Catalyst 9800 WLC iPSK met ISE-encryptie configureren

Downloadopties

  • PDF     (2.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:12 februari 2025
Document-id:216130

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de configuratie van een iPSK beveiligde WLAN op een Cisco 9800 draadloze LAN-controller met Cisco ISE als RADIUS-server.

    Voorwaarden

    Vereisten

    • Bekendheid met de basisconfiguratie van een WLAN op 9800
    • Mogelijkheid om de configuratie aan uw implementatie aan te passen

    Gebruikte componenten

    • Cisco Catalyst 9800-CL WLC met 17.6.3
    • Cisco ISE-lijnkaart 3.0

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Begrijp wat iPSK is en welke scenario's het past

    Traditionele vooraf gedeelde sleutel (PSK) beveiligde netwerken gebruiken hetzelfde wachtwoord voor alle verbonden clients. Dit kan ertoe leiden dat de sleutel wordt gedeeld met onbevoegde gebruikers waardoor een inbreuk op de beveiliging en onbevoegde toegang tot het netwerk wordt veroorzaakt. De meest voorkomende verzachting van deze inbreuk is de verandering van de PSK zelf. Dit heeft gevolgen voor alle gebruikers, omdat veel eindapparaten moeten worden bijgewerkt met de nieuwe sleutel om weer toegang te krijgen tot het netwerk. 

    Met Identity PSK (iPSK) worden unieke vooraf gedeelde sleutels gecreëerd voor individuen of een groep gebruikers op dezelfde SSID met behulp van een RADIUS-server. Dit type installatie is zeer nuttig in netwerken waar end-client-apparaten geen dot1x-verificatie ondersteunen, maar een veiligere en korrelige verificatieregeling nodig is. Vanuit een clientperspectief ziet dit WLAN er hetzelfde uit als het traditionele PSK-netwerk. Wanneer een van de PSK’s gecompromitteerd is, hoeft alleen de betrokken persoon of groep zijn PSK bijgewerkt te krijgen. De rest van de apparaten die zijn aangesloten op het WLAN is ongewijzigd. 

    ipsk vs traditional topology

    Beperkingen

    • Een WLC die Mac Filtering en AAA-override ingeschakeld heeft met ISE geconfigureerd, zal IPSK geconfigureerde apparaten verbinding laten maken met WLAN met MAC-adressen geconfigureerd op ISE.

    • Apparaten met MAC-adressen die zijn geconfigureerd op ISE kunnen geen verbinding maken met WLAN-generieke PSK, maar alleen met IPSK die voor dat apparaat is geconfigureerd.

    • Apparaten zonder MAC-adressen die op ISE zijn geconfigureerd, kunnen alleen met WLAN met generieke PSK verbinding maken.

    • IPSK ondersteunt Local Mode en Flexconnect Mode (Central Verification & Local Switching). Lokale verificatie wordt niet ondersteund.

    • IPSK ondersteunt FSR en key caching wordt gedaan voor snellere roams om te voorkomen dat RADIUS verbinding op elke roam.

    • Om de geldigheid van de IPSK op bepaalde geplande tijdstippen in te schakelen, kan het tijdschema/de geldigheid worden geëxploiteerd met behulp van het kenmerk "sessie-time-out" van de straal in de reactie op de straal.

    Configureer 9800 WLC

    Voeg onder Configuratie > Beveiliging > AAA > Servers/Group > Servers de ISE toe als RADIUS-server:

    Add a RADIUS server on the 9800

    Maak onder Configuratie > Beveiliging > AAA > Servers/Groepen > Servergroepen een RADIUS-servergroep en voeg de eerder gemaakte ISE-server eraan toe:

    Add a server group

    Voer in het tabblad AAA-methodelijst een autorisatielijst in met het type "netwerk" en het groepstype "groep" dat naar de eerder gemaakte RADIUS-servergroep verwijst:

    Create an authorization list

    Accounting instellen is optioneel, maar kan door het type te configureren naar "identiteit" en het naar dezelfde RADIUS-servergroep te verwijzen:

    Create an accounting list

    Dit kan ook via de opdrachtregel worden uitgevoerd met behulp van:

    radius server 
 address ipv4  auth-port 1812 acct-port 1813
 key 0 

aaa group server radius 
 server name 

aaa authorization network  group 
aaa accounting identity  start-stop group

    Maak onder Configuration > Tags en profielen > WLAN’s een nieuw WLAN. Onder Layer 2-configuratie:

    • Schakel MAC-filtering in en stel de autorisatielijst in op de eerder gemaakte versie
    • Schakel PSK in onder Auth Key Management
    • Het vooraf gedeelde sleutelveld kan met elke waarde worden gevuld. Dit wordt alleen gedaan om te voldoen aan de eisen van het ontwerp van de webinterface. Geen gebruiker kan verifiëren met deze toets. In dit geval is de voorgedeelde sleutel ingesteld op "12345678".

    WLAN settings

    Gebruikerssegregatie kan worden bereikt onder het tabblad Geavanceerd. Door deze optie in te stellen op Allow Private Group kunnen gebruikers die dezelfde PSK gebruiken, met elkaar communiceren, terwijl gebruikers die een andere PSK gebruiken, worden geblokkeerd:

    WLAN advanced settings

    Voer onder Configuratie > Tags en profielen > Beleid een nieuw beleidsprofiel in. Stel in het tabblad Toegangsbeleid de VLAN- of VLAN-groep in die dit WLAN gebruikt:

    Access policies in the wireless policy profile

    Schakel in het tabblad Geavanceerd de optie AAA-negeren in en voeg een accounting lijst toe indien deze eerder is gemaakt:

    Advance policy profile settings

    Zorg er onder Configuratie > Tags & profielen > Tags > Beleid voor dat het WLAN is toegewezen aan het profiel dat u hebt gemaakt:

    Policy tag

    Dit kan ook via de opdrachtregel worden uitgevoerd met behulp van:

    wlan   
 mac-filtering 
 security wpa psk set-key ascii 0 
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown

wireless profile policy 
 aaa-override
 accounting-list 
 vlan 
 no shutdown

wireless tag policy 
 wlan  policy

    Zorg er onder Configuratie > Draadloos > access points voor dat deze tag is toegepast op de access points waarop het WLAN moet worden uitgezonden:

    AP tag

    ISE-configuratie

    Deze configuratiehandleiding bevat een scenario waarin de PSK van het apparaat wordt bepaald op basis van het MAC-adres van de client. Onder Beheer > Netwerkbronnen > Netwerkapparaten, voeg een nieuw apparaat toe, specificeer het IP-adres, schakel de RADIUS-verificatie-instellingen in en specificeer een RADIUS gedeeld geheim: 

    Add a network device on ISe

    Voeg onder Context Visibility > Endpoints > Verificatie de MAC-adressen toe van alle apparaten (clients) die verbinding maken met het iPSK-netwerk:

    Add an endpoint on ISE

    Onder Beheer > Identiteitsbeheer > Groepen >Endpoint Identity Groups, maak een of meer groepen en wijs gebruikers aan hen toe. Elke groep kan later worden geconfigureerd om een andere PSK te gebruiken voor verbinding met het netwerk.

    Add an identity group

    Identity group configuration

    Zodra de groep is gemaakt, kunt u nu gebruikers aan hen toewijzen. Selecteer de groep die u hebt gemaakt en klik op Bewerken:

    Edit identity group

     Voeg in de groepsconfiguratie het MAC-adres toe van de client(s) die u aan deze groep wilt toewijzen door op de knop "Toevoegen" te klikken:

    Add an endpoint

    Voer onder Beleid > Beleidselementen > Resultaten > Vergunning > Vergunningsprofielen een nieuw profiel voor autorisatie in. Eigenschappen instellen op:

    access Type = ACCESS_ACCEPT
    cisco-av-pair = psk-mode=ascii
    cisco-av-pair = psk=            // This is the psk that the user group is using

    Voor elke gebruikersgroep die een andere PSK moet gebruiken, moet u een extra resultaat maken met een ander spk av-paar. Aanvullende parameters zoals ACL en VLAN-overschrijving kunnen hier ook worden geconfigureerd.

    Authorization profileAuthorization rulesAuthorization result

    Voer onder Beleid > Beleidssets een nieuwe in. Om ervoor te zorgen dat de client voldoet aan de beleidsset, wordt deze voorwaarde gebruikt:

    Cisco:cisco-av-pair EQUALS cisco-wlan-ssid=WLAN_iPSK    // "WLAN_iPSK" is WLAN name

    ISE condition studio

    Er kunnen aanvullende voorwaarden worden toegevoegd om de afstemming van beleid veiliger te maken.

    ISE policy set

    Ga naar de nieuwe configuratie van de iPSK Policy Set door op de blauwe pijl rechts van de Policy Set-lijn te klikken:

    ISE policy sets blue arrow

    Zorg ervoor dat het verificatiebeleid is ingesteld op "Interne endpoints":

    Authentication policy

    Voer onder Autorisatiebeleid een nieuwe regel in voor elk van de gebruikersgroepen. Als voorwaarde, gebruik:

    IdentityGroup-Name EQUALS Endpoint Identity Group:Identity_Group_iPSK      // "Identity_Group_iPSK" is name of the created endpoint group

    waarbij het resultaat het autorisatieprofiel is dat eerder is gemaakt. Zorg ervoor dat de standaard regel onderaan blijft en wijst naar DenyAccess.

    Authorization rule 1

    Als elke gebruiker een ander wachtwoord krijgt, kunnen in plaats van het maken van Endpoint groepen en regels die overeenkomen met die endpointgroep, een regel met deze voorwaarde worden gemaakt:

    Radius-Calling-Station-ID EQUALS <client_mac_addr>

    Opmerking: MAC-adresscheidingsteken kan worden geconfigureerd op de WLC onder AAA >AAA Advanced > Global Config > Advanced Settings. In dit voorbeeld is het teken "-" gebruikt.

    Authorization rule 2

    Regels betreffende het autorisatiebeleid staan toe dat er veel andere parameters worden gebruikt om het wachtwoord in te voeren dat de gebruiker gebruikt.

    De meest gebruikte regels zijn:

    1. Overeenkomend op basis van de gebruikerslocatie
      In dit scenario, moet WLC AP informatie van de Plaats naar ISE verzenden. Hiermee kunnen gebruikers op één locatie één wachtwoord gebruiken, terwijl gebruikers op een andere locatie een ander wachtwoord gebruiken. Dit kan worden geconfigureerd onder Configuratie > Beveiliging > Draadloos AAA-beleid:
      AAA policy

    2. Overeenkomsten op basis van apparaatprofilering
      In dit scenario, moet WLC aan profielapparaten globaal worden gevormd. Hiermee kan een beheerder een ander wachtwoord instellen voor laptop- en telefoonapparaten. Globale apparaatclassificatie kan worden ingeschakeld onder Configuration > Wireless > Wireless Global. Raadpleeg voor de configuratie van apparaatprofilering op ISE de ISE-ontwerpgids voor profielen.

    Naast het retourneren van de coderingssleutel, omdat deze autorisatie gebeurt tijdens de 802.11-associatiefase, is het volledig mogelijk om andere AAA-kenmerken van ISE terug te geven, zoals ACL of VLAN-id.

    Problemen oplossen

    Probleemoplossing voor de 9800 WLC

    Op de WLC moet het verzamelen van radioactieve sporen meer dan genoeg zijn om een meerderheid van de problemen te identificeren. Dit kan worden gedaan in de WLC web interface onder Problemen oplossen > Radioactive Trace. Voeg het MAC-adres van de client toe, druk op Start en probeer het probleem te reproduceren. Klik op Generate om het bestand te maken en te downloaden:

    Radioactive tracing

    Belangrijk: iPhones op IOS 14 en Android 10 smartphones gebruiken gerandomiseerde mac-adressen wanneer ze aan het netwerk worden gekoppeld. Deze functionaliteit kan de iPSK configuratie volledig breken. Zorg dat deze optie uitgeschakeld is!

    Als Radioactive Traces niet genoeg zijn om het probleem te identificeren, kunnen pakketopnamen direct op de WLC worden verzameld. Onder Problemen oplossen > Packet Capture, voegt u een opnamepunt toe. Standaard maakt WLC gebruik van draadloze beheerinterface voor alle RADIUS AAA-communicatie. Vergroot de buffergrootte tot 100 MB als WLC veel clients heeft:

    Embedded packet capture

    In het onderstaande beeld wordt een pakketvastlegging weergegeven van een succesvolle verificatie- en boekhoudpoging. Gebruik dit Wireshark filter om alle relevante pakketten voor deze client uit te filteren:

    ip.addr== || eapol || bootp

    tshoot1

    Probleemoplossing ISE

    De belangrijkste techniek voor probleemoplossing op Cisco ISE is de pagina Live Logs, die u kunt vinden onder Operations > RADIUS > Live Logs. Ze kunnen worden gefilterd door het MAC-adres van de client in het veld Endpoint ID te zetten. Het openen van een volledig ISE-rapport geeft meer details over de reden van het falen. Zorg ervoor dat de client het juiste ISE-beleid aanraakt:

    live_logs

    Referenties

    8.5 Identity PSK Functie Implementatie Gids

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    4.0
    12-Feb-2025
    Toegevoegd Beperkingen sectie en referenties
    3.0
    18-Oct-2023
    Hercertificering
    2.0
    23-Aug-2022
    Document bijgewerkt met laatste releases
    1.0
    20-Oct-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Vasilije Perovic
      Cisco TAC
    • Noe Schyns
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten