Introduction
Ce document explique comment configurer la stratégie d'authentification du point d'accès (AP). Cette fonctionnalité garantit que seuls les points d'accès autorisés peuvent rejoindre un contrôleur LAN sans fil Catalyst 9800. Ce document ne couvre pas le cas des points d'accès maillés (série 1500) qui nécessitent une entrée de filtre mac pour rejoindre le contrôleur, mais ne suivent pas le flux d'autorisation AP type (voir références).
Informations générales
Pour autoriser un point d'accès (AP), l'adresse MAC Ethernet du point d'accès doit être autorisée par rapport à la base de données locale avec le contrôleur de réseau local sans fil 9800 ou par rapport à un serveur RADIUS (Remote Authentication Dial-In User Service) externe.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- 9800 WLC
- Accès CLI (Command Line Interface) aux contrôleurs sans fil
Components Used
WLC 9800 v16.12
AP 1810 W
AP 1700
Identity Service Engine (ISE) v2.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configuration
Diagramme du réseau

Configurations
Liste d'autorisations des points d'accès MAC - Local
L'adresse MAC des points d'accès autorisés est stockée localement dans le WLC 9800.
Étape 1. Créez une liste de méthodes de téléchargement des informations d'identification d'autorisation locales.
Accédez à Configuration > Security > AAA > AAA Method List > Authorization > + Add


Étape 2. Activez l'autorisation MAC AP.
Accéder à Configuration > Security > AAA > AAA Advanced > AP Policy. Activez Autoriser les points d'accès sur MAC et sélectionnez la liste des méthodes d'autorisation créée à l'étape 1.
Étape 3. Ajoutez l'adresse MAC Ethernet du point d'accès.
Accéder à Configuration > Security > AAA > AAA Advanced > Device Authentication > MAC Address > + Add


Remarque : l'adresse MAC Ethernet du point d'accès doit être dans l'un de ces formats, lorsqu'il est entré dans l'interface utilisateur Web(xx:xx:xx:xx:xx (ou) xxxx.xxxx.xxxx (ou) xx-xx-xx-xx-xx-xx) dans la version 16.12. Dans la version 17.3, ils doivent être au format xxxxxxxxxxxx sans séparateur. Le format CLI est toujours xxxxxxxxxxxx dans n'importe quelle version (dans 16.12, l'interface utilisateur Web supprime les séparateurs dans la configuration). CSCvv43870
permettra d'utiliser n'importe quel format dans l'interface CLI ou Web dans les versions ultérieures.
CLI :
# config t
# aaa new-model
# aaa authorization credential-download <AP-auth> local
# ap auth-list authorize-mac
# ap auth-list method-list <AP-auth>
# username <aaaabbbbcccc> mac
Liste d'autorisations MAC AP - Serveur RADIUS externe
Configuration WLC 9800
L'adresse MAC des AP autorisés est stockée sur un serveur RADIUS externe, dans cet exemple ISE.
Sur ISE, vous pouvez enregistrer l'adresse MAC des points d'accès en tant que noms d'utilisateur/mot de passe ou en tant que points de terminaison. Au cours des étapes, vous recevrez des instructions sur le paramètre à sélectionner pour utiliser d'une manière ou d'une autre.
IUG:
Étape 1 : déclaration du serveur RADIUS
Accédez à Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add et saisissez les informations du serveur RADIUS.

Assurez-vous que la prise en charge de CoA est activée si vous prévoyez d'utiliser l'authentification Web centrale (ou tout type de sécurité nécessitant CoA) dans le futur.

Étape 2. Ajouter le serveur RADIUS à un groupe RADIUS
Accédez à Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add
Pour que ISE authentifie l'adresse MAC de l'AP lorsque les noms d'utilisateur laissent le filtrage MAC comme aucun.

Pour que ISE authentifie l'adresse MAC du point d'accès au fur et à mesure que les points de terminaison changent MAC-Filtering en mac.

Étape 3. Créez une liste de méthodes de téléchargement des informations d'identification d'autorisation.
Accédez à Configuration > Security > AAA > AAA Method List > Authorization > + Add


Étape 4. Activez l'autorisation MAC AP.
Accéder à Configuration > Security > AAA > AAA Advanced > AP Policy. Activez Autoriser les points d'accès sur MAC et sélectionnez la liste des méthodes d'autorisation créée à l'étape 3.

CLI :
# config t
# aaa new-model
# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit
# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit
# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>
# aaa authorization credential-download <AP-auth> group <radius-grp-name>
# ap auth-list authorize-mac
# ap auth-list method-list <AP-ISE-auth>
Configuration ISE
Étape 1. Suivez ces instructions pour ajouter 9800 WLC à ISE
Déclarer le WLC 9800 sur ISE
En fonction de la façon dont vous voulez authentifier l'adresse MAC du point d'accès, procédez comme suit :
Configurer USE pour authentifier l'adresse MAC en tant que points de terminaison
Configurer ISE pour authentifier l'adresse MAC en tant que nom d'utilisateur/mot de passe
Configurer ISE pour authentifier l'adresse MAC en tant que points d'extrémité
Étape 2. (Facultatif) Créez un groupe d'identité pour les points d'accès
En raison du fait que le 9800 n'envoie pas l'attribut NAS-port-Type lors de l'autorisation AP (CSCvy74904
), ISE ne reconnaît pas une autorisation de point d'accès en tant que workflow MAB et il n'est donc pas possible d'authentifier un point d'accès en plaçant l'adresse MAC du point d'accès dans la liste des points d'extrémité, sauf si vous modifiez les workflows MAB pour ne pas exiger l'attribut de type NAS-PORT sur ISE.
Accédez à Administrateur > Profil de périphérique réseau et créez un nouveau profil de périphérique. Activez RADIUS, et ajoutez service-type=call-check pour le MAB câblé. Vous pouvez copier le reste à partir du profil d'origine de Cisco. L'idée est de ne pas avoir de condition de type nas-port pour le MAB câblé.

Revenez à l'entrée de votre périphérique réseau pour le 9800 et définissez son profil sur le profil de périphérique nouvellement créé.
Accédez à Administration > Identity Management > Groups > Endpoint Identity Groups > + Add.

Choisissez un nom et cliquez sur Soumettre.

Étape 3. Ajoutez l'adresse MAC Ethernet du point d'accès à son groupe d'identité de point d'extrémité.
Accédez à Centres de travail > Accès réseau > Identités > Terminaux > +

Saisissez les informations nécessaires.

Étape 4. Vérifiez que le magasin d'identité utilisé sur votre règle d'authentification par défaut contient les points de terminaison internes.
A. Accédez à Policy > Authentication et prenez note du magasin d'identités.

B. Accédez à Administration > Identity Management > Identity Source Sequences > Identity Name.

C. Assurez-vous que les terminaux internes y appartiennent, sinon ajoutez-les.

Configurer ISE pour authentifier l'adresse MAC en tant que nom d'utilisateur/mot de passe
Cette méthode n'est pas conseillée car elle nécessite de diminuer vos stratégies de mot de passe afin de permettre d'avoir le même mot de passe que le nom d'utilisateur. Il peut toutefois être contourné si vous ne pouvez pas modifier votre profil de périphérique réseau
Étape 2. (Facultatif) Créez un groupe d'identité pour les points d'accès
Accédez à Administration > Identity Management > Groups > User Identity Groups > + Add.

Choisissez un nom et cliquez sur Soumettre.

Étape 3. Vérifiez que votre stratégie de mot de passe actuelle vous permet d'ajouter une adresse MAC en tant que nom d'utilisateur et mot de passe.
Accédez à Administration > Identity Management > Settings > User Authentication Settings > Password Policy et assurez-vous qu'au moins ces options sont désactivées :

Remarque : Vous pouvez également désactiver l'option Désactiver le compte utilisateur après XX jours si le mot de passe n'a pas été modifié.Comme il s'agit d'une adresse MAC, le mot de passe ne change jamais.
Étape 4. Ajoutez l'adresse MAC Ethernet du point d'accès.
Accédez à Administration > Identity Management > Identities > Users > + Add

Saisissez les informations nécessaires.

Remarque : Name and Login Passwordfield doit être l'adresse MAC Ethernet de l'AP, tous les minuscules et aucun séparateur.
Stratégie d'autorisation pour authentifier les points d'accès
Accédez à Stratégie > Autorisation comme indiqué dans l'image.

Insérez une nouvelle règle comme l'illustre l'image.

Tout d'abord, sélectionnez un nom pour la règle et le groupe d'identités dans lequel le point d'accès est stocké (AccessPoints). Sélectionnez User Identity Groups si vous avez décidé d'authentifier l'adresse MAC en tant que mot de passe de nom d'utilisateur ou End Identity Groups si vous choisissez d'authentifier l'adresse MAC de l'AP en tant que points de terminaison.

Ensuite, sélectionnez d'autres conditions qui effectuent le processus d'autorisation pour tomber dans cette règle. Dans cet exemple, le processus d'autorisation applique cette règle s'il utilise le contrôle d'appel de type service et que la demande d'authentification provient de l'adresse IP 10.88.173.52.

Enfin, sélectionnez le profil d'autorisation attribué aux clients qui ont atteint cette règle, cliquez surDoneet enregistrez-le comme indiqué dans l'image.

Remarque : les AP qui ont déjà rejoint le contrôleur ne perdent pas leur association. Cependant, si, après avoir activé la liste d'autorisations, ils perdent la communication avec le contrôleur et tentent de se joindre à nouveau, ils passent par le processus d'authentification. Si leurs adresses MAC ne sont pas répertoriées localement ou sur le serveur RADIUS, elles ne peuvent pas se joindre au contrôleur.
Vérification
Vérifier si le WLC 9800 a activé la liste d'authentification AP
# show ap auth-list
Authorize APs against MAC : Disabled
Authorize APs against Serial Num : Enabled
Authorization Method List : <auth-list-name>
Vérifier la configuration de radius :
# show run aaa
Dépannage
Le WLC 9800 fournit des fonctionnalités de suivi TOUJOURS ACTIVÉES. Cela garantit que tous les messages relatifs aux jointures AP, aux avertissements et aux niveaux de notification sont constamment consignés et vous pouvez afficher les journaux d'un incident ou d'une défaillance après qu'il se soit produit.
Note: Selon le volume de journaux générés, vous pouvez revenir quelques heures en arrière à plusieurs jours.
Afin d'afficher les traces collectées par défaut par le WLC 9800, vous pouvez vous connecter via SSH/Telnet au WLC 9800 et suivre ces étapes (assurez-vous que vous enregistrez la session dans un fichier texte).
Étape 1. Vérifiez l'heure actuelle du contrôleur afin que vous puissiez suivre les journaux dans le temps remontant au moment où le problème s'est produit.
# show clock
Étape 2. Collectez les syslogs à partir de la mémoire tampon du contrôleur ou du syslog externe, comme le dicte la configuration système. Cela permet d'afficher rapidement l'état du système et les erreurs, le cas échéant.
# show logging
Étape 3. Vérifiez si des conditions de débogage sont activées.
# show debugging
IOSXE Conditional Debug Configs:
Conditional Debug Global State: Stop
IOSXE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Note: Si vous voyez une condition répertoriée, cela signifie que les traces sont enregistrées jusqu'au niveau de débogage pour tous les processus qui rencontrent les conditions activées (adresse MAC, adresse IP, etc.). Cela augmenterait le volume des journaux. Par conséquent, il est recommandé d'effacer toutes les conditions lorsque le débogage n'est pas actif
Étape 4. En supposant que l'adresse MAC testée n'est pas répertoriée comme condition à l'étape 3, collectez les traces de niveau de notification toujours actives pour l'adresse MAC radio spécifique.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Vous pouvez afficher le contenu de la session ou copier le fichier sur un serveur TFTP externe.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Débogage conditionnel et suivi radio actif
Si les traces toujours actives ne vous donnent pas suffisamment d'informations pour déterminer le déclencheur du problème en cours d'investigation, vous pouvez activer le débogage conditionnel et capturer la trace Radio Active (RA), qui fournira des traces de niveau de débogage pour tous les processus qui interagissent avec la condition spécifiée (adresse MAC du client dans ce cas). Afin d'activer le débogage conditionnel, suivez ces étapes.
Étape 5. Assurez-vous qu'aucune condition de débogage n'est activée.
# clear platform condition all
Étape 6. Activez la condition de débogage pour l'adresse MAC du client sans fil que vous voulez surveiller.
Cette commande commence à surveiller l'adresse mac fournie pendant 30 minutes (1 800 secondes). Vous pouvez éventuellement augmenter cette durée jusqu'à 2085978494 secondes.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Remarque : Afin de surveiller plusieurs clients à la fois, exécutez la commande debug wireless mac <aaaa.bbbb.cccc> par adresse mac.
Remarque : Vous ne voyez pas le résultat de l'activité du client sur la session de terminal, car tout est mis en mémoire tampon en interne pour être affiché ultérieurement.
Étape 7. Reproduisez le problème ou le comportement à surveiller.
Étape 8. Arrêtez les débogages si le problème est reproduit avant que l'heure de surveillance par défaut ou configurée ne soit activée.
# no debug wireless mac <aaaa.bbbb.cccc>
Une fois que le temps de surveillance est écoulé ou que le débogage sans fil a été arrêté, le WLC 9800 génère un fichier local portant le nom suivant :
ra_trace_MAC_aaabbbcccc_HHMMSS.XXX_timezone_Day_Week_Month_Day_year.log
Étape 9. Collectez le fichier de l'activité d'adresse MAC. Vous pouvez copier le fichier .log de la trace de ra sur un serveur externe ou afficher la sortie directement à l'écran.
Vérifier le nom du fichier de traces RA
# dir bootflash: | inc ra_trace
Copiez le fichier sur un serveur externe :
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Afficher le contenu :
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Étape 10. Si la cause racine n'est toujours pas évidente, collectez les journaux internes qui sont une vue plus détaillée des journaux de niveau débogage. Vous n'avez pas besoin de déboguer à nouveau le client car nous ne faisons qu'examiner plus en détail les journaux de débogage qui ont déjà été collectés et stockés en interne.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Note: Cette sortie de commande retourne des traces pour tous les niveaux de journalisation pour tous les processus et est assez volumineux. Contactez le TAC de Cisco pour vous aider à analyser ces traces.
Vous pouvez copier le fichier ra-internal-FILENAME.txt sur un serveur externe ou afficher le résultat directement à l'écran.
Copiez le fichier sur un serveur externe :
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Afficher le contenu :
# more bootflash:ra-internal-<FILENAME>.txt
Étape 11. Supprimez les conditions de débogage.
# clear platform condition all
Note: Assurez-vous de toujours supprimer les conditions de débogage après une session de dépannage.
Références
Joindre les points d'accès maillés au WLC 9800