WLCs のダイナミック VLAN 割り当ては設定例をマッピング する Active Directory グループに ISE に基づいていました

WLCs のダイナミック VLAN 割り当ては設定例 をマッピング する Active Directory グループに ISE に基づいていました

目次

はじめに 前提条件 要件

使用するコンポーネント 表記法

RADIUS サーバによるダイナミック VLAN 割り当て 設定

ネットワーク図 設定

ISE のユーザ向けの認証 および 権限ポリシーの AD 統合および設定への ISE

SSID 「office_hq」のための dot1x authetnication および AAA 上書きするをサポートする WLC 設 定

確認

トラブルシューティング

概要

このドキュメントでは、ダイナミック VLAN 割り当ての概念について説明します。 資料にワイヤ レス LAN コントローラ（WLC）および仕様 VLAN に Wireless LAN （WLAN） クライアントを 動的に割り当てるために ISE サーバを設定する方法を記述されています。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

ワイヤレス LAN コントローラ（WLC）および Lightweight アクセス ポイント（LAP）に関す る基本的な知識があること

●

持って下さい Identity Services Engine （ISE）のような認証、許可および会計（AAA）サー バの機能ナレッジを

●

ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識があること

。

●

ダイナミック VLAN 割り当てに関する実践的で設定ができる知識があること

●

Microsoft Windows AD サービスに加え、ドメイン コントローラと DNS の概念に関する基本 的な知識があること

●

持って下さいコントロールの基本的な知識およびアクセス ポイント プロトコル

（CAPWAP）のプロビジョニングを

●

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

Cisco 5520 シリーズ ファームウェアリリース 8.8.111.0 を実行する WLC

●

Cisco 4800 シリーズ AP

●

ネイティブウィンドウ サプリカントおよび Anyconnect NAM。

●

Cisco Secure ISE バージョン 2.3.0.298

●

ドメインコントローラで設定される Microsoft Windows 2016 Server

●

Cisco 3560-CX シリーズ スイッチ バージョン 15.2(4)E1 を実行する

●

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメン トで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 稼働中 のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してくだ さい。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

RADIUS サーバによるダイナミック VLAN 割り当て

一般的な WLAN システムでは、Service Set Identifier（SSID）（コントローラの用語では WLAN）に関連付けられたすべてのクライアントに適用されるスタティックなポリシーが各 WLAN に存在します。 この方式は強力ですが、異なる QoS ポリシーやセキュリティ ポリシーを 継承するために各クライアントを異なる SSID に関連付ける必要があるので、さまざまな制約が あります。

Cisco WLANソリューション アドレス識別ネットワーキングのサポートによるその制限。 どの割 り当て単一 SSID をアドバタイズするネットワークがしかし特定のユーザが別の QoS を受継ぐこ とを可能にするか VLAN はおよび/またはユーザーの資格情報に基づいてセキュリティポリシー帰 因します。

ダイナミック VLAN 割り当ては、ユーザが入力したクレデンシャルに基づいてワイヤレス ユーザ を特定の VLAN に割り当てる機能です。 仕様 VLAN にユーザを割り当てることのこのタスクは Cisco ISE のような RADIUS認証サーバによって、処理されます。 たとえば、この機能を利用す ると、キャンパス ネットワーク内を移動するワイヤレス ホストを同じ VLAN に割り当てること ができます。

Cisco ISE サーバは例えば内部データベースが含まれている複数の可能性のある データベースの 1 つに対して無線ユーザを、認証します:

内部 DB

●

アクティブ ディレクトリ

●

汎用の Lightweight Directory Access Protocol（LDAP）

●

Open Database Connectivity（ODBC）に準拠したリレーショナル データベース

●

Rivest, Shamir, and Adelman（RSA）SecurID トークン サーバ

●

RADIUS に準拠したトークン サーバ

●

Cisco ISE 認証プロトコルおよびサポートされた外部識別出典は内部 ISE および外部 データベー スによってサポートされるさまざまな認証プロトコルをリストします。

