この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、ダイナミック VLAN 割り当ての概念について説明します。
このドキュメントでは、ワイヤレスLAN(WLAN)クライアントを特定のVLANに動的に割り当てるために、ワイヤレスLANコントローラ(WLC)とIdentity Services Engine(ISE)サーバを設定する方法について説明します。
次の項目に関する知識があることが推奨されます。
ワイヤレスLANコントローラ(WLC)とLightweightアクセスポイント(LAP)に関する基本的な知識
ISEなどの認証、許可、アカウンティング(AAA)サーバの機能知識
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
ファームウェア リリース 8.8.111.0 が稼働する Cisco 5520 シリーズ WLC
Cisco 4800 シリーズ AP
ネイティブWindowsサプリカントおよびAnyconnect NAM
Cisco Secure ISE バージョン 2.3.0.298
ドメイン コントローラとして設定された Microsoft Windows 2016 Server
Cisco 2950 シリーズ スイッチバージョン 15.2(4)E1
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
一般的な WLAN システムでは、Service Set Identifier(SSID)(コントローラの用語では WLAN)に関連付けられたすべてのクライアントに適用されるスタティックなポリシーが各 WLAN に存在します。この方式は強力ですが、異なる QoS ポリシーやセキュリティ ポリシーを継承するために各クライアントを異なる SSID に関連付ける必要があるので、さまざまな制約があります。
Cisco WLANソリューションは、アイデンティティネットワーキングのサポートによって、この制限に対処します。 これにより、ネットワークは単一のSSIDをアドバタイズできますが、ユーザクレデンシャルに基づいて、特定のユーザが異なるQoS、VLAN属性、セキュリティポリシーを継承できるようになります。
ダイナミック VLAN 割り当ては、ユーザが入力したクレデンシャルに基づいてワイヤレス ユーザを特定の VLAN に割り当てる機能です。ユーザを特定のVLANに割り当てるタスクは、Cisco ISEなどのRADIUS認証サーバによって処理されます。たとえば、これを利用すると、キャンパス ネットワーク内を移動するワイヤレス ホストを同じ VLAN に割り当てることができます。
Cisco ISEサーバは、内部データベースを含む複数のデータベースの1つに対してワイヤレスユーザを認証します。例:
Active Directory
汎用の Lightweight Directory Access Protocol(LDAP)
Open Database Connectivity(ODBC)に準拠したリレーショナル データベース
Rivest, Shamir, and Adelman(RSA)SecurID トークン サーバ
RADIUS に準拠したトークン サーバ
Cisco ISE 認証プロトコルとサポートされている外部 ID ソースには、ISE 内部および外部データベースでサポートされるさまざまな認証プロトコルが記載されています。
このドキュメントでは、Windows Active Directory(AD)外部データベースを使用するワイヤレスユーザの認証について説明します。
認証に成功すると、ISEはWindowsデータベースからそのユーザのグループ情報を取得し、そのユーザをそれぞれの認可プロファイルに関連付けます。
クライアントがコントローラに登録されているLAPとの関連付けを試みると、LAPは、それぞれのEAP方式を使用してユーザのクレデンシャルをWLCに渡します。
WLCは(EAPをカプセル化した)RADIUSプロトコルを使用してこれらのクレデンシャルをISEに送信し、ISEはKERBEROSプロトコルを使用した検証のためにユーザのクレデンシャルをADに渡します。
AD では、そのユーザークレデンシャルを検証し、認証に成功した場合は ISE に通知します。
認証に成功すると、ISE サーバーから WLC に特定の Internet Engineering Task Force(IETF)属性が渡されます。これらのRADIUS属性によって、ワイヤレスクライアントに割り当てる必要があるVLAN IDが決まります。ユーザはこの事前設定済みの VLAN ID に常に割り当てられるので、クライアントの SSID(WLC の用語では WLAN)は無視されます。
VLAN ID の割り当てに使用される RADIUS ユーザ属性は次のとおりです。
IETF 64(トンネルタイプ)—これをVLANに設定します
IETF 65(トンネルミディアムタイプ)—802に設定します
IETF 81(トンネルプライベートグループID)—これをVLAN IDに設定します
VLAN ID は 12 ビットで、1 ~ 4094 の値(両端の値を含む)を取ります。RFC 2868 で定義されているように、IEEE 802.1X で使用される Tunnel-Private-Group-ID は文字列型であるため、VLAN ID の整数値は文字列としてエンコードされます。これらのトンネル属性が送信される際には、Tag フィールドの値を設定する必要があります。
RFC 2868のセクション3.1で述べられているように、Tagフィールドは長さが1オクテットで、同じトンネルを参照する同じパケット内の属性をグループ化する手段を提供することを目的としています。このフィールドで有効な値は、0x01 ~ 0x1F(両端を含む)です。Tag フィールドを使用しない場合は、このフィールドをゼロ(0x00)に設定する必要があります。すべての RADIUS 属性の詳細は、RFC 2868 を参照してください。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供します。
この図で使用されているコンポーネントの設定の詳細は、次のとおりです。
ISE(RADIUS)サーバのIPアドレスは10.48.39.128です。
WLC の管理インターフェイスおよび AP マネージャ インターフェイスのアドレスは 10.48.71.20 です。
DHCPサーバはLANネットワークにあり、クライアントプールごとに設定されます。図には示されていません。
VLAN1477 と VLAN1478 は、この設定全体で使用されます。Marketing部門のユーザはVLAN1477に配置されるように設定され、HR部門のユーザはRADIUSサーバによってVLAN1478に配置されるように設定されます 両方のユーザが同じSSID(office_hq)に接続する場合を参照。
VLAN1477:192.168.77.0/24ゲートウェイ:192.168.77.1 VLAN1478:192.168.78.0/24ゲートウェイ:192.168.78.1
このドキュメントでは、802.1xと PEAP-mschapv2
セキュリティメカニズムとして使用されます
注:WLANを保護するために、EAP-FASTやEAP-TLS認証などの高度な認証方式を使用することを推奨します。
これらの前提は、この設定を実行する前に実施済みです。
LAPはすでにWLCに登録されています
DHCPサーバにDHCPスコープが割り当てられている
このドキュメントでは、ワイヤレス側で必要な設定について説明し、有線ネットワークが確立されていることを前提としています
ISE と AD のグループマッピングに基づいて、WLC でダイナミック VLAN 割り当てを行うには、次の手順を実行する必要があります。
Administration > Identity management > External Identity Sources > Active directory
を参照。wlaaan.com
およびjoinpointは次のように指定されます AD.wlaaan.com
- ISEへのローカルで有効な名前。Submit
ボタンが押され、ISEをすぐにADに参加させるかどうかを尋ねられます。プレス Yes
Active Directoryユーザクレデンシャルと、ドメインに新しいホストを追加するための管理者権限を提供します。Diagnostic Tool
AD接続に必要なテストを実行します。Administration > Identity management > External Identity Sources > Active directory >
> Groups
をクリックし、 Add
を選択して Select Groups from Active Directory
を参照。OK
を参照。Save
を参照。Administration > Network Resources > Network Devices
およびプレス Add
を参照。Policy > Policy Elements > Results > Authorization > Authorization profiles
をクリックし、 Add
ボタンをクリックします。Marketing
グループの設定。Custom
または、 Default
ポリシーセット。この例では、デフォルトポリシーセットが変更されます。移動先 Policy > Policy Sets > Default
を参照。デフォルトでは dot1x
ISEが使用する認証タイプ All_User_ID_Stores
ADはADのアイデンティティソースリストの一部であるため、現在のデフォルト設定でも機能しますが、 All_User_ID_Stores
この例では、より具体的なルールを使用します WLC_lab
それぞれのLABコントローラでADを唯一の認証ソースとして使用します。Authorization policy
この要件を満たすためのポリシーを作成します。Security > AAA > RADIUS > Authentication
セクションを参照し、ISE IPアドレスと共有秘密情報を提供します。office_hq
の下で WLANs
セクションを参照してください。この例では、 WPA2/AES+dot1x
AAAオーバーライドを設定します。インターフェイス Dummy
適切なVLANはRADIUS経由で割り当てられるため、WLAN用に選択されます。このダミーインターフェイスをWLC上に作成し、IPアドレスを割り当てる必要がありますが、IPアドレスが有効である必要はなく、またVLANが配置されているVLANをアップリンクスイッチに作成することもできないため、VLANが割り当てられていない場合、クライアントはどこにも移動できません。Controller > Interfaces
UIメニュー。 WLC は、その VLAN にダイナミックインターフェイスがある場合にのみ、AAA 経由で受信した VLAN の割り当てを受け入れます。接続をテストするには、Windows 10ネイティブサプリカントとAnyconnect NAMを使用します。
EAP-PEAP認証を使用しており、ISEが自己署名証明書(SSC)を使用しているため、証明書の警告に同意するか、証明書の検証を無効にする必要があります。企業環境では、ISEで署名付きの信頼できる証明書を使用し、エンドユーザデバイスに適切なルート証明書が信頼できるCAリストにインストールされていることを確認する必要があります。
Windows 10およびネイティブサプリカントとの接続をテストします。
Network & Internet settings > Wi-Fi > Manage known networks
新しいネットワークプロファイルを作成するには、 Add new network
ボタン。必要な情報を入力します。show client dertails
:show client detail f4:8c:50:62:14:6b Client MAC Address............................... f4:8c:50:62:14:6b Client Username ................................. Bob Client Webauth Username ......................... N/A Hostname: ....................................... Device Type: .................................... Intel-Device AP MAC Address................................... 70:69:5a:51:4e:c0 AP Name.......................................... AP4C77.6D9E.6162 AP radio slot Id................................. 1 Client State..................................... Associated User Authenticated by ........................... RADIUS Server Client User Group................................ Bob Client NAC OOB State............................. Access Wireless LAN Id.................................. 3 Wireless LAN Network Name (SSID)................. office_hq Wireless LAN Profile Name........................ office_hq Hotspot (802.11u)................................ Not Supported Connected For ................................... 242 secs BSSID............................................ 70:69:5a:51:4e:cd Channel.......................................... 36 IP Address....................................... 192.168.78.36 Gateway Address.................................. 192.168.78.1 Netmask.......................................... 255.255.255.0 ... Policy Manager State............................. RUN ... EAP Type......................................... PEAP Interface........................................ vlan1478 VLAN............................................. 1478 Quarantine VLAN.................................. 0 Access VLAN...................................... 1478
Windows 10およびAnyconnect NAMとの接続をテストします。
show client dertails
:Client MAC Address............................... f4:8c:50:62:14:6b Client Username ................................. Alice Client Webauth Username ......................... N/A Hostname: ....................................... Device Type: .................................... Intel-Device AP MAC Address................................... 70:69:5a:51:4e:c0 AP Name.......................................... AP4C77.6D9E.6162 AP radio slot Id................................. 1 Client State..................................... Associated User Authenticated by ........................... RADIUS Server Client User Group................................ Alice Client NAC OOB State............................. Access Wireless LAN Id.................................. 3 Wireless LAN Network Name (SSID)................. office_hq Wireless LAN Profile Name........................ office_hq Hotspot (802.11u)................................ Not Supported Connected For ................................... 765 secs BSSID............................................ 70:69:5a:51:4e:cd Channel.......................................... 36 IP Address....................................... 192.168.77.32 Gateway Address.................................. 192.168.77.1 Netmask.......................................... 255.255.255.0 ... Policy Manager State............................. RUN ... Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... PEAP Interface........................................ vlan1477 VLAN............................................. 1477
test aaa radius username
password
wlan-id
WLCとISEの間のRADIUS接続をテストし、 test aaa show radius
結果を表示します。test aaa radius username Alice password <removed> wlan-id 2 Radius Test Request Wlan-id........................................ 2 ApGroup Name................................... none Attributes Values ---------- ------ User-Name Alice Called-Station-Id 00-00-00-00-00-00:AndroidAP Calling-Station-Id 00-11-22-33-44-55 Nas-Port 0x00000001 (1) Nas-Ip-Address 10.48.71.20 NAS-Identifier 0x6e6f (28271) Airespace / WLAN-Identifier 0x00000002 (2) User-Password cisco!123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Cisco / Audit-Session-Id 1447300a0000003041d5665c Acct-Session-Id 5c66d541/00:11:22:33:44:55/743 test radius auth request successfully sent. Execute 'test aaa show radius' for response (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 2 ApGroup Name................................... none Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.48.39.128 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name Alice State ReauthSession:1447300a0000003041d5665c Class CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59 Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x000005c5 (1477) (Cisco Controller) >
debug client
ワイヤレスクライアントの接続の問題をトラブルシューティングします。debug aaa all enable
WLCの認証と認可の問題をトラブルシューティングします。注:このコマンドは、 debug mac addr
デバッグを行うMACアドレスに基づいて出力を制限します。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
19-Sep-2007 |
初版 |