9800 WLCとAruba ClearPassの設定 – ゲストアクセス&FlexConnect

はじめに

このドキュメントでは、Catalyst 9800ワイヤレスLANコントローラ(WLC)をAruba ClearPassと統合して、ゲストワイヤレスサービスセット識別子(SSID)を提供する方法について説明します。

前提条件

このガイドでは、次のコンポーネントが設定および検証されていることを前提としています。

• 関連するすべてのコンポーネントがネットワークタイムプロトコル(NTP)に同期され、正しい時刻であることが確認されます（証明書の検証に必要）
• 動作可能なDNSサーバ(ゲストトラフィックフロー、証明書失効リスト(CRL)の検証に必要)
• 稼働中のDHCPサーバ
• オプションの認証局(CA)（CPPMホスト型ゲストポータルへの署名に必要）
• Catalyst 9800 WLC 
• Aruba ClearPass Server（プラットフォームライセンス、アクセスライセンス、オンボードライセンスが必要）
• VMware ESXi

要件

次の項目に関する知識があることが推奨されます。

• C9800の導入と新しい設定モデル
• C9800でのFlexConnectスイッチング 
• 9800 CWA認証(https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213920-central-web-authentication-cwa-on-cata.htmlを参照)

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• 17.3.4cが稼働するCisco Catalyst C9800-L-C
• Cisco Catalyst C9130AX
• Aruba ClearPass、6-8-0-109592および6.8-3パッチ
• MS Windowsサーバ
  • Active Directory（管理対象エンドポイントへの自動マシンベース証明書発行用に設定されたGP）
  • オプション43およびオプション60のDHCPサーバ
  • DNS サーバ
  • すべてのコンポーネントの時刻同期を行うNTPサーバ
  • CA

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

Catalyst 9800 WLC実装の統合では、アクセスポイント(AP)展開のFlexconnectモードのワイヤレスクライアントに対して中央Web認証(CWA)を利用します。

ゲストワイヤレス認証は、匿名許容ユーザポリシー(AUP)ページを使用してゲストポータルでサポートされ、セキュアな非武装地帯(DMZ)セグメントのAruba Clearpassでホストされます。

次の図は、ゲストユーザがネットワークへの接続を許可される前のゲストWiFiアクセス交換の詳細を示しています。

1.ゲストユーザは、リモートオフィスでゲストWi-Fiと関連付けられます。

2.最初のRADIUSアクセス要求は、C9800によってRADIUSサーバにプロキシされます。

3.サーバは、ローカルMACエンドポイントデータベースで指定されたゲストMACアドレスを検索します。
MACアドレスが見つからない場合、サーバはMAC認証バイパス(MAB)プロファイルで応答します。このRADIUS応答には次が含まれます。

• URLリダイレクトアクセスコントロールリスト(ACL)
• URL リダイレクト

4.クライアントはIP学習プロセスを経て、IPアドレスを割り当てられます。

5. C9800は、ゲストクライアント（MACアドレスで識別）を「Web Auth Pending」状態に移行します。

6.ゲストWLANに関連する最近のほとんどのデバイスOSは、何らかのキャプティブポータル検出を実行します。
正確な検出メカニズムは、特定のOSの実装によって異なります。クライアントOSは、RADIUS Access-Accept応答の一部として提供されるRADIUSサーバによってホストされるゲストポータルURLにC9800によってリダイレクトされたページを含むポップアップダイアログ（擬似ブラウザ）を開きます。

7.ゲストユーザが表示されたポップアップで利用規約に同意するClearPassは、クライアントが認証を完了したことを示すためにエンドポイントデータベース(DB)にクライアントのMACアドレスのフラグを設定し、ルーティングテーブルに基づいてインターフェイスを選択することによって、RADIUS認可変更(CoA)を開始します（ClearPassに複数のインターフェイスがある場合）。

