De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft het concept van de dynamische VLAN-toewijzing.
Het document beschrijft hoe u de Wireless LAN controller (WLC)- en Identity Services Engine (ISE)-server moet configureren om draadloze LAN (WLAN)-clients dynamisch in een specifiek VLAN toe te wijzen.
Cisco raadt kennis van de volgende onderwerpen aan:
Basiskennis van draadloze LAN-controllers (WLC’s) en lichtgewicht access points (LAP’s)
Functionele kennis van een AAA-server (Verificatie, autorisatie en accounting) zoals een ISE
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco 5520 Series WLC die firmware-release 8.8.11.0 uitvoert
Cisco 4800 Series access point
Native Windows-applicatie en AnyConnect NAM
Cisco Secure ISE-versie 2.3.0.298
Microsoft Windows 2016 Server geconfigureerd als domeincontroller
Cisco 3560-CX Series-Switch waarop versie 15.2(4)E1 wordt uitgevoerd
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
In de meeste WLAN-systemen heeft elk WLAN een statisch beleid dat van toepassing is op alle clients die zijn gekoppeld aan een Service Set Identifier (SSID) of WLAN in de controllerterminologie. Hoewel krachtig, heeft deze methode beperkingen omdat het cliënten vereist om met verschillende SSIDs te associëren om verschillend QoS en veiligheidsbeleid te erven.
Cisco WLAN-oplossing biedt een oplossing voor deze beperking door ondersteuning van identiteitsnetwerken. Hiermee kan het netwerk één SSID adverteren, maar kunnen specifieke gebruikers verschillende QoS, VLAN-kenmerken en/of beveiligingsbeleid erven op basis van de gebruikersreferenties.
Dynamische VLAN-toewijzing is zo'n functie die een draadloze gebruiker in een specifiek VLAN plaatst op basis van de referenties die door de gebruiker worden geleverd. Deze taak om gebruikers toe te wijzen aan een specifiek VLAN wordt uitgevoerd door een RADIUS-verificatieserver, zoals Cisco ISE. Dit kan bijvoorbeeld worden gebruikt om de draadloze host in staat te stellen op hetzelfde VLAN te blijven als het binnen een campusnetwerk beweegt.
De Cisco ISE-server verifieert draadloze gebruikers aan de hand van een van de verschillende mogelijke databases, waaronder de interne database. Voorbeeld:
Active Directory
Generic Lichtgewicht Directory Access Protocol (LDAP)
Open Database Connectivity (ODBC)-conforme relationele databases
Rivest, Shamir en Adelman (RSA) SecurityID-token servers
RADIUS-conforme token-servers
Cisco ISE-verificatieprotocollen en ondersteunde externe identiteitsbronnen maken een lijst van de verschillende verificatieprotocollen die worden ondersteund door interne en externe ISE-databases.
Dit document concentreert zich op het verifiëren van draadloze gebruikers die externe database van Windows Active Directory gebruiken.
Na een succesvolle verificatie haalt ISE de groepsinformatie van die gebruiker uit de Windows-database en koppelt de gebruiker aan het betreffende autorisatieprofiel.
Wanneer een client probeert te associëren met een LAP die is geregistreerd bij een controller, geeft de LAP de referenties van de gebruiker door aan de WLC met behulp van de betreffende EAP-methode.
WLC stuurt deze referenties naar ISE met behulp van het RADIUS-protocol (dat het EAP inkapselt) en ISE geeft de referenties van gebruikers door aan AD voor validatie met behulp van het KERBEROS-protocol.
AD valideert de gebruikersreferenties en informeert de ISE wanneer de verificatie is geslaagd.
Zodra de verificatie succesvol is, geeft de ISE-server bepaalde Internet Engineering Task Force (IETF)-kenmerken door aan WLC. Deze RADIUS-kenmerken bepalen welke VLAN-id aan de draadloze client moet worden toegewezen. De SSID (WLAN, in termen van WLC) van de client is niet van belang, omdat de gebruiker altijd wordt toegewezen aan deze vooraf bepaalde VLAN-id.
De RADIUS-gebruikerskenmerken die voor de VLAN-id-toewijzing worden gebruikt, zijn:
IETF 64 (tunneltype)—Dit instellen op VLAN
IETF 65 (tunnel van middelgroot type)—Dit instellen op 802
IETF 81 (Tunnel Private Group ID)—Dit instellen op VLAN-id
De VLAN-id is 12 bits en neemt een waarde tussen 1 en 4094, inclusief. Omdat de Tunnel-Private-Group-ID van het type-string is, zoals gedefinieerd in RFC2868 voor gebruik met IEEE 802.1X, wordt de waarde van het VLAN-ID-integer gecodeerd als een string. Wanneer deze tunnelkenmerken worden verzonden, is het noodzakelijk om het veld Tag in te vullen.
Zoals opgemerkt in RFC 2868, paragraaf 3.1: het Tag-veld is één octet in lengte en is bedoeld om een middel te bieden om attributen in hetzelfde pakket te groeperen die naar dezelfde tunnel verwijzen. De geldige waarden voor dit veld zijn 0x01 tot 0x1F, inclusief. Als het veld Tag niet wordt gebruikt, moet deze nul zijn (0x00). Raadpleeg RFC 2868 voor meer informatie over alle RADIUS-kenmerken.
Deze sectie verschaft de informatie die nodig is om de beschreven functies in het document te kunnen configureren.
Dit zijn de configuratiedetails van de componenten die in dit diagram worden gebruikt:
Het IP-adres van de ISE (RADIUS)-server is 10.48.39.128.
Het beheer en AP-manager interfaceadres van de WLC is 10.48.71.20.
DHCP-server bevindt zich in het LAN-netwerk en is geconfigureerd voor de desbetreffende clientpools; dit wordt niet in het diagram weergegeven.
VLAN1477 en VLAN1478 worden gebruikt in deze configuratie. Gebruikers van de Marketing afdeling zijn geconfigureerd om in de VLAN1477 te worden geplaatst en gebruikers van de HR afdeling zijn geconfigureerd om in VLAN1478 te worden geplaatst door de RADIUS-server wanneer beide gebruikers verbinding maken met dezelfde SSID — office_hq.
VLAN1477: 192.168.77.0/24 Gateway: 192.168.77.1 VLAN1478: 192.168.78.0/24. Gateway: 192.168.78.1
Dit document gebruikt 802.1x met PEAP-mschapv2
veiligheidsmechanisme.
Opmerking: Cisco raadt u aan geavanceerde verificatiemethoden te gebruiken, zoals EAP-FAST- en EAP-TLS-verificatie, om het WLAN te beveiligen.
Deze veronderstellingen worden gemaakt alvorens u deze configuratie uitvoert:
De LAP is al geregistreerd bij de WLC
De DHCP-server is een DHCP-scope toegewezen
Het document bespreekt de configuratie die aan de draadloze kant is vereist en gaat ervan uit dat het bekabelde netwerk is geïnstalleerd
Om dynamische VLAN-toewijzing met WLC’s op basis van ISE-naar-AD-groepstoewijzing te realiseren, moeten deze stappen worden uitgevoerd:
Administration > Identity management > External Identity Sources > Active directory
.wlaaan.com
en het aanhechtingspunt wordt gespecificeerd als AD.wlaaan.com
- plaatselijk significante naam van ISE.Submit
Druk op deze knop om u te vragen of u direct wilt deelnemen aan ISE naar AD. Druk Yes
en geef Active Directory-gebruikersreferenties met beheerdersrechten om een nieuwe host aan het domein toe te voegen.Diagnostic Tool
om de tests uit te voeren die vereist zijn voor de AD-connectiviteit.Administration > Identity management > External Identity Sources > Active directory >
> Groups
klikt u vervolgens op Add
en kiezen Select Groups from Active Directory
.OK
.Save
.Administration > Network Resources > Network Devices
en druk Add
.Policy > Policy Elements > Results > Authorization > Authorization profiles
en klik op het Add
om een nieuw profiel te maken.Marketing
groepsconfiguratie-instellingen.Custom
of de Default
Reeks beleid. In dit voorbeeld wordt de Standaardbeleidsset gewijzigd. Naar navigeren Policy > Policy Sets > Default
. Standaard voor dot1x
type verificatie, ISE gaat gebruiken All_User_ID_Stores
, hoewel het werkt zelfs met de huidige standaardinstellingen omdat AD deel uitmaakt van de lijst met identiteitsbronnen van All_User_ID_Stores
In dit voorbeeld wordt een meer specifieke regel gebruikt WLC_lab
voor die respectieve LAB-controller en gebruikt AD als enige bron voor authenticatie.Authorization policy
beleidslijnen vast te stellen om aan deze eis te voldoen.Security > AAA > RADIUS > Authentication
deel in de web UI-interface en het ISE IP-adres en gedeelde geheime informatie.office_hq
in het kader WLANs
deel over de WLC; dit voorbeeld vormt SSID met WPA2/AES+dot1x
en AAA-overschrijding. Interface Dummy
Wordt gekozen voor het WLAN omdat het juiste VLAN sowieso via RADIUS wordt toegewezen. Deze dummy interface moet worden gemaakt op de WLC en moet een IP-adres krijgen, maar het IP-adres hoeft niet geldig te zijn en het VLAN waarin het wordt gezet kan niet worden gemaakt in de uplink-switch, zodat als er geen VLAN wordt toegewezen, de client nergens kan gaan.Controller > Interfaces
UI-menu. De WLC kan de VLAN-toewijzing die via AAA wordt ontvangen alleen honoreren als er een dynamische interface in dat VLAN is.Gebruik de Windows 10 native supplicant en AnyConnect NAM om verbindingen te testen.
