Ejemplo de Configuración de Asignación de VLAN Dinámica con WLCs Basada en ISE a Active Directory Group Mapping

Opciones de descarga

  • PDF     (2.2 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.5 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:31 de mayo de 2019
ID del documento:99121

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento presenta el concepto de asignación de VLAN dinámica. El documento describe cómo configurar el controlador de LAN inalámbrica (WLC) y el servidor ISE para asignar clientes de LAN inalámbrica (WLAN) a una VLAN específica dinámicamente.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Contar con conocimientos básicos sobre controladores de LAN inalámbrica (WLC) y puntos de acceso ligeros (LAP)

  • Contar con conocimientos funcionales de un servidor de autenticación, autorización y contabilidad (AAA) como Identity Services Engine (ISE)

  • Conozca a fondo las redes inalámbricas y los problemas de seguridad inalámbrica.
  • Tener conocimientos funcionales y configurables sobre asignación de VLAN dinámica
  • Comprender de forma básica los servicios de Microsoft Windows AD, así como los conceptos de controlador de dominio y DNS
  • Conocimientos básicos sobre control y aprovisionamiento del protocolo de punto de acceso (CAPWAP)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • WLC de la serie 5520 de Cisco que ejecuta la versión de firmware 8.8.111.0

  • AP Cisco serie 4800

  • Suplicante nativo de Windows y NAM de Anyconnect.

  • Cisco Secure ISE versión 2.3.0.298

  • Microsoft Windows 2016 Server configurado como controlador de dominio

  • Switch de la serie Cisco 3560-CX que ejecuta la versión 15.2(4)E1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

  

Asignación de VLAN Dinámica con Servidor RADIUS

En la mayoría de los sistemas WLAN, cada WLAN tiene una política estática que se aplica a todos los clientes asociados a un identificador de conjunto de servicios (SSID) o WLAN en la terminología del controlador. Aunque poderoso, este método tiene limitaciones porque requiere que los clientes se asocien con diferentes SSID para heredar diferentes QoS y políticas de seguridad.

La solución WLAN de Cisco aborda esa limitación mediante el soporte de las redes de identidad. Esto permite que la red anuncie un solo SSID, pero permite a usuarios específicos heredar diferentes QoS, atributos de VLAN y/o políticas de seguridad basadas en las credenciales del usuario.

La asignación de VLAN dinámica es una de estas funciones que colocan a un usuario inalámbrico en una VLAN específica en función de las credenciales suministradas por el usuario. Esta tarea de asignar usuarios a una VLAN específica es manejada por un servidor de autenticación RADIUS, como Cisco ISE. Esto se puede utilizar, por ejemplo, para permitir que el host inalámbrico permanezca en la misma VLAN a medida que se desplaza dentro de una red de campus.

El servidor Cisco ISE autentica a los usuarios inalámbricos en una de las varias bases de datos posibles, que incluye su base de datos interna, por ejemplo:

  • DB interna

  • Active Directory

  • Protocolo ligero genérico de acceso a directorios (LDAP)

  • Bases de datos relacionales compatibles con Open Database Connectivity (ODBC)

  • Servidores token Rivest, Shamir y Adelman (RSA) SecurID

  • Servidores Token compatibles con RADIUS

Los protocolos de autenticación de Cisco ISE y los orígenes de identidad externos admitidos enumeran los diversos protocolos de autenticación admitidos por las bases de datos internas y externas de ISE.

Este documento se centra en la autenticación de usuarios inalámbricos que utilizan la base de datos externa de directorio activo de Windows.

Después de la autenticación correcta, ISE recupera la información de grupo de ese usuario de la base de datos de Windows y asocia al usuario al perfil de autorización correspondiente.

Cuando un cliente intenta asociarse a un LAP registrado con un controlador, el LAP pasa las credenciales del usuario al WLC usando el método EAP respectivo.

El WLC envía esas credenciales a ISE usando el protocolo RADIUS (encapsulando el EAP) e ISE pasa las credenciales de los usuarios a AD para su validación usando el protocolo KERBEROS.

AD valida las credenciales del usuario y, tras la autenticación correcta, informa al ISE.

Una vez que la autenticación se realiza correctamente, el servidor ISE pasa ciertos atributos de Internet Engineering Task Force (IETF) al WLC. Estos atributos de RADIUS deciden la ID de VLAN que se debe asignar al cliente inalámbrico. El SSID (WLAN, en términos de WLC) del cliente no importa porque el usuario siempre está asignado a este ID de VLAN predeterminado.

Los atributos del usuario de RADIUS que se utilizan para la asignación del ID de VLAN son:

  • IETF 64 (tipo de túnel)Establezca esto en VLAN.

  • IETF 65 (tipo de túnel medio)Establezca esto en 802

  • IETF 81 (ID de grupo privado de túnel)Establezca esto en ID de VLAN.

La ID de VLAN es 12 bits y recibe un valor entre 1 y 4094, ambos incluidos. Debido a que el Tunnel-Private-Group-ID es de tipo string, como se define en RFC2868 para su uso con IEEE 802.1X, el valor entero de ID de VLAN se codifica como una cadena. Una vez que se envían estos atributos del túnel, es necesario rellenar el campo Tag (Etiqueta).

Como se indica en RFC 2868 , sección 3.1: El campo Tag (etiqueta) tiene un octeto de longitud y está diseñado para proporcionar un medio de agrupamiento de atributos en el mismo paquete que hace referencia al mismo túnel. Los valores válidos para este campo son de 0x01 a 0x1F, ambos incluidos. Si el campo Tag (Etiqueta) no se utiliza, debe tener el valor cero (0x00). Consulte RFC 2868 para obtener más información sobre todos los atributos de RADIUS.

Configurar

  En esta sección encontrará la información para configurar las funciones descritas en este documento.

Diagrama de la red

Configuraciones

Estos son detalles de configuración de los componentes utilizados en este diagrama:

  • La dirección IP del servidor ISE (RADIUS) es 10.48.39.128.

  • La dirección de la interfaz de administración y administrador de AP del WLC es 10.48.71.20.

  • El servidor DHCP reside en la red LAN y se configura para los grupos de clientes respectivos; no se muestra en el diagrama

  • VLAN1477 y VLAN1478 se utilizan a lo largo de esta configuración. Los usuarios del departamento de marketing están configurados para ubicarse en la VLAN1477 y los usuarios del departamento de RR. HH. están configurados para ser colocados en VLAN1478 por el servidor RADIUS cuando ambos usuarios se conectan al mismo SSID — office_hq.

    VLAN1477: 192.168.77.0/24. Gateway: 192.168.77.1 VLAN1478: 192.168.78.0/24. Gateway: 192.168.78.1 

  • Este documento utiliza 802.1x con PEAP-mschapv2 como mecanismo de seguridad.

    Nota: Cisco recomienda que utilice métodos de autenticación avanzados, como EAP-FAST y autenticación EAP-TLS, para proteger la WLAN.

Estas suposiciones se realizan antes de realizar esta configuración:

  • El LAP ya está registrado con el WLC.

  • Al servidor DHCP se le asigna un alcance DHCP.

  • Existe conectividad de capa 3 entre todos los dispositivos de la red.

  • El documento describe la configuración requerida en el lado inalámbrico y asume que la red por cable está en su lugar.

  • Los usuarios y grupos respectivos se configuran en AD.

Para lograr la asignación de VLAN dinámica con WLC basada en el mapeo de grupo de ISE a AD, estos pasos deben realizarse:

  1. Integración de ISE a AD y configuración de políticas de autenticación y autorización para usuarios en ISE
  2. Configuración del WLC para soportar la autenticación dot1x y la anulación de AAA para SSID 'office_hq'
  3. Configuración del solicitante del cliente final

Integración de ISE a AD y configuración de políticas de autenticación y autorización para usuarios en ISE

  1. Inicie sesión en la interfaz de usuario Web ISE mediante la cuenta admin.
  2. Navegar bajo "Administration -> Identity management -> External Identity Sources -> Active Directory"

  3. Haga clic en "Agregar" e introduzca el nombre de dominio y el nombre del almacén de identidad de la configuración de Active Directory Join Point Name (Nombre de punto de unión de Active Directory). En el siguiente ejemplo, estamos registrando ISE en el dominio 'wlaaan.com' y el punto de unión se especifica como AD.wlaaan.com - nombre localmente significativo para ISE.
  4. Se abrirá una ventana emergente después de pulsar el botón "Enviar" preguntándonos si queremos unirnos a ISE a AD inmediatamente. Pulse el botón "" y proporcione credenciales de usuario de Active Directory con derechos de administrador para agregar un nuevo host al dominio.
  5. Después de este punto, debe registrar ISE correctamente en AD.

    En caso de que tenga algún problema con el proceso de registro, puede utilizar "Herramienta Diagnóstica" para ejecutar las pruebas requeridas para la conectividad AD.
  6. Necesitamos recuperar grupos para Active Directory que se utilizarán para asignar los perfiles de autorización respectivos. Desplácese bajo "Administration -> Identity management -> External Identity Sources -> Active directory -> <Your AD> -> Groups", haga clic en el botón "Add" y seleccione "Select Groups from Active Directory".
  7. Se abrirá una nueva ventana emergente donde puede especificar un filtro para recuperar grupos específicos o recuperar todos los grupos de AD.
    Seleccione los grupos respectivos de la lista de grupos AD y pulse "Aceptar"
  8. Los grupos correspondientes se agregarán a ISE y se pueden guardar. Pulse "Guardar".
  9. Agregue el WLC a la lista de dispositivos de red ISE - navegue bajo "Administration -> Network Resources -> Network Devices" y presione "Add".
    Configuración completa, proporcionando dirección IP de administración del WLC y secreto compartido RADIUS entre el WLC y el ISE.
  10. Ahora, después de unirnos a ISE para AD y agregar el WLC a la lista de dispositivos, podemos iniciar la configuración de las políticas de autenticación y autorización para los usuarios.
    • Cree un perfil de autorización para asignar usuarios desde Marketing a VLAN1477 y desde el grupo HR a VLAN1478.
      Navegue bajo "Política -> Elementos de política -> Resultados -> Autorización -> Perfiles de autorización" y haga clic en el botón "Agregar" para crear un nuevo perfil.
    • Configuración completa del perfil de autorización con información de VLAN para el grupo respectivo; El siguiente ejemplo muestra la configuración de grupo "Marketing".

      Se debe realizar una configuración similar para otros grupos y se debe configurar el atributo de etiqueta VLAN respectivo.
    • Después de configurar los perfiles de autorización, podemos definir políticas de autenticación para los usuarios inalámbricos. Esto se puede hacer configurando "Personalizado" o modificando el conjunto de políticas "Predeterminado". En este ejemplo, estamos modificando el conjunto de políticas "Predeterminado". Abra "Policy -> Policy Set -> Default". De forma predeterminada para el tipo de autenticación dot1x, ISE va a utilizar 'All_User_ID_Stores', aunque funcionará incluso con la configuración predeterminada actual, ya que "AD" es parte de la lista de origen de identidad de All_User_ID_Stores, este ejemplo utiliza una regla más específica "WLC_lab" para ese controlador LAB respectivo y usará "solamenteAD" como fuente para la autenticación.
    • Ahora necesitamos crear políticas de autorización para los usuarios que asignarán el perfil de autorización correspondiente en función de la pertenencia al grupo. Abra la sección "Política de autorización" y cree políticas para cumplir con ese requisito.

Configuración del WLC para soportar la autenticación dot1x y la anulación de AAA para SSID 'office_hq'

  1. Configure ISE como servidor de autenticación RADIUS en el WLC, bajo la sección "Seguridad -> AAA -> RADIUS -> Autenticación" en la interfaz de interfaz de usuario web y proporcione la dirección IP de ISE e información secreta compartida.


  2. Configure SSID office_hq en la sección "WLANs" en el WLC; a continuación, se configura el SSID con la anulación de WPA2/AES+dot1x y AAA. La interfaz "Dummy" se selecciona para la WLAN, ya que la vlan adecuada se asignará a través de RADIUS de todos modos. Esta interfaz ficticia se debe crear en el WLC y se le debe dar una dirección ip, pero la dirección ip no tiene que ser válida y la vlan en la que se coloca puede no ser creada en el switch de link ascendente, de modo que si no se asigna ninguna VLAN el cliente no puede ir a ninguna parte.









  3. También necesitamos crear interfaces dinámicas en el WLC para las VLAN de usuario, en el menú de interfaz de usuario Controller -> Interfaces. El WLC sólo puede honrar la asignación de vlan recibida a través de AAA si tiene una interfaz dinámica en esa vlan.

Verificación

Utilizaremos el suplicante nativo de Windows 10 y el NAM de Anyconnect para probar las conexiones.

