ワイヤレス : Cisco 4400 シリーズ ワイヤレス LAN コントローラ

ワイヤレス LAN コントローラ(WLC)と NAC のゲスト サーバ(NGS)のインテグレーション ガイド

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 12 月 20 日) | フィードバック


目次


概要

このドキュメントでは、NAC ゲスト サーバとワイヤレス LAN コントローラの統合に関するガイドラインを示します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ワイヤレス LAN コントローラ(WLC)4.2.61.0

  • IOS の Catalyst 3560か。 バージョン 12.2(25)SEE2

  • Cisco ADU バージョン 4.0.0.279

  • NAC ゲスト サーバ バージョン 1.0

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

Cisco NAC ゲスト サーバは、ゲスト、訪問者、契約者、コンサルタント、顧客等に一時的なネットワーク アクセスを提供する完成されたプロビジョニングおよびレポート システムです。 ゲスト サーバは Cisco NAC アプライアンスまたは Cisco ワイヤレス LAN コントローラに近接して動作し、ゲスト アクセス用のキャプティブ ポータルと実施ポイントになります。

Cisco NAC ゲスト サーバにより、任意の特権ユーザは簡単に仮ゲスト アカウントとスポンサー ゲスト アカウントを作成できます。 Cisco NAC ゲスト サーバはスポンサー(ゲスト アカウントを作成するユーザ)の完全認証を行い、スポンサーは印刷物、電子メール、または SMS によりアカウントの詳細をゲストに通知できるようになります。 ユーザ アカウントの作成からゲスト ネットワーク アクセスに至る一連の手続きはすべて監査およびレポート用に保存されます。

ゲスト アカウントが作成されると、Cisco NAC アプライアンス マネージャ(Clean Access Manager)内でプロビジョニングされるか、または Cisco NAC ゲスト サーバの組み込みデータベース内に保存されます。 ゲスト サーバの組み込みのデータベースを使用すると、Cisco ワイヤレス LAN コントローラなどの外部ネットワーク アクセス デバイスでは、Remote Authentication Dial In User Service(RADIUS)プロトコルによってゲスト サーバに対してユーザを認証できます。

Cisco NAC ゲスト サーバでは、アカウント作成時に有効期間を指定してゲスト アカウントをプロビジョニングします。 アカウントが失効すると、ゲスト サーバは、Cisco NAC アプライアンス マネージャからアカウントを直接削除するか、ネットワーク アクセス デバイス(NAD)でこのユーザを削除しなければならない時点までにこのアカウントに対して残されている有効期間を NAD に通知する RADIUS メッセージを送信します。

Cisco NAC ゲスト サーバでは、中央管理インターフェイスを通してレポートを実行できるように、ゲスト アカウントの作成からゲストによるアカウントの使用に至るすべての監査証跡を統合することより、ゲスト ネットワーク アクセス用アカウント管理機能を実現します。

ゲスト アクセスの概念

Cisco NAC ゲスト サーバでは、ゲスト アクセスを可能にするために必要なコンポーネントについて記述する目的で多数の用語を使用します。

ゲスト ユーザ

ゲスト ユーザは、ネットワークにアクセスするためにユーザ アカウントを必要とするユーザです。

スポンサー

スポンサーは、ゲスト ユーザ アカウントを作成する個人です。 多くの場合、ネットワーク アクセスを提供する組織の従業員です。 スポンサーは、特定の職務上の役割を持つ具体的な 3 人の個人にするか、Microsoft Active Directory(AD)などの企業のディレクトリに対して認証できる任意の従業員にすることができます。

ネットワーク エンフォースメント デバイス

これらのデバイスは、ネットワーク アクセスを提供するネットワーク インフラストラクチャ コンポーネントです。 さらに、ネットワーク エンフォースメント デバイスは、ゲスト ユーザをキャプティブ ポータルにプッシュします。このポータルでゲスト ユーザはゲスト アカウントの詳細を入力できます。 ゲストが一時的なユーザ名とパスワードを入力すると、ネットワーク エンフォースメント デバイスでは、ゲスト サーバによって作成されたゲスト アカウントと照合して、このクレデンシャルをチェックします。

ゲスト サーバ

これは Cisco NAC ゲスト サーバです。ゲスト アクセスのすべての要素を 1 まとめにします。 ゲスト サーバでは、次の要素を統合します。 ゲスト アカウントを作成するスポンサー、ゲストに渡されたアカウントの詳細、ネットワーク エンフォースメント デバイスに対するゲストの認証、およびゲスト サーバによるゲストのネットワーク エンフォースメント デバイスの検証です。 さらに、Cisco NAC ゲスト サーバは、ネットワーク エンフォースメント デバイスからのアカウント情報を統合することにより、ゲスト アクセス レポートの一元管理を実現します。

NGS の詳細な資料は CCO にあります。

http://www.cisco.com/en/US/docs/security/nac/guestserver/configuration_guide/10/nacguestserver.html

ラボ トポロジの概要

/image/gif/paws/107630/WLC_NGS-1.gif

ワイヤレス LAN コントローラ(WLC)の設定

WLC を設定するには、次の手順を実行します。

  1. コントローラとアクセス ポイントを初期化します。

  2. コントローラ インターフェイスを設定します。

  3. RADIUS を設定します。

  4. WLAN 設定値を設定します。

初期化

初期設定の場合は、ハイパーターミナルなどのコンソール接続を使用し、セットアップ プロンプトに従ってログインおよびインターフェイス情報を入力します。 reset system コマンドによってもこれらのプロンプトが開始されます。

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_44:36:c3]: WLC
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): admin
Service Interface IP Address Configuration [none][DHCP]: <ENTER>
Enable Link Aggregation (LAG) [yes][NO]:no
Management Interface IP Address: 10.10.51.2
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.51.1
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 2]: 1
Management Interface DHCP Server IP Address: 10.10.51.1
AP Transport Mode [layer2][LAYER3]: layer3
AP Manager Interface IP Address: 10.10.51.3
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (10.10.5<X>.1):<ENTER>
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: mobile-1
Enable Symmetric Mobility Tunneling: No
Network Name (SSID): wireless-1
Allow Static IP Addresses [YES][no]:<ENTER>
Configure a RADIUS Server now? [YES][no]:<ENTER>
Enter the RADIUS Server's Address: 10.1.1.12
Enter the RADIUS Server's Port [1812]:<ENTER>
Enter the RADIUS Server's Secret: cisco
Enter Country Code (enter 'help' for a list of countries) [US]:<ENTER>
Enable 802.11b Network [YES][no]:<ENTER>
Enable 802.11a Network [YES][no]:<ENTER>
Enable 802.11g Network [YES][no]:<ENTER>
Enable Auto-RF [YES][no]:<ENTER>
Configure a NTP server now? [YES][no]: no
Configure the system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: mm/dd/yy
Enter the time in HH:MM:SS format: hh:mm:ss

Cisco NAC ゲスト サーバ

Cisco NAC ゲスト サーバは、ゲスト、契約社員などのクライアントに一時的なネットワーク アクセスを提供するプロビジョニングおよびレポート ソリューションです。 Cisco NAC ゲスト サーバは、Cisco Unified Wireless Network または Cisco NAC アプライアンス ソリューションとともに動作します。 このドキュメントでは、 Cisco NAC ゲスト サーバを Cisco WLC と統合する手順を説明します。これにより、ゲスト ユーザ アカウントを作成し、ゲストの一時的なネットワーク アクセスを検証します。

統合を完了するには、次の手順を実行します。

  1. WLC で認証サーバとして Cisco NAC ゲスト サーバを追加します。

    1. これを設定するには、WLC(https://10.10.51.2、admin/admin)を参照します。

    2. [Security] > [RADIUS] > [Authentication] の順に選択します。

      /image/gif/paws/107630/WLC_NGS-2.gif

    3. New を選択します。

    4. Cisco NAC ゲスト サーバの IP アドレス(10.1.1.14)を追加します。

    5. 共有秘密を追加します。

    6. 共有秘密を確認します。

      WLC_NGS-3.gif

    7. Apply を選択します。

      WLC_NGS-4.gif

  2. WLC でアカウンティング サーバとして Cisco NAC ゲスト サーバを追加します。

    1. [Security] > [RADIUS] > [Accounting] を選択します。

      /image/gif/paws/107630/WLC_NGS-5.gif

    2. New を選択します。

    3. Cisco NAC ゲスト サーバの IP アドレス(10.1.1.14)を追加します。

    4. 共有秘密を追加します。

    5. 共有秘密を確認します。

      WLC_NGS-6.gif

    6. Apply を選択します。

      WLC_NGS-7.gif

  3. NAC ゲスト サーバを使用するように WLAN(wireless-x)を変更します。

    1. WLAN(wireless-x)を編集します。

    2. [Security] タブを選択します。

    3. [Layer 2 Security] を [None] に変更し、[Web Authentication] を使用するように [Layer 3 Security] を変更します。

      /image/gif/paws/107630/WLC_NGS-8.gif

    4. [Security] タブの下で [AAA Servers] を選択します。

    5. [Server 1] ボックスの下で、[RADIUS server (10.1.1.14)] を選択します。

    6. [Server 1] ボックスの下で、[Accounting Server (10.1.1.14)] を選択します。

      /image/gif/paws/107630/WLC_NGS-9.gif

    7. [Advanced] タブを選択します。

    8. [Allow AAA Override] をイネーブルにします。 これにより、NAC ゲスト アプライアンスからクライアントごとのセッション タイムアウトを設定できます。

      /image/gif/paws/107630/WLC_NGS-10.gif

      注: AAA のオーバーライドが SSID でイネーブルの場合、NGS におけるゲスト ユーザの残りのライフタイムがゲスト ユーザのログイン時にセッション タイムアウトとして WLC にプッシュされます。

    9. [Apply] を選択して WLAN 設定を保存します。

      /image/gif/paws/107630/WLC_NGS-11.gif

  4. Cisco NAC ゲスト サーバに RADIUS クライアントとしてコントローラが追加されているかどうかを確認します。

    1. これを設定するには、NAC ゲスト サーバ(https://10.1.1.14/admin)を参照します。

      注: URL に /admin を指定すると、[Administration] ページが開きます。

      /image/gif/paws/107630/WLC_NGS-12.gif

    2. [Radius Clients] を選択します。

    3. [Add Radius] を選択します。

    4. RADIUS クライアント情報を入力します。

      • 名前を入力します。 WLC システム名。

      • IP アドレスを入力します。 WLC の IP アドレス(10.10.51.2)

      • ステップ 1 で入力した同じ共有秘密を入力します。

      • 共有秘密を確認します。

      • 説明を入力します。

      • [Add Radius Client] を選択します。

        /image/gif/paws/107630/WLC_NGS-13.gif

    5. 変更を有効にするために RADIUS サービスを再起動します。

    6. [Radius Clients] を選択します。

    7. [Restart Radius] ボックスで [Restart] を選択します。

      /image/gif/paws/107630/WLC_NGS-14.gif

  5. Cisco NAC ゲスト サーバにローカル ユーザ(Lobby Ambassador)を作成します。

    1. [Local Users] を選択します。

    2. [Add User] を選択します。

      注: すべてのフィールドに入力する必要があります。

    3. [First Name] を入力します。 lobby とします。

    4. [Last Name] を入力します。 Ambassador とします。

    5. [Username] を入力します。 lobby とします。

    6. [Password] を入力します。 パスワード。

    7. [Group] を [Default] のままにします。

    8. [Email Address] を入力します。 lobby@xyz.com とします。

    9. [Add User] を選択します。

      /image/gif/paws/107630/WLC_NGS-15.gif

  6. ローカル ユーザとしてログインし、ゲスト アカウントを作成します。

    1. NAC ゲスト サーバ(https://10.1.1.14)を参照し、ステップ 5 で作成したユーザ名とパスワードでログインして、これを設定します。

      /image/gif/paws/107630/WLC_NGS-16.gif

    2. ゲスト ユーザ アカウントの [Create] を選択します。

      注: すべてのフィールドに入力する必要があります。

    3. [First Name] を入力します。

    4. [Last Name] を入力します。

    5. [Company] を入力します。

    6. [Email Address] を入力します。

      注: 電子メール アドレスは、ユーザ名です。

    7. [Account End:Time] を 入力します。

    8. [Add User] を選択します。

      /image/gif/paws/107630/WLC_NGS-17.gif

  7. ゲスト WLAN に接続し、ゲスト ユーザとしてログインします。

    1. ワイヤレス クライアントをゲスト WLAN(wireless-x)に接続します。

    2. Web ブラウザを開くと [Web-Auth Login] ページにリダイレクトされます。

      注: または、 https://1.1.1.1/login.html と入力すると [Login] ページにリダイレクトされます。

    3. ステップ 6 で作成したゲスト ユーザ名を入力します。

    4. ステップ 6 で自動生成されたパスワードを入力します。

    5. WLC に Telnet 接続し、show client detail コマンドを使用して、セッション タイムアウトが設定されていることを確認します。

    6. セッション タイムアウトが経過すると、ゲスト クライアントが接続解除し、ping が停止します。

      WLC_NGS-18.gif

注: ワイヤレス LAN コントローラ(WLC)から NAC ゲスト サーバ(NGS)へのネットワークの認証を設定するには、Web 認証プロパティの PAP モード認証を使用する必要があります。 CHAP は NGS でサポートされていないため、Web 認証ポリシーが CHAP に設定されていると認証は失敗します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 107630