はじめに
このドキュメントでは、ワイヤレスLAN(WLAN)を割り当てるためにCatalyst 9800 WLCおよびCisco ISEを設定する方法について説明します。
要件
次の項目に関する知識があることが推奨されます。
- ワイヤレスLANコントローラ(WLC)とLightweightアクセスポイント(LAP)に関する基本的な知識があること。
- Identity Services Engine(ISE)などのAAAサーバに関する実務知識があること。
- ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識があること.
- ダイナミック仮想LAN(VLAN)の割り当てに関する実務知識があること。
- Control and Provisioning for Wireless Access Point(CAPWAP)の基本的な知識があること。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- ファームウェアリリース16.12.4aが稼働するCisco Catalyst 9800 WLC(Catalyst 9800-CL)
- ローカルモードのCisco 2800シリーズLAP
- ネイティブWindows 10サプリカント。
- バージョン2.7を実行するCisco ISE。
- ファームウェアリリース16.9.6が稼働するCisco 3850シリーズスイッチ
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
RADIUS サーバによるダイナミック VLAN 割り当て
このドキュメントでは、ダイナミックVLAN割り当ての概念について説明し、ワイヤレスクライアントにワイヤレスLAN(WLAN)を割り当てるためにCatalyst 9800ワイヤレスLANコントローラ(WLC)とCisco Identity Service Engine(ISE)を設定する方法について説明します。
ほとんどの無線ローカルエリアネットワーク(WLAN)システムでは、各WLANにService Set Identifier(SSID)に関連付けられたすべてのクライアントに適用されるスタティックポリシーがあります。 この方法は強力ですが、異なるQoSポリシーとセキュリティポリシーを継承するためにクライアントを異なるSSIDに関連付ける必要があるため、制限があります。
一方、Cisco WLAN ソリューションでは、アイデンティティ ネットワーキングがサポートされています。これにより、ネットワークは単一のSSIDをアドバタイズでき、ユーザクレデンシャルに基づいて異なるQoSポリシーまたはセキュリティポリシーを特定のユーザが継承できるようになります。
ダイナミック VLAN 割り当ては、ユーザが入力したクレデンシャルに基づいてワイヤレス ユーザを特定の VLAN に割り当てる機能です。ユーザを特定のVLANに割り当てるタスクは、Cisco ISEなどのRADIUS認証サーバによって処理されます。たとえば、この機能を利用すると、キャンパス ネットワーク内を移動するワイヤレス ホストを同じ VLAN に割り当てることができます。
そのため、クライアントがコントローラに登録されているLAPへの関連付けを試みると、WLCからRADIUSサーバにユーザのクレデンシャルが渡されて検証されます。認証に成功すると、RADIUS サーバからユーザに特定の Internet Engineering Task Force(IETF)属性が渡されます。これらのRADIUS属性により、ワイヤレスクライアントに割り当てる必要があるVLAN IDが決まります。ユーザはこの事前設定済みのVLAN IDに常に割り当てられるため、クライアントのSSIDは重要ではありません。
VLAN ID の割り当てに使用される RADIUS ユーザ属性は次のとおりです。
- IETF 64(Tunnel Type):これを VLAN に設定します。
- IETF 65(Tunnel Medium Type):これを 802 に設定します。
- IETF 81(Tunnel Private Group ID):これを VLAN ID に設定します。
VLAN IDは12ビットで、1 ~ 4094の値(両端の値を含む)を取ります。RFC2868で定義されているように、IEEE 802.1Xで使用されるTunnel-Private-Group-IDは文字列型であるため、VLAN IDの整数値は文字列としてエンコードされます。これらのトンネル属性が送信される際には、Tagフィールドに入力する必要があります。
設定
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
ネットワーク図
このドキュメントでは、次のネットワーク セットアップを使用します。

