ワイヤレス : Cisco 5500 シリーズ ワイヤレス コントローラ

RADIUS サーバ ACS 5.2 と WLC によるダイナミック VLAN 割り当ての設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 9 月 3 日) | 英語版 (2015 年 12 月 20 日) | フィードバック


目次


概要

このドキュメントでは、ダイナミック VLAN 割り当ての概念について説明します。 また、ワイヤレス LAN(WLAN)クライアントを特定の VLAN にダイナミックに割り当てるようにワイヤレス LAN コントローラ(WLC)および RADIUS サーバ(バージョン 5.2 を実行するアクセス コントロール サーバ(ACS))を設定する方法について説明します。

前提条件

要件

この設定を行う前に、以下の要件を満たしていることを確認してください。

  • WLC および Lightweight アクセス ポイント(LAP)に関する基本的な知識があること

  • AAA サーバに関する実務的な知識があること

  • ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識があること

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア リリース 7.0.220.0 が稼働している Cisco 5508 WLC

  • Cisco 3502 シリーズ LAP

  • Intel 6300-N ドライバ バージョン 14.3 対応の Microsoft Windows 7 ネイティブ サプリカント

  • バージョン 5.2 が稼働している Cisco Secure ACS

  • Cisco 3560 シリーズ スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

RADIUS サーバによるダイナミック VLAN 割り当て

一般的な WLAN システムでは、Service Set Identifier(SSID)(コントローラの用語では WLAN)に関連付けられたすべてのクライアントに適用されるスタティックなポリシーが各 WLAN に存在します。 この方式は強力ですが、異なる QoS ポリシーやセキュリティ ポリシーを継承するために各クライアントを異なる SSID に関連付ける必要があるので、さまざまな制約があります。

一方、Cisco WLAN ソリューションでは、アイデンティティ ネットワーキングがサポートされています。 この場合、ネットワーク上で 1 つの SSID のみをアドバタイズすることにより、特定のユーザはユーザ クレデンシャルに基づいて異なる QoS、VLAN 属性、セキュリティ ポリシーを継承できるようになります。

ダイナミック VLAN 割り当ては、ユーザが入力したクレデンシャルに基づいてワイヤレス ユーザを特定の VLAN に割り当てる機能です。 ユーザを特定の VLAN に割り当てるタスクは、Cisco Secure ACS などの RADIUS 認証サーバによって処理されます。 たとえば、この機能を利用すると、キャンパス ネットワーク内を移動するワイヤレス ホストを同じ VLAN に割り当てることができます。

したがって、クライアントがコントローラに登録済みの LAP への関連付けを試みると、LAP から RADIUS サーバにユーザのクレデンシャルが渡されて検証されます。 認証に成功すると、RADIUS サーバからユーザに特定の Internet Engineering Task Force(IETF)属性が渡されます。 これらの RADIUS 属性により、ワイヤレス クライアントに割り当てられる VLAN ID が決定されます。 ユーザはこの事前設定済みの VLAN ID に常に割り当てられるので、クライアントの SSID(WLC の用語では WLAN)は無視されます。

VLAN ID の割り当てに使用される RADIUS ユーザ属性は次のとおりです。

  • IETF 64(Tunnel Type):これを VLAN に設定します。

  • IETF 65(Tunnel Medium Type):これを 802 に設定します。

  • IETF 81(Tunnel Private Group ID):これを VLAN ID に設定します。

VLAN ID は 12 ビットで、1 ~ 4094 の値(両端を含む)を取ります。 RFC2868 で定義されているように、IEEE 802.1X で使用される Tunnel-Private-Group-ID は文字列型であるため、VLAN ID の整数値は文字列としてエンコードされます。leavingcisco.com これらのトンネル属性が送信される際には、Tag フィールドの値を設定する必要があります。

RFC2868 のセクション 3.1 で述べられているように、leavingcisco.com Tag フィールドは 1 オクテットの長さを持ち、同じトンネルを参照する同じパケット内の属性をグループ化する手段を提供することを目的としています。 このフィールドで有効な値は、0x01 ~ 0x1F(両端を含む)です。 Tag フィールドを使用しない場合は、このフィールドをゼロ(0x00)に設定する必要があります。 すべての RADIUS 属性の詳細は、RFC 2868 を参照してください。leavingcisco.com

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-01.gif

この図で使用されているコンポーネントの設定の詳細は、次のとおりです。

  • ACS(RADIUS)サーバの IP アドレスは 192.168.150.24 です。

  • WLC の管理インターフェイスおよび AP マネージャ インターフェイスのアドレスは 192.168.75.44 です。

  • DHCP サーバのアドレスは 192.168.150.25 です。

  • この設定を通じて使用する VLAN は、VLAN 253 および VLAN 257 です。 Student-1 および Teacher-2 の両ユーザが同一の SSID「goa」に接続した場合、RADIUS サーバは Student-1 を VLAN 253 に、Teacher-1 を VLAN 257 に置き換えて設定します。

    • VLAN 253: 192.168.153.x/24 ゲートウェイ: 192.168.153.1

    • VLAN 257: 192.168.157.x/24 ゲートウェイ: 192.168.157.1

    • VLAN 75: 192.168.75.x/24 ゲートウェイ: 192.168.75.1

  • このドキュメントでは、セキュリティ メカニズムとして 802.1x と PEAP を使用します。

    WLAN をセキュアにするため、EAP-FAST や EAP-TLS などの高度な認証方式を使用することを推奨します。

前提条件

  • スイッチには、レイヤ 3 VLAN がすべて設定されています。

  • DHCP サーバには DHCP スコーが割り当てられています。

  • ネットワーク内すべてのデバイス間ではレイヤ 3 接続が確立しています。

  • LAP はでに WLC に登録されています。

  • 各 VLAN は /24 マスクを使用しています。

  • ACS 5.2 には自己署名証明書がインストールされています。

設定手順

この設定は、大きく次の 3 つに分類されます。

  1. RADIUS サーバを設定します。

  2. WLC を設定します。

  3. ワイヤレス クライアント ユーティリティを設定します。

RADIUS サーバの設定

RADIUS サーバの設定は 4 つの手順に分かれます。

  1. ネットワーク リソースを設定します。

  2. ユーザを設定します。

  3. ポリシー要素を定義します。

  4. アクセス ポリシーを適用します。

ACS 5.x は、ポリシーベースのアクセス コントロール システムです。 つまり、ACS 5.x では、4.x バージョンで使用されていたグループベースのモデルの代わりに、ルールベース ポリシー モデルが使用されています。

ACS 5.x のルールベース ポリシー モデルを使用すると、以前のグループベースの手法よりも強力で柔軟なアクセス コントロールを実現できます。

以前のグループベース モデルでは、グループを使用してポリシーを定義していました。これは、グループに次の 3 つのタイプの情報が結合されていたためです。

  • 識別情報:この情報は、AD グループまたは LDAP グループでのメンバーシップ、または ACS 内部ユーザの静的割り当てに基づいています。

  • その他の制限または条件:時間制限、デバイス制限など。

  • 権限- VLAN か Cisco IOSか。 特権レベル。

ACS 5.x ポリシー モデルは、次の形式のルールに基づいています。

  • If condition then result

たとえば、グループベース モデルに関して記述されている次の情報を使用します。

  • If identity-condition, restriction-condition then authorization-profile

これにより、ユーザがネットワークにアクセスするための条件だけでなく、特定の条件を満たす場合に必要な承認レベルに基づいて、柔軟に制限できるようになります。

ネットワーク リソースの設定

この手順では、WLC から RADIUS サーバにユーザ クレデンシャルを渡せるように、RADIUS サーバで AAA クライアントとして WLC を追加する方法について説明します。

次の手順を実行します。

  1. ACS GUI から [Network Resources] > [Network Device Groups] > [Location] に移動し、[Create] (最下部)をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-02.gif

  2. 必要なフィールドを追加して [Submit] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-03.gif

    次の確認画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-04.gif

  3. [Device Type] > [Create] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-05.gif

  4. [Submit] をクリックします。 次の確認画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-06.gif

  5. [Network Resources] > [Network Devices and AAA Clients] に移動します。

  6. [Create] をクリックして、次のように詳細を入力します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-07.gif

  7. [Submit] をクリックします。 次の確認画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-08.gif

ユーザの設定

このセクションでは、ACS(Student-1 および Teacher-1)上にローカル ユーザを作成します。 Student-1 は「Students」グループに、Teacher-1 は「Teachers」グループに割り当てられています。

  1. [Users and Identity Stores] > [Identity Groups] > [Create] に移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-09.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-10.gif

  2. [Submit] をクリックすると、次のようなページが表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-11.gif

  3. ユーザの Student-1 と Teacher-1 を作成し、それぞれのグループに割り当てます。

  4. [Users and Identity Stores] > [Identity Groups] > [Users] > [Create] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-12.gif

  5. 同様に、Teacher-1 を作成します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-13.gif

    次のような画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-14.gif

ポリシー要素の定義

次の手順を実行して、ユーザの IETF 属性を定義します。

  1. [Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profiles] > [Create] に移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-15.gif

  2. [Common Tasks] タブを開きます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-16.gif

  3. 次の IETF 属性を追加します。

    • Tunnel-Type = 64 = VLAN

    • Tunnel-Medium-Type = 802

    • Tunnel-Private-Group-ID = 253(Student-1)および 257(Teacher-1)

    Students グループの場合は、次のようになります。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-17.gif

    Teachers グループの場合は、次のようになります。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-18.gif

  4. 両方の属性を追加すると、次のような画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-19.gif

アクセス ポリシーの適用

次の手順を実行し、(前の手順に従って)使用する認証方法とルールの設定方法を選択します。

  1. [Access Policies] > [Access Services] > [Default Network Access] > [Edit: ""Default Network Access"] に移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-20.gif

  2. ワイヤレス クライアントの認証で使用する EAP 方式を選択します。 この例では、PEAP- MSCHAP-V2 を使用します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-21.gif

  3. [Submit] をクリックします。

  4. 選択した Identity グループを確認します。 この例では、ACS 上に作成した [Internal Users] を使用し、 変更を保存します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-22.gif

  5. 許可プロファイルを確認するには、[Access Policies] > [Access Services] > [Default Network Access] > [Authorization] に移動します。

    ユーザのネットワークに対するアクセス条件や、認証後に許可する許可プロファイル(属性)をカスタマイズできます。 このような詳細設定は、ACS5.x からのみ対応しています。 この例では、[Location]、[Device Type]、[Protocol]、[Identity Group]、[]EAP Authentication Method] を選択します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-23.gif

  6. [OK] をクリックして変更を保存します。

  7. 次に、ルールを作成します。 ルールが定義されていない場合、クライアントは条件なしでアクセスが許可されます。

    [Create] > [Rule-1] をクリックします。 このルールは Student-1 のものです。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-24.gif

  8. 同様に Teacher-1 のルールを作成します。 [Save Changes] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-25.gif

    次のような画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-26.gif

  9. 次に、サービス選択ルールを定義します。 このページは、着信要求に適用するサービスを決定する単純なポリシーまたはルールベースのポリシーを設定する場合に使用します。 この例では、ルールベースのポリシーを使用しています。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-27.gif

WLC の設定

設定には次の手順が必要です。

  1. 認証サーバの詳細を使用して WLC を設定します。

  2. ダイナミック インターフェイス(VLAN)を設定します。

  3. WLAN(SSID)を設定します。

認証サーバの詳細を使用した WLC の設定

WLC と RADIUS サーバの間でクライアントの認証やその他のトランザクションを行えるように、WLC を設定する必要があります。

次の手順を実行します。

  1. コントローラの GUI で、[Security] をクリックします。

  2. RADIUS サーバの IP アドレスと、RADIUS サーバと WLC の間で使用する共有秘密キーを入力します。

    この共有秘密キーは、RADIUS サーバに設定されたキーと一致している必要があります。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-28.gif

ダイナミック インターフェイス(VLAN)の設定

この手順では、WLC でダイナミック インターフェイスを設定する方法について説明します。 このドキュメントですでに説明したように、RADIUS サーバの Tunnel-Private-Group ID 属性で指定された VLAN ID が WLC 内にも存在している必要があります。

この例では、Student-1 の Tunnel-Private-Group ID は RADIUS サーバ上で 253(VLAN=253)に設定されています。 同様に、Teacher-1 の Tunnel-Private-Group ID は RADIUS サーバ上で 257(VLAN=257)に設定されています。 [User Setup] ウィンドウの [IETF RADIUS Attributes] セクションを参照してください。

次の手順を実行します。

  1. ダイナミック インターフェイスは [Controller] > [Interfaces] ウィンドウのコントローラ GUI で設定します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-29.gif

  2. [Apply] をクリックします。

    このダイナミック インターフェイス(この例では VLAN 253)の [Edit] ウィンドウが開きます。

  3. このダイナミック インターフェイスの IP アドレスとデフォルト ゲートウェイを入力します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-30.gif

  4. [Apply] をクリックします。

  5. 同様に、Teacher-1 の VLAN 257 のダイナミック インターフェイスを作成します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-31.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-32.gif

  6. 設定されたインターフェイスは、次のようになります。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-33.gif

WLAN(SSID)の設定

これらの手順を実行し、WLC 内の WLAN を設定します。

  1. 新規の WLAN を作成するには、コントローラの GUI で [WLANs] > [Create New] の順に選択します。 新規の WLAN のウィンドウが表示されます。

  2. WLAN ID と WLAN SSID 情報を入力します。

    WLAN SSID には任意の名前を入力できます。 この例では、WLAN SSID として goa を使用しています。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-34.gif