この資料は Windows アクティブな direcory 外部 データベースを使用する認証無線ユーザに焦点 を合わせます。

認証の成功の後で、ISE は Windows データベースからそのユーザのグループ 情報を検索し、そ れぞれ許可 プロファイルにユーザを関連付けます。

クライアントがコントローラによって登録されている LAP に関連付けるように試みるとき LAP はそれぞれ EAP 方式を使用して WLC にユーザの資格情報を渡します。

WLC は RADIUSプロトコルを使用して ISE にそれらの資格情報を（EAP を）送り、カプセル化 する ISE は KERBEROS プロトコルを使用して検証のための AD にユーザの資格情報を渡します

。

AD は認証の成功にユーザーの資格情報を、知らせます ISE を検証し。

認証が正常なら、ISE サーバは WLC にある特定のインターネット技術特別調査委員会

（IETF）属性を渡します。 これらの RADIUS 属性により、ワイヤレス クライアントに割り当て られる VLAN ID が決定されます。 ユーザはこの事前設定済みの VLAN ID に常に割り当てられる ので、クライアントの SSID（WLC の用語では WLAN）は無視されます。

VLAN ID の割り当てに使用される RADIUS ユーザ属性は次のとおりです。

IETF 64（Tunnel Type）：これを VLAN に設定します。

●

IETF 65 （トンネル メディア タイプ） — 802 にこれを設定 して下さい

●

IETF 81（Tunnel Private Group ID）：これを VLAN ID に設定します。

●

VLAN ID は 12 ビットで、1 ～ 4094 の値（両端を含む）を取ります。 トンネル Private グループ ID がストリングとして IEEE 802.1X と併用するための RFC2868 で定義されたようにタイプ ス トリング、VLAN ID 整数値情報符号化されるであるので。 これらのトンネル属性が送信される際 には、Tag フィールドの値を設定する必要があります。

RFC2868 のセクション 3.1 で述べられているように、 Tag フィールドは 1 オクテットの長さを 持ち、同じトンネルを参照する同じパケット内の属性をグループ化する手段を提供することを目 的としています。 このフィールドで有効な値は、0x01 ～ 0x1F（両端を含む）です。 Tag フィー ルドを使用しない場合は、このフィールドをゼロ（0x00）に設定する必要があります。 すべての RADIUS 属性の詳細は、RFC 2868 を参照してください。

設定

 この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

ネットワーク図

設定

これらはこのダイアグラムで使用するコンポーネントのコンフィギュレーションの詳細です:

ISE （RADIUS）サーバの IP アドレスは 10.48.39.128 です。

●

WLC の管理および AP マネージャ インターフェイス アドレスは 10.48.71.20 です。

●

DHCPサーバは LAN ネットワークに常駐し、それぞれクライアント プールのために設定され ます; それはダイアグラムで示されていません

●

VLAN1477 および VLAN1478 はこの設定全体使用されます。 マーケティング部門からのユ ーザはユーザが両方とも同じ SSID に- office_hq 接続するとき RADIUSサーバによって VLAN1478 に置かれるために設定されます HR 部からの VLAN1477 およびユーザに置かれる ために設定されます。VLAN1477: 192.168.77.0/24。 ゲートウェイ： 192.168.77.1

VLAN1478: 192.168.78.0/24。 ゲートウェイ： 192.168.78.1 

●

この資料はセキュリティ機構として PEAP-mschapv2 と 802.1X を使用します。注： WLAN をセキュアにするため、EAP-FAST や EAP-TLS などの高度な認証方式を使用することを推 奨します。

●

これらの前提は、この設定を実行する前に実施済みです。

LAP はすでに WLC に登録されています。

●

ネットワーク内すべてのデバイス間ではレイヤ 3 接続が確立しています。

●

このドキュメントでは、無線側で必要な設定について説明しており、有線ネットワークの設 定はすでに完了しているものと想定しています。

●

Resepective ユーザおよびグループは AD で設定されます。

●

WLCs のダイナミック VLAN 割り当てを達成することはマッピング する AD グループに ISE にこれらのステップ実行された必要があります基づいていまし た:

ISE のユーザ向けの認証 および 権限ポリシーの AD 統合および設定への ISE 1.

SSID 「office_hq」のための dot1x 認証および AAA 上書きするをサポートする WLC 設定 2.

端クライアント サプリカント 設定 3.

ISE のユーザ向けの認証 および 権限ポリシーの AD 統合および設定への ISE

管理者アカウントを使用して ISE Web UI インターフェイスへのログイン。

1.

「管理の下のナビゲート- > アイデンティティ管理- > 外部識別出典- > アクティブ ディレク トリ」

2.

Active Directory 加入ポイント名前の設定からドメイン名および識別ストア名を"Add"を クリ ックする、入力して下さい。 下記の例では、ドメイン「wlaaan.com」に ISE を登録して、

加入ポイントは ISE に AD.wlaaan.com として-ローカルで固有の名前規定 されます。

3.

ウィンドウの上のぽんと鳴らは ISE に AD にすぐに加入したいと思うかどうか私達尋ねる「

送信する」ボタンが押された後開きます。 Yes ボタンを押し、管理者権限をドメインに新 しいホストを追加するためにアクティブ ディレクトリ ユーザーの資格情報に与えて下さい

。 4.

このポイントは AD に登録に成功される ISE があるはずだった後。

登録 手続においての問題があれば、AD 接続に必要なテストに「Diagnstic ツール」を使用 することができます。

5.

それぞれ許可プロファイルを割り当てるのに使用するアクティブ ディレクトリのためのグ ループを取得する必要があります。 - > アイデンティティ管理- > 外部識別はソースをたどり ます「管理の下で- > アクティブ ディレクトリ- > <Your AD> - > Groups」ナビゲート しま す、thenk は Active Directory から「追加し」、ボタンを選択します「『Groups』 を選択 し ます」クリックします。

6.

どこに retreive 特定のグループにフィルタを規定 するか、または AD からすべてのグループ を取得できるか新しいのウィンドウを開きますぽんと鳴らします。

それぞれのグループを AD グループ リストから選択し、押して下さい「良い」

7.

それぞれのグループは ISE に追加され、保存することができます。 「保存」を押して下さ い。

8.

WLC を ISE ネットワークデバイス リストに- 「管理の下でナビゲート して下さい- > ネッ トワークリソース- > ネットワークデバイス」追加し、「追加します」押して下さい。

WLC と ISE 間の WLC 管理IPアドレスおよび RADIUS 共有秘密の提供によって設定を、完 了して下さい。

9.

この場合 ISE に AD に加入し、デバイス リストに WLC を追加した後ユーザ向けの認証 お よび 権限ポリシーの設定を開始できます。 マーケティング VLAN1477 にと HR グループ から VLAN1478 にユーザを割り当てるために許可 プロファイルを作成して下さい。

- > ポリシー要素- > 生じ、- > 許可- > 許可プロファイル ポリシー」はの下で「新しいプロ ファイルを作成するために"Add"を クリックする ボタンをナビゲート します。

10.

それぞれのグループのための VLAN 情報を用いる許可 プロファイル設定を完了して下さい

; 下記の例は「マーケティング」グループ設定設定を示します。

同じような設定は他のグループのためにされなければ、それぞれのVLAN タグ アトリビュ ートは設定されなければなりません。許可プロファイルが設定された後、無線ユーザ向け の認証 ポリシーを定義できます。 それは「カスタム」設定するか、または「デフォルト」

ポリシー セットを修正することによってすることができます。 この例では、「デフォルト

」ポリシー セットを修正しています。 開いた「ポリシー- > ポリシー セット- > デフォル ト」。 「デフォルトで AD」が All_User_ID_Stores の識別ソースリストの一部であるので 現在のデフォルト設定をそのそれぞれ LAB コントローラ用に、この例使用し、より多くの 特定のルール「WLC_lab」を出典だけとして認証のために使用する「AD」を使用するが  dot1x 認証種別 ISE のために「All_User_ID_Stores」を使用する行っています。

この場合団体会員に基づいてそれぞれ許可 プロファイルを割り当てるユーザ向けの承認ポ リシーを作成する必要があります。 開いた「承認ポリシー」セクションはその要件を達成 するためにポリシーを作成し。

SSID 「office_hq」のための dot1x authetnication および AAA 上書きするをサポー トする WLC 設定

ISE をと同時に WLC の RADIUS認証サーバ、「セキュリティ- > AAA - > RADIUS - > Web UI インターフェイスの認証」セクションの下で設定し、ISE IP アドレスおよび共有秘密 情 報を提供しなさい。

1.

WLC の「WLAN」セクションの下で SSID office_hq を設定して下さい; 下記の例は

WPA2/AES+dot1x および AAA 上書きするで SSID を設定したものです。 適切な VLAN が RADIUS によってとにかく割り当てられるのでインターフェイス「ダミー」は WLAN に選 択されます。 このダミーのインターフェイスは WLC で作成され、IP アドレスを与えられ なければなりませんが IP アドレスは有効でなくてもよろしくないし、VLAN が割り当てら れなければ置かれる VLAN はアップリンク スイッチでクライアントどこでも行くことがで きないように作成されないかもしれません。

2.

また「コントローラの下でユーザ VLAN のための WLC の動的インターフェイスを、作成す る必要があります- >」UI メニューをインターフェイスさせます。 WLC はその VLAN で動 的インターフェイスがある場合だけ AAA によって受け取った VLAN 割り当てに名誉を与え ることができます。

3.

確認

テスト接続に Windows 10 ネイティブ サプリカントおよび Anyconnect NAM を使用します。

使用しているので EAP-PEAP 認証および ISE は自己署名証明書（SSC）を証明書警告に同意す るか、または認証の検証を無効に する必要がある使用しています。 corportate 環境では、ISE の 署名されるおよび信頼できる証明書を使用し、エンドユーザデバイスが信頼された CA リストの 下でインストールされる適切なルート証明を備えていることを確認する必要があります。

Windows 10 およびネイティブ サプリカントのテスト接続。

開いた「ネットワーク及びインターネット設定- > Wi-Fi - > 既知のネットワーク」を管理し

、「追加します新しいネットワーク」ボタンを押すことによって新しいネットワーク プロ ファイルを作成します; 必要情報を記入して下さい。

1.

認証 ログイン ISE をチェックし、右のプロファイルを選択されますユーザ向けに確認して 下さい。

2.

WLC の Client エントリをチェックし、割り当て、右の VLAN に走行状態にあります確認し て下さい。

3.

WLC CLI クライアント ステータスから示しますクライアント dertails <mac-address>」を と「チェックすることができます:

4.

show client detail f4:8c:50:62:14:6b

Client MAC Address... f4:8c:50:62:14:6b Client Username ... Bob

Client Webauth Username ... N/A Hostname: ...

Device Type: ... Intel-Device AP MAC Address... 70:69:5a:51:4e:c0 AP Name... AP4C77.6D9E.6162 AP radio slot Id... 1

Client State... Associated User Authenticated by ... RADIUS Server Client User Group... Bob

Client NAC OOB State... Access Wireless LAN Id... 3

Wireless LAN Network Name (SSID)... office_hq Wireless LAN Profile Name... office_hq Hotspot (802.11u)... Not Supported Connected For ... 242 secs

BSSID... 70:69:5a:51:4e:cd Channel... 36

IP Address... 192.168.78.36 Gateway Address... 192.168.78.1 Netmask... 255.255.255.0 ...

Policy Manager State... RUN ...

EAP Type... PEAP Interface... vlan1478 VLAN... 1478 Quarantine VLAN... 0 Access VLAN... 1478

Windows 10 および Anyconnect NAM のテスト接続。

利用可能 な SSID リストからおよびそれぞれ EAP 認証型（この例 PEAP で）および内部認 証形式『SSID』 を選択 して下さい

1.

ユーザ認証にユーザ名 および パスワードを提供します。

2.

ISE がクライアントに SSC を送信 して いるので手動で 信頼できる証明書に選択する必要 があります（実稼働環境で ISE で信頼できる証明書をインストールするために強く推奨され ています）。

3.

チェック 認証はユーザ向けに ISE をログオンし、右の許可 プロファイルを選択されます確 認します。

4.

WLC の Client エントリをチェックし、割り当て、右の VLAN に走行状態にあります確認し て下さい。

5.

WLC CLI クライアント ステータスから示しますクライアント dertails <mac-address>」を と「チェックすることができます:

Client MAC Address... f4:8c:50:62:14:6b Client Username ... Alice

Client Webauth Username ... N/A Hostname: ...

Device Type: ... Intel-Device AP MAC Address... 70:69:5a:51:4e:c0 AP Name... AP4C77.6D9E.6162 AP radio slot Id... 1

Client State... Associated User Authenticated by ... RADIUS Server Client User Group... Alice

Client NAC OOB State... Access Wireless LAN Id... 3

Wireless LAN Network Name (SSID)... office_hq Wireless LAN Profile Name... office_hq Hotspot (802.11u)... Not Supported Connected For ... 765 secs

BSSID... 70:69:5a:51:4e:cd Channel... 36

6.

IP Address... 192.168.77.32 Gateway Address... 192.168.77.1 Netmask... 255.255.255.0 ...

Policy Manager State... RUN ...

Policy Type... WPA2 Authentication Key Management... 802.1x

Encryption Cipher... CCMP-128 (AES) Protected Management Frame ... No

Management Frame Protection... No EAP Type... PEAP Interface... vlan1477 VLAN... 1477

トラブルシューティング

WLC と ISE 間の RADIUS 接続をテストするのに「テスト AAA RADIUS ユーザ名 <user>

パスワード <password> wlan ID <id>」を使用すれば「テスト AAA 結果を示すために半径」

を示します。

test aaa radius username Alice password <removed> wlan-id 2 Radius Test Request

Wlan-id... 2 ApGroup Name... none Attributes Values

--- --- User-Name Alice

Called-Station-Id 00-00-00-00-00-00:AndroidAP Calling-Station-Id 00-11-22-33-44-55

Nas-Port 0x00000001 (1) Nas-Ip-Address 10.48.71.20 NAS-Identifier 0x6e6f (28271) Airespace / WLAN-Identifier 0x00000002 (2) User-Password cisco!123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19)

Cisco / Audit-Session-Id 1447300a0000003041d5665c Acct-Session-Id 5c66d541/00:11:22:33:44:55/743

test radius auth request successfully sent. Execute 'test aaa show radius' for response (Cisco Controller) >test aaa show radius

Radius Test Request

Wlan-id... 2 ApGroup Name... none Radius Test Response

Radius Server Retry Status --- --- --- 10.48.39.128 1 Success Authentication Response:

1.

Result Code: Success

Attributes Values --- --- User-Name Alice

State ReauthSession:1447300a0000003041d5665c

Class CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59 Tunnel-Type 0x0000000d (13)

Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x000005c5 (1477)

(Cisco Controller) >

無線クライアント 接続上の問題を解決するのに「デバッグ クライアント <mac-address>」

を使用して下さい。

2.

WLC の認証 および 権限問題を解決するのに「debug aaa all enable」を使用して下さい。

注: デバッグがされる MAC アドレスに基づいて出力を制限するのに「デバッグ MAC Addr

<mac-address>」とだけこのコマンドを使用して下さい!

3.

 問題認証失敗および AD コミュニケーション問題を識別するために ISE ライブ ログおよび セッション ログを参照して下さい。

4.