In dit document wordt uitgelegd hoe u de EAP-verificatie (Wireless LAN controller) voor uitbreidbare verificatie (EAP) kunt configureren met behulp van een externe RADIUS-server zoals Access Control Server (ACS) 5.2.
Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:
Basiskennis hebben van WLC en Lichtgewicht access points (LAP’s)
Zorg voor een functionele kennis van de AAA-server
Zorg voor een grondige kennis van draadloze netwerken en problemen met draadloze beveiliging
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco 5508 WLC met firmwarerelease 7.0.220.0
Cisco 3502 Series router
Microsoft Windows 7 Native Supplicant met Intel 6300-N driver versie 14.3
Cisco Secure ACS-softwarerelease 5.2
Cisco 3560 Series Switch
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
Dit zijn de configuratiedetails van de componenten die in dit diagram worden gebruikt:
Het IP-adres van de ACS-server (RADIUS) is 192.168.150.24.
Het beheer en AP-manager interfaceadres van de WLC is 192.168.75.44.
De DHCP-servers richten zich op 192.168.150.25.
VLAN 253 wordt gebruikt in deze configuratie. Beide gebruikers verbinden met dezelfde SSID "goa". Gebruiker1 is echter ingesteld voor het verifiëren met PEAP-MSCHAPv2 en user2 met behulp van EAP-FAST.
Gebruikers worden toegewezen in VLAN 253:
VLAN 253: 192.168.153.x/24. Gateway: 192.168.153.1
VLAN 75: 192.168.75.x/24. Gateway: 192.168.75.1
Switches zijn geconfigureerd voor alle Layer 3 VLAN’s.
De DHCP-server is een DHCP-scope toegewezen.
Layer 3-connectiviteit bestaat tussen alle apparaten in het netwerk.
De LAP is al aangesloten bij de WLC.
Elk VLAN heeft een /24 masker.
ACS 5.2 heeft een zelfondertekend certificaat geïnstalleerd.
Deze configuratie is verdeeld in drie stappen op hoog niveau:
De RADIUS-serverconfiguratie is verdeeld in vier stappen:
ACS 5.x is een op beleid gebaseerd toegangscontrolesysteem. Dat wil zeggen dat ACS 5.x gebruikmaakt van een op regels gebaseerd beleidsmodel in plaats van het op groepen gebaseerde model dat gebruikt wordt in de 4.x-versies.
Het op regels gebaseerde ACS 5.x-beleidsmodel biedt krachtigere en flexibelere toegangscontrole in vergelijking met de oudere groepsgebaseerde aanpak.
In het oudere op groepen gebaseerde model definieert een groep beleid omdat het drie soorten informatie bevat en aan elkaar koppelt:
Identiteitsinformatie - Deze informatie kan worden gebaseerd op lidmaatschap in AD- of LDAP-groepen of een statische toewijzing voor interne ACS-gebruikers.
Andere beperkingen of voorwaarden - Tijdbeperkingen, apparaatbeperkingen, enzovoort.
Rechten - VLAN’s of Cisco IOS®-toegangsniveaus.
Het ACS 5.x-beleidsmodel is gebaseerd op de vormregels:
Als de voorwaarde dan resultaat
Bijvoorbeeld, gebruiken wij de informatie die voor het op groep-gebaseerde model wordt beschreven:
Indien identiteitsvoorwaarde, beperkingsvoorwaarde dan vergunningsprofiel.
Dit geeft ons de flexibiliteit om te beperken onder welke voorwaarden de gebruiker toegang tot het netwerk mag krijgen en welk autorisatieniveau is toegestaan als aan bepaalde voorwaarden wordt voldaan.
In dit gedeelte configureren we de AAA-client voor de WLC op de RADIUS-server.
Deze procedure legt uit hoe de WLC als AAA-client kan worden toegevoegd aan de RADIUS-server, zodat de WLC de gebruikersreferenties kan doorgeven aan de RADIUS-server.
Voer de volgende stappen uit:
Ga vanuit de ACS GUI naar Network Resources > Network Device Groepen > Location, en klik op Create (onderaan ).
Voeg de vereiste velden toe en klik op Indienen.
U ziet nu dit scherm:
Klik op Apparaattype > Aanmaken.
Klik op Verzenden. U ziet nu dit scherm:
Ga naar Network Resources > Network Devices en AAA Clients.
Klik op Maken en vul de details in zoals hier wordt getoond:
Klik op Verzenden. U ziet nu dit scherm:
In deze sectie maken we lokale gebruikers op ACS. Beide gebruikers (user1 en user2) worden toegewezen in de groep die "Draadloze Gebruikers" wordt genoemd.
Ga naar Gebruikers en Identiteitswinkels > Identiteitsgroepen > Aanmaken.
Zodra u op Indienen klikt, ziet de pagina er als volgt uit:
Maak gebruikers user1 en user2, en wijs ze toe aan de groep "Draadloze gebruikers".
Klik op Gebruikers en identiteitswinkels > Identiteitsgroepen > Gebruikers > Aanmaken.
Op dezelfde manier maakt u user2.
Het scherm zal er als volgt uitzien:
Controleer of Permit Access is ingesteld.
In dit gedeelte selecteren we welke verificatiemethoden moeten worden gebruikt en hoe de regels moeten worden geconfigureerd. We zullen regels opstellen op basis van de voorgaande stappen.
Voer de volgende stappen uit:
Ga naar Toegangsbeleid > Toegangsservices > Standaard netwerktoegang > Bewerken: "Standaard netwerktoegang".
Selecteer de EAP-methode die u wilt laten verifiëren door de draadloze clients. In dit voorbeeld gebruiken we PEAP-MSCHAPv2 en EAP-FAST.
Klik op Verzenden.
Controleer de groep Identity die u hebt geselecteerd. In dit voorbeeld gebruiken we Interne Gebruikers, die we hebben gemaakt op ACS. Sla de wijzigingen op.
Als u het autorisatieprofiel wilt controleren, gaat u naar Toegangsbeleid > Toegangsservices > Standaard netwerktoegang > Autorisatie.
U kunt aanpassen onder welke voorwaarden u gebruikerstoegang tot het netwerk zult verlenen en welk autorisatieprofiel (attributen) u zal overgaan zodra het is geverifieerd. Deze granulariteit is alleen beschikbaar in ACS 5.x. In dit voorbeeld hebben we de optie Locatie, Apparaattype, Protocol, Identity Group en EAP-verificatiemethode geselecteerd.
Klik op OK en sla wijzigingen op.
De volgende stap is het opstellen van een regel. Als er geen regels worden vastgesteld, krijgt de klant zonder enige voorwaarden toegang.
Klik op Aanmaken > Regel-1. Deze regel is voor gebruikers in de groep "Draadloze gebruikers".
Sla de wijzigingen op. Het scherm zal er als volgt uitzien:
Als u wilt dat gebruikers die niet voldoen aan de voorwaarden die worden geweigerd, bewerk dan de standaardregel om "ontkennen toegang" te zeggen.
Wij zullen nu regels voor de selectie van de dienst vaststellen. Gebruik deze pagina om een eenvoudig of regel-gebaseerd beleid te vormen om te bepalen welke dienst om op inkomende verzoeken van toepassing te zijn. In dit voorbeeld wordt een op regels gebaseerd beleid gebruikt.
Deze configuratie vereist de volgende stappen:
Het is noodzakelijk om de WLC te configureren zodat het kan communiceren met de RADIUS-server om de clients te verifiëren, en ook voor andere transacties.
Voer de volgende stappen uit:
Klik vanuit de controller-GUI op Security.
Voer het IP-adres van de RADIUS-server en de gedeelde geheime sleutel in die wordt gebruikt tussen de RADIUS-server en de WLC.
Deze gedeelde geheime sleutel moet dezelfde zijn als die welke in de RADIUS-server is geconfigureerd.
Deze procedure beschrijft hoe u dynamische interfaces op de WLC kunt configureren.
Voer de volgende stappen uit:
De dynamische interface wordt geconfigureerd vanuit de controller-GUI, in het venster Controller > Interfaces.
Klik op Apply (Toepassen).
Dit brengt u naar het venster Bewerken van deze dynamische interface (VLAN 253 hier).
Voer het IP-adres en de standaardgateway van deze dynamische interface in.
Klik op Apply (Toepassen).
De geconfigureerde interfaces zien er als volgt uit:
Deze procedure verklaart hoe te om WLANs in WLC te vormen.
Voer de volgende stappen uit:
Van de controller GUI, ga naar WLAN’s > Create New om een nieuw WLAN te maken. Het nieuwe WLAN-venster wordt weergegeven.
Voer de informatie over WLAN-id en WLAN-SSID in.
U kunt om het even welke naam als WLAN SSID ingaan. In dit voorbeeld wordt goa gebruikt als WLAN-SSID.
Klik op Toepassen om naar het venster Bewerken van het WLAN-doel te gaan.
In onze testclient gebruiken we Windows 7 Native Supplicant met een Intel 6300-N kaart waarop 14.3 driver-versie draait. Het is aan te raden om te testen met de nieuwste drivers van leveranciers.
Voltooi de volgende stappen om een profiel te maken in Windows Zero Config (WZC):
Ga naar Configuratiescherm > Netwerk en internet > Draadloze netwerken beheren.
Klik op het tabblad Toevoegen.
Klik op Handmatig een netwerkprofiel maken.
Voeg de details toe zoals die op WLC worden gevormd.
Opmerking: de SSID is hoofdlettergevoelig.
Klik op Next (Volgende).
Klik op Verbindingsinstellingen wijzigen om de instellingen te controleren.
Controleer of PEAP is ingeschakeld.
In dit voorbeeld valideren we het servercertificaat niet. Als u dit selectievakje inschakelt en geen verbinding kunt maken, probeer dan de functie uit te schakelen en weer te testen.
U kunt ook uw Windows-referenties gebruiken om in te loggen. In dit voorbeeld zullen we dat echter niet gebruiken. Klik op OK.
Klik op Geavanceerde instellingen om Gebruikersnaam en wachtwoord te configureren.
Uw clientprogramma is nu klaar voor verbinding.
In onze testclient gebruiken we Windows 7 Native Supplicant met een Intel 6300-N kaart waarop 14.3 driver-versie draait. Het is aan te raden om te testen met de nieuwste drivers van leveranciers.
Voltooi de volgende stappen om een profiel in WZC te maken:
Ga naar Configuratiescherm > Netwerk en internet > Draadloze netwerken beheren.
Klik op het tabblad Toevoegen.
Klik op Handmatig een netwerkprofiel maken.
Voeg de details toe zoals die op WLC worden gevormd.
Opmerking: de SSID is hoofdlettergevoelig.
Klik op Next (Volgende).
Klik op Verbindingsinstellingen wijzigen om de instellingen te controleren.
Zorg ervoor dat EAP-FAST is ingeschakeld.
Opmerking: WZC heeft standaard geen EAP-FAST als verificatiemethode. U moet het hulpprogramma downloaden van een externe leverancier. In dit voorbeeld, aangezien het een Intel-kaart is, is Intel PROSet op het systeem geïnstalleerd.
Schakel automatische PAC-levering in en controleer of het servercertificaat voor valideren niet is ingeschakeld.
Klik op het tabblad Gebruikersreferenties en voer de referenties van gebruiker2 in. U kunt ook uw Windows-referenties gebruiken om in te loggen. In dit voorbeeld zullen we dat echter niet gebruiken.
Klik op OK.
Uw clientprogramma is nu klaar om verbinding te maken voor gebruiker2.
Opmerking: Wanneer gebruiker2 probeert te verifiëren, zal de RADIUS-server een PAC verzenden. Accepteer de PAC om de verificatie te voltooien.
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
Ga vanuit de WLC GUI naar Monitor > Clients en selecteer het MAC-adres.
WLC RADIUS-status:
(Cisco Controller) >show radius auth statistics Authentication Servers: Server Index..................................... 1 Server Address................................... 192.168.150.24 Msg Round Trip Time.............................. 1 (msec) First Requests................................... 8 Retry Requests................................... 0 Accept Responses................................. 1 Reject Responses................................. 0 Challenge Responses.............................. 7 Malformed Msgs................................... 0 Bad Authenticator Msgs........................... 0 Pending Requests................................. 0 Timeout Requests................................. 0 Unknowntype Msgs................................. 0 Other Drops...................................... 0
ACS-logbestanden:
Voltooi de volgende stappen om de Hit-tellingen te bekijken:
Als u de logbestanden binnen 15 minuten na verificatie controleert, zorg er dan voor dat u de Hit-telling ververst.
Je hebt een tab voor Hit Count onderaan dezelfde pagina.
Klik op Bewaking en rapporten en er verschijnt een nieuw pop-upvenster. Ga naar Verificaties - Radius -Vandaag. U kunt ook op Details klikken om te verifiëren welke serviceselectieregel is toegepast.
Ga vanuit de WLC GUI naar Monitor > Clients en selecteer het MAC-adres.
ACS-logbestanden:
Voltooi de volgende stappen om de Hit-tellingen te bekijken:
Als u de logbestanden binnen 15 minuten na verificatie controleert, zorg er dan voor dat u de HIT-telling ververst.
Je hebt een tab voor Hit Count onderaan dezelfde pagina.
Klik op Bewaking en rapporten en er verschijnt een nieuw pop-upvenster. Ga naar Verificaties - Radius -Vandaag. U kunt ook op Details klikken om te verifiëren welke serviceselectieregel is toegepast.
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
Opmerking: raadpleeg Belangrijke informatie over debug-opdrachten voordat u debug-opdrachten gebruikt.
Als u problemen ondervindt, geeft u deze opdrachten op de WLC uit:
debug client <mac add of the client>
debug aaa all enable
toon cliëntdetail <mac addr> - Controleer de staat van de beleidsmanager.
toon radius auth statistieken - Verifieer de mislukkingsreden.
debug deactiveren-all - debugs uitschakelen.
duidelijke stats radius auth all - Duidelijke radius statistieken op de WLC.
Controleer de logbestanden in de ACS en noteer de reden van de fout.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
21-Aug-2012 |
Eerste vrijgave |