Configurer l'affectation de VLAN dynamique avec des WLC basés sur la carte de groupe ISE vers Active Directory

Mis à jour:31 mai 2019
ID du document:99121

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le concept d'affectation dynamique de VLAN.

    Conditions préalables

    Le document décrit comment configurer le contrôleur LAN sans fil (WLC) et le serveur ISE (Identity Services Engine) afin d'attribuer dynamiquement des clients LAN sans fil (WLAN) dans un VLAN spécifique.

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissances de base des contrôleurs LAN sans fil (WLC) et des points d'accès légers (LAP)

    • Connaissance fonctionnelle d'un serveur d'authentification, d'autorisation et de comptabilité (AAA) tel qu'un ISE

    • Avoir une connaissance complète des réseaux sans fil et des problèmes liés à la sécurité sans fil
    • Connaissance fonctionnelle et configurable de l’attribution dynamique de VLAN
    • Compréhension de base des services Microsoft Windows AD, ainsi que des concepts de contrôleur de domaine et DNS
    • Connaissance de base du protocole CAPWAP (Control And Provisioning of Access Point Protocol)

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • WLC de la gamme Cisco 5520 qui exécute la version de microprogramme 8.8.11.0

    • AP de la gamme Cisco 4800

    • Demandeur Windows natif et NAM Anyconnect

    • Cisco Secure ISE version 2.3.0.298

    • Microsoft Windows 2016 Server configuré comme contrôleur de domaine

    • Commutateur de la gamme Cisco 3560-CX qui exécute la version 15.2(4)E1

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Conventions

    Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

      

    Affectation de VLAN dynamique avec le serveur RADIUS

    Dans la plupart des systèmes WLAN, chaque WLAN a une stratégie statique qui s'applique à tous les clients associés à un SSID (Service Set Identifier), ou WLAN dans la terminologie du contrôleur. Bien que puissante, cette méthode a des limitations parce qu'elle exige que les clients soient associés à des SSID différents afin d'hériter de QoS et de stratégies de sécurité différentes.

    La solution WLAN de Cisco résout cette limitation en prenant en charge la mise en réseau des identités. Cela permet au réseau d'annoncer un SSID unique, mais permet à des utilisateurs spécifiques d'hériter de différentes qualités de service, attributs VLAN et/ou stratégies de sécurité en fonction des informations d'identification de l'utilisateur.

    L'affectation de VLAN dynamique est une fonction qui place un utilisateur sans fil dans un VLAN spécifique en fonction des informations fournies par l'utilisateur. Cette tâche d'affectation d'utilisateurs à un VLAN spécifique est gérée par un serveur d'authentification RADIUS, tel que Cisco ISE. Ceci peut être utilisé, par exemple, afin de permettre à l'hôte sans fil de rester sur le même VLAN lorsqu'il se déplace au sein d'un réseau de campus.

    Le serveur Cisco ISE authentifie les utilisateurs sans fil par rapport à l'une des bases de données possibles, qui inclut sa base de données interne. Exemple :

    • Base de données interne

    • Active Directory

    • Protocole LDAP (Generic Lightweight Directory Access Protocol)

    • Bases de données relationnelles compatibles ODBC (Open Database Connectivity)

    • Serveurs à jetons SecurID Rivest, Shamir et Adelman (RSA)

    • Serveurs de jetons compatibles RADIUS

    Les protocoles d'authentification Cisco ISE et les sources d'identité externes prises en charge répertorient les différents protocoles d'authentification pris en charge par les bases de données internes et externes ISE.

    Ce document se concentre sur l'authentification des utilisateurs sans fil qui utilisent la base de données externe Windows Active Directory.

    Après une authentification réussie, ISE récupère les informations de groupe de cet utilisateur dans la base de données Windows et associe l'utilisateur au profil d'autorisation correspondant.

    Lorsqu'un client tente de s'associer à un LAP enregistré auprès d'un contrôleur, le LAP transmet les informations d'identification de l'utilisateur au WLC à l'aide de la méthode EAP respective.

    WLC envoie ces informations d'identification à ISE avec l'utilisation du protocole RADIUS (encapsulation de l'EAP) et ISE transmet les informations d'identification des utilisateurs à AD pour validation avec l'aide du protocole KERBEROS.

    AD valide les informations d'identification de l'utilisateur et, après authentification réussie, informe l'ISE.

    Une fois l'authentification réussie, le serveur ISE transmet certains attributs IETF (Internet Engineering Task Force) au WLC. Ces attributs RADIUS déterminent l'ID de VLAN qui doit être attribué au client sans fil. Le SSID (WLAN, en termes de WLC) du client n'importe pas parce que l'utilisateur est toujours affecté à cet ID de VLAN prédéterminé.

    Les attributs d'utilisateur RADIUS utilisés pour l'affectation de l'ID de VLAN sont :

    • IETF 64 (type de tunnel)Définissez cette valeur sur VLAN

    • IETF 65 (Tunnel Medium Type)Définissez cette valeur sur 802

    • IETF 81 (ID de groupe privé de tunnel)Définissez cette valeur sur ID de VLAN

    L'ID de VLAN est de 12 bits et prend une valeur comprise entre 1 et 4094 inclus. Étant donné que l'ID de groupe privé de tunnel est de type chaîne, comme défini dans RFC2868 pour une utilisation avec IEEE 802.1X, la valeur entière de l'ID de VLAN est codée sous la forme d'une chaîne. Quand ces attributs de tunnel sont envoyés, il est nécessaire de renseigner la zone Tag.

    Comme indiqué dans la RFC 2868, section 3.1 : le champ Tag a une longueur d'un octet et est destiné à fournir un moyen de regrouper des attributs dans le même paquet qui font référence au même tunnel. Les valeurs valides pour cette zone sont comprises entre 0x01 et 0x1F, inclus. Si la zone Tag est inutilisée, elle doit avoir pour valeur zéro (0x00). Référez-vous à RFC 2868 pour plus d'informations sur tous les attributs RADIUS.

    Configurer

    Cette section fournit les informations nécessaires à la configuration des fonctions décrites dans le document.

    Diagramme du réseau

    Network Diagram - DVLAN

    Configurations

    Voici les détails de configuration des composants utilisés dans ce diagramme :

    • L'adresse IP du serveur ISE (RADIUS) est 10.48.39.128.

    • L'adresse d'interface de gestion et de gestionnaire AP du WLC est 10.48.71.20.

    • Le serveur DHCP réside sur le réseau local et est configuré pour les pools de clients respectifs ; il n'est pas représenté sur le schéma.

    • Les VLAN1477 et VLAN1478 sont utilisés tout au long de cette configuration. Les utilisateurs du service Marketing sont configurés pour être placés dans le VLAN1477 et les utilisateurs du service RH sont configurés pour être placés dans le VLAN1478 par le serveur RADIUS Lorsque les deux utilisateurs se connectent au même SSID : office_hq.

      VLAN1477 : 192.168.77.0/24. Passerelle : 192.168.77.1 VLAN148 : 192.168.78.0/24. Passerelle : 192.168.78.1 

    • Ce document utilise 802.1x avec PEAP-mschapv2 comme mécanisme de sécurité.

    note-icon

    Remarque : Cisco recommande d'utiliser des méthodes d'authentification avancées, telles que l'authentification EAP-FAST et EAP-TLS, afin de sécuriser le WLAN.

    Les hypothèses suivantes sont faites avant d'effectuer cette configuration :

    • Le LAP est déjà enregistré auprès du WLC

    • Une étendue DHCP est attribuée au serveur DHCP

    • La connectivité de couche 3 existe entre tous les périphériques du réseau

    • Le document traite de la configuration requise du côté sans fil et suppose que le réseau câblé est en place

    • Les utilisateurs et les groupes respectifs sont configurés sur Active Directory

    Afin d'effectuer l'affectation de VLAN dynamique avec des WLC basés sur le mappage de groupe ISE à AD, ces étapes doivent être effectuées :

    1. Intégration et configuration ISE à AD des politiques d'authentification et d'autorisation pour les utilisateurs sur ISE.
    2. Configuration WLC afin de prendre en charge l'authentification dot1x et le remplacement AAA pour SSID 'office_hq'.
    3. Configuration du demandeur du client final.

    Intégration et configuration ISE à AD des stratégies d'authentification et d'autorisation pour les utilisateurs sur ISE

    1. Connectez-vous à l'interface utilisateur Web ISE à l'aide d'un compte admin.
    2. Naviguez jusqu'à Administration > Identity management > External Identity Sources > Active directory.

      Create a New Active Directory Join Point

    3. Cliquez sur Ajouter et entrez le nom de domaine et le nom du magasin d'identités à partir des paramètres de nom du point de jonction Active Directory. Dans l'exemple, ISE est enregistré dans le domaine wlaaan.com et le point de jointure est spécifié comme AD.wlaaan.com - nom significatif localement pour ISE.

      AD Name

    4. Une fenêtre contextuelle s'ouvre après Submit est pressé pour vous demander si vous voulez rejoindre ISE à AD immédiatement. Presse Yes et fournissez des informations d'identification d'utilisateur Active Directory avec des droits d'administrateur pour ajouter un nouvel hôte au domaine.

      AD Admin Username

    5. Après ce point, vous devez avoir ISE correctement enregistré auprès d'AD.

      Active Directory Identity Source

      Si vous rencontrez des problèmes avec le processus d'enregistrement, vous pouvez utiliser la Diagnostic Tool  afin d'exécuter les tests requis pour la connectivité AD.
    6. Vous devez récupérer les groupes pour les répertoires actifs qui sont utilisés afin d'attribuer des profils d'autorisation respectifs. Naviguez jusqu'à Administration > Identity management > External Identity Sources > Active directory > > Groups , puis cliquez sur Add et choisissez Select Groups from Active Directory.

      New AD Group Map

    7. Une nouvelle fenêtre contextuelle s'ouvre, dans laquelle vous pouvez spécifier un filtre afin de récupérer des groupes spécifiques ou récupérer tous les groupes à partir d'Active Directory.
      Choisissez les groupes respectifs dans la liste des groupes AD et appuyez sur OK.

      Choose AD Groups

    8. Les groupes respectifs sont ajoutés à ISE et peuvent être enregistrés. Presse Save.

      AD Groups

    9. Ajouter WLC à la liste des périphériques réseau ISE - Accédez à Administration > Network Resources > Network Devices et appuyez sur Add.
      Configuration complète, en fournissant l'adresse IP de gestion WLC et le secret partagé RADIUS entre WLC et ISE.

      Add WLC as Network Device

    10. Maintenant, après avoir rejoint ISE à AD et ajouté le WLC à la liste des périphériques, vous pouvez commencer la configuration des stratégies d'authentification et d'autorisation pour les utilisateurs.
      • Créez un profil d'autorisation afin d'attribuer des utilisateurs de Marketing à VLAN1477 et du groupe HR à VLAN1478.
        Naviguez jusqu'à Policy > Policy Elements > Results > Authorization > Authorization profiles et cliquez sur le bouton Add afin de créer un nouveau profil.

        Standard Authorization Profiles

      • Complétez la configuration du profil d'autorisation avec les informations VLAN pour le groupe correspondant ; l'exemple montre Marketing paramètres de configuration du groupe.

        Create New Authorization Profile

        Une configuration similaire doit être effectuée pour les autres groupes et les attributs de balise VLAN respectifs doivent être configurés.
      • Une fois les profils d'autorisation configurés, vous pouvez définir des stratégies d'authentification pour les utilisateurs sans fil. Vous pouvez le faire en configurant Custom ou en modifiant le Default Ensemble de stratégies. Dans cet exemple, le jeu de stratégies par défaut est modifié. Naviguez jusqu'à Policy > Policy Sets > Default. Par défaut pour dot1x type d'authentification, ISE va utiliser All_User_ID_Stores, bien qu'il fonctionne même avec les paramètres par défaut actuels, car AD fait partie de la liste des sources d'identité de All_User_ID_Stores, cet exemple utilise une règle plus spécifique WLC_lab pour ce contrôleur LAB respectif et utilise AD comme seule source d'authentification.

        ISE Policy Set

      • Vous devez maintenant créer des stratégies d'autorisation pour les utilisateurs qui attribuent des profils d'autorisation respectifs en fonction de l'appartenance au groupe. Naviguez jusqu'à Authorization policy et créer des stratégies afin de répondre à cette exigence.

        Authorization Policy

    Configuration WLC pour prendre en charge l'authentification dot1x et le remplacement AAA pour le SSID 'office_hq'

    1. Configurez ISE en tant que serveur d'authentification RADIUS sur WLC. Naviguez jusqu'à Security > AAA > RADIUS > Authentication  dans l'interface utilisateur Web et fournir l'adresse IP ISE et les informations secrètes partagées.

      New RADIUS Server Details

    2. Configurer le SSID office_hq sous la WLANs sur le WLC ; cet exemple configure le SSID avec WPA2/AES+dot1x et AAA. Interface Dummy est choisi pour le WLAN puisque le VLAN approprié est attribué de toute façon via RADIUS. Cette interface fictive doit être créée sur le WLC et recevoir une adresse IP, mais l'adresse IP ne doit pas être valide et le VLAN dans lequel elle est placée ne peut pas être créé dans le commutateur de liaison ascendante de sorte que si aucun VLAN n'est attribué, le client ne peut aller nulle part.

      Create a New WLAN

      WLAN Name

      Enable the WLAN and Set an Interface

      WLAN Layer2 Security Settings

      Configure AAA Servers for the WLAN

      Enable AAA Override

    3. Vous devez également créer des interfaces dynamiques sur le WLC pour les VLAN utilisateur. Naviguez jusqu'à Controller > Interfaces Menu de l'interface. Le WLC ne peut honorer l'affectation de VLAN reçue via AAA que s'il a une interface dynamique dans ce VLAN.

      Create a Dynamic Interface

    Vérifier

    Utilisez le demandeur natif Windows 10 et Anyconnect NAM afin de tester les connexions.

    Étant donné que vous utilisez l'authentification EAP-PEAP et qu'ISE utilise un certificat auto-signé (SSC), vous devez accepter un avertissement de certificat ou désactiver la validation de certificat. Dans un environnement d'entreprise, vous devez utiliser un certificat signé et approuvé sur ISE et vous assurer que les périphériques des utilisateurs finaux disposent du certificat racine approprié installé sous la liste Autorités de certification approuvées.

    Testez la connexion avec Windows 10 et le demandeur natif :

    1. Open (ouvert) Network & Internet settings > Wi-Fi > Manage known networks  et créez un nouveau profil réseau en appuyant sur la touche Add new network  ; entrez les informations requises.

      WinSUP1

    2. Vérifiez le journal d'authentification sur ISE et assurez-vous que le profil approprié est sélectionné pour l'utilisateur.

      Check the authentication log on ISE

    3. Vérifiez l'entrée du client sur le WLC et assurez-vous qu'il est assigné au bon VLAN et est dans l'état RUN.

      Wireless Client Entry

    4. À partir de l'ILC WLC, l'état du client peut être vérifié avec le show client dertails :

       
      show client detail f4:8c:50:62:14:6b 
Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Bob
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Bob
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 242 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.78.36
Gateway Address.................................. 192.168.78.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
EAP Type......................................... PEAP
Interface........................................ vlan1478
VLAN............................................. 1478
Quarantine VLAN.................................. 0
Access VLAN...................................... 1478

    Testez la connexion avec Windows 10 et Anyconnect NAM :

    1. Choisissez le SSID dans la liste SSID disponibles et le type d'authentification EAP respectif (dans cet exemple PEAP) et le formulaire d'authentification interne.

      Anyconnect NAM

    2. Fournissez un nom d'utilisateur et un mot de passe pour l'authentification utilisateur.

      Anyconnect NAM

    3. Étant donné qu'ISE envoie un SSC au client, vous devez choisir manuellement d'approuver le certificat (dans l'environnement de production, il est fortement recommandé d'installer le certificat approuvé sur ISE).

      Anyconnect NAM

    4. Vérifiez les journaux d'authentification sur ISE et assurez-vous que le profil d'autorisation approprié est sélectionné pour l'utilisateur.

      Wireless Client Authorization Status

    5. Vérifiez l'entrée du client sur le WLC et assurez-vous qu'il est assigné au bon VLAN et est dans l'état RUN.

      Wireless Client shows as Authenticated

    6. À partir de l'ILC WLC, l'état du client peut être vérifié avec le show client dertails :

       
      Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Alice
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Alice
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 765 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.77.32
Gateway Address.................................. 192.168.77.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... PEAP
Interface........................................ vlan1477
VLAN............................................. 1477

    Dépannage

    1. Utilisez test aaa radius username  password  wlan-id    afin de tester la connexion RADIUS entre WLC et ISE et le test aaa show radius afin d'afficher les résultats.

      test aaa radius username Alice password <removed> wlan-id 2

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  Called-Station-Id               00-00-00-00-00-00:AndroidAP
  Calling-Station-Id              00-11-22-33-44-55
  Nas-Port                        0x00000001 (1)
  Nas-Ip-Address                  10.48.71.20
  NAS-Identifier                  0x6e6f (28271)
  Airespace / WLAN-Identifier     0x00000002 (2)
  User-Password                   cisco!123 
  Service-Type                    0x00000008 (8)
  Framed-MTU                      0x00000514 (1300)
  Nas-Port-Type                   0x00000013 (19)
  Cisco / Audit-Session-Id        1447300a0000003041d5665c
  Acct-Session-Id                 5c66d541/00:11:22:33:44:55/743



test radius auth request successfully sent. Execute 'test aaa show radius' for response

(Cisco Controller) >test aaa show radius 

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none
Radius Test Response

Radius Server            Retry Status
-------------            ----- ------
10.48.39.128             1     Success

Authentication Response:
  Result Code: Success

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  State                           ReauthSession:1447300a0000003041d5665c
  Class                           CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59
  Tunnel-Type                     0x0000000d (13)
  Tunnel-Medium-Type              0x00000006 (6)
  Tunnel-Group-Id                 0x000005c5 (1477)



(Cisco Controller) >
    2. Utilisez debug client  afin de dépanner les problèmes de connectivité du client sans fil.
    3. Utilisez debug aaa all enable afin de dépanner les problèmes d'authentification et d'autorisation sur le WLC.

      note-icon

      Remarque : utilisez cette commande uniquement avec la commande debug mac addr afin de limiter le résultat en fonction de l'adresse MAC pour laquelle le débogage est effectué.

    4.  Référez-vous aux journaux en direct ISE et aux journaux de session afin d'identifier les problèmes d'échecs d'authentification et les problèmes de communication AD.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    19-Sep-2007
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Roman Manchur
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits