Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

L'affectation dynamique VLAN avec WLCs a basé sur ISE à l'exemple de configuration de mappage de groupe de Répertoire actif

Options de téléchargement

  • PDF     (2.2 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (2.2 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (2.5 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:31 mai 2019
ID du document:99121
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document présente le concept d'affectation de VLAN dynamique. Le document décrit comment configurer le contrôleur LAN Sans fil (WLC) et le serveur ISE pour affecter les clients Sans fil du RÉSEAU LOCAL (WLAN) dans une particularité VLAN dynamiquement.

Conditions préalables

Exigences

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Ayez la connaissance de base des contrôleurs LAN Sans fil (WLCs) et du Point d'accès léger (les recouvrements)

  • Ayez la connaissance fonctionnelle d'un serveur d'authentification, d'autorisation et de comptabilité (AAA) telle que le Cisco Identity Services Engine (ISE)

  • Ayez la connaissance complète des réseaux Sans fil et des problèmes de sécurité Sans fil.
  • Ayez la connaissance fonctionnelle et configurable sur l'affectation dynamique VLAN
  • Ayez la compréhension de base des services d'AD de Microsoft Windows, aussi bien que le contrôleur de domaine et les concepts de DN
  • Ayez la connaissance de base du contrôle et du ravitaillement du protocole de Point d'accès (CAPWAP)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Gamme Cisco 5520 WLC qui exécute la version de microprogramme 8.8.111.0

  • Gamme Cisco 4800 AP

  • Suppliant indigène et Anyconnect NAM de Windows.

  • Version 2.3.0.298 Cisco Secure ISE

  • Serveur de Microsoft Windows 2016 configuré comme contrôleur de domaine

  • Commutateur de gamme Cisco 3560-CX qui exécute la version 15.2(4)E1

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

  

Affectation de VLAN dynamique avec le serveur RADIUS

Dans la plupart des systèmes WLAN, chaque WLAN a une stratégie statique qui s'applique à tous les clients associés à un SSID (Service Set Identifier), ou WLAN dans la terminologie du contrôleur. Bien que puissante, cette méthode a des limitations parce qu'elle exige que les clients soient associés à des SSID différents afin d'hériter de QoS et de stratégies de sécurité différentes.

Adresses de solution WLAN de Cisco cette limite par le support du réseau d'identité. Que permet au réseau pour annoncer un SSID simple, mais permet aux utilisateurs spécifiques pour hériter de QoS différent, d'attributs VLAN et/ou de stratégies de sécurité basés sur l'identifiant utilisateur.

L'affectation de VLAN dynamique est une fonction qui place un utilisateur sans fil dans un VLAN spécifique en fonction des informations fournies par l'utilisateur. Cette tâche d'assigner des utilisateurs à une particularité VLAN est gérée par un serveur d'authentification RADIUS, tel que Cisco ISE. Elle peut être utilisée, par exemple, pour permettre à l'hôte sans fil de rester sur le même VLAN alors qu'il se déplace au sein d'un réseau de campus.

Le serveur de Cisco ISE authentifie des utilisateurs de sans fil contre une de plusieurs bases de données possibles, qui inclut sa base de données interne, par exemple :

  • DB interne

  • Répertoire actif

  • Protocole LDAP (Lightweight Directory Access Protocol) générique

  • Connectivité de base de données ouverte (ODBC) - bases de données relationnelles conformes

  • Serveurs de jetons de Rivest, de Shamir, et d'Adelman (RSA) SecurID

  • serveurs de jetons RADIUS-conformes

Les Protocoles d'authentification de Cisco ISE et les sources extérieures prises en charge d'identité répertorient les divers Protocoles d'authentification pris en charge par ISE interne et bases de données externes.

Ce document se concentre sur authentifier les utilisateurs de sans fil qui utilisent la base de données externe direcory active de Windows.

Après l'authentification réussie, ISE récupère l'information du groupe de cet utilisateur de la base de données de Windows et associe l'utilisateur au profil respectif d'autorisation.

Quand les tentatives d'un client de s'associer à un RECOUVREMENT se sont inscrites à un contrôleur, le RECOUVREMENT passe les qualifications de l'utilisateur au WLC suivre la méthode respective d'EAP.

WLC envoie ces qualifications à ISE utilisant le protocole RADIUS (encapsulant l'EAP) et ISE passe des qualifications des utilisateurs à l'AD pour la validation utilisant le protocole de KERBEROS.

L'AD valide les identifiants utilisateurs et sur l'authentification réussie, informe l'ISE.

Une fois que l'authentification est réussie, le serveur ISE passe certains attributs de l'Internet Engineering Task Force (IETF) à WLC. Ces attributs RADIUS décident de l'ID de VLAN qui doit être affecté au client sans fil. Le SSID (WLAN, en termes de WLC) du client n'importe pas parce que l'utilisateur est toujours affecté à cet ID de VLAN prédéterminé.

Les attributs d'utilisateur RADIUS utilisés pour l'affectation de l'ID de VLAN sont :

  • IETF 64 (Tunnel Type) — Définissez cette valeur sur VLAN.

  • IETF 65 ( (Tunnel Medium Type) — Définissez cette valeur sur 802

  • IETF 81 (Tunnel Private Group ID) — Définissez cette valeur sur l'ID du VLAN

L'ID du VLAN est de 12 bits et prend une valeur entre 1 et 4 094, inclus. Puisque Tunnel-Private-Group-ID est de type chaîne, comme défini dans RFC2868 pour une utilisation avec IEEE 802.1X, la valeur entière de l'ID de VLAN est codée en tant que chaîne. Quand ces attributs de tunnel sont envoyés, il est nécessaire de renseigner la zone Tag.

Comme observé dans RFC2868 , section 3.1 : La zone Tag a une longueur d'un octet et sa fonction est de fournir un moyen de regrouper les attributs dans le même paquet qui fait référence au même tunnel. Les valeurs valides pour cette zone sont comprises entre 0x01 et 0x1F, inclus. Si la zone Tag est inutilisée, elle doit avoir pour valeur zéro (0x00). Référez-vous à RFC 2868 pour plus d'informations sur tous les attributs RADIUS.

Configurer

  Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Diagramme du réseau

Configurations

Ce sont des détails de configuration des composants utilisés dans ce diagramme :

  • L'adresse IP du serveur ISE (RADIUS) est 10.48.39.128.

  • L'adresse d'interface de Gestion et d'AP-gestionnaire du WLC est 10.48.71.20.

  • Le serveur DHCP réside dans le réseau de RÉSEAU LOCAL et est configuré pour les clients pool respectifs ; on ne lui affiche pas sur le diagramme

  • VLAN1477 et VLAN1478 sont utilisés dans toute cette configuration. Des utilisateurs du service marketing sont configurés pour être placés dans le VLAN1477 et les utilisateurs du service de ressources humaines sont configurés pour être placés dans VLAN1478 par le serveur de RADIUS quand les deux utilisateurs se connectent au même SSID - office_hq.

    VLAN1477 : 192.168.77.0/24. Passerelle : 192.168.77.1 VLAN1478 : 192.168.78.0/24. Passerelle : 192.168.78.1 

  • Ce document utilise le 802.1x avec PEAP-mschapv2 comme mécanisme de sécurité.

    Remarque: Cisco vous recommande d'utiliser des méthodes d'authentification avancées, telles que l'authentification EAP-FAST et EAP-TLS, afin de sécuriser le WLAN.

Ces suppositions sont faites avant que vous exécutiez cette configuration :

  • Le RECOUVREMENT est déjà inscrit au WLC.

  • Le serveur DHCP est assigné une portée de DHCP.

  • La Connectivité de la couche 3 existe entre tous les périphériques dans le réseau.

  • Le document discute la configuration exigée du côté Sans fil et suppose que le réseau câblé est en place.

  • Des utilisateurs et les groupes de Resepective sont configurés sur l'AD.

Afin d'accomplir l'affectation dynamique VLAN avec WLCs a basé sur ISE au mappage de groupe d'AD, ces étapes doit être exécutée :

  1. ISE à l'intégration d'AD et à la configuration des stratégies d'authentification et d'autorisation pour des utilisateurs sur ISE
  2. Configuration WLC pour prendre en charge l'authentification de dot1x et le dépassement d'AAA pour SSID « office_hq »
  3. Configuration de suppliant de client d'extrémité

ISE à l'intégration d'AD et à la configuration des stratégies d'authentification et d'autorisation pour des utilisateurs sur ISE

  1. Ouvrez une session à l'interface du Web UI ISE utilisant le compte d'admin.
  2. Naviguez sous la « gestion - > Gestion de l'identité - > des sources extérieures d'identité - > le répertoire actif »

  3. Cliquez sur « ajoutent » et écrivent le nom de domaine et le nom de mémoire d'identité à partir du Répertoire actif joignent des configurations du nom de point. Dans l'exemple ci-dessous, nous enregistrons ISE au domaine « wlaaan.com » et joignons le point est spécifiés comme AD.wlaaan.com - localement - nom significatif à ISE.
  4. Une fenêtre d'afficher s'ouvrira après que « soumettiez » le bouton nous soit appuyé sur en demandant si nous voulons joindre ISE à l'AD immédiatement. Appuyez sur « oui » le bouton et fournissez aux identifiants utilisateurs actifs de répertoire des droites d'admin d'ajouter le nouvel hôte au domaine.
  5. Après que ce point vous devrait avoir ISE avec succès enregistré à l'AD.

    Au cas où vous auriez toutes les questions avec la procédure d'enregistrement, vous pouvez utiliser le « outil de Diagnstic » pour exécuter des tests priés pour la Connectivité d'AD.
  6. Nous devons récupérer des groupes pour le répertoire actif qui sera utilisé pour assigner des profils respectifs d'autorisation. Naviguez sous la « gestion - > Gestion de l'identité - > des sources extérieures d'identité - > répertoire actif - > le <Your AD> - > groupe », le clic de thenk « ajoutent » le bouton et sélectionnent « les groupes choisis à partir du Répertoire actif ».
  7. Un nouveau s'affiche fenêtre ouvrira où vous pouvez spécifier un filtre pour récupérer les groupes spécifiques ou pour récupérer tous les groupes de l'AD.
    Sélectionnez les groupes respectifs de la liste de groupe d'AD et appuyez sur « CORRECT »
  8. Des groupes respectifs seront ajoutés à ISE et peuvent être enregistrés. Presse « sauvegarde ».
  9. Ajoutez WLC à la liste de périphériques de réseau ISE - naviguez sous la « gestion - > des ressources de réseau - > les périphériques de réseau » et la presse « ajoutent ».
    La configuration complète, en fournissant l'adresse IP de Gestion WLC et le RADIUS ont partagé le secret entre WLC et ISE.
  10. Maintenant après que nous ayons joint ISE à l'AD et ayons ajouté le WLC à la liste de périphériques nous pouvons commencer la configuration des stratégies d'authentification et d'autorisation pour des utilisateurs.
    • Créez un profil d'autorisation pour affecter des utilisateurs du marketing à VLAN1477 et de groupe de ressources humaines à VLAN1478.
      Naviguez dans le cadre de la « stratégie - > des éléments de stratégie - > résulte - > autorisation - > autorisation profile » et le clic « ajoutent » le bouton pour créer le nouveau profil.
    • Configuration complète de profil d'autorisation avec les informations VLAN pour le groupe respectif ; Exemple au-dessous des paramètres de configuration « de commercialisation » de groupe d'expositions.

      La configuration semblable doit être faite pour d'autres groupes et l'attribut de balise de VLAN respectif doit être configuré.
    • Après que des profils d'autorisation soient configurés, nous pouvons définir des stratégies d'authentification pour des utilisateurs de sans fil. Cela peut être fait en configurant « fait sur commande » ou en modifiant le positionnement « par défaut » de stratégie. Dans cet exemple, nous modifions le positionnement « par défaut » de stratégie. « Stratégie ouverte - > positionnements de stratégie - > par défaut ». Par défaut pour le type d'authentification de dot1x ISE va utiliser « All_User_ID_Stores », bien que cela fonctionne même avec les valeurs par défaut en cours, puisque le « AD » fait partie de liste d'origine d'identité d'All_User_ID_Stores, cet exemple utilise plus de règle spécifique « WLC_lab » pour ce contrôleur respectif de LABORATOIRE et utilise le « AD » en tant que seulement source pour l'authentification.
    • Maintenant nous devons créer des stratégies d'autorisation pour les utilisateurs qui assigneront le profil respectif d'autorisation basé sur l'adhésion à des associations. La section ouverte « de stratégie d'autorisation » et créent des stratégies pour accomplir cette condition requise.

Configuration WLC pour prendre en charge l'authetnication de dot1x et le dépassement d'AAA pour SSID « office_hq »

  1. Configurez ISE comme serveur d'authentification RADIUS sur WLC, sous « Sécurité - > la section d'AAA > Radius > Authentication » dans l'interface du Web UI et fournissez l'adresse IP ISE et les informations secrètes partagées.


  2. Configurez l'office_hq SSID sous la section « WLAN » sur le WLC ; l'exemple ci-dessous configure le SSID avec le dépassement WPA2/AES+dot1x et d'AAA. L'interface « simulacre » est sélectionnée pour le WLAN puisque le VLAN approprié sera assigné par l'intermédiaire de RADIUS de toute façon. Cette interface factice doit être créée sur le WLC et être donnée un IP address, mais l'IP address ne doit pas être valide et le VLAN dans lequel il est mis ne peut être créé dans le commutateur de liaison ascendante, de sorte que si aucun VLAN n'est assigné le client ne puisse pas aller n'importe où.









  3. Nous devons également créer des interfaces dynamiques sur le WLC pour l'utilisateur VLAN, sous le menu UI de « Controller > Interfaces ». Le WLC peut seulement honorer l'affectation de VLAN reçue par l'intermédiaire de l'AAA s'il a une interface dynamique dans ce VLAN.

Vérifiez

Nous utiliserons le suppliant indigène et l'Anyconnect NAM de Windows 10 aux connexions de test.

Puisque nous utilisons l'authentification EAP-PEAP et l'ISE utilise un certificat Auto-signé (SSC) que nous devrions accepter de délivrer un certificat la validation d'avertissement ou de certificat de débronchement. Dans un environnement de corportate, vous devriez utiliser un certificat signé et de confiance sur ISE et s'assurer que les périphériques d'utilisateur final ont le certificat racine approprié installé sous la liste de confiance CA.

Connexion de test avec Windows 10 et le suppliant indigène.

  1. Le « réseau et les Paramètres Internet - > WiFi - > gèrent des réseaux connus » et créent le nouveau profil réseau en appuyant sur le bouton ouvert « ajoutent nouveau réseau » ; complétez l'information requise.
  2. Vérifiez le login ISE d'authentification et l'assurez que le bon profil est sélectionné pour l'utilisateur.
  3. Vérifiez l'entrée de client sur WLC et l'assurez qu'il a assigné pour redresser le VLAN et est dans l'état de PASSAGE.
  4. De l'état de client WLC CLI peut être vérifié avec « mac-address > de dertails » de client le < d'exposition :
    show client detail f4:8c:50:62:14:6b 
Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Bob
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Bob
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 242 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.78.36
Gateway Address.................................. 192.168.78.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
EAP Type......................................... PEAP
Interface........................................ vlan1478
VLAN............................................. 1478
Quarantine VLAN.................................. 0
Access VLAN...................................... 1478

Connexion de test avec Windows 10 et Anyconnect NAM.

  1. SSID choisi de liste disponible SSID et type respectif d'authentification EAP (dans cet exemple PEAP) et forme intérieure d'authentification
  2. Fournissez le nom d'utilisateur et mot de passe pour l'authentification de l'utilisateur.
  3. Puisqu'ISE envoie au client SSC nous devons sélectionner manuellement au certificat de confiance (dans l'environnement de production il est fortement recommandé d'installer le certificat de confiance sur ISE).
  4. Vérifiez les logins ISE d'authentification et les assurez que le bon profil d'autorisation est sélectionné pour l'utilisateur.

  5. Vérifiez l'entrée de client sur le WLC et l'assurez qu'il a assigné au VLAN droit et est dans l'état de PASSAGE.

  6. De l'état de client WLC CLI peut être vérifié avec « mac-address > de dertails » de client le < d'exposition :
    Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Alice
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Alice
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 765 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.77.32
Gateway Address.................................. 192.168.77.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... PEAP
Interface........................................ vlan1477
VLAN............................................. 1477

Dépanner

  1. Employez « le <id> de WLAN-id de <password> de mot de passe de <user> de nom d'utilisateur RADIUS d'AAA de test » pour tester la connexion de RADIUS entre WLC et ISE et « testez le show radius d'AAA » pour donner les résultats. 
    test aaa radius username Alice password <removed> wlan-id 2

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  Called-Station-Id               00-00-00-00-00-00:AndroidAP
  Calling-Station-Id              00-11-22-33-44-55
  Nas-Port                        0x00000001 (1)
  Nas-Ip-Address                  10.48.71.20
  NAS-Identifier                  0x6e6f (28271)
  Airespace / WLAN-Identifier     0x00000002 (2)
  User-Password                   cisco!123 
  Service-Type                    0x00000008 (8)
  Framed-MTU                      0x00000514 (1300)
  Nas-Port-Type                   0x00000013 (19)
  Cisco / Audit-Session-Id        1447300a0000003041d5665c
  Acct-Session-Id                 5c66d541/00:11:22:33:44:55/743



test radius auth request successfully sent. Execute 'test aaa show radius' for response

(Cisco Controller) >test aaa show radius 

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none
Radius Test Response

Radius Server            Retry Status
-------------            ----- ------
10.48.39.128             1     Success

Authentication Response:
  Result Code: Success

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  State                           ReauthSession:1447300a0000003041d5665c
  Class                           CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59
  Tunnel-Type                     0x0000000d (13)
  Tunnel-Medium-Type              0x00000006 (6)
  Tunnel-Group-Id                 0x000005c5 (1477)



(Cisco Controller) >
  2. Employez « mac-address > de client » de débogage le < pour dépanner des problèmes de connectivité de client sans fil.
  3. Employez le « debug aaa tout l'enable » pour dépanner des questions d'authentification et d'autorisation sur WLC.
    Remarque: utilisez cette commande seulement avec « mac-address > d'adr » de debug mac le < de limiter la sortie basée sur l'adresse MAC pour laquelle le débogage est fait !
  4.  Référez-vous aux logs vivants ISE et aux logs de session pour identifier des questions d'échecs d'authentification de problèmes et de transmission d'AD.
TAC Authored

Contribution d’experts de Cisco

  • Roman Manchur
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Discussions connexes de communautés de Cisco

Ce document s’applique à ces produits

Suivez-nous
Salle de presseÉvénementsBloguesCommunauté
À propos de nous
Communiquer Avec Nous
Travailler Avec Nous