ワイヤレス : Cisco 5500 シリーズ ワイヤレス コントローラ

LAP と ACS 5.2 を使用したポートベース認証の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Access Control Server(ACS)5.2 などの RADIUS サーバに対して認証するために、802.1x サプリカントとして Lightweight アクセス ポイント(LAP)を設定する方法について説明します。

前提条件

要件

この設定を行う前に、以下の要件を満たしていることを確認してください。

  • ワイヤレス LAN コントローラ(WLC)および LAPs の基本的な知識を持って下さい。

  • AAAサーバの機能ナレッジを持って下さい。

  • 無線ネットワークおよびワイヤレスセキュリティ問題の完全なナレッジを持って下さい。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア リリース 7.0.220.0 が稼働している Cisco 5508 WLC

  • Cisco 3502 シリーズ LAP

  • バージョン 5.2 が稼働している Cisco Secure ACS

  • Cisco 3560 シリーズ スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

LAPs は製造の時にデバイスに焼き付けられる X.509 認証をプレ インストールしました-プライベートキーによって署名する。 LAPs 使用この認証 加入 プロセスで WLC と認証するため。 ここでは LAP を認証する別の方法について説明します。 WLC ソフトウェアを使うと、Cisco Aironet Access Point (AP)と Ciscoスイッチ間の 802.1X 認証を設定できます。 この場合、AP は 802.1X サプリカントとして機能し、その RADIUSサーバ(ACS)に対するスイッチによって EAP-FAST な匿名 PAC プロビジョニングの使用認証されます。 802.1x 認証が設定されると、スイッチは、ポートに接続されたデバイスが正しく認証されるまでは、802.1x トラフィック以外のトラフィックがポートを通過することを許可しません。 AP は LAP が WLC に加入した後 WLC に加入する前にまたは WLC に加入した後、設定すればスイッチの 802.1X を認証することができます。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-01.gif

この図で使用されているコンポーネントの設定の詳細は、次のとおりです。

  • ACS(RADIUS)サーバの IP アドレスは 192.168.150.24 です。

  • WLC の管理インターフェイスおよび AP マネージャ インターフェイスのアドレスは 192.168.75.44 です。

  • DHCP サーバのアドレスは 192.168.150.25 です。

  • LAP は VLAN 253 に置かれます。

  • VLAN 253: 192.168.153.x/24. ゲートウェイ: 192.168.153.10

  • VLAN 75: 192.168.75.x/24 ゲートウェイ: 192.168.75.1

前提条件

  • スイッチには、レイヤ 3 VLAN がすべて設定されています。

  • DHCP サーバには DHCP スコーが割り当てられています。

  • ネットワーク内すべてのデバイス間ではレイヤ 3 接続が確立しています。

  • LAP はでに WLC に登録されています。

  • 各 VLAN に /24 マスクがあります。

  • ACS 5.2 にインストールされる自己 署名入り認証があります。

設定手順

この設定は、次の 4 つのカテゴリに分類されます。

  1. LAP を設定して下さい。

  2. スイッチを設定して下さい。

  3. RADIUS サーバの設定

LAP を設定して下さい

前提条件:

LAP はオプション 43、DNS、または静的に設定された WLC マネージメントインターフェイス IP を使用して WLC に既に登録されています。

次の手順を実行します。

  1. > すべての AP はワイヤレス > アクセス ポイントに WLC の LAP 登録を確認するために行きます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-02.gif

  2. 2 つの方法ですべての LAPs のための 802.1X 資格情報(すなわち、username/password)を設定できます:

    • グローバルに

      既に加入された LAP の場合、資格情報をグローバルに 設定できます従って WLC に加入する各 LAP はそれらの資格情報を受継ぎます。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-03.gif

    • それぞれ

      AP ごとの 802.1X プロファイルを設定して下さい。 例では、AP ごとの資格情報を設定します。

      1. > すべての AP はワイヤレスに行き、関連する AP を選択します。

      2. 802.1X サプリカント 資格情報フィールドのユーザ名 および パスワードを追加して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-04.gif

      注: AP に、SSH、かコンソール Telnet で接続するのにログイン 資格情報が使用されています。

  3. 高可用性のセクションを設定し、『Apply』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-05.gif

    注: 保存されて、これらの資格情報は WLC および AP リブートを渡って保たれます。 資格情報は LAP が新しい WLC に加入するときだけ変更します。 LAP は、新しい WLC に設定されているユーザ名およびパスワードを受け入れます。

    AP が WLC にまだ加入しない場合資格情報を設定 するために、LAP にコンソール接続を行って下さい。 イネーブル モードのこの CLI コマンドを発行して下さい:

    LAP#lwapp ap dot1x ユーザ名 <username> パスワード <password>

    または

    LAP#capwap ap dot1x ユーザ名 <username> パスワード <password>

    注: このコマンドはリカバリイメージを実行する AP にだけ利用できます。

    LAP のためのデフォルトのユーザ名およびパスワードはそれぞれ cisco および Cisco です。

スイッチを設定して下さい

スイッチは LAP のオーセンティケータとして機能し、RADIUS サーバに対して LAP を認証します。 準拠したソフトウェアがスイッチにない場合、スイッチをアップグレードします。 スイッチ CLI では、スイッチポート上で 802.1X 認証を有効に するためにこれらのコマンドを発行して下さい:

switch#configure terminal
switch(config)#dot1x system-auth-control
switch(config)#aaa new-model

!--- Enables 802.1x on the Switch.

switch(config)#aaa authentication dot1x default group radius
switch(config)#radius server host 192.168.150.24 key cisco

!--- Configures the RADIUS server with shared secret and enables switch to send
!--- 802.1x information to the RADIUS server for authentication.

switch(config)#ip radius source-interface vlan 253

!--- We are sourcing RADIUS packets from VLAN 253 with NAS IP: 192.168.153.10.

switch(config)interface gigabitEthernet 0/11
switch(config-if)switchport mode access
switch(config-if)switchport access vlan 253
switch(config-if)mls qos trust dscp
switch(config-if)spanning-tree portfast

!--- gig0/11 is the port number on which the AP is connected.

switch(config-if)dot1x pae authenticator

!--- Configures dot1x authentication.

switch(config-if)dot1x port-control auto

!--- With this command, the switch initiates the 802.1x authentication.

注: 同じスイッチの他の AP があり、それらに 802.1X を使用してほしくなければポートを 802.1X のために未設定に去るか、またはこのコマンドを発行できます:

switch(config-if)authentication port-control force-authorized

RADIUSサーバを設定して下さい

LAP は EAP-FAST で認証されます。 Cisco ACS 5.2 を使用していない場合 RADIUSサーバがサポートをこの EAP 方式使用することを確かめて下さい。

RADIUSサーバ設定は 4 つのステップに分けられます:

  1. ネットワーク リソースの設定

  2. ユーザの設定

  3. ポリシー要素の定義

  4. アクセス ポリシーの適用

ACS 5.x はポリシ ベースの ACS です。 すなわち、ACS 5.x は 4.x バージョンで使用されるグループ ベース モデルの代りに規則に基づいているポリシー モデルを使用します。

ACS 5.x のルールベース ポリシー モデルを使用すると、以前のグループベースの手法よりも強力で柔軟なアクセス コントロールを実現できます。

以前のグループベース モデルでは、グループを使用してポリシーを定義していました。これは、グループに次の 3 つのタイプの情報が結合されていたためです。

  • 識別情報:この情報は、AD グループまたは LDAP グループでのメンバーシップ、または ACS 内部ユーザの静的割り当てに基づいています。

  • その他の制限または条件:時間制限、デバイス制限など。

  • 権限- VLAN か Cisco IOSか。 特権レベル。

ACS 5.x ポリシー モデルは、次の形式のルールに基づいています。

If condition then result

たとえば、グループベース モデルに関して記述されている次の情報を使用します。

If identity-condition, restriction-condition then authorization-profile

その結果、これは特定の状態が満たされるときどんな許可 レベルが許可されるか私達にユーザがネットワークにアクセスすることができるまた条件を制限する柔軟性を与え。

ネットワーク リソースの設定

このセクションでは、RADIUSサーバのスイッチのための AAA クライアントを設定します。

このプロシージャはスイッチが RADIUSサーバに LAP のユーザーの資格情報を渡すことができるように RADIUSサーバの AAA クライアントとしてスイッチを追加する方法を説明します。

次の手順を実行します。

  1. ACS GUI から、ネットワークリソースをクリックして下さい。

  2. ネットワーク デバイス グループをクリックして下さい。

  3. Location に > 作成します行って下さい(下部ので)。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-06.gif

  4. 必要フィールドを追加し、『SUBMIT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-07.gif

  5. ウィンドウ更新:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-08.gif

  6. [Device Type] > [Create] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-09.gif

  7. [Submit] をクリックします。 完了されて、ウィンドウはリフレッシュします:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-10.gif

  8. [Network Resources] > [Network Devices and AAA Clients] に移動します。

  9. 『Create』 をクリック し、ここに描写されるように詳細を記入して下さい:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-11.gif

  10. [Submit] をクリックします。 ウィンドウ更新:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-28.gif

ユーザの設定

このセクションでは前もって設定された ACS のユーザを作成する方法を、表示されます。 「LAP ユーザ」と呼ばれたグループにユーザを割り当てます。

次の手順を実行します。

  1. [Users and Identity Stores] > [Identity Groups] > [Create] に移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-12.gif

  2. [Submit] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-13.gif

  3. 3502e を作成し、「LAP ユーザ」をグループ化するために割り当てて下さい。

  4. ユーザに行けば識別は > 識別グループ > Users > 作成します保存します

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-14.gif

  5. 更新された情報が表示されます:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-15.gif

ポリシー要素の定義

割り当てアクセスが設定 されることを確認して下さい。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-16.gif

アクセス ポリシーの適用

このセクションでは、認証するために LAPs に使用した認証方式として EAP-FAST 選択します。 それから前の手順に基づいてルールを作成します。

次の手順を実行します。

  1. [Access Policies] > [Access Services] > [Default Network Access] > [Edit: ""Default Network Access"] に移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-17.gif

  2. EAP-FAST な、匿名インバンド PAC プロビジョニングを有効に するために確かめて下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-18.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-19.gif

  3. [Submit] をクリックします。

  4. 選択した識別グループを確認して下さい。 (ACS で作成された)この例では、使用 内部ユーザ変更を保存し。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-20.gif

  5. 保守します > デフォルトネットワーク アクセス > 許可はアクセスポリシー > アクセスに許可 プロファイルを確認するために行きます。

    どんな条件をカスタマイズ ネットワークにの下でユーザアクセスに与え、どんな許可 プロファイル(属性)を一度認証されて渡すかできます。 このような詳細設定は、ACS5.x からのみ対応しています。 この例では、Locationデバイスの種類プロトコル識別グループおよび EAP 認証認証方法は選択されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-21.gif

  6. [OK] をクリックして変更を保存します。

  7. 次に、ルールを作成します。 ルールが定義されない場合、LAP は状態なしでアクセスを許可されます。

  8. [Create] > [Rule-1] をクリックします。 このルールはグループ「LAP ユーザ」のユーザのためです。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-22.gif

  9. [Save Changes] をクリックします。 否定されるべき条件と一致していなかったらユーザがほしいと思う場合「拒否アクセス」を言うデフォルトのルールを編集して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-23.gif

  10. 最後のステップはサービス セレクション ルールを定義することです。 簡単なか規則に基づいているポリシーを着呼要求かに適用するべきどのサービスを判別するために設定するのにこのページを使用して下さい。 次に、例を示します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-24.gif

確認

802.1x がスイッチ ポートで有効になると、802.1x トラフィック以外のすべてのトラフィックがポートでブロックされます。 WLC に登録されている LAP は、アソシエーションが解除されます。 他のトラフィックは、802.1x 認証に成功した場合に限り、通過が許可されます。 802.1x がスイッチ上で有効になった後、WLC に対して LAP の登録が成功したということは、LAP 認証が成功したことを示します。

AP コンソール:

*Jan 29 09:10:24.048: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to
   192.168.75.44:5246
*Jan 29 09:10:27.049: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to
   192.168.75.44:5247

!--- AP disconnects upon adding dot1x information in the gig0/11.

