Catalyst 9800 ワイヤレス コントローラおよび ISE 設定例の中央 Web 認証(CWA)
目次
概要
この資料にグラフィックユーザインターフェイス(GUI)または Command Line Interface (CLI)によっての本部 Web 認証 Wireless Local Area Network (WLAN)を Catalyst 9800 シリーズ ワイヤレス コントローラ(9800 WLC)設定する方法を記述されています。
前提条件
要件
次の項目に関する知識が推奨されます。
- 9800 WLC 設定
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- 9800 WLC IOS XE ジブラルタル v16.12
- 識別 サービス エンジン(ISE) v2.4
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
設定
ネットワーク図
設定
9800 WLC の AAA設定
ステップ 1. ISE サーバを 9800 WLC 設定に追加し、認証方式リストを作成して下さい
設定 > Security > AAA > サーバ/グループ > RADIUS > サーバへのナビゲートは > + RADIUSサーバの情報を追加し、入力します。
中央 Web 認証(か CoA を必要とする種類のセキュリティを)将来使用するために計画する場合 CoA のためのサポートを有効に されます確認して下さい。
ステップ 2.認証方式リストを作成して下さい。
AAA 方式 list> 認証 > Add をクリックして下さい
型として dot1x を選択しました
この例は RADIUSサーバのグローバル リストを選択したもので、またもし必要なら特定の RADIUSサーバ グループを設定できます。
ステップ 3.許可の方式リストを作成して下さい
設定 > Security > AAA > AAA メソッドリスト > 許可へのナビゲートは > + 追加します
ステップ 4 (オプションの)。 アカウンティング方式リストを作成して下さい
ステップ 5 (オプションの)
プロセスの ISE 以降のこの条件を活用 したいと思う場合役立ちます呼出ステーション ID アトリビュートとして SSID 名前を送信するために AAA ポリシーを定義できます。
> ワイヤレス AAA ポリシーは設定 > Security に行き、デフォルト AAA ポリシーを編集するか、または新しいものを作成して下さい。
SSID だけを chosing 時でさえ、被呼局 ID がまだ SSID 名前への AP MAC アドレスを追加 することオプション 1.として『SSID』 を選択 しました意識しますできます。
WLAN 設定
ステップ 1. WLAN を作成して下さい
GUI:
設定 > ワイヤレス > WLAN へのナビゲートは必要に応じて > + ネットワークを追加し、設定します。
ステップ 2. WLAN 情報を入力して下さい
ステップ 3. Security タブにナビゲート し、必要なセキュリティ 方式を選択して下さい。 この場合 AAA設定 セクションのステップ 2 で作成したリストおよび MAC フィルタリングだけ。
ステップ 4. AAA タブにナビゲート し、また認証方式を選択して下さい(以前に作成される)。
CLI:
# config t
(config)#wlan cwa-ssid 2 cwa-ssid
(config-wlan)#mac-filtering CWAautz
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#security dot1x authentication-list CWA
(config-wlan)#no shutdown
ポリシー プロファイル設定
ポリシー プロファイルの中でどのに VLAN がクライアントを割り当てるか他の設定間で決定できます(アクセスコントロール アクセス・コントロール・リスト[ACL]、Quality of Service(QoS) [QoS]、モビリティ固定、タイマーのように等)。
デフォルトポリシー プロファイルを使用できますまたは新しいの作成できます。
GUI:
ステップ 1.新しいポリシー プロファイルを作成して下さい
設定 > タグへのナビゲート及びプロファイル > ポリシーはおよびデフォルト ポリシー プロファイルを設定するか、または新しいものを作成します。
プロファイルを有効に されます確認して下さい。
ステップ 2. VLAN を選択して下さい
アクセスポリシー タブにナビゲート し、ドロップするから VLAN 名前を選択するか、または手動で VLAN-ID をタイプして下さい
ステップ 3. ISE オーバーライド(割り当て AAA 上書きする)および許可(CoA)の変更を(NAC 状態)受け入れるためにポリシー プロファイルを設定して下さい。 オプションでアカウント 方式を規定もできます。
CLI:
# config # wireless profile policy <policy-profile-name> # aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown
ポリシー タグ 設定
ポリシーの中でタグはポリシー プロファイルと SSID をリンクするところにです。 新しいポリシー タグを作成するか、またはデフォルトポリシー タグを使用できます。
GUI:
設定 > タグ及びプロファイルへのナビゲートは > > ポリシー タグ付けし、もし必要なら新しいものを追加します。
望ましいポリシー プロファイルに WLAN プロファイルをリンクして下さい。
CLI:
# config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name>
ポリシー タグ 割り当て
必要な AP にポリシー タグを割り当てて下さい。
GUI:
次にタグを設定 > ワイヤレス > アクセス ポイント > AP 名前に 1 AP ナビゲートに割り当てるために > 一般のタグはデバイスに、必要な割り当てを作り、『Update』 をクリック しましたり及び適用します。
同じポリシー タグを設定 > ワイヤレスに複数の AP ナビゲートに割り当てるために > ワイヤレス セットアップ > 開始するは今 > 適用します。
タグを割り当て、タグ AP を『+』 をクリック したいと思う AP を選択して下さい
すーっと動かされたタグを選択し、デバイスに『SAVE』 をクリック して下さい及び適用して下さい
CLI:
# config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end
リダイレクト ACL 設定
ステップ 1.設定 > Security > ACL へのナビゲートは > + 新しい ACL を作成するために追加します。
名前を ACL に選択し、それに IPv4 拡張種別をし、シーケンスとして各ルールを追加して下さい
ACL はこのようになる必要があります(あなたと 10.48.39.28 を ISE の IP アドレス取り替えて下さい):
CLI:
ip access-list extended REDIRECT
deny ip any host 10.48.39.28
deny ip host 10.48.39.28 any
permit ip any any
ISE サーバの方のゲスト ポート 8443 を否定するによってだけ ACL を改善できます。
ISE 設定
ISE に 9800 WLC を追加して下さい
ステップ 1. Administration > ネットワークリソース > ネットワークデバイスへのナビゲート。
ステップ 2. +Add をクリックし、9800 の WLC 設定を入力して下さい。
任意で、それは指定されたモデル名前、ソフトウェア バージョン、説明でおよびデバイスの種類、位置または WLCs に基づいてネットワーク デバイス グループを割り当てることができます。
a.b.c.d は要求される認証を送信 する WLC のインターフェイスに対応します。
aboutNetwork デバイス Groupsreview 詳細については ISE 管理ガイド:
ISE の新規 ユーザを作成して下さい
ステップ 1. > Add は Administration > アイデンティティ管理 > 識別 > Users にナビゲート します
ステップ 2:情報を入力します。
この例では、このユーザは ALL_ACCOUNTS と呼ばれるグループに属します必要に応じて調節することができます
許可 プロファイルを作成して下さい
ポリシー プロファイルはパラメータに基づいてクライアントに割り当てられる結果です(ように MAC アドレス、資格情報、等使用される WLAN)。 それは Virtual Local Area Network (VLAN; バーチャル LAN)のような特定の設定を、アクセス コントロール リスト(ACL)、Uniform Resource Locator (URL)リダイレクト等割り当てることができます。
これらのステップは認証ポータルにクライアントをリダイレクトするのに必要とされる許可 プロファイルを作成する方法を示します。 ことに ISE の最近のバージョンで、既に存在 する Cisco_Webauth 許可結果注目して下さい。 ここに WLC で設定したものを一致するためにリダイレクション ACL 名前を修正するようにそれを編集します。
ステップ 1.ポリシー > ポリシー要素へのナビゲートは > > 許可 > 許可プロファイル生じます。 あなた専有物を作成するか、または Cisco_Webauth 既定の結果を編集するために『Add』 をクリック して下さい
ステップ 2.リダイレクション 情報を入力して下さい。 ACL 名前が 9800 WLC で設定された同じであることを確認して下さい。
認証ルールを設定して下さい
ステップ 1.ポリシー > ポリシー セットへのナビゲート。 適切なポリシー セットをクリックして下さい(既に複数を設定してもらっていたら)または画面の右側のデフォルトのビュー矢印。
ステップ 2.認証 ポリシーを拡張して下さい。 MAB ルールに関しては(またはワイヤレス MAB 配線されるで一致します)、オプションを拡張し、継続オプションを「」見つけられないユーザなら選択しました。
手順 3: [Save] をクリックして変更内容を保存します。
承認規則を設定して下さい
承認規則は担当した(許可 プロファイル)ものどの権限結果がクライアントに適用されるか判別するためにです。
ステップ 1: Set ページ同じポリシーで密接認証 ポリシーは Authorziation ポリシーを拡張し。
ステップ 2.最近の ISE バージョンは大抵必要と一致する Wifi_Redirect_to_Guest_Login と呼ばれた前作成された reule から開始します。 有効に なる左の灰色サインを回して下さい。
ステップ 3 ルールは Wireless_MAB だけで一致し、CWA リダイレクション属性を戻すこと。 今オプションで少しねじれを追加し、仕様 SSID でだけ一致する。 条件スタジオを現われさせます条件(Wireless_MAB 現在)をクリックして下さい。 右に条件を追加し、呼出ステーション ID アトリビュートと dictionnary Radius を選択しました。 それに SSID 名前を一致する。 スクリーンの一番下で使用をクリックして検証して下さい
ステップ 4 今一度ユーザがポータルで認証したあることがネットワーク アクセス 詳細を戻すためにゲスト フロー条件で一致する高優先順位と定義される第 2 ルールを必要とします。 また最近の ISE バージョンでデフォルトで前作成される Wifi ゲスト アクセス規則を使用できます。 それから左のグリーン マークのルールしか有効に しなければなりません。 デフォルト PermitAccess を戻すか、またはより精密なアクセス リスト制限を設定できます。
ステップ 5.ルールを保存して下さい
ルールの下部ので『SAVE』 をクリック して下さい。
Flexconnect ローカル スイッチング アクセス ポイントの場合には
Flexconnect ローカル スイッチング アクセス ポイントおよび WLAN がある場合はどうしたらいいのですか。 前のセクションはまだ有効です。 ただし、AP にリダイレクト ACL を先立って押すことを特別なステップが必要とします。
設定 > タグ及びプロファイル > 屈曲にナビゲート し、屈曲プロファイルをクリックして下さい。 ポリシー ACL タブに行って下さい。
[Add] をクリックします。
リダイレクト ACL 名前およびイネーブル「中央 Web 認証」を選択しました。 このチェックボックスは自動的に AP の ACL 自体を逆にします(これは「しかし AP に押すと従ってこのチェックボックスは自動的にすべての割り当てを意味するという理由により、否定します交換することを「拒否」文が反対を、AP の IOS XE の WLC のこの IP に」リダイレクトしてはいけないことを「拒否」文が意味する。 これを「IPアクセスリスト」形式にと AP CLI 示しなさいことを)確認できます。
次に保存を見つけ、デバイスにアップデートし、適用することを忘れないで下さい。
確認
現在のコンフィギュレーションを確認するこれらのコマンドを使用できます
# show run wlan # show run aaa # show aaa servers # show ap config general # show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
WLC の設定の関連した部分はこの例に相当してここにあります:
aaa new-model ! aaa authentication dot1x CWA group radius aaa authorization network default group radius aaa authorization credential-download wcm_loc_serv_cert local aaa accounting network CWAacct start-stop group radius ! aaa server radius dynamic-author client 10.48.39.28 server-key cisco123 ! aaa session-id common ! ! radius server nicoISE address ipv4 10.48.39.28 auth-port 1812 acct-port 1813 key cisco123 ! ! wireless aaa policy default-aaa-policy wireless cts-sxp profile default-sxp-profile wireless profile policy central-switching-NAC aaa-override no central association no central switching nac vlan 1468 no shutdown wireless tag policy flexpolicy wlan Nico9800flex policy central-switching-NAC wlan cwa-ssid 2 cwa-ssid mac-filtering default no security wpa no security wpa wpa2 ciphers aes no security wpa akm dot1x security dot1x authentication-list CWA no shutdown ap a46c.2a75.fb80 policy-tag flexpolicy site-tag FlexSite ap f80b.cbe4.7f40 policy-tag flexpolicy site-tag FlexSite
トラブルシューティング
WLC 9800 は常時接続トレース機能を提供します。 これはすべてのクライアント 接続 関連エラーを確認します、wanring および表記水平なメッセージは絶えず記録 され、発生した後事件または障害状態のためのログを調べることができます。
デフォルトで集められる 9800 WLC が 9800 WLC に SSH/Telnet によって(接続し、次の手順に従うことができるトレースを表示するために確認します記録 して います テキストファイルにセッションを)。
ステップ 1: 問題が起こったときにチェック コントローラの現在の時刻従ってログオンします時間をに戻ってトラッキングできます。
# show clock
ステップ 2.システム構成によって定められるようにコントローラのバッファか外部 Syslog から Syslog を集めて下さい。 これはシステム状態およびエラーに速いビューを、もしあれば提供します。
# show logging
ステップ 3.どのデバッグ状態でも有効に なるかどうか確認して下さい。
# show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
ステップ 4.テストの下の MAC アドレスを仮定することはステップ 3 の条件として、収集します特定の MAC アドレスのための常時接続表記レベル トレースをリストされていませんでした。
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
セッションのコンテンツを表示することができますまたは外部 TFTPサーバにファイルをコピーできます。
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
条件付きデバッギングおよび無線アクティブなトレース
調査中の問題のためのトリガーを判別するために常時接続トレースが十分な情報を与えない場合指定された条件(クライアントのMACアドレスこの場合)と相互に作用しているすべてのプロセスにデバッグ レベル トレースを提供する条件付きデバッギングおよびキャプチャ無線アクティブな(RA)トレースを有効に することができます。 条件付きデバッギングを有効にするために、次の手順に従って下さい。
ステップ 5 そこにですデバッグ状態有効に されます確認しないで下さい。
# clear platform condition all
ステップ 6.監視したいと思うこと無線クライアント MAC アドレスのためのデバッグ条件を有効に して下さい。
これは 30 分(1800 秒)のための提供された MAC アドレスを監察するために開始するを命じます。 2085978494 秒までにオプションで今回を増加できます。
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
ステップ 7.監視したいと思う動作か問題を再現 して下さい。
ステップ 8.デフォルトか設定されたモニタ時間が稼働している前に問題が再現 される場合デバッグを停止して下さい。
# no debug wireless mac <aaaa.bbbb.cccc>
モニタ時間が経過するかまたはデバッグ ワイヤレスが停止したら、9800 WLC は名前のローカルファイルを生成します:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
ステップ 9. MAC アドレス アクティビティのファイルを集めて下さい。 外部サーバにどちらかのコピー RA トレース .log または画面の出力を直接表示するためにできます。
RA トレース ファイルの名前をチェックして下さい
# dir bootflash: | inc ra_trace
外部サーバにファイルをコピーして下さい:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
コンテンツを表示する:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
ステップ 10: 根本的な原因がそれでも明らかではない場合、デバッグ レベル ログのより多くの冗長なビューである内部ログを集めて下さい。 既に colllected、内部で保存されたデバッグ ログの futher によって詳述されるだけ見てみていると同時にクライアントを再度デバッグする必要はありません。
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
外部サーバにどちらかのコピー ra-internal-FILENAME.txt または画面の出力を直接表示するためにできます。
外部サーバにファイルをコピーして下さい:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
コンテンツを表示する:
# more bootflash:ra-internal-<FILENAME>.txt
ステップ 11.デバッグ状態を取除いて下さい。
# clear platform condition all
例
期待するもの認証結果がでなければ、ISE オペレーションに行くことは重要 > ページ住み、ログ得ます認証結果の詳細をです。
失敗の原因が表示され、(失敗があれば) ISE によって受け取ったすべての RADIUS特性。
下記の例では、ISE は承認規則が一致しなかったので認証を拒否しました。 これは許可は SSID 名前へ完全に一致するものだったが AP MAC アドレスに追加 される SSID 名前として送信 される呼出ステーション ID アトリビュートを見るという理由によります。 それはそのルールをへ「変更することによって「等号」の代りに固定されます含んでいます」
これを解決した後、wifi クライアントはまだ SSID に ISE が許可をで、成功戻した権限 CWA 属性を要求する間、assocate できません。
トラブルシューティングに > WLC Web UI の放射性 Trace ページ行くことができます。
ほとんどの場合、常時接続ログに頼り、過去接続の試みから問題をもう一度再現 しないでログを得ることができます。
クライアントのMACアドレスを追加し、『Generate』 をクリック して下さい
この場合、問題はタイプエラーをしたファクトに ACL 名前およびそれを作成することが 1 つが ISE によって要求したのような WLC がそこにである ACL 不平を言わない ISE o によって戻る ACL 名前を一致するときあります:
2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162 client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42,
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.
フィードバック