8. WLCはゲストクライアントを「Run」状態に移行し、ユーザにはインターネットへのアクセス権が付与されますが、それ以上リダイレクトは行われません。

注:RADIUSおよび外部ホスト型ゲストポータルを使用するCisco 9800外部、アンカーワイヤレスコントローラの状態フロー図については、この記事の「付録」の項を参照してください。

ゲストセントラルWeb認証(CWA)の状態図

CWAゲストエンタープライズ導入のトラフィックフロー

複数のブランチオフィスを持つ一般的なエンタープライズ展開では、各ブランチオフィスは、ゲストがEULAを受け入れると、ゲストポータルを通じてセキュアでセグメント化されたアクセスをゲストに提供するように設定されます。

この設定例では、9800 CWAは、ネットワークのセキュアDMZ内のゲストユーザ用に排他的に導入される個別のClearPassインスタンスへの統合を介したゲストアクセスに使用されます。

ゲストは、DMZ ClearPassサーバが提供するWeb同意ポップアップポータルに記載された利用規約に同意する必要があります。この設定例では、匿名ゲストアクセス方式に焦点を当てています（つまり、ゲストポータルへの認証にゲストのユーザ名/パスワードは必要ありません）。

次の図に、この導入に対応するトラフィックフローを示します。

1.半径 – MABフェーズ

2.ゲストポータルへのゲストクライアントURLリダイレクト

3.ゲストポータルでゲストがEULAに同意すると、RADIUS CoA再認証がCPPMから9800 WLCに発行されます

4.ゲストはインターネットへのアクセスを許可される

ネットワーク図

注：ラボデモの目的では、ゲストと企業の両方のSSIDネットワークアクセスサーバ(NAS)機能を提供するために、単一または組み合わされたAruba CPPMサーバインスタンスが使用されます。 ベストプラクティスの実装では、独立したNASインスタンスが推奨されます。

設定

この設定例では、C9800の新しい設定モデルを利用して、dot1xの企業アクセスおよびCWAのゲストアクセスを企業ブランチに提供するために必要なプロファイルとタグを作成します。結果の設定を次の図に示します。

ゲストワイヤレスアクセスC9800パラメータの設定

C9800：ゲスト用のAAA設定

注:Cisco Bug ID CSCvh03827について、定義されている認証、許可、アカウンティング(AAA)サーバがロードバランシングされていないことを確認してください。このメカニズムは、ClearPass RADIUS交換に対するWLCのセッションIDの持続性に依存しています。

ステップ 1：Aruba ClearPass DMZサーバを9800 WLC設定に追加し、認証方式リストを作成します。RADIUSサーバ情報に移動しConfiguration > Security > AAA > Servers/Groups > RADIUS > Servers > +Add、入力します。

ステップ 2：ゲスト用のAAAサーバグループを定義し、ステップ1.で設定したサーバをこのサーバグループに割り当てます。に移動しConfiguration > Security > AAA > Servers/Groups > RADIUS > Groups > +Addます。

ステップ 3：ゲストアクセスの許可方式リストを定義し、手順2で作成したサーバグループをマッピングします。 に移動しConfiguration > Security > AAA > AAA Method List > Authorization > +Addます。を選択しType Network、ステップ2で設定しますAAA Server Group。

ステップ 4：ゲストアクセス用のアカウンティング方式リストを作成し、手順2で作成したサーバグループをマッピングします。 に移動しConfiguration > Security > AAA > AAA Method List > Accounting > +Addます。ドロップダウンメニューからType Identity選択し、手順2で設定しますAAA Server Group。

C9800：リダイレクションACLの設定

リダイレクトACLは、どのトラフィックをゲストポータルにリダイレクトする必要があるのかを定義し、リダイレクトなしで通過を許可します。 ここで、ACL denyはバイパスのリダイレクトまたはパススルーを意味し、permitはポータルへのリダイレクトを意味します。アクセスコントロールエントリ(ACE)を作成し、入力トラフィックと出力トラフィックの両方に一致するACEを作成する場合、トラフィッククラスごとにトラフィックの方向を考慮する必要があります。

に移動しConfiguration > Security > ACL、という名前の新しいACLを定義CAPTIVE_PORTAL_REDIRECTします。次のACEを使用してACLを設定します。

• ACE1：双方向のInternet Control Message Protocol(ICMP)トラフィックがリダイレクションをバイパスできるようにします。主に到達可能性を確認するために使用されます。
• ACE10、ACE30:DNSサーバ10.0.10.4への双方向DNSトラフィックフローを許可し、ポータルにリダイレクトされないようにします。ゲストフローをトリガーするには、応答のためのDNSルックアップと代行受信が必要です。
• ACE70、ACE80、ACE110、ACE120：ユーザがポータルを表示できるように、ゲストキャプティブポータルへのHTTPおよびHTTPSアクセスを許可します。
• ACE150：すべてのHTTPトラフィック（UDPポート80）がリダイレクトされます。

C9800：ゲストWLANプロファイルの設定

ステップ 1：に移動しConfiguration > Tags & Profiles > Wireless > +Addます。 ゲストクライアントが関連付けるSSID「Guest」のブロードキャストを使用して、新しいSSIDプロファイルWP_Guestを作成します。

同じAdd WLANダイアログで、[Security > Layer 2]タブに移動します。

– レイヤ2セキュリティモード：なし

- MACフィルタリング：有効

– 許可リスト：ドロップダウンメニューからのAAA_Authz_CPPM（AAA設定の一部としてステップ3で設定）

C9800：ゲストポリシープロファイルの定義

C9800 WLCのGUIで、に移動しますConfiguration > Tags & Profiles > Policy > +Add。

名前：PP_Guest

Status（ステータス）:Enabled（有効）

中央スイッチング：無効

中央認証：有効

中央DHCP：無効

中央関連付け：無効

同じAdd Policy ProfileダイアログのAccess Policiesタブに移動します。

- RADIUSプロファイリング：有効

- VLAN/VLANグループ：210（つまり、VLAN 210は各ブランチロケーションのゲストローカルVLAN）

注:Flex用のゲストVLANは、9800 WLCのVLANの下で、VLAN/VLANグループタイプのVLAN番号を指定して定義する必要はありません。

既知の不具合:Cisco Bug ID CSCvn48234により、同じFlexゲストVLANがWLCの下およびFlex Profileで定義されている場合、SSIDがブロードキャストされません。

同じAdd Policy Profileダイアログで、Advancedタブに移動します。

- Allow AAA Override:Enabled

- NAC状態：Enabled

- NACタイプ：RADIUS

– アカウンティングリスト：AAA_Accounting_CPPM（ステップ4でAAA設定の一部として定義）

注:C9800 WLCでRADIUS CoAメッセージを受け入れるようにするには、「Network Admission Control(NAC)State - Enable」が必要です。

C9800 – ポリシータグ

C9800のGUIで、に移動しConfiguration > Tags & Profiles > Tags > Policy > +Addます。

– 名前： PT_CAN01

– 説明：CAN01ブランチサイトのポリシータグ

同じダイアログAdd Policy Tagで、の下のをクリックしWLAN-POLICY MAPS +Add、以前に作成したWLANプロファイルをポリシープロファイルにマッピングします。

- WLANプロファイル：WP_Guest

– ポリシープロファイル：PP_Guest

C9800 - AP加入プロファイル

C9800 WLCのGUIで、に移動しますConfiguration > Tags & Profiles > AP Join > +Add。

– 名前：Branch_AP_Profile

- NTPサーバ：10.0.10.4（ラボトポロジダイアグラムを参照）これは、ブランチのAPが同期に使用するNTPサーバです。

C9800 – フレックスプロファイル

プロファイルとタグはモジュール化されており、複数のサイトで再利用できます。

FlexConnectの導入の場合、すべてのブランチサイトで同じVLAN IDが使用されていれば、同じFlexプロファイルを再利用できます。

ステップ 1：C9800 WLCのGUIで、に移動しますConfiguration > Tags & Profiles > Flex > +Add。

– 名前： FP_Branch

– ネイティブVLAN ID:10（デフォルト以外のネイティブVLANがあり、AP管理インターフェイスが必要な場合にのみ必要）

同じAdd Flex Profileダイアログで、タブに移動してPolicy ACL、をクリック+Addします。

- ACL名：CAPTIVE_PORTAL_REDIRECT

– 中央Web認証：有効

Flexconnectの導入では、C9800ではなくAPでリダイレクションが発生するため、各管理対象APはローカルにリダイレクトACLをダウンロードすることが想定されます。

同じダイアログでAdd Flex Profile、タブに移動してクリックしますVLAN（ラボのトポロジ図を参照）+Add。

- VLAN名：guest

- VLAN Id:210 

C9800 – サイトタグ

9800 WLCのGUIで、に移動しConfiguration > Tags & Profiles > Tags > Site > Addます。

注：説明に従って、2つのワイヤレスSSIDをサポートする必要があるリモートサイトごとに一意のサイトタグを作成します。

地理的ロケーション、サイトタグ、およびFlex Profile設定の間には1 ～ 1のマッピングがあります。

Flex Connectサイトには、Flex Connectプロファイルが関連付けられている必要があります。Flex Connectサイトごとに最大100のアクセスポイントを設定できます。

– 名前： ST_CAN01

- AP加入プロファイル：Branch_AP_Profile

– フレックスプロファイル：FP_Branch

– ローカルサイトを有効にする：無効

C9800 - RFプロファイル

9800 WLCのGUIで、に移動しConfiguration > Tags & Profiles > Tags > RF > Addます。

– 名前：Branch_RF

- 5 GHz帯無線周波数(RF)プロファイル：Typical_Client_Density_5gh（システム定義オプション）

- 2.4 GHz帯域RFプロファイル：Typical_Client_Density_2gh（システム定義オプション）

C9800 - APへのタグの割り当て

定義されたタグを展開内の個々のAPに割り当てるには、次の2つのオプションを使用できます。

- AP名ベースの割り当て。これは、AP名フィールド(Configure > Tags & Profiles > Tags > AP > Filter)のパターンに一致する正規表現ルールを利用します。

- APのイーサネットMACアドレスベースの割り当て(Configure > Tags & Profiles > Tags > AP > Static)

Cisco DNA Centerを使用した実稼働環境への導入では、手動でのAP単位の割り当てを避けるために、DNACとAPのPNPワークフローを使用するか、9800で使用可能な静的な一括カンマ区切り値(CSV)アップロード方式を使用することを強く推奨します。に移動しますConfigure > Tags & Profiles > Tags > AP > Static > Add(オプションに注意してくださいUpload File)。

- AP MACアドレス：<AP_ETHERNET_MAC>

– ポリシータグ名： PT_CAN01

– サイトタグ名： ST_CAN01

- RFタグ名：Branch_RF

注:Cisco IOS® XE 17.3.4cでは、コントローラの制限ごとに最大1,000個の正規表現ルールがあります。導入内のサイトの数がこの数を超える場合は、MACごとの静的な割り当てを利用する必要があります。

注：または、AP名の正規表現ベースのタグ割り当て方法を利用するには、に移動しConfigure > Tags & Profiles > Tags > AP > Filter > Addます。

– 名前： BR_CAN01

- AP名regex:BR-CAN01-.(7)(このルールは、組織内で採用されているAP名の表記法に一致します。この例では、タグは、「BR_CAN01 – 」の後に任意の7文字が続くAP名フィールドを持つAPに割り当てられます)。

– プライオリティ：1

– ポリシータグ名： PT_CAN01 （定義どおり）

– サイトタグ名： ST_CAN01

- RFタグ名：Branch_RF

Aruba CPPMインスタンスの設定

Aruba CPPM設定に基づく実稼働/ベストプラクティスについては、最寄りのHPE Aruba SEリソースにお問い合わせください。

Aruba ClearPassサーバの初期設定

Aruba ClearPassは、次のリソースを割り当てるESXi <>サーバ上のOpen Virtualization Format(OVF)テンプレートを使用して導入されます。

• 2つの予約済み仮想CPU
• メモリ 6 GB
• 80 GBディスク（マシンの電源を入れる前に、最初のVM導入後に手動で追加する必要がある）

ライセンスの申請

からプラットフォームライセンスを申し込みAdministration > Server Manager > Licensingます。Platform、Access、Onboard licensesを追加します。

サーバホスト名

に移動しAdministration > Server Manager > Server Configuration、新しくプロビジョニングされたCPPMサーバを選択します。

– ホスト名：cppm

- FQDN:cppm.example.com

– 管理ポートのIPアドレスとDNSの確認

CPPM Webサーバ証明書(HTTPS)の生成

この証明書は、ClearPassゲストポータルページがHTTPS経由でブランチのゲストWiFiに接続するゲストクライアントに提示されるときに使用されます。

ステップ 1：CA公開チェーン証明書をアップロードします。

に移動しAdministration > Certificates > Trust List > Addます。

– 使用法：その他を有効にする

ステップ 2： 証明書署名要求を作成します。

に移動しAdministration > Certificates > Certificate Store > Server Certificates > Usage: HTTPS Server Certificateます。

-ポリシーの横の [レポート（Report）] Create Certificate Signing Request

– 一般名：CPPM

-組織: cppm.example.com

SANフィールドに入力してください（必要に応じて、IPおよびその他のFQDNだけでなく、SANにも共通名が存在する必要があります）。形式はDNSで ,DNS: ,IP す。

ステップ 3：選択したCAで、新しく生成されたCPPM HTTPSサービスCSRに署名します。

ステップ 4：に移動しCertificate Template > Web Server > Import Certificateます。

– 証明書の種類：サーバー証明書

– 使用法： HTTPサーバー証明書

- Certificate File：参照して、CA signed CPPM HTTPS Service certificateを選択します。

ネットワークデバイスとしてのC9800 WLCの定義

に移動しConfiguration > Network > Devices > Addます。

– 名前：WLC_9800_Branch

- IPまたはサブネットアドレス：10.85.54.99（ラボトポロジ図を参照）

- RADIUS共有Cisco:<WLC RADIUSパスワード>

– ベンダー名：Cisco

- RADIUS動的認証の有効化：1700

ゲストポータルページとCoAタイマー

設定全体を通じて正しいタイマー値を設定することが非常に重要です。タイマーが調整されていない場合、「Run State」ではなく、クライアントとのWebポータルの循環型リダイレクトが発生する可能性があります。
注意が必要なタイマー：

• Portal Web Loginタイマー：このタイマーは、リダイレクトページを遅延させます。このタイマーの前に、ゲストポータルページへのアクセスが許可され、CPPMサービスに状態遷移が通知され、エンドポイントカスタム属性の「Allow-Guest-Internet」値が登録され、CPPMからWLCへのCoAプロセスがトリガーされます。に移動しGuest > Configuration > Pages > Web Loginsます。
  – ゲストポータル名：Lab Anonymous Guest Registrationを選択します（このゲストポータルページの設定は次のように詳細に説明されています）。
  – クリック Edit
  – ログイン遅延：6秒

• ClearPass CoA遅延タイマー：ClearPassからWLCへのCoAメッセージの発信を遅延します。これは、CoA確認応答(ACK)がWLCから戻る前に、CPPMがクライアントエンドポイントの状態を内部で正常に移行するために必要です。ラボテストでは、WLCからのミリ秒未満の応答時間が示されます。また、CPPMがエンドポイント属性の更新を完了していない場合、WLCからの新しいRADIUSセッションは非認証MABサービス適用ポリシーに一致し、クライアントには再びリダイレクトページが与えられます。に移動しCPPM > Administration > Server Manager > Server Configuration、を選択しCPPM Server > Service Parametersます。
  - RADIUS Dynamic Authorization(DM/CoA)Delay:6秒に設定

ClearPass – ゲストCWAの設定

ClearPass側のCWA設定は、(3)サービスポイント/ステージで構成されます。

ClearPassコンポーネント	サービスタイプ	目的
1.ポリシーマネージャ	サービス：Mac認証	カスタム属性Allow-Guest-Internet= TRUEの場合は、ネットワークへのアクセスを許可します。 それ以外の場合は、トリガーRedirectとCOA: Reauthenticateを実行します。
2.ゲスト	Webログイン	匿名ログインAUPページを表示します。 認証後は、カスタム属性Allow-Guest-Internet= TRUEを設定します。
3.ポリシーマネージャ	サービス：Webベース認証	エンドポイントをに更新 Known カスタム属性Allow-Guest-Internet= TRUEを設定 COA: Reauthenticate

ClearPassエンドポイントメタデータ属性：Allow-Guest-Internet

タイプがブールのメタデータ属性を作成して、クライアントが「Webauth Pending」状態と「Run」状態の間で移行するときにゲストエンドポイントの状態を追跡します。

- WiFiに接続する新しいゲストには、Allow-Guest-Internet=falseに設定されたデフォルトのメタデータ属性があります。この属性に基づいて、クライアント認証はMABサービスを通過します

- AUP Acceptボタンをクリックすると、ゲストクライアントのメタデータ属性がAllow-Guest-Internet=trueに更新されます。この属性に基づく後続のMABがTrueに設定されると、インターネットへの非リダイレクトアクセスが許可されます

に移動しClearPass > Configuration > Endpoints、リストから任意のエンドポイントを選択してAttributesAllow-Guest-Internet タブをクリックし、値falseとSaveを追加します。

注：同じエンドポイントを編集し、この属性をすぐに削除することもできます。この手順では、ポリシーで使用できるエンドポイントメタデータDBにフィールドを作成するだけです。

ClearPass再認証適用ポリシーの設定

ゲストポータルページでクライアントがAUPを受け入れた直後にゲストクライアントに割り当てられる適用プロファイルを作成します。

に移動しClearPass > Configuration > Profiles > Addます。

– テンプレート：RADIUS動的認証

– 名前：Cisco_WLC_Guest_COA

半径：IETF	Calling-Station-Id（発信ステーションID）	%{Radius:IETF:Calling-Station-Id}
半径：シスコ	Cisco-AVPair	サブスクライバ：command=再認証
半径：シスコ	Cisco-AVPair	%{Radius:Cisco:Cisco-AVPair:subscriber:audit-session-id}
半径：シスコ	Cisco-AVPair	サブスクライバ：reauthenticate-type=last-type=last

ClearPassゲストポータルリダイレクト強制プロファイルの設定

「Allow-Guest-Internet」が「true」に設定されたCPPMエンドポイントデータベースでMACアドレスが見つからない場合、初期MABフェーズ中にゲストに適用される強制プロファイルを作成します。

これにより、9800 WLCは外部認証用にゲストクライアントをCPPMゲストポータルにリダイレクトします。

に移動しClearPass > Enforcement > Profiles > Addます。

– 名前：Cisco_Portal_Redirect

– タイプ：RADIUS

– アクション：承認

ClearPassリダイレクト強制プロファイル

同じダイアログのAttributesタブで、次の図に示すように2つの属性を設定します。

ClearPassリダイレクトプロファイル属性

属性はurl-redirect-aclCAPTIVE-PORTAL-REDIRECT、C9800で作成されたACLの名前に設定されます。

注:RADIUSメッセージにはACLへの参照のみが渡され、ACLの内容は渡されません。9800 WLC上に作成されたACLの名前が、示されているように、このRADIUS属性の値と正確に一致していることが重要です。

属性はurl-redirect、次の複数のパラメータで構成されます。

• ゲストポータルがホストされているターゲットURL、https://cppm.example.com/guest/iaccept.php
• ゲストクライアントMAC、マクロ%{Connection:Client-Mac-Address-Hyphen}
• オーセンティケータIP（9800 WLCがリダイレクトをトリガー）、マクロ%{Radius:IETF:NAS-IP-Address}
• cmd-loginアクション

に移動すると、ClearPassゲストWebログインページのURLが表示されCPPM > Guest > Configuration > Pages > Web Logins > Editます。

この例では、CPPMのゲストポータルページ名はと定義されていiacceptます。

注：ゲストポータルページの設定手順は次のとおりです。

注：シスコデバイスの場合、通常はaudit_session_id、が使用されますが、他のベンダーではサポートされていません。

ClearPassメタデータ強制プロファイルの設定

CPPMによる状態遷移の追跡に使用されるエンドポイントメタデータ属性を更新するために、強制プロファイルを設定します。

このプロファイルは、エンドポイントデータベース内のゲストクライアントのMACアドレスエントリに適用され、Allow-Guest-Internet引数を「true」に設定します。

に移動しClearPass > Enforcement > Profiles > Addます。

– テンプレート： ClearPassエンティティの更新の強制

– タイプ：Post_Authentication

同じダイアログで、Attributesタブをクリックします。

– タイプ：Endpoint

– 名前：Allow-Guest-Internet

注：この名前をドロップダウンメニューに表示するには、手順に従って、少なくとも1つのエンドポイントに対してこのフィールドを手動で定義する必要があります。

– 値： true

ClearPassゲストインターネットアクセス強制ポリシーの設定

に移動しClearPass > Enforcement > Policies > Addます。

– 名前：WLC Cisco Guest Allow

– 適用タイプ：RADIUS

– デフォルトプロファイル：Cisco_Portal_Redirect

同じダイアログで、Rulesタブに移動してをクリックしAdd Ruleます。

– タイプ：Endpoint

– 名前：Allow-Guest-Internet

– 演算子： EQUALS

– 値True

– プロファイル名/追加の選択： [RADIUS] [アクセスプロファイルの許可]

ClearPassゲストのAUP後の適用ポリシーの設定

に移動しClearPass > Enforcement > Policies > Addます。

– 名前：Cisco WLC Webauth Enforcement Policy

– エンフォースメントタイプ：WEBAUTH(SNMP/Agent/CLI/CoA)

– デフォルトプロファイル：[RADIUS_CoA] Cisco_Reauthenticate_Session

同じダイアログで、に移動しRules > Addます。

– 条件：認証

– 名前：ステータス

– 演算子： EQUALS

– 値：ユーザ

– プロファイル名：
- [Post Authentication] [Update Endpoint Known]
- [認証後] [Make-Cisco-Guest-Valid]
- [RADIUS_CoA] [Cisco_WLC_Guest_COA]

注：ゲストポータルのリダイレクト疑似ブラウザのポップアップが繰り返し表示される状況は、CPPMタイマーで調整が必要であるか、RADIUS CoAメッセージがCPPMと9800 WLCの間で正しく交換されていないことを示しています。これらのサイトを確認します。

– に移動しCPPM > Monitoring > Live Monitoring > Access Tracker、RADIUSログエントリにRADIUS CoAの詳細が含まれていることを確認します。

– で9800 WLC Troubleshooting > Packet Capture、RADIUS CoAパケットの到着が予想されるインターフェイスでPCAPを有効にし、CPPMからRADIUS CoAメッセージが受信されることを確認します。

ClearPass MAB認証サービスの設定

このサービスは、属性値(AV)ペアRadius:Ciscoで照合されます。 | CiscoAVPair | Cisco WLANのSSID

に移動しClearPass > Configuration > Services > Addます。

Serviceタブ：

– 名前：GuestPortal - Mac認証

– タイプ：MAC認証

– その他のオプション：許可、エンドポイントのプロファイルの選択

一致ルールの追加：

– タイプ：Radius:Cisco

– 名前：Cisco-AVPair

– 演算子： EQUALS

– 値：cisco-wlan-ssid=Guest（設定したゲストSSID名に一致）

注:「Guest」は、9800 WLCによってブロードキャストされるゲストSSIDの名前です。

同じダイアログで、Authentication[タブ]を選択します。

– 認証方法： [MAC AUTH]を削除し、[すべてのMAC AUTHを許可]を追加

– 認証ソース： [Endpoints Repository][Local SQL DB]、[Guest User Repository][Local SQL DB]

同じダイアログで、Enforcement[タブ]を選択します。

– 適用ポリシー：WLC Cisco Guest Allow

同じダイアログで、Enforcement[タブ]を選択します。

ClearPass Webauthサービスの設定

に移動しClearPass > Enforcement > Policies > Addます。

– 名前：Guest_Portal_Webauth

– タイプ：Web-based Authentication

同じダイアログのタブでEnforcement、Enforcement Policy: Cisco WLC Webauth Enforcement Policyを選択します。

ClearPass - Webログイン

Anonymous AUP Guest Portalページでは、パスワードフィールドのない単一のユーザ名を使用します。 

使用されるユーザ名には、次のフィールドが定義/設定されている必要があります。

ユーザ名_認証 | ユーザ名認証： | 1

ユーザの「username_auth」フィールドを設定するには、最初にそのフィールドを「edit user」フォームで公開する必要があります。に移動しClearPass > Guest > Configuration > Pages > Forms、「create_userフォーム」を選択します。

visitor_name（20行目）を選択し、をクリックしInsert Afterます。

ここで、AUPゲストポータルページの背後で使用するユーザ名を作成します。

に移動しCPPM > Guest > Guest > Manage Accounts > Createます。

– ゲスト名：GuestWiFi

– 会社名：Cisco

– 電子メールアドレス：guest@example.com

– ユーザ名認証：ユーザ名のみを使用してゲストアクセスを許可する：有効

– アカウントの有効化：現在

– アカウントの有効期限：アカウントに有効期限はありません

– 使用条件：私がスポンサーです：有効

Webログインフォームを作成します。に移動しCPPM > Guest > Configuration > Web Loginsます。

名前：ラボ匿名ゲストポータル
ページ名： iaccept
ベンダー設定：Aruba Networks
ログイン方式：Server-initiated - Change of Authorization(RFC 3576)がコントローラに送信される
認証：匿名：ユーザ名やパスワードは不要
匿名ユーザ：GuestWifi
規約：規約の確認が必要
ログインラベル：受け入れて接続
デフォルトURL:www.example.com
ログイン遅延：6
エンドポイントの更新：ユーザのMACアドレスを既知のエンドポイントとしてマークします。
Advanced：エンドポイントとともに保存される属性をカスタマイズします。認証後のセクションのEndpoint Attributesは次のとおりです。

username | ユーザ名
ビジター名 | 訪問者の名前
cn | 訪問者の名前
ビジター電話 | 訪問者の電話番号
電子メール | Email
メール | Email
スポンサー名 | スポンサー名
スポンサーメール | スポンサー電子メール
許可 – ゲストインターネット | true

検証 – ゲストCWA認証

CPPMで、に移動しますLive Monitoring > Access Tracker。

新しいゲストユーザがMABサービスに接続し、トリガーします。

[概要]タブ：

同じダイアログで、Input[タブ]に移動します。

同じダイアログで、Output[タブ]に移動します。

付録

ここでは、参考のために、Cisco 9800外部アンカーコントローラとRADIUSサーバおよび外部ホスト型ゲストポータルとのインタラクションの状態フロー図を示します。

アンカーWLCを使用したゲストの中央Web認証の状態図

関連情報

• Cisco 9800導入のベストプラクティスガイド
• Catalyst 9800 ワイヤレスコントローラの設定モデルについて
• Catalyst 9800 ワイヤレスコントローラの FlexConnect について

• テクニカル サポートとドキュメント - Cisco Systems