Configurar a integração da WLC 9800 com o Aruba ClearPass - Dot1x & FlexConnect para implantação em filiais

Opções de download

  • PDF     (2.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.2 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.7 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:20 de junho de 2024
ID do documento:217935

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a integração do Catalyst 9800 Wireless Controller com o Aruba ClearPass Policy Manager.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento desses tópicos e que eles tenham sido configurados e verificados:

    • Controlador sem fio Catalyst 9800
    • Aruba ClearPass Server (requer licença de plataforma, licença de acesso, licença integrada)
    • Windows AD operacional
    • Autoridade de certificação (CA) opcional 
    • Servidor DHCP operacional 
    • Servidor DNS operacional (necessário para validação de CRL de certificado)
    • ESXi
    • Todos os componentes pertinentes são sincronizados com o NTP e verificados para ter a hora correta (necessária para a validação do certificado)
    • Conhecimento de tópicos:
      • Implantação do C9800 e novo modelo de configuração
      • Operação FlexConnect no C9800 
      • Autenticação Dot1x

    Componentes Utilizados

    As informações neste documento são baseadas nas seguintes versões de hardware e software:

    • C9800-L-C Cisco IOS-XE 17.3.3
    • APs C9130AX, 4800
    • Aruba ClearPass, patch 6-8-0-109592 e 6.8-3
    • Servidor MS Windows
      • Ative Diretory (GP configurado para emissão automatizada de certificados baseada em computador para pontos de extremidade gerenciados)
      • Servidor DHCP com opção 43 e opção 60
      • Servidor DNS
      • Servidor NTP para sincronizar com o tempo todos os componentes
      • CA

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Fluxo de tráfico

    Em uma implantação empresarial típica com várias filiais, cada filial é configurada para fornecer acesso dot1x aos funcionários corporativos. Neste exemplo de configuração, o PEAP é usado para fornecer acesso dot1x a usuários corporativos através de uma instância ClearPass implantada no data center central (DC). Os certificados de máquina são usados em conjunto com a verificação das credenciais do funcionário em relação a um servidor do Microsoft AD.

    1. Fluxo de tráfego

    Diagrama de Rede

    2. Diagrama de Rede

    Configurar o Catalyst 9800 Wireless Controller

    Neste exemplo de configuração, o novo modelo de configuração no C9800 é utilizado para criar os perfis e tags necessários para fornecer acesso corporativo dot1x às filiais da empresa. A configuração resultante é resumida no diagrama.

    3. Novo Modelo de Configuração - Atribuição de Tag

    C9800 - Configurar parâmetros AAA para dot1x

    Etapa 1. Adicione o servidor 'Corp' do Aruba ClearPass Policy Manager à configuração da WLC 9800. Navegue até Configuration > Security > AAA > Servers/Groups > RADIUS > Servers. Clique em +Add e insira as informações do servidor RADIUS. Clique no botão Apply to Device como mostrado nesta imagem.

    4. Servidor Radius AAA

    Etapa 2. Defina o grupo de servidores AAA para usuários corporativos. Navegue para Configuration > Security > AAA > Servers/Groups > RADIUS > Groups e clique em +Add, insira o nome do grupo de servidores RADIUS e atribua as informações do servidor RADIUS. Clique no botão Apply to Device como mostrado nesta imagem.

    5. Grupo de Servidores AAA Radius

    Etapa 3. Defina a Lista de métodos de autenticação dot1x para usuários corporativos. Navegue para Configuration > Security > AAA > AAA Method List > Authentication e clique em +Add. Selecione Type dot1x no menu suspenso. Clique no botão Apply to Device como mostrado nesta imagem.

    6. Método de Autenticação AAA

    C9800 - Configure o perfil de WLAN 'Corp'

    Etapa 1. Navegue até Configuration > Tags & Profiles > Wireless e clique em +Add. Insira um nome de perfil, o SSID 'Corp' e uma ID de WLAN que ainda não esteja em uso.

    7. Perfil de WLAN - Geral

    Etapa 2. Navegue até a guia Security e a subguia Layer2. Não há necessidade de alterar nenhum dos parâmetros padrão para este exemplo de configuração.

    8. Perfil de WLAN - Segurança - Camada 2

    Etapa 3. Navegue até a subguia AAA e selecione a Authentication Method List configurada anteriormente. Clique no botão Apply to Device como mostrado nesta imagem.

    9. Perfil de WLAN - Segurança - AAA

    C9800 - Configurar perfil de política

    Etapa 1. Navegue até Configuration > Tags & Profiles > Policy e clique em +Add e insira um nome e uma descrição para o perfil da política. Habilite a política e desabilite a comutação central, o DHCP e a associação, já que o tráfego de usuário corporativo é comutado localmente no AP, como mostrado na imagem.

    10. Perfil de Política - Geral

    Etapa 2. Navegue até a guia Access Policies e insira manualmente a ID da VLAN a ser usada na filial para o tráfego de usuário corporativo. Essa VLAN não precisa ser configurada no próprio C9800. Ele deve ser configurado no perfil Flex, conforme detalhado adiante. Não selecione um nome de VLAN na lista suspensa (consulte o bug da Cisco ID CSCvn48234 para obter mais informações). Clique no botão Apply to Device como mostrado nesta imagem.

    11. Perfil de política - Políticas de acesso

    C9800 - Configurar marcação de política

    Depois que o Perfil de WLAN (WP_Corp) e o Perfil de política (PP_Corp) forem criados, uma Marca de política deverá ser criada para vincular esses Perfis de WLAN e de política. Esta marca de política é aplicada aos pontos de acesso. Atribua esta marca de política aos pontos de acesso para disparar a configuração deles para habilitar os SSIDs selecionados neles.

    Etapa 1. Navegue até Configuration > Tags & Profiles > Tags, selecione a guia Policy e clique em +Add. Insira o nome e a descrição da tag de política. Clique em +Add em WLAN-POLICY Maps. Selecione o perfil de WLAN e o perfil de política criados anteriormente e clique no botão de marca de seleção como mostrado nesta imagem.

    12. Tag de Política - Mapear WLAN e Política

    Etapa 2. Verifique e clique no botão Apply to Device como mostrado nesta imagem.

    13. Tag de Política - Aplicar

    C9800 - Perfil de junção de AP

    Os perfis de ingresso AP e os perfis Flex precisam ser configurados e atribuídos aos pontos de acesso com marcas de site. Uma tag de site diferente deve ser usada para cada filial para oferecer suporte à transição rápida (FT) 802.11r dentro de uma filial, ainda que limite a distribuição da PMK do cliente apenas entre os AP dessa filial. É importante não reutilizar a mesma marca de site em várias filiais. Configure um perfil de ingresso no AP. Você pode usar um único perfil de junção AP se todas as ramificações forem semelhantes, ou criar vários perfis se alguns dos parâmetros configurados precisarem ser diferentes.

    Etapa 1. Navegue até Configuration > Tags & Profiles > AP Join e clique em +Add. Insira o nome e a descrição do perfil de junção do AP. Clique no botão Apply to Device como mostrado nesta imagem.

    14. Perfil de Junção do AP - Geral

    C9800 - Perfil Flex

    Agora, configure um perfil Flex. Novamente, você pode usar um único perfil para todas as ramificações, se elas forem semelhantes, e ter o mesmo mapeamento de VLAN/SSID. Ou você pode criar vários perfis se alguns dos parâmetros configurados, como as atribuições de VLAN, forem diferentes.

    Etapa 1. Navegue até Configuration > Tags & Profiles > Flex e clique em +Add. Insira o nome e a descrição do Perfil Flex.

    15. Perfil Flex - Geral

    Etapa 2. Navegue até a guia VLAN e clique em +Add. Insira o nome e a ID da VLAN local na filial que o AP deve usar para comutar localmente o tráfego de usuário corporativo. Clique no botão Save, conforme mostrado nesta imagem.

    16. Perfil Flex - VLAN - Adicionar

    Etapa 3. Verifique e clique no botão Apply to Device como mostrado nesta imagem.

    17. Perfil Flex - VLAN - Aplicar

    C9800 - Marca do local

    As marcas de site são usadas para atribuir perfis de união e perfis flexíveis a pontos de acesso. Como mencionado anteriormente, uma tag de site diferente deve ser usada para cada filial para oferecer suporte à Transição Rápida (FT) 802.11r em uma filial, ainda que limite a distribuição da PMK do cliente apenas entre os APs dessa filial. É importante não reutilizar a mesma marca de site em várias filiais.

    Etapa 1. Navegue até Configuration > Tags & Profiles > Tags, selecione a guia Site e clique em +Add. Insira um nome e uma descrição de marca de site, selecione o Perfil de associação AP criado, desmarque a caixa Habilitar site local e, finalmente, selecione o Perfil Flex criado anteriormente. Desmarque a caixa Enable Local Site para alterar o ponto de acesso de Local Mode para FlexConnect. Finalmente, clique no botão Apply to Device, como mostra esta imagem.

    18. Marcação do local

    C9800 - Tag de RF

    Etapa 1. Navegue até Configuration > Tags & Profiles > Tags, selecione a guia RF e clique em +Add. Insira um nome e uma descrição para a marca RF.Selecione os perfis de RF definidos pelo sistema no menu suspenso. Clique no botão Apply to Device como mostrado nesta imagem.

    19. Marca RF

    C9800 - Atribuir tags ao AP 

    Agora que as tags são criadas e incluem as várias políticas e perfis necessários para configurar os access points, devemos atribuí-los aos access points. Esta seção mostra como executar uma tag estática atribuída manualmente a um ponto de acesso, com base no seu endereço MAC Ethernet. Para ambientes de produção de produtos, é recomendável usar o Cisco DNA Center AP PNP Workflow ou usar um método de carregamento CSV em massa estático disponível no 9800.

    Etapa 1. Navegue até Configure > Tags & Profiles > Tags, selecione a guia AP e depois a guia Static. Clique em +Add e insira o endereço MAC do AP e selecione a Policy Tag, a Site Tag e a RF Tag definidas anteriormente. Clique no botão Apply to Device como mostrado nesta imagem.

    20. Associar Marcas ao AP

    Configurar o Aruba CPPM

    Configuração inicial do Aruba ClearPass Policy Manager Server

    O Aruba clearpass é implantado por meio do modelo OVF no servidor ESXi com estes recursos:

    • 2 CPUs virtuais reservadas
    • 6 GB de RAM
    • Disco de 80 GB (deve ser adicionado manualmente após a implantação inicial da VM antes que a máquina seja ligada)

    Aplicar licenças

    Aplique a licença da plataforma através de: Administração > Gerenciador de servidores > Licenciamento. Adicionar acesso e integrado

    Adicione o controlador sem fio C9800 como um dispositivo de rede

    Navegue até Configuration > Network > Devices > Add conforme mostrado nesta imagem.

    21. CPPM - Detalhes do Dispositivo

    Configurar o CPPM para Usar o Windows AD como uma Origem de Autenticação

    Navegue até Configuration > Authentication > Sources > Add. Selecione Type: Ative Diretory no menu suspenso como mostrado nesta imagem.

    22. CPPM - Fontes de Autenticação

    Configurar o Serviço de Autenticação CPPM Dot1X

    Etapa 1. Crie um 'serviço' que corresponda a vários Atributos RADIUS:

    • Radius:IETF | Nome: NAS-IP-Address | IGUAL A | <ENDEREÇO IP>
    • Radius:IETF | Nome: Service-Type | IGUAL A | 1,2,8

    Etapa 2. Para a produção, é recomendável combinar um nome SSID em vez de "NAS-IP-Address" para que uma condição seja suficiente em uma implantação de várias WLCs. Radius:Cisco:Cisco-AVPair | cisco-wlan-ssid | Dot1XSSID

    23. CPPM - Serviço de Autenticação - Requisitos

    24. CPPM - Serviço de autenticação - Autenticação

    Verificar

    No momento, não há procedimento de verificação disponível para esta configuração.

    Troubleshooting

    É importante observar que a WLC 9800 não usa de forma confiável a mesma porta de origem UDP para uma determinada transação RADIUS de cliente sem fio. Isso é algo ao qual o ClearPass pode ser sensível. Também é importante basear qualquer balanceamento de carga RADIUS no ID da estação de chamada do cliente e não tentar confiar na porta de origem UDP do lado da WLC.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    20-Jun-2024
    pequena observação adicionada sobre a porta de origem RADIUS
    1.0
    24-Jun-2022
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Igor Manassypov
      Engenharia de vendas da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos