セキュリティ設定用のユーティリティ
この章では、次のコマンドを使用してすべての RADIUS サーバ側設定を行う方法について説明します。
wireless-default radius server IP key secret
この簡易設定オプションは次の機能を提供します。
-
RADIUS サーバの設定時に、デフォルト ケースのすべての AAA 設定を行います。
-
WLAN では、メソッドリストの設定がデフォルトで仮定されます。
-
デフォルトで RADIUS アカウンティングを有効にします。
-
デフォルトで RADIUS アグレッシブ フェールオーバーを無効にします。
-
RADIUS 要求のタイムアウトをデフォルトで 5 秒に設定します。
-
キャプティブ バイパス ポータルを有効にします。
このコマンドは、次の設定をバックグラウンドで行います。
aaa new-model
aaa authentication webauth default group radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting identity default start-stop group radius
!
aaa server radius dynamic-author
client <IP> server-key cisco123
!
radius server RAD_SRV_DEF_<IP>
description Configured by wireless-default
address ipv4 <IP> auth-port 1812 acct-port 1813
key <key>
!
aaa local authentication default authorization default
aaa session-id common
!
ip access-list extended CISCO-CWA-URL-REDIRECT-ACL-DEFAULT
remark “ CWA ACL to be referenced from ISE "
deny udp any any eq domain
deny tcp any any eq domain
deny udp any eq bootps any
deny udp any any eq bootpc
deny udp any eq bootpc any
deny ip any host <IP>
permit tcp any any eq www
!
parameter-map type webauth global
captive-portal-bypass
virtual-ip ipv4 1.1.1.1
virtual-ip ipv6 1001::1
!
wireless profile policy default-policy-profile
aaa-override
local-http-profiling
local-dhcp-profiling
accounting
このため、設定ガイドの内容をすべて調べなくても、簡易な設定要件を満たすようにワイヤレス コントローラを設定することができます。
複数の RADIUS サーバの設定
このユーティリティを使用すると、最大 10 台の RADIUS サーバを設定できます。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
wireless-default radius server IP key secret 例:
|
複数の RADIUS サーバを設定します。 |
ステップ 3 |
end 例:
|
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
AAA および RADIUS サーバの設定の確認
AAA サーバの詳細を表示するには、次のコマンドを使用します。
Device# show run aaa
Device# show run
!
aaa new-model
aaa authentication webauth default group radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting Identity default start-stop group radius
!
aaa server radius dynamic-author
client 9.2.58.90 server-key cisco123
!
radius server RAD_SRV_DEF_9.2.58.90
description Configured by wireless-default
address ipv4 9.2.58.90 auth-port 1812 acct-port 1813
key cisco123
!
aaa local authentication default authorization default
aaa session-id common
!
!
ip access-list extended CISCO-CWA-URL-REDIRECT-ACL-DEFAULT
remark “ CWA ACL to be referenced from ISE "
deny udp any any eq domain
deny tcp any any eq domain
deny udp any eq bootps any
deny udp any any eq bootpc
deny udp any eq bootpc any
deny ip any host 9.2.58.90
permit tcp any any eq www
!
parameter-map type webauth global
captive-portal-bypass
virtual-ip ipv4 1.1.1.1
virtual-ip ipv6 1001::1
!
wireless profile policy default-policy-profile
aaa-override
local-http-profiling
local-dhcp-profiling
accounting
(注) |
このユーティリティに新しいコマンドを追加すると show run aaa の出力が変わる場合があります。 |
ローカルおよび中央 Web 認証のキャプティブ ポータル バイパスの設定
キャプティブ バイパスについて
WISPr は、ユーザが異なるワイヤレス サービス プロバイダー間をローミングできるようにするドラフト プロトコルです。一部のデバイス(Apple iOS デバイスなど)には、指定の URL に対する HTTP WISPr 要求に基づいて、デバイスがインターネットに接続するかどうかを決定するときに使用するメカニズムが搭載されています。このメカニズムは、インターネットへの直接接続が不可能なときにデバイスが自動的に Web ブラウザを開くために使用されます。これにより、ユーザがインターネットにアクセスするために、自身の認証情報を提供することが可能となります。実際の認証は、デバイスが新しい SSID に接続するたびにバックグラウンドで実行されます。
クライアント デバイス(Apple IOS デバイス)は、WISPr 要求をコントローラに送信します。コントローラはユーザ エージェントの詳細をチェックし、コントローラでの Web 認証代行受信により HTTP 要求をトリガーします。ユーザ エージェントによって提供される IOS バージョンおよびブラウザの詳細の確認後に、コントローラによってクライアントはキャプティブ ポータル設定のバイパスを許可され、インターネットにアクセスできます。
この HTTP 要求は、他のページ要求がワイヤレス クライアントによって実行されると、コントローラでの Web 認証代行受信をトリガーします。この代行受信によって Web 認証プロセスが発生し、プロセスは正常に完了します。Web 認証がいずれかのコントローラ スプラッシュ ページ機能で使用されていると(設定された RADIUS サーバが URL を指定)、WISPr 要求が非常に短い間隔で発信されるので、スプラッシュ ページが表示されることはなく、いずれかのクエリーが指定のサーバに到達できるとただちに、バックグラウンドで実行されている Web リダイレクションまたはスプラッシュ ページ表示プロセスが中断されます。そして、デバイスによってページ要求が処理され、スプラッシュ ページ機能は中断されます。
たとえば、Apple は iOS 機能を導入して、キャプティブ ポータルがある場合のネットワーク アクセスを容易にしました。この機能では、ワイヤレス ネットワークへの接続に関する Web 要求を送信することにより、キャプティブ ポータルの存在を検出します。この要求は、Apple IOS バージョン 6 以前の場合は http://www.apple.com/library/test/success.html に、Apple IOS バージョン 7 以降の場合は複数の該当するターゲット URL に送られます。応答が受信されると、インターネット アクセスが使用可能であると見なされ、それ以上の操作は必要ありません。応答が受信されない場合、インターネット アクセスはキャプティブ ポータルによってブロックされたと見なされ、Apple の Captive Network Assistant(CNA)が疑似ブラウザを自動起動して管理ウィンドウでポータル ログインを要求します。ISE キャプティブ ポータルへのリダイレクト中に、CNA が切断される場合があります。コントローラは、この疑似ブラウザがポップアップ表示されないようにします。
現在、WISPr 検出プロセスをバイパスするようにコントローラを設定できるようになりました。それによって、ユーザが、ユーザ コンテキストでスプラッシュ ページ ロードを引き起こす Web ページを要求したときに、バックグラウンドで WISPr 検出を実行せずに、Web 認証代行受信だけが行われるようにすることができます。
LWA および CWA における WLAN のキャプティブ バイパスの設定(GUI)
手順
ステップ 1 |
の順に選択します。 |
ステップ 2 |
[Webauth Parameter Map] タブで、パラメータ マップ名をクリックします。[Edit WebAuth Parameter] ウィンドウが表示されます。 |
ステップ 3 |
[Captive Bypass Portal] チェックボックスをオンにします。 |
ステップ 4 |
[Update & Apply to Device] をクリックします。 |
LWA および CWA内の WLAN におけるキャプティブ バイパスの設定(CLI)
手順
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 |
parameter-map type webauth parameter-map-name 例:
|
パラメータ マップを作成します。 parameter-map-name は 99 文字を超えないようにする必要があります。 |
||
ステップ 3 |
captive-portal-bypass 例:
|
キャプティブ バイパスを設定します。 |
||
ステップ 4 |
wlan profile-name wlan-id ssid-name 例:
|
WLAN の名前と ID を指定します。
|
||
ステップ 5 |
security web-auth 例:
|
WLAN の Web 認証を有効にします。 |
||
ステップ 6 |
security web-auth parameter-map parameter-map-name 例:
|
パラメータ マップをマッピングします。
|
||
ステップ 7 |
end 例:
|
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
DHCP オプション 55 および 77 の ISE への送信
DHCP オプション 55 および 77 について
DHCP センサーは、ネイティブおよびリモート プロファイリングのために、ISE で次の DHCP オプションを使用します。
-
オプション 12:ホスト名
-
オプション 6:クラス ID
これと一緒に、次のオプションをプロファイリングのために ISE に送信する必要があります。
-
オプション 55:パラメータ要求リスト
-
オプション 77:ユーザ クラス
DHCP オプション 55 および 77 を ISE に送信するための設定(GUI)
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[Policy Profile] ページで、[Add] をクリックして [Add Policy Profile] ウィンドウを表示します。 |
ステップ 3 |
[Access Policies] タブをクリックし、[RADIUS Profiling] チェックボックスと [DHCP TLV Caching] チェックボックスをオンにして、WLANで RADIUS プロファイリングと DHCP TLV キャッシングを設定します。 |
ステップ 4 |
[Save & Apply to Device] をクリックします。 |
DHCP オプション 55 および 77 を ISE に送信するための設定(CLI)
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
wireless profile policy profile-policy 例:
|
WLAN ポリシー プロファイルを設定し、ワイヤレス ポリシー コンフィギュレーション モードを開始します。 |
ステップ 3 |
dhcp-tlv-caching 例:
|
WLAN で DHCP TLV キャッシングを設定します。 |
ステップ 4 |
radius-profiling 例:
|
WLAN でクライアント RADIUS プロファイリングを設定します。 |
ステップ 5 |
end 例:
|
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
EAP 要求のタイムアウトの設定
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
wireless wps client-exclusion dot1x-timeout 例:
|
タイムアウト時および応答がない場合の除外を有効にします。 デフォルトでは、この機能は有効です。 無効にするには、コマンドの先頭に no を付けます。 |
ステップ 3 |
end 例:
|
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
キャプティブ ポータル
キャプティブ ポータル設定
この機能を使用すると、AP に基づき同じ SSID に対して、複数の Web 認証 URL(外部のキャプティブ URL を含む)を設定できます。デフォルトの設定では、グローバル URL が認証に使用されます。オーバーライド オプションは、WLAN および AP レベルで使用できます。
優先順位は次のとおりです。
-
AP
-
WLAN
-
グローバル コンフィギュレーション
キャプティブ ポータルの設定の制約事項
-
この設定は、スタンドアロン コントローラでのみサポートされています。
-
エクスポート アンカー設定はサポートされていません。
キャプティブ ポータルの設定
手順
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
Configure Terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 |
wlan { <profile-name> | shutdown} <1-4096> <network-name> 例:
|
WLAN プロファイルを設定します。すべての WLAN を有効または無効にし、WLAN ID を作成します。プロファイル名と SSID ネットワーク名には、最大 32 文字の英数字を使用できます。 |
||
ステップ 3 |
ip { access-group | verify} web <IPvL-ACL-Name> 例:
|
WLAN の Web ACL を設定します。
|
||
ステップ 4 |
no security wpa 例:
|
WPA セキュリティを無効にします。 |
||
ステップ 5 |
no security wpa akm dot1x 例:
|
dot1x に対するセキュリティの AKM をディセーブルにします。 |
||
ステップ 6 |
no security wpa wpa2 ciphers aes 例:
|
AES の WPA2 暗号化を無効にします。 |
||
ステップ 7 |
security web-auth { authentication-list authentication-list-name | authorization-list authorization-list-name | on-macfilter-failure | parameter-map parameter-map-name} 例:
|
WLAN の Web 認証を有効にします。ここで、各変数は次のように定義されます。
|
||
ステップ 8 |
no shutdown 例:
|
WLAN をイネーブルにします。 |
||
ステップ 9 |
exit 例:
|
WLAN 設定を終了します。 |
||
ステップ 10 |
parameter-map type webauth parameter-map-name 例:
|
パラメータ マップを作成し、parameter-map webauth コンフィギュレーション モードを開始します。 |
||
ステップ 11 |
parameter-map type webauth parameter-map-name 例:
|
パラメータ マップを作成し、parameter-map webauth コンフィギュレーション モードを開始します。 |
||
ステップ 12 |
type webauth 例:
|
webauth タイプ パラメータを設定します。 |
||
ステップ 13 |
timeout init-state sec <timeout-seconds> 例:
|
WEBAUTH のタイムアウトを秒単位で設定します。タイムアウト(秒単位)パラメータの有効な範囲は 60 ~ 3932100 秒です。 |
||
ステップ 14 |
redirect for-login <URL-String> 例:
|
ログイン時のリダイレクト用の URL 文字列を設定します。 |
||
ステップ 15 |
exit 例:
|
パラメータ設定を終了します。 |
||
ステップ 16 |
wireless tag policy policy-tag-name 例:
|
ポリシー タグを設定し、ポリシー タグ コンフィギュレーション モードを開始します。 |
||
ステップ 17 |
wlan wlan-profile-name policy policy-profile-name 例:
|
WLAN プロファイルにポリシー プロファイルをアタッチします。 |
||
ステップ 18 |
end 例:
|
設定を保存し、コンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。 |
キャプティブ ポータル設定:例
次に、複数の AP を異なるロケーションに配置して同じ SSID をブロードキャストするものの、クライアントを異なるリダイレクト ポータルにリダイレクトする例を示します。
異なるリダイレクト ポータルを指す複数のパラメータ マップを設定するには、次のようにします。
parameter-map type webauth parMap1
type webauth
timeout init-state sec 21600
redirect for-login https://172.16.12.3:8080/portal/PortalSetup.action?portal=cfdbce00-2ce2-11e8-b83c-005056a06b27
redirect portal ipv4 172.16.12.3
!
!
parameter-map type webauth parMap11
type webauth
timeout init-state sec 21600
redirect for-login https://172.16.12.4:8443/portal/PortalSetup.action?portal=094e7270-3808-11e8-9797-02421e4cae0c
redirect portal ipv4 172.16.12.4
!
これらのパラメータ マップを異なる WLAN に関連付けます。
wlan edc1 1 edc
ip access-group web CPWebauth
no security wpa
no security wpa akm dot1x
no security wpa wpa2 ciphers aes
security web-auth
security web-auth authentication-list cp-webauth
security web-auth parameter-map parMap11
no shutdown
wlan edc2 2 edc
ip access-group web CPWebauth
no security wpa
no security wpa akm dot1x
no security wpa wpa2 ciphers aes
security web-auth
security web-auth authentication-list cp-webauth
security web-auth parameter-map parMap1
no shutdown
(注) |
すべての WLAN に同じ SSID があります。 |
WLAN を異なるポリシー タグに関連付けます。
wireless tag policy policy_tag_edc1
wlan edc1 policy policy_profile_flex
wireless tag policy policy_tag_edc2
wlan edc2 policy policy_profile_flex
これらのポリシー タグを目的の AP に割り当てます。
ap E4AA.5D13.14DC
policy-tag policy_tag_edc1
site-tag site_tag_flex
ap E4AA.5D2C.3CAC
policy-tag policy_tag_edc2
site-tag site_tag_flex