Inleiding
In dit document wordt de configuratie beschreven voor het beveiligen van switchpoorten waarbij FlexConnect-toegangspunten (AP's) worden geverifieerd met Dot1x.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- FlexConnect on Wireless LAN-controller (WLC)
- 802.1x op Cisco-Switches
- Network Edge Authentication Topology (NEAT)
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Wave 2 AP's op basis van het AP-besturingssysteem ondersteunen flexconnect trunk dot1x niet vanaf het moment van schrijven.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Netwerkdiagram

In deze configuratie fungeert het toegangspunt als de 802.1x-aanvrager en wordt het geverifieerd door de switch tegen ISE met behulp van EAP-FAST. Nadat de poort is geconfigureerd voor 802.1x-verificatie, staat de switch niet toe dat ander verkeer dan 802.1x-verkeer door de poort gaat totdat het apparaat dat is verbonden met de poort, is geverifieerd.
Zodra het toegangspunt met succes is geverifieerd tegen ISE, ontvangt de switch Cisco VSA Attribuut "device-traffic-class=switch" en wordt de poort automatisch naar de trunk verplaatst.
Dit betekent dat als het toegangspunt de FlexConnect-modus ondersteunt en lokaal geschakelde SSID's heeft geconfigureerd, het gecodeerd verkeer kan verzenden. Zorg ervoor dat de VLAN-ondersteuning is ingeschakeld op het toegangspunt en dat de juiste native VLAN is geconfigureerd.
AP-configuratie:
1. Als het toegangspunt al is aangesloten op de WLC, gaat u naar het tabblad Draadloos en klikt u op het toegangspunt. Ga naar het veld Credentials en schakel onder de kop 802.1x Credentials supplicant het vak Over-ride Global credentials in om de 802.1x-gebruikersnaam en het wachtwoord voor dit toegangspunt in te stellen.

U kunt ook een opdrachtgebruikersnaam en wachtwoord instellen voor alle toegangspunten die zijn gekoppeld aan de WLC via het menu Globale configuratie.

2. Als het toegangspunt zich nog niet bij een WLC heeft aangesloten, moet u console in de LAP zetten om de referenties in te stellen en deze CLI-opdracht te gebruiken:
LAP#debug capwap console cli
LAP#capwap ap dot1x gebruikersnaam <gebruikersnaam> wachtwoord <wachtwoord>
Switchconfiguratie
1. Schakel dot1x op de switch wereldwijd in en voeg ISE-server toe aan switch
nieuw AAA-model
Ja!
Standaard AAA-verificatie dot1x groepsstraal
Ja!
radius van standaardgroep voor AAA-autorisatienetwerk
Ja!
dot1x-systeem-auth-controle
Ja!
radiusserver-ISE
Adres IPv4 10.48.39.161 AUTH-poort 1645 ACCT-poort 1646
sleutel 7 123A0C0411045D5679
2. Configureer nu de AP switch-poort
Gigabit Ethernet-interface0/4
SwitchPort Access VLAN 231
Switchport Trunk toegestaan VLAN 231.232
toegang in switchpoortmodus
authenticatie host-mode multi-host
Verificatievolgorde dot1x
authenticatiepoortbesturingsauto
dot1x pae-verificator
Spanning-Tree Portfast Edge
ISE-configuratie:
1. Op ISE kunt u NEAT eenvoudig inschakelen voor het AP-autorisatieprofiel om het juiste attribuut in te stellen, maar op andere RADIUS-servers kunt u dit handmatig configureren.


2. Op ISE moet ook het verificatiebeleid en het autorisatiebeleid worden geconfigureerd. In dit geval raken we de standaard authenticatieregel die is bekabeld dot1x, maar men kan het aanpassen volgens de vereiste.
Wat betreft het autorisatiebeleid (Port_AuthZ), in dit geval hebben we de AP-referenties toegevoegd aan een gebruikersgroep (AP's) en het autorisatieprofiel (AP_Flex_Trunk) hierop gebaseerd.

Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
1. Op de switch kan Once de opdracht "debug authentication feature autocfg all" gebruiken om te controleren of de poort naar de trunkpoort wordt verplaatst of niet.
20 feb 12:34:18.119: %LINK-3-UPDOWN: Interface Gigabit Ethernet0/4, status gewijzigd in omhoog
20 feb 12:34:19.122: %LINEPROTO-5-UPDOWN: lijnprotocol op Gigabit Ethernet-interface0/4, status gewijzigd in up
Akshat_SW#
Akshat_SW#
20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: In dot1x AutoCfg start_fn, epm_handle: 3372220456
20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [588d.0997.061d, Gi0/4] Type apparaat = Switch
20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [588d.0997.061d, Gi0/4] nieuwe client
20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Interne AutoCfg Macro Toepassingsstatus: 1
20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Type apparaat: 2
20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Auto-config: stp heeft poort_config 0x85777D8
20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Auto-config: stp port_config heeft bpdu guard_config 2
20 feb 12:38:11.116: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Het toepassen van auto-cfg op de poort.
20 feb 12:38:11.116: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] VLAN: 231 VLAN-Str: 231
20 feb 12:38:11.116: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Macro dot1x_autocfg_supp toepassen
20 feb 12:38:11.116: Opdracht toepassen... 'geen toegang tot switchport vlan 231' in Gi0/4
20 feb 12:38:11.127: Toepassen van commando... 'geen switchport niet onderhandelen' op Gi0/4
20 feb 12:38:11.127: Toepassen van commando... 'switchport mode trunk' op Gi0/4
20 feb 12:38:11.134: Opdracht toepassen... 'switchport trunk native vlan 231' op Gi0/4
Feb 20 12:38:11.134: Het toepassen van commando... 'spanning-tree portfast trunk' op Gi0/4
20 feb 12:38:12.120: %LINEPROTO-5-UPDOWN: lijnprotocol op Gigabit Ethernet-interface0/4, status gewijzigd in down
20 feb 12:38:15.139: %LINEPROTO-5-UPDOWN: lijnprotocol op Gigabit Ethernet-interface0/4, status gewijzigd in up
2. De uitvoer van "show run int0/4" laat zien dat de poort is veranderd in een trunkpoort.
Huidige configuratie: 295 bytes
Ja!
Gigabit Ethernet-interface0/4
Switchport Trunk toegestaan VLAN 231.232.239
Standaard VLAN 231 voor switchport trunk
switchport mode trunk
authenticatie host-mode multi-host
Verificatievolgorde dot1x
authenticatiepoortbesturingsauto
dot1x pae-verificator
spanboom-portfast-randstam
einde
3. Op ISE, onder Operations>>Radius Livelogs kunnen we zien of de authenticatie succesvol is en of het juiste Autorisatieprofiel wordt gepusht.

4. Als we hierna verbinding maken met een client, wordt het mac-adres ervan geleerd op de AP-switch-poort in de client vlan 232.
akshat_sw#sh MAC-adrestabel int g0/4
MAC-adrestabel
--------------------------------
Poorten voor het type VLAN-MAC-adres
----------------------------
231 588d.0997.061d STATISCHE GI0/4 - AP
232 c0ee.fbd7.8824 DYNAMIC Gi0/4 - Klant
Op de WLC, in de client detail kan worden gezien dat deze client behoort vlan 232 en de SSID is lokaal geschakeld. Hier is een fragment.
(Cisco-controller) >clientdetails weergeven c0:ee:fb:d7:88:24
MAC-adres van client...................................................................................................................................................................................................................................................................................................................................................................
Gebruikersnaam klant ................................. N.v.t.
AP MAC-adres....................................................................................................................................................................................................................................................................................................................................................................
AP Naam...................................... AKS_desk_3502
ID van de AP-radiosleuf.................................. 1
Cliëntstaat.................................................................................................................................................................................................................................................................................................................................................................... verbonden
Gebruikersgroep cliënt...........................................................................................................................
Klant NAC OOB Staat....................................... toegang
ID draadloos netwerk..................................... 2
Naam draadloos LAN-netwerk (SSID).................. Port-Auth
Naam draadloos LAN-profiel............................. Port-auth
Hotspot (802.11u)..................... Niet ondersteund
BSSID.............................................. b4:14:89:82:cb:9f
Verbonden Voor .....................................................................................................................................................................................................................................................................................................................................................................
Kanaal........................................ 44
IP-adres........................................ 192.168.232.90
Adres van de toegangspoort................................ 192.168.232.1
Netmasker......................................................................................................................................................................................................................................................................................................................................................................
Associatie-ID.....................................................................................................................................................
Verificatie-algoritme........................................................................................................................................................................................................................ open systeem
Reden Code..................................... 1
Statuscode..................................... 0
FlexConnect-gegevensswitching...................... plaatselijk
FlexConnect DHCP-status................................................................................................................................................................................................................................................................................................................................................................. plaatselijk
Op FlexConnect VLAN gebaseerde centrale switching........ Nee
FlexConnect-verificatie..................... centraal
FlexConnect Central Association........... Nee
FlexConnect VLAN-NAAM.................................................................................................................................................................................................................................................................................................................................................................
Quarantaine VLAN..................................... 0
Toegang tot VLAN..................................... 232
Lokaal overbruggings-VLAN.............................. 232
Problemen oplossen
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
- Als de verificatie mislukt, gebruikt u foutopsporingsdot1x, foutopsporingsverificatie-opdrachten.
- Als de poort niet naar de trunk is verplaatst, voert u de foutopsporingsverificatiefunctie autocfg all in.
- Zorg ervoor dat de modus voor meerdere hosts (verificatie-host-modus voor meerdere hosts) is geconfigureerd. Multi-host moet zijn ingeschakeld om draadloze MAC-adressen van de client toe te staan.
- De opdracht "aaa Authorization Network" moet worden geconfigureerd zodat de switch de door ISE verzonden attributen kan accepteren en toepassen.
Cisco IOS-gebaseerde toegangspunten ondersteunen alleen TLS 1.0. Dit kan een probleem veroorzaken als uw RADIUS-server is geconfigureerd om alleen TLS 1.2 802.1X-verificaties toe te staan
Referenties
Configureer dot1x supplicant met AP en een 9800 WLC