使用ISE和Catalyst 9800无线局域网控制器配置动态VLAN分配

简介

本文档介绍如何配置Catalyst 9800 WLC和Cisco ISE以分配无线局域网(WLAN)。

要求

Cisco 建议您了解以下主题：

• 了解无线LAN控制器(WLC和轻量接入点(LAP)的基本知识。
• 具有AAA服务器的功能知识，例如身份服务引擎(ISE)。
• 全面了解无线网络和无线安全问题。
• 具有动态虚拟LAN(VLAN)分配的功能知识。
• 具备无线接入点的控制和调配(CAPWAP)的基本知识。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行固件版本16.12.4a的Cisco Catalyst 9800 WLC(Catalyst 9800-CL)。
• 本地模式下的Cisco 2800系列LAP。
• 本地Windows 10请求方。
• 运行版本2.7的思科ISE。
• 运行固件版本16.9.6的Cisco 3850系列交换机。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

使用 RADIUS 服务器执行动态 VLAN 分配

本文档介绍动态VLAN分配的概念以及如何配置Catalyst 9800无线LAN控制器(WLC)和思科身份服务引擎(ISE)，以便为无线客户端分配无线LAN(WLAN)。

在大多数无线局域网(WLAN)系统中，每个WLAN都有一个静态策略，该策略适用于与服务集标识符(SSID)关联的所有客户端。 此方法虽然功能强大，但也有局限性，因为它要求客户端与不同的SSID关联以继承不同的QoS和安全策略。

然而，Cisco WLAN 解决方案支持网络标识。这允许网络通告单个SSID，并允许特定用户根据用户凭证继承不同的QoS或安全策略。

动态 VLAN 分配便是一项这样的功能，它根据无线用户提供的凭证将该用户置于特定 VLAN 中。将用户分配到特定VLAN的任务由RADIUS身份验证服务器（例如Cisco ISE）处理。例如，利用此任务可使无线主机能够在园区网络中移动时保持位于同一 VLAN 中。

因此，当客户端尝试关联到注册到控制器的LAP时，WLC会将用户的凭证传递到RADIUS服务器进行验证。成功执行身份验证后，RADIUS 服务器便会将某些 Internet 工程任务组 (IETF) 属性传递给用户。这些RADIUS属性决定必须分配给无线客户端的VLAN ID。客户端的SSID并不重要，因为用户始终被分配给此预先确定的VLAN ID。

用于 VLAN ID 分配的 RADIUS 用户属性包括：

• IETF 64（隧道类型）— 将此项设置为 VLAN。
• IETF 65(Tunnel Medium Type) — 将此值设置为802。
• IETF 81（隧道专用组 ID）— 将此项设置为 VLAN ID。

VLAN ID为12位，取值范围为1到4094（含1和4094）。由于隧道专用组 ID 属于字符串类型（如用于 IEEE 802.1X 的 RFC2868 中所定义），因此，VLAN ID 整数值被编码为字符串。发送这些隧道属性时，需要在Tag字段中输入它们。

配置

本部分提供有关如何配置本文档所述功能的信息。

网络图

本文档使用以下网络设置：

下面是此图中使用的组件的配置详细信息：

• Cisco ISE(RADIUS)服务器的IP地址是10.10.1.24。
• WLC 的管理接口地址为 10.10.1.17。
• 控制器上的内部 DHCP 服务器用于将 IP 地址分配给无线客户端。
• 本文档使用带PEAP的802.1x作为安全机制。
• 整个配置中都使用VLAN102。用户名smith -102配置为RADIUS服务器放入VLAN102。

配置步骤

此配置分为三类：

• Cisco ISE配置。
• 为多个 VLAN 配置交换机.
• Catalyst 9800 WLC配置。

思科ISE配置

此配置要求执行下列步骤：

• 将Catalyst WLC配置为Cisco ISE服务器上的AAA客户端。
• 配置思科ISE的内部用户。
• 在Cisco ISE上配置用于动态VLAN分配的RADIUS(IETF)属性。

步骤1.将Catalyst WLC配置为Cisco ISE服务器上的AAA客户端

此过程说明如何将WLC添加为ISE服务器上的AAA客户端，以便WLC可以将用户凭证传递到ISE。

完成这些步骤：

1. 从ISE GUI导航至Administration > Network Resources > Network Devices选择Add。
2. 使用WLC管理IP地址和WLC与ISE之间的RADIUS共享密钥完成配置，如图所示：

步骤2.在Cisco ISE上配置内部用户

此过程说明如何在Cisco ISE的内部用户数据库上添加用户。

完成这些步骤：

1. 在ISE GUI中，导航至Administration > Identity Management > Identities并选择Add。
2. 使用用户名、密码和用户组完成配置，如图所示：
   
   

步骤3.配置用于动态VLAN分配的RADIUS(IETF)属性

此过程说明如何为无线用户创建授权配置文件和身份验证策略。

完成这些步骤：

1. 在ISE GUI中，导航到并选Policy > Policy Elements > Results > Authorization > Authorization profiles择以创Add建新的配置文件。
2. 使用相应组的VLAN信息完成授权配置文件配置。此图像显示jonathga-VLAN-102组配置设置。

配置授权配置文件后，需要为无线用户创建身份验证策略。您可以使用新策Custom略或修改策Default略集。在本示例中，创建自定义配置文件。

3. 导航到Policy > Policy Sets并选择以Add创建新策略，如图所示：

现在，您需要为用户创建授权策略，以便根据组成员资格分配各自的授权配置文件。

5. 打开此Authorization policy部分并创建策略以满足此要求，如图所示：

为多个 VLAN 配置交换机

要允许多个VLAN通过交换机，您需要发出以下命令来配置连接到控制器的交换机端口：

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk encapsulation dot1q

注意：默认情况下，大多数交换机都允许在该交换机上通过中继端口创建的所有 VLAN。如果有线网络连接到交换机，则可以将此相同配置应用于连接到有线网络的交换机端口。这样将在位于有线网络和无线网络中的相同 VLAN 之间实现通信。

Catalyst 9800 WLC配置

此配置要求执行下列步骤：

• 用身份验证服务器的详细信息配置 WLC.
• 配置VLAN。
• 配置WLAN(SSID)。
• 配置策略配置文件。
• 配置策略标记。
• 为AP分配策略标记。

步骤1.使用身份验证服务器的详细信息配置WLC

必须配置WLC，使其可以与RADIUS服务器通信以对客户端进行身份验证。

完成这些步骤：

1. 从控制器GUI导航至RADIUSConfiguration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add服务器信息，如图所示：

2. 要将RADIUS服务器添加到RADIUS组，请导航至Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add如图所示：

3. 要创建身份验证方法列表，请导航至Configuration > Security > AAA > AAA Method List > Authentication > + Add如下图所示：

步骤2.配置VLAN

此过程说明如何在Catalyst 9800 WLC上配置VLAN。如本文档中上文所述，WLC 中也必须具有在 RADIUS 服务器的 Tunnel-Private-Group ID 属性下指定的 VLAN ID。

在示例中，用户smith-102在RADIUS服务器Tunnel-Private-Group ID of 102 (VLAN =102)上指定为。

1. 导航至Configuration > Layer2 > VLAN > VLAN > + Add如下图所示：

2. 输入所需信息，如图所示：

注意：如果不指定名称，VLAN会自动分配名称VLANXXXX，其中XXXX是VLAN ID。

对所有需要的VLAN重复步骤1和步骤2，完成后，您可以继续步骤3。

3. 验证数据接口是否允许使用 VLAN。
   • 如果正在使用端口通道，请导航至Configuration > Interface > Logical > PortChannel name > General。如果您看到它按照配Allowed VLAN = All置完成时的配置进行配置。如果看到，Allowed VLAN = VLANs IDs请添加所需的VLAN，并在之后选择此Update & Apply to Device项。
   • 如果您没有使用端口通道，请导航至Configuration > Interface > Ethernet > Interface Name > General。如果您看到它按照配Allowed VLAN = All置完成时的配置进行配置。如果看到，Allowed VLAN = VLANs IDs请添加所需的VLAN，并在之后选择此Update & Apply to Device项。

如果使用全部或特定VLAN ID，则此映像显示与接口设置相关的配置。 

步骤3.配置WLAN(SSID)

此过程说明如何在 WLC 中配置 WLAN。

完成这些步骤：

1. 创建WLAN。如图Configuration > Wireless > WLANs > + Add所示，根据需要导航至并配置网络：
   
   
   

2. 输入如下图所示的WLAN信息：
   
   
   

3. 导航到Security选项卡并选择所需的安全方法。在本例中，WPA2 + 802.1x（如图所示）：
   
   
   

从选项卡中Security > AAA，从一节中选择在步骤3中创建Configure the WLC with the Details of the Authentication Server的身份验证方法，如图所示：

步骤4.配置策略配置文件

此过程说明如何在WLC中配置策略配置文件。

完成这些步骤：

1. 导航至Configuration > Tags & Profiles > Policy Profile并配置或default-policy-profile创建新配置，如图所示：

2. 从选Access Policies项卡分配无线客户端在默认情况下连接到此WLAN时分配到的VLAN，如图所示：

注意：在提供的示例中，RADIUS服务器的任务是在身份验证成功后将无线客户端分配到特定VLAN，因此，在策略配置文件中配置的VLAN可以是黑洞VLAN，RADIUS服务器会覆盖此映射，并将通过该WLAN的用户分配到RADIUS服务器中用户Tunnel-Group-Private-ID字段下指定的VLAN。

3. 在RADIUS服AdvanceAllow AAA Override务器返回将客户端置于正确的VLAN所需的属性时，在选项卡中启用此复选框以覆盖WLC配置，如图所示：

步骤5.配置策略标记

此过程说明如何在WLC中配置策略标记。

完成这些步骤：

1. 如果需要Configuration > Tags & Profiles > Tags > Policy，请导航至并添加一个新页面，如图所示：

2. 向Policy Tag添加名称并选+Add择，如图所示：

3. 将您的WLAN配置文件链接到所需的策略配置文件，如图所示：

步骤6.为AP分配策略标记

此过程说明如何在WLC中配置策略标记。

完成这些步骤：

1. 导航到Configuration > Wireless > Access Points > AP Name > General Tags并分配相关策略标记，然后选择Update & Apply to Device如图所示的选项：

警告：请注意，更改AP上的策略标记会导致AP与WLC断开连接，然后重新连接。

FlexConnect

Flexconnect功能允许AP在配置为中继时通过AP LAN端口向出口发送无线客户端数据。此模式称为Flexconnect本地交换，它允许AP通过将客户端流量标记为与其管理接口分开的VLAN来分离客户端流量。本节提供有关如何为本地交换方案配置动态VLAN分配的说明。

注意：上一节中概述的步骤同样适用于Flexconnect方案。要完成Flexconnect的配置，请执行本节中提供的其他步骤。

为多个 VLAN 配置交换机

要允许多个VLAN通过交换机，您需要发出以下命令来配置连接到AP的交换机端口：

1. Switch(config-if)#switchport mode trunk
2. Switch(config-if)#switchport trunk encapsulation dot1q

注意：默认情况下，大多数交换机允许通过中继端口在交换机上创建所有VLAN。

Flexconnect策略配置文件 配置

1. 导航到Configuration > Tags & Profiles > Policy Profile > +Add并创建新策略。
2. 添加名称，取消选中Central Switching and Central DHCP复选框。使用此配置，控制器处理客户端身份验证，而FlexConnect接入点在本地交换客户端数据包和DHCP。
   
   
   
   
   

   注意：从17.9.x代码开始，策略配置文件外观已更新，如图所示。

   

3. 在访问策略选项卡中，分配无线客户端在默认情况下连接到此WLAN时分配到的VLAN。
   
   
   
   

   注意：此步骤中配置的VLAN不需要出现在WLC的VLAN列表中。随后将必要的VLAN添加到Flex-Profile中，从而在AP上创建VLAN。

   
   
   
4. 在Advance选项卡中，启用Allow AAA Override复选框以覆盖RADIUS服务器的WLC配置。
   
   
   
   

将Flexconnect策略配置文件分配到WLAN和策略标记

注意：策略标记用于将WLAN与策略配置文件链接。您可以新建策略标签，也可以使用 default-policy 标签。

1. 导航到Configuration > Tags & Profiles > Tags > Policy，并根据需要添加新标签。
   
   
2. 输入策略标签的名称，然后点击“添加”按钮。
   
   
3. 将 WLAN 配置文件关联到所需的策略配置文件。
   
   
4. 单击Apply to Device按钮。

配置Flex配置文件

要通过RADIUS在FlexConnect AP上动态分配VLAN ID，RADIUS响应的Tunnel-Private-Group ID属性中提到的VLAN ID必须存在于接入点上。VLAN在Flex配置文件中配置。 

1. 导航到Configuration > Tags & Profiles > Flex> + Add。
   
   
2. 点击General选项卡，为Flex配置文件分配名称，并为AP配置本地VLAN ID。
   
   
   
   

   注意：本征VLAN ID是指AP的管理VLAN，因此必须与AP所连接的交换机的本征VLAN配置匹配

3. 导航到VLAN选项卡，然后点击“添加”按钮以输入所有必要的VLAN。
   
   

注意：在Flexconnect策略配置文件配置一节的第3步中，您配置了分配给SSID的默认VLAN。如果在该步骤中使用VLAN名称，请确保在Flex Profile配置中使用相同的VLAN名称，否则，客户端无法连接到WLAN。

Flex Site标记配置

1. 导航到配置>标签和配置文件>标签>站点> +添加，以创建新的站点标签。
2. 取消选中Enable Local Site框以允许AP在本地交换客户端数据流量，并添加在Configure the Flex Profile部分创建的Flex Profile。
   
   
   
   

将策略和站点标签分配给AP。

1. 导航到Configuration > Wireless > Access Points > AP Name > General Tags，分配相关策略和站点标签，然后点击Update & Apply to Device。

警告：请注意，更改AP上的策略和站点标签会导致AP与WLC断开连接，然后重新连接。

注意：如果AP在本地模式（或任何其他模式）下配置，然后获得禁用“启用本地站点”设置的站点标记，则AP将重新启动并返回到FlexConnect模式

验证

使用本部分可确认配置能否正常运行。

使用在ISE中定义的正确EAP协议和可以返回动态VLAN分配的凭证配置测试客户端SSID配置文件。提示输入用户名和密码后，输入映射到ISE上VLAN的用户信息。

在上一个示例中，请注意smith-102已分配给RADIUS服务器中指定的VLAN102。此示例使用此用户名接收身份验证并由RADIUS服务器分配给VLAN:

完成身份验证后，您需要根据发送的RADIUS属性验证客户端是否分配到正确的VLAN。完成以下步骤以完成此任务：

1. 从控制器GUI导航至Monitoring > Wireless > Clients > Select the client MAC address > General > Security InformationVLAN字段并查找，如图所示：
   
   

   

   在此窗口中，您可以观察到，根据RADIUS服务器上配置的RADIUS属性，此客户端已分配给VLAN102。

   在CLI中，您可以show wireless client summary detail使用查看图中所示的相同信息：

   

2. 可以启用以确Radioactive traces保成功将RADIUS属性传输到WLC。为此，请执行以下步骤：
   1. 从控制器GUI导航至Troubleshooting > Radioactive Trace > +Add。
   2. 输入无线客户端的Mac地址。
   3. 选择.Start
   4. 将客户端连接到WLAN。
   5. 导航至Stop > Generate > Choose 10 minutes > Apply to Device > Select the trace file to download the log中。

此部分trace输出可确保RADIUS属性的成功传输：

2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  User-Name           [1]     13  "smith-102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  State               [24]    40  ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Class               [25]    54  ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Type         [64]     6  VLAN                   [13]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Medium-Type  [65]     6  ALL_802                [6]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Message         [79]     6  ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Message-Authenticator[80]    18  ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Private-Group-Id[81]     6  "102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Key-Name        [102]   67  *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Send-Key   [16]    52  *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Recv-Key   [17]    52  *
2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008

2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :            username   0 "smith-102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :               class   0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30  ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :         tunnel-type   1 13 [vlan] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :  tunnel-medium-type   1 6 [ALL_802] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id   1 "102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :             timeout   0 1800 (0x708) ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile

故障排除

目前没有针对此配置的故障排除信息。

相关信息

• 最终用户指南
• 思科技术支持和下载