この図で使用されているコンポーネントの設定の詳細は、次のとおりです。
- Cisco ISE(RADIUS)サーバのIPアドレスは10.10.1.24です。
- WLC の管理インターフェイス アドレスは 10.10.1.17 です。
- コントローラの内部 DHCP サーバは、ワイヤレス クライアントに IP アドレスを割り当てる目的に使用されます。
- このドキュメントでは、セキュリティ メカニズムとして 802.1x と PEAP を使用します。
- VLAN102は、この設定全体を通じて使用されます。ユーザ名smith -102は、RADIUSサーバによってVLAN102に配置されるように設定されています。
設定手順
この設定は、次の 4 つのカテゴリに分類されます。
- Cisco ISE の設定.
- 複数の VLAN を使用するためのスイッチの設定.
- Catalyst 9800 WLC設定
Cisco ISE の設定
設定には次の手順が必要です。
- Cisco ISEサーバでAAAクライアントとしてCatalyst WLCを設定します。
- Cisco ISEで内部ユーザを設定します。
- Cisco ISEでのダイナミックVLAN割り当てに使用されるRADIUS(IETF)属性を設定します。
ステップ 1:Cisco ISEサーバでのAAAクライアントとしてのCatalyst WLCの設定
この手順では、WLCがユーザクレデンシャルをISEに渡せるように、WLCをAAAクライアントとしてISEサーバに追加する方法について説明します。
次のステップを実行します。
- ISE GUIから、
Administration > Network Resources > Network Devices
の順に移動し、Add
を選択します。
- 図に示すように、WLC管理IPアドレスと、WLCとISE間のRADIUS共有秘密を使用して設定を完了します。

ステップ 2:Cisco ISEでの内部ユーザの設定
この手順では、Cisco ISEの内部ユーザデータベースにユーザを追加する方法について説明します。
次のステップを実行します。
- ISE GUIから、
Administration > Identity Management > Identities
の順に移動し、Add
を選択します。
- 図に示すように、ユーザ名、パスワード、ユーザグループを使用して設定を完了します。

ステップ 3:ダイナミックVLAN割り当てに使用するRADIUS(IETF)アトリビュートを設定する
この手順では、ワイヤレスユーザの認可プロファイルと認証ポリシーを作成する方法について説明します。
次のステップを実行します。
- ISE GUIから、
Policy > Policy Elements > Results > Authorization > Authorization profiles
の順に移動し、Add
を選択して新しいプロファイルを作成します。
- 各グループのVLAN情報を使用して、認可プロファイルの設定を完了します。次の図に、
jonathga-VLAN-102
グループの設定値を示します。

認可プロファイルを設定した後、ワイヤレスユーザの認証ポリシーを作成する必要があります。新しいカスタム
ポリシーを使用することも、デフォルト
ポリシーセットを変更することもできます。この例では、カスタムプロファイルが作成されます。
Policy > Policy Sets
の順に移動し、Add
を選択して、次の図に示すように新しいポリシーを作成します。


次に、グループメンバーシップに基づいてそれぞれの認可プロファイルを割り当てるために、ユーザの認可ポリシーを作成する必要があります。
認可ポリシー
セクションを開き、図に示すように、この要件を達成するためのポリシーを作成します。

複数の VLAN を使用するためのスイッチの設定
複数のVLANがスイッチを通過できるようにするには、次のコマンドを発行して、コントローラに接続されたスイッチポートを設定する必要があります。
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation dot1q
注:ほとんどのスイッチでは、そのスイッチ上で作成されたすべてのVLANに対して、トランクポートを介した接続がデフォルトで許可されます。スイッチに有線ネットワークが接続されている場合は、有線ネットワークに接続されたスイッチ ポートに対しても同じ設定を適用できます。これにより、有線ネットワークとワイヤレス ネットワークの同じ VLAN 間での通信が可能になります。
Catalyst 9800 WLCの設定
設定には次の手順が必要です。
- 認証サーバの詳細を使用して WLC を設定します。
- VLANを設定します。
- WLAN(SSID)の設定
- ポリシープロファイルを設定します。
- Policyタグを設定します。
- APにポリシータグを割り当てます。
ステップ 1:WLC での認証サーバの詳細設定
クライアントを認証するためにRADIUSサーバと通信できるようにWLCを設定する必要があります。
次のステップを実行します。
- コントローラのGUIから、
Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add
の順に移動し、図に示すようにRADIUSサーバの情報を入力します。


- RADIUSサーバをRADIUSグループに追加するには、図に示すように、
Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add
の順に移動します。

- 認証方式リストを作成するには、次の図に示すように、
Configuration > Security > AAA > AAA Method List > Authentication > + Add
の順に移動します。


ステップ 2:VLANの設定
この手順では、Catalyst 9800 WLCでVLANを設定する方法について説明します。このドキュメントですでに説明したように、RADIUS サーバの Tunnel-Private-Group ID 属性で指定された VLAN ID が WLC 内にも存在している必要があります。
この例では、RADIUSサーバ上でユーザsmith-102がTunnel-Private-Group ID 102(VLAN =102)
で指定されています。
- 図に示すように、
Configuration > Layer2 > VLAN > VLAN > + Add
の順に移動します。

- 図に示すように、必要な情報を入力します。

注:名前を指定しない場合、VLANには自動的にVLANXXXXという名前が割り当てられます。ここで、XXXXはVLAN IDです。
必要なすべての VLAN について、ステップ 1 および 2 を繰り返します。完了したら、ステップ 3 に進むことができます。
- データインターフェイスでVLANが許可されていることを確認します。
- ポートチャネルを使用している場合は、
Configuration > Interface > Logical > PortChannel name > General
の順に移動します。Allowed VLAN = All
と設定されている場合は、これで完了です。Allowed VLAN = VLANs IDs
が表示されたら、必要なVLANを追加し、その後、Update & Apply to Device
を選択します。
- ポートチャネルを使用していない場合は、
Configuration > Interface > Ethernet > Interface Name > General
の順に選択します。Allowed VLAN = All
と設定されている場合は、これで完了です。Allowed VLAN = VLANs IDs
が表示されたら、必要なVLANを追加し、その後、Update & Apply to Device
を選択します。
次の図は、Allまたは特定のVLAN IDを使用する場合の、インターフェイスセットアップに関連する設定を示しています。


ステップ 3:WLAN(SSID)の設定
この手順では、WLC で WLAN を設定する方法について説明します。
次のステップを実行します。
- WLANを作成します。
Configuration > Wireless > WLANs > + Add
の順に移動し、図に示すように、必要に応じてネットワークを設定します。

- 図に示すように、WLAN情報を入力します。

Security
タブに移動し、必要なセキュリティ方式を選択します。この場合、図に示すようにWPA2 + 802.1xが使用されます。


Security > AAA
タブで、図に示すように、ステップ3で作成した認証方式を「認証サーバの詳細によるWLCの設定
」セクションから選択します。

ステップ 4:ポリシープロファイルの設定
この手順では、WLCでポリシープロファイルを設定する方法について説明します。
次のステップを実行します。
Configuration > Tags & Profiles > Policy Profile
の順に移動し、次の図に示すように、default-policy-profile
を設定するか、新しいプロファイルを作成します。


Access Policies
タブで、図に示すように、ワイヤレスクライアントがデフォルトでこのWLANに接続するときに割り当てるVLANを割り当てます。

注:例では、認証が成功した際にワイヤレスクライアントを特定のVLANに割り当てるのがRADIUSサーバの役割であるため、ポリシープロファイルに設定されたVLANはブラックホールVLANである可能性があります。RADIUSサーバはこのマッピングをオーバーライドし、そのWLANを通過するユーザを、RADIUSサーバのuser Tunnel-Group-Private-IDフィールドで指定されたVLANに割割します。
Advance
タブで、図に示すように、RADIUSサーバが適切なVLANにクライアントを配置するために必要な属性を返す場合にWLCの設定を上書きするためにAllow AAA Override
チェックボックスをオンにします。

ステップ 5:ポリシータグの設定
この手順では、WLCでポリシータグを設定する方法について説明します。
次のステップを実行します。
Configuration > Tags & Profiles > Tags > Policy
の順に移動し、図に示すように、必要に応じて新しいポリシーを追加します。

- Policy Tagに名前を追加し、図に示すように
+Add
を選択します。

- 図に示すように、WLANプロファイルを目的のポリシープロファイルにリンクします。


手順 6:APへのポリシータグの割り当て
この手順では、WLCでポリシータグを設定する方法について説明します。
次のステップを実行します。
Configuration > Wireless > Access Points > AP Name > General Tags
の順に移動し、該当するポリシータグを割り当て、図に示すように、Update & Apply to Device
を選択します。

注意:APのポリシータグを変更すると、APがWLCから切断されてから再接続されるので注意してください。
FlexConnect
Flexconnect機能を使用すると、トランクとして設定されている場合、APはAP LANポートを介して出力に無線クライアントデータを送信できます。Flexconnectローカルスイッチングと呼ばれるこのモードでは、APが管理インターフェイスから別のVLANにタグを付けることにより、クライアントトラフィックを分離できます。 このセクションでは、ローカルスイッチングシナリオにダイナミックVLAN割り当てを設定する方法について説明します。
注:前の項で説明した手順は、Flexconnectのシナリオにも適用されます。Flexconnectの設定を完了するには、このセクションに記載されている追加の手順を実行してください。
複数の VLAN を使用するためのスイッチの設定
複数のVLANがスイッチを通過できるようにするには、次のコマンドを発行して、APに接続されたスイッチポートを設定する必要があります。
- Switch(config-if)#switchport mode trunk
- Switch(config-if)#switchport trunk encapsulation dot1q
注:ほとんどのスイッチでは、トランクポートを介してスイッチ上に作成されたすべてのVLANがデフォルトで許可されます。
Flexconnectポリシープロファイル 設定
- Configuration > Tags & Profiles > Policy Profile > +Addの順に移動し、新しいポリシーを作成します。
- 名前を追加し、[中央スイッチングと中央DHCP ]チェックボックスをオフにします。この設定では、コントローラがクライアント認証を処理し、FlexConnectアクセスポイントがクライアントデータパケットとDHCPをローカルでスイッチします。

注:17.9.xコード以降、ポリシープロファイルの外観は図に示すように更新されています。

- Access Policiesタブから、ワイヤレスクライアントがデフォルトでこのWLANに接続するときに割り当てるVLANを割り当てます。

注:この手順で設定したVLANは、WLCのVLANリストにある必要はありません。必要なVLANは後でFlex-Profileに追加され、AP自体にVLANが作成されます。
- Advanceタブで、Allow AAA Overrideチェックボックスにチェックマークを付けて、RADIUSサーバによってWLCの設定が上書きされるようにします。

FlexconnectポリシープロファイルをWLANとポリシータグに割り当てる
注:ポリシータグは、WLANとポリシープロファイルをリンクするために使用されます。新しいポリシータグを作成するか、default-policy タグを使用します。
- Configuration > Tags & Profiles > Tags > Policyの順に移動し、必要に応じて新しいプロファイルを追加します。
- Policy Tagの名前を入力し、「add」ボタンをクリックします。
- WLAN プロファイルを目的のポリシープロファイルにリンクします。
- Apply to Deviceボタンをクリックします。

Flex Profileの設定
FlexConnect AP上でRADIUSを介してVLAN IDを動的に割り当てるには、RADIUS応答のTunnel-Private-Group ID属性に示されているVLAN IDがアクセスポイント上にあることが必要です。VLANはFlexプロファイルで設定されます。
- Configuration > Tags & Profiles > Flex > + Addの順に選択します。

- Generalタブをクリックして、Flexプロファイルの名前を割り当て、APのネイティブVLAN IDを設定します。

注:ネイティブVLAN IDはAPの管理VLANを示すため、APが接続されているスイッチのネイティブVLAN設定と一致する必要があります
- VLANタブに移動し、「Add」ボタンをクリックして必要なすべてのVLANを入力します。

注:「FlexConnectポリシープロファイルの設定」の項のステップ3で、SSIDに割り当てられたデフォルトのVLANを設定しました。この手順でVLAN名を使用する場合は、Flex Profile設定で同じVLAN名を使用していることを確認してください。そうしないと、クライアントはWLANに接続できません。
Flex Siteタグの設定
- Configuration > Tags & Profiles > Tags > Site > +Addの順に移動し、新しいサイトタグを作成します。
- Enable Local Siteボックスの選択を解除して、APがクライアントデータトラフィックをローカルにスイッチして、Configure the Flex Profileセクションで作成したFlex Profileを追加できるようにします。

ポリシーとサイトタグをAPに割り当てます。
- Configuration > Wireless > Access Points > AP Name > General Tagsの順に移動し、関連するポリシーとサイトタグを割り当て、Update & Apply to Deviceをクリックします。

注意:APのポリシーとサイトタグを変更すると、APがWLCから切断されてから再接続されるので注意してください。
注:APがローカルモード(または他のモード)に設定されていて、「ローカルサイトを有効にする」設定が無効になっているサイトタグを取得する場合、APはリブートしてFlexConnectモードに戻ります
確認
このセクションでは、設定が正常に動作していることを確認します。
ダイナミックVLAN割り当てを返すことができるISEで定義された適切なEAPプロトコルとクレデンシャルを使用して、テストクライアントのSSIDプロファイルを設定します。ユーザ名とパスワードの入力を求められたら、ISEのVLANにマッピングされたユーザの情報を入力します。
前の例では、RADIUSサーバで指定されているように、smith-102がVLAN102に割り当てられていることに注目してください。この例では、認証を受信し、RADIUSサーバによってVLANに割り当てられるために、次のユーザ名を使用します。
認証が完了したら、送信されたRADIUSアトリビュートに従ってクライアントが適切なVLANに割り当てられていることを確認する必要があります。この作業を行うには、次の手順を実行します。
- コントローラのGUIで、
Monitoring > Wireless > Clients > Select the client MAC address > General > Security Information
の順に移動し、図に示すようにVLANフィールドを探します。

このウィンドウから、RADIUSサーバで設定されたRADIUSアトリビュートに従って、このクライアントがVLAN102に割り当てられていることがわかります。
CLIでは、show wireless client summary detail
を使用して、図に示すように同じ情報を表示できます。

放射性トレース
を有効にして、RADIUSアトリビュートがWLCに正常に転送されるようにすることができます。そのためには、次の手順を実行します。
- コントローラのGUIで、
Troubleshooting > Radioactive Trace > +Add
の順に移動します。
- ワイヤレスクライアントのMACアドレスを入力します。
Start
を選択します。
- クライアントをWLANに接続します。
Stop > Generate > 10 minutes > Apply to Device > Select the trace file to download the log
の順に移動します。
トレース出力のこの部分は、RADIUSアトリビュートの正常な送信を保証します。
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: User-Name [1] 13 "smith-102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: State [24] 40 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Class [25] 54 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Type [64] 6 VLAN [13]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Medium-Type [65] 6 ALL_802 [6]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Message [79] 6 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Message-Authenticator[80] 18 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Private-Group-Id[81] 6 "102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Key-Name [102] 67 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Send-Key [16] 52 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Recv-Key [17] 52 *
2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : username 0 "smith-102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : class 0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30 ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-type 1 13 [vlan] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-medium-type 1 6 [ALL_802] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id 1 "102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : timeout 0 1800 (0x708) ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile
トラブルシュート
現在、この設定に関する特定のトラブルシューティング情報はありません。
関連情報