Configuración de ACS 5.2 para la autenticación basada en puerto con LAP

Introducción

Este documento describe cómo configurar un Lightweight Access Point (LAP) como supplicant 802.1x para autenticarse en un servidor RADIUS como un Access Control Server (ACS) 5.2.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de realizar esta configuración:

• Conocimientos básicos del controlador de LAN inalámbrica (WLC) y los LAP.

• Tener conocimiento funcional del servidor AAA.

• Conozca a fondo las redes inalámbricas y los problemas de seguridad inalámbrica.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco 5508 WLC que ejecuta la versión de firmware 7.0.220.0

• LAP de la serie 3502 de Cisco

• Cisco Secure ACS que ejecuta la versión 5.2

• Switch Cisco serie 3560

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Los LAP tienen instalados de fábrica certificados X.509 -firmados por una clave privada- que se queman en el dispositivo en el momento de la fabricación. Los LAP utilizan este certificado para autenticarse con el WLC en el proceso de unión. Este método describe otra manera de autenticar los LAPs. Con el software WLC, puede configurar la autenticación 802.1x entre un punto de acceso Cisco Aironet (AP) y un switch Cisco. En este caso, el AP actúa como suplicante 802.1x y es autenticado por el switch contra un servidor RADIUS (ACS) que utiliza EAP-FAST con aprovisionamiento PAC anónimo. Una vez que se configura para la autenticación 802.1x, el switch no permite que ningún tráfico que no sea 802.1x pase a través del puerto hasta que el dispositivo conectado al puerto se autentique correctamente. Un AP se puede autenticar antes de que se una a un WLC o después de que se ha unido a un WLC, en cuyo caso usted configura 802.1x en el switch después de que el LAP se une al WLC.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Estos son los detalles de configuración de los componentes utilizados en este diagrama:

• La dirección IP del servidor ACS (RADIUS) es 192.168.150.24.

• La dirección de la interfaz de administración y administrador de AP del WLC es 192.168.75.44.

• Los servidores DHCP dirigen 192.168.150.25.

• El LAP se coloca en la VLAN 253.

• VLAN 253: 192.168.153.x/24. Gateway: 192.168.153.10

• VLAN 75: 192.168.75.x/24. Gateway: 192.168.75.1

Suposición

• Los switches se configuran para todas las VLAN de Capa 3.

• Al servidor DHCP se le asigna un alcance DHCP.

• Existe conectividad de capa 3 entre todos los dispositivos de la red.

• El LAP ya está unido al WLC.

• Cada VLAN tiene una máscara /24.

• ACS 5.2 tiene instalado un certificado de firma automática.

Configuration Steps

Esta configuración se divide en tres categorías:

1. Configuración de LAP.

2. Configure el switch.

3. Configure el servidor RADIUS.

Configurar LAP

Suposiciones

El LAP ya está registrado en el WLC usando la opción 43, DNS o la IP de la interfaz de administración del WLC configurada estáticamente.

Complete estos pasos:

1. Vaya a Wireless > Access Points > All AP para verificar el registro de LAP en el WLC.

   

2. Puede configurar las credenciales 802.1x (es decir, nombre de usuario/contraseña) para todos los LAP de dos maneras:

   • Globalmente

     Para un LAP ya unido, puede establecer las credenciales globalmente para que cada LAP que se una al WLC herede esas credenciales.

     

   • Individualmente

     Configure 802.1 x perfiles por AP. En nuestro ejemplo, configuraremos las credenciales por AP.

     1. Vaya a Wireless > All AP, y seleccione el AP correspondiente.

     2. Agregue el nombre de usuario y la contraseña en los campos Credenciales del solicitante 802.1x.

     

     Nota: Las credenciales de inicio de sesión se utilizan para Telnet, SSH o la consola en el AP.

3. Configure la sección Alta Disponibilidad y haga clic en Aplicar.

   

   Nota: Una vez guardadas, estas credenciales se retienen a través del WLC y el AP se reinicia. Las credenciales cambian solamente cuando el LAP se une a un nuevo WLC. El LAP asume el nombre de usuario y la contraseña que se configuraron en el nuevo WLC.

   Si el AP todavía no se ha unido a un WLC, debe conectarse al LAP para establecer las credenciales. Ejecute este comando CLI en el modo de habilitación:

   LAP#lwapp ap dot1x username <username> password <password>

   or

   LAP#capwap ap dot1x username <username> password <password>

   Nota: Este comando está disponible solamente para los AP que ejecutan la imagen de recuperación.

   El nombre de usuario y la contraseña predeterminados para el LAP son cisco y Cisco respectivamente.

Configurar switch

El switch actúa como un autenticador para el LAP y autentica el LAP contra un servidor RADIUS. Si el switch no tiene el software compatible, actualice el switch. En la CLI del switch, ejecute estos comandos para habilitar la autenticación 802.1x en un puerto del switch:

switch#configure terminal
switch(config)#dot1x system-auth-control
switch(config)#aaa new-model

!--- Enables 802.1x on the Switch.

switch(config)#aaa authentication dot1x default group radius
switch(config)#radius server host 192.168.150.24 key cisco

!--- Configures the RADIUS server with shared secret and enables switch to send !--- 802.1x information to the RADIUS server for authentication.

switch(config)#ip radius source-interface vlan 253

!--- We are sourcing RADIUS packets from VLAN 253 with NAS IP: 192.168.153.10.

switch(config)interface gigabitEthernet 0/11
switch(config-if)switchport mode access
switch(config-if)switchport access vlan 253
switch(config-if)mls qos trust dscp
switch(config-if)spanning-tree portfast

!--- gig0/11 is the port number on which the AP is connected.

switch(config-if)dot1x pae authenticator

!--- Configures dot1x authentication.

switch(config-if)dot1x port-control auto

!--- With this command, the switch initiates the 802.1x authentication.

Nota: Si tiene otros AP en el mismo switch y no desea que utilicen 802.1x, puede dejar el puerto no configurado para 802.1x o ejecutar este comando:

switch(config-if)authentication port-control force-authorized

Configurar servidor RADIUS

El LAP se autentica con EAP-FAST. Asegúrese de que el servidor RADIUS que utiliza soporte este método EAP si no utiliza Cisco ACS 5.2.

La configuración del servidor RADIUS se divide en cuatro pasos:

1. Configure los recursos de red.

2. Configurar usuarios.

3. Definir los elementos de política.

4. Aplique políticas de acceso.

ACS 5.x es un ACS basado en políticas. En otras palabras, ACS 5.x utiliza un modelo de políticas basado en reglas en lugar del modelo basado en grupos utilizado en las versiones 4.x.

El modelo de políticas basado en reglas ACS 5.x proporciona un control de acceso más potente y flexible en comparación con el enfoque basado en grupos más antiguo.

En el modelo anterior basado en grupos, un grupo define la política porque contiene y une tres tipos de información:

• Información de identidad: esta información puede basarse en la pertenencia a grupos AD o LDAP o en una asignación estática para usuarios internos de ACS.

• Otras restricciones o condiciones: restricciones de tiempo, restricciones de dispositivos, etc.

• Permisos: niveles de privilegio de VLAN o Cisco IOS^®.

El modelo de política ACS 5.x se basa en las reglas del formulario:

Si la condición es resultado

Por ejemplo, utilizamos la información descrita para el modelo basado en grupos:

Si la condición de identidad, la condición de restricción y el perfil de autorización.

Como resultado, esto nos da flexibilidad para limitar las condiciones bajo las cuales el usuario puede acceder a la red y también qué nivel de autorización se permite cuando se cumplen condiciones específicas.

Configurar recursos de red

En esta sección, configuramos el cliente AAA para el switch en el servidor RADIUS.

Este procedimiento explica cómo agregar el switch como un cliente AAA en el servidor RADIUS para que el switch pueda pasar las credenciales de usuario del LAP al servidor RADIUS.

Complete estos pasos:

1. Desde la GUI de ACS, haga clic en Recursos de Red.

2. Haga clic en Grupos de dispositivos de red.

3. Vaya a Ubicación > Crear (en la parte inferior ).

   

4. Agregue los campos obligatorios y haga clic en Enviar.

   

5. La ventana se actualiza:

   

6. Haga clic en Tipo de dispositivo > Crear.

   

7. Haga clic en Submit (Enviar). Una vez completada, la ventana se actualiza:

   

8. Vaya a Recursos de Red > Dispositivos de Red y Clientes AAA.

9. Haga clic en Crear, y rellene los detalles como se muestra aquí:

   

10. Haga clic en Submit (Enviar). La ventana se actualiza:

    

Configurar usuarios

En esta sección, verá cómo crear un usuario en el ACS configurado previamente. Asignará el usuario a un grupo denominado "usuarios LAP".

Complete estos pasos:

1. Vaya a Usuarios y Almacenes de Identidad > Grupos de Identidad > Crear.

   

2. Haga clic en Submit (Enviar).

   

3. Cree 3502e y asígnele al grupo "usuarios LAP".

4. Vaya a Usuarios y Almacenes de Identidad > Grupos de Identidad > Usuarios > Crear.

   

5. Verá la información actualizada:

   

Definir elementos de política

Verifique que Permit Access esté configurado.

Aplicación de políticas de acceso

En esta sección, seleccionará EAP-FAST como el método de autenticación utilizado para los LAPs para autenticar. A continuación, creará reglas basadas en los pasos anteriores.

Complete estos pasos:

1. Vaya a Políticas de Acceso > Servicios de Acceso > Acceso a Red Predeterminado > Editar: "Acceso de red predeterminado".

   

2. Asegúrese de haber habilitado EAP-FAST y aprovisionamiento PAC anónimo en banda.

   

   

3. Haga clic en Submit (Enviar).

4. Verifique el grupo de identidad que ha seleccionado. En este ejemplo, utilice Usuarios internos (que se creó en el ACS) y guarde los cambios.

   

5. Vaya a Access Policies > Access Services > Default Network Access > Authorization para verificar el perfil de autorización.

   Puede personalizar en qué condiciones permitirá que un usuario acceda a la red y qué perfil de autorización (atributos) pasará una vez autenticado. Esta granularidad sólo está disponible en ACS 5.x. En este ejemplo, se seleccionan Location, Device Type, Protocol, Identity Group y EAP Authentication Method.

   

6. Haga clic en Aceptar y Guardar cambios.

7. El siguiente paso es crear una regla. Si no se define ninguna regla, se permite el acceso de LAP sin ninguna condición.

8. Haga clic en Crear > Regla-1. Esta regla es para usuarios del grupo "usuarios LAP".

   

9. Haga clic en Guardar cambios. Si desea que los usuarios que no coincidan con las condiciones se rechacen, edite la regla predeterminada para que diga "Denegar acceso".

   

10. El último paso es definir las reglas de selección de servicio. Utilice esta página para configurar una política simple o basada en reglas para determinar qué servicio aplicar a las solicitudes entrantes. Por ejemplo:

    

Verificación

Una vez que se habilita 802.1x en el puerto del switch, todo el tráfico, excepto el tráfico 802.1x, se bloquea a través del puerto. El LAP, que ya está registrado en el WLC, se desasocia. Sólo después de una autenticación 802.1x exitosa se permite el paso de otro tráfico. El registro exitoso del LAP en el WLC después de que el 802.1x esté habilitado en el switch indica que la autenticación del LAP es exitosa.

Consola AP:

*Jan 29 09:10:24.048: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to
   192.168.75.44:5246
*Jan 29 09:10:27.049: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to
   192.168.75.44:5247

!--- AP disconnects upon adding dot1x information in the gig0/11.

*Jan 29 09:10:30.104: %WIDS-5-DISABLED: IDS Signature is removed and disabled.
*Jan 29 09:10:30.107: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Jan 29 09:10:30.107: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Jan 29 09:10:30.176: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to
   administratively down
*Jan 29 09:10:30.176: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to
   administratively down
*Jan 29 09:10:30.186: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to
   reset
*Jan 29 09:10:30.201: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to up
*Jan 29 09:10:30.211: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:10:30.220: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to
   reset
Translating "CISCO-CAPWAP-CONTROLLER"...domain server (192.168.150.25)
*Jan 29 09:10:36.203: status of voice_diag_test from WLC is false

*Jan 29 09:11:05.927: %DOT1X_SHIM-6-AUTH_OK: Interface GigabitEthernet0 authenticated [EAP-FAST] *Jan 29 09:11:08.947: %DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet0 assigned DHCP address 192.168.153.106, mask 255.255.255.0, hostname 3502e


!--- Authentication is successful and the AP gets an IP.

Translating "CISCO-CAPWAP-CONTROLLER.Wlab"...domain server (192.168.150.25)
*Jan 29 09:11:37.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent 
   peer_ip: 192.168.75.44 peer_port: 5246
*Jan 29 09:11:37.000: %CAPWAP-5-CHANGED: CAPWAP changed state to
*Jan 29 09:11:37.575: %CAPWAP-5-DTLSREQSUCC: DTLS connection created 
   successfully peer_ip: 192.168.75.44 peer_port: 5246
*Jan 29 09:11:37.578: %CAPWAP-5-SENDJOIN: sending Join Request to 192.168.75.44

*Jan 29 09:11:37.578: %CAPWAP-5-CHANGED: CAPWAP changed state to JOIN

*Jan 29 09:11:37.748: %CAPWAP-5-CHANGED: CAPWAP chan
wmmAC status is FALSEged state to CFG
*Jan 29 09:11:38.890: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to 
   down
*Jan 29 09:11:38.900: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to 
   reset
*Jan 29 09:11:38.900: %CAPWAP-5-CHANGED: CAPWAP changed state to UP
*Jan 29 09:11:38.956: %CAPWAP-5-JOINEDCONTROLLER: AP has joined controller 
   5508-3
*Jan 29 09:11:39.013: %CAPWAP-5-DATA_DTLS_START: Starting Data DTLS handshake. 
   Wireless client traffic will be blocked until DTLS tunnel is established.
*Jan 29 09:11:39.013: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:11:39.016: %LWAPP-3-CLIENTEVENTLOG: SSID goa added to the slot[0]
*Jan 29 09:11:39.028: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to 
   down
*Jan 29 09:11:39.038: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to 
   reset
*Jan 29 09:11:39.054: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to up
*Jan 29 09:11:39.060: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to 
   down
*Jan 29 09:11:39.069: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to 
   reset
*Jan 29 09:11:39.085: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:11:39.135: %LWAPP-3-CLIENTEVENTLOG: SSID goa added to the slot[1]DTLS
   keys are plumbed successfully.
*Jan 29 09:11:39.151: %CAPWAP-5-DATA_DTLS_ESTABLISHED: Data DTLS tunnel 
   established.
*Jan 29 09:11:39.161: %WIDS-5-ENABLED: IDS Signature is loaded and enabled

!--- AP joins the 5508-3 WLC.

Registros ACS:

1. Ver los recuentos de aciertos:

   Si está comprobando los registros dentro de los 15 minutos de la autenticación, asegúrese de actualizar el recuento de aciertos. En la misma página, en la parte inferior tiene una ficha Conteo de aciertos.

   

   

2. Haga clic en Supervisión e informes y aparecerá una nueva ventana emergente. Haga clic en Authentications -RADIUS -Today. También puede hacer clic en Detalles para verificar qué regla de selección de servicio se aplicó.

   

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

• Cisco Secure Access Control System
• Soporte Técnico y Documentación - Cisco Systems

Historial de revisiones