*Jan 29 09:10:30.104: %WIDS-5-DISABLED: IDS Signature is removed and disabled.
*Jan 29 09:10:30.107: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Jan 29 09:10:30.107: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Jan 29 09:10:30.176: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to
   administratively down
*Jan 29 09:10:30.176: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to
   administratively down
*Jan 29 09:10:30.186: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to
   reset
*Jan 29 09:10:30.201: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to up
*Jan 29 09:10:30.211: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:10:30.220: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to
   reset
Translating "CISCO-CAPWAP-CONTROLLER"...domain server (192.168.150.25)
*Jan 29 09:10:36.203: status of voice_diag_test from WLC is false

*Jan 29 09:11:05.927: %DOT1X_SHIM-6-AUTH_OK: Interface GigabitEthernet0 
   authenticated [EAP-FAST]
*Jan 29 09:11:08.947: %DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet0 
   assigned DHCP address 192.168.153.106, mask 255.255.255.0, hostname 3502e


!--- Authentication is successful and the AP gets an IP.

Translating "CISCO-CAPWAP-CONTROLLER.Wlab"...domain server (192.168.150.25)
*Jan 29 09:11:37.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent 
   peer_ip: 192.168.75.44 peer_port: 5246
*Jan 29 09:11:37.000: %CAPWAP-5-CHANGED: CAPWAP changed state to
*Jan 29 09:11:37.575: %CAPWAP-5-DTLSREQSUCC: DTLS connection created 
   successfully peer_ip: 192.168.75.44 peer_port: 5246
*Jan 29 09:11:37.578: %CAPWAP-5-SENDJOIN: sending Join Request to 192.168.75.44

*Jan 29 09:11:37.578: %CAPWAP-5-CHANGED: CAPWAP changed state to JOIN

*Jan 29 09:11:37.748: %CAPWAP-5-CHANGED: CAPWAP chan
wmmAC status is FALSEged state to CFG
*Jan 29 09:11:38.890: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to 
   down
*Jan 29 09:11:38.900: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to 
   reset
*Jan 29 09:11:38.900: %CAPWAP-5-CHANGED: CAPWAP changed state to UP
*Jan 29 09:11:38.956: %CAPWAP-5-JOINEDCONTROLLER: AP has joined controller 
   5508-3
*Jan 29 09:11:39.013: %CAPWAP-5-DATA_DTLS_START: Starting Data DTLS handshake. 
   Wireless client traffic will be blocked until DTLS tunnel is established.
*Jan 29 09:11:39.013: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:11:39.016: %LWAPP-3-CLIENTEVENTLOG: SSID goa added to the slot[0]
*Jan 29 09:11:39.028: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to 
   down
*Jan 29 09:11:39.038: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to 
   reset
*Jan 29 09:11:39.054: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to up
*Jan 29 09:11:39.060: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to 
   down
*Jan 29 09:11:39.069: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to 
   reset
*Jan 29 09:11:39.085: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:11:39.135: %LWAPP-3-CLIENTEVENTLOG: SSID goa added to the slot[1]DTLS
   keys are plumbed successfully.
*Jan 29 09:11:39.151: %CAPWAP-5-DATA_DTLS_ESTABLISHED: Data DTLS tunnel 
   established.
*Jan 29 09:11:39.161: %WIDS-5-ENABLED: IDS Signature is loaded and enabled

!--- AP joins the 5508-3 WLC.

ACS ログ:

  1. ヒット カウントを表示して下さい:

    認証の 15 分以内のログをチェックする場合、ヒット カウントをリフレッシュすることを確かめて下さい。 下部のの同じページで、ヒット カウント タブがあります。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-25.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-26.gif

  2. 『Monitoring』 をクリック すればレポートおよび新しいポップアップ ウィンドウは現われます。 クリックして下さい認証– RADIUS –今日。 このほか、どのサービス選択ルールが適用されたかについては、[Details] をクリックすると確認できます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-27.gif

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113559