O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar o Catalyst 9800 WLC e o Cisco ISE para atribuir Wireless LAN (WLAN).
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Este documento descreve o conceito de atribuição de VLAN dinâmica e como configurar o controlador de LAN sem fio (WLC) Catalyst 9800 e o Cisco Identity Service Engine (ISE) para atribuir LAN sem fio (WLAN) a fim de realizar isso para os clientes sem fio.
Na maioria dos sistemas de rede local sem fio (WLAN), cada WLAN tem uma política estática que se aplica a todos os clientes associados a um identificador de conjunto de serviços (SSID). Embora poderoso, esse método tem limitações porque exige que os clientes se associem a diferentes SSIDs para herdar diferentes QoS e políticas de segurança.
Mas a solução de Cisco WLAN suporta identidades na rede. Isso permite que a rede anuncie um único SSID e permite que usuários específicos herdem diferentes QoS ou políticas de segurança com base na credencial do usuário.
A atribuição da VLAN dinâmica é um recurso que coloca um usuário wireless em uma VLAN específica baseado nas credenciais fornecidas pelo usuário. A tarefa de atribuir usuários a uma VLAN específica é realizada por um servidor de autenticação RADIUS, como o Cisco ISE. Isto pode ser usado, por exemplo, para permitir que o host wireless permaneça na mesma VLAN enquanto ele se desloca em uma rede no campus.
Portanto, quando um cliente tenta se associar a um LAP registrado com um controlador, a WLC passa as credenciais do usuário para o servidor RADIUS para validação. Quando a autenticação é bem sucedida, o servidor Radius passa determinados atributos da Internet Engineering Task Force (IETF) ao usuário. Esses atributos RADIUS decidem a ID da VLAN que deve ser atribuída ao cliente sem fio. O SSID do cliente não importa porque o usuário sempre é atribuído a essa ID de VLAN predeterminada.
Os atributos do usuário do RADIUS usados para a atribuição de ID da VLAN são:
O ID da VLAN tem 12 bits e assume um valor entre 1 e 4094, inclusive. Como a ID de Grupo Privado do Túnel é do tipo string, como definido na RFC2868 para uso com a IEEE 802.1X, o valor de número inteiro da ID de VLAN é codificado como uma string. Quando esses atributos de túnel são enviados, é necessário inseri-los no campo Tag.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Este documento utiliza a seguinte configuração de rede:
Estes são os detalhes de configuração dos componentes usados neste diagrama:
Esta configuração é dividida em três categorias:
Essa configuração requer estes passos:
Este procedimento explica como adicionar a WLC como um cliente AAA no servidor ISE para que a WLC possa passar as credenciais do usuário para o ISE.
Conclua estes passos:
Administration > Network Resources > Network Devices
e selecione Add
.Este procedimento explica como adicionar os usuários ao banco de dados de usuários interno do Cisco ISE.
Conclua estes passos:
Administration > Identity Management > Identities
e selecione Add
.Este procedimento explica como criar um perfil de autorização e uma política de autenticação para usuários sem fio.
Conclua estes passos:
Policy > Policy Elements > Results > Authorization > Authorization profiles
e selecione Add
para criar um novo perfil.jonathga-VLAN-102
.Após a configuração dos perfis de autorização, é necessário criar uma política de autenticação para usuários sem fio. Você pode usar uma nova Custom
política ou modificar o conjunto de Default
políticas. Neste exemplo, um perfil personalizado é criado.
Policy > Policy Sets
e selecione Add
para criar uma nova política, conforme mostrado na imagem:
Agora você precisa criar políticas de autorização para usuários a fim de atribuir um respectivo perfil de autorização com base na associação do grupo.
Authorization policy
políticas para atender a esse requisito conforme mostrado na imagem:Para permitir várias VLANs através do switch, você precisa executar estes comandos para configurar a porta do switch conectada ao controlador:
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation dot1q
Note: Por padrão, a maioria dos switches permitem todas as VLAN criadas nesse switch através da porta de tronco. Se uma rede com fio é conectada ao switch, então esta mesma configuração pode ser aplicada à porta do switch conectada à rede com fio. Isto permite a comunicação entre as mesmas VLANs nas redes com e sem fio.
Essa configuração requer estes passos:
É necessário configurar o WLC para que ele possa se comunicar com o servidor RADIUS para autenticar os clientes.
Conclua estes passos:
Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add
e insira as informações do servidor RADIUS como mostrado na imagem:Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add
conforme mostrado na imagem:Configuration > Security > AAA > AAA Method List > Authentication > + Add
conforme mostrado nas imagens:Este procedimento explica como configurar VLANs no Catalyst 9800 WLC. Como explicado antes neste documento, a ID de VLAN especificada sob o atributo Tunnel-Private-Group ID do servidor RADIUS deve igualmente existir no WLC.
No exemplo, o usuário smith-102 é especificado com o Tunnel-Private-Group ID of 102 (VLAN =102)
no servidor RADIUS.
Configuration > Layer2 > VLAN > VLAN > + Add
como mostrado na imagem:Note: Se você não especificar um nome, a VLAN receberá automaticamente o nome de VLANXXXX, onde XXXX é a ID da VLAN.
Repita as etapas 1 e 2 para todas as VLANs necessárias; depois de concluir, você pode continuar na etapa 3.
Configuration > Interface > Logical > PortChannel name > General
. Se você vê-lo configurado como Allowed VLAN = All
você está feito com a configuração. Se você vir Allowed VLAN = VLANs IDs
, adicione as VLANs necessárias e depois selecione Update & Apply to Device
.Configuration > Interface > Ethernet > Interface Name > General
. Se você vê-lo configurado como Allowed VLAN = All
você está feito com a configuração. Se você vir Allowed VLAN = VLANs IDs
, adicione as VLANs necessárias e depois selecione Update & Apply to Device
.Essas imagens mostram a configuração relacionada à configuração da interface se você usar Todas as IDs de VLAN ou IDs específicas.
Este procedimento explica como configurar as WLANs no WLC.
Conclua estes passos:
Configuration > Wireless > WLANs > + Add
a rede e configure-a conforme necessário, conforme mostrado na imagem:Security
a guia e selecione o método de segurança necessário. Neste caso, WPA2 + 802.1x como mostrado nas imagens:Na guiaSecurity > AAA
, selecione o método de autenticação criado na etapa 3 da Configure the WLC with the Details of the Authentication Server
seção conforme mostrado na imagem:
Este procedimento explica como configurar o Policy Profile na WLC.
Conclua estes passos:
Configuration > Tags & Profiles > Policy Profile
e configure o default-policy-profile
ou crie um novo conforme mostrado nas imagens:Access Policies
atribua a VLAN à qual os clientes sem fio são atribuídos quando se conectam a essa WLAN por padrão, como mostrado na imagem:Note: No exemplo fornecido, é função do servidor RADIUS atribuir um cliente sem fio a uma VLAN específica após a autenticação bem-sucedida, portanto, a VLAN configurada no perfil de política pode ser uma VLAN black hole, o servidor RADIUS substitui esse mapeamento e atribui o usuário que vem por essa WLAN à VLAN especificada no campo usuário Tunnel-Group-Private-ID no servidor RADIUS.
Advance
Allow AAA Override
guia, ative a caixa de seleção para substituir a configuração da WLC quando o servidor RADIUS retornar os atributos necessários para colocar o cliente na VLAN apropriada, conforme mostrado na imagem:Este procedimento explica como configurar a tag Policy no WLC.
Conclua estes passos:
Configuration > Tags & Profiles > Tags > Policy
e adicione um novo, se necessário, como mostrado na imagem:+Add
, como mostrado na imagem:Este procedimento explica como configurar a tag Policy no WLC.
Conclua estes passos:
Configuration > Wireless > Access Points > AP Name > General Tags
e atribua a tag de política relevante e selecione Update & Apply to Device
conforme mostrado na imagem:Caution: Esteja ciente de que a alteração da tag de política em um AP resulta na desconexão do AP da WLC e, em seguida, na reconexão.
O recurso Flexconnect permite que os APs enviem dados de clientes sem fio para saída através da porta LAN do AP quando configurado como um tronco. Este modo, conhecido como Flexconnect Local Switching, permite que o AP segrege o tráfego do cliente marcando-o em VLANs separadas de sua interface de gerenciamento. Esta seção fornece instruções sobre como configurar a atribuição de VLAN Dinâmica para o cenário de switching local.
Note: As etapas descritas na seção anterior também se aplicam ao cenário do Flexconnect. Para concluir a configuração do Flexconnect, execute as etapas adicionais fornecidas nesta seção.
Para permitir várias VLANs através do switch, você precisa emitir os próximos comandos para configurar a porta do switch conectada ao AP:
Note: Por padrão, a maioria dos switches permite todas as VLANs criadas no switch através da porta de tronco.
Note: Começando com o código 17.9.x, a aparência do perfil da política foi atualizada conforme descrito na imagem.
Note: A VLAN configurada nesta etapa não precisa estar presente na lista de VLANs da WLC. As VLANs necessárias são adicionadas mais tarde no Flex-Profile, o que cria as VLANs no próprio AP.
Note: Uma tag de política é usada para vincular a WLAN ao perfil de política. Você pode criar uma nova marca de política ou usar a marca default-policy.
Para atribuir dinamicamente um ID de VLAN via RADIUS em um AP FlexConnect, é necessário que o ID de VLAN mencionado no atributo Tunnel-Private-Group ID da resposta RADIUS esteja presente nos pontos de acesso. As VLANs são configuradas no perfil Flex.
Note: O ID da VLAN nativa refere-se à VLAN de gerenciamento para o AP, portanto, ele deve corresponder à configuração da VLAN nativa do switch ao qual o AP está conectado
Note: Na etapa 3 da seção Configuração do perfil de política do Flexconnect, você configurou a VLAN padrão atribuída ao SSID. Se você usar um nome de VLAN nessa etapa, certifique-se de usar o mesmo nome de VLAN na configuração do perfil Flex, caso contrário, os clientes não poderão se conectar à WLAN.
Caution: Esteja ciente de que a alteração da política e da marca de site em um AP resulta na desconexão do AP da WLC e na reconexão.
Note: Se o AP estiver configurado no modo Local (ou em qualquer outro modo) e, em seguida, receber uma Marca de site com a configuração "Habilitar site local" desabilitada, o AP será reinicializado e retornará ao modo FlexConnect
Use esta seção para confirmar se a sua configuração funciona corretamente.
Configure o perfil SSID do cliente de teste usando o protocolo EAP apropriado e as credenciais definidas no ISE que podem retornar uma atribuição de VLAN dinâmica. Quando for solicitado um nome de usuário e uma senha, insira as informações do usuário mapeado para uma VLAN no ISE.
No exemplo anterior, observe que smith-102 está atribuído à VLAN102 como especificado no servidor RADIUS. Este exemplo usa este nome de usuário para receber autenticação e ser atribuído a uma VLAN pelo servidor RADIUS:
Uma vez concluída a autenticação, você precisa verificar se o cliente está atribuído à VLAN apropriada de acordo com os atributos RADIUS enviados. Conclua estas etapas para realizar esta tarefa:
Monitoring > Wireless > Clients > Select the client MAC address > General > Security Information
o campo VLAN e procure-o, conforme mostrado na imagem:Nessa janela, você pode observar que esse cliente está atribuído à VLAN102 de acordo com os atributos RADIUS configurados no servidor RADIUS.
Na CLI, você pode usar o show wireless client summary detail
para exibir as mesmas informações mostradas na imagem:
Radioactive traces
para garantir a transferência bem-sucedida dos atributos RADIUS para a WLC. Para fazer isso, siga estas etapas:
Troubleshooting > Radioactive Trace > +Add
.Start
.Stop > Generate > Choose 10 minutes > Apply to Device > Select the trace file to download the log
.Esta parte da saída de rastreamento garante uma transmissão bem-sucedida dos atributos RADIUS:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: User-Name [1] 13 "smith-102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: State [24] 40 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Class [25] 54 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Type [64] 6 VLAN [13]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Medium-Type [65] 6 ALL_802 [6]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Message [79] 6 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Message-Authenticator[80] 18 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Private-Group-Id[81] 6 "102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Key-Name [102] 67 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Send-Key [16] 52 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Recv-Key [17] 52 *
2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : username 0 "smith-102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : class 0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30 ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-type 1 13 [vlan] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-medium-type 1 6 [ALL_802] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id 1 "102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : timeout 0 1800 (0x708) ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.
Revisão | Data de publicação | Comentários |
---|---|---|
3.0 |
11-Apr-2024
|
Recertificação |
2.0 |
02-Jun-2022
|
Imagens redimensionadas |
1.0 |
14-Apr-2021
|
Versão inicial |