はじめに
このドキュメントでは、ダイナミック VLAN 割り当ての概念について説明します。
前提条件
このドキュメントでは、ワイヤレスLAN(WLAN)クライアントを特定のVLANにダイナミックに割り当てるようにワイヤレスLANコントローラ(WLC)とIdentity Services Engine(ISE)サーバを設定する方法について説明します。
要件
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
-
ファームウェア リリース 8.8.111.0 が稼働する Cisco 5520 シリーズ WLC
-
Cisco 4800 シリーズ AP
-
ネイティブWindowsサプリカントおよびAnyconnect NAM
-
Cisco Secure ISE バージョン 2.3.0.298
-
ドメイン コントローラとして設定された Microsoft Windows 2016 Server
-
Cisco 2950 シリーズ スイッチバージョン 15.2(4)E1
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
表記法
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
RADIUS サーバによるダイナミック VLAN 割り当て
一般的な WLAN システムでは、Service Set Identifier(SSID)(コントローラの用語では WLAN)に関連付けられたすべてのクライアントに適用されるスタティックなポリシーが各 WLAN に存在します。この方式は強力ですが、異なる QoS ポリシーやセキュリティ ポリシーを継承するために各クライアントを異なる SSID に関連付ける必要があるので、さまざまな制約があります。
シスコのWLANソリューションは、IDネットワーキングのサポートによってこの制限に対処します。 これにより、ネットワークは単一のSSIDをアドバタイズできますが、ユーザクレデンシャルに基づいて、特定のユーザが異なるQoS、VLAN属性、セキュリティポリシーを継承できるようになります。
ダイナミック VLAN 割り当ては、ユーザが入力したクレデンシャルに基づいてワイヤレス ユーザを特定の VLAN に割り当てる機能です。ユーザを特定のVLANに割り当てるタスクは、Cisco ISEなどのRADIUS認証サーバによって処理されます。たとえば、これを利用すると、キャンパス ネットワーク内を移動するワイヤレス ホストを同じ VLAN に割り当てることができます。
Cisco ISEサーバは、内部データベースを含む複数のデータベースの1つに対してワイヤレスユーザを認証します。例:
- 内部 DB
-
Active Directory
-
汎用の Lightweight Directory Access Protocol(LDAP)
-
Open Database Connectivity(ODBC)に準拠したリレーショナル データベース
-
Rivest, Shamir, and Adelman(RSA)SecurID トークン サーバ
-
RADIUS に準拠したトークン サーバ
Cisco ISE 認証プロトコルとサポートされている外部 ID ソースには、ISE 内部および外部データベースでサポートされるさまざまな認証プロトコルが記載されています。
このドキュメントでは、Windows Active Directory(AD)外部データベースを使用するワイヤレスユーザの認証について説明します。
認証に成功すると、ISEはWindowsデータベースからそのユーザのグループ情報を取得し、ユーザをそれぞれの認可プロファイルに関連付けます。
クライアントがコントローラに登録されているLAPとの関連付けを試みると、LAPからWLCに対して、それぞれのEAP方式を使用してユーザのクレデンシャルが渡されます。
WLCは(EAPをカプセル化して)RADIUSプロトコルを使用してこれらのクレデンシャルをISEに送信し、ISEはKERBEROSプロトコルを使用して検証のためにユーザのクレデンシャルをADに渡します。
AD では、そのユーザークレデンシャルを検証し、認証に成功した場合は ISE に通知します。
認証に成功すると、ISE サーバーから WLC に特定の Internet Engineering Task Force(IETF)属性が渡されます。これらのRADIUS属性により、ワイヤレスクライアントに割り当てる必要があるVLAN IDが決まります。ユーザはこの事前設定済みの VLAN ID に常に割り当てられるので、クライアントの SSID(WLC の用語では WLAN)は無視されます。
VLAN ID の割り当てに使用される RADIUS ユーザ属性は次のとおりです。
-
IETF 64(トンネルタイプ)—これをVLANに設定します
-
IETF 65(トンネルミディアムタイプ)—これを802に設定
-
IETF 81(トンネルプライベートグループID)—これをVLAN IDに設定します
VLAN ID は 12 ビットで、1 ~ 4094 の値(両端の値を含む)を取ります。RFC 2868 で定義されているように、IEEE 802.1X で使用される Tunnel-Private-Group-ID は文字列型であるため、VLAN ID の整数値は文字列としてエンコードされます。これらのトンネル属性が送信される際には、Tag フィールドの値を設定する必要があります。
RFC 2868のセクション3.1で述べられているように、Tagフィールドは1オクテットの長さを持ち、同じトンネルを参照する同じパケット内の属性をグループ化する手段を提供することを目的としています。このフィールドで有効な値は、0x01 ~ 0x1F(両端を含む)です。Tag フィールドを使用しない場合は、このフィールドをゼロ(0x00)に設定する必要があります。すべての RADIUS 属性の詳細は、RFC 2868 を参照してください。
設定
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供します。
ネットワーク図
コンフィギュレーション
確認
接続をテストするには、Windows 10ネイティブサプリカントとAnyconnect NAMを使用します。
EAP-PEAP認証を使用しており、ISEが自己署名証明書(SSC)を使用しているため、証明書の警告に同意するか、証明書の検証を無効にする必要があります。企業環境では、ISEで署名済みの信頼できる証明書を使用し、エンドユーザデバイスに適切なルート証明書が信頼できるCAリストにインストールされていることを確認する必要があります。
Windows 10およびネイティブサプリカントとの接続をテストします。
Network & Internet settings > Wi-Fi > Manage known networks
を開き、Add new network
ボタンを押して新しいネットワークプロファイルを作成します。必要な情報を入力します。
- ISEの認証ログを確認し、ユーザに対して適切なプロファイルが選択されていることを確認します。
- WLCでクライアントエントリをチェックし、エントリが正しいVLANに割り当てられ、RUN状態にあることを確認します。
- WLC CLIから、
show client dertails
:
show client detail f4:8c:50:62:14:6b
Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Bob
Client Webauth Username ......................... N/A
Hostname: .......................................
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162
AP radio slot Id................................. 1
Client State..................................... Associated
User Authenticated by ........................... RADIUS Server
Client User Group................................ Bob
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 242 secs
BSSID............................................ 70:69:5a:51:4e:cd
Channel.......................................... 36
IP Address....................................... 192.168.78.36
Gateway Address.................................. 192.168.78.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
EAP Type......................................... PEAP
Interface........................................ vlan1478
VLAN............................................. 1478
Quarantine VLAN.................................. 0
Access VLAN...................................... 1478
Windows 10およびAnyconnect NAMとの接続をテストします。
- 使用可能なSSIDのリストからSSIDを選択し、それぞれのEAP認証タイプ(この例ではPEAP)と内部認証フォームを選択します。
- ユーザー認証の対象となるユーザー名とパスワードを入力します。
- ISEはSSCをクライアントに送信するため、証明書を信頼することを手動で選択する必要があります(実稼働環境では、信頼できる証明書をISEにインストールすることを強く推奨します)。
- ISEの認証ログを確認し、ユーザに対して適切な認可プロファイルが選択されていることを確認します。
- WLCでクライアントエントリをチェックし、エントリが正しいVLANに割り当てられ、RUN状態にあることを確認します。
- WLC CLIから、
show client dertails
:
Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Alice
Client Webauth Username ......................... N/A
Hostname: .......................................
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162
AP radio slot Id................................. 1
Client State..................................... Associated
User Authenticated by ........................... RADIUS Server
Client User Group................................ Alice
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 765 secs
BSSID............................................ 70:69:5a:51:4e:cd
Channel.......................................... 36
IP Address....................................... 192.168.77.32
Gateway Address.................................. 192.168.77.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... PEAP
Interface........................................ vlan1477
VLAN............................................. 1477
トラブルシュート
- WLCとISEの間のRADIUS接続をテストするには
test aaa radius username
password
wlan-id
を使用し、結果を表示するにはtest aaa show radius
を使用します。
test aaa radius username Alice password <removed> wlan-id 2
Radius Test Request
Wlan-id........................................ 2
ApGroup Name................................... none
Attributes Values
---------- ------
User-Name Alice
Called-Station-Id 00-00-00-00-00-00:AndroidAP
Calling-Station-Id 00-11-22-33-44-55
Nas-Port 0x00000001 (1)
Nas-Ip-Address 10.48.71.20
NAS-Identifier 0x6e6f (28271)
Airespace / WLAN-Identifier 0x00000002 (2)
User-Password cisco!123
Service-Type 0x00000008 (8)
Framed-MTU 0x00000514 (1300)
Nas-Port-Type 0x00000013 (19)
Cisco / Audit-Session-Id 1447300a0000003041d5665c
Acct-Session-Id 5c66d541/00:11:22:33:44:55/743
test radius auth request successfully sent. Execute 'test aaa show radius' for response
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 2
ApGroup Name................................... none
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.48.39.128 1 Success
Authentication Response:
Result Code: Success
Attributes Values
---------- ------
User-Name Alice
State ReauthSession:1447300a0000003041d5665c
Class CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59
Tunnel-Type 0x0000000d (13)
Tunnel-Medium-Type 0x00000006 (6)
Tunnel-Group-Id 0x000005c5 (1477)
(Cisco Controller) >
debug client
を使用して、ワイヤレスクライアントの接続の問題をトラブルシューティングします。
- WLCの認証と認可の問題をトラブルシューティングするには、
debug aaa all enable
コマンドを使用します。
注:デバッグが行われるMACアドレスに基づいて出力を制限するには、このコマンドとのみdebug mac addr
を使用します。
- 認証の失敗の問題とAD通信の問題を特定するには、ISEライブログとセッションログを参照してください。