Configurazione dell'integrazione WLC 9800 con Aruba ClearPass - Dot1x & FlexConnect per l'installazione di filiali

Opzioni per il download

  • PDF     (2.3 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.2 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.7 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:20 giugno 2024
ID documento:217935

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive l'integrazione del controller wireless Catalyst 9800 con Aruba ClearPass Policy Manager.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti, che sono stati configurati e verificati:

    • Catalyst 9800 Wireless Controller
    • Aruba ClearPass Server (richiede licenza della piattaforma, licenza di accesso, licenza integrata)
    • AD Windows operativo
    • CA (Certification Authority) facoltativa 
    • Server DHCP operativo 
    • Server DNS operativo (richiesto per la convalida CRL del certificato)
    • Eseguibile
    • Tutti i componenti pertinenti vengono sincronizzati con NTP e verificati per verificare che abbiano l'ora corretta (necessaria per la convalida del certificato)
    • Conoscenza degli argomenti:
      • Distribuzione C9800 e nuovo modello di configurazione
      • Funzionamento di FlexConnect su C9800 
      • Autenticazione Dot1x

    Componenti usati

    Le informazioni di questo documento si basano sulle seguenti versioni hardware e software:

    • C9800-L-C Cisco IOS-XE 17.3.3
    • C9130AX, 4800 AP
    • Aruba ClearPass, patch 6-8-0-109592 e 6.8-3
    • Server MS Windows
      • Active Directory (Criteri di gruppo configurati per il rilascio automatico di certificati basati su computer agli endpoint gestiti)
      • Server DHCP con opzione 43 e opzione 60
      • Server DNS
      • Server NTP per sincronizzare in tempo tutti i componenti
      • CA

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Flusso traffico

    In una tipica implementazione aziendale con più filiali, ogni filiale è configurata per fornire accesso dot1x ai dipendenti aziendali. In questo esempio di configurazione, PEAP viene utilizzato per fornire accesso dot1x agli utenti aziendali tramite un'istanza ClearPass implementata nel centro dati centrale (DC). I certificati del computer vengono utilizzati insieme alla verifica delle credenziali dei dipendenti in un server AD Microsoft.

    1. Flusso di traffico

    Esempio di rete

    2. Esempio di rete

    Configurazione del controller wireless Catalyst 9800

    In questo esempio di configurazione, il nuovo modello di configurazione su C9800 viene utilizzato per creare i profili e i tag necessari per fornire accesso aziendale dot1x alle filiali aziendali. La configurazione risultante viene riepilogata nel diagramma.

    3. Nuovo modello di configurazione - Assegnazione tag

    C9800 - Configurazione dei parametri AAA per dot1x

    Passaggio 1. Aggiungere il server 'Corp' di Aruba ClearPass Policy Manager alla configurazione WLC 9800. Selezionare Configurazione > Sicurezza > AAA > Server/Gruppi > RADIUS > Server. Fare clic su +Aggiungi e immettere le informazioni sul server RADIUS. Fare clic sul pulsante Applica alla periferica come mostrato nell'immagine.

    4. Server AAA Radius

    Passaggio 2. Definire il gruppo di server AAA per gli utenti aziendali. Passare a Configurazione > Sicurezza > AAA > Server/Gruppi > RADIUS > Gruppi e fare clic su +Aggiungi, immettere il nome del gruppo di server RADIUS e assegnare le informazioni sul server RADIUS. Fare clic sul pulsante Applica alla periferica come mostrato nell'immagine.

    5. Gruppo server AAA Radius

    Passaggio 3. Definire l'elenco dei metodi di autenticazione dot1x per gli utenti aziendali. Selezionare Configurazione > Sicurezza > AAA > Elenco metodi AAA > Autenticazione e fare clic su +Aggiungi. Selezionare Tipo dot1x dal menu a discesa. Fare clic sul pulsante Apply to Device (Applica alla periferica), come mostrato nell'immagine.

    6. Metodo di autenticazione AAA

    C9800 - Configurazione del profilo WLAN aziendale

    Passaggio 1. Selezionare Configurazione > Tag e profili > Wireless e fare clic su +Aggiungi. Immettere il nome di un profilo, il SSID 'Corp' e un ID WLAN non ancora in uso.

    7. Profilo WLAN - Generale

    Passaggio 2. Passare alla scheda Protezione e alla scheda secondaria Layer2. Non è necessario modificare i parametri predefiniti di questo esempio di configurazione.

    8. Profilo WLAN - Sicurezza - Layer 2

    Passaggio 3. Passare alla scheda secondaria AAA e selezionare l'elenco dei metodi di autenticazione configurato in precedenza. Fare clic sul pulsante Applica alla periferica come mostrato nell'immagine.

