アンカーと外部の両方での 5760 WLC としての有線ゲスト アクセス
内容
概要
このドキュメントでは、外部アンカーとして機能するCisco 5760ワイヤレスLANコントローラと、バージョン03.03.2.SEリリースソフトウェアを使用する非武装地帯(DMZ)のゲストアンカーとして機能するCisco 5760ワイヤレスLANコントローラの導入について説明します。現在、Cisco 5508ワイヤレスLANコントローラ上のワイヤレスおよび有線ネットワークを通じてゲストアクセスを提供するソリューションが存在します。この機能は、外部コントローラとして機能するCisco Catalyst 3650スイッチでも同様に動作します。
エンタープライズネットワークでは、通常、キャンパス内のゲストにネットワークアクセスを提供する必要があります。ゲストアクセスの要件には、インターネットやその他の選択的なエンタープライズリソースへの接続を、一貫した管理しやすい方法で有線ゲストとワイヤレスゲストの両方に提供することが含まれます。同じワイヤレスLANコントローラを使用して、キャンパス内の両方のタイプのゲストにアクセスできます。セキュリティ上の理由から、多数の企業ネットワーク管理者がトンネリングを使用してゲストアクセスをDMZコントローラに分離しています。ゲストアクセスソリューションは、dot1xおよびMAC認証バイパス(MAB)認証方式に失敗するゲストクライアントのフォールバック方式としても使用されます。
ゲストユーザはアクセス用にアクセスレイヤスイッチ上の指定された有線ポートに接続します。オプションで、セキュリティ要件(以降のセクションの詳細)に応じて、Web同意モードまたはWeb認証モードを使用できます。 ゲスト認証が成功すると、ネットワークリソースにアクセスが提供され、ゲストコントローラがクライアントトラフィックを管理します。外部アンカーは、クライアントがネットワークアクセスのために接続するプライマリスイッチです。トンネル要求を開始するゲストアンカーは、クライアントが実際にアンカーされるスイッチです。Cisco 5500シリーズWLANコントローラとは別に、Cisco 5760ワイヤレスLANコントローラをゲストアンカーとして使用できます。ゲストアクセス機能を導入する前に、外部アンカーとゲストアンカースイッチの間にモビリティトンネルを確立する必要があります。ゲストアクセス機能は、MC(外部アンカー) >> MC(ゲストアンカー)モデルとMA(外部アンカー) >> MC(ゲストアンカー)モデルの両方で動作します。外部アンカースイッチは、有線ゲストトラフィックをゲストアンカーコントローラにトランクし、複数のゲストアンカーをロードバランシング用に設定できます。クライアントはDMZアンカーコントローラにアンカーされます。また、DHCP IPアドレスの割り当てとクライアントの認証も行います。認証が完了すると、クライアントはネットワークにアクセスできるようになります。
導入シナリオ
このドキュメントでは、有線クライアントがネットワークアクセスのためにアクセススイッチに接続する一般的な使用例について説明します。アクセスの2つのモードについては、異なる例で説明します。いずれの方法でも、有線ゲストアクセス機能は認証のフォールバック方式として機能できます。これは通常、ゲストユーザが不明なエンドデバイスをネットワークに持ち込む場合の使用例です。エンドデバイスにエンドポイントサプリカントがないため、認証のdot1xモードに失敗します。同様に、エンドデバイスのMACアドレスが認証サーバに認識されないため、MAB認証も失敗します。このような実装では、企業のエンドデバイスは、検証のためにdot1xサプリカントまたは認証サーバのMACアドレスを持つことになるため、アクセスが正常に行われることに注意してください。これにより、管理者はゲストアクセス専用のポートを制限およびタイアップする必要がないため、柔軟な導入が可能になります。
トポロジ
次の図は、導入シナリオで使用されるトポロジを示しています。
OPENAUTH
ゲストアンカーの設定
- クライアントVLAN(この場合はVLAN 75)でIPデバイストラッキング(IPDT)とDHCPスヌーピングを有効にします。クライアントVLANはゲストアンカーで作成する必要があります。
ip device tracking ip dhcp relay information trust-all ip dhcp snooping vlan 75 ip dhcp snooping information option allow-untrusted ip dhcp snooping
- VLAN 75とL3 VLANインターフェイスを作成します。
vlan 75 interface Vlan75 ip address 75.1.1.1 255.255.255.0 ip helper-address 192.168.1.1 ip dhcp pool DHCP_75 network 75.1.1.0 255.255.255.0 default-router 75.1.1.1 lease 0 0 10 update arp
- モビリティアンカーとして機能する5760自体を使用して、クライアントVLANを指定するゲストLANを作成します。
openmodeの場合は、no security web-authコマンドが必要です。
guest-lan GUEST_LAN_OPENAUTH 3 client vlan 75 mobility anchor no security web-auth no shutdown
外部設定
- DHCPを有効にし、VLANを作成します。前述のとおり、クライアントVLANを外部に設定する必要はありません。
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - スイッチは、「access-Session port-control auto」で設定されたポートチャネルで着信クライアントのMACアドレスを検出し、サブスクライバポリシーOPENAUTHを適用します。ここで説明するOPENAUTHポリシーを最初に作成する必要があります。
