Configureer 802.1X-applicatie voor access points met 9800 controller

Inleiding

Dit document beschrijft hoe u een Cisco Access Point (AP) kunt configureren als een 802.1x-aanvrager die moet worden geautoriseerd op een switchpoort tegen een RADIUS-server.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Draadloze LAN-controller (WLC) en LAP (lichtgewicht access point).
• 802.1x op Cisco-switches en ISE-lijnkaart
• Uitbreidbaar verificatieprotocol (EAP)
• Remote Verificatie-inbelgebruikersservice (RADIUS)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• WS-C3560CX, Cisco IOS® XE,15.2(3r)E2
• C980-CL-K9, Cisco IOS® XE,17.6.5
• ISE-lijnkaart 3,0
• LUCHTKAP3702
• AIR-AP3802 router

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Bij deze instelling werkt het toegangspunt (AP) als de 802.1x-aanvrager en wordt het door de switch geverifieerd aan de hand van de ISE-methode EAP-FAST.

Zodra de poort is geconfigureerd voor 802.1X-verificatie, staat de switch geen ander verkeer dan 802.1X-verkeer toe om door de poort te gaan totdat het apparaat dat is aangesloten op de poort met succes wordt geverifieerd.

Een AP kan worden geverifieerd of voordat het zich aansluit bij een WLC of nadat het zich heeft aangesloten bij een WLC, in welk geval, 802.1X configureren op de switch nadat de LAP zich aansluit bij de WLC.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

De LAP configureren als een 802.1x-supplicant

Als het toegangspunt al is aangesloten op de WLC:

Configureer het 802.1x-verificatietype en het LSC-verificatietype (Local Significant Certificate):

Stap 1. Navigeer naar Configuratie > Tags en profielen > AP Join > Op de AP Join Profile pagina, klik op Add om een nieuw Join Profile toe te voegen of een AP Join Profile te bewerken wanneer u op de naam ervan klikt.

Stap 2. Ga op de pagina Profiel samenvoegen met AP, van AP > General, naar het gedeelte AP EAP Auth Configuration.  Selecteer in de vervolgkeuzelijst EAP-type het EAP-type als EAP-FAST, EAP-TLS of EAP-PEAP om het verificatietype dot1x te configureren. EAP-FAST is het enige verificatietype waarbij alleen gebruikersnaam en wachtwoorden worden gebruikt en dat het gemakkelijkst kan worden ingesteld. In het PEAP en EAP-TLS moet u via de LSC-workflow certificaten over de toegangspunten verstrekken (zie het referentiegedeelte).

Stap 3. Kies in de vervolgkeuzelijst Type autorisatie het type als CAPWAP DTLS + of CAPWAP DTLS > Klik op Bijwerken en toepassen op apparaat.

De gebruikersnaam en het wachtwoord voor 802.1x configureren:

Stap 1. Van Beheer > Credentials > Gebruikersnaam en wachtwoordgegevens voor Dot1x invoeren > Kies het juiste 802.1x-wachtwoordtype > Klik op Bijwerken en toepassen op apparaat

Als het toegangspunt nog geen lid is van een WLC:

Console in de LAP om de referenties in te stellen en deze CLI-opdrachten te gebruiken: (voor Cheetah OS en Cisco IOS® AP’s)

CLI:

LAP# debug capwap console cli
LAP# capwap ap dot1x username <username> password <password> 

De Dot1x-referenties op het toegangspunt wissen (indien nodig)

Voor Cisco IOS® APs, na dat herladen AP:

CLI:

LAP# clear capwap ap dot1x

Na het herladen van de AP van Cisco COS:

CLI:

LAP# capwap ap dot1x disable

De Switch configureren

Schakel dot1x op de switch wereldwijd in en voeg de ISE-server aan de switch toe.

CLI:

Enable
Configure terminal
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
Radius-server host <ISE IP address> auth-port <port> acct-port <port>
  key 7 <server key>

Configureer de AP switch poort.

CLI:

configure terminal
interface GigabitEthernet</>
switchport access vlan <>
switchport mode access
authentication order dot1x
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast edge
end

Als AP in Flex Connect-modus is, lokale switching, dan moet een extra configuratie gemaakt worden op de switch-interface om meerdere MAC-adressen op de poort toe te staan, aangezien het client-verkeer op AP-niveau wordt vrijgegeven: 

authentication host-mode multi-host

Opmerking: betekent dat de lezer er notitie van neemt. De opmerkingen bevatten nuttige suggesties of verwijzingen naar materiaal dat niet in het document is opgenomen.

Opmerking: Multi-host mode-authenticeert het eerste MAC-adres en staat vervolgens een onbeperkt aantal andere MAC-adressen toe. Schakel de hostmodus in op de switch-poorten als het aangesloten AP is geconfigureerd met de lokale switchingmodus. Het laat het verkeer van de klant de switch haven overgaan. Als u een beveiligd verkeerspad wilt, dient u dot1x op het WLAN in te schakelen om de clientgegevens te beschermen

De ISE-server configureren

Stap 1. Voeg de switch toe als netwerkapparaat op de ISE-server. Navigeren naar Beheer > Netwerkbronnen > Netwerkapparaten > Klik op Add > Voer de naam van het apparaat in, IP-adres in, geef RADIUS-verificatie-instellingen op, specificeer de gedeelde geheime waarde, de Cacao-poort (of laat deze als standaard) > Submit.

Stap 2. Voeg de referenties van het toegangspunt toe aan ISE. Navigeer naar Beheer > Identity Management > Identiteiten > Gebruikers en klik op de knop Add om een gebruiker toe te voegen. Voer de referenties in die u hebt ingesteld op uw AP Join Profile op uw WLC. Merk op dat de gebruiker in de standaardgroep hier wordt gezet, maar dit kan worden aangepast volgens uw vereisten. 

Stap 3. Configureer op ISE het verificatiebeleid en het autorisatiebeleid. Ga naar Beleid > Beleidssets en selecteer het beleid dat is ingesteld om te configureren en de blauwe pijl aan de rechterkant. In dit geval wordt de standaardbeleidsset gebruikt, maar men kan deze aanpassen aan de eisen.

Configureer vervolgens het verificatiebeleid en het autorisatiebeleid. De hier getoonde beleidsregels zijn de standaardbeleidsregels die op de ISE-server zijn gemaakt, maar kunnen worden aangepast en aangepast aan uw wensen. 
In dit voorbeeld kan de configuratie vertaald worden in: "Als 802.1X-bekabeld wordt gebruikt en de gebruiker bekend is op de ISE-server, dan verlenen we toegang tot de gebruikers waarvoor de verificatie succesvol was". Het toegangspunt wordt vervolgens geautoriseerd via de ISE-server. 

 

Stap 4. Zorg ervoor dat in de toegestane protocollen die standaard netwerktoegang, EAP-FAST is toegestaan. Ga naar Beleid > Beleidselementen > Verificatie > Resultaten > Toegestane protocollen > Standaard netwerktoegang > EAP-TLS toestaan > Opslaan.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Controleer het verificatietype

De opdracht show toont de verificatieinformatie van een AP-profiel:

CLI:

9800WLC#show ap profile name <profile-name> detailed

Voorbeeld:

9800WLC#show ap profile name default-ap-profile detailed
  AP Profile Name        : Dot1x
  …
  Dot1x EAP Method       : [EAP-FAST/EAP-TLS/EAP-PEAP/Not-Configured]
  LSC AP AUTH STATE      : [CAPWAP DTLS / DOT1x port auth / CAPWAP DTLS + DOT1x port auth]

Controleer 802.1x op de Switch-poort

Het showbevel toont de authentificatiestatus van 802.1x op de switch poort:

CLI:

Switch# show dot1x all

Voorbeeld uitvoer:

Sysauthcontrol              Enabled
Dot1x Protocol Version            3

Dot1x Info for GigabitEthernet0/8
-----------------------------------
PAE                       = AUTHENTICATOR
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30

Controleer of de poort al dan niet is geverifieerd

CLI:

Switch#show dot1x interface <AP switch port number> details

Voorbeeld uitvoer:

Dot1x Info for GigabitEthernet0/8
-----------------------------------
PAE                       = AUTHENTICATOR
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30

Dot1x Authenticator Client List
-------------------------------
EAP Method                = FAST
Supplicant                = f4db.e67e.dd16
Session ID                = 0A30279E00000BB7411A6BC4
    Auth SM State         = AUTHENTICATED
    Auth BEND SM State    = IDLE
ED
Auth BEND SM State = IDLE

Van CLI:

Switch#show authentication sessions

Voorbeeld uitvoer:

Interface    MAC Address    Method  Domain  Status Fg Session ID
Gi0/8        f4db.e67e.dd16 dot1x   DATA    Auth      0A30279E00000BB7411A6BC4

Kies in ISE Operations > Radius Livelogs en bevestig dat de verificatie succesvol is en dat het juiste autorisatieprofiel is ingedrukt.

 

Problemen oplossen

Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

1. Voer de opdracht ping in om te controleren of de ISE-server via de switch bereikbaar is.
2. Zorg ervoor dat de switch als AAA-client is geconfigureerd op de ISE-server.
3. Zorg ervoor dat het gedeelde geheim hetzelfde is tussen de switch en de ISE-server.
4. Controleer of EAP-FAST is ingeschakeld op de ISE-server.
5. Controleer of de 802.1x-referenties voor de LAP zijn geconfigureerd en op de ISE-server hetzelfde zijn.
   Opmerking: de gebruikersnaam en het wachtwoord zijn hoofdlettergevoelig.
6. Als de verificatie mislukt, voert u deze opdrachten in op de switch: debug dot1x en debug verificatie.

Merk op dat op Cisco IOS gebaseerde access points (802.11ac wave 1) TLS versie 1.1 en 1.2 niet ondersteunen. Dit kan een probleem opleveren als uw ISE- of RADIUS-server zodanig is geconfigureerd dat TLS 1.2 alleen binnen 802.1X-verificatie mogelijk is.

Referenties

802.1X configureren op AP’s met PEAP en EAP-TLS