Configure 9800 WLC Integration with Aruba ClearPass - Dot1x & FlexConnect for Branches Deployment

下载选项

  • PDF     (2.4 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (2.1 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.7 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2022 年 6 月 22 日
文档 ID:217935

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

    简介

    本文档介绍Catalyst 9800无线控制器与Aruba ClearPass策略管理器(CPPM)和Microsoft Active Directory(AD)的集成,以在Flexconnect部署中为无线客户端提供dot1x身份验证。

    先决条件

    要求

    Cisco建议您了解这些主题并且已经过配置和验证:

    • Catalyst 9800无线控制器
    • Aruba ClearPass服务器(需要平台许可证、访问许可证、板载许可证)
    • 可运行的Windows AD
    • 可选证书颁发机构(CA) 
    • 可操作的DHCP服务器 
    • 可操作的DNS服务器(证书CRL验证所需)
    • ESXi
    • 所有相关组件均同步到NTP并验证其时间是否正确(证书验证需要)
    • 主题知识:
      • C9800部署和新配置模型
      • C9800上的FlexConnect操作 
      • Dot1x身份验证

    使用的组件

    本文档中的信息基于下列硬件和软件版本:

    • C9800-L-C Cisco IOS-XE 17.3.3
    • C9130AX、4800 AP
    • Aruba ClearPass,6-8-0-109592和6.8-3补丁
    • MS Windows服务器
      • Active Directory(GP配置为向托管终端自动发布基于计算机的证书)
      • 带选项43和选项60的DHCP服务器
      • DNS 服务器
      • NTP服务器对所有组件进行时间同步
      • CA

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    流量传输

    在具有多个分支机构的典型企业部署中,每个分支机构都设置为向企业员工提供dot1x访问权限。在此配置示例中,PEAP用于通过部署在中央数据中心(DC)中的ClearPass实例为企业用户提供dot1x访问。 计算机证书与针对Microsoft AD服务器的员工凭证验证结合使用。

    1. Traffic Flow

    网络图

    2. Network Diagram

    配置Catalyst 9800无线控制器

    在此配置示例中,利用C9800上的新配置模式创建必要的配置文件和标记,为企业分支机构提供dot1x企业访问。结果配置在图中总结。

    3. New Configuration Model – Tag Assignment

    C9800 — 配置dot1x的AAA参数

    步骤1.将Aruba ClearPass策略管理器“公司”服务器添加到9800 WLC配置。导航到配置>安全> AAA >服务器/组> RADIUS >服务器。单+Add并输入RADIUS服务器信息。单击Apply to Device按钮,如下图所示。

    4. AAA Radius Server

    步骤2.为企业用户定义AAA服务器组。导航到配置>安全> AAA >服务器/组> RADIUS >组,然后单击+Add,输入RADIUS服务器组名并分配RADIUS服务器信息。单击Apply to Device按钮,如下图所示。

    5. AAA Radius Server Group

    步骤3.为企业用户定义dot1x身份验证方法列表。导航到Configuration > Security > AAA > AAA Method List > Authentication,然后单击+Add。从下拉菜单中选择类型dot1x。单击应用到设备按钮,如下图所示。

    6. AAA Authentication Method

    C9800 — 配置“公司”WLAN配置文件

    步骤1.导航到配置>标签和配置文件>无线,然后点击+添加。输入配置文件名称、SSID“Corp”和尚未使用的WLAN ID。

    7. WLAN Profile – General

    步骤2.导航到Security选项卡和Layer2子选项卡。无需更改此配置示例的任何默认参数。

    8. WLAN Profile – Security – Layer2

    步骤3.导航到AAA子选项卡,然后选择之前配置的身份验证方法列表。单击Apply to Device按钮,如下图所示。

    9. WLAN Profile – Security – AAA

    C9800 — 配置策略配置文件

    步骤1.导航到配置>标记和配置文件>策略,然后单击+添加,然后输入策略配置文件名称和说明。启用策略,并禁用集中交换、DHCP和关联,因为企业用户流量在AP进行本地交换,如图所示。

    10. Policy Profile – General

    步骤2.导航到访问策略选项卡,并手动输入要在分支机构用于企业用户流量的VLAN的ID。无需在C9800本身上配置此VLAN。必须在Flex配置文件中对其进行配置,详细信息将进一步说明。请勿从下拉列表中选择VLAN名称(请参阅Cisco Bug ID CSCvn48234 了解更多信息)。 单击Apply to Device按钮,如下图所示。

    11. Policy Profile – Access Policies

    C9800 — 配置策略标记

    创建WLAN配置文件(WP_Corp)和策略配置文件(PP_Corp)后,必须相应地创建策略标记以将这些WLAN和策略配置文件绑定在一起。此策略标记应用于接入点。将此策略标记分配给接入点,以触发这些接入点的配置,从而在其上启用所选SSID。

    步骤1.导航到配置>标记和配置文件>标记,选择策略选项卡,然后单击+添加。输入策略标记名称和说明。点击WLAN-POLICY Maps下的+Add。选择之前创建的WLAN配置文件和策略配置文件,然后单击复选标记按钮,如图所示。

    12. Policy Tag – Map WLAN and Policy

    步骤2.如图所示,验证并点击Apply to Device按钮。

    13. Policy Tag – Apply

    C9800 - AP加入配置文件

    AP加入配置文件和Flex配置文件需要配置并分配到具有站点标记的接入点。每个分支必须使用不同的站点标记,才能支持一个分支内的802.11r快速过渡(FT),同时限制客户端PMK在该分支的AP之间的分配。在多个分支之间不要重复使用同一站点标记。配置AP加入配置文件。如果所有分支都类似,您可以使用单个AP加入配置文件;如果某些配置的参数必须不同,则可以创建多个配置文件。

    步骤1.导航到配置>标记和配置文件> AP加入,然后单击+添加。输入AP加入配置文件的名称和说明。单击Apply to Device按钮,如下图所示。

    14. AP Join Profile – General

    C9800 - Flex配置文件

    现在配置Flex配置文件。同样,如果所有分支类似,并且具有相同的VLAN/SSID映射,则可以使用单个配置文件。或者,如果某些配置的参数(如VLAN分配)不同,您可以创建多个配置文件。

    步骤1.导航到配置>标签和配置文件> Flex,然后点击+添加。输入Flex配置文件的名称和说明。

    15. Flex Profile – General

    步骤2.导航到VLAN选项卡,然后单击+Add。输入分支机构本地VLAN的VLAN名称和ID,AP必须使用这些VLAN在本地交换企业用户流量。单击Save按钮,如下图所示。

    16. Flex Profile – VLAN – Add

    步骤3.如图所示,验证并点击Apply to Device按钮。

    17. Flex Profile – VLAN – Apply

    C9800 — 站点标记

    站点标记用于将加入配置文件和Flex配置文件分配到接入点。如前所述,每个分支必须使用不同的站点标记以支持分支内的802.11r快速过渡(FT),但仅限制客户端PMK在该分支的AP之间的分配。在多个分支之间不要重复使用同一站点标记。

    步骤1.导航到配置>标记和配置文件>标记,选择站点选项卡,然后单击+添加。输入站点标签名称和说明,选择创建的AP加入配置文件,取消选中启用本地站点框,最后选择之前创建的Flex配置文件。取消选中Enable Local Site框以将接入点从Local Mode更改为FlexConnect。最后,单击Apply to Device按钮,如下图所示。

    18. Site Tag

    C9800 - RF标记

    步骤1.导航到配置>标记和配置文件> 标记,选择RF选项卡,然后单击+添加。输入RF标记的名称和说明。从下拉菜单中选择系统定义的RF配置文件。单击Apply to Device按钮,如下图所示。

    19. RF Tag

    C9800 — 为AP分配标记 

    现在创建包含配置接入点所需的各种策略和配置文件的标记,我们必须将它们分配给接入点。本节介绍如何根据接入点的以太网MAC地址手动执行分配给该接入点的静态标记。对于产品生产环境,建议使用Cisco DNA Center AP PNP工作流程,或使用9800中提供的静态批量CSV上传方法。

    步骤1.导航到配置>标记和配置文件>标记,选择AP选项卡,然后选择静态选项卡。单击+Add并输入AP MAC地址,然后选择以前定义的策略标记、站点标记和RF标记。单击Apply to Device按钮,如本图所示。

    20. Associate Tags to AP

    配置Aruba CPPM

    Aruba ClearPass策略管理器服务器初始配置

    Aruba clearpass通过OVF模板在ESXi服务器上部署,具有以下资源:

    • 2个保留的虚拟CPU
    • 6 GB RAM
    • 80 GB磁盘(必须在初始虚拟机部署后手动添加,然后才能启动计算机)

    应用许可证

    通过以下方式应用平台许可证:管理(Administration)>服务器管理器(Server Manager)>许可(Licensing)。添加接入和入网

    添加C9800无线控制器作为网络设备

    导航到配置>网络>设备>添加,如下图所示。

    21. CPPM – Device Details

    配置CPPM以使用Windows AD作为身份验证源

    导航到Configuration > Authentication > Sources > Add。选择类型:Active Directory从下拉菜单中,如此图所示。

    22. CPPM – Authentication Sources

    配置CPPM Dot1X身份验证服务

    步骤1.创建匹配多个RADIUS属性的“服务”:

    • Radius:IETF |名称:NAS-IP-Address |等于 | <IP ADDR>
    • Radius:IETF |名称:服务类型 |等于 |1,2,8

    步骤2.对于生产环境,建议匹配SSID名称而不是“NAS-IP-Address”,以便多WLC部署满足一个条件。 Radius:Cisco:Cisco-AVPair | cisco-wlan-ssid | Dot1XSSID

    23. CPPM – Authentication Service – Conditions

    24. CPPM – Authentication Service – Authentication

    验证

    当前没有可用于此配置的验证过程。

    故障排除

    目前没有针对此配置的故障排除信息。

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    24-Jun-2022
    初始版本
    TAC Authored

    由思科工程师提供

    • Igor Manassypov
      思科销售工程

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品