ISEおよびCatalyst 9800ワイヤレスLANコントローラを使用したダイナミックVLAN割り当ての設定

ダウンロード オプション

  • PDF     (3.1 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (2.8 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.6 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 4 月 11 日
Document ID:217043

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、ワイヤレスLAN(WLAN)を割り当てるためにCatalyst 9800 WLCおよびCisco ISEを設定する方法について説明します。

    要件

    次の項目に関する知識があることが推奨されます。

    • ワイヤレスLANコントローラ(WLC)とLightweightアクセスポイント(LAP)に関する基本的な知識があること。
    • Identity Services Engine(ISE)などのAAAサーバに関する実務知識があること。
    • ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識があること.
    • ダイナミック仮想LAN(VLAN)の割り当てに関する実務知識があること。
    • Control and Provisioning for Wireless Access Point(CAPWAP)の基本的な知識があること。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • ファームウェアリリース16.12.4aが稼働するCisco Catalyst 9800 WLC(Catalyst 9800-CL)
    • ローカルモードのCisco 2800シリーズLAP
    • ネイティブWindows 10サプリカント。
    • バージョン2.7を実行するCisco ISE。
    • ファームウェアリリース16.9.6が稼働するCisco 3850シリーズスイッチ

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    RADIUS サーバによるダイナミック VLAN 割り当て

    このドキュメントでは、ダイナミックVLAN割り当ての概念について説明し、ワイヤレスクライアントにワイヤレスLAN(WLAN)を割り当てるためにCatalyst 9800ワイヤレスLANコントローラ(WLC)とCisco Identity Service Engine(ISE)を設定する方法について説明します。

    ほとんどの無線ローカルエリアネットワーク(WLAN)システムでは、各WLANにService Set Identifier(SSID)に関連付けられたすべてのクライアントに適用されるスタティックポリシーがあります。 この方法は強力ですが、異なるQoSポリシーとセキュリティポリシーを継承するためにクライアントを異なるSSIDに関連付ける必要があるため、制限があります。

    一方、Cisco WLAN ソリューションでは、アイデンティティ ネットワーキングがサポートされています。これにより、ネットワークは単一のSSIDをアドバタイズでき、ユーザクレデンシャルに基づいて異なるQoSポリシーまたはセキュリティポリシーを特定のユーザが継承できるようになります。

    ダイナミック VLAN 割り当ては、ユーザが入力したクレデンシャルに基づいてワイヤレス ユーザを特定の VLAN に割り当てる機能です。ユーザを特定のVLANに割り当てるタスクは、Cisco ISEなどのRADIUS認証サーバによって処理されます。たとえば、この機能を利用すると、キャンパス ネットワーク内を移動するワイヤレス ホストを同じ VLAN に割り当てることができます。

    そのため、クライアントがコントローラに登録されているLAPへの関連付けを試みると、WLCからRADIUSサーバにユーザのクレデンシャルが渡されて検証されます。認証に成功すると、RADIUS サーバからユーザに特定の Internet Engineering Task Force(IETF)属性が渡されます。これらのRADIUS属性により、ワイヤレスクライアントに割り当てる必要があるVLAN IDが決まります。ユーザはこの事前設定済みのVLAN IDに常に割り当てられるため、クライアントのSSIDは重要ではありません。

    VLAN ID の割り当てに使用される RADIUS ユーザ属性は次のとおりです。

    • IETF 64(Tunnel Type):これを VLAN に設定します。
    • IETF 65(Tunnel Medium Type):これを 802 に設定します。
    • IETF 81(Tunnel Private Group ID):これを VLAN ID に設定します。

    VLAN IDは12ビットで、1 ~ 4094の値(両端の値を含む)を取ります。RFC2868で定義されているように、IEEE 802.1Xで使用されるTunnel-Private-Group-IDは文字列型であるため、VLAN IDの整数値は文字列としてエンコードされます。これらのトンネル属性が送信される際には、Tagフィールドに入力する必要があります。

    設定

    このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

    ネットワーク図

    このドキュメントでは、次のネットワーク セットアップを使用します。

    Network Diagram

    この図で使用されているコンポーネントの設定の詳細は、次のとおりです。

    • Cisco ISE(RADIUS)サーバのIPアドレスは10.10.1.24です。
    • WLC の管理インターフェイス アドレスは 10.10.1.17 です。
    • コントローラの内部 DHCP サーバは、ワイヤレス クライアントに IP アドレスを割り当てる目的に使用されます。
    • このドキュメントでは、セキュリティ メカニズムとして 802.1x と PEAP を使用します。
    • VLAN102は、この設定全体を通じて使用されます。ユーザ名smith -102は、RADIUSサーバによってVLAN102に配置されるように設定されています。

    設定手順

    この設定は、次の 4 つのカテゴリに分類されます。

    • Cisco ISE の設定.
    • 複数の VLAN を使用するためのスイッチの設定.
    • Catalyst 9800 WLC設定

    Cisco ISE の設定

    設定には次の手順が必要です。

    • Cisco ISEサーバでAAAクライアントとしてCatalyst WLCを設定します。
    • Cisco ISEで内部ユーザを設定します。
    • Cisco ISEでのダイナミックVLAN割り当てに使用されるRADIUS(IETF)属性を設定します。

    ステップ 1:Cisco ISEサーバでのAAAクライアントとしてのCatalyst WLCの設定

    この手順では、WLCがユーザクレデンシャルをISEに渡せるように、WLCをAAAクライアントとしてISEサーバに追加する方法について説明します。

    次のステップを実行します。

    1. ISE GUIから、Administration > Network Resources > Network Devicesの順に移動し、Addを選択します。
    2. 図に示すように、WLC管理IPアドレスと、WLCとISE間のRADIUS共有秘密を使用して設定を完了します。

    Configuration with the WLC management IP address and Radius shared secret between WLC and ISE

    ステップ 2:Cisco ISEでの内部ユーザの設定

    この手順では、Cisco ISEの内部ユーザデータベースにユーザを追加する方法について説明します。

    次のステップを実行します。

    1. ISE GUIから、Administration > Identity Management > Identitiesの順に移動し、Addを選択します。
    2. 図に示すように、ユーザ名、パスワード、ユーザグループを使用して設定を完了します。

    Configuration with the username, password, and user group

    ステップ 3:ダイナミックVLAN割り当てに使用するRADIUS(IETF)アトリビュートを設定する

    この手順では、ワイヤレスユーザの認可プロファイルと認証ポリシーを作成する方法について説明します。

    次のステップを実行します。

    1. ISE GUIから、Policy > Policy Elements > Results > Authorization > Authorization profilesの順に移動し、Addを選択して新しいプロファイルを作成します。
    2. 各グループのVLAN情報を使用して、認可プロファイルの設定を完了します。次の図に、jonathga-VLAN-102グループの設定値を示します。

    Authorization profile configuration with VLAN information

    認可プロファイルを設定した後、ワイヤレスユーザの認証ポリシーを作成する必要があります。新しいカスタムポリシーを使用することも、デフォルトポリシーセットを変更することもできます。この例では、カスタムプロファイルが作成されます。

    1. Policy > Policy Setsの順に移動し、Addを選択して、次の図に示すように新しいポリシーを作成します。

    Navigate to Policy Sets and select Add

    Create an authentication policy for wireless users


    次に、グループメンバーシップに基づいてそれぞれの認可プロファイルを割り当てるために、ユーザの認可ポリシーを作成する必要があります。

    1. 認可ポリシーセクションを開き、図に示すように、この要件を達成するためのポリシーを作成します。

    Assign a respective authorization profile based on group membership

    複数の VLAN を使用するためのスイッチの設定

    複数のVLANがスイッチを通過できるようにするには、次のコマンドを発行して、コントローラに接続されたスイッチポートを設定する必要があります。

    Switch(config-if)#switchport mode trunk
    Switch(config-if)#switchport trunk encapsulation dot1q

    :ほとんどのスイッチでは、そのスイッチ上で作成されたすべてのVLANに対して、トランクポートを介した接続がデフォルトで許可されます。スイッチに有線ネットワークが接続されている場合は、有線ネットワークに接続されたスイッチ ポートに対しても同じ設定を適用できます。これにより、有線ネットワークとワイヤレス ネットワークの同じ VLAN 間での通信が可能になります。

    Catalyst 9800 WLCの設定

    設定には次の手順が必要です。

    • 認証サーバの詳細を使用して WLC を設定します。
    • VLANを設定します。
    • WLAN(SSID)の設定
    • ポリシープロファイルを設定します。
    • Policyタグを設定します。
    • APにポリシータグを割り当てます。

    ステップ 1:WLC での認証サーバの詳細設定

    クライアントを認証するためにRADIUSサーバと通信できるようにWLCを設定する必要があります。

    次のステップを実行します。

    1. コントローラのGUIから、Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Addの順に移動し、図に示すようにRADIUSサーバの情報を入力します。

    Navigate to Servers and select +Add

    Enter the RADIUS server information

    1. RADIUSサーバをRADIUSグループに追加するには、図に示すように、Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Addの順に移動します。

    Add the RADIUS server to a RADIUS group

    1. 認証方式リストを作成するには、次の図に示すように、Configuration > Security > AAA > AAA Method List > Authentication > + Addの順に移動します。

    Navigate to authentication and select +Add

    Create an Authentication Method List

    ステップ 2:VLANの設定

    この手順では、Catalyst 9800 WLCでVLANを設定する方法について説明します。このドキュメントですでに説明したように、RADIUS サーバの Tunnel-Private-Group ID 属性で指定された VLAN ID が WLC 内にも存在している必要があります。

    この例では、RADIUSサーバ上でユーザsmith-102がTunnel-Private-Group ID 102(VLAN =102)で指定されています。

    1. 図に示すように、Configuration > Layer2 > VLAN > VLAN > + Addの順に移動します。

    Navigate to VLAN and select +Add

    1. 図に示すように、必要な情報を入力します。

    Enter information to create a VLAN

    :名前を指定しない場合、VLANには自動的にVLANXXXXという名前が割り当てられます。ここで、XXXXはVLAN IDです。

    必要なすべての VLAN について、ステップ 1 および 2 を繰り返します。完了したら、ステップ 3 に進むことができます。

    1. データインターフェイスでVLANが許可されていることを確認します。
      • ポートチャネルを使用している場合は、Configuration > Interface > Logical > PortChannel name > Generalの順に移動します。Allowed VLAN = Allと設定されている場合は、これで完了です。Allowed VLAN = VLANs IDsが表示されたら、必要なVLANを追加し、その後、Update & Apply to Deviceを選択します。
      • ポートチャネルを使用していない場合は、Configuration > Interface > Ethernet > Interface Name > Generalの順に選択します。Allowed VLAN = Allと設定されている場合は、これで完了です。Allowed VLAN = VLANs IDsが表示されたら、必要なVLANを追加し、その後、Update & Apply to Deviceを選択します。

    次の図は、Allまたは特定のVLAN IDを使用する場合の、インターフェイスセットアップに関連する設定を示しています。 

    The configuration related to the interface setup if you use ALL VLAN IDs

    The configuration related to the interface setup if you use specific VLAN IDs

    ステップ 3:WLAN(SSID)の設定

    この手順では、WLC で WLAN を設定する方法について説明します。

    次のステップを実行します。

    1. WLANを作成します。Configuration > Wireless > WLANs > + Addの順に移動し、図に示すように、必要に応じてネットワークを設定します。


    Navigate to WLANs and select +Add

    1. 図に示すように、WLAN情報を入力します。


    Configure the network as needed

    1. Securityタブに移動し、必要なセキュリティ方式を選択します。この場合、図に示すようにWPA2 + 802.1xが使用されます。


    Select the needed security method

    Select the needed security method

    Security > AAAタブで、図に示すように、ステップ3で作成した認証方式を「認証サーバの詳細によるWLCの設定」セクションから選択します。

    Select the authentication method created previously

    ステップ 4:ポリシープロファイルの設定

    この手順では、WLCでポリシープロファイルを設定する方法について説明します。

    次のステップを実行します。

    1. Configuration > Tags & Profiles > Policy Profileの順に移動し、次の図に示すように、default-policy-profileを設定するか、新しいプロファイルを作成します。

    Navigate to Policy Profile and select +Add

    Configure your default-policy-profile or create a new one

    1. Access Policiesタブで、図に示すように、ワイヤレスクライアントがデフォルトでこのWLANに接続するときに割り当てるVLANを割り当てます。

    Assign the VLAN to the wireless client

    :例では、認証が成功した際にワイヤレスクライアントを特定のVLANに割り当てるのがRADIUSサーバの役割であるため、ポリシープロファイルに設定されたVLANはブラックホールVLANである可能性があります。RADIUSサーバはこのマッピングをオーバーライドし、そのWLANを通過するユーザを、RADIUSサーバのuser Tunnel-Group-Private-IDフィールドで指定されたVLANに割割します。

