Konfigurieren der dynamischen VLAN-Zuweisung mit der ISE und dem Catalyst 9800 Wireless LAN Controller

Aktualisiert:11. April 2024
Dokument-ID:217043

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration des Catalyst 9800 WLC und der Cisco ISE für die Zuweisung von WLAN (Wireless LAN) beschrieben.

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Grundkenntnisse der Wireless LAN Controller (WLC) und Lightweight Access Points (LAP)
    • über funktionale Kenntnisse des AAA-Servers wie die Identity Services Engine (ISE) verfügen.
    • Besitzen fundierte Kenntnisse über Wireless-Netzwerke und Wireless-Sicherheitsprobleme
    • Besitzen funktionale Kenntnisse zur Zuweisung dynamischer VLANs (Virtual LANs)
    • Grundkenntnisse von CAPWAP (Control and Provisioning for Wireless Access Point)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Catalyst 9800 WLC (Catalyst 9800-CL) mit der Firmware-Version 16.12.4a
    • Cisco Serie 2800 LAP im lokalen Modus
    • Systemeigene Windows 10-Komponente.
    • Cisco ISE mit Version 2.7.
    • Cisco Switch der Serie 3850 mit Firmware-Version 16.9.6

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Dynamische VLAN-Zuordnung mit RADIUS-Server

    Dieses Dokument beschreibt das Konzept der dynamischen VLAN-Zuweisung und wie der Catalyst 9800 Wireless LAN Controller (WLC) und die Cisco Identity Service Engine (ISE) zur Zuweisung von WLAN (Wireless LAN) konfiguriert werden, um dies für die WLAN-Clients zu erreichen.

    In den meisten WLAN-Systemen (Wireless Local Area Network) verfügt jedes WLAN über eine statische Richtlinie, die für alle Clients gilt, die einer Service Set Identifier (SSID) zugeordnet sind. Diese Methode ist zwar leistungsstark, weist jedoch Einschränkungen auf, da sie von Clients verlangt, dass sie mit verschiedenen SSIDs verknüpft werden, um unterschiedliche QoS- und Sicherheitsrichtlinien zu erben.

    Die Cisco WLAN-Lösung unterstützt jedoch Identitätsnetzwerke. Auf diese Weise kann das Netzwerk eine einzelne SSID ankündigen und bestimmte Benutzer können je nach Benutzeranmeldeinformationen unterschiedliche QoS- oder Sicherheitsrichtlinien erben.

    Die dynamische VLAN-Zuweisung ist eine Funktion, mit der ein Wireless-Benutzer anhand der vom Benutzer bereitgestellten Anmeldeinformationen in einem bestimmten VLAN platziert wird. Die Aufgabe, Benutzer einem bestimmten VLAN zuzuweisen, wird von einem RADIUS-Authentifizierungsserver wie der Cisco ISE ausgeführt. So kann der Wireless-Host beispielsweise im selben VLAN verbleiben, in dem er sich innerhalb eines Campus-Netzwerks bewegt.

    Wenn ein Client versucht, eine Verbindung zu einem bei einem Controller registrierten LAP herzustellen, übergibt der WLC die Anmeldeinformationen des Benutzers zur Validierung an den RADIUS-Server. Nach erfolgreicher Authentifizierung übergibt der RADIUS-Server dem Benutzer bestimmte IETF-Attribute (Internet Engineering Task Force). Diese RADIUS-Attribute bestimmen die VLAN-ID, die dem Wireless-Client zugewiesen werden muss. Die SSID des Clients spielt keine Rolle, da der Benutzer immer dieser vorbestimmten VLAN-ID zugewiesen wird.

    Für die Zuweisung der VLAN-ID werden folgende RADIUS-Benutzerattribute verwendet:

    • IETF 64 (Tunnel Type) (IETF 64 (Tunneltyp)): Legen Sie dies auf VLAN fest.
    • IETF 65 (Tunnel Medium Type) (IETF 65 (Tunnel-Medium-Typ)): Legen Sie diesen Wert auf 802 fest.
    • IETF 81 (Tunnel Private Group ID) (IETF 81 (Tunnel Private Group ID)): Legen Sie hier die VLAN-ID fest.

    Die VLAN-ID ist 12 Bit und hat einen Wert zwischen 1 und einschließlich 4094. Da die Tunnel-Private-Group-ID vom Typ "string" ist, wie in RFC 2868 für die Verwendung mit IEEE 802.1X definiert, wird der ganzzahlige Wert der VLAN-ID als Zeichenfolge codiert. Wenn diese Tunnelattribute gesendet werden, müssen Sie sie in das Feld "Tag" eingeben.

    Konfigurieren

    In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

    Netzwerkdiagramm

    In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

    Netzwerkdiagramm

    Nachfolgend sind die Konfigurationsdetails der in diesem Diagramm verwendeten Komponenten aufgeführt:

    • Die IP-Adresse des Cisco ISE (RADIUS)-Servers lautet 10.10.1.24.
    • Die Management Interface-Adresse des WLC lautet 10.10.1.17.
    • Der interne DHCP-Server des Controllers dient dazu, Wireless-Clients die IP-Adresse zuzuweisen.
    • In diesem Dokument wird 802.1x mit PEAP als Sicherheitsmechanismus verwendet.
    • In dieser Konfiguration wird VLAN102 verwendet. Der Benutzername smith -102 wird vom RADIUS-Server so konfiguriert, dass er im VLAN102 platziert wird.

    Konfigurationsschritte

    Diese Konfiguration ist in drei Kategorien unterteilt:

    • Konfiguration der Cisco ISE.
    • Konfigurieren des Switches für mehrere VLANs
    • Catalyst 9800 WLC-Konfiguration

    Konfiguration der Cisco ISE

    Für diese Konfiguration sind folgende Schritte erforderlich:

    • Konfigurieren des Catalyst WLC als AAA-Client auf dem Cisco ISE-Server
    • Konfigurieren interner Benutzer auf der Cisco ISE
    • Konfigurieren der RADIUS (IETF)-Attribute für die dynamische VLAN-Zuweisung auf der Cisco ISE

    Schritt 1: Konfigurieren des Catalyst WLC als AAA-Client auf dem Cisco ISE-Server

    In diesem Verfahren wird erläutert, wie der WLC als AAA-Client auf dem ISE-Server hinzugefügt wird, damit der WLC die Benutzeranmeldeinformationen an die ISE weitergeben kann.

    Führen Sie diese Schritte aus:

    1. Navigieren Sie in der ISE-GUI zu , Administration > Network Resources > Network Devicesund wählen Sie Add.
    2. Konfigurieren Sie die WLC-Management-IP-Adresse und den gemeinsamen RADIUS-Schlüssel, den der WLC und die ISE verwenden, wie im Bild gezeigt:

    Konfiguration mit IP-Adresse für das WLC-Management und gemeinsam genutztem Radius-Schlüssel zwischen WLC und ISE

    Schritt 2: Konfigurieren interner Benutzer auf der Cisco ISE

    In diesem Verfahren wird erläutert, wie Sie der internen Benutzerdatenbank der Cisco ISE Benutzer hinzufügen.

    Führen Sie diese Schritte aus:

    1. Navigieren Sie in der ISE-GUI zu , Administration > Identity Management > Identities und wählen Sie Add.
    2. Konfigurieren Sie den Benutzernamen, das Kennwort und die Benutzergruppe wie im Bild gezeigt:

      3.

    Konfiguration mit Benutzername, Kennwort und Benutzergruppe

    Schritt 3: Konfigurieren der RADIUS (IETF)-Attribute für die dynamische VLAN-Zuweisung

    In diesem Verfahren wird erläutert, wie Sie ein Autorisierungsprofil und eine Authentifizierungsrichtlinie für Wireless-Benutzer erstellen.

    Führen Sie diese Schritte aus:

    1. Navigieren Sie in der ISE-GUI zu , Policy > Policy Elements > Results > Authorization > Authorization profiles und wählen Sie Add die Option aus, um ein neues Profil zu erstellen.
    2. Vervollständigen Sie die Autorisierungsprofilkonfiguration mit VLAN-Informationen für die entsprechende Gruppe. Dieses Bild zeigt die jonathga-VLAN-102 Gruppenkonfigurationseinstellungen.
      3.

    Konfiguration des Autorisierungsprofils mit VLAN-Informationen

    Nach der Konfiguration der Autorisierungsprofile muss eine Authentifizierungsrichtlinie für Wireless-Benutzer erstellt werden. Sie können eine neue Custom Richtlinie verwenden oder den Default Richtliniensatz ändern. In diesem Beispiel wird ein benutzerdefiniertes Profil erstellt.

    1. Navigieren Sie zu, Policy > Policy Sets und wählen Sie Add die Option aus, um eine neue Richtlinie zu erstellen, wie im Bild gezeigt:
      2.

    Navigieren Sie zu Policy Sets, und wählen Sie Hinzufügen aus.

    Erstellen einer Authentifizierungsrichtlinie für Wireless-Benutzer


    Nun müssen Sie Autorisierungsrichtlinien für Benutzer erstellen, um ein entsprechendes Autorisierungsprofil basierend auf der Gruppenmitgliedschaft zuzuweisen.

    1. Öffnen Sie den Authorization policy Abschnitt, und erstellen Sie Richtlinien, um diese Anforderung zu erfüllen, wie im Bild gezeigt:
      2.

    Zuweisen eines entsprechenden Autorisierungsprofils basierend auf der Gruppenmitgliedschaft

    Switch für mehrere VLANs konfigurieren

    Um mehrere VLANs über den Switch zuzulassen, müssen Sie die folgenden Befehle ausführen, um den mit dem Controller verbundenen Switch-Port zu konfigurieren:

    Switch(config-if)#switchport mode trunk
    Switch(config-if)#switchport trunk encapsulation dot1q

    Hinweis: Standardmäßig lassen die meisten Switches alle VLANs zu, die auf diesem Switch über den Trunk-Port erstellt werden. Wenn ein kabelgebundenes Netzwerk mit dem Switch verbunden ist, kann dieselbe Konfiguration auf den Switch-Port angewendet werden, der mit dem kabelgebundenen Netzwerk verbunden ist. Dadurch wird die Kommunikation zwischen denselben VLANs im kabelgebundenen und Wireless-Netzwerk ermöglicht.

    Catalyst 9800 WLC - Konfiguration

    Für diese Konfiguration sind folgende Schritte erforderlich:

    • Konfigurieren Sie den WLC mit den Details des Authentifizierungsservers.
    • Konfigurieren der VLANs
    • Konfigurieren der WLANs (SSID)
    • Konfigurieren Sie das Richtlinienprofil.
    • Konfigurieren Sie das Policy-Tag.
    • Zuweisen des Policy-Tags zu einem Access Point
      •

    Schritt 1: Konfigurieren des WLC mit den Details des Authentifizierungsservers

    Der WLC muss so konfiguriert werden, dass er zur Authentifizierung der Clients mit dem RADIUS-Server kommunizieren kann.

    Führen Sie diese Schritte aus:

    1. Navigieren Sie in der GUI des Controllers zu den RADIUS-Serverinformationen, Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add und geben Sie sie wie im Bild dargestellt ein:
      2.

    Navigieren Sie zu Server, und wählen Sie +Hinzufügen aus.

    Geben Sie die RADIUS-Serverinformationen ein.

    1. Um den RADIUS-Server zu einer RADIUS-Gruppe hinzuzufügen, navigieren Sie Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add wie im Bild dargestellt zu:
      2.

    Hinzufügen eines RADIUS-Servers zu einer RADIUS-Gruppe

    1. Um eine Liste der Authentifizierungsmethoden zu erstellen, navigieren Sie Configuration > Security > AAA > AAA Method List > Authentication > + Add wie in den Bildern dargestellt zu:
      2.

    Navigieren Sie zur Authentifizierung, und wählen Sie +Hinzufügen

    Liste der Authentifizierungsmethoden erstellen

    Schritt 2: Konfigurieren der VLANs

    In diesem Verfahren wird erläutert, wie Sie VLANs auf dem Catalyst 9800 WLC konfigurieren. Wie bereits in diesem Dokument erläutert, muss die VLAN-ID, die unter dem Attribut "Tunnel-Private-Group ID" des RADIUS-Servers angegeben ist, auch im WLC vorhanden sein.

    Im Beispiel wird der Benutzer smith-102 mit dem Tunnel-Private-Group ID of 102 (VLAN =102) auf dem RADIUS-Server angegeben.

    1. Navigieren Sie Configuration > Layer2 > VLAN > VLAN > + Add wie im Bild dargestellt zu:
      2.

    Navigieren Sie zum VLAN, und wählen Sie +Hinzufügen aus.

    1. Geben Sie die erforderlichen Informationen wie im Bild dargestellt ein:
      2.

    Geben Sie Informationen zum Erstellen eines VLAN ein.

    Hinweis: Wenn Sie keinen Namen angeben, wird dem VLAN automatisch der Name VLANXXXX zugewiesen, wobei XXXX die VLAN-ID ist.

    Wiederholen Sie die Schritte 1 und 2 für alle erforderlichen VLANs. Anschließend können Sie mit Schritt 3 fortfahren.

    1. Überprüfen Sie, ob die VLANs in Ihren Datenschnittstellen zulässig sind.
      • Wenn Sie einen Port-Channel verwenden, navigieren Sie zu Configuration > Interface > Logical > PortChannel name > General. Wenn die Konfiguration so angezeigt wird, wie Allowed VLAN = All Sie sie vorgenommen haben. Wenn angezeigt wird, fügen Sie Allowed VLAN = VLANs IDsdie erforderlichen VLANs hinzu, und wählen Sie anschließend Update & Apply to Device.
      • Wenn kein Port-Channel verwendet wird, navigieren Sie zu Configuration > Interface > Ethernet > Interface Name > General. Wenn die Konfiguration so angezeigt wird, wie Allowed VLAN = All Sie sie vorgenommen haben. Wenn angezeigt wird, fügen Sie Allowed VLAN = VLANs IDsdie erforderlichen VLANs hinzu, und wählen Sie anschließend Update & Apply to Device.
        •

    Diese Images zeigen die Konfiguration für die Schnittstelleneinrichtung, wenn Sie "All" (Alle) oder bestimmte VLAN-IDs verwenden. 

    Die Konfiguration für die Schnittstelleneinrichtung, wenn Sie ALLE VLAN-IDs verwenden

    Die Konfiguration für die Schnittstelleneinrichtung, wenn Sie bestimmte VLAN-IDs verwenden

    Schritt 3: Konfigurieren der WLANs (SSID)

    In diesem Verfahren wird erläutert, wie die WLANs im WLC konfiguriert werden.

    Führen Sie diese Schritte aus:

    1. Um das WLAN zu erstellen. Navigieren Sie zum Netzwerk, Configuration > Wireless > WLANs > + Add und konfigurieren Sie es nach Bedarf, wie in der Abbildung dargestellt:


      2.

    Navigieren Sie zu WLANs, und wählen Sie +Hinzufügen

    1. Geben Sie die WLAN-Informationen wie im Bild dargestellt ein:


      2.

    Konfigurieren Sie das Netzwerk nach Bedarf.

    1. Navigieren Sie zur Security Registerkarte, und wählen Sie die erforderliche Sicherheitsmethode aus. In diesem Fall WPA2 + 802.1x wie in den Bildern gezeigt:


      2.

    Wählen Sie die erforderliche Sicherheitsmethode aus.

    Wählen Sie die erforderliche Sicherheitsmethode aus.

    Security > AAA Wählen Sie auf der Registerkarte die in Schritt 3 erstellte Authentifizierungsmethode aus dem im Bild gezeigten Configure the WLC with the Details of the Authentication Server Abschnitt aus:

    Wählen Sie die zuvor erstellte Authentifizierungsmethode aus

    Schritt 4: Richtlinienprofil konfigurieren

    In diesem Verfahren wird erläutert, wie das Richtlinienprofil im WLC konfiguriert wird.

    Führen Sie diese Schritte aus:

    1. Navigieren Sie zu, Configuration > Tags & Profiles > Policy Profile und konfigurieren Sie Ihre default-policy-profile oder erstellen Sie eine neue, wie in den Bildern gezeigt:
      2.

    Navigieren Sie zu Richtlinienprofil, und wählen Sie +Hinzufügen aus.

    Konfigurieren Sie Ihr Standard-Richtlinienprofil, oder erstellen Sie ein neues.

    1. Weisen Sie auf der Access Policies Registerkarte das VLAN zu, dem die Wireless-Clients bei der standardmäßigen Verbindung mit diesem WLAN zugewiesen sind, wie im Bild gezeigt:
      2.

    Zuweisen des VLAN zum Wireless-Client

    Hinweis: Im vorliegenden Beispiel ist es Aufgabe des RADIUS-Servers, einem bestimmten VLAN nach erfolgreicher Authentifizierung einen Wireless-Client zuzuweisen. Daher kann das im Richtlinienprofil konfigurierte VLAN ein Black-Hole-VLAN sein. Der RADIUS-Server überschreibt diese Zuordnung und weist den Benutzer, der über dieses WLAN eintrifft, dem VLAN zu, das im Feld "Benutzer Tunnel-Gruppe-Private-ID" des RADIUS-Servers angegeben ist.

    1. Aktivieren Sie auf der Advance Registerkarte das Allow AAA Override Kontrollkästchen, um die WLC-Konfiguration außer Kraft zu setzen, wenn der RADIUS-Server die Attribute zurückgibt, die erforderlich sind, um den Client wie im Bild gezeigt in das richtige VLAN zu setzen:
      2.

    Aktivieren Sie das Kontrollkästchen AAA-Außerkraftsetzung zulassen.

    Schritt 5: Richtlinien-Tag konfigurieren

    In diesem Verfahren wird erläutert, wie der Policy-Tag im WLC konfiguriert wird.

    Führen Sie diese Schritte aus:

    1. Navigieren Sie zu, Configuration > Tags & Profiles > Tags > Policy und fügen Sie ggf. einen neuen hinzu, wie im Bild gezeigt:
      2.

    Navigieren Sie zu Richtlinie, und wählen Sie +Hinzufügen aus.

    1. Fügen Sie dem Policy Tag einen Namen hinzu, und wählen Sie +Add, wie im Bild dargestellt, Folgendes aus:
      2.

    Hinzufügen eines Namens zum Policy-Tag

    1. Verknüpfen Sie Ihr WLAN-Profil mit dem gewünschten Richtlinienprofil, wie in den Bildern gezeigt:
      2.

    Verknüpfen Sie Ihr WLAN-Profil mit dem gewünschten Richtlinienprofil

    Wählen Sie Auf Gerät anwenden.

    Schritt 6: Zuweisen des Richtlinien-Tags zu einem AP

    In diesem Verfahren wird erläutert, wie der Policy-Tag im WLC konfiguriert wird.

    Führen Sie diese Schritte aus:

    1. Navigieren Sie zum entsprechenden Policy-Tag, weisen Sie es zu, Configuration > Wireless > Access Points > AP Name > General Tags und wählen Sie es Update & Apply to Device wie im Bild dargestellt aus:
      2.

    Weisen Sie das entsprechende Richtlinientag zu, und wählen Sie Aktualisieren und auf Gerät anwenden aus.

    Vorsicht: Beachten Sie, dass eine Änderung des Policy Tags an einem AP dazu führt, dass sich der AP vom WLC trennt und dann wieder verbindet.

    Flexconnect

    Dank der Flexconnect-Funktion können APs Wireless-Client-Daten an den Ausgangs-LAN-Port senden, wenn sie als Trunk konfiguriert sind. Dieser als Flexconnect Local Switching bezeichnete Modus ermöglicht es dem WAP, den Client-Datenverkehr zu isolieren, indem er ihn in separaten VLANs von seiner Verwaltungsschnittstelle kennzeichnet. Dieser Abschnitt enthält Anweisungen zum Konfigurieren der dynamischen VLAN-Zuweisung für das Szenario des lokalen Switching.

    note-icon

    Hinweis: Die im vorherigen Abschnitt beschriebenen Schritte gelten auch für das Flexconnect-Szenario. Führen Sie zum Abschließen der Konfiguration für Flexconnect die in diesem Abschnitt beschriebenen zusätzlichen Schritte aus.

    Switch für mehrere VLANs konfigurieren

    Um mehrere VLANs über den Switch zuzulassen, müssen Sie die folgenden Befehle ausführen, um den mit dem AP verbundenen Switch-Port zu konfigurieren:

    1. Switch(config-if)#switchport mode trunk
    2. Switch(config-if)#switchport trunk encapsulation dot1q
      3.
    note-icon

    Hinweis: Standardmäßig lassen die meisten Switches alle VLANs zu, die auf dem Switch über den Trunk-Port erstellt werden.

    FlexConnect-Richtlinienprofilkonfiguration

    1. Navigieren Sie zu Configuration > Tags & Profiles > Policy Profile > +Add, und erstellen Sie eine neue Richtlinie.
    2. Fügen Sie den Namen hinzu, und deaktivieren Sie das Kontrollkästchen Central Switching und Central DHCP. Bei dieser Konfiguration verarbeitet der Controller die Client-Authentifizierung, während der FlexConnect Access Point die Client-Datenpakete und DHCP lokal umschaltet.


      jonathga_0-1706631933656
      note-icon

      Hinweis: Ab dem Code 17.9.x wurde die Darstellung des Richtlinienprofils aktualisiert, wie in der Abbildung dargestellt.

      Screenshot 2024-02-16 at 2.42.25 PM

    3. Weisen Sie auf der Registerkarte Access Policies (Zugriffsrichtlinien) das VLAN zu, dem die Wireless-Clients bei der standardmäßigen Verbindung mit diesem WLAN zugewiesen sind.

      jonathga_1-1706632001785
      note-icon

      Hinweis: Das in diesem Schritt konfigurierte VLAN muss nicht in der VLAN-Liste des WLC vorhanden sein. Die erforderlichen VLANs werden später dem Flex-Profile hinzugefügt, wodurch die VLANs auf dem AP selbst erstellt werden.



    4. Aktivieren Sie auf der Registerkarte Advance (Erweitert) das Kontrollkästchen Allow AAA Override (AAA Außerkraftsetzung zulassen), um die WLC-Konfigurationen durch den RADIUS-Server außer Kraft zu setzen.

      jonathga_2-1706632026213

      5.

    Flexconnect-Richtlinienprofil einem WLAN- und Policy-Tag zuweisen

    note-icon

    Hinweis: Ein Policy Tag (Richtlinien-Tag) wird verwendet, um das WLAN mit dem Richtlinienprofil zu verbinden. Sie können entweder ein neues Richtlinien-Tag erstellen oder das Standard-Richtlinien-Tag verwenden.
    1. Navigieren Sie zu Configuration > Tags & Profiles > Tags > Policy, und fügen Sie bei Bedarf eine neue hinzu.

      jonathga_3-1706632177957
    2. Geben Sie einen Namen für das Policy Tag ein, und klicken Sie auf die Schaltfläche "Hinzufügen".

      jonathga_4-1706632213815
    3. Verknüpfen Sie Ihr WLAN-Profil mit dem gewünschten Richtlinienprofil.

      jonathga_5-1706632239122
    4. Klicken Sie auf die Schaltfläche Auf Gerät anwenden.
      5.

    jonathga_6-1706632270590

    Konfigurieren des Flex Profile

    Um eine VLAN-ID über RADIUS auf einem FlexConnect AP dynamisch zuzuweisen, muss die im Attribut "Tunnel-Private-Group ID" der RADIUS-Antwort genannte VLAN-ID auf den Access Points vorhanden sein. Die VLANs werden im Flex-Profil konfiguriert. 

    1. Navigieren Sie zu Konfiguration > Tags & Profile > Flex > + Add.

      Screenshot 2024-01-30 am 11.45.19
    2. Klicken Sie auf die Registerkarte Allgemein, weisen Sie dem Flex-Profil einen Namen zu, und konfigurieren Sie eine native VLAN-ID für den AP.

      Screenshot 2024-01-30 am 11.39.28
      note-icon

      Hinweis: Die native VLAN-ID bezieht sich auf das Management-VLAN für den Access Point. Daher muss sie mit der nativen VLAN-Konfiguration des Switches übereinstimmen, mit dem der Access Point verbunden ist.

    3. Navigieren Sie zur Registerkarte VLAN, und klicken Sie auf die Schaltfläche "Hinzufügen", um alle erforderlichen VLANs einzugeben.

      Screenshot 2024-01-30 at 11.49.19 AM
      4.
    note-icon

    Hinweis: In Schritt 3 des Abschnitts "Flexconnect Policy Profile Configuration" (Flexconnect-Richtlinienprofil-Konfiguration) haben Sie das der SSID zugewiesene Standard-VLAN konfiguriert. Wenn Sie in diesem Schritt einen VLAN-Namen verwenden, stellen Sie sicher, dass Sie in der Flex Profile-Konfiguration denselben VLAN-Namen verwenden. Andernfalls können die Clients keine Verbindung mit dem WLAN herstellen.

    Konfiguration von Flex Site-Tags

    1. Navigieren Sie zu Configuration > Tags & Profiles > Tags > Site > +Add, um ein neues Site-Tag zu erstellen.
    2. Deaktivieren Sie das Kontrollkästchen Enable Local Site (Lokalen Standort aktivieren), damit APs den Client-Datenverkehr lokal schalten können, und fügen Sie das im Abschnitt Configure the Flex Profile (Konfigurieren des Flex-Profils) erstellte Flex-Profil hinzu.

      Bild 1

      3.

    Weisen Sie die Richtlinien- und Site-Tag-Nummer einem AP zu.

    1. Navigieren Sie zu Configuration > Wireless > Access Points > AP Name > General Tags, weisen Sie die entsprechende Richtlinie und Site-Tag zu, und klicken Sie dann auf Update & Apply to Device (Aktualisieren und auf Gerät anwenden).
      2.

    Bild 2

    Warnsymbol

    Vorsicht: Beachten Sie, dass eine Änderung der Richtlinie und des Site-Tags an einem AP dazu führt, dass sich der AP vom WLC trennt und dann wieder verbindet.
    note-icon

    Hinweis: Wenn der Access Point im lokalen Modus (oder einem anderen Modus) konfiguriert ist und dann ein Site-Tag mit deaktivierter Einstellung "Lokalen Standort aktivieren" erhält, startet der Access Point neu und kehrt im FlexConnect-Modus zurück.

    Überprüfung

    Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Konfigurieren Sie das SSID-Profil des Testclients mithilfe des richtigen EAP-Protokolls und der in der ISE definierten Anmeldeinformationen, die eine dynamische VLAN-Zuweisung zurückgeben können. Wenn Sie zur Eingabe eines Benutzernamens und Kennworts aufgefordert werden, geben Sie die Informationen des Benutzers ein, der einem VLAN auf der ISE zugeordnet ist.

    Im vorherigen Beispiel wurde Smith-102 dem VLAN102 zugewiesen, wie im RADIUS-Server angegeben. In diesem Beispiel wird dieser Benutzername verwendet, um die Authentifizierung zu erhalten und einem VLAN vom RADIUS-Server zugewiesen zu werden:

    Nachdem die Authentifizierung abgeschlossen ist, müssen Sie überprüfen, ob der Client dem richtigen VLAN gemäß den gesendeten RADIUS-Attributen zugewiesen ist. Führen Sie die folgenden Schritte aus, um diese Aufgabe auszuführen:

    1. Navigieren Sie in der Controller-GUI zum VLAN-Feld, Monitoring > Wireless > Clients > Select the client MAC address > General > Security Information und suchen Sie es, wie im Bild gezeigt:

      Überprüfen Sie, ob der Client dem richtigen VLAN zugewiesen ist.

      In diesem Fenster können Sie beobachten, dass dieser Client VLAN102 gemäß den auf dem RADIUS-Server konfigurierten RADIUS-Attributen zugewiesen wird.

      Über die CLI können Sie die gleichen Informationen wie im Bild show wireless client summary detail anzeigen:

      Überprüfen Sie, ob der Client dem richtigen VLAN über die CLI zugewiesen ist.

    2. Es ist möglich, die Übertragung der RADIUS-Attribute Radioactive traces an den WLC erfolgreich zu ermöglichen. Gehen Sie dazu folgendermaßen vor:
      1. Navigieren Sie über die Benutzeroberfläche des Controllers zu Troubleshooting > Radioactive Trace > +Add.
      2. Geben Sie die MAC-Adresse des Wireless-Clients ein.
      3. Wählen Sie Start.
      4. Verbinden des Clients mit dem WLAN
      5. Navigieren Sie zu Stop > Generate > Choose 10 minutes > Apply to Device > Select the trace file to download the log.
        6.

    Dieser Teil der Ablaufverfolgungsausgabe stellt eine erfolgreiche Übertragung der RADIUS-Attribute sicher:

    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  User-Name           [1]     13  "smith-102"
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  State               [24]    40  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Class               [25]    54  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Type         [64]     6  VLAN                   [13]
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Medium-Type  [65]     6  ALL_802                [6]
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Message         [79]     6  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Message-Authenticator[80]    18  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Private-Group-Id[81]     6  "102"
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Key-Name        [102]   67  *
    2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Send-Key   [16]    52  *
    2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Recv-Key   [17]    52  *
    2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008

    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :            username   0 "smith-102" ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :               class   0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30  ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :         tunnel-type   1 13 [vlan] ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :  tunnel-medium-type   1 6 [ALL_802] ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id   1 "102" ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :             timeout   0 1800 (0x708) ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile

    Fehlerbehebung

    Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    11-Apr-2024
    Rezertifizierung
    2.0
    02-Jun-2022
    Bildgröße ändern
    1.0
    14-Apr-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Jonathan de Jesus Garcia
      Cisco TAC Engineer
    • Jose Pablo Munoz
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.