Ce document décrit comment configurer un LAP (Lightweight Access Point) comme demandeur 802.1x afin de s'authentifier auprès d'un serveur RADIUS tel qu'un serveur de contrôle d'accès ACS (Access Control Server) 5.2.
Assurez-vous de respecter ces conditions avant de tenter cette configuration :
Connaître de base le contrôleur de réseau local sans fil (WLC) et les LAP.
Avoir une connaissance fonctionnelle du serveur AAA.
Avoir une connaissance complète des réseaux sans fil et des problèmes liés à la sécurité sans fil.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
WLC Cisco 5508 exécutant la version de microprogramme 7.0.220.0
LAP de la gamme Cisco 3502
Cisco Secure ACS exécutant la version 5.2
Commutateur de la série Cisco 3560
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Les LAP ont installé en usine des certificats X.509 - signés par une clé privée - qui sont brûlés dans le périphérique au moment de la fabrication. Les LAP utilisent ce certificat afin de s'authentifier auprès du WLC lors du processus de jointure. Cette méthode décrit une autre façon d'authentifier les LAP. Avec le logiciel WLC, vous pouvez configurer l'authentification 802.1x entre un point d'accès Cisco Aironet et un commutateur Cisco. Dans ce cas, le point d'accès agit en tant que demandeur 802.1x et est authentifié par le commutateur contre un serveur RADIUS (ACS) qui utilise EAP-FAST avec un approvisionnement PAC anonyme. Une fois configuré pour l'authentification 802.1x, le commutateur n'autorise aucun trafic autre que le trafic 802.1x à traverser le port jusqu'à ce que le périphérique connecté au port s'authentifie correctement. Un point d'accès peut être authentifié avant de rejoindre un WLC ou après avoir rejoint un WLC, auquel cas vous configurez 802.1x sur le commutateur après que le LAP se connecte au WLC.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Ce document utilise la configuration réseau suivante :
Voici les détails de configuration des composants utilisés dans ce diagramme :
L'adresse IP du serveur ACS (RADIUS) est 192.168.150.24.
L'adresse de l'interface Management and AP-manager du WLC est 192.168.75.44.
L’adresse des serveurs DHCP est 192.168.150.25.
Le LAP est placé dans le VLAN 253.
VLAN 253: 192.168.153.x/24. Passerelle : 192.168.153.10
VLAN 75: 192.168.75.x/24. Passerelle : 192.168.75.1
Les commutateurs sont configurés pour tous les VLAN de couche 3.
Une étendue DHCP est attribuée au serveur DHCP.
La connectivité de couche 3 existe entre tous les périphériques du réseau.
Le LAP est déjà joint au WLC.
Chaque VLAN a un masque /24.
ACS 5.2 a installé un certificat auto-signé.
Cette configuration est divisée en trois catégories :
Hypothèses :
Le LAP est déjà enregistré auprès du WLC à l'aide de l'option 43, DNS ou de l'interface de gestion du WLC configurée de manière statique.
Procédez comme suit :
Accédez à Wireless > Access Points > All AP afin de vérifier l'enregistrement LAP sur le WLC.
Vous pouvez configurer les informations d'identification 802.1x (nom d'utilisateur/mot de passe) pour tous les LAP de deux manières :
Mondialement
Pour un LAP déjà joint, vous pouvez définir les informations d'identification globalement afin que chaque LAP rejoignant le WLC hérite de ces informations d'identification.
Individuellement
Configurez les profils 802.1 x par point d'accès. Dans notre exemple, nous allons configurer les informations d'identification par point d'accès.
Accédez à Wireless > All APs, et sélectionnez le point d'accès concerné.
Ajoutez le nom d'utilisateur et le mot de passe dans les champs Informations d'identification du demandeur 802.1x.
Remarque : les informations d'identification de connexion sont utilisées pour établir une connexion Telnet, SSH ou console au point d'accès.
Configurez la section Haute disponibilité, puis cliquez sur Appliquer.