Dado que utilizamos la autenticación EAP-PEAP e ISE utiliza un certificado firmado automáticamente (SSC), deberíamos aceptar la advertencia de certificado o deshabilitar la validación de certificado. En un entorno corporativo, debe utilizar un certificado firmado y de confianza en ISE y asegurarse de que los dispositivos de usuario final tengan instalado el certificado raíz adecuado en la lista CA de confianza.

Probar la conexión con Windows 10 y suplicante nativo.

  1. Abra "Network & Internet settings -> Wi-Fi -> Manage known networks" y cree un nuevo perfil de red pulsando el botón "Add new network" button; rellene la información requerida.
  2. Verifique el registro de autenticación en ISE y asegúrese de que el perfil correcto esté seleccionado para el usuario.
  3. Verifique la entrada del cliente en el WLC y asegúrese de que esté asignado a la VLAN derecha y esté en el estado RUN.
  4. Desde WLC CLI el estado del cliente se puede verificar con "show client dertails <mac-address>":
     
    show client detail f4:8c:50:62:14:6b 
Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Bob
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Bob
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 242 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.78.36
Gateway Address.................................. 192.168.78.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
EAP Type......................................... PEAP
Interface........................................ vlan1478
VLAN............................................. 1478
Quarantine VLAN.................................. 0
Access VLAN...................................... 1478

Pruebe la conexión con Windows 10 y Anyconnect NAM.

  1. Seleccione SSID de la lista de SSID disponibles y el tipo de autenticación EAP correspondiente (en este ejemplo PEAP) y el formulario de autenticación interna
  2. Proporcione el nombre de usuario y la contraseña para la autenticación de usuario.
  3. Dado que ISE está enviando al cliente un SSC, necesitamos seleccionar manualmente para confiar en el certificado (en el entorno de producción se recomienda instalar un certificado de confianza en ISE).
  4. Verifique los registros de autenticación en ISE y asegúrese de que el perfil de autorización correcto esté seleccionado para el usuario.

  5. Verifique la entrada del cliente en el WLC y asegúrese de que esté asignado a la VLAN correcta y esté en el estado RUN.

  6. Desde WLC CLI el estado del cliente se puede verificar con "show client dertails <mac-address>":
     
    Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Alice
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Alice
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 765 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.77.32
Gateway Address.................................. 192.168.77.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... PEAP
Interface........................................ vlan1477
VLAN............................................. 1477

Troubleshoot

  1. Utilice "test aaa radius username <user> password <password> wlan-id <id>" para probar la conexión RADIUS entre WLC e ISE y "test aaa show radius" para mostrar los resultados. 
    test aaa radius username Alice password <removed> wlan-id 2

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  Called-Station-Id               00-00-00-00-00-00:AndroidAP
  Calling-Station-Id              00-11-22-33-44-55
  Nas-Port                        0x00000001 (1)
  Nas-Ip-Address                  10.48.71.20
  NAS-Identifier                  0x6e6f (28271)
  Airespace / WLAN-Identifier     0x00000002 (2)
  User-Password                   cisco!123 
  Service-Type                    0x00000008 (8)
  Framed-MTU                      0x00000514 (1300)
  Nas-Port-Type                   0x00000013 (19)
  Cisco / Audit-Session-Id        1447300a0000003041d5665c
  Acct-Session-Id                 5c66d541/00:11:22:33:44:55/743



test radius auth request successfully sent. Execute 'test aaa show radius' for response

(Cisco Controller) >test aaa show radius 

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none
Radius Test Response

Radius Server            Retry Status
-------------            ----- ------
10.48.39.128             1     Success

Authentication Response:
  Result Code: Success

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  State                           ReauthSession:1447300a0000003041d5665c
  Class                           CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59
  Tunnel-Type                     0x0000000d (13)
  Tunnel-Medium-Type              0x00000006 (6)
  Tunnel-Group-Id                 0x000005c5 (1477)



(Cisco Controller) >
  2. Utilice "debug client <mac-address>" para resolver problemas de conectividad del cliente inalámbrico.
  3. Utilice "debug aaa all enable" para resolver problemas de autenticación y autorización en el WLC.
    Nota: utilice este comando solamente con 'debug mac addr <mac-address>' para limitar la salida basada en la dirección MAC para la cual se realiza la depuración.
  4.  Consulte Registros en directo de ISE y registros de sesión para identificar problemas de fallas de autenticación y problemas de comunicación de AD.
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Roman Manchur
    Cisco TAC Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos