使用ISE和Catalyst 9800無線LAN控制器配置動態VLAN分配

下載選項

  • PDF     (2.2 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (1.8 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (1.8 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2022 年 6 月 2 日
文件 ID:217043

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹動態VLAN分配的概念,以及如何設定Catalyst 9800無線LAN控制器(WLC)和思科身分識別服務引擎(ISE)以分配無線LAN(WLAN),以便為無線使用者端完成此操作。

    需求

    思科建議您瞭解以下主題:

    • 具有WLC和輕量型存取點(LAP)的基本知識。
    • 具有AAA伺服器的功能知識,例如ISE。
    • 全面瞭解無線網路和無線安全問題。
    • 具有動態VLAN分配方面的功能知識。
    • 具備無線接入點(CAPWAP)的控制和調配基礎知識。

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • 執行韌體版本16.12.4a的Cisco Catalyst 9800 WLC(Catalyst 9800-CL)。
    • 本地模式下的Cisco 2800系列LAP。
    • 本機Windows 10請求方。
    • 思科身分識別服務引擎(ISE),執行版本2.7。
    • Cisco 3850系列交換器(執行韌體版本16.9.6)。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    使用RADIUS伺服器進行動態VLAN指派

    在大多數無線區域網路(WLAN)系統中,每個WLAN都有一個靜態原則,適用於與服務組識別碼(SSID)相關聯的所有使用者端。 此方法雖然功能強大,但也有侷限性,因為它要求客戶端與不同的SSID關聯以繼承不同的QoS和安全策略。

    但是,Cisco WLAN解決方案支援身份網路。這允許網路通告單個SSID並允許特定使用者基於使用者憑證繼承不同的QoS或安全策略。

    動態VLAN分配是一種功能,可根據使用者提供的憑證將無線使用者置於特定VLAN中。將使用者分配到特定VLAN的任務由RADIUS身份驗證伺服器(例如Cisco ISE)處理。例如,這可用於允許無線主機在園區網路中移動時保持在同一個VLAN上。

    因此,當使用者端嘗試與在控制器上註冊的LAP相關聯時,WLC會將使用者的憑證傳遞到RADIUS伺服器以進行驗證。驗證成功後,RADIUS伺服器會將某些Internet工程工作小組(IETF)屬性傳遞給使用者。這些RADIUS屬性決定必須分配給無線客戶端的VLAN ID。客戶端的SSID並不重要,因為系統始終為使用者分配此預先確定的VLAN ID。

    用於VLAN ID分配的RADIUS使用者屬性包括:

    • IETF 64(隧道型別) — 將其設定為VLAN。
    • IETF 65(隧道介質型別) — 將其設定為802。
    • IETF 81(隧道專用組ID) — 將其設定為VLAN ID。

    VLAN ID為12位,取值範圍為1到4094(含1和4094)。由於Tunnel-Private-Group-ID屬於字串型別(如RFC2868中定義用於IEEE 802.1X),因此VLAN ID整數值被編碼為字串。傳送這些隧道屬性時,需要在Tag欄位中輸入它們。

    設定

    本節提供用於設定本文件中所述功能的資訊。

    網路圖表

    本檔案會使用以下網路設定:

    Network Diagram

    以下是此圖中所用元件的配置詳細資訊:

    • 思科ISE(RADIUS)伺服器的IP地址為10.10.1.24。
    • WLC的管理介面地址為10.10.1.17。
    • 控制器上的內部DHCP伺服器用於將IP地址分配給無線客戶端。
    • 本文使用搭載PEAP的802.1x作為安全機制。
    • 整個配置中都使用VLAN102。使用者名稱jonathga-102配置為由RADIUS伺服器置於VLAN102中。

    配置步驟

    此配置分為三類:

    • Cisco ISE配置。
    • 為交換機配置多個VLAN。
    • Catalyst 9800 WLC組態。

    Cisco ISE配置

    此配置需要執行以下步驟:

    • 將Catalyst WLC配置為Cisco ISE伺服器上的AAA客戶端。
    • 在Cisco ISE上配置內部使用者。
    • 配置用於思科ISE上的動態VLAN分配的RADIUS(IETF)屬性。

    步驟1.將Catalyst WLC配置為Cisco ISE伺服器上的AAA客戶端

    以下過程說明如何將WLC新增為ISE伺服器上的AAA客戶端,以便WLC可以將使用者憑證傳遞到ISE。

    請完成以下步驟:

    1. 從ISE GUI導航至 Administration > Network Resources > Network Devices並選擇 Add.
    2. 使用WLC管理IP地址和WLC與ISE之間的RADIUS共用金鑰完成配置,如下圖所示:

    Configuration with the WLC management IP address and Radius shared secret between WLC and ISE

    步驟2.在Cisco ISE上配置內部使用者

    此過程說明如何在Cisco ISE的內部使用者資料庫上新增使用者。

    請完成以下步驟:

    1. 從ISE GUI導航至 Administration > Identity Management > Identities 並選擇 Add.
    2. 使用使用者名稱、密碼和使用者組完成配置,如下圖所示:

    Configuration with the username, password, and user group

    步驟3.設定用於動態VLAN分配的RADIUS(IETF)屬性

    以下步驟說明如何為無線使用者建立授權配置檔案和身份驗證策略。

    請完成以下步驟:

    1. 從ISE GUI導航至 Policy > Policy Elements > Results > Authorization > Authorization profiles 並選擇 Add 建立新配置檔案。
    2. 使用相應組的VLAN資訊完成授權配置檔案配置。此圖顯示 jonathga-VLAN-102 組配置設定。

    Authorization profile configuration with VLAN information

    配置授權配置檔案後,需要為無線使用者建立身份驗證策略。您可以使用新的 Custom 策略或修改 Default 策略集。在此示例中,建立自定義配置檔案。

    1. 導航至 Policy > Policy Sets 並選擇 Add 如圖所示建立新策略:

    Navigate to Policy Sets and select Add

    Create an authentication policy for wireless users


    現在,您需要為使用者建立授權策略,以便根據組成員資格分配各自的授權配置檔案。

    1. 開啟 Authorization policy 分節並建立策略以滿足此要求,如下圖所示:

    Assign a respective authorization profile based on group membership

    為多個VLAN配置交換機

    若要允許多個VLAN通過交換器,需要發出以下命令,以設定連線到控制器的交換器連線埠:

    Switch(config-if)#switchport mode trunk
    Switch(config-if)#switchport trunk encapsulation dot1q

    附註:預設情況下,大多數交換機允許通過中繼埠在該交換機上建立所有VLAN。如果有線網路連線到交換器,則此相同組態會套用到連線網路的交換器連線埠。這樣可啟用有線和無線網路中相同VLAN之間的通訊。

    Catalyst 9800 WLC組態

    此配置需要執行以下步驟:

    • 使用驗證伺服器的詳細資訊設定WLC。
    • 配置VLAN。
    • 配置WLAN(SSID)。
    • 配置策略配置檔案。
    • 配置策略標籤。
    • 將策略標籤分配給AP。

    步驟1.使用驗證伺服器的詳細資訊設定WLC

    必須設定WLC,才能與RADIUS伺服器通訊以驗證使用者端。

    請完成以下步驟:

    1. 從控制器GUI導航至 Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add 並輸入RADIUS伺服器資訊,如下圖所示:

    Navigate to Servers and select +Add

    Enter the RADIUS server information

    1. 若要將RADIUS伺服器新增到RADIUS群組,請導覽至 Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add 如下圖所示:

    Add the RADIUS server to a RADIUS group

    1. 要建立身份驗證方法清單,請導航至 Configuration > Security > AAA > AAA Method List > Authentication > + Add 如下圖所示:

    Navigate to authentication and select +Add

    Create an Authentication Method List

    步驟2.配置VLAN

    以下程式介紹如何在Catalyst 9800 WLC上設定VLAN。如本檔案前面所述,WLC中還必須存在RADIUS伺服器的Tunnel-Private-Group ID屬性下指定的VLAN ID。

    在本示例中,使用者jonathga-102是使用 Tunnel-Private-Group ID of 102 (VLAN =102) 在RADIUS伺服器上。

    1. 導航至 Configuration > Layer2 > VLAN > VLAN > + Add 如下圖所示:

    Navigate to VLAN and select +Add

    1. 輸入所需的資訊,如下圖所示:

    Enter information to create a VLAN

    附註:如果不指定名稱,VLAN會自動分配名稱VLANXXXX,其中XXXX是VLAN ID。

    對所有需要的VLAN重複步驟1和2,完成後可以繼續步驟3。

    1. 驗證資料介面中是否允許VLAN。
      • 如果正在使用埠通道,請導航至 Configuration > Interface > Logical > PortChannel name > General.如果您看到它配置為 Allowed VLAN = All 配置完畢。如果您看到 Allowed VLAN = VLANs IDs新增所需的VLAN,並在之後選擇 Update & Apply to Device.
      • 如果沒有使用埠通道,請導航至 Configuration > Interface > Ethernet > Interface Name > General.如果您看到它配置為 Allowed VLAN = All 配置完畢。如果您看到 Allowed VLAN = VLANs IDs新增所需的VLAN,並在之後選擇 Update & Apply to Device.

    如果您使用全部或特定VLAN ID,此映像將顯示與介面設定相關的組態。 

    The configuration related to the interface setup if you use ALL VLAN IDs

    The configuration related to the interface setup if you use specific VLAN IDs

    步驟3.配置WLAN(SSID)

    以下程式說明如何在WLC中設定WLAN。

    請完成以下步驟:

    1. 以便建立WLAN。導航至 Configuration > Wireless > WLANs > + Add 並根據需要配置網路,如下圖所示:


    Navigate to WLANs and select +Add

    1. 輸入WLAN資訊,如下圖所示:


    Configure the network as needed

    1. 導航至 Security 頁籤並選擇所需的安全方法。在此例中,WPA2 + 802.1x(如圖所示):


    Select the needed security method

    Select the needed security method

    Security > AAA 頁籤,從中選擇在步驟3中建立的身份驗證方法 Configure the WLC with the Details of the Authentication Server 一節,如下圖所示:

    Select the authentication method created previously

    步驟4.配置策略配置檔案

    以下程式說明如何在WLC中設定原則設定檔。

    請完成以下步驟:

    1. 導航至 Configuration > Tags & Profiles > Policy Profile 配置您的 default-policy-profile 或建立一個新檔案,如圖所示:

    Navigate to Policy Profile and select +Add

    Configure your default-policy-profile or create a new one

    1. Access Policies 頁籤指定無線客戶端在預設情況下連線到此WLAN時分配到的VLAN,如下圖所示:

    Assign the VLAN to the wireless client

    附註:在提供的示例中,RADIUS伺服器的任務是在身份驗證成功時將無線客戶端分配給特定VLAN,因此策略配置檔案中配置的VLAN可以是黑洞VLAN,RADIUS伺服器會覆蓋此對映並將通過該WLAN的使用者分配到RADIUS伺服器中user Tunnel-Group-Private-ID欄位中指定的VLAN。

    1. Advance 頁籤,啟用 Allow AAA Override 覈取方塊,以在RADIUS伺服器傳回將使用者端放在正確的VLAN上所需的屬性時覆寫WLC組態,如下圖所示:

    Enable the Allow AAA Override checkbox

    步驟5.配置策略標籤

    以下步驟說明如何在WLC中設定原則標籤。

    請完成以下步驟:

    1. 導航至 Configuration > Tags & Profiles > Tags > Policy 並在需要時新增一個,如下圖所示:

    Navigate to Policy and select +add

    1. 向策略標籤新增名稱並選擇 +Add,如下圖所示:

    Add a name to the Policy Tag

    1. 將您的WLAN配置檔案連結到所需的策略配置檔案,如下圖所示:

    Link your WLAN Profile to the desire Policy Profile

    Select Apply to Device

    步驟6.為AP分配策略標籤

    以下步驟說明如何在WLC中設定原則標籤。

    請完成以下步驟:

    1. 導航至 Configuration > Wireless > Access Points > AP Name > General Tags 並分配相關的策略標籤,然後選擇 Update & Apply to Device 如下圖所示:

    Assign the relevant policy tag and select Update & Apply to Device

    注意:請注意,當AP上的策略標籤發生更改時,它會丟棄與WLC的關聯並連線回來。

    驗證

    使用本節內容,確認您的組態是否正常運作。

    測試與Windows 10和本地請求方的連線,在提示您輸入使用者名稱和密碼後,輸入對映到ISE上VLAN的使用者資訊。

    在上一個示例中,請注意jonathga-102已分配給RADIUS伺服器中指定的VLAN102。此範例使用此使用者名稱來接收驗證,並由RADIUS伺服器指派給VLAN:

    完成驗證後,您需要確認您的使用者端是否根據傳送的RADIUS屬性分配到適當的VLAN。完成以下步驟即可完成此任務:

    1. 從控制器GUI導航至 Monitoring > Wireless > Clients > Select the client MAC address > General > Security Information 並尋找VLAN欄位,如下圖所示:

      Verify that your client is assigned to the proper VLAN

      在此視窗中,您可以看到此使用者端是按照RADIUS伺服器上設定的RADIUS屬性指派給VLAN102。

      您可以在CLI中使用 show wireless client summary detail 如圖所示檢視相同資訊:

      Verify that your client is assigned to the proper VLAN from the CLI

    2. 可以啟用 Radioactive traces 以確保RADIUS屬性成功傳輸到WLC。為此,請執行以下步驟:
      1. 從控制器GUI導航至 Troubleshooting > Radioactive Trace > +Add.
      2. 輸入無線客戶端的Mac地址。
      3. 選擇 Start.
      4. 將使用者端連線到WLAN。
      5. 導航至 Stop > Generate > Choose 10 minutes > Apply to Device > Select the trace file to download the log.

    此部分的追蹤輸出可確保成功傳輸RADIUS屬性:

    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  User-Name           [1]     13  "jonathga-102"
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  State               [24]    40  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Class               [25]    54  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Type         [64]     6  VLAN                   [13]
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Medium-Type  [65]     6  ALL_802                [6]
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Message         [79]     6  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Message-Authenticator[80]    18  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Private-Group-Id[81]     6  "102"
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Key-Name        [102]   67  *
    2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Send-Key   [16]    52  *
    2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Recv-Key   [17]    52  *
    2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008

    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :            username   0 "jonathga-102" ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :               class   0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30  ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :         tunnel-type   1 13 [vlan] ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :  tunnel-medium-type   1 6 [ALL_802] ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id   1 "102" ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :             timeout   0 1800 (0x708) ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile

    疑難排解

    目前尚無適用於此組態的具體疑難排解資訊。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    2.0
    02-Jun-2022
    已調整大小的影象
    1.0
    14-Apr-2021
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Jonathan de Jesus Garcia
      Cisco TAC工程師
    • Jose Pablo Munoz
      Cisco TAC工程師

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您