在Catalyst 9800無線控制器系列上配置802.1X身份驗證
目錄
簡介
本文說明如何在Cisco Catalyst 9800系列無線控制器上設定具有802.1X安全性的WLAN。
必要條件
需求
思科建議您瞭解以下主題:
- 802.1X
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Catalyst 9800無線控制器系列(Catalyst 9800-CL)
- Cisco IOS® XE直布羅陀版17.3.x
- Cisco ISE 3.0
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
網路圖表
WLC組態
9800 WLC上的AAA組態
GUI:
步驟 1.宣告RADIUS伺服器。導覽至 Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add並輸入RADIUS伺服器資訊。
如果您計畫將來使用中央Web驗證(或任何需要授權變更[CoA]的安全型別),請確保支援CoA。
步驟 2.將RADIUS伺服器新增到RADIUS組。導航到 Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add. 為組指定名稱並移動您之前在清單中建立的伺服器 Assigned Servers.
步驟 3.建立身份驗證方法清單。導航至 Configuration > Security > AAA > AAA Method List > Authentication > + Add.
輸入以下資訊:
CLI:
# config t # aaa new-model # radius server <radius-server-name> # address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813 # timeout 300 # retransmit 3 # key <shared-key> # exit # aaa group server radius <radius-grp-name> # server name <radius-server-name> # exit
# aaa server radius dynamic-author
# client <radius-server-ip> server-key <shared-key>
# aaa authentication dot1x <dot1x-list-name> group <radius-grp-name>
關於AAA失效伺服器檢測的註釋
設定RADIUS伺服器後,您就可以檢查它是否被認為是「ALIVE」:
#show aaa servers | s WNCD
Platform State from WNCD (1) : current UP
Platform State from WNCD (2) : current UP
Platform State from WNCD (3) : current UP
Platform State from WNCD (4) : current UP
...您可以在dead criteria,WLC上設定deadtime和,尤其是使用多個RADIUS伺服器時。
#radius-server dead-criteria time 5 tries 3
#radius-server deadtime 5WLAN配置檔案配置
GUI:
步驟 1.建立WLAN。導覽至「組態」>「無線」>「WLAN」>「+ 新增」,並依需要設定網路。
步驟 2.輸入無線區域網資訊
步驟 3.導航到Security頁籤並選擇所需的安全方法。在本例中WPA2 + 802.1x。
步驟 4.從頁籤Security > AAA 中,從9800 WLC上的AAA配置部分選擇第3步中建立的身份驗證方法。
CLI:
# config t # wlan <profile-name> <wlan-id> <ssid-name> # security dot1x authentication-list <dot1x-list-name> # no shutdown
原則設定檔組態
在策略配置檔案中,您可以決定要將客戶端分配到哪個VLAN,以及其他設定(如訪問控制清單[ACL]、服務品質[QoS]、移動錨點、計時器等)。
您可以使用預設策略配置檔案,也可以建立新配置檔案。
GUI:
導覽至Configuration > Tags & Profiles > Policy Profile ,然後設定default-policy-profile 或建立一個新配置檔案。
確認設定檔已啟用。
此外,如果您的存取點(AP)處於本機模式,請確保原則設定檔已啟用中央交換和中央驗證。
在Access Policies頁籤中選擇需要分配客戶端的VLAN。
如果您計畫將ISE返回屬性置於類似於VLAN分配的Access-Accept中,請在頁籤中啟用AAA覆Advanced寫:
CLI:
# config # wireless profile policy <policy-profile-name>
# aaa-override # central switching # description "<description>" # vlan <vlanID-or-VLAN_name> # no shutdown
原則標籤組態
策略標籤用於將SSID與策略配置檔案連結。您可以建立新的原則標籤,或使用 default-policy-tag。
GUI:
如果需要,Configugation > Tags & Profiles > Tags > Policy 請導航到並新增新資料夾。
將 WLAN 設定檔連結至想要的原則設定檔。
CLI:
# config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name>
原則標籤指定
指派原則標籤至需要的 AP。
GUI:
要將標籤分配給一個AP,請導航以分配Configuration > Wireless > Access Points > AP Name > General Tags,相關的策略標籤,然後按一下 Update & Apply to Device.
要將相同的策略標籤分配給多個AP,請導航至 Configuration > Wireless Setup > Advanced > Start Now > Apply.
選擇要為其分配標籤的AP,然後按一下 + Tag APs
選擇適用於策略、站點和RF的標籤,然後點選Save & Apply to Device
CLI:
# config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end
ISE 組態
宣告ISE上的WLC
步驟 1.開啟ISE控制檯並導航至Administration > Network Resources > Network Devices > Add如下圖所示。
步驟 2.配置網路裝置。
或者,它可以是指定的型號名稱、軟體版本、說明,並根據裝置型別、位置或WLC分配網路裝置組。
這裡的IP位址對應傳送驗證要求的WLC介面。預設情況下為管理介面,如下圖所示:
有關詳細資訊 Network Device Groups,請參閱《思科身份服務引擎管理員指南2.0版:網路裝置組》中的管理網路裝置
在 ISE 上建立新使用者
步驟 1.導 Administration > Identity Management > Identities > Users > Add 航至如下圖所示:
步驟 2.輸入使用者的資訊。在此示例中,此使用者屬於名為ALL_ACCOUNTS的組,但可以根據需要對其進行調整,如下圖所示:
建立授權設定檔
由Authorization Profile匹配條件時返回的一組屬性組成。授權配置檔案確定客戶端是否有權訪問網路、推送訪問控制清單(ACL)、VLAN覆蓋或任何其他引數。本示例中顯示的授權配置檔案傳送客戶端的訪問接受並將客戶端分配給VLAN 1416。
步驟 1.導航到Policy > Policy Elements > Results > Authorization > Authorization Profiles 並按一下按Add鈕。
步驟 2.輸入如下圖所示的值。在此我們可以返回AAA覆蓋屬性,例如VLAN。WLC 9800接受使用VLAN ID或名稱的通道屬性64、65、81,並且也接受該屬性的使AirSpace-Interface-Name用。
創建策略集
策略集定義身份驗證和授權規則的集合。要建立一個,請轉到,Policy > Policy Sets按一下清單中第一個策略集的齒輪,然後選擇Insert new row above如下圖所示:
為此策略集配置名稱並建立條件。在本範例中,條件指定我們與來自WLC的流量相符:
Radius:NAS-IP-Address EQUALS X.X.X.X // X.X.X.X is the WLC IP address確保在Default Network Access中選擇了Allowed Protocols / Server Sequence。
建立身份驗證策略
要配置身份驗證和授權策略,需要輸入策略集配置。如果按一下以下行右側的藍色箭頭,可以執行此操Policy Set作:
驗證策略用於驗證使用者憑證是否正確(驗證使用者是否真正是其所言者)。在「Authenticaton Policy,Create an Authentication Policy(建立身份驗證策略)」下,按照如下圖所示進行配置。本示例中使用的策略條件為:
RADIUS:Called-Station-ID ENDS_WITH
//
is the SSID of your WLAN
此外,選擇此身份驗證策略頁籤下的Internal UsersUse。
建立授權策略
在同一頁面上,轉到Authorization Policy ,並建立一個新頁面。此授權策略的條件為:
RADIUS:Called-Station-ID ENDS_WITH
//
is the SSID of your WLAN
在此策Result > Profiles略的頁籤下,選擇您之前創Authorization Profile建的專案。這麼做會導致ISE將正確的屬性傳送到WLC(如果使用者通過驗證)。
此時,WLC和ISE的所有配置都已完成,您現在可以嘗試連線到客戶端。
有關ISE允許協定策略的詳細資訊,請檢視「思科身份服務引擎管理員指南,版本2.0:管理身份驗證策略」一章:管理身份驗證策略
有關ISE身份源的詳細資訊,請檢視「思科身份服務引擎管理員指南2.0版:身份源」中的「管理使用者和外部身份源」一章
驗證
您可以使用以下命令驗證目前的組態:
# show run wlan // WLAN configuration # show run aaa // AAA configuration (server, server group, methods) # show aaa servers // Configured AAA servers # show ap config general // AP's configurations # show ap name <ap-name> config general // Detailed configuration of specific AP
# show ap tag summary // Tag information for AP'S
# show wlan { summary | id | name | all } // WLAN details
# show wireless tag policy detailed <policy-tag name> // Detailed information on given policy tag
# show wireless profile policy detailed <policy-profile name>// Detailed information on given policy profile
疑難排解
WLC上的疑難排解
WLC 9800提供永遠線上的追蹤功能。這可確保所有與客戶端連線相關的錯誤、警告和通知級別消息均持續記錄,並且您可以在發生事故或故障情況後檢視其日誌。
這取決於生成的日誌量,但通常,您可以返回幾小時到幾天。
若要檢視9800 WLC在預設情況下蒐集的追蹤,可以透過SSH/Telnet連線到9800 WLC,並執行下列步驟:(確保將作業階段記錄到文字檔中)。
步驟 1.請檢查WLC的目前時間,以便您可以在問題發生之前的時間追蹤日誌。
# show clock
步驟 2.根據系統配置的指示,從WLC緩衝區或外部系統日誌收集系統日誌。如此可快速檢視系統健全狀況和錯誤(如有)。
# show logging
步驟 3.驗證是否已啟用任何調試條件。
# show debugging IOSXE Conditional Debug Configs: Conditional Debug Global State: Stop IOSXE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
步驟 4.假設在步驟3中,未將測試的mac地址列為條件,請收集特定mac地址的always-on通知級別跟蹤:
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
您可以顯示作業階段上的內容,也可以將檔案複製到外部TFTP伺服器:
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
條件式偵錯和無線電主動式追蹤
如果永遠線上(always-on)跟蹤未為您提供足夠的資訊來確定所調查問題的觸發因素,則可以啟用條件調試並捕獲無線活動(RA)跟蹤,該跟蹤為與指定條件(本例中為客戶端mac地址)互動的所有進程提供調試級別跟蹤。您可以通過GUI或CLI執行此操作。
CLI:
要啟用條件調試,請執行以下步驟:
步驟 5.確保未啟用調試條件。
# clear platform condition all
步驟 6.為要監控的無線客戶端mac地址啟用調試條件。
此命令開始監控提供的mac地址達30分鐘(1800秒)。您可以選擇將此時間增加至2085978494秒。
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
步驟 7.重現您要監控的問題或行為。
步驟 8.如果在預設或配置的監控器時間過期之前重現問題,則停止調試。
# no debug wireless mac <aaaa.bbbb.cccc>
當監控時間結束或偵錯無線停止後,9800 WLC 會產生本機檔案,名稱如下:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
步驟 9. 收集 MAC 位址活動的檔案。 可以將ra trace.log複製到外部伺服器,也可以直接在螢幕上顯示輸出。
檢查 RA 追蹤檔案的名稱:
# dir bootflash: | inc ra_trace
將檔案複製到外部伺服器:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
顯示內容:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
步驟 10.如果根本原因仍不明顯,請收集內部日誌,這是調試級別日誌的更詳細檢視。您無需再次調試客戶端,因為我們將更詳細地檢視已收集並在內部儲存的調試日誌。
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
您可將 ra-internal-FILENAME.txt 複製到外部伺服器,或將輸出內容直接顯示於螢幕上。
將檔案複製到外部伺服器:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
顯示內容:
# more bootflash:ra-internal-<FILENAME>.txt
步驟 11.移除偵錯條件。
# clear platform condition all
GUI:
步驟 1.轉到Troubleshooting > Radioactive Trace > + Add 並指定要進行故障排除的客戶端的MAC/IP地址。
步驟 2.按一下「Start」。
步驟 3.重現問題。
步驟 4. 按一下「Stop」。
步驟 5.按一下Generate按鈕,選擇要獲取日誌的時間間隔,然後按一下 Apply to Device. In this example, the logs for the last 10 minutes are requested.
步驟 6.在電腦上下載放射性跟蹤,然後按一下下載按鈕並進行檢查。
在ISE上進行故障排除
如果您遇到客戶端身份驗證問題,您可以驗證ISE伺服器上的日誌。轉到Operations > RADIUS > Live Logs,您會看到身份驗證請求清單、匹配的策略集、每個請求的結果等。如果按一下每行頁籤下的放大鏡,Details可以獲得更多詳細資訊,如下圖所示:
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
20-Sep-2022 |
已更新軟體版本,並新增一個有關RADIUS計時器的部分。 |
1.0 |
21-Nov-2018 |
初始版本 |
意見