ISE를 사용하여 WLC에서 FlexConnect AP로 CWA 구성

소개

이 문서에서는 로컬 스위칭 모드에서 ISE(Identity Services Engine)를 사용하는 WLC(Wireless LAN Controller)의 FlexConnect AP(Access Point)를 사용하여 중앙 웹 인증을 구성하는 방법에 대해 설명합니다.

중요 참고: 현재 이 시나리오에서는 FlexAP에 대한 로컬 인증이 지원되지 않습니다.

이 시리즈의 기타 문서

• 스위치 및 ISE(Identity Services Engine)를 사용한 중앙 웹 인증 구성 예
• WLC 및 ISE 컨피그레이션의 중앙 웹 인증 예

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco ISE(Identity Services Engine), 릴리스 1.2.1
• 무선 LAN 컨트롤러 소프트웨어, 릴리스 버전 - 7.4.100.0

구성

WLC(Wireless LAN Controller)에서 중앙 웹 인증을 구성하는 방법은 여러 가지가 있습니다. 첫 번째 방법은 WLC가 HTTP 트래픽을 내부 또는 외부 서버로 리디렉션하는 로컬 웹 인증입니다. 이 서버에서는 사용자가 인증하라는 메시지가 표시됩니다. 그런 다음 WLC는 자격 증명을 가져와(외부 서버의 경우 HTTP GET 요청을 통해 다시 전송) RADIUS 인증을 만듭니다. 게스트 사용자의 경우, 포털에서 디바이스 등록 및 셀프 프로비저닝과 같은 기능을 제공하기 때문에 외부 서버(예: ISE(Identity Service Engine) 또는 NGS(NAC Guest Server)가 필요합니다. 이 프로세스에는 다음 단계가 포함됩니다.

1. 사용자가 웹 인증 SSID에 연결합니다.
2. 사용자가 브라우저를 엽니다.
3. WLC는 URL이 입력되는 즉시 게스트 포털(예: ISE 또는 NGS)로 리디렉션됩니다.
4. 사용자는 포털에서 인증됩니다.
5. 게스트 포털은 입력한 자격 증명을 사용하여 WLC로 다시 리디렉션합니다.
6. WLC는 RADIUS를 통해 게스트 사용자를 인증합니다.
7. WLC는 원래 URL로 다시 리디렉션됩니다.

이 프로세스에는 많은 리디렉션이 포함되어 있습니다. 새로운 접근 방식은 ISE(1.1 이상 버전) 및 WLC(7.2 이후 버전)와 함께 작동하는 중앙 웹 인증을 사용하는 것입니다. 이 프로세스에는 다음 단계가 포함됩니다.

1. 사용자가 웹 인증 SSID에 연결합니다.
2. 사용자가 브라우저를 엽니다.
3. WLC는 게스트 포털에 리디렉션됩니다.
4. 사용자는 포털에서 인증됩니다.
5. ISE는 RADIUS Change of Authorization(CoA - UDP Port 1700)을 전송하여 사용자가 유효하다는 것을 컨트롤러에 표시하고 ACL(Access Control List)과 같은 RADIUS 특성을 푸시합니다.
6. 원래 URL을 다시 시도하라는 메시지가 표시됩니다.

이 섹션에서는 WLC 및 ISE에서 중앙 웹 인증을 구성하는 데 필요한 단계를 설명합니다.

네트워크 다이어그램

이 구성에서는 다음 네트워크 설정을 사용합니다.

WLC 컨피그레이션

WLC 구성은 매우 간단합니다. "속임수? 은(는) ISE에서 동적 인증 URL을 얻기 위해(스위치와 동일) 사용됩니다. (CoA를 사용하기 때문에 세션 ID가 URL의 일부이므로 세션을 생성해야 합니다.) SSID는 MAC 필터링을 사용하도록 구성되며, MAC 주소가 없는 경우에도 액세스 수락 메시지를 반환하여 모든 사용자에 대해 리디렉션 URL을 전송하도록 ISE가 구성됩니다. 

또한 RADIUS NAC(Network Admission Control) 및 AAA Override를 활성화해야 합니다. RADIUS NAC는 ISE가 사용자가 현재 인증되고 네트워크에 액세스할 수 있음을 나타내는 CoA 요청을 보낼 수 있게 합니다. 포스처 평가에도 사용됩니다. 포스처 결과에 따라 ISE가 사용자 프로필을 변경합니다.

1. RADIUS 서버에 기본값인 RFC3576(CoA)이 활성화되어 있는지 확인합니다.
   
   
   
   
2. 새 WLAN을 생성합니다. 이 예에서는 CWAFlex라는 새 WLAN을 생성하고 이를 vlan33에 할당합니다. (액세스 포인트가 로컬 스위칭 모드에 있기 때문에 크게 영향을 미치지 않습니다.)
   
   
   
   
3. Security(보안) 탭에서 MAC Filtering as Layer 2 Security(레이어 2 보안으로 MAC 필터링)를 활성화합니다.
   
   
   
   
4. Layer 3 탭에서 보안이 비활성화되었는지 확인합니다. (레이어 3에서 웹 인증이 활성화된 경우 중앙 웹 인증이 아닌 로컬 웹 인증이 활성화됩니다.)
   
   
   
   
5. AAA Servers(AAA 서버) 탭에서 WLAN에 대한 ISE 서버를 radius 서버로 선택합니다. 선택적으로, ISE에 대한 자세한 정보를 얻기 위해 어카운팅에 대해 선택할 수 있습니다.
   
   
   
   
6.  Advanced(고급) 탭에서 Allow AAA Override(AAA 재정의 허용)가 선택되고 Radius NAC State(NAC 상태)에 대해 Radius NAC가 선택되었는지 확인합니다.
   
   
   
   
7. 리디렉션 ACL을 생성합니다.
   
   이 ACL은 ISE의 Access-Accept 메시지에서 참조되고 리디렉션될 트래픽(ACL에서 거부)과 리디렉션되지 않아야 하는 트래픽(ACL에서 허용)을 정의합니다. 기본적으로 ISE를 오가는 DNS 및 트래픽을 허용해야 합니다.

   참고: FlexConnect AP의 문제는 일반 ACL과 별도로 FlexConnect ACL을 생성해야 한다는 것입니다. 이 문제는 Cisco 버그 CSCue68065에 문서화되며 릴리스 7.5에서 수정되었습니다. WLC 7.5 이상에서는 FlexACL만 필요하며 표준 ACL은 필요하지 않습니다. WLC는 ISE에서 반환한 리디렉션 ACL이 일반 ACL이어야 합니다. 그러나 ACL이 제대로 작동하려면 FlexConnect ACL과 동일한 ACL을 적용해야 합니다.

   
   다음 예에서는 flexred라는 FlexConnect ACL을 생성하는 방법을 보여 줍니다.
   
   
   
   

   1. ISE로 향하는 트래픽과 DNS 트래픽을 허용하는 규칙을 만들고 나머지는 거부합니다.
      
      
      최대 보안을 원하는 경우 ISE에 포트 8443만 허용할 수 있습니다. (포스처인 경우 8905,8906,8909,8910과 같은 일반적인 포스처 포트를 추가해야 합니다.)
      
      
   2. (CSCue68065로 인해 버전 7.5 이전의 코드에서만) Security(보안) > Access Control Lists(액세스 제어 목록)를 선택하여 동일한 이름의 동일한 ACL을 생성합니다.
      
      
      
      
   3. 특정 FlexConnect AP를 준비합니다. 대규모 구축의 경우 일반적으로 FlexConnect 그룹을 사용하며 확장성으로 인해 AP별로 이러한 항목을 수행하지 않습니다.
      
      
      1. 무선을 클릭하고 특정 액세스 포인트를 선택합니다.
      2. FlexConnect 탭을 클릭하고 External Webauthentication ACLs를 클릭합니다. (버전 7.4 이전 버전에서는 이 옵션의 이름이 웹 정책이었습니다.)
         
         
         
         
      3. ACL(이 예에서 flexred로 지정)을 웹 정책 영역에 추가합니다. 이렇게 하면 ACL이 액세스 포인트에 미리 푸시됩니다. ACL 내용은 아직 적용되지 않지만 AP에 제공되므로 필요할 때 적용할 수 있습니다.
         
         
         

이제 WLC 구성이 완료되었습니다.

ISE 컨피그레이션

권한 부여 프로파일 생성

권한 부여 프로파일을 생성하려면 다음 단계를 완료합니다.

1. Policy(정책)를 클릭한 다음 Policy Elements(정책 요소)를 클릭합니다.

2. 결과를 클릭합니다.

3. Authorization(권한 부여)을 확장한 다음 Authorization profile(권한 부여 프로파일)을 클릭합니다.

4. 중앙 WebUth에 대한 새 권한 부여 프로파일을 생성하려면 Add(추가) 버튼을 클릭합니다.

5. Name(이름) 필드에 프로파일 이름을 입력합니다. 이 예제에서는 CentralWebauth를 사용합니다.

6. 액세스 유형 드롭다운 목록에서 ACCESS_ACCEPT를 선택합니다.

7. Web Authentication(웹 인증) 확인란을 선택하고 드롭다운 목록에서 Centralized Web Auth(중앙 웹 인증)를 선택합니다.

8. ACL 필드에 리디렉션될 트래픽을 정의하는 WLC의 ACL 이름을 입력합니다. 이 예에서는 flexred를 사용합니다.

9. Redirect 드롭다운 목록에서 Default를 선택합니다.

Redirect 특성은 ISE에 기본 웹 포털 또는 ISE 관리자가 생성한 사용자 지정 웹 포털이 표시되는지 여부를 정의합니다. 예를 들어 이 예에서 flexred ACL은 클라이언트에서 임의의 위치로 HTTP 트래픽에 대한 리디렉션을 트리거합니다.

인증 규칙 생성

인증 프로필을 사용하여 인증 규칙을 생성하려면 다음 단계를 완료합니다.

1. Policy(정책) 메뉴에서 Authentication(인증)을 클릭합니다.

   이 이미지는 인증 정책 규칙을 구성하는 방법의 예를 보여줍니다. 이 예에서는 MAC 필터링이 탐지될 때 트리거되는 규칙이 구성됩니다.
   
   

2. 인증 규칙의 이름을 입력합니다. 이 예에서는 무선 mab를 사용합니다.
3. If 조건 필드에서 더하기(+) 아이콘을 선택합니다.
4. Compound condition(복합 조건)을 선택한 다음 Wireless_MAB를 선택합니다.
5. 허용되는 프로토콜로 "Default network access(기본 네트워크 액세스)"를 선택합니다.
6. 규칙을 더 확장하려면 및 ... 옆에 있는 화살표를 클릭합니다.
7. Identity Source(ID 소스) 필드에서 + 아이콘을 클릭하고 Internal endpoints(내부 엔드포인트)를 선택합니다.
8. If user not found 드롭다운 목록에서 Continue를 선택합니다. 
   
   

이 옵션을 사용하면 MAC 주소를 모르는 경우에도 디바이스를 인증할 수 있습니다(webauth를 통해). Dot1x 클라이언트는 여전히 해당 자격 증명으로 인증할 수 있으며 이 컨피그레이션에 대해 걱정하지 않아야 합니다.

권한 부여 규칙 생성

이제 권한 부여 정책에서 구성할 몇 가지 규칙이 있습니다. PC가 연결되면 mac 필터링을 거칩니다. MAC 주소를 알 수 없으므로 webauth 및 ACL이 반환됩니다. 이 MAC 알 수 없는 규칙은 아래 이미지에 표시되며 이 섹션에서 구성됩니다.

 

권한 부여 규칙을 생성하려면 다음 단계를 완료합니다.

1. 새 규칙을 생성하고 이름을 입력합니다. 이 예에서는 알 수 없는 MAC을 사용합니다.

2. 조건 필드에서 더하기(+) 아이콘을 클릭하고 새 조건을 생성하도록 선택합니다.

3. 표현식 드롭다운 목록을 확장합니다.

4. 네트워크 액세스를 선택하고 확장합니다.

5. AuthenticationStatus를 클릭하고 Equals 연산자를 선택합니다.

6. 오른쪽 필드에서 UnknownUser를 선택합니다.

7. General Authorization(일반 권한 부여) 페이지의 단어 오른쪽 필드에서 CentralWebauth(Authorization Profile)를 선택합니다.

   이 단계에서는 사용자(또는 MAC)가 알려지지 않은 경우에도 ISE를 계속할 수 있습니다.

   알 수 없는 사용자가 로그인 페이지에 표시됩니다. 그러나 자격 증명을 입력하면 ISE에 인증 요청이 다시 표시됩니다. 따라서 사용자가 게스트 사용자일 경우 충족되는 조건으로 다른 규칙을 구성해야 합니다. 이 예에서 UseridentityGroup이 Guest와 같은 경우 모든 게스트가 이 그룹에 속하는 것으로 가정합니다.

8. MAC을 알 수 없는 규칙의 끝에 있는 작업 버튼을 클릭하고 위에 새 규칙을 삽입하도록 선택합니다.

   참고: 이 새 규칙은 MAC이 알려지지 않은 규칙보다 우선해야 합니다.

9. 이름 필드에 두 번째 AUTH를 입력합니다.

10. ID 그룹을 조건으로 선택합니다. 이 예에서는 Guest를 선택합니다.
    
    
11. 조건 필드에서 더하기(+) 아이콘을 클릭하고 새 조건을 생성하도록 선택합니다.
    
    
12. Network Access(네트워크 액세스)를 선택하고 UseCase를 클릭합니다.
    
    
13. 연산자로 Equals를 선택합니다.
    
    
14. GuestFlow를 오른쪽 피연산자로 선택합니다. 즉, 웹 페이지에 방금 로그인한 사용자를 포착하고 권한 부여 변경(규칙의 게스트 플로우 부분)을 수행한 후 게스트 ID 그룹에 속한 경우에만 다시 돌아옵니다.
    
    
15. 규칙의 결과를 선택하려면 권한 부여 페이지에서 더하기(+) 아이콘(그 다음 옆에 있음)을 클릭합니다.
    
    이 예에서는 사전 구성된 프로파일(vlan34)이 할당됩니다. 이 구성은 이 문서에 표시되지 않습니다.
    
    Permit Access 옵션을 선택하거나 원하는 VLAN 또는 특성을 반환하기 위해 사용자 지정 프로필을 생성할 수 있습니다.

중요 참고: ISE 버전 1.3에서는 웹 인증 유형에 따라 "Guest Flow" 활용 사례가 더 이상 발생하지 않을 수 있습니다. 권한 부여 규칙에는 게스트 사용자 그룹을 가능한 유일한 조건으로 포함해야 합니다. 

IP 갱신 활성화(선택 사항)

VLAN을 할당하는 경우 마지막 단계는 클라이언트 PC가 IP 주소를 갱신하는 것입니다. 이 단계는 Windows 클라이언트용 게스트 포털에서 수행합니다. 앞서 두 번째 AUTH 규칙에 대해 VLAN을 설정하지 않은 경우 이 단계를 건너뛸 수 있습니다.

FlexConnect AP에서는 VLAN이 AP 자체에 미리 존재해야 합니다. 따라서 VLAN이 없는 경우 AP 자체 또는 생성하려는 새 VLAN에 대해 ACL을 적용하지 않는 플렉스 그룹에 VLAN-ACL 매핑을 생성할 수 있습니다. 실제로 VLAN을 생성합니다(ACL이 없습니다).

VLAN을 할당한 경우 IP 갱신을 활성화하려면 다음 단계를 완료하십시오.

1. Administration(관리)을 클릭한 다음 Guest Management(게스트 관리)를 클릭합니다.

2. 설정을 클릭합니다.

3. Guest를 확장한 다음 Multi-Portal Configuration을 확장합니다.

4. DefaultGuestPortal 또는 생성한 사용자 지정 포털의 이름을 클릭합니다.

5. Vlan DHCP Release 확인란을 클릭합니다.

   참고: 이 옵션은 Windows 클라이언트에서만 작동합니다.

 

트래픽 흐름

이 시나리오에서 어떤 트래픽이 어디로 전송되는지 이해하기 어려울 수 있습니다. 다음은 빠른 검토입니다.

• 클라이언트는 SSID에 대한 연결 요청을 공중으로 보냅니다.
• WLC는 ISE를 사용하여 MAC 필터링 인증을 처리합니다(여기서 리디렉션 특성을 수신함).
• 클라이언트는 MAC 필터링이 완료된 후에만 연결 응답을 수신합니다.
• 클라이언트는 DHCP 요청을 제출하며 로컬 원격 사이트의 IP 주소를 얻기 위해 액세스 포인트에 의해 전환됩니다.
• Central_webauth 상태에서 리디렉션 ACL에서 거부로 표시된 트래픽은 중앙 집중식 전환했습니다. 따라서 리디렉션을 수행하는 AP가 아니라 WLC입니다. 예를 들어, 클라이언트가 어떤 웹 사이트라도 요청하면 AP는 이를 CAPWAP로 캡슐화된 WLC와 웹 사이트 IP 주소로 전송하고 ISE로 리디렉션합니다.
• 클라이언트가 ISE 리디렉션 URL로 리디렉션됩니다. 이것은 로컬 다시 전환됨(flex redirect ACL에서 permit에 도달했기 때문)
• RUN 상태가 되면 트래픽이 로컬로 전환됩니다.

다음을 확인합니다.

사용자가 SSID에 연결되면 ISE 페이지에 권한 부여가 표시됩니다.

아래쪽에서 CWA 특성을 반환하는 MAC 주소 필터링 인증을 볼 수 있습니다. 다음은 사용자 이름으로 포털 로그인입니다. 그런 다음 ISE는 WLC에 CoA를 전송하고 마지막 인증은 WLC 측의 레이어 2 MAC 필터링 인증이지만, ISE는 클라이언트와 사용자 이름을 기억하고 이 예에서 구성한 필수 VLAN을 적용합니다.

클라이언트에서 주소를 열면 브라우저가 ISE로 리디렉션됩니다. DNS(Domain Name System)가 올바르게 구성되었는지 확인합니다.

사용자가 정책을 수락하면 네트워크 액세스가 허용됩니다.

컨트롤러에서 정책 관리자 상태 및 RADIUS NAC 상태가 POSTURE_REQD에서 RUN으로 변경됩니다.