セキュリティ設定用のユーティリティ
この章では、次のコマンドを使用してすべての RADIUS サーバー側設定を行う方法について説明します。
wireless-default radius server ip key secret
この簡易設定オプションは次の機能を提供します。
-
ネットワークサービスの AAA 認証、Web 認証および Dot1x の認証を設定します。
-
デフォルトの認証を使用してローカル認証を有効にします。
-
CWA のデフォルトのリダイレクト ACL を設定します。
-
仮想 IP でグローバルパラメータマップを作成し、キャプティブ バイパス ポータルを有効にします。
-
RADIUS サーバーの設定時に、デフォルト ケースのすべての AAA 設定を行います。
-
WLAN では、メソッドリストの設定がデフォルトで仮定されます。
-
デフォルトで RADIUS アカウンティングを有効にします。
-
デフォルトで RADIUS アグレッシブ フェールオーバーを無効にします。
-
RADIUS 要求のタイムアウトをデフォルトで 5 秒に設定します。
-
キャプティブ バイパス ポータルを有効にします。
このコマンドは、次の設定をバックグラウンドで行います。
aaa new-model
aaa authentication webauth default group radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting identity default start-stop group radius
!
aaa server radius dynamic-author
client <IP> server-key cisco123
!
radius server RAD_SRV_DEF_<IP>
description Configured by wireless-default
address ipv4 <IP> auth-port 1812 acct-port 1813
key <key>
!
aaa local authentication default authorization default
aaa session-id common
!
ip access-list extended CISCO-CWA-URL-REDIRECT-ACL-DEFAULT
remark “ CWA ACL to be referenced from ISE "
deny udp any any eq domain
deny tcp any any eq domain
deny udp any eq bootps any
deny udp any any eq bootpc
deny udp any eq bootpc any
deny ip any host <IP>
permit tcp any any eq www
!
parameter-map type webauth global
captive-bypass-portal
virtual-ip ipv4 192.0.2.1
virtual-ip ipv6 1001::1
!
wireless profile policy default-policy-profile
aaa-override
local-http-profiling
local-dhcp-profiling
accounting
このため、設定ガイドの内容をすべて調べなくても、簡易な設定要件を満たすようにワイヤレス 組み込みワイヤレスコントローラを設定することができます。
複数の RADIUS サーバーの設定
RADIUS サーバーを設定するには、次の手順を実行します。
手順
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 |
wireless-default radius server ip key secret 例:
|
RADIUS サーバーを設定します。
|
||
ステップ 3 |
end 例:
|
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
AAA および RADIUS サーバーの設定の確認
AAA サーバーの詳細を表示するには、次のコマンドを使用します。
Device# show run aaa
!
aaa new-model
aaa authentication webauth default group radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting Identity default start-stop group radius
!
aaa server radius dynamic-author
client 9.2.58.90 server-key cisco123
!
radius server RAD_SRV_DEF_9.2.58.90
description Configured by wireless-default
address ipv4 9.2.58.90 auth-port 1812 acct-port 1813
key cisco123
!
aaa local authentication default authorization default
aaa session-id common
!
!
ip access-list extended CISCO-CWA-URL-REDIRECT-ACL-DEFAULT
remark “ CWA ACL to be referenced from ISE "
deny udp any any eq domain
deny tcp any any eq domain
deny udp any eq bootps any
deny udp any any eq bootpc
deny udp any eq bootpc any
deny ip any host 9.2.58.90
permit tcp any any eq www
!
parameter-map type webauth global
captive-bypass-portal
virtual-ip ipv4 192.0.2.1
virtual-ip ipv6 1001::1
!
wireless profile policy default-policy-profile
aaa-override
local-http-profiling
local-dhcp-profiling
accounting
(注) |
このユーティリティに新しいコマンドを追加すると show run aaa の出力が変わる場合があります。 |