ACL WLC C9800 AirSpace не применяется

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:39:08 GMT

hshimomu — Fri, 06 Mar 2026 20:39:08 GMT

Загрузка ACL поддерживается в IOS XE 17.10.1. https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-10/release-notes/rn-17-10-9800.html

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:39:07 GMT

RAMKURAGAYALA — Fri, 06 Mar 2026 20:39:07 GMT

На самом деле я успешно протестировал использование «Airespace ACL» и «Filter-ID» по отдельности, ссылаясь на ACL, настроенный на WLC-9800. Несмотря на то, что Cisco 9800 является IOS-XE, «Airespace ACL» также работал в моем случае. Примечание: Cisco WLC-9800 не поддерживает dACL.

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:39:06 GMT

Rich R — Fri, 06 Mar 2026 20:39:06 GMT

«ap name write tag-config» сохраняет теги. Начиная с версии 17.6.1, введена постоянность тегов: https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-6/config-guide/b_wl_17_6_cg/m_ap_tag_persistency.html
Это также включает информацию о show ap tag summary. Вы пробовали тестировать на более новой версии, например 17.6? Между версиями 17.3 и 17.6 было внесено ряд улучшений в функции radius (для улучшения функциональной совместимости с AireOS), поэтому мы используем 17.6 — наш дизайн просто не работал на 17.3, так как некоторые команды появляются в конфигурации, но не реализованы в коде. ------------------------------
Пожалуйста, нажмите
«Полезно»,
если этот пост вам помог, и
«Принять как решение»
(раскрывающееся меню в правом верхнем углу этого ответа), если это ответило на ваш вопрос.

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:39:05 GMT

Andrii Oliinyk — Fri, 06 Mar 2026 20:39:05 GMT

Да, ACL есть на точках доступа. Как я могу проверить теги на точке доступа? UPD. Теги тоже есть (спасибо
@Rich R
за подсказку) br andy

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:39:04 GMT

Arshad Safrulla — Fri, 06 Mar 2026 20:39:04 GMT

Вы проверили, есть ли ACL на AP? Войдите в AP через CLI и с помощью команды «show ip access-list» убедитесь, что ACL, который вы отправили, есть на AP. Также убедитесь, что вы сохранили теги на AP. ___________________________________________
Коды,
рекомендованные TAC для AireOS WLC
Лучшие практики для AireOS WLC
Коды,
рекомендованные TAC для 9800 WLC
Лучшие практики для 9800 WLC
Матрица
совместимости Cisco Wireless___________________________________________
Аршад Сафрулла

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:39:03 GMT

Andrii Oliinyk — Fri, 06 Mar 2026 20:39:03 GMT

Привет, Аршад Прилагаю скриншоты. С моей точки зрения, все выглядит так, как и должно быть, можешь это подтвердить? Да, мы используем расширенные ACL (стандартные работают только с SRC). И да, мы провели RA-трассировку с TAC. WLC получает необходимые атрибуты: ,,,
2022/01/20 09:19:12.878948 {wncd_x_R0-0}{2}: [radius] [18316]: (info): RADIUS: Cisco AVpair [1] 34 "Method-List=DOT1x_author_ISE"
2022/01/20 09:19:12.878957 {wncd_x_R0-0}{2}: [radius] [18316]: (info): RADIUS: Cisco AVpair [1] 40 «AireSpace-ACL-Name=acl-No-Office-2-LAB» ... Но в примененных атрибутах нет ACL.

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:39:02 GMT

Arshad Safrulla — Fri, 06 Mar 2026 20:39:02 GMT

Можете ли вы опубликовать свой профиль Flex? Вы отправили ACL на точку доступа? ![Screenshot 2022-01-26 211747.png] Я также хотел бы знать, включили ли вы центральную аутентификацию в профиле политики или локальную аутентификацию непосредственно с AP? (NAD — это WLC или AP в WLC?) Также обратите внимание, что Flex AP поддерживают только расширенные ACL. Кроме того, вы можете выполнить трассировку RA для клиента при подключении к этому SSID, чтобы увидеть, отправляет ли сервер Radius необходимые параметры. ___________________________________________
Коды,
рекомендованные TAC для AireOS WLC
Лучшие практики для AireOS WLC
Коды,
рекомендованные TAC для 9800 WLC
Лучшие практики для 9800 WLC
Матрица
совместимости Cisco Wireless___________________________________________
Аршад Сафрулла

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:39:01 GMT

Andrii Oliinyk — Fri, 06 Mar 2026 20:39:01 GMT

Конечно, IOS-XE — это не AIR-OS, поэтому dACL не рекомендуется использовать в IOS-XE, а для работы AirSpace ACL необходимо настроить AuthZ method-list AV в AuthZ-profile на ISE и т. д. Я хотел сказать, что какой бы подход к применению динамического ACL ни был выбран в случае AIR-OS, он будет работать, если будет правильно (то есть с учетом всех предварительных условий) настроен на WLC и ISE. Это совершенно не относится к IOS-XE для беспроводных сетей...
Буду держать вас в курсе результатов расследования Cisco TAC...

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:39:00 GMT

Scott Fella — Fri, 06 Mar 2026 20:39:00 GMT

Я бы никогда не стал сравнивать AireOS и IOS... это совершенно разные вещи, и это из моего опыта. Из того, что вы сказали, я понимаю, что правила работают для AireOS, поэтому с 9800 не должно быть проблем (?), но никогда не знаешь наверняка. Извините, но мне не приходилось применять ACL для наших SSID, но было бы интересно узнать, в чем заключается решение. -Скотт***
Пожалуйста, оцените полезные сообщения ***

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:38:59 GMT

Andrii Oliinyk — Fri, 06 Mar 2026 20:38:59 GMT

Привет, Скотт Случай TAC находится только в ведении команды по беспроводным сетям. То же самое работает на AIR-OS без каких-либо проблем. В данном сценарии мы не используем dACL, а создание отдельного SSID/VLAN не является вариантом. Не уверен, что WLC сообщает ISE во время фазы AuthZ, но отладка на WLC показывает, что ISE правильно обменивается данными с AV, и в конце WLC просто опускает любые упоминания о том, что он делал с ACL, и бормочет что-то о полученном списке методов AuthZ. 2022/01/20 09:18:31.000165 {wncd_x_R0-0}{2}: [auth-mgr-feat_wireless] [18316]: (info): [5076.af47.945b:capwap_90000027] - authc_list: DOT1x_auth_ISE 2022/01/20 09:18:31.000167 {wncd_x_R0-0}{2}: [auth-mgr-feat_wireless] [18316]: (информация): [5076.af47.945b:capwap_90000027] - authz_list: Отсутствует в конфигурации wlan 2022/01/20 09:19:12.879716 {wncd_x_R0-0}{2}: [auth-mgr] [18316]: (info): [5076.af47.945b:capwap_90000027] Необходимо применить профиль пользователя. Authz mlist отсутствует, Authc mlist DOT1x_auth_ISE ,флаг session push не установлен

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:38:58 GMT

Scott Fella — Fri, 06 Mar 2026 20:38:58 GMT

Вы открыли случай TAC с командой ISE или командой беспроводной связи? Лучше убедиться, что обе команды его рассмотрят. Я не пробовал dACL с использованием FlexConnect, но не было бы проще иметь два VLAN и затем использовать правила для размещения устройства в одном или другом VLAN? В любом случае, когда я провожу тестирование, мне всегда приходится играть с правилами, чтобы убедиться, что они улавливают то, что мне нужно. Возможно, ISE не считывает то, что отправляет контроллер. В этом случае вам, возможно, придется искать другой способ идентификации этих устройств. -Скотт***
Пожалуйста, оцените полезные сообщения ***

Reply to ACL WLC C9800 AirSpace не применяется on Fri, 06 Mar 2026 20:38:57 GMT

Andrii Oliinyk — Fri, 06 Mar 2026 20:38:57 GMT

была решена путем переключения на флажок «Общие задачи / Airespace ACL Name» вместо cisco-av-pair = AireSpace-ACL-Name=blah-blah. Фактически, он обрабатывается на WLC как Filter-ID и отображается в разделе «Мониторинг / Беспроводная сеть / Клиенты / <клиент> / Общие сведения / Информация о безопасности / Политики сервера | Результирующие политики». Спасибо всем