使用ISE和Catalyst 9800無線區域網控制器配置動態VLAN分配

簡介

本檔案介紹如何設定Catalyst 9800 WLC和Cisco ISE以指派無線LAN(WLAN)。

需求

思科建議您瞭解以下主題：

• 瞭解無線LAN控制器(WLC和輕量型存取點(LAP)的基本知識。
• 具有AAA伺服器的功能知識，例如身份服務引擎(ISE)。
• 全面瞭解無線網路和無線安全問題。
• 具備有關動態虛擬LAN(VLAN)分配的功能知識。
• 具備無線接入點(CAPWAP)的控制和調配基礎知識。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 執行韌體版本16.12.4a的Cisco Catalyst 9800 WLC(Catalyst 9800-CL)。
• 本地模式下的Cisco 2800系列LAP。
• 本機Windows 10請求方。
• 運行版本2.7的Cisco ISE。
• Cisco 3850系列交換器（執行韌體版本16.9.6）。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

使用RADIUS伺服器進行動態VLAN指派

本檔案介紹動態VLAN分配的概念，以及如何設定Catalyst 9800無線LAN控制器(WLC)和思科身分識別服務引擎(ISE)以分配無線LAN(WLAN)，以便為無線使用者端完成此操作。

在大多數無線區域網路(WLAN)系統中，每個WLAN都有一個靜態原則，適用於與服務組識別碼(SSID)相關聯的所有使用者端。 此方法雖然功能強大，但也有侷限性，因為它要求客戶端與不同的SSID關聯以繼承不同的QoS和安全策略。

但是，Cisco WLAN解決方案支援身份網路。這允許網路通告單個SSID並允許特定使用者基於使用者憑證繼承不同的QoS或安全策略。

動態VLAN分配是一種功能，可根據使用者提供的憑證將無線使用者置於特定VLAN中。將使用者分配到特定VLAN的任務由RADIUS身份驗證伺服器（例如Cisco ISE）處理。例如，這可用於允許無線主機在園區網路中移動時保持在同一個VLAN上。

因此，當使用者端嘗試與在控制器上註冊的LAP相關聯時，WLC會將使用者的憑證傳遞到RADIUS伺服器以進行驗證。驗證成功後，RADIUS伺服器會將某些Internet工程工作小組(IETF)屬性傳送給使用者。這些RADIUS屬性決定必須分配給無線客戶端的VLAN ID。客戶端的SSID並不重要，因為系統始終為使用者分配此預先確定的VLAN ID。

用於VLAN ID分配的RADIUS使用者屬性包括：

• IETF 64（隧道型別） — 將其設定為VLAN。
• IETF 65（隧道介質型別） — 將其設定為802。
• IETF 81（隧道專用組ID） — 將其設定為VLAN ID。

VLAN ID為12位，取值範圍為1到4094（含1和4094）。由於Tunnel-Private-Group-ID屬於字串型別(如RFC2868中定義用於IEEE 802.1X)，因此VLAN ID整數值被編碼為字串。傳送這些隧道屬性時，需要在Tag欄位中輸入它們。

設定

本節提供用於設定本文件中所述功能的資訊。

網路圖表

此文件使用以下網路設定：

以下是此圖中所用元件的配置詳細資訊：

• 思科ISE(RADIUS)伺服器的IP地址為10.10.1.24。
• WLC的管理介面地址為10.10.1.17。
• 控制器上的內部DHCP伺服器用於將IP地址分配給無線客戶端。
• 本文使用搭載PEAP的802.1x作為安全機制。
• 整個配置中都使用VLAN102。使用者名稱smith -102配置為由RADIUS伺服器置於VLAN102中。

設定步驟

此配置分為三類：

• Cisco ISE配置。
• 為交換機配置多個VLAN。
• Catalyst 9800 WLC組態。

Cisco ISE配置

此配置需要執行以下步驟：

• 將Catalyst WLC配置為Cisco ISE伺服器上的AAA客戶端。
• 在Cisco ISE上配置內部使用者。
• 配置用於思科ISE上的動態VLAN分配的RADIUS(IETF)屬性。

步驟1.將Catalyst WLC配置為Cisco ISE伺服器上的AAA客戶端

以下過程說明如何將WLC新增為ISE伺服器上的AAA客戶端，以便WLC可以將使用者憑證傳遞到ISE。

請完成以下步驟：

1. 在ISE GUI中，導航到Administration > Network Resources > Network Devices並選Add擇。
2. 使用WLC管理IP地址和WLC與ISE之間的RADIUS共用金鑰完成配置，如下圖所示：

步驟2.在Cisco ISE上配置內部使用者

此過程說明如何在Cisco ISE的內部使用者資料庫上新增使用者。

請完成以下步驟：

1. 在ISE GUI中，導航到Administration > Identity Management > Identities並選擇Add。
2. 使用使用者名稱、密碼和使用者組完成配置，如下圖所示：
   
   

步驟3.設定用於動態VLAN分配的RADIUS(IETF)屬性

以下步驟說明如何為無線使用者建立授權配置檔案和身份驗證策略。

請完成以下步驟：

1. 在ISE GUI中，導航至Policy > Policy Elements > Results > Authorization > Authorization profiles並選擇創Add建新配置檔案。
2. 使用相應組的VLAN資訊完成授權配置檔案配置。此影象顯示jonathga-VLAN-102組配置設定。

配置授權配置檔案後，需要為無線使用者建立身份驗證策略。可以使用新策Custom略或修改策Default略集。在此示例中，建立自定義配置檔案。

3. 導航到Policy > Policy Sets並選Add擇以建立新策略，如下圖所示：

現在，您需要為使用者建立授權策略，以便根據組成員資格分配各自的授權配置檔案。

5. 開啟Authorization policy此部分並建立策略以滿足此要求，如下圖所示：

為多個VLAN配置交換機

若要允許多個VLAN通過交換器，需要發出以下命令，以設定連線到控制器的交換器連線埠：

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk encapsulation dot1q

附註：預設情況下，大多數交換機允許通過中繼埠在該交換機上建立所有VLAN。如果有線網路連線到交換器，則此相同組態會套用到連線網路的交換器連線埠。這樣可啟用有線和無線網路中相同VLAN之間的通訊。

Catalyst 9800 WLC組態

此配置需要執行以下步驟：

• 使用驗證伺服器的詳細資訊設定WLC。
• 配置VLAN。
• 配置WLAN(SSID)。
• 配置策略配置檔案。
• 配置策略標籤。
• 將策略標籤分配給AP。

步驟1.使用驗證伺服器的詳細資訊設定WLC

必須設定WLC，才能與RADIUS伺服器通訊以驗證使用者端。

請完成以下步驟：

1. 在控制器GUI中，導覽至Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add並輸入RADIUS伺服器資訊，如下圖所示：

2. 若要將RADIUS伺服器新增到RADIUS群組，請導覽至Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add以下圖所示：

3. 若要建立驗證方法清單，請導覽至Configuration > Security > AAA > AAA Method List > Authentication > + Add如下圖所示：

步驟2.配置VLAN

以下程式介紹如何在Catalyst 9800 WLC上設定VLAN。如本檔案前面所述，WLC中還必須存在RADIUS伺服器的Tunnel-Private-Group ID屬性下指定的VLAN ID。

在本示例中，使用者smith-102是使用RADIUS伺服器Tunnel-Private-Group ID of 102 (VLAN =102)上的指定的。

1. 導覽至Configuration > Layer2 > VLAN > VLAN > + Add如下圖所示：

2. 輸入所需的資訊，如下圖所示：

附註：如果不指定名稱，VLAN會自動分配名稱VLANXXXX，其中XXXX是VLAN ID。

對所有需要的VLAN重複步驟1和2，完成後可以繼續步驟3。

3. 驗證資料介面中是否允許VLAN。
   • 如果正在使用埠通道，請導航到Configuration > Interface > Logical > PortChannel name > General。如果您看到其已設定Allowed VLAN = All，就表示您已完成設定。如果看到，Allowed VLAN = VLANs IDs請新增所需的VLAN，然後選擇該Update & Apply to Device項。
   • 如果您沒有使用埠通道，請導航到Configuration > Interface > Ethernet > Interface Name > General。如果您看到其已設定Allowed VLAN = All，就表示您已完成設定。如果看到，Allowed VLAN = VLANs IDs請新增所需的VLAN，然後選擇該Update & Apply to Device項。

如果您使用全部或特定VLAN ID，此映像將顯示與介面設定相關的組態。 

步驟3.配置WLAN(SSID)

以下程式說明如何在WLC中設定WLAN。

請完成以下步驟：

1. 以便建立WLAN。導覽至Configuration > Wireless > WLANs > + Add根據需要設定網路，如下圖所示：
   
   
   

2. 輸入WLAN資訊，如下圖所示：
   
   
   

3. 導航到Security頁籤並選擇所需的安全方法。在此例中，WPA2 + 802.1x（如圖所示）：
   
   
   

在Security > AAA「From」索引標籤中，從一節中選擇步驟3上建Configure the WLC with the Details of the Authentication Server立的驗證方法，如下圖所示：

步驟4.配置策略配置檔案

以下程式說明如何在WLC中設定原則設定檔。

請完成以下步驟：

1. 導覽至Configuration > Tags & Profiles > Policy Profile並設定或建default-policy-profile立新專案，如下圖所示：

2. 從標籤Access Policies中，指定無線客戶端在預設情況下連線到此WLAN時分配給的VLAN，如下圖所示：

附註：在提供的示例中，RADIUS伺服器的任務是在身份驗證成功時將無線客戶端分配給特定VLAN，因此策略配置檔案中配置的VLAN可以是黑洞VLAN，RADIUS伺服器會覆蓋此對映並將通過該WLAN的使用者分配到RADIUS伺服器中user Tunnel-Group-Private-ID欄位中指定的VLAN。

3. 在RADIUSAdvance伺服器傳回將使用者端放在正確VLAN上所需的屬性時，從索引標籤啟用複選Allow AAA Override框，以覆寫WLC組態，如下圖所示：

步驟5.配置策略標籤

以下步驟說明如何在WLC中設定Policy標籤。

請完成以下步驟：

1. 如果需要Configuration > Tags & Profiles > Tags > Policy，請導覽並新增一個，如下圖所示：

2. 向Policy Tag新增名稱並選+Add擇，如下圖所示：

3. 將WLAN設定檔連結到所需的原則設定檔，如下圖所示：

步驟6.為AP分配策略標籤

以下步驟說明如何在WLC中設定Policy標籤。

請完成以下步驟：

1. 導航到Configuration > Wireless > Access Points > AP Name > General Tags並分配相關的策略標籤，然後選擇Update & Apply to Device如下圖所示：

注意：請注意，更改AP上的策略標籤會導致AP與WLC斷開連線，然後重新連線。

Flexconnect

Flexconnect功能允許AP在配置為中繼時，通過AP LAN埠傳送無線客戶端資料到出口。此模式稱為Flexconnect本地交換，允許AP通過將客戶端流量標籤在與其管理介面分開的VLAN中來分離客戶端流量。本節提供有關如何為本地交換方案配置動態VLAN分配的說明。

附註：上一節中概述的步驟同樣適用於Flexconnect方案。要完成Flexconnect的配置，請執行本節中提供的其他步驟。

為多個VLAN配置交換機

要允許多個VLAN通過交換機，需要發出以下命令來配置連線到AP的交換機埠：

1. Switch(config-if)#switchport mode trunk
2. Switch(config-if)#switchport trunk encapsulation dot1q

附註：預設情況下，大多數交換機允許通過中繼埠在交換機上建立所有VLAN。

Flexconnect策略配置檔案 組態

1. 導航到Configuration > Tags & Profiles > Policy Profile > +Add並建立新策略。
2. 新增名稱，取消選中Central Switching and Central DHCP覈取方塊。透過此組態，控制器會處理使用者端驗證，而FlexConnect存取點則在本地交換使用者端封包和DHCP。
   
   
   
   
   

   附註：從17.9.x代碼開始，策略配置檔案外觀已更新，如圖所示。

   

3. 在Access Policies頁籤中，分配無線客戶端在預設情況下連線到此WLAN時分配到的VLAN。
   
   
   
   

   附註：此步驟中設定的VLAN不需要存在於WLC的VLAN清單中。然後，將必要的VLAN新增到Flex-Profile中，這樣可以在AP上建立VLAN。

   
   
   
4. 在Advanced索引標籤中，啟用Allow AAA Override覈取方塊以由RADIUS伺服器覆寫WLC組態。
   
   
   
   

將Flexconnect策略配置檔案分配給WLAN和策略標籤

附註：策略標籤用於將WLAN與策略配置檔案連結。您可以建立新的原則標籤，或使用 default-policy-tag。

1. 如果需要，請導航到Configuration > Tags & Profiles > Tags > Policy，然後新增一個新檔案。
   
   
2. 輸入策略標籤的名稱，然後按一下「新增」按鈕。
   
   
3. 將 WLAN 設定檔連結至想要的原則設定檔。
   
   
4. 按一下Apply to Device按鈕。

配置Flex配置檔案

要在FlexConnect接入點上通過RADIUS動態分配VLAN ID，必須在接入點上顯示RADIUS響應的隧道專用組ID屬性中提到的VLAN ID。VLAN是在Flex配置檔案中配置的。 

1. 導覽至Configuration > Tags & Profiles > Flex > + Add。
   
   
2. 點選General頁籤，為Flex配置檔案分配名稱，並為AP配置本徵VLAN ID。
   
   
   
   

   附註：本徵VLAN ID是指AP的管理VLAN，因此它必須與AP所連線的交換機的本徵VLAN配置匹配

3. 導覽至VLAN索引標籤，然後按一下「Add」按鈕以輸入所有必要的VLAN。
   
   

附註：在Flexconnect策略配置檔案配置一節的步驟3中，您配置了分配給SSID的預設VLAN。如果在此步驟中使用VLAN名稱，請確保在Flex Profile組態中使用相同的VLAN名稱，否則使用者端無法連線到WLAN。

Flex站點標籤配置

1. 導航到Configuration > Tags & Profiles > Tags > Site > +Add，以建立新的站點標籤。
2. 取消選中Enable Local Site框以允許AP在本地交換客戶端資料流量，並新增在Configure the Flex Profile部分建立的Flex Profile。
   
   
   
   

將策略和站點標籤分配給AP。

1. 導航到Configuration > Wireless > Access Points > AP Name > General Tags，分配相關策略和站點標籤，然後點選Update & Apply to Device。

注意：請注意，更改AP上的策略和站點標籤會導致AP與WLC斷開連線，然後重新連線。

附註：如果AP在本地模式（或任何其他模式）下配置，然後獲得「啟用本地站點」設定被禁用的站點標籤，則AP將重新啟動並返回到FlexConnect模式

驗證

使用本節內容，確認您的組態是否正常運作。

使用在ISE中定義的正確EAP協定和可以返回動態VLAN分配的憑證配置測試客戶端SSID配置檔案。系統提示您輸入使用者名稱和密碼後，輸入對映到ISE上VLAN的使用者資訊。

在上一個範例中，請注意smith-102已指派給RADIUS伺服器中所指定的VLAN102。此範例使用此使用者名稱來接收驗證，並由RADIUS伺服器指派給VLAN:

完成驗證後，您需要確認您的使用者端是否根據傳送的RADIUS屬性分配到適當的VLAN。完成以下步驟即可完成此任務：

1. 從控制器GUI導覽至Monitoring > Wireless > Clients > Select the client MAC address > General > Security Information並尋找VLAN欄位，如下圖所示：
   
   

   

   在此視窗中，您可以看到此使用者端是按照RADIUS伺服器上設定的RADIUS屬性指派給VLAN102。

   您可以在CLI中使用show wireless client summary detail來檢檢視中所示的相同資訊：

   

2. 可以啟用以確Radioactive traces保成功將RADIUS屬性傳輸到WLC。為此，請執行以下步驟：
   1. 從控制器GUI導航至Troubleshooting > Radioactive Trace > +Add。
   2. 輸入無線客戶端的Mac地址。
   3. 選Start擇。
   4. 將使用者端連線到WLAN。
   5. 導航到Stop > Generate > Choose 10 minutes > Apply to Device > Select the trace file to download the log。

此部分的追蹤輸出可確保成功傳輸RADIUS屬性：

2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  User-Name           [1]     13  "smith-102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  State               [24]    40  ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Class               [25]    54  ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Type         [64]     6  VLAN                   [13]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Medium-Type  [65]     6  ALL_802                [6]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Message         [79]     6  ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Message-Authenticator[80]    18  ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Private-Group-Id[81]     6  "102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Key-Name        [102]   67  *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Send-Key   [16]    52  *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Recv-Key   [17]    52  *
2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008

2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :            username   0 "smith-102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :               class   0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30  ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :         tunnel-type   1 13 [vlan] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :  tunnel-medium-type   1 6 [ALL_802] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id   1 "102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :             timeout   0 1800 (0x708) ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

• 最終使用手冊
• 思科技術支援與下載