Remarque : Une fois enregistrés, ces informations d'identification sont conservées sur le WLC et le point d'accès redémarre. Les informations d'identification ne changent que lorsque le LAP rejoint un nouveau WLC. Le LAP suppose que le nom d'utilisateur et le mot de passe ont été configurés sur le nouveau WLC.
Si le point d'accès n'a pas encore rejoint un WLC, vous devez vous connecter au LAP pour définir les informations d'identification. Émettez cette commande CLI en mode enable :
LAP#lwapp ap dot1x nom d'utilisateur <nom d'utilisateur> mot de passe <mot de passe>ou
LAP#capwap ap dot1x username <username> password <password>Remarque : cette commande est disponible uniquement pour les AP qui exécutent l'image de récupération.
Le nom d'utilisateur et le mot de passe par défaut du LAP sont cisco et Cisco respectivement.
Le commutateur agit en tant qu'authentificateur pour le LAP et authentifie le LAP sur un serveur RADIUS. Si le commutateur ne dispose pas du logiciel conforme, mettez à niveau le commutateur. Dans l'interface de ligne de commande du commutateur, émettez ces commandes afin d'activer l'authentification 802.1x sur un port de commutateur :
switch#configure terminal switch(config)#dot1x system-auth-control switch(config)#aaa new-model !--- Enables 802.1x on the Switch. switch(config)#aaa authentication dot1x default group radius switch(config)#radius server host 192.168.150.24 key cisco !--- Configures the RADIUS server with shared secret and enables switch to send !--- 802.1x information to the RADIUS server for authentication. switch(config)#ip radius source-interface vlan 253 !--- We are sourcing RADIUS packets from VLAN 253 with NAS IP: 192.168.153.10. switch(config)interface gigabitEthernet 0/11 switch(config-if)switchport mode access switch(config-if)switchport access vlan 253 switch(config-if)mls qos trust dscp switch(config-if)spanning-tree portfast !--- gig0/11 is the port number on which the AP is connected. switch(config-if)dot1x pae authenticator !--- Configures dot1x authentication. switch(config-if)dot1x port-control auto !--- With this command, the switch initiates the 802.1x authentication.
Remarque : Si vous avez d'autres AP sur le même commutateur et que vous ne voulez pas qu'ils utilisent 802.1x, vous pouvez laisser le port non configuré pour 802.1x ou émettre cette commande :
switch(config-if)authentication port-control force-authorized
Le LAP est authentifié avec EAP-FAST. Assurez-vous que le serveur RADIUS que vous utilisez prend en charge cette méthode EAP si vous n'utilisez pas Cisco ACS 5.2.
La configuration du serveur RADIUS se divise en quatre étapes :
ACS 5.x est un ACS basé sur des politiques. En d'autres termes, ACS 5.x utilise un modèle de stratégie basé sur des règles au lieu du modèle basé sur des groupes utilisé dans les versions 4.x.
Le modèle de stratégie basé sur les règles ACS 5.x offre un contrôle d'accès plus puissant et plus flexible que l'approche de groupe plus ancienne.
Dans l'ancien modèle basé sur un groupe, un groupe définit une politique car il contient et lie trois types d'informations :
Informations d'identité - Ces informations peuvent être basées sur l'appartenance à des groupes AD ou LDAP ou sur une affectation statique pour les utilisateurs ACS internes.
Autres restrictions ou conditions - restrictions de temps, restrictions de périphérique, etc.
Autorisations - VLAN ou niveaux de privilège Cisco IOS®.
Le modèle de stratégie ACS 5.x est basé sur les règles du formulaire :
Si condition, le résultat
Par exemple, nous utilisons les informations décrites pour le modèle basé sur le groupe :
Si la condition d'identité, la condition de restriction puis le profil d'autorisation.
Par conséquent, nous avons la possibilité de limiter les conditions dans lesquelles l'utilisateur est autorisé à accéder au réseau, ainsi que le niveau d'autorisation autorisé lorsque des conditions spécifiques sont remplies.
