配置基於ISE的WLC的動態VLAN分配到Active Directory組對映

已更新: 2019 年 5 月 31 日

文件 ID:99121

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本檔案介紹動態VLAN分配的概念。

必要條件

本文說明如何設定無線LAN控制器(WLC)和身分識別服務引擎(ISE)伺服器，以便動態地將無線LAN(WLAN)使用者端指派到特定VLAN中。

需求

思科建議您瞭解以下主題：

無線LAN控制器(WLC)和輕量型存取點(LAP)的基本知識
身份驗證、授權和記帳(AAA)伺服器（例如ISE）的功能知識
全面瞭解無線網路和無線安全問題
動態VLAN分配的功能和配置知識
基本瞭解Microsoft Windows AD服務，以及域控制器和DNS概念
具備接入點協定(CAPWAP)的控制和調配基礎知識

採用元件

本文中的資訊係根據以下軟體和硬體版本：

Cisco 5520系列WLC（執行韌體版本8.8.111.0）
Cisco 4800系列AP
本機Windows請求方和Anyconnect NAM
Cisco安全ISE版本2.3.0.298
配置為域控制器的Microsoft Windows 2016 Server
執行15.2(4)E1版的Cisco 3560-CX系列交換器

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

使用RADIUS伺服器進行動態VLAN指派

在大多數WLAN系統中，每個WLAN都有一個靜態策略，該策略適用於與服務集識別符號(SSID)或控制器術語中的WLAN相關聯的所有客戶端。此方法雖然功能強大，但也有侷限性，因為它要求客戶端與不同的SSID關聯以繼承不同的QoS和安全策略。

Cisco WLAN解決方案通過支援身份網路解決了這一限制。這允許網路通告單個SSID，但允許特定使用者基於使用者憑證繼承不同的QoS、VLAN屬性和/或安全策略。

動態VLAN分配是一種功能，可根據使用者提供的憑證將無線使用者置於特定VLAN中。將使用者分配到特定VLAN的任務由RADIUS身份驗證伺服器（例如Cisco ISE）處理。例如，這可用於允許無線主機在園區網路中移動時保持在同一個VLAN上。

思科ISE伺服器根據多個可能的資料庫之一（包括其內部資料庫）對無線使用者進行身份驗證。舉例來說：

內部DB
Active Directory
通用輕量型目錄存取通訊協定(LDAP)
開放資料庫連線(ODBC)相容關聯式資料庫
Rivest、Shamir和Adelman(RSA)SecurID令牌伺服器
符合RADIUS的令牌伺服器

Cisco ISE身份驗證協定和支援的外部身份源列出了ISE內部和外部資料庫支援的各種身份驗證協定。

本文檔重點介紹如何對使用Windows Active Directory外部資料庫的無線使用者進行身份驗證。

成功身份驗證後，ISE從Windows資料庫中檢索該使用者的組資訊並將該使用者關聯到相應的授權配置檔案。

當客戶端嘗試與註冊到控制器的LAP關聯時，LAP在各自的EAP方法的幫助下將使用者的憑證傳遞到WLC。

WLC使用RADIUS協定（封裝EAP）將這些憑證傳送到ISE，ISE將使用者的憑證傳遞到AD以在KERBEROS協定的幫助下進行驗證。

AD驗證使用者憑證，並在身份驗證成功後通知ISE。

身份驗證成功後，ISE伺服器會將某些Internet工程任務組(IETF)屬性傳遞到WLC。這些RADIUS屬性決定必須分配給無線客戶端的VLAN ID。使用者端的SSID（WLAN，從WLC的角度而言）並不重要，因為系統總是將使用者指派給此預先確定的VLAN ID。

用於VLAN ID分配的RADIUS使用者屬性包括：

IETF 64（隧道型別）—將此設定為VLAN
IETF 65（隧道介質型別）—將此值設定為802
IETF 81（隧道專用組ID）—將其設定為VLAN ID

VLAN ID為12位，取值範圍為1到4094（含1和4094）。由於Tunnel-Private-Group-ID屬於字串型別（如用於IEEE 802.1X的RFC2868中所定義），因此VLAN ID整數值將編碼為字串。傳送這些隧道屬性時，需要填寫Tag欄位。

如RFC 2868第3.1節所述：標籤欄位的長度為一個八位組，用於提供在同一資料包中對引用同一隧道的屬性進行分組的方法。此欄位的有效值為0x01到0x1F（包括0x1F）。如果「標籤」欄位未使用，則該欄位必須為零(0x00)。如需所有RADIUS屬性的詳細資訊，請參閱RFC 2868。

設定

本節提供設定檔案中所述功能所需的資訊。

網路圖表

Network Diagram - DVLAN

組態

以下是此圖中所用元件的配置詳細資訊：

ISE(RADIUS)伺服器的IP地址為10.48.39.128。
WLC的管理和AP管理器介面地址為10.48.71.20。
DHCP伺服器駐留在LAN網路中，並針對相應的客戶端池進行配置；圖中未顯示它。
整個配置中都使用VLAN1477和VLAN1478。Marketing部門的使用者配置為置於VLAN1477中，HR部門的使用者配置為由RADIUS伺服器置於VLAN1478中當兩個使用者連線到同一個SSID時 — office_hq.

