Catalyst 9800ワイヤレスコントローラおよびISEでの中央Web認証(CWA)の設定例
はじめに
このドキュメントでは、上で中央Web認証ワイヤレスローカルエリアネットワーク(WLAN)を設定する方法について説明します。 グラフィックユーザインターフェイス(GUI)またはコマンドラインインターフェイス(CLI)を使用したCatalyst 9800シリーズワイヤレスコントローラ(9800 WLC)。
前提条件
要件
次の項目に関する知識が推奨されます。
- 9800 WLCの設定
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- 9800 WLC IOS-XE Gibraltar v16.12
- Identity Service Engine(ISE)v2.4
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ネットワーク図
コンフィギュレーション
9800 WLCでのAAA設定
手順1:ISEサーバを9800 WLC設定に追加し、認証方式リストを作成する
[Configuration] > [Security] > [AAA] > [Servers / Groups] > [RADIUS] > [Servers] > [+ Add]に移動し、RADIUSサーバの情報を入力します。
中央Web認証(またはCoAが必要なセキュリティ)を将来使用する場合は、CoAのサポートが有効になっていることを確認します。
ステップ2:許可方式リストを作成する
[Configuration] > [Security] > [AAA] > [AAA Method List] > [Authorization] > [Add]に移動します。
ステップ4(オプション)。 会計方法リストの作成
ステップ5(オプション)
AAAポリシーを定義して、SSID名をCalled-station-id属性として送信できます。これは、後でプロセスでISEでこの状態を活用する場合に役立ちます。
[Configuration] > [Security] > [Wireless AAA Policy]に移動し、デフォルトのaaaポリシーを編集するか、新しいポリシーを作成します。
SSIDをオプション1として選択できます。SSIDだけを選択した場合でも、着信側ステーションIDはSSID名にAP MACアドレスを追加することに注意してください。
WLAN 設定
ステップ1:WLANの作成
GUI:
[Configuration] > [Tags & Profiles] > [WLANs] > [+ Add]に移動し、必要に応じてネットワークを設定します。
ステップ2:WLAN情報を入力します。
ステップ3:[Security]タブに移動し、必要なセキュリティ方式を選択します。この場合は、MACフィルタリングと、AAA Configurationセクションのステップ2で作成したリストのみです。
CLI:
# config t
(config)#wlan cwa-ssid 2 cwa-ssid
(config-wlan)#mac-filtering CWAautz
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown
ポリシープロファイルの設定
ポリシープロファイル内で、クライアントを割り当てるVLANを他の設定(アクセスコントロールリスト(ACL)、Quality of Service(QoS)、モビリティアンカー、タイマーなど)の中から決定できます。
デフォルトのポリシープロファイルを使用するか、新しいプロファイルを作成できます。
GUI:
ステップ1:新しいポリシープロファイルの作成
[Configuration] > [Tags & Profiles] > [Policy]に移動し、default-policy-profileを設定するか、新しいプロファイルを作成します。
プロファイルが有効になっていることを確認します。
ステップ2:VLANの選択
[Access Policies]タブに移動し、ドロップダウンからVLAN名を選択するか、VLAN-IDを手動で入力します。ポリシープロファイルでACLを設定しないでください。
ステップ3:ポリシープロファイルを設定して、ISEオーバーライドを受け入れ(Allow AAA Override)および認可変更(CoA)(NAC State)を受け入れます。 オプションで勘定科目メソッドも指定できます。
CLI:
# config # wireless profile policy <policy-profile-name> # aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown
ポリシータグの設定
ポリシータグ内では、SSIDをポリシープロファイルにリンクします。新しいポリシータグを作成することも、default-policyタグを使用することもできます。
GUI:
[Configuration] > [Tags & Profiles] > [Tags] > [Policy]に移動し、必要に応じて新しいポリシーを追加します。
WLANプロファイルを目的のポリシープロファイルにリンクします。
CLI:
# config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name>
ポリシータグの割り当て
必要なAPにポリシータグを割り当てます。
GUI:
タグを1つのAPに割り当てるには、[Configuration] > [Wireless] > [Access Points] > [AP Name] > [General Tags]に移動し、必要な割り当てを行って、[Update & Apply to Device]をクリックします。
同じポリシータグを複数のAPに割り当てるには、[Configuration] > [Wireless] > [Wireless Setup] > [Start Now] > [Apply]の順に選択します。
タグを割り当てるAPを選択し、[+ Tag APs] をクリックします。
非表示のタグを選択し、[Save & Apply to Device]をクリックします。
CLI:
# config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end
リダイレクト ACL 設定
ステップ1:[Configuration] > [Security] > [ACL] > [+ Add]に移動して、新しいACLを作成します。
ACLの名前を選択し、IPv4 Extendedタイプにし、すべてのルールをシーケンスとして追加します
ISE PSNsノードへのトラフィックを拒否し、DNSを拒否して残りをすべて許可する必要があります。このリダイレクトACLはセキュリティACLではなく、パントACLで、CPUに送るトラフィック(許可)を定義して、リダイレクトのように処理し、データプレーンに留まるトラフィック(拒否)を定義し、リダイレクトを回避します。
ACLは次のようになります(10.48.39.28をISEのIPアドレスに置き換えます)。
CLI:
ip access-list extended REDIRECT
deny ip any host 10.48.39.28
deny ip host 10.48.39.28 any
deny udp any any eq domain
deny udp any eq domain any
permit tcp any any eq 80
ACLを改善するには、ISEサーバへのゲストポート8443のみを拒否します。
ISE の設定
ISEへの9800 WLCの追加
ステップ1:[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)]に移動します。
ステップ2:[+Add]をクリックし、9800 WLC設定を入力します。
オプションで、モデル名、ソフトウェアバージョン、説明を指定し、デバイスタイプ、ロケーション、またはWLCに基づいてネットワークデバイスグループを割り当てることができます。
a.b.c.dは、要求された認証を送信するWLCのインターフェイスに対応します。
ネットワークデバイスグループの詳細については、ISE管理ガイドを参照してください。
ISEでの新規ユーザの作成
ステップ1: [Administration] > [Identity Management] > [Identities] > [Users] > [Add]
ステップ 2:情報を入力します。
この例では、このユーザはALL_ACCOUNTSというグループに属していますが、必要に応じて調整できます
許可プロファイルの作成
ポリシープロファイルは、そのパラメータ(MACアドレス、クレデンシャル、使用されるWLANなど)に基づいてクライアントに割り当てられた結果です。 仮想ローカルエリアネットワーク(VLAN)、アクセスコントロールリスト(ACL)、Uniform Resource Locator(URL)のリダイトなどの特定の設定を割り当てることができます。
次の手順では、クライアントを認証ポータルにリダイレクトするために必要な認可プロファイルを作成する方法を示します。ISEの最近のバージョンでは、Cisco_Webauth認証結果がすでに存在することに注意してください。ここでは、リダイレクションACL名をWLCで設定した名前に一致するように変更します。
ステップ1:[Policy] > [Policy Elements] > [Results] > [Authorization] > [Authorization Profiles]に移動します。[add]をクリックして独自のユーザを作成するか、Cisco_Webauthのデフォルト結果を編集します。
ステップ2:リダイレクト情報を入力します。ACL名が9800 WLCで設定されたものと同じであることを確認します。
認証ルールの設定
ステップ1:[Policy] > [Policy Sets]に移動します。適切なポリシーセット(すでに複数の設定がある場合)または画面の右側にあるデフォルトの表示矢印をクリックします。
ステップ2:[Authentication policy]を展開します。MABルール(有線または無線MABでの一致)でOptionsを展開し、「If User not found」の場合にCONTINUEオプションを選択します。
手順 3: [Save] をクリックして変更内容を保存します。
許可ルールの設定
認可ルールは、クライアントに適用される権限(認可プロファイル)の結果を決定するために担当するものです。
ステップ1:同じ[Policy set]ページで、[Authentication Policy] を閉じ、[Authorization policy]を展開します。
ステップ2:最近のISEバージョンでは、Wifi_Redirect_to_Guest_Loginという名前の事前定義されたルールが使用されます。このルールは主に当社のニーズに一致します。有効にするには、左側のグレーの記号をオンにします。
ステップ3:このルールはWireless_MABでのみ一致し、CWAリダイレクション属性を返します。オプションで少しツイストを追加し、特定のSSIDでのみ一致させます。条件(現時点ではWireless_MAB)をクリックして、Conditions Studioを表示します。右側に条件を追加し、Called-Station-ID属性を持つRadius辞書を選択します。SSID名と一致させてください。画面の下部にある[使用]をクリックして検証する
ステップ4:次に、ユーザがポータルで認証された後にネットワークアクセスの詳細を返すために、ゲストフロー条件で一致する、より高い優先度で定義された2番目のルールが必要になります。Wifiゲストアクセスルールを使用できます。このルールは、最近のISEバージョンでデフォルトで事前に作成されています。左側の緑色のマークでルールを有効にするだけです。 デフォルトのPermitAccessを返すか、より正確なアクセスリスト制限を設定できます。
ステップ5:ルールの保存
ルールの下部にある[保存]をクリックします。
Flexconnectローカルスイッチングアクセスポイントの場合のみ
FlexconnectローカルスイッチングアクセスポイントとWLANを使用している場合はどうすればいいですか。前のセクションは有効です。ただし、リダイレクトACLを事前にAPにプッシュするには、追加の手順が必要です。
[Configuration] > [Tags & Profiles] > [Flex] に移動し、Flexプロファイルをクリックします。[Policy ACL]タブに移動します。
[Add] をクリックします。
リダイレクトACL名を選択し、「中央Web認証」を有効にします。 このチェックボックスは、AP自体のACLを自動的に反転します(「deny」文はIOS-XEのWLC上で「do not redirect to this IP」を意味しますが、AP上で「deny」文は逆を意味するため、このチェックボックスはで許可と拒否をします。これを確認するには、AP CLIから「show ip access list」を使用します)。
[保存]をクリックし、[更新してデバイスに適用]をクリックすることを忘れないでください。
「ip http server」が設定されていることを確認します。
証明書
クライアントにWeb認証証明書を信頼させるには、提示される証明書はISE証明書(クライアントによって信頼される必要がある)のみであるため、WLCに証明書をインストールする必要はありません。
確認
次のコマンドを使用して、現在の設定を確認できます
# show run wlan # show run aaa # show aaa servers # show ap config general # show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
この例に対応するWLCの設定の関連部分を次に示します(WLCの設定に関連する部分は次のとおりです)。
aaa new-model ! aaa authentication dot1x CWA group radius aaa authorization network default group radius aaa authorization credential-download wcm_loc_serv_cert local aaa accounting identity CWAacct start-stop group radius ! aaa server radius dynamic-author client 10.48.39.28 server-key cisco123 ! aaa session-id common ! ! radius server nicoISE address ipv4 10.48.39.28 auth-port 1812 acct-port 1813 key cisco123 ! ! wireless aaa policy default-aaa-policy wireless cts-sxp profile default-sxp-profile wireless profile policy central-switching-NAC aaa-override no central association no central switching nac vlan 1468 no shutdown wireless tag policy flexpolicy wlan Nico9800flex policy central-switching-NAC wlan cwa-ssid 2 cwa-ssid mac-filtering default no security wpa no security wpa wpa2 ciphers aes no security wpa akm dot1x no shutdown ap a46c.2a75.fb80 policy-tag flexpolicy site-tag FlexSite ap f80b.cbe4.7f40 policy-tag flexpolicy site-tag FlexSite
ip http server
ip http secure-server
目次
トラブルシューティング
HTTPパケットではなくHTTPS IPアドレスの入力時にのみリダイレクトされる場合は、WLC設定で「ip http server」が設定されていることを確認してください。現時点では、Web管理ポータルの設定はWeb認証ポータルの設定と関連付けられており、リダイレクトするにはポート80でリッスンする必要があります。これは17.3以降で変更されます。
WLC 9800はALWAYS-ONトレース機能を提供します。これにより、クライアント接続に関連するすべてのエラー、警告および通知レベルのメッセージが常に記録され、インシデントまたは障害発生後のログを表示できます。
デフォルトで9800 WLCが収集したトレースを表示するには、SSH/Telnet経由で9800 WLCに接続し、次の手順に従います(セッションをテキストファイルにロギングしていることを確認してください)。
ステップ1:コントローラの現在の時刻をチェックして、問題が発生した時刻にログを記録できるようにします。
# show clock
ステップ2:システム設定の指示に従って、コントローラのバッファまたは外部syslogからsyslogを収集します。これにより、システムの状態とエラーが存在する場合に簡単に確認できます。
# show logging
ステップ3:デバッグ条件が有効になっているかどうかを確認します。
# show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
ステップ4:テスト中のMACアドレスがステップ3の条件としてリストされていないと仮定し、特定のMACアドレスのAlways-on Noticeレベルのトレースを収集します。
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
セッションの内容を表示することも、ファイルを外部TFTPサーバにコピーすることもできます。
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
条件付きデバッグおよび無線アクティブトレース
常にオンになっているトレースで、調査中の問題のトリガーを決定するのに十分な情報が得られない場合は、条件付きデバッグを有効にし、Radio Active(RA)トレースをキャプチャして、指定された条件(この場合はクライアントMACアドレス)と対話するすべてのプロセスにののデバッグレベルをトレースをします。 条件付きデバッグを有効にするには、次の手順を実行します。
ステップ5:デバッグ条件が有効になっていないことを確認します。
# clear platform condition all
ステップ6:モニタするワイヤレスクライアントMACアドレスのデバッグ条件を有効にします。
このコマンドは、指定されたMACアドレスの監視を30分(1800秒)開始します。 この時間はオプションで最大2085978494秒まで増やすことができます。
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
ステップ7:監視する問題または動作を再現します。
ステップ8:デフォルトまたは設定されたモニタ時間がアップする前に問題が再現された場合は、デバッグを停止します。
# no debug wireless mac <aaaa.bbbb.cccc>
モニタ時間が経過するか、またはデバッグワイヤレスが停止すると、9800 WLCは次の名前のローカルファイルを生成します。
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
ステップ9:MACアドレスアクティビティのファイルを収集します。ra trace .logを外部サーバにコピーするか、出力を画面に直接表示できます。
RAトレースファイルの名前を確認します。
# dir bootflash: | inc ra_trace
ファイルを外部サーバにコピーします。
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
コンテンツを表示します。
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
ステップ10:根本原因がまだ明らかでない場合は、デバッグレベルのログのより詳細なビューである内部ログを収集します。すでに収集され、内部に保存されているデバッグログを詳細に調べるだけで、クライアントを再度デバッグする必要はありません。
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
ra-internal-FILENAME.txtを外部サーバにコピーするか、出力を画面に直接表示できます。
ファイルを外部サーバにコピーします。
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
コンテンツを表示します。
# more bootflash:ra-internal-<FILENAME>.txt
ステップ11:デバッグ条件を削除します。
# clear platform condition all
例
認証結果が予想どおりでない場合は、[ISE Operations] > [Live logs]ページに移動し、認証結果の詳細を取得することが重要です。
障害の理由(障害が発生した場合)と、ISEによって受信されたすべてのRADIUS属性が表示されます。
次の例では、認証ルールが一致しないため、ISEは認証を拒否しました。これは、APのMACアドレスにSSID名として送信されたCalled-station-ID属性が認可とSSID名が完全に一致しているのが確認できるためです。ルールを「等しい」ではなく「含む」に変更することで修正される
この問題を解決しても、WiFiクライアントはSSIDに関連付けられません。一方、ISEは認証が成功したと主張し、正しいCWA属性を返しました。
WLC Web UIのtroubleshooting > Radioactive traceページに移動できます。
ほとんどの場合、常にオンになっているログに依存し、過去の接続試行からログを取得しても、問題を再度再現する必要はありません。
クライアントMACアドレスを追加し、[Generate]をクリックします。
この場合、問題はACL名の作成時に入力を行い、WLCのISEから返されたACL名と一致しないことにあります。ISEから要求されたACLが存在しないという問題があります(ACLはACLに含まれません)。
2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162 client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42,
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.
フィードバック