Accès invité filaire avec ancrage et étranger comme WLC 5760
Contenu
Introduction
Ce document couvre le déploiement de la fonctionnalité d'accès invité filaire sur le contrôleur LAN sans fil Cisco 5760 qui fait office d'ancrage étranger et le contrôleur LAN sans fil Cisco 5760 qui fait office d'ancrage invité dans la zone démilitarisée (DMZ) avec la version 03.03.2.SE. Aujourd'hui, des solutions existent pour fournir un accès invité via des réseaux filaires et sans fil sur le contrôleur LAN sans fil Cisco 5508. La fonctionnalité fonctionne de la même manière sur le commutateur Cisco Catalyst 3650 qui agit comme un contrôleur étranger.
Dans les réseaux d’entreprise, il est généralement nécessaire de fournir un accès réseau à ses invités sur le campus. Les exigences en matière d'accès invité incluent la fourniture d'une connectivité à Internet ou à d'autres ressources d'entreprise sélectives aux invités filaires et sans fil de manière cohérente et gérable. Le même contrôleur LAN sans fil peut être utilisé pour fournir un accès aux deux types d'invités sur le campus. Pour des raisons de sécurité, un grand nombre d'administrateurs réseau d'entreprise séparent l'accès invité d'un contrôleur DMZ via la tunnellisation. La solution d'accès invité est également utilisée comme méthode de secours pour les clients invités qui échouent aux méthodes d'authentification dot1x et MAC Authentication Bypass (MAB).
L'utilisateur invité se connecte au port filaire désigné sur un commutateur de couche d'accès pour y accéder et peut éventuellement être amené à passer en mode Consentement Web ou Authentification Web, selon les exigences de sécurité (détails dans les sections suivantes). Une fois l'authentification d'invité réussie, l'accès est fourni aux ressources réseau et le contrôleur invité gère le trafic client. L’ancrage étranger est le commutateur principal auquel le client se connecte pour accéder au réseau. Il initie des requêtes de tunnel. L'ancrage invité est le commutateur où le client est effectivement ancré. Outre le contrôleur WLAN de la gamme Cisco 5500, le contrôleur LAN sans fil Cisco 5760 peut être utilisé comme point d'ancrage invité. Avant de pouvoir déployer la fonctionnalité d'accès invité, un tunnel de mobilité doit être établi entre l'ancrage étranger et les commutateurs d'ancrage invité. La fonction d'accès invité fonctionne pour les modèles MC (Ancre étranger) » MC (Ancre invité) et MA (Ancre étrangère) » MC (Ancre invité). Le commutateur d'ancrage étranger relie le trafic invité filaire au contrôleur d'ancrage invité et plusieurs ancrages invités peuvent être configurés pour l'équilibrage de charge. Le client est ancré à un contrôleur d'ancrage DMZ. Il est également responsable de la gestion de l'attribution des adresses IP DHCP ainsi que de l'authentification du client. Une fois l’authentification terminée, le client peut accéder au réseau.
Scénario de déploiement
Le document couvre les cas d'utilisation courants où les clients filaires se connectent aux commutateurs d'accès pour l'accès au réseau. Deux modes d'accès sont expliqués dans différents exemples. Dans toutes les méthodes, la fonctionnalité d'accès invité filaire peut servir de méthode de secours pour l'authentification. Il s'agit généralement d'un cas d'utilisation lorsqu'un utilisateur invité apporte un périphérique final inconnu sur le réseau. Comme le demandeur de point de terminaison est manquant sur le périphérique final, le mode d'authentification dot1x échoue. De même, l'authentification MAB échouerait également, car l'adresse MAC du périphérique final serait inconnue du serveur d'authentification. Il convient de noter que dans de telles implémentations, les périphériques finaux d'entreprise auraient accès avec succès car ils auraient soit un demandeur dot1x, soit leurs adresses MAC dans le serveur d'authentification pour validation. Cela permet une certaine flexibilité dans le déploiement, car l'administrateur n'a pas besoin de restreindre et d'attacher les ports spécifiquement pour l'accès invité.