VLAN1477:192.168.77.0/24。網關：192.168.77.1 VLAN1478:192.168.78.0/24。網關：192.168.78.1
本檔案使用802.1x，且 PEAP-mschapv2 作為安全機制。

註意：思科建議您使用高級身份驗證方法，例如EAP-FAST和EAP-TLS身份驗證，以保護WLAN。

執行此組態之前，會做出以下假設：

LAP已向WLC註冊
為DHCP伺服器分配一個DHCP作用域
網路中所有裝置之間都存在第3層連線
本文檔討論了在無線端所需的配置，並假設有線網路已準備就緒
在AD上配置相應的使用者和組

要根據ISE到AD組對映通過WLC完成動態VLAN分配，必須執行以下步驟：

ISE到AD整合和配置ISE上使用者的身份驗證和授權策略。
WLC配置，以支援SSID 'office_hq'的dot1x身份驗證和AAA覆蓋。
最終客戶端請求方配置。

ISE到AD整合和配置ISE上使用者的身份驗證和授權策略

使用admin帳戶登入ISE Web UI介面。
導航至 Administration > Identity management > External Identity Sources > Active directory.
按一下Add，然後從Active Directory加入點名稱設定輸入域名和身份庫名稱。在示例中，ISE註冊到域 wlaaan.com 並將連線點指定為 AD.wlaaan.com — 對ISE具有本地意義的名稱。
一個彈出視窗會在以下時間開啟 Submit 按鈕會按下，詢問您是否要立即將ISE加入AD。按 Yes 並提供具有管理員許可權的Active Directory使用者憑據以向域中新增新主機。
在此之後，您必須將ISE成功註冊到AD。

如果您在註冊過程中有任何問題，可以使用 Diagnostic Tool 以便運行AD連線所需的測試。
您必須檢索用於分配相應授權配置檔案的活動目錄組。導航至 Administration > Identity management > External Identity Sources > Active directory > > Groups，然後按一下 Add 選擇 Select Groups from Active Directory.
將開啟一個新的彈出視窗，您可以在其中指定篩選器以檢索特定組或從AD檢索所有組。
從AD組清單中選擇相應的組，然後按 OK.
各組將新增到ISE並可儲存。按 Save.
將WLC新增到ISE網路裝置清單 — 導航至 Administration > Network Resources > Network Devices 然後按下 Add.
通過在WLC和ISE之間提供WLC管理IP地址和RADIUS共用金鑰完成配置。
現在，當您將ISE加入AD並將WLC新增到裝置清單後，您可以開始為使用者配置身份驗證和授權策略。
- 建立授權配置檔案，以便從Marketing將使用者分配到VLAN1477，並將從HR組的使用者分配到VLAN1478。
  導航至 Policy > Policy Elements > Results > Authorization > Authorization profiles 並點選 Add 按鈕以建立新配置檔案。
- 使用相應組的VLAN資訊完成授權配置檔案配置；示例顯示 Marketing 組配置設定。
  
  必須為其他組執行類似的配置，並且必須配置各自的VLAN標籤屬性。
- 配置授權配置檔案後，您可以為無線使用者定義身份驗證策略。這可以通過配置 Custom 或修改 Default 策略集。在此示例中，將修改預設策略集。導航至 Policy > Policy Sets > Default.預設情況下， dot1x 身份驗證型別，ISE將使用 All_User_ID_Stores儘管它即使使用當前預設設定也可使用，因為AD是 All_User_ID_Stores，此示例使用更具體的規則 WLC_lab 並使用AD作為唯一身份驗證源。
- 現在，您必須為根據組成員資格分配相應授權配置檔案的使用者建立授權策略。導航至 Authorization policy 分節並建立策略以滿足此要求。

支援SSID 'office_hq'的dot1x身份驗證和AAA覆蓋的WLC配置

將ISE配置為WLC上的RADIUS身份驗證伺服器。導航至 Security > AAA > RADIUS > Authentication 部分，並提供ISE IP地址和共用金鑰資訊。
配置SSID office_hq 在 WLANs 部分；此示例使用 WPA2/AES+dot1x 和AAA覆蓋。介面 Dummy 已為WLAN選擇，因為仍會透過RADIUS分配適當的VLAN。必須在WLC上建立此虛擬介面並給予IP位址，但IP位址不一定是有效的，且無法在上行鏈路交換器上建立此虛擬介面所在的VLAN，因此如果沒有分配VLAN，使用者端就無法前往任何地方。
您還必須在WLC上為使用者VLAN建立動態介面。導航至 Controller > Interfaces 使用者介面選單。如果WLC在該VLAN中具有動態介面，則它只能執行通過AAA接收的VLAN分配。

驗證

使用Windows 10本機請求方和Anyconnect NAM來測試連線。

由於您使用的是EAP-PEAP身份驗證並且ISE使用自簽名證書(SSC)，您必須同意證書警告或禁用證書驗證。在企業環境中，必須在ISE上使用簽名和受信任的證書，並確保終端使用者裝置在受信任CA清單下安裝了相應的根證書。

測試與Windows 10和本機請求方的連線：

未解決 Network & Internet settings > Wi-Fi > Manage known networks 並建立一個新的網路配置檔案 Add new network 按鈕；填寫所需資訊。
檢查ISE上的身份驗證日誌，並確保為使用者選擇正確的配置檔案。
檢查WLC上的使用者端專案，確保它已分配到正確的VLAN並處於RUN狀態。

在WLC CLI中，可以使用 show client dertails:

show client detail f4:8c:50:62:14:6b 
Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Bob
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Bob
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 242 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.78.36
Gateway Address.................................. 192.168.78.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
EAP Type......................................... PEAP
Interface........................................ vlan1478
VLAN............................................. 1478
Quarantine VLAN.................................. 0
Access VLAN...................................... 1478

測試與Windows 10和Anyconnect NAM的連線：

從可用SSID清單和各自的EAP身份驗證型別（在本示例PEAP中）以及內部身份驗證表單中選擇SSID。
提供用於使用者身份驗證的使用者名稱和密碼。
由於ISE正在將SSC傳送到客戶端，您必須手動選擇信任證書（在生產環境中，強烈建議在ISE上安裝受信任證書）。
檢查ISE上的身份驗證日誌，並確保為使用者選擇正確的授權配置檔案。
檢查WLC上的使用者端專案，確保它已分配到正確的VLAN並處於RUN狀態。

在WLC CLI中，可以使用 show client dertails:

Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Alice
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Alice
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 765 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.77.32
Gateway Address.................................. 192.168.77.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... PEAP
Interface........................................ vlan1477
VLAN............................................. 1477

疑難排解

使用 test aaa radius username password wlan-id 測試WLC和ISE之間的RADIUS連線 test aaa show radius 以顯示結果。

test aaa radius username Alice password <removed> wlan-id 2

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  Called-Station-Id               00-00-00-00-00-00:AndroidAP
  Calling-Station-Id              00-11-22-33-44-55
  Nas-Port                        0x00000001 (1)
  Nas-Ip-Address                  10.48.71.20
  NAS-Identifier                  0x6e6f (28271)
  Airespace / WLAN-Identifier     0x00000002 (2)
  User-Password                   cisco!123 
  Service-Type                    0x00000008 (8)
  Framed-MTU                      0x00000514 (1300)
  Nas-Port-Type                   0x00000013 (19)
  Cisco / Audit-Session-Id        1447300a0000003041d5665c
  Acct-Session-Id                 5c66d541/00:11:22:33:44:55/743



test radius auth request successfully sent. Execute 'test aaa show radius' for response

(Cisco Controller) >test aaa show radius 

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none
Radius Test Response

Radius Server            Retry Status
-------------            ----- ------
10.48.39.128             1     Success

Authentication Response:
  Result Code: Success

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  State                           ReauthSession:1447300a0000003041d5665c
  Class                           CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59
  Tunnel-Type                     0x0000000d (13)
  Tunnel-Medium-Type              0x00000006 (6)
  Tunnel-Group-Id                 0x000005c5 (1477)



(Cisco Controller) >

使用 debug client 排除無線客戶端連線故障。
使用 debug aaa all enable 以排解WLC上的驗證和授權問題。

注意：此命令僅用於 debug mac addr 根據進行偵錯的MAC位址限制輸出。
請參閱ISE即時日誌和會話日誌，以確定身份驗證失敗和AD通訊問題。

修訂記錄

修訂	發佈日期	意見
1.0	19-Sep-2007	初始版本

由思科工程師貢獻

Roman Manchur
Cisco TAC Engineer

這份文件是否有所幫助？

意見

讓思科協助您

開啟支援問題單
(需有思科服務合約)