Dans cette section, nous configurons le client AAA pour le commutateur sur le serveur RADIUS.
Cette procédure explique comment ajouter le commutateur en tant que client AAA sur le serveur RADIUS afin que le commutateur puisse transmettre les informations d'identification utilisateur du LAP au serveur RADIUS.
Procédez comme suit :
Dans l'interface utilisateur graphique ACS, cliquez sur Ressources réseau.
Cliquez sur Groupes de périphériques réseau.
Accédez à Emplacement > Créer (en bas ).
Ajoutez les champs requis et cliquez sur Soumettre.
La fenêtre est actualisée :
Cliquez sur Type de périphérique > Créer.
Cliquez sur Submit. Une fois terminée, la fenêtre est actualisée :
Accédez à Network Resources > Network Devices and AAA Clients.
Cliquez sur Créer, puis indiquez les détails comme indiqué ici :
Cliquez sur Submit. La fenêtre est actualisée :
Dans cette section, vous verrez comment créer un utilisateur sur l'ACS configuré précédemment. Vous affecterez l'utilisateur à un groupe appelé « Utilisateurs LAP ».
Procédez comme suit :
Accédez à Utilisateurs et magasins d'identités > Groupes d'identités > Créer.
Cliquez sur Submit.
Créez 3502e et affectez-le au groupe « Utilisateurs LAP ».
Accédez à Utilisateurs et magasins d'identités > Groupes d'identités > Utilisateurs > Créer.
Les informations mises à jour s'affichent :
Vérifiez que Permit Access est défini.
Dans cette section, vous sélectionnerez EAP-FAST comme méthode d'authentification utilisée pour les LAP afin de vous authentifier. Vous créerez ensuite des règles en fonction des étapes précédentes.
Procédez comme suit :
Accédez à Politiques d'accès > Services d'accès > Accès réseau par défaut > Modifier : « Accès réseau par défaut ».
Assurez-vous d'avoir activé EAP-FAST et Provisioning PAC intrabande anonyme.
Cliquez sur Submit.
Vérifiez le groupe d'identités que vous avez sélectionné. Dans cet exemple, utilisez Utilisateurs internes (créé sur ACS) et enregistrez les modifications.
Accédez à Politiques d'accès > Services d'accès > Accès réseau par défaut > Autorisation afin de vérifier le profil d'autorisation.
Vous pouvez personnaliser les conditions dans lesquelles vous autoriserez un utilisateur à accéder au réseau et le profil d'autorisation (attributs) que vous passerez une fois authentifié. Cette granularité n'est disponible que dans ACS 5.x. Dans cet exemple, l'option Location, Device Type, Protocol, Identity Group et EAP Authentication Method sont sélectionnées.
Cliquez sur OK, puis enregistrez les modifications.
L'étape suivante consiste à créer une règle. Si aucune règle n'est définie, l'accès au LAP est autorisé sans aucune condition.
Cliquez sur Create > Rule-1. Cette règle s'applique aux utilisateurs du groupe « Utilisateurs LAP ».
Cliquez sur Enregistrer les modifications. Si vous voulez que les utilisateurs ne correspondant pas aux conditions soient refusés, modifiez la règle par défaut pour dire « Refuser l'accès ».
La dernière étape consiste à définir des règles de sélection de service. Utilisez cette page pour configurer une stratégie simple ou basée sur des règles afin de déterminer le service à appliquer aux demandes entrantes. Exemple :
Une fois 802.1x activé sur le port de commutateur, tout le trafic, à l'exception du trafic 802.1x, est bloqué par le port. Le LAP, qui est déjà inscrit au WLC, est dissocié. Ce n'est qu'après une authentification 802.1x réussie que d'autres trafics sont autorisés à passer. L'enregistrement réussi du LAP sur le WLC après l'activation de la norme 802.1x sur le commutateur indique que l'authentification du LAP a réussi.
Console AP :
*Jan 29 09:10:24.048: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 192.168.75.44:5246 *Jan 29 09:10:27.049: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 192.168.75.44:5247 !--- AP disconnects upon adding dot1x information in the gig0/11. *Jan 29 09:10:30.104: %WIDS-5-DISABLED: IDS Signature is removed and disabled. *Jan 29 09:10:30.107: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY *Jan 29 09:10:30.107: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY *Jan 29 09:10:30.176: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to administratively down *Jan 29 09:10:30.176: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to administratively down *Jan 29 09:10:30.186: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset *Jan 29 09:10:30.201: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to up *Jan 29 09:10:30.211: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up *Jan 29 09:10:30.220: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to reset Translating "CISCO-CAPWAP-CONTROLLER"...domain server (192.168.150.25) *Jan 29 09:10:36.203: status of voice_diag_test from WLC is false *Jan 29 09:11:05.927: %DOT1X_SHIM-6-AUTH_OK: Interface GigabitEthernet0 authenticated [EAP-FAST] *Jan 29 09:11:08.947: %DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet0 assigned DHCP address 192.168.153.106, mask 255.255.255.0, hostname 3502e !--- Authentication is successful and the AP gets an IP. Translating "CISCO-CAPWAP-CONTROLLER.Wlab"...domain server (192.168.150.25) *Jan 29 09:11:37.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 192.168.75.44 peer_port: 5246 *Jan 29 09:11:37.000: %CAPWAP-5-CHANGED: CAPWAP changed state to *Jan 29 09:11:37.575: %CAPWAP-5-DTLSREQSUCC: DTLS connection created successfully peer_ip: 192.168.75.44 peer_port: 5246 *Jan 29 09:11:37.578: %CAPWAP-5-SENDJOIN: sending Join Request to 192.168.75.44 *Jan 29 09:11:37.578: %CAPWAP-5-CHANGED: CAPWAP changed state to JOIN *Jan 29 09:11:37.748: %CAPWAP-5-CHANGED: CAPWAP chan wmmAC status is FALSEged state to CFG *Jan 29 09:11:38.890: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to down *Jan 29 09:11:38.900: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset *Jan 29 09:11:38.900: %CAPWAP-5-CHANGED: CAPWAP changed state to UP *Jan 29 09:11:38.956: %CAPWAP-5-JOINEDCONTROLLER: AP has joined controller 5508-3 *Jan 29 09:11:39.013: %CAPWAP-5-DATA_DTLS_START: Starting Data DTLS handshake. Wireless client traffic will be blocked until DTLS tunnel is established. *Jan 29 09:11:39.013: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up *Jan 29 09:11:39.016: %LWAPP-3-CLIENTEVENTLOG: SSID goa added to the slot[0] *Jan 29 09:11:39.028: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to down *Jan 29 09:11:39.038: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to reset *Jan 29 09:11:39.054: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to up *Jan 29 09:11:39.060: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to down *Jan 29 09:11:39.069: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset *Jan 29 09:11:39.085: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up *Jan 29 09:11:39.135: %LWAPP-3-CLIENTEVENTLOG: SSID goa added to the slot[1]DTLS keys are plumbed successfully. *Jan 29 09:11:39.151: %CAPWAP-5-DATA_DTLS_ESTABLISHED: Data DTLS tunnel established. *Jan 29 09:11:39.161: %WIDS-5-ENABLED: IDS Signature is loaded and enabled !--- AP joins the 5508-3 WLC.
Journaux ACS :
Afficher le nombre de résultats :
Si vous vérifiez les journaux dans les 15 minutes qui suivent l'authentification, assurez-vous d'actualiser le nombre d'occurrences. Sur la même page, en bas, vous avez un onglet Nombre d'occurrences.
Cliquez sur Surveillance et rapports et une nouvelle fenêtre contextuelle s'affiche. Cliquez sur Authentications -RADIUS -Today. Vous pouvez également cliquer sur Détails afin de vérifier quelle règle de sélection de service a été appliquée.
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
30-May-2012 |
Première publication |