본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 동적 VLAN 할당 개념을 소개합니다.이 문서에서는 특정 VLAN에 무선 LAN(WLAN) 클라이언트를 동적으로 할당하도록 WLC(Wireless LAN Controller) 및 ISE 서버를 구성하는 방법에 대해 설명합니다.
이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.
WLC(Wireless LAN Controller) 및 LAP(Lightweight Access Point)에 대한 기본적인 지식 보유
ISE(Identity Services Engine)와 같은 AAA(Authentication,Authorization and Accounting) 서버에 대한 기능 지식 보유
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
펌웨어 릴리스 8.8.111.0을 실행하는 Cisco 5520 Series WLC
Cisco 4800 Series AP
기본 Windows 신청자 및 Anyconnect NAM.
Cisco Secure ISE 버전 2.3.0.298
도메인 컨트롤러로 구성된 Microsoft Windows 2016 Server
버전 15.2(4)E1을 실행하는 Cisco 3560-CX Series 스위치
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
대부분의 WLAN 시스템에서 각 WLAN에는 컨트롤러 용어에서 SSID(Service Set Identifier) 또는 WLAN과 연결된 모든 클라이언트에 적용되는 정적 정책이 있습니다.강력하지만 이 방법은 여러 QoS 및 보안 정책을 상속하기 위해 클라이언트가 다른 SSID와 연결해야 하기 때문에 제한이 있습니다.
Cisco WLAN 솔루션은 ID 네트워킹의 지원으로 제한되는 문제를 해결합니다. 이를 통해 네트워크에서 단일 SSID를 광고할 수 있지만, 특정 사용자가 사용자 자격 증명을 기반으로 다른 QoS, VLAN 특성 및/또는 보안 정책을 상속할 수 있습니다.
동적 VLAN 할당은 사용자가 제공한 자격 증명을 기반으로 무선 사용자를 특정 VLAN에 넣는 기능입니다.특정 VLAN에 사용자를 할당하는 이 작업은 Cisco ISE와 같은 RADIUS 인증 서버에 의해 처리됩니다.예를 들어, 이를 사용하여 무선 호스트가 캠퍼스 네트워크 내에서 이동하는 동일한 VLAN에 유지되도록 할 수 있습니다.
Cisco ISE 서버는 다음과 같은 내부 데이터베이스를 포함하는 가능한 여러 데이터베이스 중 하나에 대해 무선 사용자를 인증합니다.
Active Directory
일반 LDAP(Lightweight Directory Access Protocol)
ODBC(Open Database Connectivity) 호환 관계형 데이터베이스
Rivest, Shamir, Adelman(RSA) SecurID 토큰 서버
RADIUS 호환 토큰 서버
Cisco ISE 인증 프로토콜 및 지원되는 외부 ID 소스는 ISE 내부 및 외부 데이터베이스에서 지원하는 다양한 인증 프로토콜을 나열합니다.
이 문서에서는 Windows Active Directory 외부 데이터베이스를 사용하는 무선 사용자를 인증하는 데 중점을 둡니다.
인증에 성공하면 ISE는 Windows 데이터베이스에서 해당 사용자의 그룹 정보를 검색하고 사용자를 해당 권한 부여 프로파일에 연결합니다.
클라이언트가 컨트롤러에 등록된 LAP에 연결하려고 시도하면 LAP는 해당 EAP 방법을 사용하여 사용자의 자격 증명을 WLC에 전달합니다.
WLC는 RADIUS 프로토콜(EAP 캡슐화)을 사용하여 ISE로 이러한 자격 증명을 전송하고 ISE는 KERBEROS 프로토콜을 사용한 검증을 위해 사용자의 자격 증명을 AD에 전달합니다.
AD는 사용자 자격 증명을 확인하고 인증에 성공하면 ISE에 알립니다.
인증이 성공하면 ISE 서버는 특정 IETF(Internet Engineering Task Force) 특성을 WLC에 전달합니다.이러한 RADIUS 특성은 무선 클라이언트에 할당해야 하는 VLAN ID를 결정합니다.사용자가 항상 이 미리 결정된 VLAN ID에 할당되므로 클라이언트의 SSID(WLAN, WLC)는 중요하지 않습니다.
VLAN ID 할당에 사용되는 RADIUS 사용자 특성은 다음과 같습니다.
IETF 64(터널 유형)—VLAN으로 설정합니다.
IETF 65(터널 미디어 유형)—802로 설정
IETF 81(터널 전용 그룹 ID)—VLAN ID로 설정합니다.
VLAN ID는 12비트이며 1과 4094 사이의 값을 포함합니다(포함).Tunnel-Private-Group-ID는 RFC2868에서 IEEE 802.1X와 함께 사용하기 위해 정의한 대로 문자열 유형이므로 VLAN ID 정수 값은 문자열로 인코딩됩니다.이러한 터널 특성이 전송되면 Tag 필드를 입력해야 합니다.
RFC 2868에 설명된 대로 섹션 3.1:Tag 필드는 길이가 18진이며 동일한 터널을 참조하는 동일한 패킷에서 특성을 그룹화하는 방법을 제공합니다.이 필드에 유효한 값은 0x01~0x1F(포함)입니다.태그 필드가 사용되지 않으면 0이어야 합니다(0x00). 모든 RADIUS 특성에 대한 자세한 내용은 RFC 2868을 참조하십시오.
이 섹션에서는 이 문서에 설명된 기능을 구성하는 정보를 제공합니다.
다음은 이 다이어그램에서 사용되는 구성 요소의 구성 세부 정보입니다.
ISE (RADIUS) 서버의 IP 주소는 10.48.39.128 입니다.
WLC의 관리 및 AP 관리자 인터페이스 주소는 10.48.71.20입니다.
DHCP 서버는 LAN 네트워크에 있으며 각 클라이언트 풀에 대해 구성됩니다.다이어그램에 표시되지 않음
VLAN1477 및 VLAN1478은 이 컨피그레이션 전체에서 사용됩니다.마케팅 부서의 사용자는 VLAN1477에 배치되도록 구성되고 HR 부서의 사용자는 RADIUS 서버에 의해 VLAN1478에 배치되도록 구성됩니다. 두 사용자가 동일한 SSID에 연결하는 경우 — office_hq.
VLAN1477:192.168.77.0/24. 게이트웨이:192.168.77.1 VLAN1478:192.168.78.0/24. 게이트웨이:192.168.78.1
이 문서에서는 PEAP-mschapv2가 포함된 802.1x를 보안 메커니즘으로 사용합니다.
참고: WLAN을 보호하기 위해 EAP-FAST 및 EAP-TLS 인증과 같은 고급 인증 방법을 사용하는 것이 좋습니다.
이러한 가정은 이 컨피그레이션을 수행하기 전에 수행됩니다.
LAP가 이미 WLC에 등록되어 있습니다.
DHCP 서버에 DHCP 범위가 할당되었습니다.
이 문서에서는 무선 측에서 필요한 구성에 대해 설명하고 유선 네트워크가 제자리에 있다고 가정합니다.
ISE와 AD 그룹 간의 매핑을 기반으로 WLC를 사용하여 동적 VLAN 할당을 수행하려면 다음 단계를 수행해야 합니다.
Windows 10 기본 신청자 및 Anyconnect NAM을 사용하여 연결을 테스트합니다.
EAP-PEAP 인증을 사용 중이며 ISE가 SSC(Self-Signed Certificate)를 사용 중이므로 인증서 경고에 동의하거나 인증서 검증을 비활성화해야 합니다.회사 환경에서는 ISE에서 서명된 신뢰할 수 있는 인증서를 사용하고 최종 사용자 디바이스에 신뢰할 수 있는 CA 목록 아래에 적절한 루트 인증서가 설치되어 있는지 확인해야 합니다.
Windows 10 및 네이티브 서 플리 컨 트를 사용하여 연결을 테스트 합니다.
show client detail f4:8c:50:62:14:6b Client MAC Address............................... f4:8c:50:62:14:6b Client Username ................................. Bob Client Webauth Username ......................... N/A Hostname: ....................................... Device Type: .................................... Intel-Device AP MAC Address................................... 70:69:5a:51:4e:c0 AP Name.......................................... AP4C77.6D9E.6162 AP radio slot Id................................. 1 Client State..................................... Associated User Authenticated by ........................... RADIUS Server Client User Group................................ Bob Client NAC OOB State............................. Access Wireless LAN Id.................................. 3 Wireless LAN Network Name (SSID)................. office_hq Wireless LAN Profile Name........................ office_hq Hotspot (802.11u)................................ Not Supported Connected For ................................... 242 secs BSSID............................................ 70:69:5a:51:4e:cd Channel.......................................... 36 IP Address....................................... 192.168.78.36 Gateway Address.................................. 192.168.78.1 Netmask.......................................... 255.255.255.0 ... Policy Manager State............................. RUN ... EAP Type......................................... PEAP Interface........................................ vlan1478 VLAN............................................. 1478 Quarantine VLAN.................................. 0 Access VLAN...................................... 1478
Windows 10 및 Anyconnect NAM과의 연결을 테스트합니다.
Client MAC Address............................... f4:8c:50:62:14:6b Client Username ................................. Alice Client Webauth Username ......................... N/A Hostname: ....................................... Device Type: .................................... Intel-Device AP MAC Address................................... 70:69:5a:51:4e:c0 AP Name.......................................... AP4C77.6D9E.6162 AP radio slot Id................................. 1 Client State..................................... Associated User Authenticated by ........................... RADIUS Server Client User Group................................ Alice Client NAC OOB State............................. Access Wireless LAN Id.................................. 3 Wireless LAN Network Name (SSID)................. office_hq Wireless LAN Profile Name........................ office_hq Hotspot (802.11u)................................ Not Supported Connected For ................................... 765 secs BSSID............................................ 70:69:5a:51:4e:cd Channel.......................................... 36 IP Address....................................... 192.168.77.32 Gateway Address.................................. 192.168.77.1 Netmask.......................................... 255.255.255.0 ... Policy Manager State............................. RUN ... Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... PEAP Interface........................................ vlan1477 VLAN............................................. 1477
test aaa radius username Alice password <removed> wlan-id 2 Radius Test Request Wlan-id........................................ 2 ApGroup Name................................... none Attributes Values ---------- ------ User-Name Alice Called-Station-Id 00-00-00-00-00-00:AndroidAP Calling-Station-Id 00-11-22-33-44-55 Nas-Port 0x00000001 (1) Nas-Ip-Address 10.48.71.20 NAS-Identifier 0x6e6f (28271) Airespace / WLAN-Identifier 0x00000002 (2) User-Password cisco!123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Cisco / Audit-Session-Id 1447300a0000003041d5665c Acct-Session-Id 5c66d541/00:11:22:33:44:55/743 test radius auth request successfully sent. Execute 'test aaa show radius' for response (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 2 ApGroup Name................................... none Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.48.39.128 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name Alice State ReauthSession:1447300a0000003041d5665c Class CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59 Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x000005c5 (1477) (Cisco Controller) >