簡介
本檔案介紹如何設定Catalyst 9800 WLC和Cisco ISE以指派無線LAN(WLAN)。
需求
思科建議您瞭解以下主題:
- 瞭解無線LAN控制器(WLC和輕量型存取點(LAP)的基本知識。
- 具有AAA伺服器的功能知識,例如身份服務引擎(ISE)。
- 全面瞭解無線網路和無線安全問題。
- 具備有關動態虛擬LAN(VLAN)分配的功能知識。
- 具備無線接入點(CAPWAP)的控制和調配基礎知識。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 執行韌體版本16.12.4a的Cisco Catalyst 9800 WLC(Catalyst 9800-CL)。
- 本地模式下的Cisco 2800系列LAP。
- 本機Windows 10請求方。
- 運行版本2.7的Cisco ISE。
- Cisco 3850系列交換器(執行韌體版本16.9.6)。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
使用RADIUS伺服器進行動態VLAN指派
本檔案介紹動態VLAN分配的概念,以及如何設定Catalyst 9800無線LAN控制器(WLC)和思科身分識別服務引擎(ISE)以分配無線LAN(WLAN),以便為無線使用者端完成此操作。
在大多數無線區域網路(WLAN)系統中,每個WLAN都有一個靜態原則,適用於與服務組識別碼(SSID)相關聯的所有使用者端。 此方法雖然功能強大,但也有侷限性,因為它要求客戶端與不同的SSID關聯以繼承不同的QoS和安全策略。
但是,Cisco WLAN解決方案支援身份網路。這允許網路通告單個SSID並允許特定使用者基於使用者憑證繼承不同的QoS或安全策略。
動態VLAN分配是一種功能,可根據使用者提供的憑證將無線使用者置於特定VLAN中。將使用者分配到特定VLAN的任務由RADIUS身份驗證伺服器(例如Cisco ISE)處理。例如,這可用於允許無線主機在園區網路中移動時保持在同一個VLAN上。
因此,當使用者端嘗試與在控制器上註冊的LAP相關聯時,WLC會將使用者的憑證傳遞到RADIUS伺服器以進行驗證。驗證成功後,RADIUS伺服器會將某些Internet工程工作小組(IETF)屬性傳送給使用者。這些RADIUS屬性決定必須分配給無線客戶端的VLAN ID。客戶端的SSID並不重要,因為系統始終為使用者分配此預先確定的VLAN ID。
用於VLAN ID分配的RADIUS使用者屬性包括:
- IETF 64(隧道型別) — 將其設定為VLAN。
- IETF 65(隧道介質型別) — 將其設定為802。
- IETF 81(隧道專用組ID) — 將其設定為VLAN ID。
VLAN ID為12位,取值範圍為1到4094(含1和4094)。由於Tunnel-Private-Group-ID屬於字串型別(如RFC2868中定義用於IEEE 802.1X),因此VLAN ID整數值被編碼為字串。傳送這些隧道屬性時,需要在Tag欄位中輸入它們。
設定
本節提供用於設定本文件中所述功能的資訊。
網路圖表
此文件使用以下網路設定:

以下是此圖中所用元件的配置詳細資訊:
- 思科ISE(RADIUS)伺服器的IP地址為10.10.1.24。
- WLC的管理介面地址為10.10.1.17。
- 控制器上的內部DHCP伺服器用於將IP地址分配給無線客戶端。
- 本文使用搭載PEAP的802.1x作為安全機制。
- 整個配置中都使用VLAN102。使用者名稱smith -102配置為由RADIUS伺服器置於VLAN102中。
設定步驟
此配置分為三類:
- Cisco ISE配置。
- 為交換機配置多個VLAN。
- Catalyst 9800 WLC組態。
Cisco ISE配置
此配置需要執行以下步驟:
- 將Catalyst WLC配置為Cisco ISE伺服器上的AAA客戶端。
- 在Cisco ISE上配置內部使用者。
- 配置用於思科ISE上的動態VLAN分配的RADIUS(IETF)屬性。
步驟1.將Catalyst WLC配置為Cisco ISE伺服器上的AAA客戶端
以下過程說明如何將WLC新增為ISE伺服器上的AAA客戶端,以便WLC可以將使用者憑證傳遞到ISE。
請完成以下步驟:
- 在ISE GUI中,導航到
Administration > Network Resources > Network Devices
並選Add
擇。
- 使用WLC管理IP地址和WLC與ISE之間的RADIUS共用金鑰完成配置,如下圖所示:

步驟2.在Cisco ISE上配置內部使用者
此過程說明如何在Cisco ISE的內部使用者資料庫上新增使用者。
請完成以下步驟:
- 在ISE GUI中,導航到
Administration > Identity Management > Identities
並選擇Add
。
- 使用使用者名稱、密碼和使用者組完成配置,如下圖所示:

步驟3.設定用於動態VLAN分配的RADIUS(IETF)屬性
以下步驟說明如何為無線使用者建立授權配置檔案和身份驗證策略。
請完成以下步驟:
- 在ISE GUI中,導航至
Policy > Policy Elements > Results > Authorization > Authorization profiles
並選擇創Add
建新配置檔案。
- 使用相應組的VLAN資訊完成授權配置檔案配置。此影象顯示
jonathga-VLAN-102
組配置設定。

配置授權配置檔案後,需要為無線使用者建立身份驗證策略。可以使用新策Custom
略或修改策Default
略集。在此示例中,建立自定義配置檔案。
- 導航到
Policy > Policy Sets
並選Add
擇以建立新策略,如下圖所示:


現在,您需要為使用者建立授權策略,以便根據組成員資格分配各自的授權配置檔案。
- 開啟
Authorization policy
此部分並建立策略以滿足此要求,如下圖所示:

為多個VLAN配置交換機
若要允許多個VLAN通過交換器,需要發出以下命令,以設定連線到控制器的交換器連線埠:
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation dot1q
附註:預設情況下,大多數交換機允許通過中繼埠在該交換機上建立所有VLAN。如果有線網路連線到交換器,則此相同組態會套用到連線網路的交換器連線埠。這樣可啟用有線和無線網路中相同VLAN之間的通訊。
Catalyst 9800 WLC組態
此配置需要執行以下步驟:
- 使用驗證伺服器的詳細資訊設定WLC。
- 配置VLAN。
- 配置WLAN(SSID)。
- 配置策略配置檔案。
- 配置策略標籤。
- 將策略標籤分配給AP。
步驟1.使用驗證伺服器的詳細資訊設定WLC
必須設定WLC,才能與RADIUS伺服器通訊以驗證使用者端。
請完成以下步驟:
- 在控制器GUI中,導覽至
Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add
並輸入RADIUS伺服器資訊,如下圖所示:


- 若要將RADIUS伺服器新增到RADIUS群組,請導覽至
Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add
以下圖所示:

- 若要建立驗證方法清單,請導覽至
Configuration > Security > AAA > AAA Method List > Authentication > + Add
如下圖所示:


步驟2.配置VLAN
以下程式介紹如何在Catalyst 9800 WLC上設定VLAN。如本檔案前面所述,WLC中還必須存在RADIUS伺服器的Tunnel-Private-Group ID屬性下指定的VLAN ID。
在本示例中,使用者smith-102是使用RADIUS伺服器Tunnel-Private-Group ID of 102 (VLAN =102)
上的指定的。
- 導覽至
Configuration > Layer2 > VLAN > VLAN > + Add
如下圖所示:

- 輸入所需的資訊,如下圖所示:

附註:如果不指定名稱,VLAN會自動分配名稱VLANXXXX,其中XXXX是VLAN ID。
對所有需要的VLAN重複步驟1和2,完成後可以繼續步驟3。
- 驗證資料介面中是否允許VLAN。
- 如果正在使用埠通道,請導航到
Configuration > Interface > Logical > PortChannel name > General
。如果您看到其已設定Allowed VLAN = All
,就表示您已完成設定。如果看到,Allowed VLAN = VLANs IDs
請新增所需的VLAN,然後選擇該Update & Apply to Device
項。
- 如果您沒有使用埠通道,請導航到
Configuration > Interface > Ethernet > Interface Name > General
。如果您看到其已設定Allowed VLAN = All
,就表示您已完成設定。如果看到,Allowed VLAN = VLANs IDs
請新增所需的VLAN,然後選擇該Update & Apply to Device
項。
如果您使用全部或特定VLAN ID,此映像將顯示與介面設定相關的組態。


