Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Exemple de configuration de l'autorisation de point d'accès dans un réseau sans fil unifié Cisco

Options de téléchargement

  • PDF     (919.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (701.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (843.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:23 juin 2021
ID du document:98848

Langage sans préjugés

Dans la documentation de ce produit, les auteurs s‘efforcent d‘utiliser un langage exempt de préjugés. Aux fins de cet ensemble de documents, l’expression « sans préjugés » est définie comme un langage sans discrimination fondée sur l’âge, le handicap, le sexe, l’identité raciale, l’identité ethnique, l’orientation sexuelle, la situation socio-économique et l’intersectionnalité. Des exceptions peuvent être présentes dans la documentation en raison de la langue codée en dur dans les interfaces utilisateur du logiciel du produit, de la langue utilisée en fonction de la documentation de l’appel d’offres ou de la langue utilisée par un produit tiers référencé. En savoir plus sur la façon dont Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    La sécurité est toujours un problème de nos jours et assurez-vous que seuls les points d'accès légitimes peuvent être connectés à vos contrôleurs de réseau local sans fil (WLC).

    Ce document explique comment configurer le WLC pour autoriser les AP en fonction de l'adresse MAC des AP.

    Conditions préalables

    Conditions requises

    Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

    • Connaissances de base sur la configuration d'un moteur Cisco ISE (Identity Services Engine).

    • Connaissance de la configuration des points d'accès Cisco et des WLC Cisco.

    • Connaissance des solutions de sécurité sans fil unifiées de Cisco.

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

      • WLC exécutant le logiciel AireOS 8.8.111.0.

      • Points d'accès Wave1 : 1700/2700/3700 et 3500 (1600/2600/3600 sont toujours pris en charge mais la prise en charge d'AireOS se termine sur la version 8.5.x).
      • Points d'accès Wave2 : 1800/2800/3800/4800, 1540 et 1560. 
      • ISE version 2.3.0.298.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Conventions

    Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

    Autorisation de point d'accès léger

    Pendant le processus d'enregistrement des points d'accès, les points d'accès et les WLC s'authentifient mutuellement à l'aide de certificats X.509.

    Les certificats X.509 sont gravés en mémoire flash protégée sur le point d'accès (AP) et le WLC en usine par Cisco.

    Sur le point d'accès, les certificats installés en usine sont appelés certificats de fabrication installés (MIC). Tous les points d'accès Cisco fabriqués après le 18 juillet 2005 disposent de MIC.

    En plus de cette authentification mutuelle qui se produit pendant le processus d'enregistrement, les WLC peuvent également restreindre les AP qui s'inscrivent avec eux en fonction de l'adresse MAC de l'AP.

    L'absence d'un mot de passe fort par l'utilisation de l'adresse MAC de l'AP ne doit pas être un problème car le contrôleur utilise MIC pour authentifier l'AP avant d'autoriser l'AP par le serveur RADIUS. L'utilisation de MIC fournit une authentification forte.

    L'autorisation AP peut être effectuée de deux manières :

    • Utilisation de la liste d'autorisation interne sur le WLC.

    • Utilisation de la base de données des adresses MAC sur un serveur AAA.

    Les comportements des points d'accès diffèrent en fonction du certificat utilisé :

    • AP avec SSC : le WLC utilisera uniquement la liste d'autorisation interne et ne transmettra pas de requête à un serveur RADIUS pour ces AP.

    • AP avec des MIC : WLC peut utiliser la liste d'autorisation interne configurée sur le WLC ou utiliser un serveur RADIUS pour autoriser les AP.

    Ce document discute de l'autorisation AP à l'aide de la liste d'autorisation interne et du serveur AAA.

    Configuration

    Configuration à l'aide de la liste d'autorisation interne sur le WLC

    Sur le WLC, utilisez la liste d'autorisation des points d'accès pour restreindre les points d'accès en fonction de leur adresse MAC. La liste d'autorisations AP est disponible sous Security > AP Policies dans l'interface graphique du WLC.

    Cet exemple montre comment ajouter l'AP avec l'adresse MAC 4c:77:6d:9e:61:62.

    1. Dans l'interface graphique du contrôleur WLC, cliquez sur Security > AP Policies.et la page AP Policies s'affiche.

    2. Cliquez sur le bouton Ajouter à droite de l'écran.

    3. Sous Add AP to Authorization List, saisissez l'adresse MAC AP (NOT the AP Radio mac address). Ensuite, choisissez le type de certificat et cliquez sur Ajouter.

      Dans cet exemple, un AP avec certificat MIC est ajouté.

      Remarque : Pour les AP avec SSC, sélectionnez SSC sous Type de certificat.

      Le point d'accès est ajouté à la liste d'autorisations du point d'accès et est répertorié sous Liste d'autorisations du point d'accès.

    4. Sous Configuration de la stratégie, cochez la case Autoriser les AP MIC par rapport à auth-list ou AAA.

      Lorsque ce paramètre est sélectionné, le WLC vérifie d'abord la liste d'autorisation locale. Si l'adresse MAC de l'AP n'est pas présente, elle vérifie le serveur RADIUS.

    Vérification

    Afin de vérifier cette configuration, vous devez connecter l'AP avec l'adresse MAC 4c:77:6d:9e:61:62 au réseau et au moniteur. Utilisez les commandes debug capwap events/errors enable et debug aaa all enable pour effectuer cette opération.

    Ce résultat montre les débogages lorsque l'adresse MAC de l'AP n'est pas présente dans la liste d'autorisation de l'AP :

    Remarque : Certaines des lignes du résultat ont été déplacées vers la deuxième ligne en raison de contraintes d'espace.

    (Cisco Controller) >debug capwap events enable
    (Cisco Controller) >debug capwap errors enable
    (Cisco Controller) >debug aaa all enable

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5256

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5256, already allocated index 277

    *spamApTask4: Feb 27 10:15:25.592: 70:69:5a:51:4e:c0 AP Allocate request at index 277 (reserved)
    *spamApTask4: Feb 27 10:15:25.593: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5256 from temporary database.
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5256) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Request failed!

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 State machine handler: Failed to process msg type = 3 state = 0 from 192.168.79.151:5256

    *aaaQueueReader: Feb 27 10:15:25.593: Unable to find requested user entry for 4c776d9e6162
    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : -9
    *aaaQueueReader: Feb 27 10:15:25.593: ReProcessAuthentication previous proto 8, next proto 40000001
    *aaaQueueReader: Feb 27 10:15:25.593: AuthenticationRequest: 0x7f01b4083638

    *aaaQueueReader: Feb 27 10:15:25.593: Callback.....................................0xd6cef02166

    *aaaQueueReader: Feb 27 10:15:25.593: protocolType.................................0x40000001

    *aaaQueueReader: Feb 27 10:15:25.593: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 10:15:25.593: Packet contains 9 AVPs:

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[01] User-Name................................4c776d9e6162 (12 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[02] Called-Station-Id........................70-69-5a-51-4e-c0 (17 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[03] Calling-Station-Id.......................4c-77-6d-9e-61-62 (17 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[04] Nas-Port.................................0x00000001 (1) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[05] Nas-Ip-Address...........................0x0a304714 (170936084) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[06] NAS-Identifier...........................0x6e6f (28271) (2 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[07] User-Password............................[...]

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[08] Service-Type.............................0x0000000a (10) (4 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: AVP[09] Message-Authenticator....................DATA (16 bytes)

    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Error Response code for AAA Authentication : -7
    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Returning AAA Error 'No Server' (-7) for mobile 70:69:5a:51:4e:c0 serverIdx 0
    *aaaQueueReader: Feb 27 10:15:25.593: AuthorizationResponse: 0x7f017adf5770


    *aaaQueueReader: Feb 27 10:15:25.593: RadiusIndexSet(0), Index(0)
    *aaaQueueReader: Feb 27 10:15:25.593: resultCode...................................-7

    *aaaQueueReader: Feb 27 10:15:25.593: protocolUsed.................................0xffffffff

    *aaaQueueReader: Feb 27 10:15:25.593: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 10:15:25.593: Packet contains 0 AVPs:

    *aaaQueueReader: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 User entry not found in the Local FileDB for the client.

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 10:15:25.593: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Join Failure Response sent to 0.0.0.0:5256

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Radius Authentication failed. Closing dtls Connection.
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Disconnecting DTLS Capwap-Ctrl session 0xd6f0724fd8 for AP (192:168:79:151/5256). Notify(true)
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 CAPWAP State: Dtls tear down

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 acDtlsPlumbControlPlaneKeys: lrad:192.168.79.151(5256) mwar:10.48.71.20(5246)

    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 DTLS keys for Control Plane deleted successfully for AP 192.168.79.151

    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 DTLS connection closed event receivedserver (10.48.71.20/5246) client (192.168.79.151/5256)
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Entry exists for AP (192.168.79.151/5256)
    *spamApTask0: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP Delete request 
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 AP Delete request 
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 Unable to find AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 10:15:25.593: 70:69:5a:51:4e:c0 No AP entry exist in temporary database for 192.168.79.151:5256

    Cette sortie montre les débogages lorsque l'adresse MAC du LAP est ajoutée à la liste d'autorisation du point d'accès :

    Remarque : Certaines des lignes du résultat ont été déplacées vers la deuxième ligne en raison de contraintes d'espace.

    (Cisco Controller) >debug capwap events enable
    (Cisco Controller) >debug capwap errors enable
    (Cisco Controller) >debug aaa all enable

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5256

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 using already alloced index 274
    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5256, already allocated index 274

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 AP Allocate request at index 274 (reserved)
    *spamApTask4: Feb 27 09:50:25.393: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5256 from temporary database.
    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 09:50:25.393: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5256) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Message type Capwap_wtp_event_response is not allowed to send in state Capwap_no_state for AP 192.168.79.151

    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Request failed!


    *aaaQueueReader: Feb 27 09:50:25.394: User 4c776d9e6162 authenticated
    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : 0
    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Returning AAA Success for mobile 70:69:5a:51:4e:c0
    *aaaQueueReader: Feb 27 09:50:25.394: AuthorizationResponse: 0x7f0288a66408


    *aaaQueueReader: Feb 27 09:50:25.394: structureSize................................194

    *aaaQueueReader: Feb 27 09:50:25.394: resultCode...................................0

    *aaaQueueReader: Feb 27 09:50:25.394: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 09:50:25.394: Packet contains 2 AVPs:

    *aaaQueueReader: Feb 27 09:50:25.394: AVP[01] Service-Type.............................0x00000065 (101) (4 bytes)

    *aaaQueueReader: Feb 27 09:50:25.394: AVP[02] Airespace / WLAN-Identifier..............0x00000000 (0) (4 bytes)

    *aaaQueueReader: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 User authentication Success with File DB on WLAN ID :0 
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 09:50:25.394: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Join Response sent to 0.0.0.0:5256

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 CAPWAP State: Join

    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 capwap_ac_platform.c:2095 - Operation State 0 ===> 4
    *spamApTask0: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Capwap State Change Event (Reg) from capwap_ac_platform.c 2136

    *apfReceiveTask: Feb 27 09:50:25.394: 70:69:5a:51:4e:c0 Register LWAPP event for AP 70:69:5a:51:4e:c0 slot 0

    Autorisation AP contre un serveur AAA

    Vous pouvez également configurer des WLC pour qu'ils utilisent des serveurs RADIUS pour autoriser les AP à l'aide de MIC. Le WLC utilise l'adresse MAC d'un point d'accès comme nom d'utilisateur et mot de passe lors de l'envoi des informations à un serveur RADIUS. Par exemple, si l'adresse MAC du point d'accès est 4c:77:6d:9e:61:62, le nom d'utilisateur et le mot de passe utilisés par le contrôleur pour autoriser le point d'accès seront tous deux l'adresse MAC qui utilise le délimiteur défini.

    Cet exemple montre comment configurer les WLC pour autoriser les AP à l'aide de Cisco ISE.

    1. Dans l'interface graphique du contrôleur WLC, cliquez sur Security > AP Policies. La page AP Policies s'affiche.  

    2. Sous Configuration de la stratégie, cochez la case Autoriser les AP MIC par rapport à auth-list ou AAA.

      Lorsque ce paramètre est sélectionné, le WLC vérifie d'abord la liste d'autorisation locale. Si l'adresse MAC de l'AP n'est pas présente, elle vérifie le serveur RADIUS.

    3. Accédez à Security > RADIUS Authentication à partir de l'interface utilisateur graphique du contrôleur pour afficher la page RADIUS Authentication Servers. Dans cette page, nous pouvons définir le délimiteur MAC. Le WLC obtiendra l'adresse MAC AP et l'enverra au serveur Radius à l'aide du délimiteur défini ici. ceci est important afin que le nom d'utilisateur corresponde à ce qui est configuré dans le serveur Radius. Dans cet exemple, nous utiliserons No Delimeter afin que le nom d'utilisateur soit 4c776d9e6162.

    4. Ensuite, cliquez sur Nouveau afin de définir un serveur RADIUS.

    5. Définissez les paramètres du serveur RADIUS sur la page RADIUS Authentication Servers > New. Ces paramètres incluent l'adresse IP du serveur RADIUS, secret partagé, numéro de port et état du serveur. Cela fait, cliquez sur Apply. Cet exemple utilise Cisco ISE comme serveur RADIUS avec l'adresse IP 10.48.39.128.

    Configurer Cisco ISE pour autoriser les points d'accès

    Pour permettre à Cisco ISE d'autoriser les points d'accès, vous devez effectuer les étapes suivantes :

    1. Configurez le WLC en tant que client AAA sur Cisco ISE.

    2. Ajoutez les adresses MAC AP à la base de données sur Cisco ISE.

    Cependant, vous pouvez ajouter l'adresse MAC de l'AP en tant que points d'extrémité (la meilleure façon) ou en tant qu'utilisateurs (dont les mots de passe seront également l'adresse MAC), mais cela nécessite que vous réduisiez les exigences des stratégies de sécurité des mots de passe.

    En raison du fait que le WLC n'envoie pas l'attribut NAS-Port-Type qui est une condition requise sur ISE pour correspondre au workflow d'authentification d'adresse Mac (MAB), vous devrez donc le modifier.

    Configurer un nouveau profil de périphérique où MAB ne nécessite pas d'attribut NAS-Port-Type

    Accédez à Administration -> Profil de périphérique réseau et créez un nouveau profil de périphérique. Activez RADIUS et configurez le flux MAB câblé pour exiger service-type=Call-check comme illustré ci-dessous. Vous pouvez copier d'autres paramètres à partir du profil Cisco classique, mais l'idée est de ne pas exiger d'attribut de type Nas-port pour un workflow MAB câblé.

    Configurer le WLC en tant que client AAA sur Cisco ISE

    1. Accédez à Administration > Network Resources > Network Devices > Add. La page New Network Device s'affiche.  

    2. Sur cette page, définissez le nom du WLC, l'adresse IP de l'interface de gestion et les paramètres d'authentification Radius comme Shared Secret. Si vous prévoyez d'entrer les adresses MAC de l'AP comme points de terminaison, assurez-vous d'utiliser le profil de périphérique personnalisé configuré précédemment plutôt que le profil Cisco par défaut !

       

    3. Cliquez sur Submit.

    Ajoutez l'adresse MAC AP à la base de données des points d'extrémité sur Cisco ISE

    Accédez à Administration -> Identity Management -> Identities et ajoutez les adresses MAC à la base de données des terminaux.

    (facultatif)Ajoutez l'adresse MAC AP à la base de données utilisateur sur Cisco ISE

    Si vous ne voulez pas modifier le profil MAB câblé et que vous avez choisi de mettre l'adresse MAC AP en tant qu'utilisateur, vous devrez réduire les exigences de la stratégie de mot de passe.

    1. Accédez à Administration > Identity Management. Ici, nous devons nous assurer que la stratégie de mot de passe autorise l'utilisation du nom d'utilisateur comme mot de passe et la stratégie doit également permettre l'utilisation des caractères d'adresse MAC sans avoir besoin de différents types de caractères. Accédez à Paramètres > Paramètres d'authentification utilisateur > Stratégie de mot de passe

        

    2. Ensuite, accédez à Identités > Utilisateurs et cliquez sur Ajouter. Lorsque la page User Setup apparaît, définissez le nom d'utilisateur et le mot de passe de ce point d'accès comme indiqué. Astuce : utilisez le champ Description pour entrer le mot de passe afin de savoir plus facilement ce qui a été défini comme mot de passe.

      Le mot de passe doit également être l'adresse MAC du point d'accès. Dans cet exemple, il s'agit de 4c776d9e6162.

    3. Cliquez sur Submit. 

    Définir un jeu de stratégies

    1. Nous devons définir un ensemble de stratégies correspondant à la demande d'authentification provenant du WLC. D'abord, nous créons une condition allant à Policy > Policy Elements > Conditions, et nous créons une nouvelle condition pour correspondre à l'emplacement du WLC, dans cet exemple, « LAB_WLC » et Radius : Service-Type Equals Call Check qui est utilisé pour l'authentification Mac. Ici la condition est appelée « AP_Auth ».    
    2. Click Save.
    3. Ensuite, créez un nouveau service de protocoles autorisés pour l'authentification AP. Assurez-vous de sélectionner uniquement "Autoriser PAP/ASCII" :   
    4.  Sélectionnez le service précédemment créé dans la séquence de protocoles/serveurs autorisés. Développez l'affichage et sous Stratégie d'authentification > Utiliser > Utilisateurs internes afin que ISE recherche le nom d'utilisateur/mot de passe de l'AP dans la base de données interne.
    5. Click Save.

    Vérification

    Afin de vérifier cette configuration, vous devez connecter l'AP avec l'adresse MAC 4c:77:6d:9e:61:62 au réseau et au moniteur. Utilisez les commandes debug capwap events/errors enable et debug aaa all enable afin d'effectuer ceci.

    Comme le montrent les débogages, le WLC a transmis l'adresse MAC de l'AP au serveur RADIUS 10.48.39.128, et le serveur a authentifié l'AP avec succès. L'AP s'enregistre ensuite auprès du contrôleur.

    Remarque : Certaines des lignes du résultat ont été déplacées vers la deuxième ligne en raison de contraintes d'espace.

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Join Request from 192.168.79.151:5248

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 using already alloced index 437
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Unable to get Ap mode in Join request

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Allocate database entry for AP 192.168.79.151:5248, already allocated index 437

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 AP Allocate request at index 437 (reserved)
    *spamApTask4: Feb 27 14:58:07.566: 24:7e:12:19:41:ef Deleting AP entry 192.168.79.151:5248 from temporary database.
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 AP group received default-group is found in ap group configured in wlc.

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Dropping request or response packet to AP :192.168.79.151 (5248) by Controller: 10.48.71.20 (5246), message Capwap_wtp_event_response, state Capwap_no_state

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Message type Capwap_wtp_event_response is not allowed to send in state Capwap_no_state for AP 192.168.79.151

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 In AAA state 'Idle' for AP 70:69:5a:51:4e:c0
    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Join Request failed!

    *spamApTask4: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 State machine handler: Failed to process msg type = 3 state = 0 from 192.168.79.151:5248

    *spamApTask4: Feb 27 14:58:07.566: 24:7e:12:19:41:ef Failed to parse CAPWAP packet from 192.168.79.151:5248

    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Normal Response code for AAA Authentication : -9
    *aaaQueueReader: Feb 27 14:58:07.566: ReProcessAuthentication previous proto 8, next proto 40000001
    *aaaQueueReader: Feb 27 14:58:07.566: AuthenticationRequest: 0x7f01b404f0f8


    *aaaQueueReader: Feb 27 14:58:07.566: Callback.....................................0xd6cef02166

    *aaaQueueReader: Feb 27 14:58:07.566: protocolType.................................0x40000001

    *aaaQueueReader: Feb 27 14:58:07.566: proxyState...................................70:69:5A:51:4E:C0-00:00

    *aaaQueueReader: Feb 27 14:58:07.566: Packet contains 9 AVPs:

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[02] Called-Station-Id........................70:69:5a:51:4e:c0 (17 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[03] Calling-Station-Id.......................4c:77:6d:9e:61:62 (17 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[04] Nas-Port.................................0x00000001 (1) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[05] Nas-Ip-Address...........................0x0a304714 (170936084) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[06] NAS-Identifier...........................0x6e6f (28271) (2 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[08] Service-Type.............................0x0000000a (10) (4 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: AVP[09] Message-Authenticator....................DATA (16 bytes)

    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 radiusServerFallbackPassiveStateUpdate: RADIUS server is ready 10.48.39.128 port 1812 index 1 active 1
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 NAI-Realm not enabled on Wlan, radius servers will be selected as usual
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Found the radius server : 10.48.39.128 from the global server list
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Send Radius Auth Request with pktId:185 into qid:0 of server at index:1
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Sending the packet to v4 host 10.48.39.128:1812 of length 130
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 Successful transmission of Authentication Packet (pktId 185) to 10.48.39.128:1812 from server queue 0, proxy state 70:69:5a:51:4e:c0-00:00
    *aaaQueueReader: Feb 27 14:58:07.566: 00000000: 01 b9 00 82 d9 c2 ef 27 f1 bb e4 9f a8 88 5a 6d .......'......Zm
    *aaaQueueReader: Feb 27 14:58:07.566: 00000010: 4b 38 1a a6 01 0e 34 63 37 37 36 64 39 65 36 31 K8....4c776d9e61
    *aaaQueueReader: Feb 27 14:58:07.566: 00000020: 36 32 1e 13 37 30 3a 36 39 3a 35 61 3a 35 31 3a 62..70:69:5a:51:
    *aaaQueueReader: Feb 27 14:58:07.566: 00000030: 34 65 3a 63 30 1f 13 34 63 3a 37 37 3a 36 64 3a 4e:c0..4c:77:6d:
    *aaaQueueReader: Feb 27 14:58:07.566: 00000040: 39 65 3a 36 31 3a 36 32 05 06 00 00 00 01 04 06 9e:61:62........
    *aaaQueueReader: Feb 27 14:58:07.566: 00000050: 0a 30 47 14 20 04 6e 6f 02 12 54 46 96 61 2a 38 .0G...no..TF.a*8
    *aaaQueueReader: Feb 27 14:58:07.566: 00000060: 5a 57 22 5b 41 c8 13 61 97 6c 06 06 00 00 00 0a ZW"[A..a.l......
    *aaaQueueReader: Feb 27 14:58:07.566: 00000080: 15 f9 ..
    *aaaQueueReader: Feb 27 14:58:07.566: 70:69:5a:51:4e:c0 User entry not found in the Local FileDB for the client.
    *radiusTransportThread: Feb 27 14:58:07.587: Vendor Specif Radius Attribute(code=26, avp_len=28, vId=9)
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 *** Counted VSA 150994944 AVP of length 28, code 1 atrlen 22)
    *radiusTransportThread: Feb 27 14:58:07.588: Vendor Specif Radius Attribute(code=26, avp_len=28, vId=9)
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 AVP: VendorId: 9, vendorType: 1, vendorLen: 22

    *radiusTransportThread: Feb 27 14:58:07.588: 00000000: 70 72 6f 66 69 6c 65 2d 6e 61 6d 65 3d 55 6e 6b profile-name=Unk
    *radiusTransportThread: Feb 27 14:58:07.588: 00000010: 6e 6f 77 6e nown
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Processed VSA 9, type 1, raw bytes 22, copied 0 bytes
    *radiusTransportThread: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Access-Accept received from RADIUS server 10.48.39.128 (qid:0) with port:1812, pktId:185
    *radiusTransportThread: Feb 27 14:58:07.588: RadiusIndexSet(1), Index(1)
    *radiusTransportThread: Feb 27 14:58:07.588: structureSize................................432

    *radiusTransportThread: Feb 27 14:58:07.588: protocolUsed.................................0x00000001

    *radiusTransportThread: Feb 27 14:58:07.588: proxyState...................................70:69:5A:51:4E:C0-00:00

    *radiusTransportThread: Feb 27 14:58:07.588: Packet contains 4 AVPs:

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[01] User-Name................................4c776d9e6162 (12 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[02] State....................................ReauthSession:0a302780bNEx79SKIFosJ2ioAmIYNOiRe2iDSY3drcFsHuYpChs (65 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[03] Class....................................DATA (83 bytes)

    *radiusTransportThread: Feb 27 14:58:07.588: AVP[04] Message-Authenticator....................DATA (16 bytes)

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join Version: = 134770432

    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 apType = 54 apModel: AIR-AP4800-E-K

    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 apType: Ox36 bundleApImageVer: 8.8.111.0
    *spamApTask0: Feb 27 14:58:07.588: 00:00:00:00:00:00 version:8 release:8 maint:111 build:0
    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join resp: CAPWAP Maximum Msg element len = 79

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 Join Response sent to 0.0.0.0:5248

    *spamApTask0: Feb 27 14:58:07.588: 70:69:5a:51:4e:c0 CAPWAP State: Join

    Dépannage

    Utilisez ces commandes pour dépanner votre configuration :

    • debug capwap events enable - Configure le débogage des événements LWAPP.

    • debug capwap packet enable - Configure le débogage de la trace de paquet LWAPP.

    • debug capwap errors enable - Configure le débogage des erreurs de paquet LWAPP.
    • debug aaa all enable - Configure le débogage de tous les messages AAA

    Dans le cas où les rapports ISE dans RADIUS live consignent le nom d'utilisateur « INVALIDE » au moment où les points d'accès sont autorisés par ISE, cela signifie que l'authentification est vérifiée par rapport à la base de données des terminaux et que vous n'avez pas modifié le profil MAB câblé comme expliqué dans ce document. ISE considère qu'une autorisation d'adresse MAC n'est pas valide si elle ne correspond pas au profil MAB filaire/sans fil, qui par défaut nécessite l'attribut de type de port NAS qui n'est pas envoyé par le WLC

    TAC Authored

    Contribution d’experts de Cisco

    • Tiago Antunes
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits