Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
Dans la documentation de ce produit, les auteurs s‘efforcent d‘utiliser un langage exempt de préjugés. Aux fins de cet ensemble de documents, l’expression « sans préjugés » est définie comme un langage sans discrimination fondée sur l’âge, le handicap, le sexe, l’identité raciale, l’identité ethnique, l’orientation sexuelle, la situation socio-économique et l’intersectionnalité. Des exceptions peuvent être présentes dans la documentation en raison de la langue codée en dur dans les interfaces utilisateur du logiciel du produit, de la langue utilisée en fonction de la documentation de l’appel d’offres ou de la langue utilisée par un produit tiers référencé. En savoir plus sur la façon dont Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document présente le concept d'affectation de VLAN dynamique. Le document décrit comment configurer le contrôleur de réseau local sans fil (WLC) et le serveur ISE pour affecter dynamiquement des clients de réseau local sans fil (WLAN) à un VLAN spécifique.
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
Connaissance de base des contrôleurs de réseau local sans fil (WLC) et des points d'accès légers (LAP)
Connaissance fonctionnelle d'un serveur AAA (Authentication, Authorization and Accounting) tel que Identity Services Engine (ISE)
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
WLC de la gamme Cisco 5520 qui exécute la version 8.8.111.0 du micrologiciel
Point d'accès de la gamme Cisco 4800
Complicant Windows natif et NAM Anyconnect.
Cisco Secure ISE version 2.3.0.298
Microsoft Windows 2016 Server configuré en tant que contrôleur de domaine
Commutateur de la gamme Cisco 3560-CX qui exécute la version 15.2(4)E1
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Dans la plupart des systèmes WLAN, chaque WLAN a une stratégie statique qui s'applique à tous les clients associés à un SSID (Service Set Identifier), ou WLAN dans la terminologie du contrôleur. Bien que puissante, cette méthode a des limitations parce qu'elle exige que les clients soient associés à des SSID différents afin d'hériter de QoS et de stratégies de sécurité différentes.
La solution WLAN de Cisco répond à cette limitation en prenant en charge la mise en réseau des identités. Cela permet au réseau d'annoncer un SSID unique, mais permet à des utilisateurs spécifiques d'hériter de différentes QoS, attributs VLAN et/ou stratégies de sécurité en fonction des informations d'identification de l'utilisateur.
L'affectation de VLAN dynamique est une fonction qui place un utilisateur sans fil dans un VLAN spécifique en fonction des informations fournies par l'utilisateur. Cette tâche d'affectation d'utilisateurs à un VLAN spécifique est gérée par un serveur d'authentification RADIUS, tel que Cisco ISE. Elle peut être utilisée, par exemple, pour permettre à l'hôte sans fil de rester sur le même VLAN alors qu'il se déplace au sein d'un réseau de campus.
Le serveur Cisco ISE authentifie les utilisateurs sans fil sur l'une des bases de données possibles, qui inclut sa base de données interne, par exemple :
Active Directory
LDAP (Generic Lightweight Directory Access Protocol)
Bases de données relationnelles compatibles ODBC (Open Database Connectivity)
Serveurs à jetons SecurID Rivest, Shamir et Adelman (RSA)
Serveurs de jetons compatibles RADIUS
Les protocoles d'authentification Cisco ISE et les sources d'identité externes prises en charge répertorient les différents protocoles d'authentification pris en charge par les bases de données internes et externes ISE.
Ce document se concentre sur l'authentification des utilisateurs sans fil qui utilisent la base de données externe du répertoire Windows Active.
Après une authentification réussie, ISE récupère les informations de groupe de cet utilisateur dans la base de données Windows et associe l'utilisateur au profil d'autorisation respectif.
Lorsqu'un client tente de s'associer à un LAP enregistré auprès d'un contrôleur, le LAP transmet les informations d'identification de l'utilisateur au WLC à l'aide de la méthode EAP correspondante.
WLC envoie ces informations d'identification à ISE à l'aide du protocole RADIUS (encapsulant le protocole EAP) et ISE transmet les informations d'identification des utilisateurs à AD pour validation à l'aide du protocole KERBEROS.
Active Directory valide les informations d'identification de l'utilisateur et, une fois l'authentification réussie, informe l'ISE.
Une fois l'authentification réussie, le serveur ISE passe certains attributs IETF (Internet Engineering Task Force) au WLC. Ces attributs RADIUS décident de l'ID de VLAN qui doit être affecté au client sans fil. Le SSID (WLAN, en termes de WLC) du client n'importe pas parce que l'utilisateur est toujours affecté à cet ID de VLAN prédéterminé.
Les attributs d'utilisateur RADIUS utilisés pour l'affectation de l'ID de VLAN sont :
IETF 64 (type de tunnel)—Définissez-la sur VLAN.
IETF 65 (type de support de tunnel)—Définissez cette valeur sur 802
IETF 81 (ID de groupe privé de tunnel)—Définissez cette valeur sur ID de VLAN.
L'ID du VLAN est de 12 bits et prend une valeur entre 1 et 4 094, inclus. Puisque l'ID de groupe-privé-tunnel est de type chaîne, comme défini dans RFC2868 pour une utilisation avec IEEE 802.1X, la valeur entière de l'ID de VLAN est codée en tant que chaîne. Quand ces attributs de tunnel sont envoyés, il est nécessaire de renseigner la zone Tag.
Comme indiqué dans la RFC 2868, section 3.1 : La zone Tag a une longueur d'un octet et sa fonction est de fournir un moyen de regrouper les attributs dans le même paquet qui fait référence au même tunnel. Les valeurs valides pour cette zone sont comprises entre 0x01 et 0x1F, inclus. Si la zone Tag est inutilisée, elle doit avoir pour valeur zéro (0x00). Référez-vous à RFC 2868 pour plus d'informations sur tous les attributs RADIUS.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Voici les détails de configuration des composants utilisés dans ce schéma :
L'adresse IP du serveur ISE (RADIUS) est 10.48.39.128.
L'adresse de l'interface Management and AP-manager du WLC est 10.48.71.20.
Le serveur DHCP réside dans le réseau LAN et est configuré pour les pools de clients respectifs ; elle n'est pas affichée sur le schéma
Les VLAN1477 et VLAN1478 sont utilisés dans toute cette configuration. Les utilisateurs du service Marketing sont configurés pour être placés dans le VLAN1477 et les utilisateurs du service RH sont configurés pour être placés dans le VLAN1478 par le serveur RADIUS lorsque les deux utilisateurs se connectent au même SSID — office_hq.
VLAN1477 : 192.168.77.0/24 . Passerelle : 192.168.77.1 VLAN1478 : 192.168.78.0/24 . Passerelle : 192.168.78.1
Ce document utilise 802.1x avec PEAP-mschapv2 comme mécanisme de sécurité.
Note: Cisco vous recommande d'utiliser des méthodes d'authentification avancées, telles que l'authentification EAP-FAST et EAP-TLS, afin de sécuriser le WLAN.
Ces hypothèses sont faites avant d'effectuer cette configuration :
Le LAP est déjà enregistré auprès du WLC.
Une étendue DHCP est attribuée au serveur DHCP.
Le document traite de la configuration requise du côté sans fil et suppose que le réseau câblé est en place.
Afin d'accomplir l'attribution dynamique de VLAN avec des WLC basés sur le mappage de groupe ISE vers AD, ces étapes doivent être effectuées :
Nous allons utiliser Windows 10 native supplicant et Anyconnect NAM pour tester les connexions.
Puisque nous utilisons l'authentification EAP-PEAP et que ISE utilise un certificat auto-signé (SSC), nous devons accepter l'avertissement de certificat ou désactiver la validation de certificat. Dans un environnement d'entreprise, vous devez utiliser un certificat signé et approuvé sur ISE et vous assurer que les périphériques des utilisateurs finaux ont le certificat racine approprié installé sous la liste des autorités de certification de confiance.
Testez la connexion avec Windows 10 et le demandeur natif.
show client detail f4:8c:50:62:14:6b Client MAC Address............................... f4:8c:50:62:14:6b Client Username ................................. Bob Client Webauth Username ......................... N/A Hostname: ....................................... Device Type: .................................... Intel-Device AP MAC Address................................... 70:69:5a:51:4e:c0 AP Name.......................................... AP4C77.6D9E.6162 AP radio slot Id................................. 1 Client State..................................... Associated User Authenticated by ........................... RADIUS Server Client User Group................................ Bob Client NAC OOB State............................. Access Wireless LAN Id.................................. 3 Wireless LAN Network Name (SSID)................. office_hq Wireless LAN Profile Name........................ office_hq Hotspot (802.11u)................................ Not Supported Connected For ................................... 242 secs BSSID............................................ 70:69:5a:51:4e:cd Channel.......................................... 36 IP Address....................................... 192.168.78.36 Gateway Address.................................. 192.168.78.1 Netmask.......................................... 255.255.255.0 ... Policy Manager State............................. RUN ... EAP Type......................................... PEAP Interface........................................ vlan1478 VLAN............................................. 1478 Quarantine VLAN.................................. 0 Access VLAN...................................... 1478
Testez la connexion avec Windows 10 et Anyconnect NAM.
Client MAC Address............................... f4:8c:50:62:14:6b Client Username ................................. Alice Client Webauth Username ......................... N/A Hostname: ....................................... Device Type: .................................... Intel-Device AP MAC Address................................... 70:69:5a:51:4e:c0 AP Name.......................................... AP4C77.6D9E.6162 AP radio slot Id................................. 1 Client State..................................... Associated User Authenticated by ........................... RADIUS Server Client User Group................................ Alice Client NAC OOB State............................. Access Wireless LAN Id.................................. 3 Wireless LAN Network Name (SSID)................. office_hq Wireless LAN Profile Name........................ office_hq Hotspot (802.11u)................................ Not Supported Connected For ................................... 765 secs BSSID............................................ 70:69:5a:51:4e:cd Channel.......................................... 36 IP Address....................................... 192.168.77.32 Gateway Address.................................. 192.168.77.1 Netmask.......................................... 255.255.255.0 ... Policy Manager State............................. RUN ... Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... PEAP Interface........................................ vlan1477 VLAN............................................. 1477
test aaa radius username Alice password <removed> wlan-id 2 Radius Test Request Wlan-id........................................ 2 ApGroup Name................................... none Attributes Values ---------- ------ User-Name Alice Called-Station-Id 00-00-00-00-00-00:AndroidAP Calling-Station-Id 00-11-22-33-44-55 Nas-Port 0x00000001 (1) Nas-Ip-Address 10.48.71.20 NAS-Identifier 0x6e6f (28271) Airespace / WLAN-Identifier 0x00000002 (2) User-Password cisco!123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Cisco / Audit-Session-Id 1447300a0000003041d5665c Acct-Session-Id 5c66d541/00:11:22:33:44:55/743 test radius auth request successfully sent. Execute 'test aaa show radius' for response (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 2 ApGroup Name................................... none Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.48.39.128 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name Alice State ReauthSession:1447300a0000003041d5665c Class CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59 Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x000005c5 (1477) (Cisco Controller) >