La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive come configurare Catalyst 9800 WLC e Cisco ISE per assegnare una LAN wireless (WLAN).
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
In questo documento viene descritto il concetto di assegnazione dinamica di VLAN e viene spiegato come configurare il controller LAN wireless Catalyst 9800 (WLC) e Cisco Identity Service Engine (ISE) in modo da assegnare una LAN wireless (WLAN) ai client wireless.
Nella maggior parte dei sistemi WLAN (Wireless Local Area Network), ogni WLAN dispone di un criterio statico che viene applicato a tutti i client associati a un SSID (Service Set Identifier). Sebbene potente, questo metodo presenta delle limitazioni in quanto richiede ai client di associarsi a SSID diversi per ereditare criteri QoS e di sicurezza diversi.
Tuttavia, la soluzione Cisco WLAN supporta le reti di identità. In questo modo la rete può annunciare un singolo SSID e consentire a utenti specifici di ereditare criteri QoS o di sicurezza diversi in base alle credenziali utente.
L'assegnazione dinamica della VLAN è una di queste funzionalità che permette a un utente wireless di accedere a una VLAN specifica in base alle credenziali fornite dall'utente. L'attività di assegnazione degli utenti a una VLAN specifica viene gestita da un server di autenticazione RADIUS, ad esempio Cisco ISE. Questa funzione può essere utilizzata, ad esempio, per fare in modo che l'host wireless rimanga sulla stessa VLAN su cui si sposta all'interno della rete di un campus.
Pertanto, quando un client tenta di associarsi a un LAP registrato con un controller, il WLC passa le credenziali dell'utente al server RADIUS per la convalida. Una volta completata l'autenticazione, il server RADIUS passa all'utente alcuni attributi IETF (Internet Engineering Task Force). Questi attributi RADIUS determinano l'ID VLAN che deve essere assegnato al client wireless. L'SSID del client non ha importanza perché l'utente è sempre assegnato a questo ID VLAN predeterminato.
Gli attributi utente RADIUS utilizzati per l'assegnazione dell'ID VLAN sono:
L'ID VLAN è a 12 bit e assume un valore compreso tra 1 e 4094 inclusi. Poiché Tunnel-Private-Group-ID è di tipo stringa, come definito nella RFC2868 per l'utilizzo con IEEE 802.1X, il valore intero dell'ID VLAN viene codificato come stringa. Quando questi attributi del tunnel vengono inviati, è necessario immetterli nel campo Tag.
In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.
Il documento usa la seguente configurazione di rete:
Di seguito sono riportati i dettagli di configurazione dei componenti utilizzati nel diagramma:
Questa configurazione è suddivisa in tre categorie:
Questa configurazione richiede i seguenti passaggi:
In questa procedura viene spiegato come aggiungere il WLC come client AAA sul server ISE in modo che il WLC possa passare le credenziali dell'utente ad ISE.
Attenersi alla seguente procedura:
Administration > Network Resources > Network Devices
e passare a Add
.In questa procedura viene spiegato come aggiungere gli utenti al database interno di Cisco ISE.
Attenersi alla seguente procedura:
Administration > Identity Management > Identities
e passare a Add
.In questa procedura viene illustrato come creare un profilo di autorizzazione e un criterio di autenticazione per gli utenti wireless.
Attenersi alla seguente procedura:
Policy > Policy Elements > Results > Authorization > Authorization profiles
e passare Add
a per creare un nuovo profilo.jonathga-VLAN-102
gruppo.Dopo aver configurato i profili di autorizzazione, è necessario creare un criterio di autenticazione per gli utenti wireless. È possibile utilizzare un nuovo Custom
criterio o modificare il set di Default
criteri. In questo esempio viene creato un profilo personalizzato.
Policy > Policy Sets
e selezionare Add
per creare un nuovo criterio, come mostrato nell'immagine:
A questo punto è necessario creare criteri di autorizzazione per gli utenti per assegnare un profilo di autorizzazione corrispondente in base all'appartenenza ai gruppi.
Authorization policy
sezione e creare i criteri per soddisfare tale requisito, come mostrato nell'immagine:Per consentire l'uso di più VLAN sullo switch, è necessario usare questi comandi per configurare la porta dello switch connessa al controller:
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation dot1q
Nota: Per impostazione predefinita, la maggior parte degli switch consente tutte le VLAN create sullo switch tramite la porta trunk. Se allo switch è collegata una rete cablata, è possibile applicare la stessa configurazione alla porta dello switch che si connette alla rete cablata. Ciò consente la comunicazione tra le stesse VLAN nella rete cablata e wireless.