    9. Profilo WLAN - Sicurezza - AAA

    C9800 - Configura profilo criteri

    Passaggio 1. Passare a Configurazione > Tag e profili > Criterio e fare clic su +Aggiungi e immettere un nome e una descrizione per il profilo del criterio. Abilitare il criterio e disabilitare la commutazione centrale, il protocollo DHCP e l'associazione, in quanto il traffico dell'utente aziendale viene commutato localmente nell'access point, come mostrato nell'immagine.

    10. Profilo delle politiche - Generale

    Passaggio 2. Passare alla scheda Access Policies (Criteri di accesso) e immettere manualmente l'ID della VLAN da usare sulla filiale per il traffico dell'utente aziendale. Questa VLAN non deve essere configurata sul modello C9800. Deve essere configurato nel profilo Flex, come descritto più avanti. Non selezionare un nome VLAN dall'elenco a discesa (per ulteriori informazioni, vedere l'ID bug Cisco CSCvn48234 ). Fare clic sul pulsante Applica alla periferica come mostrato nell'immagine.

    11. Profilo criterio - Criteri di accesso

    C9800 - Configura tag criteri

    Dopo aver creato il profilo WLAN (WP_Corp) e il profilo delle policy (PP_Corp), è necessario creare un tag delle policy per associare questi profili WLAN e delle policy. Questo tag di criteri viene applicato ai punti di accesso. Assegnare questo tag ai punti di accesso per attivare la configurazione di questi punti per abilitare gli SSID selezionati su di essi.

    Passaggio 1. Selezionare Configurazione > Tag e profili > Tag, selezionare la scheda Criterio e fare clic su +Aggiungi. Immettere il nome e la descrizione del tag dei criteri. Fare clic su +Add in WLAN-POLICY Maps. Selezionare il profilo WLAN e il profilo criteri creati in precedenza, quindi fare clic sul pulsante con il segno di spunta, come mostrato nell'immagine.

    12. Codice di matricola: mappa WLAN e criterio

    Passaggio 2. Verificare e fare clic sul pulsante Applica alla periferica come mostrato nell'immagine.

    13. Codice di matricola - Applicazione

    C9800 - Profilo di join AP

    I profili di join AP e i profili Flex devono essere configurati e assegnati ai punti di accesso con tag del sito. Per supportare la transizione rapida 802.11r (FT) all'interno di una diramazione, è necessario utilizzare un tag del sito diverso per ogni diramazione, limitando tuttavia la distribuzione della chiave PMK del client solo tra gli access point della diramazione. È importante non riutilizzare lo stesso tag del sito in più diramazioni. Configurare un profilo di join AP. È possibile utilizzare un singolo profilo di join AP se tutte le diramazioni sono simili oppure creare più profili se alcuni dei parametri configurati devono essere diversi.

    Passaggio 1. Selezionare Configurazione > Tag e profili > AP Join e fare clic su +Aggiungi. Immettere il nome e la descrizione del profilo di join AP. Fare clic sul pulsante Applica alla periferica come mostrato nell'immagine.

    14. Profilo di join AP - Generale

    C9800 - Profilo Flex

    Configurare un profilo Flex. Anche in questo caso, è possibile usare un unico profilo per tutte le diramazioni, se sono simili e hanno la stessa mappatura VLAN/SSID. In alternativa, è possibile creare più profili se alcuni dei parametri configurati, ad esempio le assegnazioni della VLAN, sono diversi.

    Passaggio 1. Passare a Configurazione > Tag e profili > Flex e fare clic su +Aggiungi. Inserire il nome e la descrizione del profilo Flex.

    15. Profilo Flex - Generale

    Passaggio 2. Passare alla scheda VLAN e fare clic su +Add. Immettere il nome e l'ID della VLAN locale alla succursale che l'access point deve usare per commutare localmente il traffico dell'utente aziendale. Fare clic sul pulsante Save (Salva), come mostrato nell'immagine.

    16. Flex Profile - VLAN - Aggiungi

    Passaggio 3. Verificare e fare clic sul pulsante Applica alla periferica come mostrato nell'immagine.

    17. Profilo Flex - VLAN - Applicazione

    C9800 - Tag sito

    I tag del sito vengono utilizzati per assegnare profili di join e profili Flex ai punti di accesso. Come accennato in precedenza, è necessario utilizzare un tag del sito diverso per ciascuna diramazione in modo da supportare la transizione rapida 802.11r (FT) all'interno di una diramazione, limitando tuttavia la distribuzione della chiave PMK del client solo tra gli access point della diramazione. È importante non riutilizzare lo stesso tag del sito in più diramazioni.

    Passaggio 1. Passare a Configurazione > Tag e profili > Tag, selezionare la scheda Sito e fare clic su +Aggiungi. Immettere un nome e una descrizione per il tag del sito, selezionare il profilo di aggiunta AP creato, deselezionare la casella Abilita sito locale e infine selezionare il profilo Flex creato in precedenza. Deselezionare la casella Attiva sito locale per modificare il punto di accesso da Modalità locale a FlexConnect. Infine, fare clic sul pulsante Applica alla periferica come mostrato nell'immagine.

    18. Codice di matricola

    C9800 - Tag RF

    Passaggio 1. Selezionare Configurazione > Tag e profili > Tag, selezionare la scheda RF e fare clic su +Aggiungi. Immettere un nome e una descrizione per il tag RF.Selezionare i profili RF definiti dal sistema dal menu a discesa. Fare clic sul pulsante Applica alla periferica come mostrato nell'immagine.

    19. Tag RF

    C9800 - Assegna tag all'access point 

    Ora che sono stati creati i tag che includono le varie policy e i profili richiesti per configurare i punti di accesso, è necessario assegnarli ai punti di accesso. Questa sezione illustra come eseguire manualmente un tag statico assegnato a un punto di accesso in base al relativo indirizzo MAC Ethernet. Per gli ambienti di produzione, si consiglia di utilizzare il flusso di lavoro PNP di Cisco DNA Center AP o un metodo di caricamento statico in blocchi CSV disponibile in 9800.

    Passaggio 1. Selezionare Configura > Tag e profili > Tag, selezionare la scheda AP, quindi la scheda Static. Fare clic su +Aggiungi, immettere l'indirizzo MAC AP e selezionare il tag criteri, il tag sito e il tag RF definiti in precedenza. Fare clic sul pulsante Applica alla periferica come mostrato nell'immagine.

    20. Associa tag a punto di accesso

    Configurazione di Aruba CPPM

    Configurazione iniziale del server Aruba ClearPass Policy Manager

    Aruba clearpass viene implementato tramite il modello OVF sul server ESXi con le seguenti risorse:

    • 2 CPU virtuali riservate
    • 6 GB di RAM
    • Disco da 80 GB (deve essere aggiunto manualmente dopo la distribuzione iniziale della VM prima che la macchina venga accesa)

    Applica licenze

    Applicare la licenza della piattaforma tramite: Amministrazione > Server Manager > Licenze. Aggiungi accesso e onboard

    Aggiunta del controller wireless C9800 come dispositivo di rete

    Selezionare Configurazione > Rete > Dispositivi > Aggiungi, come mostrato nell'immagine.

    21. CPPM - Dettagli dispositivo

    Configurare CPPM per l'utilizzo di Windows AD come origine di autenticazione

    Passare a Configurazione > Autenticazione > Origini > Aggiungi. Selezionare Tipo: Active Directory dal menu a discesa come illustrato nell'immagine.

    22. CPPM - Origini autenticazione

    Configurazione del servizio di autenticazione CPPM Dot1X

    Passaggio 1. Creare un 'servizio' corrispondente a diversi attributi RADIUS:

    • Raggio:IETF | Nome: NAS-IP-Address | UGUALE A | <INDIRIZZO IP>
    • Raggio:IETF | Nome: Service-Type | UGUALE A | 1,2,8

    Passaggio 2. Per la produzione, si consiglia di utilizzare il nome SSID invece di 'NAS-IP-Address' in modo che una condizione sia sufficiente in una distribuzione multi-WLC. Raggio:Cisco:Cisco-AVPair | cisco-wlan-ssid | Dot1XSSID

    23. CPPM - Servizio di autenticazione - Condizioni

    24. CPPM - Servizio di autenticazione - Autenticazione

    Verifica

    Attualmente non è disponibile una procedura di verifica per questa configurazione.

    Risoluzione dei problemi

    È importante notare che il WLC 9800 non utilizza in modo affidabile la stessa porta di origine UDP per una determinata transazione RADIUS del client wireless. Questo è un aspetto a cui ClearPass può essere sensibile. È inoltre importante basare il bilanciamento del carico RADIUS sull'ID della stazione chiamante del client e non provare a utilizzare la porta di origine UDP dal lato WLC.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    20-Jun-2024
    aggiunta di una piccola nota sulla porta di origine RADIUS
    1.0
    24-Jun-2022
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Igor Manassypov
      Cisco Sales Engineering

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti