简介
本文档介绍如何配置Catalyst 9800 WLC和Cisco ISE以分配无线局域网(WLAN)。
要求
Cisco 建议您了解以下主题:
- 了解无线LAN控制器(WLC和轻量接入点(LAP)的基本知识。
- 具有AAA服务器的功能知识,例如身份服务引擎(ISE)。
- 全面了解无线网络和无线安全问题。
- 具有动态虚拟LAN(VLAN)分配的功能知识。
- 具备无线接入点的控制和调配(CAPWAP)的基本知识。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 运行固件版本16.12.4a的Cisco Catalyst 9800 WLC(Catalyst 9800-CL)。
- 本地模式下的Cisco 2800系列LAP。
- 本地Windows 10请求方。
- 运行版本2.7的思科ISE。
- 运行固件版本16.9.6的Cisco 3850系列交换机。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
使用 RADIUS 服务器执行动态 VLAN 分配
本文档介绍动态VLAN分配的概念以及如何配置Catalyst 9800无线LAN控制器(WLC)和思科身份服务引擎(ISE),以便为无线客户端分配无线LAN(WLAN)。
在大多数无线局域网(WLAN)系统中,每个WLAN都有一个静态策略,该策略适用于与服务集标识符(SSID)关联的所有客户端。 此方法虽然功能强大,但也有局限性,因为它要求客户端与不同的SSID关联以继承不同的QoS和安全策略。
然而,Cisco WLAN 解决方案支持网络标识。这允许网络通告单个SSID,并允许特定用户根据用户凭证继承不同的QoS或安全策略。
动态 VLAN 分配便是一项这样的功能,它根据无线用户提供的凭证将该用户置于特定 VLAN 中。将用户分配到特定VLAN的任务由RADIUS身份验证服务器(例如Cisco ISE)处理。例如,利用此任务可使无线主机能够在园区网络中移动时保持位于同一 VLAN 中。
因此,当客户端尝试关联到注册到控制器的LAP时,WLC会将用户的凭证传递到RADIUS服务器进行验证。成功执行身份验证后,RADIUS 服务器便会将某些 Internet 工程任务组 (IETF) 属性传递给用户。这些RADIUS属性决定必须分配给无线客户端的VLAN ID。客户端的SSID并不重要,因为用户始终被分配给此预先确定的VLAN ID。
用于 VLAN ID 分配的 RADIUS 用户属性包括:
- IETF 64(隧道类型)— 将此项设置为 VLAN。
- IETF 65(Tunnel Medium Type) — 将此值设置为802。
- IETF 81(隧道专用组 ID)— 将此项设置为 VLAN ID。
VLAN ID为12位,取值范围为1到4094(含1和4094)。由于隧道专用组 ID 属于字符串类型(如用于 IEEE 802.1X 的 RFC2868 中所定义),因此,VLAN ID 整数值被编码为字符串。发送这些隧道属性时,需要在Tag字段中输入它们。
配置
本部分提供有关如何配置本文档所述功能的信息。
网络图
本文档使用以下网络设置:

下面是此图中使用的组件的配置详细信息:
- Cisco ISE(RADIUS)服务器的IP地址是10.10.1.24。
- WLC 的管理接口地址为 10.10.1.17。
- 控制器上的内部 DHCP 服务器用于将 IP 地址分配给无线客户端。
- 本文档使用带PEAP的802.1x作为安全机制。
- 整个配置中都使用VLAN102。用户名smith -102配置为RADIUS服务器放入VLAN102。
配置步骤
此配置分为三类:
- Cisco ISE配置。
- 为多个 VLAN 配置交换机.
- Catalyst 9800 WLC配置。
思科ISE配置
此配置要求执行下列步骤:
- 将Catalyst WLC配置为Cisco ISE服务器上的AAA客户端。
- 配置思科ISE的内部用户。
- 在Cisco ISE上配置用于动态VLAN分配的RADIUS(IETF)属性。
步骤1.将Catalyst WLC配置为Cisco ISE服务器上的AAA客户端
此过程说明如何将WLC添加为ISE服务器上的AAA客户端,以便WLC可以将用户凭证传递到ISE。
完成这些步骤:
- 从ISE GUI导航至
Administration > Network Resources > Network Devices
选择Add
。
- 使用WLC管理IP地址和WLC与ISE之间的RADIUS共享密钥完成配置,如图所示:

步骤2.在Cisco ISE上配置内部用户
此过程说明如何在Cisco ISE的内部用户数据库上添加用户。
完成这些步骤:
- 在ISE GUI中,导航至
Administration > Identity Management > Identities
并选择Add
。
- 使用用户名、密码和用户组完成配置,如图所示:

步骤3.配置用于动态VLAN分配的RADIUS(IETF)属性
此过程说明如何为无线用户创建授权配置文件和身份验证策略。
完成这些步骤:
- 在ISE GUI中,导航到并选
Policy > Policy Elements > Results > Authorization > Authorization profiles
择以创Add
建新的配置文件。
- 使用相应组的VLAN信息完成授权配置文件配置。此图像显示
jonathga-VLAN-102
组配置设置。

配置授权配置文件后,需要为无线用户创建身份验证策略。您可以使用新策Custom
略或修改策Default
略集。在本示例中,创建自定义配置文件。
- 导航到
Policy > Policy Sets
并选择以Add
创建新策略,如图所示:


现在,您需要为用户创建授权策略,以便根据组成员资格分配各自的授权配置文件。
- 打开此
Authorization policy
部分并创建策略以满足此要求,如图所示:

为多个 VLAN 配置交换机
要允许多个VLAN通过交换机,您需要发出以下命令来配置连接到控制器的交换机端口:
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation dot1q
注意:默认情况下,大多数交换机都允许在该交换机上通过中继端口创建的所有 VLAN。如果有线网络连接到交换机,则可以将此相同配置应用于连接到有线网络的交换机端口。这样将在位于有线网络和无线网络中的相同 VLAN 之间实现通信。
Catalyst 9800 WLC配置
此配置要求执行下列步骤:
- 用身份验证服务器的详细信息配置 WLC.
- 配置VLAN。
- 配置WLAN(SSID)。
- 配置策略配置文件。
- 配置策略标记。
- 为AP分配策略标记。
步骤1.使用身份验证服务器的详细信息配置WLC
必须配置WLC,使其可以与RADIUS服务器通信以对客户端进行身份验证。
完成这些步骤:
- 从控制器GUI导航至RADIUS
Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add
服务器信息,如图所示:


- 要将RADIUS服务器添加到RADIUS组,请导航至
Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add
如图所示:

- 要创建身份验证方法列表,请导航至
Configuration > Security > AAA > AAA Method List > Authentication > + Add
如下图所示:


步骤2.配置VLAN
此过程说明如何在Catalyst 9800 WLC上配置VLAN。如本文档中上文所述,WLC 中也必须具有在 RADIUS 服务器的 Tunnel-Private-Group ID 属性下指定的 VLAN ID。
在示例中,用户smith-102在RADIUS服务器Tunnel-Private-Group ID of 102 (VLAN =102)
上指定为。
- 导航至
Configuration > Layer2 > VLAN > VLAN > + Add
如下图所示:

- 输入所需信息,如图所示:

注意:如果不指定名称,VLAN会自动分配名称VLANXXXX,其中XXXX是VLAN ID。
对所有需要的VLAN重复步骤1和步骤2,完成后,您可以继续步骤3。
- 验证数据接口是否允许使用 VLAN。
- 如果正在使用端口通道,请导航至
Configuration > Interface > Logical > PortChannel name > General
。如果您看到它按照配Allowed VLAN = All
置完成时的配置进行配置。如果看到,Allowed VLAN = VLANs IDs
请添加所需的VLAN,并在之后选择此Update & Apply to Device
项。
- 如果您没有使用端口通道,请导航至
Configuration > Interface > Ethernet > Interface Name > General
。如果您看到它按照配Allowed VLAN = All
置完成时的配置进行配置。如果看到,Allowed VLAN = VLANs IDs
请添加所需的VLAN,并在之后选择此Update & Apply to Device
项。
如果使用全部或特定VLAN ID,则此映像显示与接口设置相关的配置。


步骤3.配置WLAN(SSID)
此过程说明如何在 WLC 中配置 WLAN。
完成这些步骤:
- 创建WLAN。如图
Configuration > Wireless > WLANs > + Add
所示,根据需要导航至并配置网络:

- 输入如下图所示的WLAN信息:

- 导航到
Security
选项卡并选择所需的安全方法。在本例中,WPA2 + 802.1x(如图所示):


从选项卡中Security > AAA
,从一节中选择在步骤3中创建Configure the WLC with the Details of the Authentication Server
的身份验证方法,如图所示:

步骤4.配置策略配置文件
此过程说明如何在WLC中配置策略配置文件。
完成这些步骤:
- 导航至
Configuration > Tags & Profiles > Policy Profile
并配置或default-policy-profile
创建新配置,如图所示:


- 从选
Access Policies
项卡分配无线客户端在默认情况下连接到此WLAN时分配到的VLAN,如图所示:

注意:在提供的示例中,RADIUS服务器的任务是在身份验证成功后将无线客户端分配到特定VLAN,因此,在策略配置文件中配置的VLAN可以是黑洞VLAN,RADIUS服务器会覆盖此映射,并将通过该WLAN的用户分配到RADIUS服务器中用户Tunnel-Group-Private-ID字段下指定的VLAN。
- 在RADIUS服
Advance
Allow AAA Override
务器返回将客户端置于正确的VLAN所需的属性时,在选项卡中启用此复选框以覆盖WLC配置,如图所示:

步骤5.配置策略标记
此过程说明如何在WLC中配置策略标记。
完成这些步骤:
- 如果需要
Configuration > Tags & Profiles > Tags > Policy
,请导航至并添加一个新页面,如图所示:

- 向Policy Tag添加名称并选
+Add
择,如图所示:

- 将您的WLAN配置文件链接到所需的策略配置文件,如图所示:


步骤6.为AP分配策略标记
此过程说明如何在WLC中配置策略标记。
完成这些步骤:
- 导航到
Configuration > Wireless > Access Points > AP Name > General Tags
并分配相关策略标记,然后选择Update & Apply to Device
如图所示的选项:

警告:请注意,更改AP上的策略标记会导致AP与WLC断开连接,然后重新连接。
FlexConnect
Flexconnect功能允许AP在配置为中继时通过AP LAN端口向出口发送无线客户端数据。此模式称为Flexconnect本地交换,它允许AP通过将客户端流量标记为与其管理接口分开的VLAN来分离客户端流量。本节提供有关如何为本地交换方案配置动态VLAN分配的说明。
注意:上一节中概述的步骤同样适用于Flexconnect方案。要完成Flexconnect的配置,请执行本节中提供的其他步骤。
为多个 VLAN 配置交换机
要允许多个VLAN通过交换机,您需要发出以下命令来配置连接到AP的交换机端口:
- Switch(config-if)#switchport mode trunk
- Switch(config-if)#switchport trunk encapsulation dot1q
注意:默认情况下,大多数交换机允许通过中继端口在交换机上创建所有VLAN。
Flexconnect策略配置文件 配置
- 导航到Configuration > Tags & Profiles > Policy Profile > +Add并创建新策略。
- 添加名称,取消选中Central Switching and Central DHCP复选框。使用此配置,控制器处理客户端身份验证,而FlexConnect接入点在本地交换客户端数据包和DHCP。

注意:从17.9.x代码开始,策略配置文件外观已更新,如图所示。

- 在访问策略选项卡中,分配无线客户端在默认情况下连接到此WLAN时分配到的VLAN。

注意:此步骤中配置的VLAN不需要出现在WLC的VLAN列表中。随后将必要的VLAN添加到Flex-Profile中,从而在AP上创建VLAN。
- 在Advance选项卡中,启用Allow AAA Override复选框以覆盖RADIUS服务器的WLC配置。

将Flexconnect策略配置文件分配到WLAN和策略标记
注意:策略标记用于将WLAN与策略配置文件链接。您可以新建策略标签,也可以使用 default-policy 标签。
- 导航到Configuration > Tags & Profiles > Tags > Policy,并根据需要添加新标签。
- 输入策略标签的名称,然后点击“添加”按钮。
- 将 WLAN 配置文件关联到所需的策略配置文件。
- 单击Apply to Device按钮。

配置Flex配置文件
要通过RADIUS在FlexConnect AP上动态分配VLAN ID,RADIUS响应的Tunnel-Private-Group ID属性中提到的VLAN ID必须存在于接入点上。VLAN在Flex配置文件中配置。
- 导航到Configuration > Tags & Profiles > Flex> + Add。

- 点击General选项卡,为Flex配置文件分配名称,并为AP配置本地VLAN ID。

注意:本征VLAN ID是指AP的管理VLAN,因此必须与AP所连接的交换机的本征VLAN配置匹配
- 导航到VLAN选项卡,然后点击“添加”按钮以输入所有必要的VLAN。

注意:在Flexconnect策略配置文件配置一节的第3步中,您配置了分配给SSID的默认VLAN。如果在该步骤中使用VLAN名称,请确保在Flex Profile配置中使用相同的VLAN名称,否则,客户端无法连接到WLAN。
Flex Site标记配置
- 导航到配置>标签和配置文件>标签>站点> +添加,以创建新的站点标签。
- 取消选中Enable Local Site框以允许AP在本地交换客户端数据流量,并添加在Configure the Flex Profile部分创建的Flex Profile。

将策略和站点标签分配给AP。
- 导航到Configuration > Wireless > Access Points > AP Name > General Tags,分配相关策略和站点标签,然后点击Update & Apply to Device。

警告:请注意,更改AP上的策略和站点标签会导致AP与WLC断开连接,然后重新连接。
注意:如果AP在本地模式(或任何其他模式)下配置,然后获得禁用“启用本地站点”设置的站点标记,则AP将重新启动并返回到FlexConnect模式
验证
使用本部分可确认配置能否正常运行。
使用在ISE中定义的正确EAP协议和可以返回动态VLAN分配的凭证配置测试客户端SSID配置文件。提示输入用户名和密码后,输入映射到ISE上VLAN的用户信息。
在上一个示例中,请注意smith-102已分配给RADIUS服务器中指定的VLAN102。此示例使用此用户名接收身份验证并由RADIUS服务器分配给VLAN:
完成身份验证后,您需要根据发送的RADIUS属性验证客户端是否分配到正确的VLAN。完成以下步骤以完成此任务:
- 从控制器GUI导航至
Monitoring > Wireless > Clients > Select the client MAC address > General > Security Information
VLAN字段并查找,如图所示:

在此窗口中,您可以观察到,根据RADIUS服务器上配置的RADIUS属性,此客户端已分配给VLAN102。
在CLI中,您可以show wireless client summary detail
使用查看图中所示的相同信息:

- 可以启用以确
Radioactive traces
保成功将RADIUS属性传输到WLC。为此,请执行以下步骤:
- 从控制器GUI导航至
Troubleshooting > Radioactive Trace > +Add
。
- 输入无线客户端的Mac地址。
- 选择.
Start
- 将客户端连接到WLAN。
- 导航至
Stop > Generate > Choose 10 minutes > Apply to Device > Select the trace file to download the log
中。
此部分trace输出可确保RADIUS属性的成功传输:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: User-Name [1] 13 "smith-102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: State [24] 40 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Class [25] 54 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Type [64] 6 VLAN [13]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Medium-Type [65] 6 ALL_802 [6]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Message [79] 6 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Message-Authenticator[80] 18 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Private-Group-Id[81] 6 "102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Key-Name [102] 67 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Send-Key [16] 52 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Recv-Key [17] 52 *
2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : username 0 "smith-102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : class 0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30 ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-type 1 13 [vlan] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-medium-type 1 6 [ALL_802] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id 1 "102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : timeout 0 1800 (0x708) ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile
故障排除
目前没有针对此配置的故障排除信息。
相关信息