使用ISE和Catalyst 9800无线局域网控制器配置动态VLAN分配

下载选项

  • PDF     (3.1 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (2.7 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (2.4 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 4 月 11 日
文档 ID:217043

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何配置Catalyst 9800 WLC和Cisco ISE以分配无线LAN (WLAN)。

    要求

    Cisco 建议您了解以下主题:

    • 了解无线局域网控制器(WLC和轻量接入点(LAP)的基本知识。
    • 具有AAA服务器的功能知识,例如身份服务引擎(ISE)。
    • 全面了解无线网络和无线安全问题。
    • 具备有关动态虚拟局域网(VLAN)分配的功能知识。
    • 具备无线接入点的控制和调配(CAPWAP)基础知识。

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 运行固件版本16.12.4a的Cisco Catalyst 9800 WLC (Catalyst 9800-CL)。
    • 本地模式下的Cisco 2800系列LAP。
    • 本地Windows 10请求方。
    • 运行版本2.7的Cisco ISE。
    • 运行固件版本16.9.6的Cisco 3850系列交换机。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    使用 RADIUS 服务器执行动态 VLAN 分配

    本文档介绍动态VLAN分配的概念以及如何配置Catalyst 9800无线LAN控制器(WLC)和Cisco身份服务引擎(ISE),以便为无线客户端分配无线LAN (WLAN)。

    在大多数无线局域网(WLAN)系统中,每个WLAN都有一个静态策略,该策略适用于与服务集标识符(SSID)关联的所有客户端。此方法虽然功能强大,但也有局限性,因为它要求客户端与不同的SSID关联才能继承不同的QoS和安全策略。

    然而,Cisco WLAN 解决方案支持网络标识。这允许网络通告单个SSID并允许特定用户根据用户凭证继承不同的QoS或安全策略。

    动态 VLAN 分配便是一项这样的功能,它根据无线用户提供的凭证将该用户置于特定 VLAN 中。将用户分配到特定VLAN的任务由RADIUS身份验证服务器(例如Cisco ISE)处理。例如,利用此任务可使无线主机能够在园区网络中移动时保持位于同一 VLAN 中。

    因此,当客户端尝试与注册到控制器的LAP关联时,WLC会将用户的凭证传递到RADIUS服务器进行验证。成功执行身份验证后,RADIUS 服务器便会将某些 Internet 工程任务组 (IETF) 属性传递给用户。这些RADIUS属性决定了必须分配给无线客户端的VLAN ID。客户端的SSID无关紧要,因为用户始终分配到此预先确定的VLAN ID。

    用于 VLAN ID 分配的 RADIUS 用户属性包括:

    • IETF 64(隧道类型)— 将此项设置为 VLAN。
    • IETF 65(隧道介质类型)-设置为802。
    • IETF 81(隧道专用组 ID)— 将此项设置为 VLAN ID。

    VLAN ID为12位,取值范围为1到4094(包括端点)。由于隧道专用组 ID 属于字符串类型(如用于 IEEE 802.1X 的 RFC2868 中所定义),因此,VLAN ID 整数值被编码为字符串。发送这些隧道属性时,需要在Tag字段中输入它们。

    配置

    本部分提供有关如何配置本文档所述功能的信息。

    网络图

    本文档使用以下网络设置:

    网络图

    下面是此图中使用的组件的配置详细信息:

    • Cisco ISE (RADIUS)服务器的IP地址是10.10.1.24。
    • WLC 的管理接口地址为 10.10.1.17。
    • 控制器上的内部 DHCP 服务器用于将 IP 地址分配给无线客户端。
    • 本文档使用带有PEAP的802.1x作为安全机制。
    • 此配置中使用VLAN102。用户名smith -102被配置为由RADIUS服务器放置到VLAN102中。

    配置步骤

    此配置分为三类:

    • Cisco ISE配置。
    • 为多个 VLAN 配置交换机.
    • Catalyst 9800 WLC配置。

    Cisco ISE配置

    此配置要求执行下列步骤:

    • 将Catalyst WLC配置为Cisco ISE服务器上的AAA客户端。
    • 在Cisco ISE上配置内部用户。
    • 在Cisco ISE上配置用于动态VLAN分配的RADIUS (IETF)属性。

    步骤1:在Cisco ISE服务器上将Catalyst WLC配置为AAA客户端

    此过程说明如何将WLC添加为ISE服务器上的AAA客户端,以便WLC可以将用户凭证传递到ISE。

    请完成以下步骤:

    1. 从ISE GUI中,导航到 Administration > Network Resources > Network Devices并选择 Add
    2. 完成配置,在WLC和ISE之间使用WLC管理IP地址和RADIUS共享密钥,如图所示:

    配置WLC与ISE之间的WLC管理IP地址和RADIUS共享密钥

    第二步:在Cisco ISE上配置内部用户

    此过程说明如何在Cisco ISE的内部用户数据库添加用户。

    请完成以下步骤:

    1. 从ISE GUI中,导航到 Administration > Identity Management > Identities 并选择 Add
    2. 使用用户名、密码和用户组完成配置,如图所示:

      3.

    使用用户名、密码和用户组进行配置

    第三步:配置用于动态VLAN分配的RADIUS (IETF)属性

    此过程说明如何为无线用户创建授权配置文件和身份验证策略。

    请完成以下步骤:

    1. 从ISE GUI中,导航至 Policy > Policy Elements > Results > Authorization > Authorization profiles 并选择 Add 以创建新配置文件。
    2. 使用相应组的VLAN信息完成授权配置文件配置。下图显示 jonathga-VLAN-102 组配置设置。
      3.

    使用VLAN信息配置授权配置文件

    配置授权配置文件后,需要为无线用户创建身份验证策略。您可以使用新的 Custom 策略或修改策 Default 略集。在本示例中,将创建自定义配置文件。

    1. 导航到 Policy > Policy Sets 并选择 Add 以创建新策略,如图所示:
      2.

    导航至Policy Sets(策略集)并选择Add(添加)

    为无线用户创建身份验证策略


    现在,您需要为用户创建授权策略,以便根据组成员身份分配各自的授权配置文件。

    1. 打开 Authorization policy 部分并创建策略以满足此要求(如图所示):
      2.

    根据组成员身份分配各自的授权配置文件

    为多个 VLAN 配置交换机

    要允许多个VLAN通过交换机,您需要发出以下命令来配置连接到控制器的交换机端口:

    Switch(config-if)#switchport mode trunk
    Switch(config-if)#switchport trunk encapsulation dot1q

    注意:默认情况下,大多数交换机允许通过该中继端口在该交换机上创建所有VLAN。如果有线网络连接到交换机,则可以将此相同配置应用于连接到有线网络的交换机端口。这样将在位于有线网络和无线网络中的相同 VLAN 之间实现通信。

    Catalyst 9800 WLC配置

    此配置要求执行下列步骤:

    • 用身份验证服务器的详细信息配置 WLC.
    • 配置VLAN。
    • 配置WLAN (SSID)。
    • 配置策略配置文件。
    • 配置策略标记。
    • 为AP分配策略标记。
      •

    步骤1:用身份验证服务器的详细信息配置 WLC

    必须配置WLC以便其可以与RADIUS服务器通信来验证客户端的身份。

    请完成以下步骤:

    1. 在控制器GUI中,导航到 Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add 并输入RADIUS服务器信息(如图所示):
      2.

    导航到Servers并选择+Add

    输入RADIUS服务器信息

    1. 要将RADIUS服务器添加到RADIUS组,请导航到 Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add 如图所示:
      2.

    将RADIUS服务器添加到RADIUS组

    1. 要创建身份验证方法列表,请导航到 Configuration > Security > AAA > AAA Method List > Authentication > + Add 如图所示:
      2.

    导航到身份验证,然后选择+添加

    创建身份验证方法列表

    第二步:配置VLAN

    此过程说明如何在Catalyst 9800 WLC上配置VLAN。如本文档中上文所述,WLC 中也必须具有在 RADIUS 服务器的 Tunnel-Private-Group ID 属性下指定的 VLAN ID。

    在本示例中,在RADIUS服务器上使用 Tunnel-Private-Group ID of 102 (VLAN =102) 指定了用户smith-102。

    1. 导航至 Configuration > Layer2 > VLAN > VLAN > + Add 如图所示:
      2.

    导航到VLAN并选择+Add

    1. 输入所需信息,如图所示:
      2.

    输入信息以创建VLAN

    注意:如果不指定名称,VLAN会自动分配名称VLANXXXX,其中XXXX是VLAN ID。

    对所有需要的VLAN重复步骤1和2,完成后,您可以继续进行步骤3。

    1. 验证数据接口中是否允许VLAN。
      • 如果您有一个端口通道在使用中,请导航到 Configuration > Interface > Logical > PortChannel name > General。如果您看到它配置完成, Allowed VLAN = All 则表明您已完成配置。如果显示 Allowed VLAN = VLANs IDs,请添加所需的VLAN,然后选择 Update & Apply to Device
      • 如果您没有使用的端口信道,请导航到 Configuration > Interface > Ethernet > Interface Name > General。如果您看到它配置完成, Allowed VLAN = All 则表明您已完成配置。如果显示 Allowed VLAN = VLANs IDs,请添加所需的VLAN,然后选择 Update & Apply to Device
        •

    如果您使用全部或特定VLAN ID,则此映像显示与接口设置相关的配置。 

    与接口设置相关的配置(如果使用所有VLAN ID)

    如果使用特定VLAN ID,则与接口设置相关的配置

    第三步:配置 WLAN (SSID)

    此过程说明如何在 WLC 中配置 WLAN。

    请完成以下步骤:

    1. 创建WLAN。根据需要导航到 Configuration > Wireless > WLANs > + Add 和配置网络,如图所示:


      2.

    导航到WLAN并选择+添加

    1. 输入如图所示的WLAN信息:


      2.

    根据需要配置网络

    1. 导航到 Security 选项卡并选择所需的安全方法。在本例中,WPA2 + 802.1x如图所示:


      2.

    选择所需的安全方法

    选择所需的安全方法

    Security > AAAConfigure the WLC with the Details of the Authentication Server 部分的“步骤3”中选择创建的身份验证方法,如图所示:

    选择之前创建的身份验证方法

    第四步:配置策略配置文件

    此过程说明如何在WLC中配置策略配置文件。

    请完成以下步骤:

    1. 导航到 Configuration > Tags & Profiles > Policy Profile 并配置 default-policy-profile 或创建新映像,如图所示:
      2.

    导航至Policy Profile(策略配置文件),然后选择+Add(添加)

    配置您的默认策略配置文件或创建一个新配置文件

    1. Access Policies 选项卡中,分配无线客户端在默认情况下连接到此WLAN时分配到的VLAN,如图所示:
      2.

    将VLAN分配给无线客户端

    注意:在提供的示例中,RADIUS服务器在身份验证成功后将无线客户端分配到特定VLAN,因此策略配置文件中配置的VLAN可以是黑洞VLAN,RADIUS服务器会覆盖此映射,并将来自该WLAN的用户分配到RADIUS服务器中user Tunnel-Group-Private-ID字段下指定的VLAN。

    1. Advance 选项卡上,启用 Allow AAA Override 复选框,以便在RADIUS服务器返回将客户端放在正确的VLAN上所需的属性时覆盖WLC配置,如图所示:
      2.

    启用允许AAA覆盖复选框

    第五步:配置策略标记

    此过程说明如何在WLC中配置策略标记。

    请完成以下步骤:

    1. 如果需要,请导航到 Configuration > Tags & Profiles > Tags > Policy 并添加新的日志,如图所示:
      2.

    导航至Policy并选择+add

    1. 将名称添加到Policy Tag并选择 +Add,如图所示:
      2.

    向策略标记添加名称

    1. 如图所示,将您的WLAN配置文件链接到所需的策略配置文件:
      2.

    将您的WLAN配置文件链接到所需的策略配置文件

    选择应用到设备

    第六步:为AP分配策略标记

    此过程说明如何在WLC中配置策略标记。

    请完成以下步骤:

    1. 导航到 Configuration > Wireless > Access Points > AP Name > General Tags 并分配相关策略标记,然后选择 Update & Apply to Device 如图所示:
      2.

    分配相关策略标记并选择Update & Apply to Device

    警告:请注意,更改AP上的策略标记会导致AP断开与WLC的连接,然后重新连接。

    FlexConnect

    Flexconnect功能允许AP在配置为中继时通过AP LAN端口向出口发送无线客户端数据。这种模式称为Flexconnect本地交换,它允许AP通过将客户端流量标记为与其管理接口分开的VLAN来分离客户端流量。 本节提供如何为本地交换方案配置动态VLAN分配的说明。

    注释图标

    注意:上一节中概述的步骤同样适用于Flexconnect方案。要完成Flexconnect的配置,请执行本节中提供的其他步骤。

    为多个 VLAN 配置交换机

    要允许多个VLAN通过交换机,需要发出以下命令配置连接到AP的交换机端口:

    1. Switch(config-if)#switchport mode trunk
    2. Switch(config-if)#switchport trunk encapsulation dot1q
      3.
    注释图标

    注意:默认情况下,大多数交换机允许通过中继端口在交换机上创建所有VLAN。

    Flexconnect策略配置文件配置

    1. 导航到配置>标签和配置文件>策略配置文件> +Add,然后创建新策略。
    2. 添加名称,取消选中Central Switching and Central DHCP复选框。使用此配置,控制器处理客户端身份验证,而FlexConnect接入点在本地交换客户端数据包和DHCP。


      jonathga_0-1706631933656
      注释图标

      注意:从17.9.x代码开始,策略配置文件外观已更新,如图所示。

      屏幕截图2024-02-16,下午2:42.25

    3. 访问策略选项卡分配在无线客户端默认连接到此WLAN时为其分配的VLAN。

      jonathga_1-1706632001785
      注释图标

      注意:本步骤中配置的VLAN不需要存在于WLC的VLAN列表中。随后将必要的VLAN添加到Flex-Profile中,这样便可在AP上创建VLAN。



    4. Advance选项卡中,启用Allow AAA Override复选框以便由RADIUS服务器覆盖WLC配置。

      jonathga_2-1706632026213

      5.

    将Flexconnect策略配置文件分配到WLAN和策略标签

    注释图标

    注意:策略标记用于将WLAN与策略配置文件关联起来。您可以新建策略标签,也可以使用 default-policy 标签。
    1. 导航到配置>标签和配置文件>标签>策略,根据需要添加新标签。

      jonathga_3-1706632177957
    2. 输入策略标签的名称,然后点击“添加”按钮。

      jonathga_4-1706632213815
    3. 将 WLAN 配置文件关联到所需的策略配置文件。

      jonathga_5-1706632239122
    4. 单击Apply to Device按钮。
      5.

    jonathga_6-1706632270590

    配置Flex配置文件

    要在FlexConnect AP上通过RADIUS动态分配VLAN ID,RADIUS响应的隧道专用组ID属性中提及的VLAN ID必须存在于接入点上。VLAN在Flex配置文件中配置。 

    1. 导航到配置 > 标签和配置文件 > Flex > +添加

      屏幕截图:2024-01-30,上午11:45:19
    2. 点击General选项卡,为Flex配置文件指定名称,并为AP配置本地VLAN ID。

      屏幕截图:2024-01-30,上午11:39:28
      注释图标

      注意:本地VLAN ID引用AP的管理VLAN,因此它必须与AP所连接的交换机的本地VLAN配置匹配

    3. 导航到VLAN选项卡,点击“添加”按钮以输入所有必要的VLAN。

      屏幕截图:2024-01-30,上午11:49:19
      4.
    注释图标

    注意:在Flexconnect策略配置文件配置部分的步骤3中,您已配置分配给SSID的默认VLAN。如果在该步骤中使用VLAN名称,请确保在Flex Profile配置中使用相同的VLAN名称,否则,客户端无法连接到WLAN。

    Flex Site标记配置

    1. 导航到配置>标签和配置文件>标签>站点> +添加,创建新的站点标签
    2. 取消选中Enable Local Site框以允许AP在本地交换客户端数据流量,并添加在Configure the Flex Profile部分创建的Flex Profile。

      图片1

      3.

    将策略和站点标签分配给AP。

    1. 导航到配置>无线>无线接入点> AP名称>常规标记,分配相关策略和站点标记,然后点击更新并应用到设备。
      2.

    图片2

    警告图标

    警告:请注意,更改AP上的策略和站点标签会导致AP与WLC断开连接,然后重新连接。
    注释图标

    注意:如果AP在本地模式(或任何其他模式)下配置,然后获得禁用了“启用本地站点”设置的站点标记,则AP将重新启动并返回FlexConnect模式

    验证

    使用本部分可确认配置能否正常运行。

    使用在ISE中定义的正确的EAP协议和可以返回动态VLAN分配的凭证配置测试客户端SSID配置文件。系统提示您输入用户名和密码后,请输入映射到ISE上VLAN的用户信息。

    在上一个示例中,请注意smith-102已分配给RADIUS服务器中指定的VLAN102。此示例使用此用户名接收身份验证并由RADIUS服务器分配给VLAN:

    完成身份验证后,您需要验证您的客户端已根据发送的RADIUS属性分配到正确的VLAN。完成以下步骤以完成此任务:

    1. 在控制器GUI中,导航到 Monitoring > Wireless > Clients > Select the client MAC address > General > Security Information 并查找VLAN字段,如图所示:

      检验客户端是否已分配到正确的VLAN

      在此窗口中,您可以看到按照RADIUS服务器上配置的RADIUS属性将此客户端分配到VLAN102。

      从CLI中,可以使用 show wireless client summary detail 命令查看图中所示的相同信息:

      从CLI验证已将您的客户端分配给正确的VLAN

    2. 可以启用 Radioactive traces 以确保成功将RADIUS属性传输到WLC。为此,请执行下列步骤:
      1. 从控制器GUI中,导航到 Troubleshooting > Radioactive Trace > +Add
      2. 输入无线客户端的Mac地址。
      3. 选择. Start
      4. 将客户端与WLAN连接。
      5. 导航到 Stop > Generate > Choose 10 minutes > Apply to Device > Select the trace file to download the log
        6.

    跟踪输出的这一部分可确保成功传输RADIUS属性:

    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  User-Name           [1]     13  "smith-102"
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  State               [24]    40  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Class               [25]    54  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Type         [64]     6  VLAN                   [13]
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Medium-Type  [65]     6  ALL_802                [6]
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Message         [79]     6  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Message-Authenticator[80]    18  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Private-Group-Id[81]     6  "102"
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Key-Name        [102]   67  *
    2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Send-Key   [16]    52  *
    2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Recv-Key   [17]    52  *
    2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008

    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :            username   0 "smith-102" ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :               class   0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30  ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :         tunnel-type   1 13 [vlan] ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :  tunnel-medium-type   1 6 [ALL_802] ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id   1 "102" ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :             timeout   0 1800 (0x708) ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile

    故障排除

    目前没有针对此配置的故障排除信息。

    相关信息

    修订历史记录

    版本 发布日期 备注
    3.0
    11-Apr-2024
    重新认证
    2.0
    02-Jun-2022
    调整大小的图像
    1.0
    14-Apr-2021
    初始版本
    TAC Authored

    由思科工程师提供

    • 乔纳森·德·赫苏斯·加西亚
      思科TAC工程师
    • 何塞·巴勃罗·穆尼奥斯
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品