Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.4(統合版)
AAA Override の設定
AAA Override の設定
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

AAA Override の設定

AAA Override について

WLAN の [AAA Override] オプションを使用すると、WLAN で Identity ネットワーキングを設定できます。 これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、Quality of Service(QoS)、およびアクセス コントロール リスト(ACL)を適用できます。

IPv6 ACL に対する AAA オーバーライド

Cisco Identity Services Engine(ISE)または ACS のように、中央集中型 AAA サーバを介した中央集中型のアクセス制御をサポートするために、AAA Override 属性を使用してクライアントごとに IPv6 ACL を提供できます。 この機能を使用するには、IPv6 ACL をコントローラに設定し、AAA Override 機能を有効にして WLAN を有効にする必要があります。 IPv6 ACL に対する実際の名前付き AAA 属性は Airespace-IPv6-ACL-Name であり、これは、IPv4 ベースの ACL のプロビジョニングに使用される Airespace-ACL-Name と類似しています。 AAA 属性によって返されるコンテンツは、コントローラに設定された IPv6 ACL の名前と同じ文字列にしてください。

注意事項および制約事項

  • AAA Override のためにクライアントが新しいインターフェイスに移動したあと、そのインターフェイスに ACL を適用しても、クライアントが再認証されるまで ACL は有効になりません。 この問題を回避するには、インターフェイス上ですでに設定済みの ACL にすべてのクライアントが接続するように、ACL を適用してから WLAN を有効にします。あるいは、クライアントが再認証されるように、インターフェイスを適用したあとで WLAN を一旦無効にし、再び有効にします。
  • AAA サーバから返された ACL がコントローラ上にないか、ACL が間違った名前で設定されている場合、クライアントを認証することはできません。
  • FlexConnect ローカル スイッチを使用すると、マルチキャストは SSID がマップされる VLAN に対してのみ転送され、オーバーライドされた VLAN には転送されません。
  • インターフェイス グループが WLAN にマッピングされ、クライアントがその WLAN に接続した場合、クライアントはラウンド ロビン方式で IP アドレスを取得しません。 インターフェイス グループによる AAA Override はサポートされています。
  • AAA Override を許可する設定の多くは、RADIUS サーバで実行されます。RADIUS サーバでは、コントローラに返すようにする上書きプロパティで、Access Control Server(ACS)を設定する必要があります。
  • コントローラでは、GUI または CLI を使用して、Allow AAA Override 設定パラメータを有効にします。 このパラメータを有効にすることにより、コントローラで RADIUS サーバから返される属性を受け入れるようになります。 次にコントローラはそれらの属性をクライアントに適用します。

正しい QoS 値を取得するための RADIUS サーバ ディクショナリ ファイルの更新

Steel-Belted RADIUS(SBR)、FreeRadius、または同等の RADIUS サーバを使用している場合、AAA Override 機能を有効化した後、クライアントが正しい QoS 値を取得できないことがあります。 ディクショナリ ファイルの編集を可能にするこれらのサーバについて、正しい QoS 値(Silver = 0、Gold = 1、Platinum = 2、Bronze = 3)を反映させてファイルを更新する必要があります。 RADIUS サーバのディクショナリ ファイルを更新するには、次の手順を実行します。


(注)  


この問題は、Cisco Secure Access Control Server(ACS)には適用されません。


RADIUS サーバのディクショナリ ファイルを更新するには、次の手順を実行します。

  1. SBR サービス(または他の RADIUS サービス)を停止します。
  2. 次のテキストを、ciscowlan.dct として Radius_Install_Directory\Service フォルダに保存します。
    
    ################################################################################
    # CiscoWLAN.dct- Cisco Wireless Lan Controllers
    #
    # (See README.DCT for more details on the format of this file)
    ################################################################################
    
    # Dictionary - Cisco WLAN Controllers
    #
    # Start with the standard Radius specification attributes
    #
    @radius.dct
    #
    # Standard attributes supported by Airespace
    #
    # Define additional vendor specific attributes (VSAs)
    #
    
    MACRO Airespace-VSA(t,s) 26 [vid=14179 type1=%t% len1=+2 data=%s%]
    
    ATTRIBUTE   WLAN-Id                 Airespace-VSA(1, integer)     cr
    ATTRIBUTE   Aire-QoS-Level 	 	 	 	 	Airespace-VSA(2, integer)     r
    VALUE Aire-QoS-Level Bronze 	 		3
    VALUE Aire-QoS-Level Silver     0
    VALUE Aire-QoS-Level Gold       1
    VALUE Aire-QoS-Level Platinum   2
    
    ATTRIBUTE   DSCP                    Airespace-VSA(3, integer)     r
    ATTRIBUTE   802.1P-Tag              Airespace-VSA(4, integer)     r
    ATTRIBUTE   Interface-Name          Airespace-VSA(5, string)      r
    ATTRIBUTE   ACL-Name                Airespace-VSA(6, string)      r
    
    # This should be last.
    
    ################################################################################
    # CiscoWLAN.dct - Cisco WLC dictionary
    ##############################################################################

    
  3. (同じディレクトリにある)dictiona.dcm ファイルを開いて、「@ciscowlan.dct.」行を追加します。
  4. dictiona.dcm ファイルを保存して閉じます。
  5. (同じディレクトリにある)vendor.ini ファイルを開いて、次のテキストを追加します。
    
    vendor-product       = Cisco WLAN Controller
    dictionary           = ciscowlan
    ignore-ports         = no
    port-number-usage    = per-port-type
    help-id 		 	 	 	     = 

    
  6. vendor.ini ファイルを保存して閉じます。
  7. SBR サービス(または他の RADIUS サービス)を起動します。
  8. SBR アドミニストレータ(または他の RADIUS アドミニストレータ)を起動します。
  9. RADIUS クライアントを追加します(まだ追加されていない場合)。 [Make/Model] ドロップダウン リストから [Cisco WLAN Controller] を選択します。

AAA Override の設定(GUI)


    ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
    ステップ 2   設定する WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。
    ステップ 3   [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。
    ステップ 4   [Allow AAA Override] チェックボックスをオンにして AAA Override を有効にするか、オフにしてこの機能を無効にします。 デフォルト値はディセーブルです。
    ステップ 5   [Apply] をクリックして、変更を確定します。
    ステップ 6   [Save Configuration] をクリックして、変更を保存します。

    AAA Override の設定(CLI)

    • 次のコマンドを入力して、WLAN 上の AAA を介したユーザ ポリシーのオーバーライドを設定します。 config wlan aaa-override {enable | disable} wlan-id

      wlan-id には、1 ~ 16 の値を入力します。

    • 次のコマンドを入力して、802.1X AAA インタラクションのデバッグを設定します。 debug dot1x aaa {enable | disable}