Catalyst 9800ワイヤレスコントローラでの802.1x AAAオーバーライドを使用したFlexConnect WLAN

はじめに

このドキュメントでは、FlexConnectモードのアクセスポイント(AP)と、仮想ローカルエリアネットワーク(VLAN)認証、許可、およびアカウンティング(AAA)の上書きを使用してローカルにスイッチされる802.1xワイヤレスローカルエリアネットワーク(WLAN)を使用して、Elastic Wireless LAN Controller(9800 WLC)をセットアップする方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• 9800 WLCコンフィギュレーションモード
• FlexConnect

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• 9800 WLC v16.10

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

ネットワーク図

コンフィギュレーション

9800 WLC での AAA 設定

次のリンクの指示に従ってください。

9800 WLC での AAA 設定

WLAN 設定

次のリンクの指示に従ってください。

WLAN 設定

APをFlexConnectモードに設定

AireOSの設定とは異なり、9800 WLCでは、APローカルまたはFlexConnectモードをAPから直接設定することはできません。FlexConnectモードでAPを設定するには、次の手順に従います。

GUI

ステップ 1：Flex Profileを設定します。

移動先 Configuration > Tags & Profiles > Flex default-flex-profileを変更するか、+Addをクリックして新しいプロファイルを作成します。

ステップ 2：必要なVLAN（デフォルトのWLANのVLANまたはISEからプッシュされたVLANの両方）を追加します。

注:「ポリシープロファイルの設定」セクションのステップ3で、SSIDに割り当てられたデフォルトのVLANを選択します。この手順でVLAN名を使用する場合は、Flex Profile設定で同じVLAN名を使用していることを確認してください。そうしないと、クライアントはWLANに接続できません。

オプションで、VLANごとに特定のACLを追加できます。

 オプションで、FlexConnect APがローカル認証を実行できるようにRadiusサーバグループを割り当てます。

ステップ 3：サイトタグを設定します。

[設定（Configuration）] > [タグとプロファイル（Tags & Profiles）] > [タグ（Tags）] > [サイト（Site）] に移動します。 default-site-tag（すべてのAPにデフォルトで割り当てられるタグ）を変更するか、新しいタグを作成します(新しいタグを作成するには、+Addをクリックします)。 

Enable Local Siteオプションを必ず無効にしてください。無効にしない場合、Flex Profileオプションは使用できません。 

注:Enable Local Siteが有効になっているサイトタグを受け取るAPはすべて、ローカルモードとして設定されます。同様に、Enable Local Siteが無効になっているサイトタグを受け取るAPは、すべてflexconnectモードに設定されます。

 ステップ 4：APを9800 WLCに関連付け、手順2で設定したサイトタグを割り当てます。

Configuration > Wireless > Access Points > AP nameの順に移動し、Siteタグを設定します。次に、Update & Apply to Deviceをクリックして変更を設定します。

注:APでタグを変更すると、9800 WLCへの関連付けが失われ、約1分以内に再度加入することに注意してください。 

 ステップ 5：APが加入したら、APモードがFlexであることに注意してください

CLI を使う場合：

# config t
# wireless profile flex new-flex-profile
# arp-caching
# description "New flex profile"
# native-vlan-id 2601

# config t
# wireless tag site new-flex-site
# flex-profile new-flex-profile
# no local-site
# site-tag new-flex-site

# config t
# ap <eth-mac-address>
# site-tag new-flex-site
Associating site-tag will cause associated AP to reconnect
# exit

#show ap name <ap-name> config general | inc AP Mode
AP Mode                                         : FlexConnect

スイッチの設定

APが接続されているスイッチのインターフェイスを設定します。

# config t
# interface <int-id>
# switchport trunk native vlan 2601
# switchport mode trunk
# spanning-tree portfast trunk
# end

ポリシープロファイルの設定

ポリシープロファイル内では、他の設定（アクセスコントロールリスト[ACL]、Quality of Service [QoS]、モビリティアンカー、タイマーなど）の中から、クライアントを割り当てるVLANを決定できます。

GUI

ステップ 1：WLANに割り当てるポリシープロファイルを設定します。

Configuration > Tags & Profiles > Policyの順に移動し、新しいプロファイルを作成するか、default-policy-profileを変更します。

 ステップ 2：Generalタブで、ポリシープロファイルに名前を割り当て、そのステータスをENABLEDに変更します。

 ステップ 3：Access Policiesタブから、ワイヤレスクライアントがデフォルトでこのWLANに接続するときに割り当てるVLANを割り当てます。

ドロップダウンからVLAN名を1つ選択するか、手動でVLAN IDを入力します。

注：ドロップダウンからVLAN名を選択する場合は、「APをFlexConnectモードに設定する」の項の手順2で使用したVLAN名と一致していることを確認します。

または

ステップ 4：Advanced タブに移動し、Central Authentication EnableおよびAllow AAA Overrideoptionsを有効にします。中央スイッチングを無効にする必要があります。

認証プロセスを9800 WLCで中央で実行する場合は、中央認証をイネーブルにする必要があります。FlexConnect APでワイヤレスクライアントを認証する場合は、これを無効にします。

CLI を使う場合：

# config t
# wireless profile policy new-policy-profile
# central association
# vlan <vlan-id or vlan-name>
# no shutdown

ポリシータグの設定

ポリシータグは、SSIDとポリシープロファイルをリンクするために使用されます。新しいポリシータグを作成するか、default-policy タグを使用します。

注:default-policy-tagは、1 ～ 16のWLAN IDを持つすべてのSSIDをdefault-policy-profileに自動的にマッピングします。変更も削除もできません。 ID 17以上のWLANがある場合、default-policy-tagは使用できません。

GUI：

Configuration > Tags & Profiles > Tags > Policyの順に移動し、必要に応じて新しいプロファイルを追加します。

WLAN プロファイルを目的のポリシープロファイルにリンクします。

CLI：

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

ポリシータグの割り当て

APへのポリシータグの割り当て

GUI

1つのAPにタグを割り当てるには、Configuration > Wireless > Access Points > AP Name > General Tagsの順に選択し、必要な割り当てを行ってからUpdate & Apply to Deviceをクリックします。

注:APでポリシータグを変更すると、9800 WLCへの関連付けが失われ、約1分以内に再度参加することに注意してください。

同じポリシータグを複数のAPに割り当てるには、Configuration > Wireless > Wireless Setup > Start Now > Applyの順に選択します。

タグを割り当てるAPを選択し、+ Tag APsをクリックします

ホイッシュしたタグを選択し、Save & Apply to Deviceをクリックします

CLI を使う場合：

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

ISE 設定

ISE v1.2設定の場合は、次のリンクを確認します。

ISE 設定

確認

次のコマンドを使用して、現在の設定を確認できます

# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | name | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

# show clock

# show logging

# show debugging
IOSXE Conditional Debug Configs:

Conditional Debug Global State: Stop

IOSXE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

# clear platform condition all

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

# no debug wireless mac <aaaa.bbbb.cccc>

# dir bootflash: | inc ra_trace

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

# more bootflash:ra-internal-<FILENAME>.txt

# clear platform condition all