Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer le WLC Catalyst 9800 et Cisco ISE pour attribuer un LAN sans fil (WLAN).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Ce document décrit le concept d'attribution dynamique de VLAN et comment configurer le contrôleur LAN sans fil (WLC) Catalyst 9800 et Cisco Identity Service Engine (ISE) pour attribuer le LAN sans fil (WLAN) afin d'accomplir ceci pour les clients sans fil.
Dans la plupart des systèmes de réseau local sans fil (WLAN), chaque WLAN dispose d'une stratégie statique qui s'applique à tous les clients associés à un SSID (Service Set Identifier). Bien que puissante, cette méthode a des limites car elle nécessite que les clients s'associent à différents SSID pour hériter de différentes politiques de QoS et de sécurité.
Cependant, la solution WLAN de Cisco prend en charge la mise en réseau d'identités. Cela permet au réseau d'annoncer un seul SSID et permet à des utilisateurs spécifiques d'hériter de différentes politiques de qualité de service ou de sécurité basées sur les informations d'identification de l'utilisateur.
L'affectation de VLAN dynamique est une fonction qui place un utilisateur sans fil dans un VLAN spécifique en fonction des informations fournies par l'utilisateur. La tâche d'affectation d'utilisateurs à un VLAN spécifique est gérée par un serveur d'authentification RADIUS, tel que Cisco ISE. Elle peut être utilisée, par exemple, pour permettre à l'hôte sans fil de rester sur le même VLAN alors qu'il se déplace au sein d'un réseau de campus.
Par conséquent, lorsqu'un client tente de s'associer à un LAP enregistré auprès d'un contrôleur, le WLC transmet les informations d'identification de l'utilisateur au serveur RADIUS pour validation. Une fois que l'authentification est réussie, le serveur RADIUS passe certains attributs de l'Internet Engineering Task Force (IETF) à l'utilisateur. Ces attributs RADIUS déterminent l'ID de VLAN qui doit être attribué au client sans fil. Le SSID du client n'a pas d'importance car l'utilisateur est toujours affecté à cet ID de VLAN prédéterminé.
Les attributs d'utilisateur RADIUS utilisés pour l'affectation de l'ID de VLAN sont :
L'ID de VLAN est de 12 bits et prend une valeur comprise entre 1 et 4 094 inclus. Puisque Tunnel-Private-Group-ID est de type chaîne, comme défini dans RFC2868 pour une utilisation avec IEEE 802.1X, la valeur entière de l'ID de VLAN est codée en tant que chaîne. Lorsque ces attributs de tunnel sont envoyés, il est nécessaire de les entrer dans le champ Tag.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Ce document utilise la configuration réseau suivante :
Voici les détails de configuration des composants utilisés dans ce diagramme :
Cette configuration est divisée en trois catégories :
Cette configuration requiert les étapes suivantes :
Cette procédure explique comment ajouter le WLC en tant que client AAA sur le serveur ISE afin que le WLC puisse passer les informations d'identification de l'utilisateur à ISE.
Procédez comme suit :
Administration > Network Resources > Network Devices
et sélectionnez Add
.Cette procédure explique comment ajouter les utilisateurs dans la base de données utilisateur interne de Cisco ISE.
Procédez comme suit :
Administration > Identity Management > Identities
et sélectionnez Add
.Cette procédure explique comment créer un profil d'autorisation et une stratégie d'authentification pour les utilisateurs sans fil.
Procédez comme suit :
Policy > Policy Elements > Results > Authorization > Authorization profiles
et sélectionnez Add
pour créer un nouveau profil.jonathga-VLAN-102
groupes.Une fois les profils d'autorisation configurés, une stratégie d'authentification pour les utilisateurs sans fil doit être créée. Vous pouvez utiliser une nouvelle Custom
stratégie ou modifier l'Default
ensemble de stratégies. Dans cet exemple, un profil personnalisé est créé.
Policy > Policy Sets
et sélectionnez Add
pour créer une nouvelle stratégie, comme indiqué dans l'image :
Vous devez maintenant créer des stratégies d'autorisation pour les utilisateurs afin d'attribuer un profil d'autorisation respectif basé sur l'appartenance au groupe.
Authorization policy
section et créez des stratégies pour répondre à cette exigence, comme illustré dans l'image :Pour autoriser plusieurs VLAN à traverser le commutateur, vous devez exécuter ces commandes pour configurer le port du commutateur connecté au contrôleur :
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation dot1q
Remarque : Par défaut, la plupart des commutateurs autorisent tous les VLAN créés sur ce commutateur à travers le port de jonction. Si un réseau câblé est connecté au commutateur, alors cette même configuration peut être appliquée au port de commutation qui se connecte au réseau câblé. Cela active la communication entre les mêmes VLAN dans le réseau câble et sans fil.
Cette configuration requiert les étapes suivantes :
Il est nécessaire de configurer le WLC afin qu'il puisse communiquer avec le serveur RADIUS pour authentifier les clients.
Procédez comme suit :
Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add
et saisissez les informations du serveur RADIUS, comme indiqué dans l'image :Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add
comme indiqué dans l'image :Configuration > Security > AAA > AAA Method List > Authentication > + Add
comme indiqué dans les images :Cette procédure explique comment configurer des VLAN sur le WLC Catalyst 9800. Comme expliqué plus tôt dans ce document, l'ID de VLAN spécifié sous l'attribut Tunnel-Private-Group ID du serveur RADIUS doit également exister dans le WLC.
Dans l'exemple, l'utilisateur smith-102 est spécifié avec le Tunnel-Private-Group ID of 102 (VLAN =102)
sur le serveur RADIUS.
Configuration > Layer2 > VLAN > VLAN > + Add
comme indiqué dans l'image :Remarque : Si vous ne spécifiez pas de nom, le VLAN reçoit automatiquement le nom VLANXXXX, où XXXX est l'ID de VLAN.
Répétez les étapes 1 et 2 pour tous les VLAN nécessaires, une fois que vous avez terminé, vous pouvez passer à l'étape 3.
Configuration > Interface > Logical > PortChannel name > General
. Si vous voyez qu'il est configuré comme Allowed VLAN = All
vous avez fini avec la configuration. Si vous voyez Allowed VLAN = VLANs IDs
, ajoutez les VLAN nécessaires et, après cela, sélectionnez Update & Apply to Device
.Configuration > Interface > Ethernet > Interface Name > General
. Si vous voyez qu'il est configuré comme Allowed VLAN = All
vous avez fini avec la configuration. Si vous voyez Allowed VLAN = VLANs IDs
, ajoutez les VLAN nécessaires et, après cela, sélectionnez Update & Apply to Device
.Ces images montrent la configuration associée à la configuration de l'interface si vous utilisez Tous ou des ID de VLAN spécifiques.
Cette procédure explique comment configurer les WLAN dans le WLC.
Procédez comme suit :
Configuration > Wireless > WLANs > + Add
et configurez-le selon les besoins, comme illustré dans l'image :Security
onglet et sélectionnez la méthode de sécurité requise. Dans ce cas, WPA2 + 802.1x comme illustré dans les images :DansSecurity > AAA
l'onglet, sélectionnez la méthode d'authentification créée à l'étape 3 de la Configure the WLC with the Details of the Authentication Server
section, comme indiqué dans l'image :
Cette procédure explique comment configurer le profil de stratégie dans le WLC.
Procédez comme suit :
Configuration > Tags & Profiles > Policy Profile
et configurez votre default-policy-profile
ou créez-en un nouveau, comme indiqué dans les images :Access Policies
onglet, affectez le VLAN auquel les clients sans fil sont affectés lorsqu'ils se connectent à ce WLAN par défaut, comme illustré dans l'image :Remarque : Dans l'exemple fourni, il incombe au serveur RADIUS d'affecter un client sans fil à un VLAN spécifique après une authentification réussie. Par conséquent, le VLAN configuré sur le profil de stratégie peut être un VLAN black hole. Le serveur RADIUS remplace ce mappage et affecte l'utilisateur qui passe par ce WLAN au VLAN spécifié dans le champ User Tunnel-Group-Private-ID du serveur RADIUS.
Advance
onglet, activez la case à Allow AAA Override
cocher pour remplacer la configuration du WLC lorsque le serveur RADIUS renvoie les attributs nécessaires pour placer le client sur le VLAN approprié, comme indiqué dans l'image :Cette procédure explique comment configurer la balise Policy dans le WLC.
Procédez comme suit :
Configuration > Tags & Profiles > Tags > Policy
et ajoutez-en un nouveau si nécessaire, comme indiqué dans l'image :+Add
, comme illustré dans l'image :Cette procédure explique comment configurer la balise Policy dans le WLC.
Procédez comme suit :
Configuration > Wireless > Access Points > AP Name > General Tags
attribuez-la et sélectionnez-la, Update & Apply to Device
comme indiqué dans l'image :Mise en garde : N'oubliez pas que la modification de la balise de stratégie sur un point d'accès entraîne la déconnexion du point d'accès du WLC, puis la reconnexion.
La fonctionnalité Flexconnect permet aux points d'accès d'envoyer des données de client sans fil pour qu'elles sortent par le port LAN du point d'accès lorsqu'elles sont configurées comme une agrégation. Ce mode, connu sous le nom de Commutation locale Flexconnect, permet au point d'accès de séparer le trafic client en l'étiquetant dans des VLAN distincts de son interface de gestion. Cette section fournit des instructions sur la façon de configurer l'affectation de VLAN dynamique pour le scénario de commutation locale.
Remarque : Les étapes décrites dans la section précédente s'appliquent également au scénario Flexconnect. Pour terminer la configuration de Flexconnect, suivez les étapes supplémentaires fournies dans cette section.
Pour autoriser plusieurs VLAN à traverser le commutateur, vous devez exécuter les commandes suivantes pour configurer le port du commutateur connecté au point d'accès :
Remarque : Par défaut, la plupart des commutateurs autorisent tous les VLAN créés sur le commutateur via le port trunk.
Remarque : À partir du code 17.9.x, l'apparence du profil de stratégie a été mise à jour comme illustré dans l'image.
Remarque : Il n'est pas nécessaire que le VLAN configuré à cette étape soit présent sur la liste VLAN du WLC. Les VLAN nécessaires sont ajoutés ultérieurement sur le Flex-Profile, ce qui crée les VLAN sur le point d'accès lui-même.
Remarque : Une balise de stratégie est utilisée pour lier le WLAN au profil de stratégie. Vous pouvez soit créer une nouvelle balise de politiques, soit utiliser la balise de politique par défaut.
Pour attribuer dynamiquement un ID de VLAN via RADIUS sur un point d'accès FlexConnect, il est nécessaire que l'ID de VLAN mentionné dans l'attribut ID de groupe privé de tunnel de la réponse RADIUS soit présent sur les points d'accès. Les VLAN sont configurés sur le profil Flex.
Remarque : L'ID de VLAN natif fait référence au VLAN de gestion pour l'AP, il doit donc correspondre à la configuration de VLAN natif du commutateur auquel l'AP est connecté
Remarque : À l'étape 3 de la section Flexconnect Policy Profile Configuration, vous avez configuré le VLAN par défaut affecté au SSID. Si vous utilisez un nom de VLAN à cette étape, assurez-vous que vous utilisez le même nom de VLAN dans la configuration Flex Profile, sinon les clients ne pourront pas se connecter au WLAN.
Mise en garde : N'oubliez pas que la modification de la politique et de la balise de site sur un AP entraîne la déconnexion de l'AP du WLC, puis la reconnexion.
Remarque : Si le point d'accès est configuré en mode local (ou tout autre mode) et qu'il obtient une balise de site avec le paramètre « Activer le site local » désactivé, le point d'accès redémarre et revient en mode FlexConnect
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
Configurez le profil SSID du client test à l'aide du protocole EAP approprié et des informations d'identification définies dans ISE qui peuvent renvoyer une affectation de VLAN dynamique. Une fois que vous êtes invité à saisir un nom d'utilisateur et un mot de passe, entrez les informations de l'utilisateur mappé à un VLAN sur ISE.
Dans l'exemple précédent, notez que smith-102 est attribué au VLAN102 comme spécifié dans le serveur RADIUS. Cet exemple utilise ce nom d'utilisateur pour recevoir l'authentification et être affecté à un VLAN par le serveur RADIUS :
Une fois l'authentification terminée, vous devez vérifier que votre client est affecté au VLAN approprié selon les attributs RADIUS envoyés. Effectuez les étapes suivantes pour accomplir cette tâche :
Monitoring > Wireless > Clients > Select the client MAC address > General > Security Information
puis recherchez-le, comme indiqué dans l'image :Dans cette fenêtre, vous pouvez observer que ce client est affecté au VLAN102 selon les attributs RADIUS configurés sur le serveur RADIUS.
À partir de l'interface de ligne de commande, vous pouvez utiliser la show wireless client summary detail
pour afficher les mêmes informations que celles de l'image :
Radioactive traces
pour assurer le transfert réussi des attributs RADIUS au WLC. Pour ce faire, procédez comme suit :
Troubleshooting > Radioactive Trace > +Add
.Start
.Stop > Generate > Choose 10 minutes > Apply to Device > Select the trace file to download the log
.Cette partie de la sortie de trace assure une transmission réussie des attributs RADIUS :
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: User-Name [1] 13 "smith-102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: State [24] 40 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Class [25] 54 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Type [64] 6 VLAN [13]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Medium-Type [65] 6 ALL_802 [6]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Message [79] 6 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Message-Authenticator[80] 18 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Private-Group-Id[81] 6 "102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Key-Name [102] 67 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Send-Key [16] 52 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Recv-Key [17] 52 *
2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : username 0 "smith-102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : class 0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30 ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-type 1 13 [vlan] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-medium-type 1 6 [ALL_802] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id 1 "102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : timeout 0 1800 (0x708) ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
3.0 |
11-Apr-2024
|
Recertification |
2.0 |
02-Jun-2022
|
Images redimensionnées |
1.0 |
14-Apr-2021
|
Première publication |