Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 5500

Аутентификация на основе порта с LAP и Примером конфигурации ACS 5.2

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ описывает, как настроить Облегченную точку доступа (LAP) как соискатель 802.1x для аутентификации против сервера RADIUS, такого как Access Control Server (ACS) 5.2.

Предварительные условия

Требования

Удостоверьтесь в соответствии этим требованиям перед попыткой применения этой конфигурации:

  • Имейте базовые знания о Контроллере беспроводной локальной сети (WLC) и LAP.

  • Знакомство с практическими аспектами серверов AAA (аутентификации, авторизации и учета).

  • Основательное знание беспроводных сетей и вопросов их безопасности.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • WLC Cisco 5508, который выполняет релиз микропрограммы 7.0.220.0

  • Cisco LAP серии 3502

  • Cisco Secure ACS, который выполняет версию 5.2

  • Cisco коммутатор серии 3560

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

LAP имеют установленные сертификаты X.509 фабрики - подписанный секретным ключом - которые врезаются в устройство во время изготовления. LAP используют этот сертификат для аутентификации с WLC при процессе соединения. Этот метод описывает другой способ подтвердить подлинность LAP. С программным обеспечением WLC можно настроить аутентификацию 802.1x между точкой доступа Cisco Aironet (AP) и коммутатором Cisco. В этом случае AP действует как соискатель 802.1x и заверен коммутатором против сервера RADIUS (ACS), который использует EAP-FAST с анонимной инициализацией PAC. Как только это настроено для аутентификации 802.1x, коммутатор не позволяет трафику кроме трафика 802.1x проходить через порт, пока устройство, связанное с портом, не подтверждает подлинность успешно. AP может быть заверен или прежде чем он присоединится к WLC или после того, как он присоединился к WLC, когда вы настраиваете 802.1x на коммутаторе после того, как LAP присоединяется к WLC.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-01.gif

Конфигурация компонентов, представленных на этой схеме:

  • IP-адрес ACS (RADIUS) сервер 192.168.150.24.

  • Адрес менеджмента и Интерфейса менеджера точки доступа WLC 192.168.75.44.

  • Dhcp server обращается 192.168.150.25.

  • LAP размещен в VLAN 253.

  • VLAN 253: 192.168.153.x/24. Шлюз: 192.168.153.10

  • VLAN 75: 192.168.75.x/24. Шлюз: 192.168.75.1

Предположения

  • Коммутаторы настроены для всех VLAN Уровня 3.

  • DHCP server назначают область DHCP.

  • Подключение Уровня 3 существует между всеми устройствами в сети.

  • LAP уже соединен с WLC.

  • Каждая VLAN имеет маску/24.

  • ACS 5.2 имеет Сам установленный Подписанный сертификат.

Порядок действий для настройки

Эта настройка состоит из следующих частей:

  1. Настройте LAP.

  2. Настройте коммутатор.

  3. Настройка RADIUS-сервера.

Настройте LAP

Предположения:

LAP уже зарегистрирован к WLC с помощью или опции 43, DNS или статически настроенного IP интерфейса управления WLC.

Выполните следующие действия:

  1. Перейдите к беспроводным сетям> точки доступа> Все AP для подтверждения регистрации LAP на WLC.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-02.gif

  2. Можно настроить учетные данные 802.1x (т.е. имя пользователя/пароль) для всех LAP двумя способами:

    • Глобально

      Для LAP, к которому уже присоединяются можно установить учетные данные глобально, таким образом, каждый LAP, присоединяющийся к WLC, наследует те учетные данные.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-03.gif

    • Индивидуально

      Настройте 802.1 профиля x на AP. В нашем примере мы настроим учетные данные на AP.

      1. Перейдите к беспроводным сетям> Все AP и выберите заинтересованный AP.

      2. Добавьте имя пользователя и пароль в полях Supplicant Credentials 802.1x.

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-04.gif

      Примечание: Учетные данные входа в систему используются к Telnet, SSH или консоли в к AP.

  3. Настройте раздел Высокой доступности и нажмите Apply.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-05.gif

    Примечание: После того, как сохраненный, эти учетные данные сохранены по WLC и перезагрузкам точки доступа. Учетные данные изменяются только, когда LAP присоединяется к новому WLC. LAP принимает имя пользователя и пароль, которые были настроены на новом WLC.

    Если AP еще не присоединился к WLC, необходимо подключиться с консоли в к LAP для установки учетных данных. Выполните эту команду CLI в режиме включения:

    LAP#lwapp <password> пароля <username> имени пользователя dot1x AP

    или

    LAP#capwap <password> пароля <username> имени пользователя dot1x AP

    Примечание: Эта команда доступна только для AP, которые выполняют образ для восстановления.

    Именем пользователя по умолчанию и паролем для LAP является cisco и Cisco соответственно.

Настройте коммутатор

Коммутатор действует как средство проверки подлинности для LAP и подтверждает подлинность LAP против сервера RADIUS. Если коммутатор не имеет совместимого программного обеспечения, обновите коммутатор. В CLI коммутатора выполните эти команды для включения аутентификации 802.1x на порту коммутатора:

switch#configure terminal
switch(config)#dot1x system-auth-control
switch(config)#aaa new-model

!--- Enables 802.1x on the Switch.

switch(config)#aaa authentication dot1x default group radius
switch(config)#radius server host 192.168.150.24 key cisco

!--- Configures the RADIUS server with shared secret and enables switch to send
!--- 802.1x information to the RADIUS server for authentication.

switch(config)#ip radius source-interface vlan 253

!--- We are sourcing RADIUS packets from VLAN 253 with NAS IP: 192.168.153.10.

switch(config)interface gigabitEthernet 0/11
switch(config-if)switchport mode access
switch(config-if)switchport access vlan 253
switch(config-if)mls qos trust dscp
switch(config-if)spanning-tree portfast

!--- gig0/11 is the port number on which the AP is connected.

switch(config-if)dot1x pae authenticator

!--- Configures dot1x authentication.

switch(config-if)dot1x port-control auto

!--- With this command, the switch initiates the 802.1x authentication.

Примечание: Если у вас есть другие AP на том же коммутаторе, и вы не хотите, чтобы они использовали 802.1x, можно или оставить ненастроенного порта для 802.1x или выполнить эту команду:

switch(config-if)authentication port-control force-authorized

Настройте сервер RADIUS

LAP заверен с EAP-FAST. Удостоверьтесь, что сервер RADIUS, который вы используете, поддерживает этот метод EAP, если вы не используете Cisco ACS 5.2.

Конфигурация сервера RADIUS разделена на четыре шага:

  1. Настройте сетевые ресурсы.

  2. Настройка пользователей.

  3. Определите элементы политики.

  4. Примените политику доступа.

ACS 5.x на основе политики ACS. Другими словами, ACS 5.x использует основанную на правилах модель политики вместо основанной на группе модели, используемой в 4.x версии.

ACS 5.x основанная на правилах модель политики предоставляет более мощное и гибкое управление доступом по сравнению с более старым основанным на группе подходом.

В более старой основанной на группе модели группа определяет политику, потому что это содержит и связывает три типа информации:

  • Идентификационная информация - Эта информация может основываться на членстве в AD или группах LDAP или статическом назначении для внутренних пользователей ACS.

  • Другие ограничения или условия - Ограничения времени, ограничения устройства, и т.д.

  • Разрешения - VLAN или Cisco уровни привилегий IOS�.

ACS 5.x модель политики основывается на правилах формы:

Если тогда заканчивается условие

Например, мы используем информацию, описанную для основанной на группе модели:

Если идентификационное условие, условие ограничения тогда профиль авторизации.

В результате это дает нам гибкость для ограничения условий, при которых пользователю разрешают обратиться к сети и также какой уровень авторизации позволен, когда соблюдают особые условия.

Настройте сетевые ресурсы

В этом разделе мы настраиваем клиента AAA для коммутатора на сервере RADIUS.

Эта процедура объясняет, как добавить коммутатор как клиент AAA на сервере RADIUS так, чтобы коммутатор мог передать учетные данные пользователя LAP к серверу RADIUS.

Выполните следующие действия:

  1. От GUI ACS нажмите Network Resources.

  2. Нажмите Network Device Groups.

  3. Перейдите к Местоположению>, Создают (в нижней части).

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-06.gif

  4. Добавьте обязательные поля и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-07.gif

  5. Обновления окна:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-08.gif

  6. Нажмите Device Type> Create.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-09.gif

  7. Щелкните Submit (отправить). После того, как завершенный, обновления окна:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-10.gif

  8. Перейдите к Сетевым ресурсам> Сетевые устройства и Клиенты AAA.

  9. Нажмите Create и заполните подробные данные, как изображено здесь:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-11.gif

  10. Щелкните Submit (отправить). Обновления окна:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-28.gif

Настройка пользователей

В этом разделе вы будете видеть, как создать пользователя на ACS, настроенном ранее. Вы назначите пользователя на группу, вызванную "пользователи LAP".

Выполните следующие действия:

  1. Перейдите к Пользователям и Идентификационным Хранилищам>, Identity Groups> Создает.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-12.gif

  2. Нажать кнопку submit.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-13.gif

  3. Создайте 3502e и назначьте его на группу "пользователи LAP".

  4. Перейдите к Пользователям и Идентификационным Хранилищам>,> Users Identity Groups> Создает.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-14.gif

  5. Вы будете видеть обновленные данные:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-15.gif

Определите элементы политики

Проверьте, что установлен Доступ Разрешения.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-16.gif

Примените политику доступа

В этом разделе вы выберете EAP-FAST как Метод аутентификации, используемый для LAP для аутентификации. Вы тогда создадите правила на основе предыдущих шагов.

Выполните следующие действия:

  1. Перейдите к Политике доступа> Службы доступа>, Доступ к сети по умолчанию> Редактирует: "Доступ к сети по умолчанию".

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-17.gif

  2. Удостоверьтесь, что вы включили EAP-FAST и Анонимную Внутриполосную Инициализацию PAC.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-18.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-19.gif

  3. Щелкните Submit (отправить).

  4. Проверьте Идентификационную группу, которую вы выбрали. В данном примере используйте Внутренних пользователей (который был создан на ACS), и сохраните изменения.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-20.gif

  5. Перейдите к Политике доступа> Службы доступа> Доступ к сети по умолчанию> Авторизация для подтверждения Профиля Авторизации.

    Можно настроить, при каких условиях вы предоставите пользовательский доступ к сети и какой профиль авторизации (атрибуты) вы передадите когда-то заверенный. Эта глубина детализации только доступна в ACS 5. x . В данном примере выбраны Местоположение, Тип устройства, Протокол, Identity Group и метод аутентификации EAP.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-21.gif

  6. Нажмите OK и сохраните изменения.

  7. Следующий шаг должен создать Правило. Если никакие правила не определены, LAP является предоставленным доступом без любых условий.

  8. Нажмите Create> Rule 1. Это Правило является для пользователей в группе "пользователями LAP".

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-22.gif

  9. Нажмите кнопку Save Changes (Сохранить изменения). Если вы хотите, чтобы пользователи, не совпадающие с условиями, были запрещены, отредактировали стандартное правило для высказывания, "Запрещают Доступ".

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-23.gif

  10. Последний шаг должен определить Сервисные Правила выбора. Используйте эту страницу для настройки простой или основанной на правилах политики для определения который сервис примениться к входящим запросам. Например: :

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-24.gif

Проверка.

Как только 802.1x включен на порту коммутатора, весь трафик кроме трафика 802.1x заблокирован через порт. LAP, который уже зарегистрирован к WLC, разъединен. Только после того, как успешная аутентификация 802.1x является другим трафиком, позволенным проходить. Успешная регистрация LAP к WLC после 802.1x включена на коммутаторе, указывает, что аутентификация LAP успешна.

Консоль AP:

*Jan 29 09:10:24.048: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to
   192.168.75.44:5246
*Jan 29 09:10:27.049: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to
   192.168.75.44:5247

!--- AP disconnects upon adding dot1x information in the gig0/11.

*Jan 29 09:10:30.104: %WIDS-5-DISABLED: IDS Signature is removed and disabled.
*Jan 29 09:10:30.107: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Jan 29 09:10:30.107: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Jan 29 09:10:30.176: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to
   administratively down
*Jan 29 09:10:30.176: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to
   administratively down
*Jan 29 09:10:30.186: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to
   reset
*Jan 29 09:10:30.201: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to up
*Jan 29 09:10:30.211: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:10:30.220: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to
   reset
Translating "CISCO-CAPWAP-CONTROLLER"...domain server (192.168.150.25)
*Jan 29 09:10:36.203: status of voice_diag_test from WLC is false

*Jan 29 09:11:05.927: %DOT1X_SHIM-6-AUTH_OK: Interface GigabitEthernet0 
   authenticated [EAP-FAST]
*Jan 29 09:11:08.947: %DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet0 
   assigned DHCP address 192.168.153.106, mask 255.255.255.0, hostname 3502e


!--- Authentication is successful and the AP gets an IP.

Translating "CISCO-CAPWAP-CONTROLLER.Wlab"...domain server (192.168.150.25)
*Jan 29 09:11:37.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent 
   peer_ip: 192.168.75.44 peer_port: 5246
*Jan 29 09:11:37.000: %CAPWAP-5-CHANGED: CAPWAP changed state to
*Jan 29 09:11:37.575: %CAPWAP-5-DTLSREQSUCC: DTLS connection created 
   successfully peer_ip: 192.168.75.44 peer_port: 5246
*Jan 29 09:11:37.578: %CAPWAP-5-SENDJOIN: sending Join Request to 192.168.75.44

*Jan 29 09:11:37.578: %CAPWAP-5-CHANGED: CAPWAP changed state to JOIN

*Jan 29 09:11:37.748: %CAPWAP-5-CHANGED: CAPWAP chan
wmmAC status is FALSEged state to CFG
*Jan 29 09:11:38.890: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to 
   down
*Jan 29 09:11:38.900: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to 
   reset
*Jan 29 09:11:38.900: %CAPWAP-5-CHANGED: CAPWAP changed state to UP
*Jan 29 09:11:38.956: %CAPWAP-5-JOINEDCONTROLLER: AP has joined controller 
   5508-3
*Jan 29 09:11:39.013: %CAPWAP-5-DATA_DTLS_START: Starting Data DTLS handshake. 
   Wireless client traffic will be blocked until DTLS tunnel is established.
*Jan 29 09:11:39.013: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:11:39.016: %LWAPP-3-CLIENTEVENTLOG: SSID goa added to the slot[0]
*Jan 29 09:11:39.028: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to 
   down
*Jan 29 09:11:39.038: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to 
   reset
*Jan 29 09:11:39.054: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to up
*Jan 29 09:11:39.060: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to 
   down
*Jan 29 09:11:39.069: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to 
   reset
*Jan 29 09:11:39.085: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:11:39.135: %LWAPP-3-CLIENTEVENTLOG: SSID goa added to the slot[1]DTLS
   keys are plumbed successfully.
*Jan 29 09:11:39.151: %CAPWAP-5-DATA_DTLS_ESTABLISHED: Data DTLS tunnel 
   established.
*Jan 29 09:11:39.161: %WIDS-5-ENABLED: IDS Signature is loaded and enabled

!--- AP joins the 5508-3 WLC.

Журналы ACS:

  1. Просмотрите количество Соответствия:

    При проверке журналов в течение 15 минут после аутентификации удостоверьтесь, что вы обновляете количество Соответствия. На той же странице в нижней части у вас есть вкладка Hit Count.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-25.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-26.gif

  2. Нажмите Monitoring and Reports, и появляется новое всплывающее окно. Нажмите Authentications - RADIUS - Сегодня. Можно также нажать Details для подтверждения, какое Сервисное правило выбора было применено.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113559-port-based-auth-acs-27.gif

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения