Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.4(統合版)
RADIUS NAC サポートの設定
RADIUS NAC サポートの設定
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

RADIUS NAC サポートの設定

RADIUS NAC サポートについて

Cisco Identity Services Engine(ISE)は、次世代のコンテキストベース アクセス コントロール ソリューションで、Cisco Secure Access Control System(ACS)と Cisco Network Admission Control(NAC)の機能を 1 つの統合されたプラットフォームで提供します。

ISE は Cisco Unified Wireless Network のリリース 7.0.116.0 で導入されています。 ISE を使用して、配備されたネットワークで高度なセキュリティを実現できます。 ISE は、コントローラ上で設定できる認証サーバです。 RADIUS NAC 対応の WLAN 上のコントローラにクライアントがアソシエートされると、コントローラは ISE サーバに要求を転送します。

ISE サーバはデータベースでユーザを検証し、認証が正常に完了すると、URL と事前認証 ACL がクライアントに送信されます。 このときクライアントは Posture Required 状態になり、ISE サーバから返された URL にリダイレクトされます。


(注)  


ISE サーバから返された URL にキーワード「cwa」が含まれる場合、クライアントは、Central Web Authentication の状態になります。


クライアントの NAC エージェントによって、ポスチャ検証プロセスがトリガーされます。 ISE サーバによるポスチャ検証が正常に完了すると、クライアントは RUN 状態になります。


(注)  


RADIUS NAC による Flex ローカル スイッチングは、リリース 7.2.110.0 で追加されました。 これは、7.0 リリースおよび 7.2 リリースではサポートされていません。 RADIUS NAC 対応の WLAN 機能が動作するよう再設定するには、7.2.110.0 以降のリリースを 7.2 または 7.0 リリースにダウングレードする必要があります。


デバイス登録

デバイス登録を行うと、RADIUS NAC を使用して WLAN の新しいデバイスの認証とプロビジョニングを行えるようになります。 デバイスを WLAN に登録すると、設定されている ACL に基づいてネットワークを使用できるようになります。

中央 Web 認証

中央 Web 認証(CWA)の場合、Web 認証は ISE サーバで行われます。 ISE サーバの Web ポータルに、クライアント用のログイン ページが表示されます。 ISE サーバで資格情報が検証されると、クライアントがプロビジョニングされます。 CoA が適用されるまで、クライアントは POSTURE_REQD 状態のままです。 資格情報と ACL が ISE サーバから送信されます。

ローカル Web 認証

ローカル Web 認証(LWA)の場合、コントローラが Web 認証ログイン ページを表示し、ここでユーザ名とパスワードが検証されます。 クライアントの資格情報が検証されると、制限付き ACL を使用する ISE サーバと URL がクライアントに送信されます。

CoA が適用されるまで、クライアントは POSTURE_REQD 状態のままです。 資格情報と ACL が ISE サーバから送信されます。

次の表に、一般的な ISE でのデバイス登録、CWA、および LWA の有効な組み合わせを示します。



表 1 ISE ネットワーク認証フロー

WLAN の設定

CWA

LWA

デバイス登録

RADIUS NAC 対応 Yes Yes Yes
L2 なし No PSK、Static WEP、CKIP No
L3 なし 該当なし 内部/外部 該当なし
MAC フィルタリング対応 Yes No Yes

注意事項および制約事項

  • RADIUS NAC 対応の WLAN は、オープン認証と MAC フィルタリングをサポートしています。 RADIUS NAC によるローカル Web 認証を使用している場合は、レイヤ 3 Web 認証も有効にする必要があります。
  • ローカル Web 認証では、Web 認証の優先順位を RADIUS として設定しなければなりません。
  • 設定されたアカウンティング サーバが認証(ISE)サーバではない場合、RADIUS NAC は機能しません。 ISE 機能を使用する場合は、認証およびアカウンティング サーバと同じサーバを設定する必要があります。 ISE を ACS 機能専用にする場合は、アカウンティング サーバを柔軟に設定できます。 Dot1x 認証を有効にする必要があります。
  • クライアントがある WLAN から別の WLAN へ移動し、アイドル タイムアウトが発生する前に元の WLAN に戻った場合、コントローラはそのクライアントの監査セッション ID を保持しています。 したがって、アイドル タイムアウト セッションの期限が切れる前にクライアントがコントローラに join すると、それらのクライアントはただちに RUN 状態になります。 セッションがタイムアウトしてから、クライアントがコントローラに再アソシエートされているかどうかが検証されます。
  • たとえば 2 つの WLAN があり、1 台のコントローラに WLAN 1 が設定され(WLC1)、もう 1 台のコントローラに WLAN2 が設定され(WLC2)、その両方が RADIUS NAC 対応であるとします。 クライアントはまず WLC1 に接続し、ポスチャ検証のあと RUN 状態になります。 次にこのクライアントは、WLC2 に移動するとします。 WLC1 内のこのクライアントに対する PMK の期限が切れる前に、クライアントが WLC1 に再接続した場合、このクライアントに対するポスチャ検証は省略されます。 クライアントはポスチャ検証を省略してただちに RUN 状態になります。これは、コントローラがこのクライアントの古い監査セッション ID を保持し、ISE がその ID をすでに認識しているからです。
  • ワイヤレス ネットワークに RADIUS NAC を導入する場合は、プライマリおよびセカンダリ ISE サーバを設定しないでください。 代わりに、2 つの ISE サーバ間に HA を設定することをお勧めします。 プライマリおよびセカンダリ ISE を設定すると、クライアントが RUN 状態に移行する前に、ポスチャ検証が必要になります。 HA を設定すると、クライアントはフォールバック ISE サーバで自動的に RUN 状態に移行します。
  • RADIUS NAC が設定されたコントローラ ソフトウェアは、サービス ポートでの許可変更(CoA)をサポートしません。
  • アクティブなネットワーク内で AAA サーバ インデックスを入れ替えないでください。クライアントが切断され、RADIUS サーバへの再接続が必要になる可能性があります。それによって、ISE サーバ ログにログ メッセージが追加される場合があります。
  • RADIUS NAC を使用するには、WLAN 上で AAA Override を有効にする必要があります。
  • WLAN 上で WPA および WPA2 または dot1X を有効にする必要があります。
  • 低速なローミング中に、クライアントのポスチャ検証が行われます。
  • ゲストのトンネリング モビリティは、ISE NAC 対応の WLAN でサポートされます。
  • VLAN Select はサポートされません。
  • ワークグループ ブリッジはサポートされません。
  • AP Group over NAC は RADIUS NAC ではサポートされません。
  • FlexConnect ローカル スイッチングはサポートされません。
  • RADIUS NAC を有効にすると、RADIUS サーバの上書きインターフェイスはサポートされません。
  • クライアントとサーバ間の DHCP 通信。 DHCP プロファイリングを一度のみ解析します。 これは ISE サーバに一度のみ送信されます。
  • AAA url-redirect-acl および url-redirect 属性が AAA サーバから送信される必要がある場合、AAA オーバーライド機能がコントローラで有効に設定されている必要があります。

RADIUS NAC サポートの設定(GUI)


    ステップ 1   [WLANs] タブを選択します。
    ステップ 2   ISE を有効にする WLAN の WLAN ID をクリックします。

    [WLANs > Edit] ページが表示されます。

    ステップ 3   [Advanced] タブをクリックします。
    ステップ 4   [NAC State] ドロップダウン リストから [Radius NAC] を選択します。
    • [SNMP NAC]:WLAN に SNMP NAC を使用します。
    • [Radius NAC]:WLAN に Radius NAC を使用します。
      (注)     

      WLAN 上で RADIUS NAC を使用すると、自動的に AAA Override が有効になります。

    ステップ 5   [Apply] をクリックします。

    RADIUS NAC サポートの設定(CLI)

    次のコマンドを入力します。

    config wlan nac radius { enable | disable} wlan_id