ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

NGWC および ACS 5.2 設定例のダイナミック VLAN 割り当て

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このドキュメントでは、ダイナミック VLAN 割り当ての概念について説明します。 それはまたワイヤレス LAN コントローラ(WLC)および仕様 VLAN に Wireless LAN (WLAN) クライアントを動的に割り当てるために RADIUSサーバを設定する方法を記述します。 この資料では、RADIUSサーバは Access Control Server (ACS)その実行 Cisco Secure Access Control System バージョン 5.2 です。

著者:Cisco TAC エンジニア、Surendra BG

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • WLC および Lightweight アクセスポイント (LAP)の基本的な知識
  • 認証、許可、アカウンティング(AAA) サーバの機能ナレッジ
  • ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS ® XE ソフトウェア リリース 3.2.2 (次世代 ワイヤリング クローゼット、または NGWC)の Cisco 5760 ワイヤレス LAN コントローラ
  • Cisco Aironet 3602 シリーズ Lightweight アクセスポイント
  • Intel Proset サプリカントの Microsoft Windows XP
  • Cisco Secure Access Control System バージョン 5.2
  • Cisco Catalyst 3560 シリーズ スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

RADIUS サーバによるダイナミック VLAN 割り当て

一般的な WLAN システムでは、Service Set Identifier(SSID)(コントローラの用語では WLAN)に関連付けられたすべてのクライアントに適用されるスタティックなポリシーが各 WLAN に存在します。 この方式は強力ですが、異なる QoS ポリシーやセキュリティ ポリシーを継承するために各クライアントを異なる SSID に関連付ける必要があるので、さまざまな制約があります。

一方、Cisco WLAN ソリューションでは、アイデンティティ ネットワーキングがサポートされています。 この場合、ネットワーク上で 1 つの SSID のみをアドバタイズすることにより、特定のユーザはユーザ クレデンシャルに基づいて異なる QoS、VLAN 属性、セキュリティ ポリシーを継承できるようになります。

ダイナミック VLAN 割り当ては、ユーザが入力したクレデンシャルに基づいてワイヤレス ユーザを特定の VLAN に割り当てる機能です。 仕様 VLAN へのユーザー割り当てのこのタスクは Cisco Secure ACS のような RADIUS認証サーバによって、処理されます。 この機能はワイヤレス ホストがキャンパスネットワークの内で移動するのと同じ VLAN に残るように、たとえば使用する、ことができます。

したがって、クライアントがコントローラに登録済みの LAP への関連付けを試みると、LAP から RADIUS サーバにユーザのクレデンシャルが渡されて検証されます。 認証に成功すると、RADIUS サーバからユーザに特定の Internet Engineering Task Force(IETF)属性が渡されます。 これらの RADIUS 属性により、ワイヤレス クライアントに割り当てられる VLAN ID が決定されます。 クライアント(WLC の点では WLAN、)の SSID はユーザがこの前もって決定された VLAN ID に常に割り当てられるので重要ではありません。

VLAN ID の割り当てに使用される RADIUS ユーザ属性は次のとおりです。

  • IETF 64 (トンネルタイプ) - VLAN へのセット。
  • IETF 65 (トンネル メディア タイプ) - 802 へのセット。
  • IETF 81 (トンネル Private グループ ID) - VLAN ID へのセット。

VLAN ID は 12 ビットで、1 と 4094 の間で値を、含んだ奪取 します。 トンネル Private グループ ID が、RFC 2868 で定義されたようにタイプ ストリング IEEE 802.1X と併用するためのトンネルプロトコル サポートのための RADIUS特性であるので、ストリングとして VLAN ID 整数値情報は符号化されます。 これらのトンネル属性が送信される際には、Tag フィールドの値を設定する必要があります。

RFC2868 セクション 3.1 では次のように規定されています。

「タグ フィールド 1 つオクテットの長さで、同じトンネルを」。は示す同じパケットのグループ化属性の方法を提供するように意図されています

タグ フィールドの有効値は含んだ 0x01 によって 0x1F です。 Tag フィールドを使用しない場合は、このフィールドをゼロ(0x00)に設定する必要があります。 すべての RADIUS 属性の詳細については、RFC 2868 を参照してください。

設定

ダイナミック VLAN 割り当ての設定は 2 つの明確なステップで構成されています:

  1. Command Line Interface (CLI)または GUI で WLC を設定して下さい。
  2. RADIUS サーバの設定

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

116494-config-dynamic-vlan-01.png

この資料はセキュリティ機構として Protected Extensible Authentication Protocol (PEAP)と 802.1X を使用します。

前提条件

  • スイッチはすべてのレイヤ3 (L3)のために VLAN 設定されます。
  • DHCP サーバには DHCP スコーが割り当てられています。
  • ネットワークのすべてのデバイスの間で存在 する L3 接続。
  • LAP はでに WLC に登録されています。
  • 各 VLAN に /24 マスクがあります。
  • ACS 5.2 にインストールされる自己署名証明書があります。

CLI で WLC を設定して下さい

WLAN を設定して下さい

これは方法の例 DVA の SSID で WLAN を設定するです:

wlan DVA 3 DVA
 aaa-override
 client vlan VLAN0020
 security dot1x authentication-list ACS
 session-timeout 1800
 no shutdown

WLC の RADIUSサーバを設定して下さい

これは WLC の RADIUSサーバの設定の例です:

aaa new-model
!
!
aaa group server radius ACS
 server name ACS
!
aaa authentication dot1x ACS group ACS

radius server ACS
 address ipv4 10.106.102.50 auth-port 1645 acct-port 1646
 key Cisco123

dot1x system-auth-control

クライアント VLAN のための DHCPプールを設定して下さい

これはクライアント VLAN 30 および VLAN 40 のための DHCPプールの設定の例です:

interface Vlan30
 ip address 30.30.30.1 255.255.255.0
!
interface Vlan40
 ip address 40.40.40.1 255.255.255.0

ip dhcp pool vla30
 network 30.30.30.0 255.255.255.0
 default-router 30.30.30.1
!
ip dhcp pool vlan40
 network 40.40.40.0 255.255.255.0
 default-router 40.40.40.1

ip dhcp snooping vlan 30,40
ip dhcp snooping

GUI で WLC を設定して下さい

WLAN を設定して下さい

このプロシージャは WLAN を設定する方法を記述します。

  1. 設定 > ワイヤレス > WLAN > New タブへのナビゲート。

    116494-config-dynamic-vlan-02.png

  2. WLAN が WPA2-802.1X のためにわかり、インターフェイス/Interfrace グループを設定されることがマッピング するために General タブをクリックして下さい(G) VLAN 20 (VLAN0020)に。

    116494-config-dynamic-vlan-03.png

  3. Advanced タブをクリックし、割り当て AAA 上書きする チェックボックスをチェックして下さい。 上書きするはこの機能がはたらくことができるように有効に する必要があります。

    116494-config-dynamic-vlan-04.png

  4. Security タブをクリックすれば Layer2 タブは、WPA2 暗号化 AES チェックボックスを、および Auth キー Mgmt ドロップダウン リストからの選定された 802.1X チェックします。

    116494-config-dynamic-vlan-05.png

WLC の RADIUSサーバを設定して下さい

このプロシージャは WLC の RADIUSサーバを設定する方法を記述します。

  1. 設定 > Security タブへのナビゲート。

    116494-config-dynamic-vlan-06.png

  2. ナビゲートへの AAA > サーバグループ > Radius RADIUSサーバ グループを作成するため。 この例では、RADIUSサーバ グループは ACS と呼ばれます。

    116494-config-dynamic-vlan-07.png

  3. サーバのIPアドレスおよび共有秘密を追加するために RADIUSサーバ エントリを編集して下さい。 この共有秘密は WLC および RADIUSサーバの共有秘密を一致する必要があります。

    116494-config-dynamic-vlan-08.png

    これは完全な設定の例です:

    116494-config-dynamic-vlan-09.png

RADIUSサーバを設定して下さい

このプロシージャは RADIUSサーバを設定する方法を記述します。

  1. RADIUSサーバで、ユーザへのナビゲートおよび識別は > 内部識別ストア > Users 保存します

  2. 適切なユーザネームおよび識別グループを作成して下さい。 この例では、それは学生およびすべてのグループです: 学生および教師および AllGroups: 教師。

    116494-config-dynamic-vlan-10.png

  3. ポリシー要素 > 許可へのナビゲートおよび権限 > ネットワーク アクセス > 許可プロファイルは、および AAA 上書きするのための許可プロファイルを作成します。

    116494-config-dynamic-vlan-11.png

  4. 学生のための許可 プロファイルを編集して下さい。

    116494-config-dynamic-vlan-12.png

  5. 30 という値のスタティックとして VLAN ID/Name を設定 して下さい(VLAN 30)。

    116494-config-dynamic-vlan-13.png

  6. 教師のための許可 プロファイルを編集して下さい。

    116494-config-dynamic-vlan-14.png

  7. 40 という値のスタティックとして VLAN ID/Name を設定 して下さい(40) VLAN。

    116494-config-dynamic-vlan-15.png

  8. 保守し > デフォルトネットワーク アクセスはアクセスポリシー > アクセスに、クリックします許可された Protocols タブをナビゲート します。 割り当て PEAP チェックボックスをチェックして下さい。

    116494-config-dynamic-vlan-16.png

  9. 識別にナビゲート し、PEAP ユーザを許可するためにルールを定義して下さい。

    116494-config-dynamic-vlan-17.png

  10. 許可にナビゲート し、承認ポリシーに学生および教師をマッピング して下さい; この例では、マッピングは VLAN 40 の VLAN 30 および教師のための学生であるはずです。

    116494-config-dynamic-vlan-18.png

確認

ここでは、設定が正常に動作していることを確認します。 これらは確認プロセスです:

  • どのクライアントが認証されるか表示する ACS のページを監視して下さい。

    116494-config-dynamic-vlan-19.png

  • DVA WLAN に学生組織と接続し、クライアント WiFi 接続ユーティリティを検討して下さい。

    116494-config-dynamic-vlan-20.png

  • DVA WLAN に教師グループと接続し、クライアント WiFi 接続ユーティリティを検討して下さい。

    116494-config-dynamic-vlan-21.png

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。



このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

有用なデバッグはデバッグ クライアントのMACアドレス MAC、またこれらの NGWC trace コマンドが含まれています:

  • 一定トレース グループ ワイヤレス クライアント レベル デバッグ
  • 一定トレース グループ ワイヤレス クライアント フィルタ MAC xxxx.xxxx.xxxx
  • トレース sys フィルタ処理されたトレースを示して下さい

NGWC トレースは dot1x/AAA が含まれていません、従って dot1x/AAA のために結合されたトレースのこの全体のリストを使用して下さい:

  • トレース グループ ワイヤレス クライアント レベル デバッグを設定 して下さい
  • トレース wcm-dot1x イベント レベル デバッグを設定 して下さい
  • set trace wcm-dot1x aaa level debug
  • トレース AAA ワイヤレス イベント水平なデバッグを設定 して下さい
  • トレース アクセス セッション コア sm レベル デバッグを設定 して下さい
  • トレース アクセス セッション 方式 dot1x レベル デバッグを設定 して下さい
  • トレース グループ ワイヤレス クライアント フィルタ MAC xxxx.xxxx.xxxx を設定 して下さい
  • トレース wcm-dot1x イベント フィルタ MAC xxxx.xxxx.xxxx を設定 して下さい
  • トレース wcm-dot1x AAA フィルタ MAC xxxx.xxxx.xxxx を設定 して下さい
  • トレース AAA ワイヤレス イベント フィルタ MAC xxxx.xxxx.xxxx を設定 して下さい
  • トレース アクセス セッション コア sm フィルタ MAC xxxx.xxxx.xxxx を設定 して下さい
  • トレース アクセス セッション 方式 dot1x フィルタ MAC xxxx.xxxx.xxxx を設定 して下さい
  • トレース sys フィルタ処理されたトレースを示して下さい

ダイナミック VLAN 割り当てが正しくはたらいているとき、デバッグからの出力のこの型が表示されるはずです:

09/01/13 12:13:28.598 IST 1ccc 5933] 0021.5C8C.C761 1XA: Received Medium tag (0) 
Tunnel medium type (6) and Tunnel-Type tag (0) and Tunnel-type (13)
Tunnel-Private-Id (30)

[09/01/13 12:13:28.598 IST 1ccd 5933] 0021.5C8C.C761 Tunnel-Group-Id is 30
[09/01/13 12:13:28.598 IST 1cce 5933] 0021.5C8C.C761 Checking Interface
Change - Current VlanId: 40 Current Intf: VLAN0040 New Intf: VLAN0030 New
GroupIntf:  intfChanged: 1
[09/01/13 12:13:28.598 IST 1ccf 5933] 0021.5C8C.C761 Incrementing the
Reassociation Count 1 for client (of interface VLAN0040)
 --More--         [09/01/13 12:13:28.598 IST 1cd0 5933] 0021.5C8C.C761
Clearing Address 40.40.40.2 on mobile
[09/01/13 12:13:28.598 IST 1cd1 5933] 0021.5C8C.C761 Applying new AAA override
for station  0021.5C8C.C761
[09/01/13 12:13:28.598 IST 1cd2 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1

    vlanIfName: 'VLAN0030', aclName: ''

[09/01/13 12:13:28.598 IST 1cd3 5933] 0021.5C8C.C761 Clearing Dhcp state for
station  ---
[09/01/13 12:13:28.598 IST 1cd4 5933] 0021.5C8C.C761 Applying WLAN ACL policies
to client
[09/01/13 12:13:28.598 IST 1cd5 5933] 0021.5C8C.C761 No Interface ACL used for
Wireless client in WCM(NGWC)
[09/01/13 12:13:28.598 IST 1cd6 5933] 0021.5C8C.C761 Inserting AAA Override
struct for mobile
    MAC:  0021.5C8C.C761 , source 4

[09/01/13 12:13:28.598 IST 1cd7 5933] 0021.5C8C.C761 Inserting new RADIUS
override into chain for station  0021.5C8C.C761

[09/01/13 12:13:28.598 IST 1cd8 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
    vlanIfName: 'VLAN0030', aclName: ''

 --More--         [09/01/13 12:13:28.598 IST 1cd9 5933] 0021.5C8C.C761
Applying override policy from source Override Summation:
    
[09/01/13 12:13:28.598 IST 1cda 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
    vlanIfName: 'VLAN0030', aclName: ''

[09/01/13 12:13:28.598 IST 1cdb 5933] 0021.5C8C.C761 Applying local bridging
Interface Policy for station  0021.5C8C.C761  - vlan 30, interface 'VLAN0030'

[09/01/13 12:13:28.598 IST 1cdc 5933] 0021.5C8C.C761 1XA: Setting reauth timeout
to 1800 seconds from WLAN config
[09/01/13 12:13:28.598 IST 1cdd 5933] 0021.5C8C.C761 1XA: Setting reauth timeout
to 1800 seconds
[09/01/13 12:13:28.598 IST 1cde 5933] 0021.5C8C.C761 1XK: Creating a PKC PMKID
Cache entry (RSN 1)
[09/01/13 12:13:28.598 IST 1cdf 5933] 0021.5C8C.C761 1XK: Set Link Secure: 0


[09/01/13 12:08:59.553 IST 1ae1 5933] 0021.5C8C.C761 1XA: Received Medium tag (0)
Tunnel medium type (6) and Tunnel-Type tag (0) and Tunnel-type (13)
Tunnel-Private-Id (40)

[09/01/13 12:08:59.553 IST 1ae2 5933] 0021.5C8C.C761 Tunnel-Group-Id is 40
 --More--         [09/01/13 12:08:59.553 IST 1ae3 5933] 0021.5C8C.C761
Checking Interface Change - Current VlanId: 20 Current Intf: VLAN0020 New Intf:
VLAN0040 New GroupIntf:  intfChanged: 1
[09/01/13 12:08:59.553 IST 1ae4 5933] 0021.5C8C.C761 Applying new AAA override for
station  0021.5C8C.C761
[09/01/13 12:08:59.553 IST 1ae5 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1

    vlanIfName: 'VLAN0040', aclName: ''

[09/01/13 12:08:59.553 IST 1ae6 5933] 0021.5C8C.C761 Clearing Dhcp state for
station  ---
[09/01/13 12:08:59.553 IST 1ae7 5933] 0021.5C8C.C761 Applying WLAN ACL policies
to client
[09/01/13 12:08:59.553 IST 1ae8 5933] 0021.5C8C.C761 No Interface ACL used for
Wireless client in WCM(NGWC)
[09/01/13 12:08:59.553 IST 1ae9 5933] 0021.5C8C.C761 Inserting AAA Override struct
for mobile
    MAC:  0021.5C8C.C761 , source 4

[09/01/13 12:08:59.553 IST 1aea 5933] 0021.5C8C.C761 Inserting new RADIUS override
into chain for station  0021.5C8C.C761

[09/01/13 12:08:59.553 IST 1aeb 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
    vlanIfName: 'VLAN0040', aclName: ''
 --More--
[09/01/13 12:08:59.553 IST 1aec 5933] 0021.5C8C.C761 Applying override policy
from source Override Summation:

    
[09/01/13 12:08:59.553 IST 1aed 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
    vlanIfName: 'VLAN0040', aclName: ''

[09/01/13 12:08:59.553 IST 1aee 5933] 0021.5C8C.C761 Applying local bridging
Interface Policy for station  0021.5C8C.C761  - vlan 40, interface 'VLAN0040'

[09/01/13 12:08:59.553 IST 1aef 5933] 0021.5C8C.C761 1XA: Setting reauth timeout
to 1800 seconds from WLAN config
[09/01/13 12:08:59.553 IST 1af0 5933] 0021.5C8C.C761 1XA: Setting reauth timeout
to 1800 seconds
[09/01/13 12:08:59.553 IST 1af1 5933] 0021.5C8C.C761 1XK: Creating a PKC PMKID
Cache entry (RSN 1)

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116494