Introduction

Ce document présente le concept d'affectation de VLAN dynamique. Le document décrit comment configurer le contrôleur de réseau local sans fil (WLC) et le serveur ISE pour affecter dynamiquement des clients de réseau local sans fil (WLAN) à un VLAN spécifique.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Connaissance de base des contrôleurs de réseau local sans fil (WLC) et des points d'accès légers (LAP)

  • Connaissance fonctionnelle d'un serveur AAA (Authentication, Authorization and Accounting) tel que Identity Services Engine (ISE)

  • Avoir une connaissance complète des réseaux sans fil et des problèmes liés à la sécurité sans fil.
  • Disposer de connaissances fonctionnelles et configurables sur l’attribution dynamique de VLAN
  • Compréhension de base des services Microsoft Windows AD, ainsi que des concepts de contrôleur de domaine et DNS
  • Connaissance de base du protocole CAPWAP (Control And Provisioning of Access Point Protocol)

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • WLC de la gamme Cisco 5520 qui exécute la version 8.8.111.0 du micrologiciel

  • Point d'accès de la gamme Cisco 4800

  • Complicant Windows natif et NAM Anyconnect.

  • Cisco Secure ISE version 2.3.0.298

  • Microsoft Windows 2016 Server configuré en tant que contrôleur de domaine

  • Commutateur de la gamme Cisco 3560-CX qui exécute la version 15.2(4)E1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

  

Affectation de VLAN dynamique avec le serveur RADIUS

Dans la plupart des systèmes WLAN, chaque WLAN a une stratégie statique qui s'applique à tous les clients associés à un SSID (Service Set Identifier), ou WLAN dans la terminologie du contrôleur. Bien que puissante, cette méthode a des limitations parce qu'elle exige que les clients soient associés à des SSID différents afin d'hériter de QoS et de stratégies de sécurité différentes.

La solution WLAN de Cisco répond à cette limitation en prenant en charge la mise en réseau des identités. Cela permet au réseau d'annoncer un SSID unique, mais permet à des utilisateurs spécifiques d'hériter de différentes QoS, attributs VLAN et/ou stratégies de sécurité en fonction des informations d'identification de l'utilisateur.

L'affectation de VLAN dynamique est une fonction qui place un utilisateur sans fil dans un VLAN spécifique en fonction des informations fournies par l'utilisateur. Cette tâche d'affectation d'utilisateurs à un VLAN spécifique est gérée par un serveur d'authentification RADIUS, tel que Cisco ISE. Elle peut être utilisée, par exemple, pour permettre à l'hôte sans fil de rester sur le même VLAN alors qu'il se déplace au sein d'un réseau de campus.

Le serveur Cisco ISE authentifie les utilisateurs sans fil sur l'une des bases de données possibles, qui inclut sa base de données interne, par exemple :

  • Base de données interne

  • Active Directory

  • LDAP (Generic Lightweight Directory Access Protocol)

  • Bases de données relationnelles compatibles ODBC (Open Database Connectivity)

  • Serveurs à jetons SecurID Rivest, Shamir et Adelman (RSA)

  • Serveurs de jetons compatibles RADIUS

Les protocoles d'authentification Cisco ISE et les sources d'identité externes prises en charge répertorient les différents protocoles d'authentification pris en charge par les bases de données internes et externes ISE.

Ce document se concentre sur l'authentification des utilisateurs sans fil qui utilisent la base de données externe du répertoire Windows Active.

Après une authentification réussie, ISE récupère les informations de groupe de cet utilisateur dans la base de données Windows et associe l'utilisateur au profil d'autorisation respectif.

Lorsqu'un client tente de s'associer à un LAP enregistré auprès d'un contrôleur, le LAP transmet les informations d'identification de l'utilisateur au WLC à l'aide de la méthode EAP correspondante.

WLC envoie ces informations d'identification à ISE à l'aide du protocole RADIUS (encapsulant le protocole EAP) et ISE transmet les informations d'identification des utilisateurs à AD pour validation à l'aide du protocole KERBEROS.

Active Directory valide les informations d'identification de l'utilisateur et, une fois l'authentification réussie, informe l'ISE.

Une fois l'authentification réussie, le serveur ISE passe certains attributs IETF (Internet Engineering Task Force) au WLC. Ces attributs RADIUS décident de l'ID de VLAN qui doit être affecté au client sans fil. Le SSID (WLAN, en termes de WLC) du client n'importe pas parce que l'utilisateur est toujours affecté à cet ID de VLAN prédéterminé.

Les attributs d'utilisateur RADIUS utilisés pour l'affectation de l'ID de VLAN sont :

  • IETF 64 (type de tunnel)Définissez-la sur VLAN.

  • IETF 65 (type de support de tunnel)Définissez cette valeur sur 802

  • IETF 81 (ID de groupe privé de tunnel)Définissez cette valeur sur ID de VLAN.

L'ID du VLAN est de 12 bits et prend une valeur entre 1 et 4 094, inclus. Puisque l'ID de groupe-privé-tunnel est de type chaîne, comme défini dans RFC2868 pour une utilisation avec IEEE 802.1X, la valeur entière de l'ID de VLAN est codée en tant que chaîne. Quand ces attributs de tunnel sont envoyés, il est nécessaire de renseigner la zone Tag.

Comme indiqué dans la RFC 2868, section 3.1 : La zone Tag a une longueur d'un octet et sa fonction est de fournir un moyen de regrouper les attributs dans le même paquet qui fait référence au même tunnel. Les valeurs valides pour cette zone sont comprises entre 0x01 et 0x1F, inclus. Si la zone Tag est inutilisée, elle doit avoir pour valeur zéro (0x00). Référez-vous à RFC 2868 pour plus d'informations sur tous les attributs RADIUS.

Configuration

  Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Diagramme du réseau

Configurations

Voici les détails de configuration des composants utilisés dans ce schéma :

  • L'adresse IP du serveur ISE (RADIUS) est 10.48.39.128.

  • L'adresse de l'interface Management and AP-manager du WLC est 10.48.71.20.

  • Le serveur DHCP réside dans le réseau LAN et est configuré pour les pools de clients respectifs ; elle n'est pas affichée sur le schéma

  • Les VLAN1477 et VLAN1478 sont utilisés dans toute cette configuration. Les utilisateurs du service Marketing sont configurés pour être placés dans le VLAN1477 et les utilisateurs du service RH sont configurés pour être placés dans le VLAN1478 par le serveur RADIUS lorsque les deux utilisateurs se connectent au même SSID — office_hq.

    VLAN1477 : 192.168.77.0/24 . Passerelle : 192.168.77.1 VLAN1478 : 192.168.78.0/24 . Passerelle : 192.168.78.1 

  • Ce document utilise 802.1x avec PEAP-mschapv2 comme mécanisme de sécurité.

    Note: Cisco vous recommande d'utiliser des méthodes d'authentification avancées, telles que l'authentification EAP-FAST et EAP-TLS, afin de sécuriser le WLAN.

Ces hypothèses sont faites avant d'effectuer cette configuration :

  • Le LAP est déjà enregistré auprès du WLC.

  • Une étendue DHCP est attribuée au serveur DHCP.

  • La connectivité de couche 3 existe entre tous les périphériques du réseau.

  • Le document traite de la configuration requise du côté sans fil et suppose que le réseau câblé est en place.

  • Les utilisateurs et les groupes concernés sont configurés sur AD.

Afin d'accomplir l'attribution dynamique de VLAN avec des WLC basés sur le mappage de groupe ISE vers AD, ces étapes doivent être effectuées :

  1. Intégration ISE à AD et configuration des politiques d'authentification et d'autorisation pour les utilisateurs sur ISE
  2. Configuration WLC pour prendre en charge l'authentification dot1x et la substitution AAA pour SSID 'office_hq'
  3. Configuration du demandeur du client final

Intégration ISE à AD et configuration des politiques d'authentification et d'autorisation pour les utilisateurs sur ISE

  1. Connectez-vous à l'interface utilisateur Web ISE à l'aide du compte d'administration.
  2. Naviguez sous "Administration -> Gestion des identités -> Sources d'identité externes -> Active Directory »

  3. Cliquez sur « Ajouter » et entrez le nom de domaine et le nom de magasin d'identité à partir des paramètres de nom de point de connexion Active Directory. Dans l'exemple ci-dessous, nous enregistrons ISE dans le domaine 'wlaaan.com' et le point de jointure est spécifié comme AD.wlaaan.com - nom significatif localement pour ISE.
  4. Une fenêtre contextuelle s'ouvre après que le bouton Soumettre est enfoncé pour nous demander si nous voulons rejoindre ISE à AD immédiatement. Appuyez sur le bouton Oui et fournissez aux utilisateurs Active Directory des informations d'identification avec des droits d'administrateur pour ajouter un nouvel hôte au domaine.
  5. Après ce point, ISE doit être enregistré avec succès dans AD.

    Si vous rencontrez des problèmes avec le processus d'enregistrement, vous pouvez utiliser l'outil de diagnostic pour exécuter les tests requis pour la connectivité AD.
  6. Nous devons récupérer les groupes pour Active Directory qui seront utilisés pour attribuer des profils d'autorisation respectifs. Naviguez sous "Administration -> Gestion des identités -> Sources d'identité externes -> Active Directory -> <Votre AD> -> Groupes« , puis cliquez sur le bouton "Ajouter" et sélectionnez "Sélectionner des groupes dans Active Directory« .
  7. Une nouvelle fenêtre contextuelle s'ouvre et vous pouvez spécifier un filtre pour récupérer des groupes spécifiques ou récupérer tous les groupes à partir d'AD.
    Sélectionnez les groupes respectifs dans la liste des groupes AD et appuyez sur OK.
  8. Les groupes respectifs seront ajoutés à ISE et peuvent être enregistrés. Appuyez sur "Enregistrer« .
  9. Ajouter un WLC à la liste des périphériques réseau ISE - naviguez sous "Administration -> Ressources réseau -> Périphériques réseau" et appuyez sur "Ajouter« .
    Configuration complète, en fournissant l'adresse IP de gestion WLC et le secret partagé RADIUS entre WLC et ISE.
  10. Maintenant que nous avons joint ISE à AD et ajouté le WLC à la liste des périphériques, nous pouvons commencer la configuration des politiques d'authentification et d'autorisation pour les utilisateurs.
    • Créez un profil d'autorisation pour affecter des utilisateurs de Marketing à VLAN1477 et du groupe HR à VLAN1478.
      Naviguez sous "Politique -> Éléments de stratégie -> Résultats -> Autorisation -> Profils d'autorisation" et cliquez sur "Ajouter" pour créer un nouveau profil.
    • Compléter la configuration du profil d'autorisation avec les informations VLAN pour chaque groupe ; L'exemple ci-dessous montre les paramètres de configuration du groupe Marketing.

      Une configuration similaire doit être effectuée pour d'autres groupes et l'attribut de balise VLAN respectif doit être configuré.
    • Une fois les profils d'autorisation configurés, nous pouvons définir des stratégies d'authentification pour les utilisateurs sans fil. Cela peut être fait soit en configurant "Personnalisé" ou en modifiant le jeu de stratégies "Par défaut« . Dans cet exemple, nous modifions le jeu de stratégies par défaut. Ouvrez « Stratégie -> Jeux de stratégies -> Par défaut« . Par défaut pour le type d'authentification dot1x, ISE va utiliser 'All_User_ID_Stores', même s'il fonctionnera même avec les paramètres par défaut actuels, puisque "AD" fait partie de la liste des sources d'identité de All_User_ID_Stores, cet exemple utilise une règle plus spécifique "WLC_lab » pour ce contrôleur LAB respectif et utilisera "AD uniquement« . source d'authentification.
    • Nous devons maintenant créer des stratégies d'autorisation pour les utilisateurs qui attribueront un profil d'autorisation respectif en fonction de l'appartenance au groupe. Ouvrez la section "Politique d'autorisation" et créez des stratégies pour remplir cette condition.

Configuration WLC pour prendre en charge l'authentification dot1x et la substitution AAA pour SSID 'office_hq'

  1. Configurez ISE en tant que serveur d'authentification RADIUS sur WLC, sous « Security -> AAA -> RADIUS -> Authentication » dans l'interface utilisateur Web et fournissez l'adresse IP ISE et les informations secrètes partagées.


  2. Configurez SSID office_hq sous la section "WLAN" sur le WLC ; ci-dessous exemple configure SSID avec WPA2/AES+dot1x et AAA override. L'interface « Dummy » est sélectionnée pour le WLAN, car le vlan approprié sera quand même attribué via RADIUS. Cette interface fictive doit être créée sur le WLC et dotée d'une adresse IP, mais l'adresse IP n'a pas besoin d'être valide et le VLAN dans lequel elle est placée peut ne pas être créé dans le commutateur de liaison ascendante, de sorte que si aucun VLAN n'est attribué, le client ne peut aller nulle part.









  3. Nous devons également créer des interfaces dynamiques sur le WLC pour les VLAN utilisateur, sous le menu UI "Controller -> Interfaces« . Le WLC ne peut honorer l'affectation de VLAN reçue via AAA que s'il a une interface dynamique dans ce vlan.

Vérification

Nous allons utiliser Windows 10 native supplicant et Anyconnect NAM pour tester les connexions.

Puisque nous utilisons l'authentification EAP-PEAP et que ISE utilise un certificat auto-signé (SSC), nous devons accepter l'avertissement de certificat ou désactiver la validation de certificat. Dans un environnement d'entreprise, vous devez utiliser un certificat signé et approuvé sur ISE et vous assurer que les périphériques des utilisateurs finaux ont le certificat racine approprié installé sous la liste des autorités de certification de confiance.

Testez la connexion avec Windows 10 et le demandeur natif.

  1. Ouvrez « Paramètres réseau et Internet -> Wi-Fi -> Gérer les réseaux connus » et créez un nouveau profil réseau en appuyant sur le bouton Ajouter un nouveau réseau ; renseignez les informations requises.
  2. Vérifiez le journal d'authentification sur ISE et assurez-vous que le profil approprié est sélectionné pour l'utilisateur.
  3. Vérifiez l'entrée du client sur le WLC et assurez-vous qu'elle est attribuée au VLAN droit et qu'elle est en état RUN.
  4. À partir de l'état du client CLI du WLC peut être vérifié avec "show client dertails <mac-address>" :
     
    show client detail f4:8c:50:62:14:6b 
Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Bob
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Bob
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 242 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.78.36
Gateway Address.................................. 192.168.78.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
EAP Type......................................... PEAP
Interface........................................ vlan1478
VLAN............................................. 1478
Quarantine VLAN.................................. 0
Access VLAN...................................... 1478

Testez la connexion avec Windows 10 et Anyconnect NAM.

  1. Sélectionnez SSID dans la liste des SSID disponibles et le type d'authentification EAP respectif (dans cet exemple PEAP) et le formulaire d'authentification interne
  2. Fournir le nom d'utilisateur et le mot de passe pour l'authentification des utilisateurs.
  3. Puisque ISE envoie au client un SSC, nous devons sélectionner manuellement le certificat de confiance (dans l'environnement de production, il est fortement recommandé d'installer un certificat de confiance sur ISE).
  4. Vérifiez les journaux d'authentification sur ISE et assurez-vous que le profil d'autorisation approprié est sélectionné pour l'utilisateur.

  5. Vérifiez l'entrée du client sur le WLC et assurez-vous qu'elle est attribuée au VLAN approprié et qu'elle est à l'état RUN.

  6. À partir de l'état du client CLI du WLC peut être vérifié avec "show client dertails <mac-address>" :
     
    Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Alice
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Alice
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 765 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.77.32
Gateway Address.................................. 192.168.77.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... PEAP
Interface........................................ vlan1477
VLAN............................................. 1477

Dépannage

  1. Utilisez « test aaa radius username <user> password <password> wlan-id <id>" pour tester la connexion RADIUS entre WLC et ISE et "test aaa show radius" pour afficher les résultats. 
    test aaa radius username Alice password <removed> wlan-id 2

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  Called-Station-Id               00-00-00-00-00-00:AndroidAP
  Calling-Station-Id              00-11-22-33-44-55
  Nas-Port                        0x00000001 (1)
  Nas-Ip-Address                  10.48.71.20
  NAS-Identifier                  0x6e6f (28271)
  Airespace / WLAN-Identifier     0x00000002 (2)
  User-Password                   cisco!123 
  Service-Type                    0x00000008 (8)
  Framed-MTU                      0x00000514 (1300)
  Nas-Port-Type                   0x00000013 (19)
  Cisco / Audit-Session-Id        1447300a0000003041d5665c
  Acct-Session-Id                 5c66d541/00:11:22:33:44:55/743



test radius auth request successfully sent. Execute 'test aaa show radius' for response

(Cisco Controller) >test aaa show radius 

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none
Radius Test Response

Radius Server            Retry Status
-------------            ----- ------
10.48.39.128             1     Success

Authentication Response:
  Result Code: Success

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  State                           ReauthSession:1447300a0000003041d5665c
  Class                           CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59
  Tunnel-Type                     0x0000000d (13)
  Tunnel-Medium-Type              0x00000006 (6)
  Tunnel-Group-Id                 0x000005c5 (1477)



(Cisco Controller) >
  2. Utilisez « debug client <mac-address>" pour résoudre les problèmes de connectivité du client sans fil.
  3. Utilisez "debug aaa all enable" pour résoudre les problèmes d'authentification et d'autorisation sur le WLC.
    Note: utilisez cette commande uniquement avec 'debug mac addr <mac-address>' pour limiter la sortie en fonction de l'adresse MAC pour laquelle le débogage est effectué !
  4.  Référez-vous aux journaux en direct et aux journaux de session ISE pour identifier les problèmes d'échecs d'authentification et de problèmes de communication AD.