802.1x サプリカントとしての Lightweight アクセス ポイントの設定

ダウンロード オプション

  • PDF     (691.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (477.7 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (584.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2020 年 8 月 6 日
Document ID:107946

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Identity Services Engine(ISE)サーバに対して認証するために、Lightweight Access Point(LAP)を802.1xサプリカントとして設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • ワイヤレスLanコントローラ(WLC)およびLAP
    • Ciscoスイッチの802.1x
    • ISE
    • Extensible Authentication Protocol(EAP):Flexible Authentication via Secure Tunneling(FAST)

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • WS-C3560CX-8PC-S、15.2(4)E1
    • AIR-CT-2504-K9、8.2.141.0
    • ISE 2.0

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

    背景説明

    この設定では、アクセスポイント(AP)は802.1xサプリカントとして機能し、匿名のProtected Access Credentials(PAC)プロビジョニングを使用するEAP-FASTを使用するISEに対してスイッチによって認証されます。802.1x 認証用のポートが設定されると、スイッチは、ポートに接続されたデバイスが正しく認証されるまでは、802.1x トラフィック以外のトラフィックがポートを通過することを許可しません。AP の認証は、WLC に参加する前か、WLC に参加した後に実行できます。後者の場合、LAP が WLC に参加した後で 802.1x をスイッチに設定します。

    設定

    このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

    ネットワーク図

    このドキュメントでは、次のネットワーク セットアップを使用します。

    設定

    このドキュメントでは、次の IP アドレスを使用します。

    • スイッチの IP アドレスは 10.48.39.141 です。
    • ISEサーバのIPアドレスは10.48.39.161です
    • WLC の IP アドレスは 10.48.39.142 です。

    LAP の設定

    このセクションでは、802.1x サプリカントとしての LAP の設定について説明しています。

    1. APがすでにWLCに加入している場合は、[Wireless]タブに移動して[AP]をクリックし、[Credentials]フィールドに移動し、[802.1x Supplicant Credentials]見出しの下の[Over-ride Global credentials]チェックボックスをにをオンにして、このAPの88802.1X2.1X00000000002.1X0000000000000000000000000000000000000000000000

      また、[Global Configuration]メニューを使用して、WLCに参加しているすべてのAPに共通のユーザ名とパスワードを設定することもできます。

    2. APがまだWLCに加入していない場合は、クレデンシャルを設定して次のCLIコマンドを使用するために、LAPにコンソール接続する必要があります。 
      LAP#debug capwap console cli
      LAP#capwap ap dot1x username 
     
     
       password 
      
         

    スイッチの設定

    1. スイッチでdot1xをグローバルに有効にし、ISEサーバをスイッチに追加します。 
      aaa new-model
      !
      aaa authentication dot1x default group radius
      !
      dot1x system-auth-control
      !
      radius server ISE
      address ipv4 10.48.39.161 auth-port 1645 acct-port 1646
        key 7 123A0C0411045D5679
    2. ここで、APスイッチポートを設定します。 
      interface GigabitEthernet0/4


      switchport access vlan 231
      switchport mode access
      authentication order dot1x
      authentication port-control auto
      dot1x pae authenticator
      spanning-tree portfast edge

    ISEサーバの設定

    1. スイッチをISEサーバの認証、許可、アカウンティング(AAA)クライアントとして追加します。

    2. ISEで、認証ポリシーと認可ポリシーを設定します。この場合、有線dot.1xのデフォルト認証ルールが使用されますが、要件に応じてカスタマイズできます。

      許可されているプロトコルで、Default Network Access、EAP-FASTが許可されていることを確認します。

    3. 認可ポリシー(Port_AuthZ)については、この場合、APクレデンシャルがユーザグループ(AP)に追加されています。 使用された条件は、「ユーザがグループAPに属し、有線dot1xを実行している場合は、デフォルトの許可プロファイル許可アクセスをプッシュする」でした。 ここでも、要件に応じてカスタマイズできます。

    確認

    ここでは、設定が正常に機能しているかどうかを確認します。

    802.1x がスイッチ ポートで有効になると、802.1x トラフィック以外のすべてのトラフィックがポートでブロックされます。LAPは、すでにWLCに登録されている場合、関連付けが解除されます。他のトラフィックは、802.1x 認証に成功した場合に限り、通過が許可されます。802.1x がスイッチ上で有効になった後、WLC に対して LAP の登録が成功したということは、LAP 認証が成功したことを示します。LAPが認証されているかどうかを確認するには、次の方法も使用できます。

    1. スイッチで、showコマンドのいずれかを入力して、ポートが認証されているかどうかを確認します。 
      akshat_sw#show dot1x interface g0/4

      
Dot1x Info for GigabitEthernet0/4
      -----------------------------------
      PAE = AUTHENTICATOR
      QuietPeriod = 60
      ServerTimeout = 0
      SuppTimeout = 30
      ReAuthMax = 2
      MaxReq = 2
      TxPeriod = 30


      akshat_sw#show dot1x interface g0/4 details

      
Dot1x Info for GigabitEthernet0/4
      -----------------------------------
      PAE = AUTHENTICATOR
      QuietPeriod = 60
      ServerTimeout = 0
      SuppTimeout = 30
      ReAuthMax = 2
      MaxReq = 2
      TxPeriod = 30


      Dot1x Authenticator Client List
      -------------------------------
      EAP Method = FAST
      Supplicant = 588d.0997.061d
      Session ID = 0A30278D000000A088F1F604
       Auth SM State = AUTHENTICATED
       Auth BEND SM State = IDLE


      akshat_sw#show authentication sessions

      
Interface MAC Address Method Domain Status Fg Session ID
      Gi0/4 588d.0997.061d dot1x DATA Auth 0A30278D000000A088F1F604
    2. ISEでOperations > Radius Livelogsの順に選択し、認証が成功し、正しい認可プロファイルがプッシュされることを確認します。

    トラブルシュート

    ここでは、設定のトラブルシューティングに使用できる情報を示します。

    1. pingコマンドを入力して、ISEサーバがスイッチから到達可能かどうかを確認します。
    2. スイッチがISEサーバでAAAクライアントとして設定されていることを確認します。
    3. スイッチと ACS サーバの共有秘密が同一であることを確認します。
    4. ISEサーバでEAP-FASTが有効になっているかどうかを確認します。
    5. 802.1xクレデンシャルがLAPに設定されていて、ISEサーバで同じであることを確認します。

      注:ユーザ名とパスワードは大文字小文字が区別されます。

    6. 認証が失敗した場合は、スイッチでdebug dot1xおよびdebug authenticationのコマンドを入力してください

    更新履歴

    改定 発行日 コメント
    1.0
    20-Feb-2014
    初版
    TAC Authored

    シスコ エンジニア提供

    • Ritin Mahajan
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