Questa configurazione richiede i seguenti passaggi:
È necessario configurare il WLC in modo che possa comunicare con il server RADIUS per autenticare i client.
Attenersi alla seguente procedura:
Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add
e immettere le informazioni sul server RADIUS, come mostrato nell'immagine:Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add
sezione come mostrato nell'immagine:Configuration > Security > AAA > AAA Method List > Authentication > + Add
a come mostrato nelle immagini:In questa procedura viene spiegato come configurare le VLAN sul Catalyst 9800 WLC. Come spiegato in precedenza in questo documento, l'ID VLAN specificato nell'attributo Tunnel-Private-Group ID del server RADIUS deve esistere anche nel WLC.
Nell'esempio, l'utente smith-102 viene specificato con il Tunnel-Private-Group ID of 102 (VLAN =102)
sul server RADIUS.
Configuration > Layer2 > VLAN > VLAN > + Add
come mostrato nell'immagine:Nota: Se non si specifica un nome, alla VLAN viene assegnato automaticamente il nome VLAN XXXX, dove XXXX è l'ID della VLAN.
Ripetere i passaggi 1 e 2 per tutte le VLAN necessarie, quindi continuare con il passaggio 3.
Configuration > Interface > Logical > PortChannel name > General
. Se la configurazione è stata visualizzata al termine della Allowed VLAN = All
configurazione. In questo caso, aggiungere le VLAN necessarie e Allowed VLAN = VLANs IDs
quindi selezionare Update & Apply to Device
.Configuration > Interface > Ethernet > Interface Name > General
. Se la configurazione è stata visualizzata al termine della Allowed VLAN = All
configurazione. In questo caso, aggiungere le VLAN necessarie e Allowed VLAN = VLANs IDs
quindi selezionare Update & Apply to Device
.Nelle immagini viene mostrata la configurazione relativa all'impostazione dell'interfaccia se si usano tutti gli ID VLAN o ID VLAN specifici.
In questa procedura viene spiegato come configurare le WLAN nel WLC.
Attenersi alla seguente procedura:
Configuration > Wireless > WLANs > + Add
rete e configurarla come necessario, come mostrato nell'immagine:Security
scheda e selezionare il metodo di protezione necessario. In questo caso, WPA2 + 802.1x come mostrato nelle immagini:DallaSecurity > AAA
scheda, selezionare il metodo di autenticazione creato al passaggio 3 dalla Configure the WLC with the Details of the Authentication Server
sezione come mostrato nell'immagine:
In questa procedura viene spiegato come configurare il profilo dei criteri nel WLC.
Attenersi alla seguente procedura:
Configuration > Tags & Profiles > Policy Profile
e configurare il file default-policy-profile
o crearne uno nuovo, come mostrato nelle immagini:Access Policies
scheda assegnare la VLAN a cui sono assegnati i client wireless quando si connettono a questa WLAN per impostazione predefinita, come mostrato nell'immagine:Nota: Nell'esempio fornito, dopo l'autenticazione, il server RADIUS deve assegnare un client wireless a una VLAN specifica. Pertanto, la VLAN configurata nel profilo della policy può essere una VLAN buca nera, il server RADIUS ignora questo mapping e assegna l'utente che passa attraverso tale WLAN alla VLAN specificata nel campo user Tunnel-Group-Private-ID nel server RADIUS.
Advance
scheda, abilitare la casella di controllo per Allow AAA Override
ignorare la configurazione WLC quando il server RADIUS restituisce gli attributi necessari per posizionare il client sulla VLAN corretta, come mostrato nell'immagine:In questa procedura viene spiegato come configurare il tag Policy nel WLC.
Attenersi alla seguente procedura:
Configuration > Tags & Profiles > Tags > Policy
e aggiungere un nuovo file, come mostrato nell'immagine:+Add
, come mostrato nell'immagine:In questa procedura viene spiegato come configurare il tag Policy nel WLC.
Attenersi alla seguente procedura:
Configuration > Wireless > Access Points > AP Name > General Tags
e assegnare il tag di criterio appropriato, quindi selezionare Update & Apply to Device
come mostrato nell'immagine:Attenzione: Tenere presente che la modifica del tag dei criteri in un access point comporta la disconnessione e la riconnessione dell'access point dal WLC.
La funzione Flexconnect consente ai punti di accesso di inviare i dati dei client wireless in uscita tramite la porta LAN del punto di accesso quando sono configurati come trunk. Questa modalità, nota come switching locale Flexconnect, consente all'access point di separare il traffico dei client assegnando tag alle VLAN separate dall'interfaccia di gestione. In questa sezione vengono fornite istruzioni su come configurare l'assegnazione della VLAN dinamica per lo scenario di switching locale.
Nota: I passaggi descritti nella sezione precedente sono applicabili anche allo scenario Flexconnect. Per completare la configurazione di Flexconnect, effettuare le operazioni aggiuntive descritte in questa sezione.
Per consentire l'uso di più VLAN sullo switch, è necessario usare i comandi successivi per configurare la porta dello switch collegata all'access point:
Nota: Per impostazione predefinita, la maggior parte degli switch consente tutte le VLAN create sullo switch tramite la porta trunk.
Nota: A partire dal codice 17.9.x, l'aspetto del profilo della policy è stato aggiornato come illustrato nella figura.
Nota: la VLAN configurata in questo passaggio non deve necessariamente essere presente nell'elenco delle VLAN del WLC. Le VLAN necessarie vengono aggiunte successivamente al Flex-Profile, che crea le VLAN sull'access point stesso.
Nota: Un tag di policy viene utilizzato per collegare la WLAN al profilo di policy. È possibile creare un nuovo tag o utilizzare il tag predefinito.
Per assegnare dinamicamente un ID VLAN tramite RADIUS su un access point FlexConnect, è necessario che l'ID VLAN menzionato nell'attributo Tunnel-Private-Group ID della risposta RADIUS sia presente sui punti di accesso. Le VLAN sono configurate sul profilo Flex.
Nota: L'ID VLAN nativo fa riferimento alla VLAN di gestione dell'access point, quindi deve corrispondere alla configurazione VLAN nativa dello switch a cui è connesso l'access point
Nota: Nel passaggio 3 della sezione Configurazione del profilo dei criteri di connessione flessibile, è stata configurata la VLAN predefinita assegnata all'SSID. se si usa un nome VLAN in questo passaggio, verificare di usare lo stesso nome VLAN nella configurazione del profilo Flex, altrimenti i client non saranno in grado di connettersi alla WLAN.
Attenzione: Tenere presente che la modifica dei criteri e del tag del sito in un access point comporta la disconnessione e la riconnessione dell'access point dal WLC.
Nota: Se l'access point è configurato in modalità Locale (o in qualsiasi altra modalità) e viene visualizzato un tag del sito con l'impostazione "Abilita sito locale" disabilitata, l'access point si riavvia e torna in modalità FlexConnect
Per verificare che la configurazione funzioni correttamente, consultare questa sezione.
Configurare il profilo SSID del client di test utilizzando il protocollo EAP appropriato e le credenziali definite in ISE che possono restituire un'assegnazione di VLAN dinamica. Dopo aver richiesto un nome utente e una password, immettere le informazioni dell'utente mappato su una VLAN su ISE.
Nell'esempio precedente, lo smith-102 è assegnato alla VLAN102 come specificato nel server RADIUS. In questo esempio viene utilizzato questo nome utente per ricevere l'autenticazione e per essere assegnato a una VLAN dal server RADIUS:
Al termine dell'autenticazione, è necessario verificare che il client sia assegnato alla VLAN corretta in base agli attributi RADIUS inviati. Per eseguire questa operazione, completare i seguenti passaggi:
Monitoring > Wireless > Clients > Select the client MAC address > General > Security Information
e cercare il campo VLAN, come mostrato nell'immagine:Da questa finestra è possibile osservare che il client è assegnato alla VLAN102 in base agli attributi RADIUS configurati sul server RADIUS.
Dalla CLI è possibile usare show wireless client summary detail
per visualizzare le stesse informazioni mostrate nell'immagine:
Radioactive traces
router per garantire il corretto trasferimento degli attributi RADIUS al WLC. A tale scopo, eseguire la procedura seguente:
Troubleshooting > Radioactive Trace > +Add
.Start
.Stop > Generate > Choose 10 minutes > Apply to Device > Select the trace file to download the log
.Questa parte dell'output di traccia garantisce la corretta trasmissione degli attributi RADIUS:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: User-Name [1] 13 "smith-102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: State [24] 40 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Class [25] 54 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Type [64] 6 VLAN [13]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Medium-Type [65] 6 ALL_802 [6]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Message [79] 6 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Message-Authenticator[80] 18 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Private-Group-Id[81] 6 "102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Key-Name [102] 67 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Send-Key [16] 52 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Recv-Key [17] 52 *
2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : username 0 "smith-102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : class 0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30 ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-type 1 13 [vlan] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-medium-type 1 6 [ALL_802] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id 1 "102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : timeout 0 1800 (0x708) ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
3.0 |
11-Apr-2024
|
Certificazione |
2.0 |
02-Jun-2022
|
Immagini ridimensionate |
1.0 |
14-Apr-2021
|
Versione iniziale |