Topologie
Ce schéma présente la topologie utilisée dans le scénario de déploiement :
OPENAUTH
Configuration de l'ancrage invité
- Activez le suivi IPDT (IP Device Tracking) et la surveillance DHCP sur les VLAN clients, dans ce cas le VLAN 75. Le VLAN client doit être créé sur l'ancrage invité.
ip device tracking ip dhcp relay information trust-all ip dhcp snooping vlan 75 ip dhcp snooping information option allow-untrusted ip dhcp snooping
- Créez le VLAN 75 et l'interface VLAN de couche 3.
vlan 75 interface Vlan75 ip address 75.1.1.1 255.255.255.0 ip helper-address 192.168.1.1 ip dhcp pool DHCP_75 network 75.1.1.0 255.255.255.0 default-router 75.1.1.1 lease 0 0 10 update arp
- Créez un LAN invité qui spécifie le VLAN client avec le 5760 lui-même qui agit comme point d'ancrage de mobilité.
Pour openmode, la commande no security web-auth est requise.
guest-lan GUEST_LAN_OPENAUTH 3 client vlan 75 mobility anchor no security web-auth no shutdown
Configuration étrangère
- Activez DHCP et créez le VLAN. Comme indiqué, le VLAN client n'a pas besoin d'être configuré sur l'étranger.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - Le commutateur détecte l'adresse MAC du client entrant sur le canal de port configuré avec 'access-Session port-control auto' et applique la stratégie d'abonné OPENAUTH. La stratégie OPENAUTH décrite ici doit être créée en premier.
policy-map type control subscriber OPENAUTH
event session-started match-all
1 class always do-until-failure
2 activate service-template SERV-TEMP3-OPENAUTH
3 authorize
interface Po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber OPENAUTH
ip dhcp snooping trust
end - L’apprentissage des adresses MAC doit être configuré sur le réseau étranger pour le VLAN.
mac address-table learning vlan 19
- La stratégie OPENAUTH est référencée de manière séquentielle, qui dans ce cas pointe vers un service.
Le modèle nommé SERV-TEMP3 OPENAUTH est défini ici :
service-template SERV-TEMP3-OPENAUTH
tunnel type capwap name GUEST_LAN_OPENAUTH - Le modèle de service contient une référence au type et au nom du tunnel. Le VLAN 75 client doit uniquement exister sur l'ancrage invité, car il est responsable de la gestion du trafic client.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor 9.7.104.62
no security web-auth
no shutdown - La demande de tunnel est initiée de l'étranger à l'ancrage invité pour le client filaire et un succès de tunnel indique que le processus de construction du tunnel est terminé.
Sur ACCESS-SWITCH1, un client câblé se connecte au port Ethernet défini par l’administrateur réseau en mode d’accès. Il s'agit du port GigabitEthernet1/0/11 dans cet exemple.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
WEBAUTH
Configuration de l'ancrage invité
- Activez la surveillance IPDT et DHCP sur les VLAN clients, dans ce cas le VLAN 75. Le VLAN client doit être créé sur l'ancrage invité.
ip device tracking
ip dhcp relay information trust-all
ip dhcp snooping vlan 75
ip dhcp snooping information option allow-untrusted
ip dhcp snooping - Créez le VLAN 75 et l'interface VLAN de couche 3.
vlan 75
interface Vlan75
ip address 75.1.1.1 255.255.255.0
ip helper-address 192.168.1.1
ip dhcp pool DHCP_75
network 75.1.1.0 255.255.255.0
default-router 75.1.1.1
lease 0 0 10
update arp -
Créez un LAN invité qui spécifie le VLAN client avec le 5760 lui-même agissant comme point d'ancrage de mobilité. Pour openmode, la commande no security web-auth est requise.
guest-lan GUEST_LAN_WEBAUTH 3
client vlan VLAN0075
mobility anchor
security web-auth authentication-list default
security web-auth parameter-map webparalocal
no shutdown
Configuration étrangère
- Activez DHCP et créez un VLAN. Comme indiqué, le VLAN client n'a pas besoin d'être configuré sur l'étranger.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - Le commutateur détecte l'adresse MAC du client entrant sur le canal de port configuré avec 'access-Session port-control auto' et applique la politique d'abonné WEBAUTH. La politique WEBAUTH décrite ici doit être créée en premier.
policy-map type control subscriber WEBAUTH
event session-started match-all
1 class always do-until-failure
2 activate service-template SERV-TEMP3-WEBAUTH
3 authorize
interface po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber WEBAUTH
ip dhcp snooping trust
end - L’apprentissage MAC doit être configuré sur le réseau étranger pour le VLAN.
mac address-table learning vlan 19
- Configurez le rayon et la carte des paramètres.
aaa new-model
aaa group server radius rad-grp
server Radius1
dot1x system-auth-control
aaa authentication dot1x default group rad-grp
radius server Radius1
address ipv4 172.19.45.194 auth-port 1812 acct-port 1813
timeout 60
retransmit 3
key radius
parameter-map type webauth webparalocal
type webauth
timeout init-state sec 5000 - La politique WEBAUTH est référencée de manière séquentielle, qui dans ce cas pointe vers un service. Le modèle nommé SERV-TEMP3 WEBAUTH tel que défini ici.
service-template SERV-TEMP3-WEBAUTH
tunnel type capwap name GUEST_LAN_WEBAUTH - Le modèle de service contient une référence au type et au nom du tunnel. Le VLAN 75 client doit uniquement exister sur l'ancre d'invité, car il est responsable de la gestion du trafic client.
guest-lan GUEST_LAN_WEBAUTH 3
client vlan 75
mobility anchor 9.7.104.62
security web-auth authentication-list default
security web-auth parameter-map webparalocal
no shutdown - La demande de tunnel est initiée de l'étranger à l'ancrage invité pour le client filaire et un succès de tunnel indique que le processus de construction du tunnel est terminé.
Sur ACCESS-SWITCH1, un client filaire se connecte au port Ethernet défini par l’administrateur réseau sur le mode d’accès. Il s'agit du port GigabitEthernet1/0/11 dans cet exemple.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
Configurer OPENAUTH et WEBAUTH en parallèle
Pour disposer de deux LAN invités et les affecter à des clients différents, vous devez les baser sur les VLAN sur lesquels les clients sont appris.
Configuration de l'ancrage invité
- Activez la surveillance IPDT et DHCP sur le ou les VLAN(s) client(s), dans ce cas le VLAN 75. Le VLAN client doit être créé sur l'ancrage invité.
ip device tracking
ip dhcp relay information trust-all
ip dhcp snooping vlan 75
ip dhcp snooping information option allow-untrusted
ip dhcp snooping - Créez le VLAN 75 et l'interface VLAN de couche 3.
vlan 75
interface Vlan75
ip address 75.1.1.1 255.255.255.0
ip helper-address 192.168.1.1
ip dhcp pool DHCP_75
network 75.1.1.0 255.255.255.0
default-router 75.1.1.1
lease 0 0 10
update arp - Créez un LAN invité qui spécifie le VLAN client avec le 5760 lui-même qui agit comme point d'ancrage de mobilité.
Pour openmode, la commande no security web-auth est requise.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor
no security web-auth
no shutdown
guest-lan GUEST_LAN_WEBAUTH 4
client vlan VLAN0075
mobility anchor
security web-auth authentication-list joseph
security web-auth parameter-map webparalocal
no shutdown
Configuration étrangère
- Activez DHCP et créez un VLAN. Comme indiqué, le VLAN client n'a pas besoin d'être configuré sur l'étranger.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - Le commutateur détecte l'adresse MAC du client entrant sur le canal de port configuré avec 'access-Session port-control auto' et applique la stratégie d'abonné DOUBLEAUTH. La carte de classe mac1 contient les adresses MAC que vous ajoutez pour OPENAUTH. Tout le reste est WEBAUTH en utilisant la deuxième “ toujours ” class-map avec l'événement “ match-first ”. La politique DOUBLEAUTH décrite ici doit être créée en premier.
policy-map type control subscriber DOUBLEAUTH
event session-started match-first
1 class vlan19 do-until-failure
2 activate service-template SERV-TEMP3-OPENAUTH
3 authorize
2 class vlan18 do-until-failure
2 activate service-template SERV-TEMP4-WEBAUTH
3 authorize
interface po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber DOUBLEAUTH
ip dhcp snooping trust
end - L’apprentissage MAC doit être configuré sur le réseau étranger pour les VLAN 18 et 19.
mac address-table learning vlan 18 19
- Les cartes-classes VLAN 19 et VLAN18 contiennent les critères de correspondance VLAN en fonction desquels vous différencierez le LAN invité dans lequel le client se trouve. Elle est définie ici :
class-map type control subscriber match-any vlan18
match vlan 18
class-map type control subscriber match-any vlan19
match vlan 19 - La stratégie OPENAUTH est référencée de manière séquentielle, qui dans ce cas pointe vers un service.
Le modèle nommé SERV-TEMP3 OPENAUTH tel que défini ici.
service-template SERV-TEMP3-OPENAUTH
tunnel type capwap name GUEST_LAN_OPENAUTH
service-template SERV-TEMP4-WEBAUTH
tunnel type capwap name GUEST_LAN_WEBAUTH - Le modèle de service contient une référence au type et au nom du tunnel. Le VLAN 75 client doit uniquement exister sur l'ancrage invité, car il est responsable de la gestion du trafic client.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor 9.7.104.62
no security web-auth
no shutdown
guest-lan GUEST_LAN_WEBAUTH 4
client vlan VLAN0075
mobility anchor 9.7.104.62
security web-auth authentication-list joseph
security web-auth parameter-map webparalocal
no shutdown - La demande de tunnel est initiée de l'étranger à l'ancrage invité pour le client filaire et un succès de tunnel indique que le processus de construction du tunnel est terminé.
Sur les COMMUTATEURS D’ACCÈS, plusieurs clients filaires se connectent au VLAN 18 ou au VLAN 19, qui peuvent ensuite être affectés aux LAN invités en conséquence. Il s'agit du port GigabitEthernet1/0/11 dans cet exemple.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
Exemple de commande O/P WEBAUTH
Étranger
FOREIGN#show wir client summary
Number of Local Clients : 2
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
19 0021.ccbc.44f9 DYNAMIC Po1
19 0021.ccbb.ac7d DYNAMIC Po1
FOREIGN#show access-session mac 0021.ccbc.44f9 details
Interface: Port-channel1
IIF-ID: 0x83D880000003D4
MAC Address: 0021.ccbc.44f9
IPv6 Address: Unknown
IPv4 Address: Unknown
User-Name: 0021.ccbc.44f9
Device-type: Un-Classified Device
Status: Unauthorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 090C895F000012A70412D338
Acct Session ID: Unknown
Handle: 0x1A00023F
Current Policy: OPENAUTH
Session Flags: Session Pushed
Local Policies:
Service Template: SERV-TEMP3-OPENAUTH (priority 150)
Tunnel Profile Name: GUEST_LAN_OPENAUTH
Tunnel State: 2
Method status list:
Method State
webauth Authc Success
Ancrage
#show wir client summary
Number of Local Clients : 1
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 WEBAUTH_PEND Ethernet
0021.ccbb.ac7d N/A 4 WEBAUTH_PEND Ethernet
ANCHOR#show wir client summary
Number of Local Clients : 2
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
19 0021.ccbc.44f9 DYNAMIC Po1
18 0021.ccbb.ac7d DYNAMIC Po1
ANCHOR#show wir client summary
Number of Local Clients : 1
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show access-session mac 0021.ccbc.44f9
Interface MAC Address Method Domain Status Fg Session ID
----------------------------------------------------------------------
Ca1 0021.ccbc.44f9 webauth DATA Auth 090C895F000012A70412D338
ANCHOR#show access-session mac 0021.ccbc.44f9 details
Interface: Capwap1
IIF-ID: 0x6DAE4000000248
MAC Address: 0021.ccbc.44f9
IPv6 Address: Unknown
IPv4 Address: 75.1.1.11
User-Name: 0021.ccbc.44f9
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 090C895F000012A70412D338
Acct Session ID: Unknown
Handle: 0x4000023A
Current Policy: (No Policy)
Method status list:
Method State
webauth Authc Success
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)