso) del AP que intenta unirse a. Usted puedetambién golpear el “comienzo” para habilitar el debugging avanzado para ese MAC address. Lapróxima vez que usted generará los registros, usted debe poder ver los registros del nivel de
debug para el AP unirse a.