Lichtgewicht access point instellen als een 802.1x applicator

Downloadopties

PDF (603.8 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (479.6 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (585.5 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:6 augustus 2020

Document-id:107946

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u een lichtgewicht access point (LAP) kunt configureren als een 802.1x smeekbede om authenticatie aan te vragen tegen de ISE-server (Identity Services Engine).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Draadloze LAN-controller (WLC) en LAP
802.1x op Cisco-switches
ISE
Uitbreidbaar verificatieprotocol (EAP) - Flexibele verificatie via Secure Tunneling (FAST)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

WS-C3560CX-8PC-S, 15.2(4)E1
LUCHT-CT-2504-K9, 8.2.141.0
ISE 2.0

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

In deze instelling werkt het access point (AP) als de 802.1x-smeekbede en is geauthentiseerd door de schakelaar tegen de ISE die EAP-FAST met anonieme Protected Access Credentials (PAC) voorziening gebruikt. Zodra de poort is ingesteld voor 802.1x-verificatie, staat de switch geen ander verkeer dan 802.1x-verkeer toe om door de poort te gaan totdat het apparaat dat is aangesloten op de poort authentiek verklaard heeft. AP kan of voor authentiek worden verklaard het zich bij een WLC aansluit of nadat het zich bij een WLC heeft aangesloten, in welk geval u 802.1x op de schakelaar vormt nadat de LAP zich bij WLC aansluit.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Configuraties

Dit document gebruikt deze IP-adressen:

IP-adres van de switch is 10.48.39.141
IP-adres van de ISE-server is 10.48.39.161
IP-adres van de WLC is 10.48.39.142

De LAP configureren

In dit gedeelte wordt u met de informatie voorgesteld om de LAP als een 802.1x-smeekbede te configureren.

Als het AP al aangesloten is op WLC, ga het tabblad Draadloos en klik op het AP, ga het veld Credentials en onder de optie 802.1x Suppliciete Credentials, controleer het aanvinkvakje Over-ride Global geloofsbrieven om de gebruikersnaam en het wachtwoord voor dit AP in te stellen op 802.1x.

U kunt ook een gemeenschappelijke gebruikersnaam en wachtwoord instellen voor alle AP's die worden aangesloten op de WLC met behulp van het menu Global Configuration.

Als AP zich nog niet bij een WLC heeft aangesloten moet u in de LAP console troosten om de geloofsbrieven in te stellen en deze CLI opdrachten te gebruiken:

LAP#debug capwap console cli
LAP#capwap ap dot1x username 
     
     
       password

De switch configureren

Schakel dot1x mondiaal in op de schakelaar en voeg de ISE server aan de schakelaar toe.

aaa new-model
!
aaa authentication dot1x default group radius
!
dot1x system-auth-control
!
radius server ISE
address ipv4 10.48.39.161 auth-port 1645 acct-port 1646
  key 7 123A0C0411045D5679

Stel nu de AP schakelaar poort in.

interface GigabitEthernet0/4


switchport access vlan 231
switchport mode access
authentication order dot1x
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast edge

De ISE-server configureren

Voeg de switch toe als een AAA-client op de ISE-server. Verificatie, autorisatie en accounting.
Op ISE, moet u het verificatiebeleid en het autorisatiebeleid configureren. In dit geval wordt de standaard authenticatieregel gebruikt die is aangesloten op punt 1.1x, maar je kunt de regel aanpassen aan de eisen.

Zorg ervoor dat in de toegestane protocollen dat de standaard toegang tot een netwerk is toegestaan.
In dit geval zijn AP-referenties toegevoegd aan een gebruikersgroep (APs), wat betreft het autorisatiebeleid (Port_AuthZ). De gebruikte voorwaarde was "Als de gebruiker tot de groep AP behoort en de bekabelde punt1x doet, druk dan op de standaard Toestemming van het Profiel van de Vergunning toegang." Dit kan opnieuw worden aangepast aan de eisen.

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Als 802.1x op de switchpoort is ingeschakeld, wordt al het verkeer behalve het 802.1x-verkeer door de poort geblokkeerd. De LAP, die indien al bij de WLC geregistreerd, wordt niet aangesloten. Alleen na een succesvolle 802.1x-authenticatie is er nog ander verkeer dat mag doorgeven. Succesvolle registratie van de LAP naar de WLC nadat de 802.1x-schakelaar is ingeschakeld, geeft aan dat de LAP-verificatie succesvol is. U kunt deze methoden ook gebruiken om te controleren of het LAP echt is bevonden.

Voer in de schakelaar een van de opdrachten van de show in om te controleren of de poort al dan niet voor authentiek is verklaard.

akshat_sw#show dot1x interface g0/4


Dot1x Info for GigabitEthernet0/4
-----------------------------------
PAE = AUTHENTICATOR
QuietPeriod = 60
ServerTimeout = 0
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30


akshat_sw#show dot1x interface g0/4 details


Dot1x Info for GigabitEthernet0/4
-----------------------------------
PAE = AUTHENTICATOR
QuietPeriod = 60
ServerTimeout = 0
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30


Dot1x Authenticator Client List
-------------------------------
EAP Method = FAST
Supplicant = 588d.0997.061d
Session ID = 0A30278D000000A088F1F604
 Auth SM State = AUTHENTICATED
 Auth BEND SM State = IDLE


akshat_sw#show authentication sessions


Interface MAC Address Method Domain Status Fg Session ID
Gi0/4 588d.0997.061d dot1x DATA Auth 0A30278D000000A088F1F604

In ISE, kies Operations > Radius Livelogs en zie dat de authenticatie succesvol is en dat het juiste autorisatieprofiel wordt geduwd.

Problemen oplossen

Deze sectie verschaft informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.

Voer de opdracht ping in om te controleren of de ISE-server bereikbaar is vanaf de schakelaar.
Zorg dat de switch als een AAA-client op de ISE-server is geconfigureerd.
Zorg ervoor dat het gedeelde geheim hetzelfde is tussen de schakelaar en de ACS server.
Controleer of EAP-FAST is ingeschakeld op de ISE-server.
Controleer of de 802.1x-referenties voor de LAP zijn ingesteld en op de ISE-server gelijk zijn.
Opmerking: De gebruikersnaam en het wachtwoord zijn hoofdlettergevoelig.
Als de authenticatie faalt, voer deze opdrachten in op de switch: debug dot1x en debug authenticatie.

Bijgedragen door Cisco-engineers

Ritin Mahajan
Cisco TAC-ingenieur