ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

WLAN 認証 の 設定例ごとののための ACS バージョン 5.2 および WLC

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Service Set Identifier (SSID)に基づいて Wireless LAN (WLAN)にユーザごとのアクセスを制限するために設定例を提供したものです。

Brahadesh Srinivasaraghavan によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • ワイヤレス LAN コントローラ(WLC)および基本動作のための軽量アクセス ポイント(LAP)の設定方法
  • Cisco Secure Access Control Server (ACS)の設定方法
  • Lightweight アクセス ポイント プロトコル(LWAPP)とワイヤレスのセキュリティ方式

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 5500 シリーズ ファームウェアのバージョン 7.4.110 を実行する WLC
  • Cisco 1142 シリーズ LAP
  • Cisco Secure ACS サーババージョン 5.2.0.26.11

設定

この設定用にデバイスを設定するには、次の手順を実行します。

  1. 2 つの WLAN と RADIUS サーバ用の WLC を設定します
  2. Cisco Secure ACS を設定します。
  3. 無線クライアントを設定し、設定を確認して下さい。

WLC の設定

このセットアップのために WLC を設定するには、次の手順を実行します。

  1. 外部 の RADIUSサーバにユーザーの資格情報を転送するために WLC を設定して下さい。 設定すると、外部 RADIUS サーバ(この場合は Cisco Secure ACS)は、ユーザ クレデンシャルを検証し、ワイヤレス クライアントにアクセス権を付与します。 次の手順を実行します。
    1. > コントローラ GUI からの RADIUS認証 RADIUS認証サーバ ページを表示するために『Security』 を選択 して下さい。

    2. RADIUS サーバ パラメータを定義するには、[New] をクリックします。

      RADIUS サーバ IP アドレス、共有秘密、ポート番号、サーバ ステータスなどのパラメータがあります。 ネットワーク ユーザおよび管理チェックボックスは RADIUSベースの認証が管理およびネットワーク ユーザ向けに適用したかどうか確認します。 この例は IP アドレス 10.104.208.56 と RADIUSサーバとして Cisco Secure ACS を使用します。

    3. [Apply] をクリックします。
  2. SSID 従業員で従業員のための 1 WLAN および SSID 建築業者で建築業者用の他の WLAN を設定するためにこれらのステップを完了して下さい。
    1. WLAN を作成するために、コントローラの GUI で [WLANs] をクリックします。 [WLANs] ウィンドウが表示されます。 このウィンドウには、コントローラに設定されている WLAN の一覧が表示されます。
    2. 新しい WLAN を設定するために [New] をクリックします。
    3. この例は WLAN によって名前を挙げられる Employee を作成し、WLAN ID は 1. 『Apply』 をクリック しますです。

    4. WLAN > Edit Window を選択し、WLAN に特定のパラメータを定義して下さい:
      1. レイヤ2 Security タブから、802.1X を選択して下さい。 デフォルトでは、レイヤ 2 セキュリティ オプションは 802.1x です。 これは WLAN のための 802.1 x/Extensible 認証プロトコル(EAP)認証を有効に します。

      2. AAA からサーバは RADIUSサーバの下でドロップダウン リストから適切な RADIUSサーバを記録しましたり、選択します。 WLAN ネットワークの要件に基づいて、その他のパラメータを変更できます。 [Apply] をクリックします。

    5. 同様に、建築業者用の WLAN を作成するために、ステップ b から D.を繰り返して下さい。

Cisco Secure ACS の設定

Cisco Secure ACS サーバで、次の操作を実行します。

  1. WLC を AAA クライアントとして設定します。
  2. SSID ベースの認証のためのユーザデータベース(資格情報)を作成して下さい。
  3. EAP 認証をイネーブルにします。

Cisco Secure ACS で次の手順を実行します。

  1. コントローラを ACS サーバの AAA クライアントと定義するために、ACS GUI からネットワークリソース > ネットワークデバイスおよび AAA クライアントを選択して下さい。 ネットワークデバイスおよび AAA クライアントの下で『Create』 をクリック して下さい
  2. Network Configuration ページが現われるとき、WLC の名前を、IP アドレスおよび共有秘密および認証方式(RADIUS)定義して下さい。

  3. 『Users』 を選択 すれば識別は > ACS GUI からの識別グループ保存します。 従業員および建築業者用のそれぞれ の グループを作成し、『Create』 をクリック して下さい。 この例で作成されるグループは Employees と指名されます。

  4. 『Users』 を選択 すれば識別は > 内部識別ストア保存します。 ユーザ名を『Create』 をクリック し、入力して下さい。 それらを正しいグループに置き、パスワードを定義し、『SUBMIT』 をクリック して下さい。 この例でグループ従業員で employee1 と名前を挙げられるユーザは作成されます。 同様に、グループ建築業者の下で contractor1 と名前を挙げられるユーザを作成して下さい。

  5. ポリシー要素 > ネットワークの状態 > 端末フィルターを選択して下さい。 [Create] をクリックします。

    1. 有意義な名前を入力すれば IP address タブの下で WLC の IP アドレスを入力して下さい。 この例で名前は従業員および建築業者です。

    2. CLI/DNIS タブの下で、CLI をように- ANY 残し、*<SSID> として DNIS を入力して下さい。 この例では、DNIS フィールドは *Employee として従業員 WLAN にだけアクセスを制限するのに一方の端ステーション フィルタが使用されているように入ります。 DNIS 属性は、ユーザがアクセスを許可される SSID を定義します。 WLC は SSID を DNIS 属性で RADIUS サーバに送信します。
    3. 建築業者端末 フィルタのための同じステップを繰り返して下さい。

  6. ポリシー要素 > 許可および権限 > ネットワーク アクセス > 許可プロファイルを選択して下さい。 割り当てアクセスのための既定値 の プロファイルがあるはずです。

  7. アクセスポリシー > アクセスを保守します > サービス セレクション ルール選択して下さい。 『Customize』 をクリック して下さい。
    1. 適した状態を追加して下さい。 この例は一致する状態として Radius としてプロトコルを使用します。
    2. [Create] をクリックします。 ルールを挙げて下さい。 プロトコルを選択し、『RADIUS』 を選択 して下さい
    3. 結果の下で、適切なアクセス サービスを選択して下さい。 この例では、それはデフォルトネットワーク アクセスとして残っています

  8. アクセスポリシー > アクセスを保守します > デフォルトネットワーク アクセス > 識別選択して下さい。 内部ユーザとして単一の結果選択および識別ソースを選択して下さい。

    1. アクセスポリシー > アクセスを保守します > デフォルトネットワーク アクセス > 許可選択して下さい。  カスタマイズされた状態を『Customize』 をクリック し、追加して下さい。 この例は識別グループを、NDG 使用します: その順序でデバイスの種類および端末 フィルタ。

    2. [Create] をクリックします。 ルールを挙げ、すべてのグループの下で適切な識別グループを選択して下さい。 この例でそれは従業員です。

    3. 従業員終わり Stn フィルタ オプション ボタンをクリックするか、または「設定する WLC」セクションの Step1b で入力する名前を入力して下さい。

    4. 割り当てアクセスチェック チェック ボックスをチェックして下さい。

    5. 建築業者ルールのために上記の同じステップを同様に繰り返して下さい。 デフォルト アクションをアクセスを拒否することです確認して下さい。

      ステップ e を完了したら、ルールはこの例のように見える必要があります:

これは設定を完了します。 このセクションが接続するために、クライアント SSID およびセキュリティパラメータでそれに応じて設定される必要があった後。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118661