    1. Advanceタブで、図に示すように、RADIUSサーバが適切なVLANにクライアントを配置するために必要な属性を返す場合にWLCの設定を上書きするためにAllow AAA Overrideチェックボックスをオンにします。

    Enable the Allow AAA Override checkbox

    ステップ 5:ポリシータグの設定

    この手順では、WLCでポリシータグを設定する方法について説明します。

    次のステップを実行します。

    1. Configuration > Tags & Profiles > Tags > Policyの順に移動し、図に示すように、必要に応じて新しいポリシーを追加します。

    Navigate to Policy and select +add

    1. Policy Tagに名前を追加し、図に示すように+Addを選択します。

    Add a name to the Policy Tag

    1. 図に示すように、WLANプロファイルを目的のポリシープロファイルにリンクします。

    Link your WLAN Profile to the desire Policy Profile

    Select Apply to Device

    手順 6:APへのポリシータグの割り当て

    この手順では、WLCでポリシータグを設定する方法について説明します。

    次のステップを実行します。

    1. Configuration > Wireless > Access Points > AP Name > General Tagsの順に移動し、該当するポリシータグを割り当て、図に示すように、Update & Apply to Deviceを選択します。

    Assign the relevant policy tag and select Update & Apply to Device

    注意:APのポリシータグを変更すると、APがWLCから切断されてから再接続されるので注意してください。

    FlexConnect

    Flexconnect機能を使用すると、トランクとして設定されている場合、APはAP LANポートを介して出力に無線クライアントデータを送信できます。Flexconnectローカルスイッチングと呼ばれるこのモードでは、APが管理インターフェイスから別のVLANにタグを付けることにより、クライアントトラフィックを分離できます。 このセクションでは、ローカルスイッチングシナリオにダイナミックVLAN割り当てを設定する方法について説明します。

    note-icon

    :前の項で説明した手順は、Flexconnectのシナリオにも適用されます。Flexconnectの設定を完了するには、このセクションに記載されている追加の手順を実行してください。

    複数の VLAN を使用するためのスイッチの設定

    複数のVLANがスイッチを通過できるようにするには、次のコマンドを発行して、APに接続されたスイッチポートを設定する必要があります。

    1. Switch(config-if)#switchport mode trunk
    2. Switch(config-if)#switchport trunk encapsulation dot1q
    note-icon

    :ほとんどのスイッチでは、トランクポートを介してスイッチ上に作成されたすべてのVLANがデフォルトで許可されます。

    Flexconnectポリシープロファイル 設定

    1. Configuration > Tags & Profiles > Policy Profile > +Addの順に移動し、新しいポリシーを作成します。
    2. 名前を追加し、[中央スイッチングと中央DHCP ]チェックボックスをオフにします。この設定では、コントローラがクライアント認証を処理し、FlexConnectアクセスポイントがクライアントデータパケットとDHCPをローカルでスイッチします。


      jonathga_0-1706631933656
      note-icon

      :17.9.xコード以降、ポリシープロファイルの外観は図に示すように更新されています。

      Screenshot 2024-02-16 at 2.42.25 PM

    3. Access Policiesタブから、ワイヤレスクライアントがデフォルトでこのWLANに接続するときに割り当てるVLANを割り当てます。

      jonathga_1-1706632001785
      note-icon

      :この手順で設定したVLANは、WLCのVLANリストにある必要はありません。必要なVLANは後でFlex-Profileに追加され、AP自体にVLANが作成されます。



    4. Advanceタブで、Allow AAA Overrideチェックボックスにチェックマークを付けて、RADIUSサーバによってWLCの設定が上書きされるようにします。

      jonathga_2-1706632026213

    FlexconnectポリシープロファイルをWLANとポリシータグに割り当てる

    note-icon

    :ポリシータグは、WLANとポリシープロファイルをリンクするために使用されます。新しいポリシータグを作成するか、default-policy タグを使用します。

    1. Configuration > Tags & Profiles > Tags > Policyの順に移動し、必要に応じて新しいプロファイルを追加します。

      jonathga_3-1706632177957
    2. Policy Tagの名前を入力し、「add」ボタンをクリックします。

      jonathga_4-1706632213815
    3. WLAN プロファイルを目的のポリシープロファイルにリンクします。

      jonathga_5-1706632239122
    4. Apply to Deviceボタンをクリックします。

    jonathga_6-1706632270590

    Flex Profileの設定

    FlexConnect AP上でRADIUSを介してVLAN IDを動的に割り当てるには、RADIUS応答のTunnel-Private-Group ID属性に示されているVLAN IDがアクセスポイント上にあることが必要です。VLANはFlexプロファイルで設定されます。 

    1. Configuration > Tags & Profiles > Flex > + Addの順に選択します。

      Screenshot 2024-01-30 at 11.45.19 AM
    2. Generalタブをクリックして、Flexプロファイルの名前を割り当て、APのネイティブVLAN IDを設定します。

      Screenshot 2024-01-30 at 11.39.28 AM
      note-icon

      :ネイティブVLAN IDはAPの管理VLANを示すため、APが接続されているスイッチのネイティブVLAN設定と一致する必要があります

    3. VLANタブに移動し、「Add」ボタンをクリックして必要なすべてのVLANを入力します。

      Screenshot 2024-01-30 at 11.49.19 AM
    note-icon

    注:「FlexConnectポリシープロファイルの設定」の項のステップ3で、SSIDに割り当てられたデフォルトのVLANを設定しました。この手順でVLAN名を使用する場合は、Flex Profile設定で同じVLAN名を使用していることを確認してください。そうしないと、クライアントはWLANに接続できません。

    Flex Siteタグの設定

    1. Configuration > Tags & Profiles > Tags > Site > +Addの順に移動し、新しいサイトタグを作成します。
    2. Enable Local Siteボックスの選択を解除して、APがクライアントデータトラフィックをローカルにスイッチして、Configure the Flex Profileセクションで作成したFlex Profileを追加できるようにします。

      Picture1

    ポリシーとサイトタグをAPに割り当てます。

    1. Configuration > Wireless > Access Points > AP Name > General Tagsの順に移動し、関連するポリシーとサイトタグを割り当て、Update & Apply to Deviceをクリックします。

    Picture2

    caution-icon

    注意:APのポリシーとサイトタグを変更すると、APがWLCから切断されてから再接続されるので注意してください。

    note-icon

    :APがローカルモード(または他のモード)に設定されていて、「ローカルサイトを有効にする」設定が無効になっているサイトタグを取得する場合、APはリブートしてFlexConnectモードに戻ります

    確認

    このセクションでは、設定が正常に動作していることを確認します。

    ダイナミックVLAN割り当てを返すことができるISEで定義された適切なEAPプロトコルとクレデンシャルを使用して、テストクライアントのSSIDプロファイルを設定します。ユーザ名とパスワードの入力を求められたら、ISEのVLANにマッピングされたユーザの情報を入力します。

    前の例では、RADIUSサーバで指定されているように、smith-102がVLAN102に割り当てられていることに注目してください。この例では、認証を受信し、RADIUSサーバによってVLANに割り当てられるために、次のユーザ名を使用します。

    認証が完了したら、送信されたRADIUSアトリビュートに従ってクライアントが適切なVLANに割り当てられていることを確認する必要があります。この作業を行うには、次の手順を実行します。

    1. コントローラのGUIで、Monitoring > Wireless > Clients > Select the client MAC address > General > Security Informationの順に移動し、図に示すようにVLANフィールドを探します。

      Verify that your client is assigned to the proper VLAN

      このウィンドウから、RADIUSサーバで設定されたRADIUSアトリビュートに従って、このクライアントがVLAN102に割り当てられていることがわかります。

      CLIでは、show wireless client summary detailを使用して、図に示すように同じ情報を表示できます。

      Verify that your client is assigned to the proper VLAN from the CLI

    2. 放射性トレースを有効にして、RADIUSアトリビュートがWLCに正常に転送されるようにすることができます。そのためには、次の手順を実行します。
      1. コントローラのGUIで、Troubleshooting > Radioactive Trace > +Addの順に移動します。
      2. ワイヤレスクライアントのMACアドレスを入力します。
      3. Startを選択します。
      4. クライアントをWLANに接続します。
      5. Stop > Generate > 10 minutes > Apply to Device > Select the trace file to download the logの順に移動します。

    トレース出力のこの部分は、RADIUSアトリビュートの正常な送信を保証します。

    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  User-Name           [1]     13  "smith-102"
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  State               [24]    40  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Class               [25]    54  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Type         [64]     6  VLAN                   [13]
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Medium-Type  [65]     6  ALL_802                [6]
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Message         [79]     6  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Message-Authenticator[80]    18  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Private-Group-Id[81]     6  "102"
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Key-Name        [102]   67  *
    2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Send-Key   [16]    52  *
    2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Recv-Key   [17]    52  *
    2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008

    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :            username   0 "smith-102" ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :               class   0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30  ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :         tunnel-type   1 13 [vlan] ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :  tunnel-medium-type   1 6 [ALL_802] ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id   1 "102" ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :             timeout   0 1800 (0x708) ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile

    トラブルシュート

    現在、この設定に関する特定のトラブルシューティング情報はありません。

    関連情報

    更新履歴

    改定 発行日 コメント
    3.0
    11-Apr-2024
    再認定
    2.0
    02-Jun-2022
    サイズ変更された画像
    1.0
    14-Apr-2021
    初版
    TAC Authored

    シスコ エンジニア提供

    • ジョナサン・デ・イエスガルシア
      Cisco TACエンジニア
    • ホセ・パブロ・ムノズ
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています