Catalyst 9800 ワイヤレス コントローラ AP 許可 リスト

Catalyst 9800 ワイヤレス コントローラ AP 許可

リスト

目次

はじめに 背景説明 前提条件 要件 使用するコンポーネント 設定 ネットワーク図 設定 MAC AP 許可 リスト-ローカル MAC AP 許可 リスト-外部 RADIUSサーバ 確認 トラブルシューティング

概要

この資料に Access Point （AP） 認証 ポリシーを設定する方法を説明されています。 この機能は 承認されたアクセス ポイントだけ（AP）伸縮性があるワイヤレス LAN コントローラ（9800 WLC）に加入できることを確認します。

背景説明

AP を承認するために、それは必要イーサネット Media Access Control（MAC） アドレスを登録 するためにです。 それはコントローラでまたは externalRemote 認証ダイヤルイン ユーザサービ ス（RADIUS）サーバでローカルですることができます。

前提条件

要件

次の項目に関する知識が推奨されます。 9800 WLC ●

ワイヤレス コントローラへの Command Line Interface （CLI）アクセス

●

使用するコンポーネント

9800 WLC v16.10 AP 1810W

AP 1700 識別サービス エンジン（ISE） v2.2 本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメン トで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 対象の ネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響につい て確実に理解しておく必要があります。

設定

ネットワーク図

設定

MAC AP 許可 リスト-ローカル 承認された AP の MAC アドレスは 9800 WLC でローカルで保存されます。 ステップ 1.ローカル 許可資格情報ダウンロード方式リストを作成して下さい。 設定 > Security > AAA > AAA 方式 リスト > 許可への移動は > + 追加します

ステップ 2.有効 AP MAC 許可。

設定 > Security > 進む AAA > AAA に > AP ポリシー ナビゲートして下さい。 有効は MAC に対 して AP を承認し、ステップ 1.で作成される許可の方式 リストを選択します。

     

ステップ 3. AP のイーサネット MAC アドレスを追加して下さい。

注: AP のイーサネット MAC アドレスはこれらの形式の 1 つにある必要があります（XX: xx: xx: xx: xx: XX （または） xxxx.xxxx.xxxx （または） xx-xx-xx-xx-xx-xx）。

CLI：

# config t

# aaa new-model # aaa authorization credential-download <AP-auth> local

# ap auth-list authorize-mac # ap auth-list method-list <AP-auth> # username <aaaabbbbcccc> mac

MAC AP 許可 リスト-外部 RADIUSサーバ

9800 WLC 構成

承認された AP の MAC アドレスはこの例 ISE で外部 RADIUSサーバで、保存されます。

ISE で、ユーザー名/パスワードまたはエンドポイントとして AP の MAC アドレスを登録できま す。 ステップに沿って何とかして使用するために選択するべき設定指示されます。

GUI：

設定 > Security > AAA > サーバ/グループ > RADIUS > サーバへの移動は > + RADIUSサーバの情 報を追加し、入力します。

中央 Web 認証（か CoA を必要とする種類のセキュリティを）将来使用するために計画する場合 CoA のためのサポートを有効に されます確認して下さい。 

ステップ 2. RADIUS グループに RADIUSサーバを追加して下さい

設定 > Security > AAA > サーバ/グループ > RADIUS > サーバグループへの移動は > + 追加します ユーザー名がどれもとして MAC フィルタリングを残さないように ISE を持つために AP の MAC アドレスを認証して下さい。 

エンドポイントが MAC に MAC フィルタリングを変更するように ISE を持つために AP の MAC アドレスを認証して下さい。 

ステップ 3.許可資格情報ダウンロード方式リストを作成して下さい。 設定 > Security > AAA > AAA 方式 リスト > 許可への移動は > + 追加します

ステップ 4.有効 AP MAC 許可。

設定 > Security > 進む AAA > AAA に > AP ポリシー ナビゲートして下さい。 有効は MAC に対 して AP を承認し、ステップ 3.で作成される許可の方式 リストを選択します。

CLI：

# config t # aaa new-model

# radius server <radius-server-name>

# address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813 # timeout 300

# retransmit 3 # key <shared-key> # exit

# aaa group server radius <radius-grp-name> # server name <radius-server-name>

# exit

# aaa server radius dynamic-author

# client <radius-server-ip> server-key <shared-key>

# aaa authorization credential-download <AP-auth> group <radius-grp-name> # ap auth-list authorize-mac

# ap auth-list method-list <AP-ISE-auth> ISE 構成 ステップ 1： ISE に 9800 WLC を追加するこれらの手順に従って下さい ISE の 9800 WLC を宣言して下さい 基づいて AP の MAC アドレスをどのようにに認証したいと思うか必要なステップに従って下さ い: エンドポイントとして MAC アドレスを認証するために使用を設定して下さい username/password として MAC アドレスを認証するために ISE を設定して下さい

エンドポイントとして MAC アドレスを認証するために ISE を設定して下さい

ステップ 2. （オプションの）はアクセス ポイントのための識別グループを作成します

Administration > アイデンティティ管理 > Groups > エンドポイント識別グループへの移動は > + 追加します。

名前を選択し、『SUBMIT』 をクリック して下さい。

ステップ 3.エンドポイント識別グループに AP のイーサネット MAC アドレスを追加して下さい 。

作業センター > ネットワーク アクセス > 識別 > エンドポイントに > + ナビゲートして下さい

ステップ 4.デフォルトの認証ルールで使用される識別ストアが内部 エンドポイントが含まれてい ることを確認して下さい。

A. ポリシー > 認証にナビゲートし、識別ストアを書き留めて下さい。

B. Administration > アイデンティティ管理 > 識別出典シーケンス > 識別名前にナビゲートして下 さい。

C. 内部 エンドポイントを属しましたりそれに、そうでなかったら、追加しますそれを確認して下 さい。

username/password として MAC アドレスを認証するために ISE を設定して下さい

ステップ 2. （オプションの）はアクセス ポイントのための識別グループを作成します

Administration > アイデンティティ管理 > Groups > ユーザ識別グループへの移動は > + 追加しま す。

名前を選択し、『SUBMIT』 をクリック して下さい。

ステップ 3.現在のパスワード ポリシーがユーザ名 および パスワードとして MAC アドレスを追 加することを可能にすることを確認して下さい。

Administration > アイデンティティ管理 > 設定 > ユーザ認証設定 > パスワード ポリシーにナビゲ ートし、少なくともこれらのオプションが無効に なるようにして下さい:

注: パスワードが変更されなかった場合また XX 幾日以降にオプション無効ユーザアカウン トを無効に したいと思うことができます。これが MAC アドレスであるので、パスワードは 決して変更しません。 

ステップ 4. AP のイーサネット MAC アドレスを追加して下さい。

注: 名前およびログイン Passwordfield は AP、すべての小文字および区切り記号のイーサネ ット MAC アドレスである必要がありません。 AP を認証する承認ポリシー イメージに示すように移動 toPolicy > 許可。 イメージに示すように新しいルールを追加して下さい。 最初に、ルールおよびアクセス ポイントが保存される識別グループに名前を選択して下さい （AccessPoints）。 エンドポイントとして AP の MAC アドレスを認証することを選択する場合 ように username password かエンドポイント識別グループ MAC アドレスを認証することにした 場合識別グループを『User』 を選択 して下さい。

その後で、他の条件を選択して下さいこのルールに下るために許可 プロセスを実行する。 この例 では、許可 プロセスはサービス タイプ コール チェックを使用し、認証要求が IP アドレス 10.88.173.52 から来れば場合このルールを見つけます。 最終的には、許可 プロファイルを選択して下さいそのルールを見つけるクライアントにイメージ に示すように、clickDoneand 保存それ割り当てられる。 注: コントローラで既に加入した AP はアソシエーションを失いません。 、しかし、許可リ ストを有効に した後、切断し、コントローラが付いている通信を加入するように試みます 認証プロセスを通過します。 MAC アドレスがまたはローカルでリストされていないか、 RADIUSサーバのそれらはコントローラに戻って加入できることではないです。

確認

9800 WLC が ap 認証リストを有効に したかどうか確認して下さい # show ap auth-list

Authorize APs against MAC : Disabled Authorize APs against Serial Num : Enabled Authorization Method List : <auth-list-name>

# show run aaa

トラブルシューティング

WLC 9800 は常時接続トレース機能を提供します。 これはすべての AP を加入します関連エラー に確認します、警告および表記水平なメッセージは絶えず記録 され、発生した後事件または失敗 状態のためのログを調べることができます。  注: 生成されるログの音量によってはに数日行くことができます数時間。 デフォルトで集められる 9800 WLC が 9800 WLC に SSH/Telnet によって（接続し、次の手順に 従うことができるトレースを表示するために確認します記録 して います テキストファイルにセ ッションを）。 ステップ 1： 問題が起こったときにチェック コントローラの現在の時刻従ってログオンします時 間をに戻ってトラッキングできます。

# show run aaa

 ステップ 2.システム構成によって定められるようにコントローラのバッファか外部 Syslog から Syslog を集めて下さい。 これはシステム状態およびエラーに速いビューを、もしあれば提供しま す。

# show run aaa

ステップ 3.どのデバッグ状態でも有効に なるかどうか確認して下さい。

# show run aaa

注: リストされている条件を見る場合それはトレースがイネーブルになった条件（MAC アド レス、IP アドレス等）に出会うすべてのプロセスのデバッグ レベルまで記録 されて いるこ とを意味します。 これはログの音量を増加します。 従ってアクティブにデバッグしないと き、すべての条件をクリアすることを推奨します ステップ 4.テストの下の MAC アドレスを仮定することはステップ 3 の条件として、収集します 特定の無線 MAC アドレスのための常時接続表記レベル トレースをリストされていませんでした 。

# show run aaa

セッションの内容を表示できますまたは外部 TFTPサーバにファイルをコピーできます。

# show run aaa

条件付きデバッギングおよび無線アクティブなトレース 

調査中の問題のためのトリガーを判別するために常時接続トレースが十分な情報を与えない場合 指定された条件（クライアントのMACアドレスこの場合）と相互に作用しているすべてのプロセ スにデバッグ レベル トレースを提供する条件付きデバッギングおよびキャプチャ無線アクティブ な（RA）トレースを有効に することができます。 条件付きデバッギングを有効にするために、

次の手順に従って下さい。

ステップ 5 そこにですデバッグ状態有効に されます確認しないで下さい。

# show run aaa

ステップ 6.監視したいと思うこと無線クライアント MAC アドレスのためのデバッグ条件を有効 に して下さい。

これは 30 分（1800 秒）のための提供された MAC アドレスを監察するために開始するを命じま す。 2085978494 秒までにオプションで今回を増加できます。

# show run aaa    注: 複数のクライアントを一度に監視するために、デバッグ MAC アドレスごとのワイヤレ ス MAC <aaaa.bbbb.cccc> コマンドを実行して下さい。 注: すべてが表示された以降であるために内部でバッファリングされるので、ターミナルセ ッションのクライアント アクティビティの出力を見ません。    ステップ 7.監視したいと思う動作か問題を再現 して下さい。 ステップ 8.デフォルトか設定されたモニタ時間が稼働している前に問題が再現 される場合デバッ グを停止して下さい。

# show run aaa

モニタ時間が経過するかまたはデバッグ ワイヤレスが停止したら、9800 WLC は名前のローカル ファイルを生成します: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log ステップ 9. MAC アドレス アクティビティのファイルを集めて下さい。  外部サーバにどちらか のコピー RA トレース .log または画面の出力を直接表示するためにできます。 RA トレース ファイルの名前をチェックして下さい

# show run aaa

外部サーバにファイルをコピーして下さい:

# show run aaa

 内容を表示して下さい:

ステップ 10： 根本的な原因がそれでも明らかではない場合、デバッグ レベル ログのより冗長な ビューである内部ログを集めて下さい。 既に colllected、内部で保存されたデバッグ ログの futher によって詳述されるだけ見てみていると同時にクライアントを再度デバッグする必要はあ りません。

# show run aaa

注: このコマンド 出力はすべてのプロセスのすべてのログ レベルのためのトレースを戻し 、かなり大部です。 これらのトレースを通って解析を助けるように Cisco TAC を実行して 下さい。 外部サーバにどちらかのコピー ra-internal-FILENAME.txt または画面の出力を直接表示するため にできます。 外部サーバにファイルをコピーして下さい:

# show run aaa

内容を表示して下さい:

# show run aaa

 ステップ 11.デバッグ状態を取除いて下さい。   

# show run aaa

注: トラブルシューティング セッションの後でデバッグ状態を常に取除くようにして下さい 。