Catalyst 9800 WLCでの認証を使用したFlexConnectの設定

ダウンロード オプション

  • PDF     (1.6 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2023 年 4 月 4 日
Document ID:213921

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Catalyst 9800ワイヤレスLANコントローラで中央認証またはローカル認証を使用してFlexConnectを設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Catalyst Wireless 9800設定モデル
    • FlexConnect
    • 802.1X

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • C9800-CL、Cisco IOS-XE® 17.3.4

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    FlexConnectは、リモートオフィスへの導入に適したワイヤレスソリューションです。これにより、各ロケーションにコントローラを導入することなく、ワイドエリアネットワーク(WAN)リンクを介して企業オフィスから離れた場所にあるアクセスポイント(AP)を設定できます。FlexConnect APは、コントローラへの接続が失われたときに、クライアントデータトラフィックをローカルにスイッチし、クライアント認証をローカルに実行できます。接続モードでは、FlexConnect APはローカル認証も実行できます。

    設定

    ネットワーク図

    Network Diagram

    コンフィギュレーション

    9800 WLC での認証、許可、およびアカウンティング(AAA)の設定

    ステップ 1:Remote Authentication Dial-In User Service(RADIUS)サーバーを宣言します。GUIから、Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Addand enter the RADIUS server informationの順に移動します。

    Navigate to RADIUS Servers and Select Add

    今後、CoAを必要とするセキュリティを使用する場合は、CoAのサポートが有効になっていることを確認します。 

      

    Ensure that Support for CoA is Enabled

    :注:Radius CoAは、Flex Connectローカル認証導入ではサポートされていません。

    ステップ 2:RADIUS サーバーを RADIUS グループに追加します。 GUIから、Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Addの順に移動します。

    Add the RADIUS Server to a RADIUS Group

    Edit AAA RADIUS Server Group

    ステップ 3:認証方式リストを作成します。GUIから、Configuration > Security > AAA > AAA Method List > Authentication > + Addの順に移動します。

    Create an Authentication Method List

    Settings for the Authentication Method List

    CLI から:

    # config t
# aaa new-model

# radius server <radius-server-name>
# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813
# timeout 300
# retransmit 3
# key <shared-key>
# exit

# aaa group server radius <radius-grp-name>
# server name <radius-server-name>
# exit

    # aaa server radius dynamic-author
    # client <radius-server-ip> server-key <shared-key>
    
# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>

    WLAN 設定

    ステップ 1:GUIの場合:Configuration > Wireless > WLANsの順に移動し、+Addをクリックして新しいWLANを作成し、WLAN情報を入力します。次に、Apply to Deviceをクリックします。

    Create a new WLAN and Apply to Device

    Add WLAN and Apply to Device

    ステップ 2:GUIから:Security タブに移動し、暗号化方式と、802.1xが使用されている場合の認証リスト(AAAサーバ)を使用する限り、レイヤ2/レイヤ3セキュリティモードを設定します。次に、Update & Apply to Deviceをクリックします。

    Configure the Layer2/Layer3 Security Mode as Long as the Encryption Method

    ポリシープロファイルの設定

    ステップ 1:GUIから:Configuration > Tags & Profiles > Policyの順に移動し、+Addをクリックしてポリシープロファイルを作成します。

    Configure Policy Profile

    ステップ 2:名前を追加し、Central Switchingボックスのチェックマークを外します。この設定では、コントローラがクライアント認証を処理し、FlexConnectアクセスポイントがクライアントデータパケットをローカルでスイッチします。

    FlexConnect Access Point Switches Client Data Packets

    :関連付けとスイッチングは常にペアにする必要があります。中央スイッチングが無効になっている場合、Flexconnect APの使用時にすべてのポリシープロファイルでも中央アソシエーションを無効にする必要があります。

    ステップ 3:GUIから:Access Policiesタブに移動し、ワイヤレスクライアントがデフォルトでこのWLANに接続する際に割り当てることができるVLANを割り当てます。

    ドロップダウンからVLAN名を1つ選択するか、ベストプラクティスとしてVLAN IDを手動で入力します。

    Select or Type a VLAN ID

    ステップ 4:GUIから:Advanced タブに移動し、WLANタイムアウト、DHCP、WLAN Flex Policy、およびAAAポリシーが使用されている場合にそれらを設定します。次に、Update & Apply to Deviceをクリックします。

    Configure WLAN Timeouts, DHCP, WLAN Flex Policy, and AAA Policy

    ポリシータグの設定

    ステップ 1:GUIから、Configuration > Tags & Profiles > Tags > Policy > +Addの順に移動します。 

    Add a Policy

    ステップ 2:名前を割り当て、前に作成したポリシープロファイルWLANプロファイルをマッピングします。

    Assign a Name, map the Policy Profile and WLAN Profile

    Flex プロファイルの設定

    ステップ1:GUIから:設定>タグとプロファイル>フレックスに移動し、+追加をクリックして新しい設定を作成します。

    Configure Flex Profile

    Edit Flex Profile

    :ネイティブVLAN IDとは、このFlex Profileを割り当てることができるAPで使用されるVLANを指し、APが接続されているスイッチポートでネイティブとして設定されているものと同じVLAN IDである必要があります。

    ステップ 2:VLANタブで、必要なVLAN、ポリシープロファイルを介してWLANにデフォルトで割り当てられているVLAN、またはRADIUSサーバによってプッシュされたVLANを追加します。次に、Update & Apply to Deviceをクリックします。

    Add the Needed VLANs

    注:ポリシープロファイルに関しては、SSIDに割り当てるデフォルトのVLANを選択した場合です。この手順でVLAN名を使用する場合は、Flex Profile設定で同じVLAN名を使用していることを確認してください。そうしないと、クライアントはWLANに接続できません。

    :AAAオーバーライドを使用するflexConnect用のACLを設定するには、「ポリシーACL」でのみACLを設定します。ACLが特定のVLANに割り当てられている場合、VLANを追加するときにACLを追加し、次に「ポリシーACL」でACLを追加します。

    サイトタグの設定

    ステップ 1:GUIから、Configuration > Tags & Profiles > Tags > Siteの順に移動し、+Addをクリックして新しいサイトタグを作成します。Enable Local Siteボックスのチェックマークを外して、APがクライアントデータトラフィックをローカルにスイッチできるようにし、前に作成したFlex Profileを追加します。

    Configure Flex Profile

    Create a new Site Tag

    :Enable Local Siteがディセーブルになっているため、このサイトタグを割り当てられたAPをFlexConnectモードに設定できます。

    ステップ 2:GUIから:Configuration > Wireless > Access Points > AP nameの順に移動し、関連付けられているAPにSite TagPolicy Tag を追加します。これにより、APはCAPWAPトンネルを再起動し、9800 WLCに戻ります。

    Edit the new Site Tag

    Configure Wireless Access Points

    APが加入したら、APがFlexConnectモードになっていることを確認します。

    Edit the Wireless Access Points

    外部RADIUSサーバによるローカル認証

    ステップ 1:APをネットワークデバイスとしてRADIUSサーバに追加します。例については、「RADIUSサーバとしてIdentity Service Engine(ISE)を使用する方法」を参照してください。

    ステップ 2:WLANを作成します。

    この設定は、以前に設定した設定と同じにすることができます。

    Access Point is in FlexConnect Mode

    ステップ 3:ポリシープロファイルの設定.

    新しいプロファイルを作成するか、以前に設定したプロファイルを使用できます。今回は、Central SwitchingCentral AuthenticationCentral DHCP、およびCentral Association Enableの各ボックスのチェックマークを外します。

    Create and Add a new WLAN

    ステップ 4:ポリシータグの設定.

    設定したWLANと作成したポリシープロファイルを関連付けます。

    ステップ 5:Flex プロファイルの設定.

    Flex Profileを作成し、Local Authenticationタブに移動して、RADIUSサーバグループを設定し、RADIUSボックスにチェックマークを付けます。

    Add a New Or Use the Previous Policy Profile

    手順 6:サイトタグの設定。

    ステップ5で設定したFlex Profileを設定し、Enable Local Siteボックスのチェックマークを外します。

    Create a Flex Profile and Configure the RADIUS Server Group

    確認

    GUIから:Monitoring > Wireless > Clients に移動し、Policy Manager StateとFlexConnectパラメータを確認します。

    中央認証:

    Reconfigure Previous Flex Profile and Uncheck Enable Local Site

    ローカル認証:

    Confirm the Policy Manager State and the FlexConnect Parameters

     次のコマンドを使用して、現在の設定を確認できます。

    CLI から:

    # show wlan { summary | id | name | all }
# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
    # show ap tag summary
    # show ap name <AP-name> tag detail
    # show wlan { summary | id | name | all }
    # show wireless tag policy detailed <policy-tag-name>
    # show wireless profile policy detailed <policy-profile-name>

    トラブルシュート

    WLC 9800 は、常時オンのトレース機能を備えています。これにより、クライアント接続に関連するすべてのエラー、警告、および通知レベルのメッセージが継続的にログに記録され、発生後にインシデントまたは障害状態のログを表示できます。 

    :生成されるログの量に基づいて、数時間から数日に戻ることができます。

    9800 WLCがデフォルトで収集したトレースを表示するには、SSH/Telnet経由で9800 WLCに接続し、次の手順を実行します(セッションをテキストファイルに記録していることを確認します)。

    ステップ 1:コントローラの現在時刻を確認して、問題が発生した時刻までのログを追跡できるようにします。

    CLI から:

    # show clock

    ステップ 2:システム設定に従って、コントローラのバッファまたは外部syslogからsyslogを収集します。これにより、システムの状態とエラー(ある場合)をすばやく確認できます。

    CLI から:

    # show logging

    ステップ 3:デバッグ条件が有効になっているかどうかを確認します。

    CLI から:

    # show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

    :条件が一覧表示されている場合は、有効な条件(MACアドレス、IPアドレスなど)に遭遇するすべてのプロセスについて、トレースがデバッグレベルで記録されていることを意味します。 これにより、ログの量が増加します。したがって、デバッグが必要ないときは、すべての条件をクリアすることをお勧めします。

    ステップ 4:テスト対象のMACアドレスがステップ3の条件としてリストされていないと想定される場合は、特定のMACアドレスのAlways-on Notice Level(EIP)トレースを収集します。

    CLI から:

    # show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>

    セッションで内容を表示するか、ファイルを外部 TFTP サーバーにコピーできます。

    CLI から:

    # more bootflash:always-on-<FILENAME.txt>
    or
    # copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>

    条件付きデバッグおよび無線アクティブトレース 

    常時接続トレースで、調査中の問題のトリガーを判別するのに十分な情報が得られない場合は、条件付きデバッグを有効にしてRadio Active(RA)トレースをキャプチャできます。これにより、指定された条件(この場合はクライアントMACアドレス)と対話するすべてのプロセスに対してデバッグレベルのトレースを提供できます。 条件付きデバッグを有効にするには、次の手順を実行します。

    ステップ 5:デバッグ条件が有効になっていないことを確認します。

    CLI から:

    # clear platform condition all

    手順 6:モニターするワイヤレスクライアントの MAC アドレスのデバッグ条件を有効にします。

    次のコマンドは、指定された MAC アドレスの 30 分間(1800 秒)のモニターを開始します。 必要に応じて、この時間を最大 2085978494 秒まで増やすことができます。

    CLI から:

    # debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

      

    一度に複数のクライアントをモニターするには、MAC アドレスごとに debug wireless mac <aaaa.bbbb.cccc> コマンドを実行します。

    :ターミナルセッションでは、すべてが後で表示できるように内部的にバッファされているため、クライアントアクティビティの出力は表示されません。

      

    手順 7:モニターする問題または動作を再現します。

    ステップ 8:デフォルトまたは設定されたモニタ時間がアップになる前に問題が再現した場合は、デバッグを停止します。

    CLI から:

    # no debug wireless mac <aaaa.bbbb.cccc>

    モニター時間が経過するか、debug wireless が停止すると、9800 WLC では次の名前のローカルファイルが生成されます。

    ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    ステップ 9: MAC アドレスアクティビティのファイルを収集します。    ra trace.log を外部サーバーにコピーするか、出力を画面に直接表示できます。

    RAトレースファイルの名前を確認します

    CLI から:

    # dir bootflash: | inc ra_trace

    ファイルを外部サーバーにコピーします。

    CLI から:

    # copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

     内容を表示します。

    CLI から:

    # more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

    ステップ 10:根本原因がまだ明らかでない場合は、デバッグレベルのログのより詳細なビューである内部ログを収集します。すでに収集されて内部に保存されているデバッグログを詳細に調べたので、クライアントを再度デバッグする必要はありません。

    CLI から:

    # show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

    注:このコマンド出力は、すべてのプロセスのすべてのログレベルのトレースを返し、かなり大量です。これらのトレースを解析する場合は、Cisco TAC にお問い合わせください。

    ra-internal-FILENAME.txt を外部サーバーにコピーするか、出力を画面に直接表示できます。

    ファイルを外部サーバーにコピーします。

    CLI から:

    # copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

    内容を表示します。

    CLI から:

    # more bootflash:ra-internal-<FILENAME>.txt

     ステップ 11デバッグ条件を削除します。

    CLI から:

    # clear platform condition all

    :トラブルシューティングセッションの後は、デバッグ条件を必ず削除してください。

    更新履歴

    改定 発行日 コメント
    2.0
    04-Apr-2023
    書式を更新。CCWを修正。再認定
    1.0
    21-Nov-2018
    初版
    TAC Authored

    シスコ エンジニア提供

    • アンドレスシルバ
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています