El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe el concepto de asignación de VLAN dinámica.
El documento describe cómo configurar el controlador de LAN inalámbrica (WLC) y el servidor de Identity Services Engine (ISE) para asignar clientes de LAN inalámbrica (WLAN) a una VLAN específica de forma dinámica.
Cisco recomienda que tenga conocimiento sobre estos temas:
Conocimientos básicos de controladores de LAN inalámbrica (WLC) y puntos de acceso ligeros (LAP)
Conocimiento funcional de un servidor de autenticación, autorización y contabilidad (AAA) como ISE
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
WLC de Cisco serie 5520 que ejecuta la versión de firmware 8.8.111.0
AP de Cisco serie 4800
Suplicante nativo de Windows y NAM de Anyconnect
Cisco Secure ISE versión 2.3.0.298
Microsoft Windows 2016 Server configurado como controlador de dominio
Switch Cisco serie 3560-CX que ejecuta la versión 15.2(4)E1
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
En la mayoría de los sistemas WLAN, cada WLAN tiene una política estática que se aplica a todos los clientes asociados a un identificador de conjunto de servicios (SSID) o WLAN en la terminología del controlador. Aunque es eficaz, este método tiene limitaciones porque requiere que los clientes se asocien con diferentes SSID para heredar diferentes QoS y directivas de seguridad.
La solución WLAN de Cisco aborda esta limitación gracias a la compatibilidad con las redes de identidad. Esto permite que la red anuncie un solo SSID, pero permite que usuarios específicos hereden diferentes QoS, atributos de VLAN y/o políticas de seguridad basadas en las credenciales del usuario.
La asignación de VLAN dinámica es una de estas funciones que colocan a un usuario inalámbrico en una VLAN específica en función de las credenciales suministradas por el usuario. Esta tarea de asignar usuarios a una VLAN específica es gestionada por un servidor de autenticación RADIUS, como Cisco ISE. Se puede utilizar, por ejemplo, para permitir que el host inalámbrico permanezca en la misma VLAN al desplazarlo dentro de una red del campus.
El servidor Cisco ISE autentica a los usuarios inalámbricos en una de las diversas bases de datos posibles, incluida su base de datos interna. Por ejemplo:
Directorio activo
Protocolo ligero de acceso a directorios (LDAP) genérico
Bases de datos relacionales compatibles con ODBC (Open Database Connectivity)
Servidores de token de SecurID de Rivest, Shamir y Adelman (RSA)
Servidores de token compatibles con RADIUS
Los protocolos de autenticación de Cisco ISE y las fuentes de identidad externas admitidas enumeran los diversos protocolos de autenticación admitidos por las bases de datos internas y externas de ISE.
Este documento se centra en la autenticación de usuarios inalámbricos que utilizan la base de datos externa de Windows Active Directory.
Después de una autenticación correcta, ISE recupera la información de grupo de ese usuario de la base de datos de Windows y lo asocia al perfil de autorización correspondiente.
Cuando un cliente intenta asociarse con un LAP registrado con un controlador, el LAP pasa las credenciales del usuario al WLC con la ayuda del método EAP respectivo.
El WLC envía esas credenciales a ISE con el uso del protocolo RADIUS (encapsulando el EAP) e ISE pasa las credenciales de los usuarios a AD para su validación con la ayuda del protocolo KERBEROS.
AD valida las credenciales del usuario y, tras una autenticación correcta, informa al ISE.
Una vez que la autenticación es exitosa, el servidor ISE pasa ciertos atributos del Grupo de Trabajo de Ingeniería de Internet (IETF) al WLC. Estos atributos RADIUS deciden el ID de VLAN que se debe asignar al cliente inalámbrico. El SSID (WLAN, en términos de WLC) del cliente no importa porque el usuario siempre está asignado a este ID de VLAN predeterminado.
Los atributos del usuario de RADIUS que se utilizan para la asignación del ID de VLAN son:
IETF 64 (tipo de túnel)—Establezca esto en VLAN
IETF 65 (tipo de túnel medio)—Establezca esta opción en 802
IETF 81 (ID de grupo privado de túnel)—Establezca esto en ID de VLAN
El ID de VLAN es de 12 bits y toma un valor entre 1 y 4094, ambos inclusive. Debido a que Tunnel-Private-Group-ID es de tipo cadena, como se define en RFC2868 para su uso con IEEE 802.1X, el valor entero de ID de VLAN se codifica como una cadena. Una vez que se envían estos atributos del túnel, es necesario rellenar el campo Tag (Etiqueta).
Como se indicó en RFC 2868, sección 3.1: el campo Tag tiene un octeto de longitud y está pensado para proporcionar un medio de agrupar atributos en el mismo paquete que hacen referencia al mismo túnel. Los valores válidos para este campo son de 0x01 a 0x1F, ambos incluidos. Si el campo Tag (Etiqueta) no se utiliza, debe tener el valor cero (0x00). Consulte RFC 2868 para obtener más información sobre todos los atributos de RADIUS.
Esta sección proporciona la información necesaria para configurar las funciones descritas en el documento.
Estos son los detalles de configuración de los componentes utilizados en este diagrama:
La dirección IP del servidor ISE (RADIUS) es 10.48.39.128.
La dirección de la interfaz de administración y del administrador AP del WLC es 10.48.71.20.
El servidor DHCP reside en la red LAN y está configurado para los grupos de clientes respectivos; no se muestra en el diagrama.
VLAN1477 y VLAN1478 se utilizan en esta configuración. Los usuarios del departamento de Marketing se configuran para ser colocados en la VLAN1477 y los usuarios del departamento de HR se configuran para ser colocados en la VLAN1478 por el servidor RADIUS cuando ambos usuarios se conectan al mismo SSID: office_hq.
VLAN1477: 192.168.77.0/24. Gateway: 192.168.77.1 VLAN1478: 192.168.78.0/24. Gateway: 192.168.78.1
Este documento utiliza 802.1x conPEAP-mschapv2
como mecanismo de seguridad.
Nota: Cisco recomienda que utilice métodos de autenticación avanzados, como EAP-FAST y EAP-TLS, para proteger la WLAN.
Estas suposiciones se realizan antes de realizar esta configuración:
El LAP ya está registrado con el WLC
Al servidor DHCP se le asigna un ámbito DHCP
El documento describe la configuración requerida en el lado inalámbrico y asume que la red con cables está en su lugar
Para lograr la asignación de VLAN dinámica con WLC basados en la asignación de grupo de ISE a AD, se deben realizar estos pasos:
Administration > Identity management > External Identity Sources > Active directory
.wlaaan.com
y se especifica joinpoint comoAD.wlaaan.com
: nombre localmente significativo para ISE.Submit
pulsar un botón que le pregunta si desea unirse a ISE para AD inmediatamente. PulseYes
y proporcione credenciales de usuario de Active Directory con derechos de administrador para agregar un nuevo host al dominio.Diagnostic Tool
para ejecutar las pruebas necesarias para la conectividad de AD.Administration > Identity management > External Identity Sources > Active directory >
> Groups
, haga clic enAdd
y elijaSelect Groups from Active Directory
.OK
.Save
.Administration > Network Resources > Network Devices
y presioneAdd
.Policy > Policy Elements > Results > Authorization > Authorization profiles
y haga clic en elAdd
botón para crear un nuevo perfil.Marketing
configuraciones de grupo.Custom
o modificando el conjunto deDefault
directivas. En este ejemplo, se modifica el conjunto de directivas Predeterminado. Desplácese hastaPolicy > Policy Sets > Default
. De forma predeterminada para eldot1x
tipo de autenticación, ISE va a utilizarAll_User_ID_Stores
, aunque funciona incluso con la configuración predeterminada actual, ya que AD forma parte de la lista de origen de identidad deAll_User_ID_Stores
, este ejemplo utiliza una regla más específicaWLC_lab
para ese controlador de LAB respectivo y utiliza AD como único origen para la autenticación.Authorization policy
la sección y cree políticas para cumplir ese requisito.Security > AAA > RADIUS > Authentication
sección de la interfaz de usuario web y proporcione la dirección IP de ISE y la información secreta compartida.office_hq
bajo la secciónWLANs
en el WLC; este ejemplo configura el SSID conWPA2/AES+dot1x
y la invalidación AAA. Se elige la interfazDummy
para la WLAN ya que la VLAN adecuada se asigna a través de RADIUS de todos modos. Esta interfaz ficticia se debe crear en el WLC y se le debe dar una dirección IP, pero la dirección IP no tiene que ser válida y la VLAN en la que se coloca no se puede crear en el switch de link ascendente de modo que si no se está asignando ninguna VLAN, el cliente no puede ir a ninguna parte.Controller > Interfaces
interfaz de usuario. El WLC puede honrar solamente la asignación de VLAN recibida vía AAA si tiene una interfaz dinámica en esa VLAN.Utilice el suplicante nativo de Windows 10 y el NAM de Anyconnect para probar las conexiones.
Dado que utiliza autenticación EAP-PEAP e ISE utiliza un certificado de firma automática (SSC), debe aceptar una advertencia de certificado o deshabilitar la validación de certificados. En un entorno corporativo, debe utilizar un certificado firmado y de confianza en ISE y asegurarse de que los dispositivos del usuario final tienen el certificado raíz adecuado instalado en la lista de CA de confianza.
Probar conexión con Windows 10 y suplicante nativo:
Network & Internet settings > Wi-Fi > Manage known networks
y cree un nuevo perfil de red pulsando elAdd new network
botón; rellene la información necesaria.show client dertails
:show client detail f4:8c:50:62:14:6b Client MAC Address............................... f4:8c:50:62:14:6b Client Username ................................. Bob Client Webauth Username ......................... N/A Hostname: ....................................... Device Type: .................................... Intel-Device AP MAC Address................................... 70:69:5a:51:4e:c0 AP Name.......................................... AP4C77.6D9E.6162 AP radio slot Id................................. 1 Client State..................................... Associated User Authenticated by ........................... RADIUS Server Client User Group................................ Bob Client NAC OOB State............................. Access Wireless LAN Id.................................. 3 Wireless LAN Network Name (SSID)................. office_hq Wireless LAN Profile Name........................ office_hq Hotspot (802.11u)................................ Not Supported Connected For ................................... 242 secs BSSID............................................ 70:69:5a:51:4e:cd Channel.......................................... 36 IP Address....................................... 192.168.78.36 Gateway Address.................................. 192.168.78.1 Netmask.......................................... 255.255.255.0 ... Policy Manager State............................. RUN ... EAP Type......................................... PEAP Interface........................................ vlan1478 VLAN............................................. 1478 Quarantine VLAN.................................. 0 Access VLAN...................................... 1478
Pruebe la conexión con Windows 10 y Anyconnect NAM:
show client dertails
:Client MAC Address............................... f4:8c:50:62:14:6b Client Username ................................. Alice Client Webauth Username ......................... N/A Hostname: ....................................... Device Type: .................................... Intel-Device AP MAC Address................................... 70:69:5a:51:4e:c0 AP Name.......................................... AP4C77.6D9E.6162 AP radio slot Id................................. 1 Client State..................................... Associated User Authenticated by ........................... RADIUS Server Client User Group................................ Alice Client NAC OOB State............................. Access Wireless LAN Id.................................. 3 Wireless LAN Network Name (SSID)................. office_hq Wireless LAN Profile Name........................ office_hq Hotspot (802.11u)................................ Not Supported Connected For ................................... 765 secs BSSID............................................ 70:69:5a:51:4e:cd Channel.......................................... 36 IP Address....................................... 192.168.77.32 Gateway Address.................................. 192.168.77.1 Netmask.......................................... 255.255.255.0 ... Policy Manager State............................. RUN ... Policy Type...................................... WPA2 Authentication Key Management.................... 802.1x Encryption Cipher................................ CCMP-128 (AES) Protected Management Frame ...................... No Management Frame Protection...................... No EAP Type......................................... PEAP Interface........................................ vlan1477 VLAN............................................. 1477
test aaa radius username
password
wlan-id
para probar la conexión RADIUS entre WLC e ISE y eltest aaa show radius
para mostrar los resultados.test aaa radius username Alice password <removed> wlan-id 2 Radius Test Request Wlan-id........................................ 2 ApGroup Name................................... none Attributes Values ---------- ------ User-Name Alice Called-Station-Id 00-00-00-00-00-00:AndroidAP Calling-Station-Id 00-11-22-33-44-55 Nas-Port 0x00000001 (1) Nas-Ip-Address 10.48.71.20 NAS-Identifier 0x6e6f (28271) Airespace / WLAN-Identifier 0x00000002 (2) User-Password cisco!123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Cisco / Audit-Session-Id 1447300a0000003041d5665c Acct-Session-Id 5c66d541/00:11:22:33:44:55/743 test radius auth request successfully sent. Execute 'test aaa show radius' for response (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 2 ApGroup Name................................... none Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.48.39.128 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name Alice State ReauthSession:1447300a0000003041d5665c Class CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59 Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x000005c5 (1477) (Cisco Controller) >
debug client
para resolver problemas de conectividad del cliente inalámbrico.debug aaa all enable
para resolver problemas de autenticación y autorización en el WLC.Nota: Utilice este comando solamente con eldebug mac addr
para limitar la salida basada en la dirección MAC para la cual se realiza la depuración.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
19-Sep-2007 |
Versión inicial |