소개
이 문서에서는 동적 VLAN 할당 개념에 대해 설명합니다.
사전 요구 사항
이 문서에서는 WLAN(무선 LAN) 클라이언트를 특정 VLAN에 동적으로 할당하기 위해 WLC(무선 LAN 컨트롤러) 및 ISE(Identity Services Engine) 서버를 구성하는 방법에 대해 설명합니다.
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
-
WLC(Wireless LAN Controller) 및 LAP(Lightweight Access Point)에 대한 기본 지식
-
ISE와 같은 AAA(Authentication, Authorization, and Accounting) 서버의 기능 지식
- 무선 네트워크 및 무선 보안 문제에 대한 철저한 지식
- 동적 VLAN 할당에 대한 기능적 및 구성 가능한 지식
- Microsoft Windows AD 서비스, 도메인 컨트롤러 및 DNS 개념에 대한 기본적인 이해
- CAPWAP(Control And Provisioning of Access Point Protocol)에 대한 기본적인 지식 보유
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
-
펌웨어 릴리스 8.8.111.0을 실행하는 Cisco 5520 Series WLC
-
Cisco 4800 Series AP
-
기본 Windows 서플리컨트 및 Anyconnect NAM
-
Cisco Secure ISE 버전 2.3.0.298
-
도메인 컨트롤러로 구성된 Microsoft Windows 2016 Server
-
버전 15.2(4)E1을 실행하는 Cisco 3560-CX Series Switch
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
RADIUS 서버와의 동적 VLAN 할당
대부분의 WLAN 시스템에서 각 WLAN에는 SSID(Service Set Identifier)와 연결된 모든 클라이언트 또는 컨트롤러 용어의 WLAN에 적용되는 정적 정책이 있습니다. 이 방법은 강력하지만 클라이언트가 서로 다른 QoS 및 보안 정책을 상속하기 위해 서로 다른 SSID에 연결해야 하므로 한계가 있습니다.
Cisco WLAN 솔루션은 ID 네트워킹의 지원으로 이러한 제한을 해결합니다. 이렇게 하면 네트워크에서 단일 SSID를 알릴 수 있지만 특정 사용자가 사용자 자격 증명에 따라 서로 다른 QoS, VLAN 특성 및/또는 보안 정책을 상속할 수 있습니다.
동적 VLAN 할당은 사용자가 제공한 자격 증명을 기반으로 무선 사용자를 특정 VLAN에 배치하는 기능입니다. 특정 VLAN에 사용자를 할당하는 이 작업은 Cisco ISE와 같은 RADIUS 인증 서버에서 처리됩니다. 예를 들어, 무선 호스트가 캠퍼스 네트워크 내에서 이동할 때 동일한 VLAN에 유지되도록 하기 위해 이 기능을 사용할 수 있습니다.
Cisco ISE 서버는 내부 데이터베이스를 포함하는 여러 가능한 데이터베이스 중 하나에 대해 무선 사용자를 인증합니다. 예를 들면 다음과 같습니다.
- 내부 DB
-
액티브 디렉토리
-
일반 LDAP(Lightweight Directory Access Protocol)
-
ODBC(Open Database Connectivity) 호환 관계형 데이터베이스
-
Rivest, Shamir, and Adelman(RSA) SecurID 토큰 서버
-
RADIUS 호환 토큰 서버
Cisco ISE 인증 프로토콜 및 지원되는 외부 ID 소스는 ISE 내부 및 외부 데이터베이스에서 지원하는 다양한 인증 프로토콜을 나열합니다.
이 문서에서는 Windows Active Directory 외부 데이터베이스를 사용하는 무선 사용자를 인증하는 데 중점을 둡니다.
인증에 성공한 후 ISE는 Windows 데이터베이스에서 해당 사용자의 그룹 정보를 검색하고 해당 사용자를 해당 권한 부여 프로파일에 연결합니다.
클라이언트가 컨트롤러에 등록된 LAP와의 연결을 시도할 때 LAP는 각 EAP 방법의 도움으로 사용자의 자격 증명을 WLC에 전달합니다.
WLC는 RADIUS 프로토콜을 사용하여(EAP 캡슐화) ISE에 이러한 자격 증명을 전송하고 ISE는 KERBEROS 프로토콜의 도움으로 검증을 위해 사용자의 자격 증명을 AD에 전달합니다.
AD는 사용자 자격 증명을 검증하고 인증에 성공하면 ISE에 알립니다.
인증이 성공하면 ISE 서버는 특정 IETF(Internet Engineering Task Force) 특성을 WLC에 전달합니다. 이러한 RADIUS 특성은 무선 클라이언트에 할당해야 하는 VLAN ID를 결정합니다. 클라이언트의 SSID(WLAN, WLC)는 사용자가 항상 미리 지정된 VLAN ID에 할당되므로 상관없습니다.
VLAN ID 할당에 사용되는 RADIUS 사용자 특성은 다음과 같습니다.
VLAN ID는 12비트이며 1에서 4094 사이의 값(포함)을 사용합니다. IEEE 802.1X에서 사용하는 RFC2868에 정의된 대로 Tunnel-Private- Group-ID는 문자열 유형이므로 VLAN ID 정수 값은 문자열로 인코딩됩니다. 이러한 터널 특성이 전송되면 Tag 필드를 입력해야 합니다.
RFC 2868, 섹션 3.1에 명시된 바와 같이: Tag 필드는 길이가 1 옥텟이며 동일한 터널을 참조하는 동일한 패킷에서 특성을 그룹화하는 수단을 제공하기 위한 것입니다. 이 필드에 유효한 값은 0x01~0x1F(포함)입니다. 태그 필드가 사용되지 않는 경우 0x00(영)이어야 합니다. 모든 RADIUS 특성에 대한 자세한 내용은 RFC 2868을 참조하십시오.
구성
이 섹션에서는 문서에서 설명된 기능을 구성하는 데 필요한 정보를 제공합니다.
네트워크 다이어그램
설정
다음을 확인합니다.
연결을 테스트하려면 Windows 10 기본 신청자 및 Anyconnect NAM을 사용합니다.
EAP-PEAP 인증을 사용 중이고 ISE가 SSC(Self-Signed Certificate)를 사용 중이므로 인증서 경고에 동의하거나 인증서 검증을 비활성화해야 합니다. 기업 환경에서는 ISE에서 서명되고 신뢰할 수 있는 인증서를 사용하고 최종 사용자 디바이스에 신뢰할 수 있는 CA 목록 아래에 적절한 루트 인증서가 설치되어 있는지 확인해야 합니다.
Windows 10 및 기본 신청자와의 연결 테스트:
- 버튼
Network & Internet settings > Wi-Fi > Manage known networks
을 눌러 새 네트워크 프로파일을 열고 생성합니다.Add new network
필요한 정보를 입력합니다.
- ISE의 인증 로그를 확인하고 사용자에 대해 올바른 프로파일이 선택되었는지 확인합니다.
- WLC에서 클라이언트 항목을 확인하고 올바른 VLAN에 할당되었으며 RUN 상태에 있는지 확인합니다.
- WLC CLI에서는
show client dertails
를 사용하여 클라이언트 상태를 확인할 수 있습니다.
show client detail f4:8c:50:62:14:6b
Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Bob
Client Webauth Username ......................... N/A
Hostname: .......................................
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162
AP radio slot Id................................. 1
Client State..................................... Associated
User Authenticated by ........................... RADIUS Server
Client User Group................................ Bob
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 242 secs
BSSID............................................ 70:69:5a:51:4e:cd
Channel.......................................... 36
IP Address....................................... 192.168.78.36
Gateway Address.................................. 192.168.78.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
EAP Type......................................... PEAP
Interface........................................ vlan1478
VLAN............................................. 1478
Quarantine VLAN.................................. 0
Access VLAN...................................... 1478
Windows 10 및 Anyconnect NAM과의 연결 테스트:
- 사용 가능한 SSID 목록 및 해당 EAP 인증 유형(이 예에서는 PEAP) 및 내부 인증 양식에서 SSID를 선택합니다.
- 사용자 인증을 위한 사용자 이름 및 비밀번호를 제공합니다.
- ISE가 SSC를 클라이언트에 전송하므로 인증서를 신뢰하도록 수동으로 선택해야 합니다(프로덕션 환경에서는 ISE에 신뢰받는 인증서를 설치하는 것이 매우 권장됨).
- ISE의 인증 로그를 확인하고 사용자에 대해 올바른 권한 부여 프로파일이 선택되었는지 확인합니다.
- WLC에서 클라이언트 항목을 확인하고 올바른 VLAN에 할당되었으며 RUN 상태에 있는지 확인합니다.
- WLC CLI에서는
show client dertails
를 사용하여 클라이언트 상태를 확인할 수 있습니다.
Client MAC Address............................... f4:8c:50:62:14:6b
Client Username ................................. Alice
Client Webauth Username ......................... N/A
Hostname: .......................................
Device Type: .................................... Intel-Device
AP MAC Address................................... 70:69:5a:51:4e:c0
AP Name.......................................... AP4C77.6D9E.6162
AP radio slot Id................................. 1
Client State..................................... Associated
User Authenticated by ........................... RADIUS Server
Client User Group................................ Alice
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 3
Wireless LAN Network Name (SSID)................. office_hq
Wireless LAN Profile Name........................ office_hq
Hotspot (802.11u)................................ Not Supported
Connected For ................................... 765 secs
BSSID............................................ 70:69:5a:51:4e:cd
Channel.......................................... 36
IP Address....................................... 192.168.77.32
Gateway Address.................................. 192.168.77.1
Netmask.......................................... 255.255.255.0
...
Policy Manager State............................. RUN
...
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... PEAP
Interface........................................ vlan1477
VLAN............................................. 1477
문제 해결
- WLC
test aaa radius username
password
wlan-id
와 ISE 간의 RADIUS 연결을 테스트하려면 를 사용하고 결과를test aaa show radius
표시하려면 를 사용합니다.
test aaa radius username Alice password <removed> wlan-id 2
Radius Test Request
Wlan-id........................................ 2
ApGroup Name................................... none
Attributes Values
---------- ------
User-Name Alice
Called-Station-Id 00-00-00-00-00-00:AndroidAP
Calling-Station-Id 00-11-22-33-44-55
Nas-Port 0x00000001 (1)
Nas-Ip-Address 10.48.71.20
NAS-Identifier 0x6e6f (28271)
Airespace / WLAN-Identifier 0x00000002 (2)
User-Password cisco!123
Service-Type 0x00000008 (8)
Framed-MTU 0x00000514 (1300)
Nas-Port-Type 0x00000013 (19)
Cisco / Audit-Session-Id 1447300a0000003041d5665c
Acct-Session-Id 5c66d541/00:11:22:33:44:55/743
test radius auth request successfully sent. Execute 'test aaa show radius' for response
(Cisco Controller) >test aaa show radius
Radius Test Request
Wlan-id........................................ 2
ApGroup Name................................... none
Radius Test Response
Radius Server Retry Status
------------- ----- ------
10.48.39.128 1 Success
Authentication Response:
Result Code: Success
Attributes Values
---------- ------
User-Name Alice
State ReauthSession:1447300a0000003041d5665c
Class CACS:1447300a0000003041d5665c:rmanchur-ise/339603379/59
Tunnel-Type 0x0000000d (13)
Tunnel-Medium-Type 0x00000006 (6)
Tunnel-Group-Id 0x000005c5 (1477)
(Cisco Controller) >
- 무선 클라이언트 연결 문제를 해결하려면
debug client
를 사용합니다.
- WLC에서
debug aaa all enable
인증 및 권한 부여 문제를 트러블슈팅하려면 를 사용합니다.
참고: 디버깅이 수행되는 MAC 주소에debug mac addr
따라 출력을 제한하려면 이 명령을 와 함께만 사용하십시오.
- 인증 실패 및 AD 통신 문제를 파악하려면 ISE 라이브 로그 및 세션 로그를 참조하십시오.