ISEからActive Directoryへのグループマップに基づくWLCを使用したダイナミックVLAN割り当ての設定

Updated: 2019 年 5 月 31 日
Document ID:99121

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、ダイナミック VLAN 割り当ての概念について説明します。

    前提条件

    このドキュメントでは、ワイヤレスLAN(WLAN)クライアントを特定のVLANに動的に割り当てるために、ワイヤレスLANコントローラ(WLC)とIdentity Services Engine(ISE)サーバを設定する方法について説明します。

    要件

    次の項目に関する知識があることが推奨されます。

    • ワイヤレスLANコントローラ(WLC)とLightweightアクセスポイント(LAP)に関する基本的な知識

    • ISEなどの認証、許可、アカウンティング(AAA)サーバの機能知識

    • ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識
    • ダイナミックVLAN割り当てに関する機能的かつ構成可能な知識
    • Microsoft Windows ADサービス、およびドメインコントローラとDNSの概念に関する基本的な知識
    • アクセスポイントプロトコルのコントロールとプロビジョニング(CAPWAP)に関する基礎知識

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • ファームウェア リリース 8.8.111.0 が稼働する Cisco 5520 シリーズ WLC

    • Cisco 4800 シリーズ AP

    • ネイティブWindowsサプリカントおよびAnyconnect NAM

    • Cisco Secure ISE バージョン 2.3.0.298

    • ドメイン コントローラとして設定された Microsoft Windows 2016 Server

    • Cisco 2950 シリーズ スイッチバージョン 15.2(4)E1

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    表記法

    表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

      

    RADIUS サーバによるダイナミック VLAN 割り当て

    一般的な WLAN システムでは、Service Set Identifier(SSID)(コントローラの用語では WLAN)に関連付けられたすべてのクライアントに適用されるスタティックなポリシーが各 WLAN に存在します。この方式は強力ですが、異なる QoS ポリシーやセキュリティ ポリシーを継承するために各クライアントを異なる SSID に関連付ける必要があるので、さまざまな制約があります。

    Cisco WLANソリューションは、アイデンティティネットワーキングのサポートによって、この制限に対処します。 これにより、ネットワークは単一のSSIDをアドバタイズできますが、ユーザクレデンシャルに基づいて、特定のユーザが異なるQoS、VLAN属性、セキュリティポリシーを継承できるようになります。

    ダイナミック VLAN 割り当ては、ユーザが入力したクレデンシャルに基づいてワイヤレス ユーザを特定の VLAN に割り当てる機能です。ユーザを特定のVLANに割り当てるタスクは、Cisco ISEなどのRADIUS認証サーバによって処理されます。たとえば、これを利用すると、キャンパス ネットワーク内を移動するワイヤレス ホストを同じ VLAN に割り当てることができます。

    Cisco ISEサーバは、内部データベースを含む複数のデータベースの1つに対してワイヤレスユーザを認証します。例:

    • 内部 DB

    • Active Directory

    • 汎用の Lightweight Directory Access Protocol(LDAP)

    • Open Database Connectivity(ODBC)に準拠したリレーショナル データベース

    • Rivest, Shamir, and Adelman(RSA)SecurID トークン サーバ

    • RADIUS に準拠したトークン サーバ

    Cisco ISE 認証プロトコルとサポートされている外部 ID ソースには、ISE 内部および外部データベースでサポートされるさまざまな認証プロトコルが記載されています。

    このドキュメントでは、Windows Active Directory(AD)外部データベースを使用するワイヤレスユーザの認証について説明します。

    認証に成功すると、ISEはWindowsデータベースからそのユーザのグループ情報を取得し、そのユーザをそれぞれの認可プロファイルに関連付けます。

    クライアントがコントローラに登録されているLAPとの関連付けを試みると、LAPは、それぞれのEAP方式を使用してユーザのクレデンシャルをWLCに渡します。

    WLCは(EAPをカプセル化した)RADIUSプロトコルを使用してこれらのクレデンシャルをISEに送信し、ISEはKERBEROSプロトコルを使用した検証のためにユーザのクレデンシャルをADに渡します。

    AD では、そのユーザークレデンシャルを検証し、認証に成功した場合は ISE に通知します。

    認証に成功すると、ISE サーバーから WLC に特定の Internet Engineering Task Force(IETF)属性が渡されます。これらのRADIUS属性によって、ワイヤレスクライアントに割り当てる必要があるVLAN IDが決まります。ユーザはこの事前設定済みの VLAN ID に常に割り当てられるので、クライアントの SSID(WLC の用語では WLAN)は無視されます。

    VLAN ID の割り当てに使用される RADIUS ユーザ属性は次のとおりです。

    • IETF 64(トンネルタイプ)これをVLANに設定します

    • IETF 65(トンネルミディアムタイプ)802に設定します

    • IETF 81(トンネルプライベートグループID)これをVLAN IDに設定します

    VLAN ID は 12 ビットで、1 ~ 4094 の値(両端の値を含む)を取ります。RFC 2868 で定義されているように、IEEE 802.1X で使用される Tunnel-Private-Group-ID は文字列型であるため、VLAN ID の整数値は文字列としてエンコードされます。これらのトンネル属性が送信される際には、Tag フィールドの値を設定する必要があります。

    RFC 2868のセクション3.1で述べられているように、Tagフィールドは長さが1オクテットで、同じトンネルを参照する同じパケット内の属性をグループ化する手段を提供することを目的としています。このフィールドで有効な値は、0x01 ~ 0x1F(両端を含む)です。Tag フィールドを使用しない場合は、このフィールドをゼロ(0x00)に設定する必要があります。すべての RADIUS 属性の詳細は、RFC 2868 を参照してください。

    設定

    このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供します。

    ネットワーク図

    Network Diagram - DVLAN

    コンフィギュレーション

    この図で使用されているコンポーネントの設定の詳細は、次のとおりです。

    • ISE(RADIUS)サーバのIPアドレスは10.48.39.128です。

    • WLC の管理インターフェイスおよび AP マネージャ インターフェイスのアドレスは 10.48.71.20 です。

    • DHCPサーバはLANネットワークにあり、クライアントプールごとに設定されます。図には示されていません。

    • VLAN1477 と VLAN1478 は、この設定全体で使用されます。Marketing部門のユーザはVLAN1477に配置されるように設定され、HR部門のユーザはRADIUSサーバによってVLAN1478に配置されるように設定されます 両方のユーザが同じSSID(office_hq)に接続する場合を参照。

      VLAN1477:192.168.77.0/24ゲートウェイ:192.168.77.1 VLAN1478:192.168.78.0/24ゲートウェイ:192.168.78.1 

    • このドキュメントでは、802.1xと PEAP-mschapv2 セキュリティメカニズムとして使用されます

    note-icon

    :WLANを保護するために、EAP-FASTやEAP-TLS認証などの高度な認証方式を使用することを推奨します。

    これらの前提は、この設定を実行する前に実施済みです。

    • LAPはすでにWLCに登録されています

    • DHCPサーバにDHCPスコープが割り当てられている

    • ネットワーク内のすべてのデバイス間にレイヤ3接続が存在する

    • このドキュメントでは、ワイヤレス側で必要な設定について説明し、有線ネットワークが確立されていることを前提としています

    • それぞれのユーザとグループはADで設定されます

    ISE と AD のグループマッピングに基づいて、WLC でダイナミック VLAN 割り当てを行うには、次の手順を実行する必要があります。

    1. ISE と AD の統合および ISE でのユーザー認証と認証ポリシーの設定.
    2. SSID「office_hq」のdot1x認証およびAAAオーバーライドをサポートするためのWLC設定。
    3. エンドクライアントのサプリカントの設定.

    ISE と AD の統合および ISE でのユーザー認証と認証ポリシーの設定

    1. adminアカウントを使用してISE Web UIインターフェイスにログインします。
    2. 移動先 Administration > Identity management > External Identity Sources > Active directoryを参照。

      Create a New Active Directory Join Point

    3. Addをクリックし、Active Directory Join Point Name設定からドメイン名とIDストア名を入力します。この例では、ISEはドメインに登録されています wlaaan.com およびjoinpointは次のように指定されます AD.wlaaan.com - ISEへのローカルで有効な名前。

      AD Name

    4. ポップアップウィンドウが開くのは Submit ボタンが押され、ISEをすぐにADに参加させるかどうかを尋ねられます。プレス Yes Active Directoryユーザクレデンシャルと、ドメインに新しいホストを追加するための管理者権限を提供します。

      AD Admin Username

    5. この後、ISEがADに正常に登録されている必要があります。

      Active Directory Identity Source

      登録プロセスに問題がある場合は、 Diagnostic Tool  AD接続に必要なテストを実行します。
    6. それぞれの認可プロファイルを割り当てるために使用されるアクティブなディレクトリのグループを取得する必要があります。移動先 Administration > Identity management > External Identity Sources > Active directory > > Groups をクリックし、 Add を選択して Select Groups from Active Directoryを参照。

      New AD Group Map

    7. 新しいポップアップウィンドウが開き、特定のグループを取得するためのフィルタを指定するか、ADからすべてのグループを取得することができます。
      ADグループリストからそれぞれのグループを選択し、 OKを参照。

      Choose AD Groups

    8. それぞれのグループはISEに追加され、保存できます。プレス Saveを参照。

      AD Groups

    9. ISEネットワークデバイスリストへのWLCの追加:に移動します。 Administration > Network Resources > Network Devices およびプレス Addを参照。
      WLC と ISE 間の WLC 管理 IP アドレスと RADIUS 共有秘密を指定して、設定を完了します。

      Add WLC as Network Device

    10. ISEをADに参加させ、WLCをデバイスリストに追加した後、ユーザの認証および認可ポリシーの設定を開始できます。
      • MarketingからVLAN1477に、またHRグループからVLAN1478にユーザを割り当てるには、許可プロファイルを作成します。
        移動先 Policy > Policy Elements > Results > Authorization > Authorization profiles をクリックし、 Add ボタンをクリックします。

        Standard Authorization Profiles

      • 各グループのVLAN情報を使用して、認可プロファイルの設定を完了します。この例は次のとおりです Marketing グループの設定。

        Create New Authorization Profile

        他のグループについても同様の設定を行い、それぞれのVLANタグ属性を設定する必要があります。
      • 認可プロファイルを設定した後は、ワイヤレスユーザの認証ポリシーを定義できます。これは、次のいずれかを設定して実行できます。 Custom または、 Default ポリシーセット。この例では、デフォルトポリシーセットが変更されます。移動先 Policy > Policy Sets > Defaultを参照。デフォルトでは dot1x ISEが使用する認証タイプ All_User_ID_StoresADはADのアイデンティティソースリストの一部であるため、現在のデフォルト設定でも機能しますが、 All_User_ID_Storesこの例では、より具体的なルールを使用します WLC_lab それぞれのLABコントローラでADを唯一の認証ソースとして使用します。

        ISE Policy Set

      • 次に、グループメンバーシップに基づいてそれぞれの認可プロファイルを割り当てるユーザの認可ポリシーを作成する必要があります。移動先 Authorization policy この要件を満たすためのポリシーを作成します。

        Authorization Policy

    SSID「office_hq」のdot1x認証およびAAAオーバーライドをサポートするWLC設定

    1. ISEをWLC上のRADIUS認証サーバとして設定します。移動先 Security > AAA > RADIUS > Authentication  セクションを参照し、ISE IPアドレスと共有秘密情報を提供します。

      New RADIUS Server Details

    2. SSID の設定 office_hq の下で WLANs セクションを参照してください。この例では、 WPA2/AES+dot1x AAAオーバーライドを設定します。インターフェイス Dummy 適切なVLANはRADIUS経由で割り当てられるため、WLAN用に選択されます。このダミーインターフェイスをWLC上に作成し、IPアドレスを割り当てる必要がありますが、IPアドレスが有効である必要はなく、またVLANが配置されているVLANをアップリンクスイッチに作成することもできないため、VLANが割り当てられていない場合、クライアントはどこにも移動できません。

      Create a New WLAN

      WLAN Name

      Enable the WLAN and Set an Interface

      WLAN Layer2 Security Settings

      Configure AAA Servers for the WLAN

      Enable AAA Override

    3. また、ユーザVLAN用のダイナミックインターフェイスをWLC上に作成する必要もあります。移動先 Controller > Interfaces UIメニュー。 WLC は、その VLAN にダイナミックインターフェイスがある場合にのみ、AAA 経由で受信した VLAN の割り当てを受け入れます。

      Create a Dynamic Interface

    確認

    接続をテストするには、Windows 10ネイティブサプリカントとAnyconnect NAMを使用します。

    EAP-PEAP認証を使用しており、ISEが自己署名証明書(SSC)を使用しているため、証明書の警告に同意するか、証明書の検証を無効にする必要があります。企業環境では、ISEで署名付きの信頼できる証明書を使用し、エンドユーザデバイスに適切なルート証明書が信頼できるCAリストにインストールされていることを確認する必要があります。

    Windows 10およびネイティブサプリカントとの接続をテストします。

    1. 開く Network & Internet settings > Wi-Fi > Manage known networks  新しいネットワークプロファイルを作成するには、 Add new network  ボタン。必要な情報を入力します。

      WinSUP1

    2. ISEの認証ログを確認し、ユーザに対して適切なプロファイルが選択されていることを確認します。

      Check the authentication log on ISE

    3. WLCでクライアントエントリをチェックし、エントリが正しいVLANに割り当てられ、RUN状態であることを確認します。

      Wireless Client Entry

    4. WLC CLIから、クライアントのステータスを show client dertails :

       
      show client detail f4:8c:50:62:14:6b 
Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Bob
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Bob
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 242 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.78.36
Gateway Address.................................. 192.168.78.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
EAP Type......................................... PEAP
Interface........................................ vlan1478
VLAN............................................. 1478
Quarantine VLAN.................................. 0
Access VLAN...................................... 1478

    Windows 10およびAnyconnect NAMとの接続をテストします。

    1. 使用可能なSSIDのリストからSSIDを選択し、それぞれのEAP認証タイプ(この例ではPEAP)と内部認証フォームを選択します。

      Anyconnect NAM

    2. ユーザー認証の対象となるユーザー名とパスワードを入力します。

      Anyconnect NAM

    3. ISEはSSCをクライアントに送信するため、証明書を信頼することを手動で選択する必要があります(実稼働環境では、信頼できる証明書をISEにインストールすることを強く推奨します)。

      Anyconnect NAM

    4. ISEの認証ログをチェックし、ユーザに対して適切な認可プロファイルが選択されていることを確認します。

      Wireless Client Authorization Status

    5. WLCでクライアントエントリをチェックし、エントリが正しいVLANに割り当てられ、RUN状態であることを確認します。

      Wireless Client shows as Authenticated

    6. WLC CLIから、クライアントのステータスを show client dertails :

       
      Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Alice
Client Webauth Username ......................... N/A
Hostname: ....................................... 
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162  
AP radio slot Id................................. 1  
Client State..................................... Associated     
User Authenticated by ........................... RADIUS Server
Client User Group................................ Alice
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3  
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 765 secs
BSSID............................................ 70:69:5a:51:4e:cd  
Channel.......................................... 36 
IP Address....................................... 192.168.77.32
Gateway Address.................................. 192.168.77.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... PEAP
Interface........................................ vlan1477
VLAN............................................. 1477

    トラブルシュート

    1.  test aaa radius username  password  wlan-id    WLCとISEの間のRADIUS接続をテストし、 test aaa show radius 結果を表示します。

      test aaa radius username Alice password <removed> wlan-id 2

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  Called-Station-Id               00-00-00-00-00-00:AndroidAP
  Calling-Station-Id              00-11-22-33-44-55
  Nas-Port                        0x00000001 (1)
  Nas-Ip-Address                  10.48.71.20
  NAS-Identifier                  0x6e6f (28271)
  Airespace / WLAN-Identifier     0x00000002 (2)
  User-Password                   cisco!123 
  Service-Type                    0x00000008 (8)
  Framed-MTU                      0x00000514 (1300)
  Nas-Port-Type                   0x00000013 (19)
  Cisco / Audit-Session-Id        1447300a0000003041d5665c
  Acct-Session-Id                 5c66d541/00:11:22:33:44:55/743



test radius auth request successfully sent. Execute 'test aaa show radius' for response

(Cisco Controller) >test aaa show radius 

Radius Test Request
  Wlan-id........................................ 2
  ApGroup Name................................... none
Radius Test Response

Radius Server            Retry Status
-------------            ----- ------
10.48.39.128             1     Success

Authentication Response:
  Result Code: Success

  Attributes                      Values    
  ----------                      ------    
  User-Name                       Alice     
  State                           ReauthSession:1447300a0000003041d5665c
  Class                           CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59
  Tunnel-Type                     0x0000000d (13)
  Tunnel-Medium-Type              0x00000006 (6)
  Tunnel-Group-Id                 0x000005c5 (1477)



(Cisco Controller) >
    2.  debug client  ワイヤレスクライアントの接続の問題をトラブルシューティングします。
    3.  debug aaa all enable WLCの認証と認可の問題をトラブルシューティングします。

      note-icon

      :このコマンドは、 debug mac addr デバッグを行うMACアドレスに基づいて出力を制限します。

    4.  認証の失敗とAD通信の問題の特定については、ISEのライブログとセッションログを参照してください。

    更新履歴

    改定 発行日 コメント
    1.0
    19-Sep-2007
    初版
    TAC Authored

    シスコ エンジニア提供

    • ローマンマンチュール
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています