Configure una autenticación Web SSID en losreguladores inalámbricos del catalizador 9800 Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosConfigurarDiagrama de la redConfiguracionesVerificaciónTroubleshooting

Introducción

Este documento explica cómo configurar un SSID con la Seguridad de la red en 9800 WLCs.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Configuración general 9800 WLC●

Listas de Control de Acceso (ACLs)●

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

9800 WLC v16.10●

Servidor Web Apache●

Punto de acceso 3802●

Motor del servicio de la identidad (ISE) v2.2 ●

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

Diagrama de la red

Configuraciones

Paso 1. Defina las configuraciones de la autenticación Web.

GUI:

Navegue al > Security (Seguridad) > a la red de la configuración auténticos y modifique lacorrespondencia existente del parámetro o cree un nuevo.

Ingrese los valores deseados.

nombre de la Parámetro-correspondencia = nombre asignado a la correspondencia delparámetro de WebAuth

●

Las conexiones máximas HTTP = el número de errores de la autenticación antes del clienteconsigue excluidos

●

El descanso del estado de Init (secs) = secunda a un cliente puede estar en la autenticaciónWeb pendiente

●

Tipo = tipo de autenticación Web●

webauth authbypass consentimiento webconsent

El cliente conecta conEl SSID y consigue unadirección IP, entonces los9800 WLCcontrola si la direcciónMAC se permite ingresarred, si sí, se mueveal estado deFUNCIONAMIENTO, si noes esno permitido unirse a.(No recurrirá a laautenticación Web)

 Una vez que se configura la correspondencia del parámetro usted puede hacer clic su nombrepara configurar otras configuraciones como el estatus del cliente el dormir, inhabilita la ventanadel éxito y otras.

Si usted planea utilizar a un servidor Web externo, configure el URL en Redirect para la clave ytambién ponga su dirección IP en el direccionamiento porta IPV4. 

Note: Cuando usted agrega la información de dirección porta IPV4 agrega automáticamenteun ACL que permita el tráfico HTTP y HTTPS de los clientes de red inalámbrica al servidorde la autenticación del Web externa, así que usted no tiene que configurar ningún pre-auth

adicional ACL

  

Note: La correspondencia global del parámetro es la única donde usted puede definir eldireccionamiento virtual IPv4 y del IPv6, la interceptación HTTP de Webauth, el portalprisionero de puente, el permiso de la lista del reloj y las configuraciones de tiempo deespera del vencimiento de la lista del reloj. 

  

CLI:

Servidor Web local

parameter-map type webauth <web-parameter-map-name>

type { webauth | authbypass | consent | webconsent }

timeout init-state sec 300

banner text ^Cbanner login^C

Servidor Web externo

parameter-map type webauth <web-parameter-map-name>

type webauth

timeout init-state sec 300

redirect for-login <URL-for-webauth>

redirect portal ipv4 <external-server's-IP

max-http-conns 10

Paso 2. Configure las configuraciones AAA.

GUI:

Navegue a la lista de métodos > a la autenticación del > Security (Seguridad) de la configuración

>AAA >AAA y agregue un método de autenticación de inicio de sesión.

CLI:

# configure terminal

# aaa new-model

# aaa authentication login <login-local-name> local

Note: Si usted desea utilizar a un servidor de RADIUS externo para autenticar sus usuariossatisfacen siguen estas instrucciones relacionadas con la configuración de servidor deRADIUS en 9800 WLCs: Config AAA en 9800 WLC. Asegure eso al crear el método deautenticación, usted eligen el tipo de la clave, en vez de dot1x.

Note: Si usted va a autenticar a los clientes con las credenciales configuradas localmente enlos 9800 WLC, usted tiene que abrirse una sesión al CLI 9800 WLC y funcionar con estecomando en el modo de configuración global: # local del valor por defecto de la autorizaciónde red AAA

Paso 3. Configure su SSID

GUI:

Navegue a la configuración > a la Tecnología inalámbrica > a las redes inalámbricas (WLAN) > +agregan y configuran la red según las necesidades.

Si usted quiere solamente utilizar la autenticación L3 asegúrese de que fijen al modo seguro L2 aningunos. 

En la tabulación Layer3 usted puede conectar el SSID a la correspondencia del parámetro de

Webauth y a la lista de la autenticación que fue creada antes.

Una vez que le hacen, haga clic la actualización y apliqúese al dispositivo para acabar laconfiguración de la red inalámbrica (WLAN).

CLI:

wlan <profile-name> <wlan-id> <SSID-name>

no security wpa

no security wpa akm dot1x

no security wpa wpa2

no security wpa wpa2 ciphers aes

security web-auth

security web-auth authentication-list <login-local-name>

security web-auth parameter-map <web-parameter-map-name>

no shutdown

Paso 4. Defina su configuración del perfil de la directiva.

Dentro de un perfil de la directiva podemos decidir a qué VLA N asigna a los clientes, entre otrasconfiguraciones (como el [ACLs] de la lista de controles de acceso, el [QoS] de la calidad deservicio, el ancla de la movilidad, los temporizadores y así sucesivamente).

Usted puede o utilizar su perfil de la directiva predeterminada o usted puede crear un nuevo.

GUI:

Navegue a la configuración > a la Tecnología inalámbrica > al perfil de la directiva y configuresu valor por defecto-directiva-perfil o cree un nuevo.

Asegúrese que el perfil esté activado.

También, si su punto de acceso está en el modo local, asegúrese que el perfil de la directivatenga la transferencia central y autenticación central activadas.

Seleccione el VLA N usado para asignar a los clientes de red inalámbrica.

CLI:

# config

# wireless profile policy <policy-profile-name>

# central switching

# description "<description>"

# vlan <vlanID-or-VLAN_name>

# no shutdown

Paso 5. Defina su configuración de la etiqueta de la directiva

Dentro de la directiva la etiqueta es donde usted conecta su SSID a su perfil de la directiva. Ustedpuede crear una nueva etiqueta de la directiva o utilizar la etiqueta de default-policy.

Note: La valor por defecto-directiva-etiqueta asocia automáticamente cualquier SSID conuna identificación de la red inalámbrica (WLAN) entre 1 a 16 al valor por defecto-directiva-perfil. No puede ser modificada ni ser suprimida. Si usted tiene una red inalámbrica (WLAN)con la identificación 17 o más alto la valor por defecto-directiva-etiqueta no puede serutilizada.

GUI:

Navegue a la configuración > a las etiquetas y a los perfiles > a las etiquetas > a la directiva yagregue un nuevo si es necesario.

Conecte su perfil de la red inalámbrica (WLAN) al perfil deseado de la directiva.

  

CLI:

# configure terminal

# wireless tag policy <policy-tag-name>

# wlan <profile-name> policy <policy-profile-name>

Paso 6. Asigne la etiqueta de la directiva a los APs.

GUI:

Para asignar la etiqueta a un AP navegue a la configuración > a la Tecnología inalámbrica > a losPuntos de acceso > al nombre AP > las etiquetas generales, haga la asignación necesaria yentonces haga clic la actualización y apliqúese al dispositivo.

Note: Sea consciente que después del cambio la etiqueta de la directiva en un AP, él pierdesu asociación a los 9800 WLC y únase a detrás en más o menos de 1 minuto.

Para asignar la misma etiqueta de la directiva a varios APs navegue a la configuración > a laTecnología inalámbrica > disposición inalámbrica > comienzo ahora > se aplican.

Seleccione los APs a los cuales usted quiere asignar la etiqueta y el tecleo + la etiqueta APs

Seleccione la etiqueta whished y haga clic la salvaguardia y apliqúese al dispositivo

CLI:

# configure terminal

# ap <ethernet-mac-addr>

# policy-tag <policy-tag-name>

# end

Paso 7. Cree sus credenciales de usuario.

Para la configuración de los usuarios locales navegue a la administración > al UserAdministration y cree las credenciales necesarias.

CLI:

Usuario invitado permanente●

# username <user> privilege 0 secret 0 <password>

Usuario invitado temporal●

# user-name <user>

# password <password>

# type network-user description <description> guest-user lifetime year <0-1 years>...

[ month <0-11 months> day <0-30 days> hour <0-23 hours> minute <0-59 minutes> second <0-59

seconds>

Verificación

Usted puede utilizar estos comandos de verificar la configuración actual

# show run wlan

# show run aaa

# show aaa servers

# show ap config general

# show ap name <ap-name> config general 

# show ap tag summary

# show ap <ap-name> tag detail

# show wlan { summary | id | name | all }

# show wireless tag policy detailed <policy-tag name>

# show wireless profile policy detailed <policy-profile name>

Troubleshooting

WLC 9800 proporciona SIEMPRE-EN las capacidades que rastrean. Esto se asegura que todoslos errores relacionados de la Conectividad del cliente, wanring y mensajes llanos del aviso esténregistrados constantemente y usted puede ver los registros para una condición del incidente o delerror después de que haya ocurrido. 

Note: Dependiendo del volumen de registros que son generados, usted puede ir detráspocas horas a varios días.

Para ver los rastros que 9800 WLC recogidos por abandono, usted pueden conectar víaSSH/Telnet con los 9800 WLC y seguir los siguientes pasos (asegúrese que usted estáregistrando la sesión a un archivo de texto).

Paso 1. La hora actual así que usted del regulador del control pueden seguir abre una sesión eltiempo de nuevo a cuando sucedió el problema.

# show clock

 Paso 2. Recoja los Syslog del Syslog externo del regulador del almacenador intermediario osegún lo dictado por la configuración del sistema. Esto proporciona a una visión rápida en losEstados generales del sistema y los errores, si los hay.

# show logging

Paso 3. Verifique si se activan algunas condiciones de la depuración.

# show debugging

IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:

Packet Infra debugs:

Ip Address Port

------------------------------------------------------|----------

Note: Si usted ve cualquier condición enumerada, significa que los rastros se estánregistrando hasta la depuración llana para todos los procesos que encuentran lascondiciones activadas (MAC address, IP address etc). Esto aumentaría el volumen deregistros. Por lo tanto, se recomienda para borrar todas las condiciones al no activamenteponer a punto

Paso 4. El MAC address asumido bajo prueba no fue enumerado como condición en el paso 3,recoge siempre-en los rastros del nivel del aviso para el MAC address específico.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file

always-on-<FILENAME.txt>

Usted puede o visualizar el contenido en la sesión o usted puede copiar el fichero a un servidordel externo TFTP.

# more bootflash:always-on-<FILENAME.txt>

or

# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

Debugging condicional y seguimiento activo de la radio 

Si siempre-en los rastros no le dé bastante información para determinar el activador para elproblema bajo investigación, usted puede activar el debugging condicional y capturar el rastroactivo de radio (del RA), que proporcionará a los rastros del nivel de la depuración para todos losprocesos que obren recíprocamente con la condición especificada (MAC address del cliente eneste caso). Para activar el debugging condicional, siga los siguientes pasos.

Paso 5. Asegúrese que no haya condiciones de la depuración esté activado.

# clear platform condition all

Paso 6. Active la condición de la depuración para el MAC address del cliente de red inalámbricaque usted quiere vigilar.

Este comandos start de vigilar el MAC address proporcionado por 30 minutos (1800 segundos).Usted puede aumentar opcionalmente este vez a hasta 2085978494 segundos.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

  

Note: Para vigilar a más de un cliente al mismo tiempo, funcione con el comandoinalámbrico del mac <aaaa.bbbb.cccc> de la depuración por el MAC address.

Note: Usted no ve la salida de la actividad del cliente en la sesión terminal, pues todo seprotege internamente para ser vista más adelante.

  

Paso 7. Reproduzca el problema o el comportamiento que usted quiere vigilar.

Paso 8. Pare las depuraciones si se reproduce el problema antes de que el valor por defecto o eltiempo configurado del monitor esté para arriba.

# no debug wireless mac <aaaa.bbbb.cccc>

Una vez que ha transcurrido el monitor-tiempo o se ha parado la Tecnología inalámbrica de ladepuración, los 9800 WLC generan un archivo local con el nombre:

ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Paso 9. Recoja el fichero de la actividad del MAC address.  Usted puede cualquier copia el rastro.log del ra a un servidor externo o visualizar la salida directamente en la pantalla.

Controle el nombre del fichero de rastros del RA

# dir bootflash: | inc ra_trace

Copie el fichero a un servidor externo:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

tftp://a.b.c.d/ra-FILENAME.txt

 Visualice el contenido:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Paso 10. Si la causa raíz todavía no es obvia, recoja los registros internos que son una vista másprolija de los registros del nivel de la depuración. Usted no necesita poner a punto al cliente otravez mientras que estamos hechando una ojeada solamente detallada futher los registros de ladepuración que colllected ya e internamente se han salvado.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> }

to-file ra-internal-<FILENAME>.txt

Note: Este comando hizo salir los rastros de las devoluciones para todos los niveles deregistro para todos los procesos y es muy voluminoso. Dedique por favor el TAC de Ciscopara ayudar a analizar a través de estos rastros.

Usted puede cualquier copia ra-internal-FILENAME.txt a un servidor externo o visualizar la salidadirectamente en la pantalla.

Copie el fichero a un servidor externo:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

Visualice el contenido:

# more bootflash:ra-internal-<FILENAME>.txt

 Paso 11 Quite las condiciones de la depuración.

# clear platform condition all

Note: Asegúrese de que usted quite siempre las condiciones de la depuración después deuna sesión del troubleshooting.