Introduction
Ce document décrit la configuration pour sécuriser les ports de commutation où les points d'accès FlexConnect (AP) s'authentifient avec Dot1x en utilisant device-traffic-class=switch Radius VSA pour autoriser le trafic des LAN sans fil commutés localement (WLAN).
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- FlexConnect sur contrôleur de réseau local sans fil (WLC)
- 802.1x sur les commutateurs Cisco
- Topologie d'authentification de périphérie de réseau (NEAT)
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les points d'accès de phase 2 basés sur le système d'exploitation AP ne prennent pas en charge flexconnect trunk dot1x au moment de l'écriture.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configuration
Diagramme du réseau

Dans cette configuration, le point d'accès agit en tant que demandeur 802.1x et est authentifié par le commutateur contre ISE en utilisant EAP-FAST. Une fois le port configuré pour l'authentification 802.1x, le commutateur n'autorise aucun trafic autre que le trafic 802.1x à traverser le port jusqu'à ce que le périphérique connecté au port s'authentifie correctement.
Une fois que le point d'accès s'authentifie correctement contre ISE, le commutateur reçoit l'attribut Cisco VSA « device-traffic-class=switch » et déplace automatiquement le port vers le trunk.
Cela signifie que si le point d'accès prend en charge le mode FlexConnect et a configuré des SSID commutés localement, il pourra envoyer du trafic étiqueté. Assurez-vous que la prise en charge du VLAN est activée sur le point d'accès et que le VLAN natif correct est configuré.
Configuration du point d'accès : -
1. Si l'AP est déjà joint au WLC, accédez à l'onglet Wireless (Sans fil) et cliquez sur le point d'accès. Accédez au champ Informations d'identification et de connexion et sous l'en-tête Informations d'identification et de connexion du demandeur 802.1x, cochez la case Remplacer les informations d'identification globales pour définir le nom d'utilisateur et le mot de passe 802.1x pour ce point d'accès.

Vous pouvez également définir un nom d'utilisateur et un mot de passe de commande pour tous les points d'accès qui sont joints au WLC avec le menu Configuration globale.

2. Si le point d'accès n'a pas encore rejoint un WLC, vous devez vous connecter en console au LAP pour définir les informations d'identification et utiliser cette commande CLI :
LAP#debug capwap console cli
LAP#capwap ap dot1x nom d'utilisateur <nom d'utilisateur> mot de passe <mot de passe>
Configuration du commutateur : -
1. Activer dot1x sur le commutateur globalement et ajouter le serveur ISE au commutateur
aaa new-model
!
aaa authentication dot1x default group radius
!
aaa Authorization network default group radius
!
dot1x system-auth-control
!
radius server ISE
address ipv4 10.48.39.161 auth-port 1645 acct-port 1646
clé 7 123A0C0411045D5679
2. Maintenant, configurez le port du commutateur AP
interface GigabitEthernet0/4
switchport access vlan 231
switchport trunk allowed vlan 231 232
switchport mode access
authentication host-mode multi-host
authentication order dot1x
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast edge
Configuration ISE : -
1. Sur ISE, on peut simplement activer NEAT pour le profil d'autorisation AP afin de définir l'attribut correct, cependant, sur d'autres serveurs RADIUS, vous pouvez configurer manuellement.


2. Sur ISE, il est également nécessaire de configurer la stratégie d'authentification et la stratégie d'autorisation. Dans ce cas, nous avons atteint la règle d'authentification par défaut qui est filaire dot1x mais on peut la personnaliser selon les besoins.
En ce qui concerne la stratégie d'autorisation (Port_AuthZ), dans ce cas, nous avons ajouté les informations d'identification d'AP à un groupe d'utilisateurs (AP) et nous avons poussé le profil d'autorisation (AP_Flex_Trunk) en fonction de cela.

Vérification
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
1. Sur le commutateur, une fois peut utiliser la commande « debug authentication feature autocfg all » pour vérifier si le port est déplacé vers le port trunk ou non.
20 fév 12:34:18.119 : %LINK-3-UPDOWN : Interface GigabitEthernet0/4, état modifié en up
20 fév 12:34:19.122 : %LINEPROTO-5-UPDOWN : Protocole de ligne sur l'interface GigabitEthernet0/4, état modifié sur up
akshat_sw#
akshat_sw#
20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : Dans dot1x AutoCfg start_fn, epm_handle : 3372220456
20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [588d.0997.061d, Gi0/4] Type de périphérique = Commutateur
20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [588d.0997.061d, Gi0/4] nouveau client
20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] État De L'Application De Macro Autocfg Interne : 1
20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Type de périphérique : 2
20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Configuration automatique : stp a port_config 0x85777D8
20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Configuration automatique : stp port_config a bpdu guard_config 2
20 fév 12:38:11.116 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Application de auto-cfg sur le port.
20 fév 12:38:11.116 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Vlan : 231 Vlan-Str : 231
20 fév 12:38:11.116 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Application de la macro dot1x_autocfg_supp
20 fév 12:38:11.116 : Application de la commande... 'no switchport access vlan 231' sur Gi0/4
20 février 12:38:11.127 : Application de la commande... 'no switchport nonegotiate' sur Gi0/4
20 février 12:38:11.127 : Application de la commande... 'switchport mode trunk' sur Gi0/4
20 fév 12:38:11.134 : Application de la commande... 'switchport trunk native vlan 231' à Gi0/4
20 fév 12:38:11.134 : Application de la commande... 'spanning-tree portfast trunk' à Gi0/4
20 fév 12:38:12.120 : %LINEPROTO-5-UPDOWN : Protocole de ligne sur l'interface GigabitEthernet0/4, état modifié en état désactivé
20 fév 12:38:15.139 : %LINEPROTO-5-UPDOWN : Protocole de ligne sur l'interface GigabitEthernet0/4, état modifié sur up
2. Le résultat de la commande show run int g0/4 indique que le port est devenu un port agrégé.
Configuration actuelle : 295 bytes
!
interface GigabitEthernet0/4
switchport trunk allowed vlan 231 232 239
switchport trunk native vlan 231
switchport mode trunk
authentication host-mode multi-host
authentication order dot1x
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast edge trunk
tranche
3. Sur ISE, sous Operations »Radius Livelogs, on peut voir que l’authentification est réussie et que le profil d’autorisation correct est poussé.

4. Si nous connectons un client après cela, son adresse MAC sera apprise sur le port de commutateur AP dans le vlan client 232.
akshat_sw#sh mac address-table int g0/4
Table d'adresses MAC
—
Ports De Type D’Adresse Mac Vlan
— — —
231 588d.0997.061d Gi0/4 STATIQUE - AP
232 c0ee.fbd7.8824 Gi0/4 DYNAMIQUE - Client
Sur le WLC, dans les détails du client, on peut voir que ce client appartient au vlan 232 et que le SSID est commuté localement. Voici un extrait.
(Cisco Controller) >show client detail c0:ee:fb:d7:88:24
Adresse MAC du client............................... c0:ee:fb:d7:88:24
Nom d'utilisateur du client................................. S/O
Adresse MAC du point d'accès.................................. b4:14:89:82:cb:90
Nom du point d'accès.......................................... Bureau_Aks_3502
ID de logement radio AP................................ 1
État du client..................................... Associé
Groupe d'utilisateurs client...............................
État OOB NAC du client............................ Accès
ID de réseau local sans fil................................. 2
Nom du réseau local sans fil (SSID)................ Port-Auth
Nom du profil de réseau local sans fil........................ Port-auth
Hotspot (802.11u)............................... Non pris en charge
BSSID........................................... b4:14:89:82:cb:9f
Connecté pour .................................. 42 secondes
Canal.......................................... 44
Adresse IP....................................... 192.168.232.90
Adresse de la passerelle.................................. 192.168.232.1
Masque de réseau.......................................... 255.255.255.0
ID d'association.................................. 1
Algorithme d'authentification......................... Système ouvert
Code raison.................................... 1
Code d'état..................................... 0
Commutation de données FlexConnect...................... Municipal
État Dhcp FlexConnect......................... Municipal
Commutation Centrale Basée Sur Vlan FlexConnect......... Non
Authentification FlexConnect...................... Centrale
Association centrale FlexConnect.................. Non
NOM DU VLAN FlexConnect............................ vlan 232
Quarantaine VLAN.................................. 0
Accéder au VLAN..................................... 232
VLAN de pontage local............................. 232
Dépannage
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
- Si l'authentification échoue, utilisez les commandes debug dot1x, debug authentication.
- Si le port n'est pas déplacé vers le trunk, entrez la commande debug authentication feature autocfg all.
- Assurez-vous que le mode multihôte (authentification hôte-mode multihôte) est configuré. Le multihôte doit être activé pour autoriser les adresses MAC sans fil du client.
- La commande « aaa Authorization network » doit être configurée pour que le commutateur accepte et applique les attributs envoyés par ISE.
Les points d'accès Cisco IOS prennent uniquement en charge TLS 1.0. Cela peut causer un problème si votre serveur RADIUS est configuré pour autoriser uniquement les authentifications TLS 1.2 802.1X