5760 WLC로 Anchor 및 Foreign을 모두 사용하는 유선 게스트 액세스
목차
소개
이 문서에서는 Cisco 5760 Wireless LAN Controller에 유선 게스트 액세스 기능을 구축하는 내용을 다룹니다. 이 컨트롤러는 Foreign Anchor 역할을 하며 Cisco 5760 Wireless LAN Controller는 버전 03.03.2.SE Release 소프트웨어를 사용하여 DMZ(Demilitarized Zone)에서 게스트 앵커 역할을 합니다.현재 Cisco 5508 Wireless LAN Controller의 무선 및 유선 네트워크를 통해 게스트 액세스를 제공하는 솔루션이 있습니다.이 기능은 외부 컨트롤러 역할을 하는 Cisco Catalyst 3650 스위치에서도 유사한 방식으로 작동합니다.
엔터프라이즈 네트워크에서는 일반적으로 캠퍼스의 게스트에 대한 네트워크 액세스를 제공해야 합니다.게스트 액세스 요구 사항에는 일관되고 관리 가능한 방식으로 유무선 게스트 모두에 인터넷 또는 기타 선택적 엔터프라이즈 리소스에 대한 연결을 프로비저닝하는 것이 포함됩니다.동일한 무선 LAN 컨트롤러를 사용하여 캠퍼스의 두 게스트 유형에 대한 액세스를 제공할 수 있습니다.보안상의 이유로 많은 엔터프라이즈 네트워크 관리자가 터널링을 통해 게스트 액세스를 DMZ 컨트롤러에 분리합니다.게스트 액세스 솔루션은 fail dot1x 및 MAB(MAC Authentication Bypass) 인증 방법을 사용하는 게스트 클라이언트에 대한 대체 방법으로 사용됩니다.
게스트 사용자는 액세스를 위해 액세스 레이어 스위치의 지정된 유선 포트에 연결되며, 선택적으로 보안 요구 사항(이후 섹션의 세부 사항)에 따라 웹 동의 또는 웹 인증 모드를 통과하도록 설정할 수 있습니다. 게스트 인증이 성공하면 네트워크 리소스에 대한 액세스가 제공되며 게스트 컨트롤러가 클라이언트 트래픽을 관리합니다.외부 앵커는 클라이언트가 네트워크 액세스를 위해 연결하는 기본 스위치입니다.터널 요청을 시작합니다.게스트 앵커는 클라이언트가 실제로 고정되는 스위치입니다.Cisco 5500 Series WLAN Controller 외에도 Cisco 5760 Wireless LAN Controller를 게스트 앵커로 사용할 수 있습니다.게스트 액세스 기능을 구축하려면 먼저 외부 앵커와 게스트 앵커 스위치 사이에 모빌리티 터널이 설정되어 있어야 합니다.게스트 액세스 기능은 MC(Foreign Anchor) >> MC(Guest Anchor) 및 MA(Foreign Anchor) >> MC(Guest Anchor) 모델 모두에 대해 작동합니다.외부 앵커 스위치 트렁크는 게스트 앵커 컨트롤러에 대한 게스트 트래픽을 유선 연결하며 로드 밸런싱을 위해 여러 게스트 앵커를 구성할 수 있습니다.클라이언트가 DMZ 앵커 컨트롤러에 고정되어 있습니다.또한 DHCP IP 주소 할당 및 클라이언트 인증을 처리합니다.인증이 완료되면 클라이언트는 네트워크에 액세스할 수 있습니다.
구축 시나리오
이 문서에서는 유선 클라이언트가 네트워크 액세스를 위해 액세스 스위치에 연결하는 일반적인 사용 사례를 다룹니다.두 가지 액세스 모드는 서로 다른 예에 설명되어 있습니다.모든 방법에서 유선 게스트 액세스 기능은 인증을 위한 대체 방법 역할을 할 수 있습니다.이는 일반적으로 게스트 사용자가 네트워크에 알 수 없는 최종 디바이스를 가져오는 경우에 사용됩니다.엔드 디바이스에 엔드포인트 신청자가 없으므로 dot1x 인증 모드가 실패합니다.마찬가지로, 최종 디바이스의 MAC 주소를 인증 서버에서 알 수 없으므로 MAB 인증도 실패합니다.이러한 구현에서는 기업 최종 디바이스가 인증을 위해 인증 서버에 dot1x 신청자 또는 MAC 주소를 가지므로 성공적으로 액세스할 수 있다는 점에 유의하십시오.이를 통해 관리자는 게스트 액세스를 위해 특별히 포트를 제한 및 연결할 필요가 없으므로 유연하게 구축할 수 있습니다.
토폴로지
이 다이어그램은 구축 시나리오에서 사용되는 토폴로지를 보여줍니다.
OPENAUTH
게스트 앵커 구성
- 클라이언트 VLAN에서 IPDT(IP Device Tracking) 및 DHCP 스누핑을 활성화합니다(이 경우 VLAN 75). 클라이언트 VLAN을 게스트 앵커에 생성해야 합니다.
ip device tracking ip dhcp relay information trust-all ip dhcp snooping vlan 75 ip dhcp snooping information option allow-untrusted ip dhcp snooping
- VLAN 75 및 L3 VLAN 인터페이스를 생성합니다.
vlan 75 interface Vlan75 ip address 75.1.1.1 255.255.255.0 ip helper-address 192.168.1.1 ip dhcp pool DHCP_75 network 75.1.1.0 255.255.255.0 default-router 75.1.1.1 lease 0 0 10 update arp
- 모빌리티 앵커 역할을 하는 5760 자체를 사용하여 클라이언트 VLAN을 지정하는 게스트 LAN을 생성합니다.
openmode의 경우 no security web-auth 명령이 필요합니다.
guest-lan GUEST_LAN_OPENAUTH 3 client vlan 75 mobility anchor no security web-auth no shutdown
외부 구성
- DHCP 및 VLAN 생성을 활성화합니다.앞서 언급한 대로, 클라이언트 VLAN을 이외에 설정할 필요가 없습니다.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - 스위치는 'access-Session port-control auto'로 구성된 포트 채널에서 수신 클라이언트의 MAC 주소를 탐지하고 가입자 정책 OPENAUTH를 적용합니다.여기에 설명된 대로 OPENAUTH 정책을 먼저 생성해야 합니다.
policy-map type control subscriber OPENAUTH
event session-started match-all
1 class always do-until-failure
2 activate service-template SERV-TEMP3-OPENAUTH
3 authorize
interface Po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber OPENAUTH
ip dhcp snooping trust
end - VLAN을 위해 MAC 주소 학습을 외주에서 구성해야 합니다.
mac address-table learning vlan 19
- OPENAUTH 정책은 순차적으로 참조되며, 이 경우 서비스를 가리킵니다.
'SERV-TEMP3 OPENAUTH'라는 템플릿은 여기에서 정의됩니다.
service-template SERV-TEMP3-OPENAUTH
tunnel type capwap name GUEST_LAN_OPENAUTH - 서비스 템플릿에는 터널 유형 및 이름에 대한 참조가 포함되어 있습니다.클라이언트 VLAN 75는 클라이언트 트래픽 처리를 담당하므로 게스트 앵커에만 있어야 합니다.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor 9.7.104.62
no security web-auth
no shutdown - 터널 요청은 외부 클라이언트에서 유선 클라이언트의 게스트 앵커로 시작되며 tunneladdsuccess는 터널 구축 프로세스가 완료되었음을 나타냅니다.
ACCESS-SWITCH1에서 유선 클라이언트는 네트워크 관리자가 액세스 모드로 설정한 이더넷 포트에 연결합니다.이 예에서는 포트 GigabitEthernet1/0/11입니다.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
웹 인증
게스트 앵커 구성
- 클라이언트 VLAN에서 IPDT 및 DHCP 스누핑을 활성화합니다(이 경우 VLAN 75). 클라이언트 VLAN을 게스트 앵커에 생성해야 합니다.
ip device tracking
ip dhcp relay information trust-all
ip dhcp snooping vlan 75
ip dhcp snooping information option allow-untrusted
ip dhcp snooping - VLAN 75 및 L3 VLAN 인터페이스를 생성합니다.
vlan 75
interface Vlan75
ip address 75.1.1.1 255.255.255.0
ip helper-address 192.168.1.1
ip dhcp pool DHCP_75
network 75.1.1.0 255.255.255.0
default-router 75.1.1.1
lease 0 0 10
update arp -
5760 자체가 모빌리티 앵커 역할을 하는 클라이언트 VLAN을 지정하는 게스트 LAN을 생성합니다.openmode의 경우 no security web-auth 명령이 필요합니다.
guest-lan GUEST_LAN_WEBAUTH 3
client vlan VLAN0075
mobility anchor
security web-auth authentication-list default
security web-auth parameter-map webparalocal
no shutdown
외부 구성
- DHCP 및 VLAN 생성을 활성화합니다.앞서 언급한 대로, 클라이언트 VLAN을 이외에 설정할 필요가 없습니다.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - 스위치는 'access-Session port-control auto'로 구성된 포트 채널에서 수신 클라이언트의 MAC 주소를 탐지하고 가입자 정책 WEBAUTH를 적용합니다.여기에 설명된 대로 WEBAUTH 정책을 먼저 만들어야 합니다.
policy-map type control subscriber WEBAUTH
event session-started match-all
1 class always do-until-failure
2 activate service-template SERV-TEMP3-WEBAUTH
3 authorize
interface po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber WEBAUTH
ip dhcp snooping trust
end - VLAN을 위해 MAC 학습을 외주에서 구성해야 합니다.
mac address-table learning vlan 19
- radius 및 매개변수 맵을 구성합니다.
aaa new-model
aaa group server radius rad-grp
server Radius1
dot1x system-auth-control
aaa authentication dot1x default group rad-grp
radius server Radius1
address ipv4 172.19.45.194 auth-port 1812 acct-port 1813
timeout 60
retransmit 3
key radius
parameter-map type webauth webparalocal
type webauth
timeout init-state sec 5000 - WEBAUTH 정책은 순차적으로 참조되며, 이 경우 서비스를 가리킵니다.여기에 정의된 대로 SERV-TEMP3 WEBAUTH라는 템플릿.
service-template SERV-TEMP3-WEBAUTH
tunnel type capwap name GUEST_LAN_WEBAUTH - 서비스 템플릿에는 터널 유형 및 이름에 대한 참조가 포함되어 있습니다.클라이언트 VLAN 75는 클라이언트 트래픽 처리를 담당하므로 게스트 앵커에만 있어야 합니다.
guest-lan GUEST_LAN_WEBAUTH 3
client vlan 75
mobility anchor 9.7.104.62
security web-auth authentication-list default
security web-auth parameter-map webparalocal
no shutdown - 터널 요청은 외부 클라이언트에서 유선 클라이언트의 게스트 앵커로 시작되며 'tunneladdsuccess'는 터널 구축 프로세스가 완료되었음을 나타냅니다.
ACCESS-SWITCH1에서 유선 클라이언트는 네트워크 관리자가 액세스 모드로 설정한 이더넷 포트에 연결합니다.이 예에서는 포트 GigabitEthernet1/0/11입니다.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
OPENAUTH 및 WEBAUTH를 병렬로 구성
두 개의 게스트 LAN을 가지고 다른 클라이언트에 할당하려면 클라이언트가 학습되는 VLAN을 기반으로 해야 합니다.
게스트 앵커 구성
- 클라이언트 VLAN에서 IPDT 및 DHCP 스누핑을 활성화합니다(이 경우 VLAN 75). 클라이언트 VLAN을 게스트 앵커에 생성해야 합니다.
ip device tracking
ip dhcp relay information trust-all
ip dhcp snooping vlan 75
ip dhcp snooping information option allow-untrusted
ip dhcp snooping - VLAN 75 및 L3 VLAN 인터페이스를 생성합니다.
vlan 75
interface Vlan75
ip address 75.1.1.1 255.255.255.0
ip helper-address 192.168.1.1
ip dhcp pool DHCP_75
network 75.1.1.0 255.255.255.0
default-router 75.1.1.1
lease 0 0 10
update arp - 모빌리티 앵커 역할을 하는 5760 자체를 사용하여 클라이언트 VLAN을 지정하는 게스트 LAN을 생성합니다.
openmode의 경우 no security web-auth 명령이 필요합니다.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor
no security web-auth
no shutdown
guest-lan GUEST_LAN_WEBAUTH 4
client vlan VLAN0075
mobility anchor
security web-auth authentication-list joseph
security web-auth parameter-map webparalocal
no shutdown
외부 구성
- DHCP 및 VLAN 생성을 활성화합니다.앞서 언급한 대로, 클라이언트 VLAN을 이외에 설정할 필요가 없습니다.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - 스위치는 'access-Session port-control auto'로 구성된 포트 채널에서 수신 클라이언트의 MAC 주소를 탐지하고 가입자 정책 DOUBLEAUTH를 적용합니다.classmap mac1은 OPENAUTH에 대해 추가하는 MAC 주소를 포함합니다.그 밖의 모든 것은 "match-first" 이벤트와 함께 두 번째 "always" 클래스 맵을 사용하는 WEBAUTH입니다.여기에 설명된 대로 DOUBLEAUTH 정책을 먼저 생성해야 합니다.
policy-map type control subscriber DOUBLEAUTH
event session-started match-first
1 class vlan19 do-until-failure
2 activate service-template SERV-TEMP3-OPENAUTH
3 authorize
2 class vlan18 do-until-failure
2 activate service-template SERV-TEMP4-WEBAUTH
3 authorize
interface po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber DOUBLEAUTH
ip dhcp snooping trust
end - VLAN 18 및 19에 대해 MAC 학습을 외주에서 구성해야 합니다.
mac address-table learning vlan 18 19
- VLAN 19 및 VLAN18 클래스 맵에는 클라이언트가 속한 게스트 LAN을 구별할 수 있는 VLAN 일치 기준이 포함되어 있습니다.여기서 정의합니다.
class-map type control subscriber match-any vlan18
match vlan 18
class-map type control subscriber match-any vlan19
match vlan 19 - OPENAUTH 정책은 순차적으로 참조되며, 이 경우 서비스를 가리킵니다.
여기에 정의된 대로 SERV-TEMP3 OPENAUTH라는 템플릿.
service-template SERV-TEMP3-OPENAUTH
tunnel type capwap name GUEST_LAN_OPENAUTH
service-template SERV-TEMP4-WEBAUTH
tunnel type capwap name GUEST_LAN_WEBAUTH - 서비스 템플릿에는 터널 유형 및 이름에 대한 참조가 포함되어 있습니다.클라이언트 VLAN 75는 클라이언트 트래픽 처리를 담당하므로 게스트 앵커에만 있어야 합니다.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor 9.7.104.62
no security web-auth
no shutdown
guest-lan GUEST_LAN_WEBAUTH 4
client vlan VLAN0075
mobility anchor 9.7.104.62
security web-auth authentication-list joseph
security web-auth parameter-map webparalocal
no shutdown - 터널 요청은 외부 클라이언트에서 유선 클라이언트의 게스트 앵커로 시작되며 'tunneladdsuccess'는 터널 구축 프로세스가 완료되었음을 나타냅니다.
ACCESS-SWITCH에는 VLAN 18 또는 VLAN19에 연결하는 여러 유선 클라이언트가 있으며, 이에 따라 게스트 LAN을 할당할 수 있습니다.이 예에서는 포트 GigabitEthernet1/0/11입니다.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
WEBAUTH 명령 O/P 예
외국
FOREIGN#show wir client summary
Number of Local Clients : 2
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
19 0021.ccbc.44f9 DYNAMIC Po1
19 0021.ccbb.ac7d DYNAMIC Po1
FOREIGN#show access-session mac 0021.ccbc.44f9 details
Interface: Port-channel1
IIF-ID: 0x83D880000003D4
MAC Address: 0021.ccbc.44f9
IPv6 Address: Unknown
IPv4 Address: Unknown
User-Name: 0021.ccbc.44f9
Device-type: Un-Classified Device
Status: Unauthorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 090C895F000012A70412D338
Acct Session ID: Unknown
Handle: 0x1A00023F
Current Policy: OPENAUTH
Session Flags: Session Pushed
Local Policies:
Service Template: SERV-TEMP3-OPENAUTH (priority 150)
Tunnel Profile Name: GUEST_LAN_OPENAUTH
Tunnel State: 2
Method status list:
Method State
webauth Authc Success
앵커
#show wir client summary
Number of Local Clients : 1
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 WEBAUTH_PEND Ethernet
0021.ccbb.ac7d N/A 4 WEBAUTH_PEND Ethernet
ANCHOR#show wir client summary
Number of Local Clients : 2
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
19 0021.ccbc.44f9 DYNAMIC Po1
18 0021.ccbb.ac7d DYNAMIC Po1
ANCHOR#show wir client summary
Number of Local Clients : 1
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show access-session mac 0021.ccbc.44f9
Interface MAC Address Method Domain Status Fg Session ID
----------------------------------------------------------------------
Ca1 0021.ccbc.44f9 webauth DATA Auth 090C895F000012A70412D338
ANCHOR#show access-session mac 0021.ccbc.44f9 details
Interface: Capwap1
IIF-ID: 0x6DAE4000000248
MAC Address: 0021.ccbc.44f9
IPv6 Address: Unknown
IPv4 Address: 75.1.1.11
User-Name: 0021.ccbc.44f9
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 090C895F000012A70412D338
Acct Session ID: Unknown
Handle: 0x4000023A
Current Policy: (No Policy)
Method status list:
Method State
webauth Authc Success
피드백