Aangezien u EAP-PEAP-verificatie gebruikt en ISE een zelfondertekend certificaat (SSC) gebruikt, moet u akkoord gaan met een certificaatwaarschuwing of certificaatvalidatie uitschakelen. In een bedrijfsomgeving moet u een ondertekend en vertrouwd certificaat op ISE gebruiken en ervoor zorgen dat de eindgebruikerapparaten het juiste basiscertificaat hebben geïnstalleerd onder de lijst van Trusted CA.
Testverbinding met Windows 10 en native aanvrager:
Network & Internet settings > Wi-Fi > Manage known networks
en maakt u een nieuw netwerkprofiel door op de Add new network
knop;de vereiste informatie invullen.show client dertails
:show client detail f4:8c:50:62:14:6b Client MAC Address............................... f4:8c:50:62:14:6b Client Username ................................. Bob Client Webauth Username ......................... N/A Hostname: ....................................... Device Type: .................................... Intel-Device AP MAC Address................................... 70:69:5a:51:4e:c0 AP Name.......................................... AP4C77.6D9E.6162 AP radio slot Id................................. 1 Client State..................................... Associated User Authenticated by ........................... RADIUS Server Client User Group................................ Bob Client NAC OOB State............................. Access Wireless LAN Id.................................. 3 Wireless LAN Network Name (SSID)................. office_hq Wireless LAN Profile Name........................ office_hq Hotspot (802.11u)................................ Not Supported Connected For ................................... 242 secs BSSID............................................ 70:69:5a:51:4e:cd Channel.......................................... 36 IP Address....................................... 192.168.78.36 Gateway Address.................................. 192.168.78.1 Netmask.......................................... 255.255.255.0 ... Policy Manager State............................. RUN ... EAP Type......................................... PEAP Interface........................................ vlan1478 VLAN............................................. 1478 Quarantine VLAN.................................. 0 Access VLAN...................................... 1478
Testverbinding met Windows 10 en AnyConnect NAM:
show client dertails
:Client MAC Address............................... f4:8c:50:62:14:6b Client Username ................................. Alice Client Webauth Username ......................... N/A Hostname: ....................................... Device Type: .................................... Intel-Device AP MAC Address................................... 70:69:5a:51:4e:c0 AP Name.......................................... AP4C77.6D9E.6162 AP radio slot Id................................. 1 Client State..................................... Associated User Authenticated by ........................... RADIUS Server Client User Group................................ Alice Client NAC OOB State............................. Access Wireless LAN Id.................................. 3 Wireless LAN Network Name (SSID)................. office_hq Wireless LAN Profile Name........................ office_hq Hotspot (802.11u)................................ Not Supported Connected For ................................... 765 secs BSSID............................................ 70:69:5a:51:4e:cd Channel.......................................... 36 IP Address....................................... 192.168.77.32 Gateway Address.................................. 192.168.77.1 Netmask.......................................... 255.255.255.0 ... Policy Manager State............................. RUN ... Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... PEAP Interface........................................ vlan1477 VLAN............................................. 1477
test aaa radius username
password
wlan-id
om de RADIUS-verbinding tussen WLC en ISE en de test aaa show radius
om de resultaten daarvan weer te geven.test aaa radius username Alice password <removed> wlan-id 2 Radius Test Request Wlan-id........................................ 2 ApGroup Name................................... none Attributes Values ---------- ------ User-Name Alice Called-Station-Id 00-00-00-00-00-00:AndroidAP Calling-Station-Id 00-11-22-33-44-55 Nas-Port 0x00000001 (1) Nas-Ip-Address 10.48.71.20 NAS-Identifier 0x6e6f (28271) Airespace / WLAN-Identifier 0x00000002 (2) User-Password cisco!123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Cisco / Audit-Session-Id 1447300a0000003041d5665c Acct-Session-Id 5c66d541/00:11:22:33:44:55/743 test radius auth request successfully sent. Execute 'test aaa show radius' for response (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 2 ApGroup Name................................... none Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.48.39.128 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name Alice State ReauthSession:1447300a0000003041d5665c Class CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59 Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x000005c5 (1477) (Cisco Controller) >
debug client
om problemen met draadloze clientconnectiviteit op te lossen.debug aaa all enable
om authenticatie- en autorisatiekwesties op de WLC op te lossen.Opmerking: gebruik deze opdracht alleen met de debug mac addr
om de output te beperken die op het adres van MAC wordt gebaseerd waarvoor het zuiveren wordt gedaan.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
19-Sep-2007 |
Eerste vrijgave |