policy-map type control subscriber OPENAUTH
event session-started match-all
1 class always do-until-failure
2 activate service-template SERV-TEMP3-OPENAUTH
3 authorize
interface Po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber OPENAUTH
ip dhcp snooping trust
end - MACアドレス学習は、VLANの外部で設定する必要があります。
mac address-table learning vlan 19
- OPENAUTHポリシーは順番に参照され、この場合はサービスを指します。
「SERV-TEMP3 OPENAUTH」という名前のテンプレートを次に定義します。
service-template SERV-TEMP3-OPENAUTH
tunnel type capwap name GUEST_LAN_OPENAUTH - サービステンプレートには、トンネルのタイプと名前への参照が含まれています。クライアントVLAN 75は、クライアントトラフィックを処理する役割を担うため、ゲストアンカーにのみ存在する必要があります。
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor 9.7.104.62
no security web-auth
no shutdown - トンネル要求は、有線クライアントの外部からゲストアンカーに対して開始され、tunneladdsuccessはトンネル構築プロセスが完了したことを示します。
ACCESS-SWITCH1では、ネットワーク管理者がアクセスモードに設定したイーサネットポートに有線クライアントが接続します。この例では、ポートGigabitEthernet1/0/11です。
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
WEBAUTH
ゲストアンカーの設定
- クライアントVLAN(この場合はVLAN 75)でIPDTおよびDHCPスヌーピングを有効にします。クライアントVLANはゲストアンカーで作成する必要があります。
ip device tracking
ip dhcp relay information trust-all
ip dhcp snooping vlan 75
ip dhcp snooping information option allow-untrusted
ip dhcp snooping - VLAN 75とL3 VLANインターフェイスを作成します。
vlan 75
interface Vlan75
ip address 75.1.1.1 255.255.255.0
ip helper-address 192.168.1.1
ip dhcp pool DHCP_75
network 75.1.1.0 255.255.255.0
default-router 75.1.1.1
lease 0 0 10
update arp -
5760自体がモビリティアンカーとして機能するクライアントVLANを指定するゲストLANを作成します。openmodeの場合は、no security web-authコマンドが必要です。
guest-lan GUEST_LAN_WEBAUTH 3
client vlan VLAN0075
mobility anchor
security web-auth authentication-list default
security web-auth parameter-map webparalocal
no shutdown
外部設定
- DHCPを有効にし、VLANを作成します。前述のとおり、クライアントVLANを外部に設定する必要はありません。
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - スイッチは、「access-Session port-control auto」で設定されたポートチャネルで着信クライアントのMACアドレスを検出し、加入者ポリシーWEBAUTHを適用します。ここで説明するWEBAUTHポリシーを最初に作成する必要があります。
policy-map type control subscriber WEBAUTH
event session-started match-all
1 class always do-until-failure
2 activate service-template SERV-TEMP3-WEBAUTH
3 authorize
interface po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber WEBAUTH
ip dhcp snooping trust
end - MACラーニングは、VLANの外部で設定する必要があります。
mac address-table learning vlan 19
- 半径とパラメータマップを設定します。
aaa new-model
aaa group server radius rad-grp
server Radius1
dot1x system-auth-control
aaa authentication dot1x default group rad-grp
radius server Radius1
address ipv4 172.19.45.194 auth-port 1812 acct-port 1813
timeout 60
retransmit 3
key radius
parameter-map type webauth webparalocal
type webauth
timeout init-state sec 5000 - WEBAUTHポリシーは順番に参照され、この場合はサービスを指します。ここで定義したSERV-TEMP3 WEBAUTHという名前のテンプレート。
service-template SERV-TEMP3-WEBAUTH
tunnel type capwap name GUEST_LAN_WEBAUTH - サービステンプレートには、トンネルのタイプと名前への参照が含まれています。クライアントVLAN 75は、クライアントトラフィックを処理する役割を担うため、ゲストアンカーにのみ存在する必要があります。
guest-lan GUEST_LAN_WEBAUTH 3
client vlan 75
mobility anchor 9.7.104.62
security web-auth authentication-list default
security web-auth parameter-map webparalocal
no shutdown - トンネル要求は、有線クライアントの外部からゲストアンカーに対して開始され、「tunneladdsuccess」はトンネル構築プロセスが完了したことを示します。
ACCESS-SWITCH1で、有線クライアントは、ネットワーク管理者によってアクセスモードに設定されたイーサネットポートに接続します。この例では、ポートGigabitEthernet1/0/11です。
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
OPENAUTHとWEBAUTHを並行して設定する
2つのゲストLANを用意し、それらを異なるクライアントに割り当てるには、クライアントが学習されるVLANに基づいてVLANを作成する必要があります。
ゲストアンカーの設定
- クライアントVLAN(この場合はVLAN 75)でIPDTおよびDHCPスヌーピングを有効にします。クライアントVLANはゲストアンカーで作成する必要があります。
ip device tracking
ip dhcp relay information trust-all
ip dhcp snooping vlan 75
ip dhcp snooping information option allow-untrusted
ip dhcp snooping - VLAN 75とL3 VLANインターフェイスを作成します。
vlan 75
interface Vlan75
ip address 75.1.1.1 255.255.255.0
ip helper-address 192.168.1.1
ip dhcp pool DHCP_75
network 75.1.1.0 255.255.255.0
default-router 75.1.1.1
lease 0 0 10
update arp - モビリティアンカーとして機能する5760自体を使用して、クライアントVLANを指定するゲストLANを作成します。
openmodeの場合は、no security web-authコマンドが必要です。
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor
no security web-auth
no shutdown
guest-lan GUEST_LAN_WEBAUTH 4
client vlan VLAN0075
mobility anchor
security web-auth authentication-list joseph
security web-auth parameter-map webparalocal
no shutdown
外部設定
- DHCPを有効にし、VLANを作成します。前述のとおり、クライアントVLANを外部に設定する必要はありません。
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - スイッチは、「access-Session port-control auto」で設定されたポートチャネルで着信クライアントのMACアドレスを検出し、加入者ポリシーDOUBLEAUTHを適用します。クラスマップmac1には、OPENAUTHに追加するMACアドレスが含まれています。それ以外はすべて、2番目の「always」クラスマップと「match-first」イベントを使用したWEBAUTHです。ここで説明するDOUBLEAUTHポリシーを最初に作成する必要があります。
policy-map type control subscriber DOUBLEAUTH
event session-started match-first
1 class vlan19 do-until-failure
2 activate service-template SERV-TEMP3-OPENAUTH
3 authorize
2 class vlan18 do-until-failure
2 activate service-template SERV-TEMP4-WEBAUTH
3 authorize
interface po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber DOUBLEAUTH
ip dhcp snooping trust
end - MACラーニングは、VLAN 18および19の外部で設定する必要があります。
mac address-table learning vlan 18 19
- VLAN 19およびVLAN18クラスマップには、クライアントがどのゲストLANに属するかを区別するVLAN一致基準が含まれています。次のように定義されます。
class-map type control subscriber match-any vlan18
match vlan 18
class-map type control subscriber match-any vlan19
match vlan 19 - OPENAUTHポリシーは順番に参照され、この場合はサービスを指します。
ここで定義したSERV-TEMP3 OPENAUTHという名前のテンプレート。
service-template SERV-TEMP3-OPENAUTH
tunnel type capwap name GUEST_LAN_OPENAUTH
service-template SERV-TEMP4-WEBAUTH
tunnel type capwap name GUEST_LAN_WEBAUTH - サービステンプレートには、トンネルのタイプと名前への参照が含まれています。クライアントVLAN 75は、クライアントトラフィックを処理する役割を担うため、ゲストアンカーにのみ存在する必要があります。
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor 9.7.104.62
no security web-auth
no shutdown
guest-lan GUEST_LAN_WEBAUTH 4
client vlan VLAN0075
mobility anchor 9.7.104.62
security web-auth authentication-list joseph
security web-auth parameter-map webparalocal
no shutdown - トンネル要求は、有線クライアントの外部からゲストアンカーに対して開始され、「tunneladdsuccess」はトンネル構築プロセスが完了したことを示します。
ACCESS-SWITCHには、VLAN 18またはVLAN19に接続する複数の有線クライアントがあり、ゲストLANを適宜割り当てることができます。この例では、ポートGigabitEthernet1/0/11です。
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
WEBAUTHコマンドO/Pの例
外部
FOREIGN#show wir client summary
Number of Local Clients : 2
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
19 0021.ccbc.44f9 DYNAMIC Po1
19 0021.ccbb.ac7d DYNAMIC Po1
FOREIGN#show access-session mac 0021.ccbc.44f9 details
Interface: Port-channel1
IIF-ID: 0x83D880000003D4
MAC Address: 0021.ccbc.44f9
IPv6 Address: Unknown
IPv4 Address: Unknown
User-Name: 0021.ccbc.44f9
Device-type: Un-Classified Device
Status: Unauthorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 090C895F000012A70412D338
Acct Session ID: Unknown
Handle: 0x1A00023F
Current Policy: OPENAUTH
Session Flags: Session Pushed
Local Policies:
Service Template: SERV-TEMP3-OPENAUTH (priority 150)
Tunnel Profile Name: GUEST_LAN_OPENAUTH
Tunnel State: 2
Method status list:
Method State
webauth Authc Success
アンカー
#show wir client summary
Number of Local Clients : 1
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 WEBAUTH_PEND Ethernet
0021.ccbb.ac7d N/A 4 WEBAUTH_PEND Ethernet
ANCHOR#show wir client summary
Number of Local Clients : 2
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
19 0021.ccbc.44f9 DYNAMIC Po1
18 0021.ccbb.ac7d DYNAMIC Po1
ANCHOR#show wir client summary
Number of Local Clients : 1
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show access-session mac 0021.ccbc.44f9
Interface MAC Address Method Domain Status Fg Session ID
----------------------------------------------------------------------
Ca1 0021.ccbc.44f9 webauth DATA Auth 090C895F000012A70412D338
ANCHOR#show access-session mac 0021.ccbc.44f9 details
Interface: Capwap1
IIF-ID: 0x6DAE4000000248
MAC Address: 0021.ccbc.44f9
IPv6 Address: Unknown
IPv4 Address: 75.1.1.11
User-Name: 0021.ccbc.44f9
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 090C895F000012A70412D338
Acct Session ID: Unknown
Handle: 0x4000023A
Current Policy: (No Policy)
Method status list:
Method State
webauth Authc Success
フィードバック