步驟3.配置WLAN(SSID)
以下程式說明如何在WLC中設定WLAN。
請完成以下步驟:
- 以便建立WLAN。導覽至
Configuration > Wireless > WLANs > + Add
根據需要設定網路,如下圖所示:

- 輸入WLAN資訊,如下圖所示:

- 導航到
Security
頁籤並選擇所需的安全方法。在此例中,WPA2 + 802.1x(如圖所示):


在Security > AAA
「From」索引標籤中,從一節中選擇步驟3上建Configure the WLC with the Details of the Authentication Server
立的驗證方法,如下圖所示:

步驟4.配置策略配置檔案
以下程式說明如何在WLC中設定原則設定檔。
請完成以下步驟:
- 導覽至
Configuration > Tags & Profiles > Policy Profile
並設定或建default-policy-profile
立新專案,如下圖所示:


- 從標籤
Access Policies
中,指定無線客戶端在預設情況下連線到此WLAN時分配給的VLAN,如下圖所示:

附註:在提供的示例中,RADIUS伺服器的任務是在身份驗證成功時將無線客戶端分配給特定VLAN,因此策略配置檔案中配置的VLAN可以是黑洞VLAN,RADIUS伺服器會覆蓋此對映並將通過該WLAN的使用者分配到RADIUS伺服器中user Tunnel-Group-Private-ID欄位中指定的VLAN。
- 在RADIUS
Advance
伺服器傳回將使用者端放在正確VLAN上所需的屬性時,從索引標籤啟用複選Allow AAA Override
框,以覆寫WLC組態,如下圖所示:

步驟5.配置策略標籤
以下步驟說明如何在WLC中設定Policy標籤。
請完成以下步驟:
- 如果需要
Configuration > Tags & Profiles > Tags > Policy
,請導覽並新增一個,如下圖所示:

- 向Policy Tag新增名稱並選
+Add
擇,如下圖所示:

- 將WLAN設定檔連結到所需的原則設定檔,如下圖所示:


步驟6.為AP分配策略標籤
以下步驟說明如何在WLC中設定Policy標籤。
請完成以下步驟:
- 導航到
Configuration > Wireless > Access Points > AP Name > General Tags
並分配相關的策略標籤,然後選擇Update & Apply to Device
如下圖所示:

注意:請注意,更改AP上的策略標籤會導致AP與WLC斷開連線,然後重新連線。
Flexconnect
Flexconnect功能允許AP在配置為中繼時,通過AP LAN埠傳送無線客戶端資料到出口。此模式稱為Flexconnect本地交換,允許AP通過將客戶端流量標籤在與其管理介面分開的VLAN中來分離客戶端流量。本節提供有關如何為本地交換方案配置動態VLAN分配的說明。
附註:上一節中概述的步驟同樣適用於Flexconnect方案。要完成Flexconnect的配置,請執行本節中提供的其他步驟。
為多個VLAN配置交換機
要允許多個VLAN通過交換機,需要發出以下命令來配置連線到AP的交換機埠:
- Switch(config-if)#switchport mode trunk
- Switch(config-if)#switchport trunk encapsulation dot1q
附註:預設情況下,大多數交換機允許通過中繼埠在交換機上建立所有VLAN。
Flexconnect策略配置檔案 組態
- 導航到Configuration > Tags & Profiles > Policy Profile > +Add並建立新策略。
- 新增名稱,取消選中Central Switching and Central DHCP覈取方塊。透過此組態,控制器會處理使用者端驗證,而FlexConnect存取點則在本地交換使用者端封包和DHCP。

附註:從17.9.x代碼開始,策略配置檔案外觀已更新,如圖所示。

- 在Access Policies頁籤中,分配無線客戶端在預設情況下連線到此WLAN時分配到的VLAN。

附註:此步驟中設定的VLAN不需要存在於WLC的VLAN清單中。然後,將必要的VLAN新增到Flex-Profile中,這樣可以在AP上建立VLAN。
- 在Advanced索引標籤中,啟用Allow AAA Override覈取方塊以由RADIUS伺服器覆寫WLC組態。

將Flexconnect策略配置檔案分配給WLAN和策略標籤
附註:策略標籤用於將WLAN與策略配置檔案連結。您可以建立新的原則標籤,或使用 default-policy-tag。
- 如果需要,請導航到Configuration > Tags & Profiles > Tags > Policy,然後新增一個新檔案。
- 輸入策略標籤的名稱,然後按一下「新增」按鈕。
- 將 WLAN 設定檔連結至想要的原則設定檔。
- 按一下Apply to Device按鈕。

配置Flex配置檔案
要在FlexConnect接入點上通過RADIUS動態分配VLAN ID,必須在接入點上顯示RADIUS響應的隧道專用組ID屬性中提到的VLAN ID。VLAN是在Flex配置檔案中配置的。
- 導覽至Configuration > Tags & Profiles > Flex > + Add。

- 點選General頁籤,為Flex配置檔案分配名稱,並為AP配置本徵VLAN ID。

附註:本徵VLAN ID是指AP的管理VLAN,因此它必須與AP所連線的交換機的本徵VLAN配置匹配
- 導覽至VLAN索引標籤,然後按一下「Add」按鈕以輸入所有必要的VLAN。

附註:在Flexconnect策略配置檔案配置一節的步驟3中,您配置了分配給SSID的預設VLAN。如果在此步驟中使用VLAN名稱,請確保在Flex Profile組態中使用相同的VLAN名稱,否則使用者端無法連線到WLAN。
Flex站點標籤配置
- 導航到Configuration > Tags & Profiles > Tags > Site > +Add,以建立新的站點標籤。
- 取消選中Enable Local Site框以允許AP在本地交換客戶端資料流量,並新增在Configure the Flex Profile部分建立的Flex Profile。

將策略和站點標籤分配給AP。
- 導航到Configuration > Wireless > Access Points > AP Name > General Tags,分配相關策略和站點標籤,然後點選Update & Apply to Device。

注意:請注意,更改AP上的策略和站點標籤會導致AP與WLC斷開連線,然後重新連線。
附註:如果AP在本地模式(或任何其他模式)下配置,然後獲得「啟用本地站點」設定被禁用的站點標籤,則AP將重新啟動並返回到FlexConnect模式
驗證
使用本節內容,確認您的組態是否正常運作。
使用在ISE中定義的正確EAP協定和可以返回動態VLAN分配的憑證配置測試客戶端SSID配置檔案。系統提示您輸入使用者名稱和密碼後,輸入對映到ISE上VLAN的使用者資訊。
在上一個範例中,請注意smith-102已指派給RADIUS伺服器中所指定的VLAN102。此範例使用此使用者名稱來接收驗證,並由RADIUS伺服器指派給VLAN:
完成驗證後,您需要確認您的使用者端是否根據傳送的RADIUS屬性分配到適當的VLAN。完成以下步驟即可完成此任務:
- 從控制器GUI導覽至
Monitoring > Wireless > Clients > Select the client MAC address > General > Security Information
並尋找VLAN欄位,如下圖所示:

在此視窗中,您可以看到此使用者端是按照RADIUS伺服器上設定的RADIUS屬性指派給VLAN102。
您可以在CLI中使用show wireless client summary detail
來檢檢視中所示的相同資訊:

- 可以啟用以確
Radioactive traces
保成功將RADIUS屬性傳輸到WLC。為此,請執行以下步驟:
- 從控制器GUI導航至
Troubleshooting > Radioactive Trace > +Add
。
- 輸入無線客戶端的Mac地址。
- 選
Start
擇。
- 將使用者端連線到WLAN。
- 導航到
Stop > Generate > Choose 10 minutes > Apply to Device > Select the trace file to download the log
。
此部分的追蹤輸出可確保成功傳輸RADIUS屬性:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: User-Name [1] 13 "smith-102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: State [24] 40 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Class [25] 54 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Type [64] 6 VLAN [13]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Medium-Type [65] 6 ALL_802 [6]
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Message [79] 6 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Message-Authenticator[80] 18 ...
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Tunnel-Private-Group-Id[81] 6 "102"
2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: EAP-Key-Name [102] 67 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Send-Key [16] 52 *
2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: MS-MPPE-Recv-Key [17] 52 *
2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : username 0 "smith-102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : class 0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30 ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-type 1 13 [vlan] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : tunnel-medium-type 1 6 [ALL_802] ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id 1 "102" ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute : timeout 0 1800 (0x708) ]
2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
相關資訊