  3. [Apply] をクリックして、WLAN goa の [Edit] ウィンドウに移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-35.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-36.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-37.gif

  4. 設定されている WLAN(SSID)ごとにコントローラで [Allow AAA Override] オプションを有効にします。 WLAN の [Allow AAA Override] オプションを使用すると、WLAN で ID ネットワーキングを設定できます。 これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、QoS、および ACL を適用できます。 この例では、クライアントに VLAN を割り当てるために使用しています。

    ほとんどの AAA Override の設定は RADIUS サーバで行います。 このパラメータを有効にすることにより、コントローラで RADIUS サーバから返される属性を受け入れるようになります。 次に、コントローラはそれらの属性をクライアントに適用します。

    インターフェイス グループが WLAN にマッピングされ、クライアントがその WLAN に接続した場合、クライアントはラウンド ロビン方式で IP アドレスを取得しません。 インターフェイス グループによる AAA Override はサポートされません。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-38.gif

ワイヤレス クライアント ユーティリティの設定

テスト クライアントでは、Intel 6300-N ドライバ バージョン 14.3 対応の Microsoft Windows 7 ネイティブ サプリカントを使用します。 テストでは、ベンダーから最新のドライバを取得して使用することを推奨します。

次の手順を実行して、Windows Zero Config(WZC)のプロファイルを作成します。

  1. [Control Panel] > [Network and Internet] > [Manage Wireless Networks] に移動します。

  2. [Add] タブをクリックします。

  3. [Manually create a network profile] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-39.gif

  4. WLC で設定したとおりに詳細を追加します。

    SSID では大文字と小文字は区別されます。

  5. [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-40.gif

  6. [Change connection settings] をクリックして設定を再度確認します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-41.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-42.gif

  7. この例では、サーバ証明書は検証しません。 このチェックボックスをオンにしても接続できない場合は、機能を無効にしてから再度テストしてみてください。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-43.gif

  8. ほかにも、Windows クレデンシャルでログインできます。 ただし、この例ではその方法を用いません。 [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-44.gif

  9. [Advanced settings] をクリックしてユーザ名とパスワードを設定します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-45.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-46.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-47.gif

  10. Student-1 のテストが完了したら、Teacher-1 をテストします。 [OK] をクリックします。

これで、クライアント ユーティリティで接続する準備が整いました。

確認

このセクションでは、設定が正常に機能していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

Student-1 の確認

WLC GUI から [Monitor] > [Clients] に移動して MAC アドレスを選択します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-48.gif

WLC RADIUS 統計情報:

(Cisco Controller) >show radius auth statistics
Authentication Servers:
Server Index..................................... 1
Server Address................................... 192.168.150.24
Msg Round Trip Time.............................. 1 (msec)
First Requests................................... 8
Retry Requests................................... 0
Accept Responses................................. 1
Reject Responses................................. 0
Challenge Responses.............................. 7
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

ACS ログ:

  1. 次の手順を実行してヒット カウントを表示します。

    1. 認証から 15 分以内にログを確認するときは、必ずヒット カウントを更新してください。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-49.gif

    2. 同じページの最下部に [Hit Count] のタブがあります。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-50.gif

  2. [Monitoring and Reports] をクリックすると、新たにポップアップ ウィンドウが表示されます。 [Authentications] – [Radius] – [Today] に移動します。 このほか、どのサービス選択ルールが適用されたかについては、[Details] をクリックすると確認できます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-51.gif

Teacher-1 の確認

WLC GUI から [Monitor] > [Clients] に移動して MAC アドレスを選択します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-52.gif

ACS ログ:

  1. 次の手順を実行してヒット カウントを表示します。

    1. 認証から 15 分以内にログを確認するときは、必ずヒット カウントを更新してください。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-53.gif

    2. 同じページの最下部に [Hit Count] のタブがあります。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-54.gif

  2. [Monitoring and Reports] をクリックすると、新たにポップアップ ウィンドウが表示されます。 [Authentications] – [Radius] – [Today] に移動します。 このほか、どのサービス選択ルールが適用されたかについては、[Details] をクリックすると確認できます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113591-aaa-override-acs52-55.gif

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  1. 問題が発生した場合は、WLC で次のコマンドを発行します。

    • debug client <mac add of the client>

    • debug aaa all enable

    • show client detail <mac addr> :ポリシー マネージャの状態を確認します。

    • show radius auth statistics:失敗の原因を確認します。

    • debug disable-all:デバッグをオフにします。

    • clear stats radius auth all:WLC 上の RADIUS 統計情報を削除します。

  2. ACS のログを確認して失敗の原因を探します。


関連情報


Document ID: 113591