配置9800 WLC与Aruba ClearPass - Dot1x &； FlexConnect的集成，以进行分支机构部署

下载选项

PDF (2.4 MB)
在各种设备上使用 Adobe Reader 查看
ePub (2.2 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.7 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2024 年 6 月 20 日

文档 ID:217935

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍Catalyst 9800无线控制器与Aruba ClearPass策略管理器的集成。

先决条件

要求

Cisco建议您了解以下主题，并且已经过配置和验证：

Catalyst 9800无线控制器
Aruba ClearPass服务器（需要平台许可证、访问许可证、板载许可证）
可运行的Windows AD
可选证书颁发机构(CA)
可运行的DHCP服务器
可运行的DNS服务器（证书CRL验证所必需的）
ESXi
所有相关组件均同步到NTP并验证其时间是否正确（证书验证需要）
主题知识：
- C9800部署和新配置模型
- C9800上的FlexConnect操作
- Dot1x身份验证

使用的组件

本文档中的信息基于下列硬件和软件版本：

C9800-L-C Cisco IOS-XE 17.3.3
C9130AX、4800 AP
Aruba ClearPass，6-8-0-109592和6.8-3补丁
MS Windows服务器
- Active Directory（为基于计算机的自动证书颁发给受管终端而配置的GP）
- 带选项43和选项60的DHCP服务器
- DNS 服务器
- NTP服务器对所有组件进行时间同步
- CA

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

流量传输

在具有多个分支机构的典型企业部署中，每个分支机构均设置为向企业员工提供dot1x访问权限。在此配置示例中，PEAP用于通过部署在中央数据中心(DC)中的ClearPass实例为企业用户提供dot1x访问。计算机证书与针对Microsoft AD服务器的员工凭证验证结合使用。

1. 流量

网络图

2. 网络图

配置Catalyst 9800无线控制器

在此配置示例中，利用C9800上的新配置模式创建必要的配置文件和标记，为企业分支机构提供dot1x企业接入。图中总结了生成的配置。

3. 新配置模式-标签分配

C9800 -配置dot1x的AAA参数

步骤1:将Aruba ClearPass策略管理器“公司”服务器添加到9800 WLC配置。导航到Configuration > Security > AAA > Servers/Groups > RADIUS > Servers。 单击+Add并输入RADIUS服务器信息。单击Apply to Device按钮，如下图所示。

4. AAA Radius服务器

第二步：定义企业用户的AAA服务器组。导航到Configuration > Security > AAA > Servers/Groups > RADIUS > Groups，然后单击+Add，输入RADIUS服务器组名并分配RADIUS服务器信息。单击Apply to Device按钮，如下图所示。

5. AAA Radius服务器组

第三步：为企业用户定义dot1x身份验证方法列表。导航到Configuration > Security > AAA > AAA Method List > Authentication，然后单击+Add。从下拉菜单中选择Type dot1x。单击Apply to Device按钮，如下图所示。

6. AAA身份验证方法

C9800 -配置“公司”WLAN配置文件

步骤1:导航到配置>标签和配置文件>无线，然后点击+添加。输入配置文件名称、SSID“Corp”和尚未使用的WLAN ID。

7. WLAN配置文件-常规

第二步：导航到安全选项卡和第2层子选项卡。此配置示例不需要更改任何默认参数。

8. WLAN配置文件-安全-第2层

第三步：导航到AAA子选项卡，然后选择之前配置的身份验证方法列表。单击Apply to Device按钮，如下图所示。

9. WLAN配置文件-安全- AAA

C9800 -配置策略配置文件

步骤1:导航到配置>标签和配置文件>策略，点击+添加，然后输入策略配置文件名称和说明。启用策略，并禁用集中交换、DHCP和关联，因为企业用户流量在AP上进行本地交换（如图所示）。

10. 政策概况-一般

第二步：导航到访问策略选项卡，然后手动输入要在分支机构用于企业用户流量的VLAN的ID。无需在C9800上配置此VLAN。必须在弹性配置文件中对其进行配置，如详细说明。请勿从下拉列表中选择VLAN名称(有关详细信息，请参阅Cisco Bug ID CSCvn48234 )。单击Apply to Device按钮，如下图所示。

11. 策略配置文件-访问策略

C9800 -配置策略标记

创建WLAN配置文件(WP_Corp)和策略配置文件(PP_Corp)后，必须相应地创建策略标记，以将这些WLAN和策略配置文件绑定在一起。此策略标记应用于接入点。将此策略标记分配到接入点，以触发这些接入点的配置，从而在其上启用所选SSID。

步骤1:导航到配置>标签和配置文件>标签，选择策略选项卡，然后单击+添加。输入策略标记名称和说明。单击WLAN-POLICY Maps下的+Add。选择之前创建的WLAN配置文件和策略配置文件，然后点击复选标记按钮（如图所示）。

12. 策略标记-映射WLAN和策略

第二步：验证并单击Apply to Device按钮（如图所示）。

13. 策略标记-应用

C9800 - AP加入配置文件

AP加入配置文件和Flex配置文件需要配置并分配到具有站点标记的接入点。每个分支机构必须使用不同的站点标签才能支持分支机构内的802.11r快速转换(FT)，但限制客户端PMK仅在该分支机构的AP之间的分配。重要的一点是，不要在多个分支机构重复使用相同的站点标记。配置AP加入配置文件。如果所有分支机构都类似，您可以使用一个AP加入配置文件；如果某些配置的参数必须不同，则可以创建多个配置文件。

步骤1:导航到配置>标签和配置文件> AP加入，然后点击+添加。输入AP加入配置文件的名称和说明。单击Apply to Device按钮，如下图所示。

14. AP加入配置文件-常规

C9800 - Flex配置文件

现在配置Flex配置文件。同样，如果所有分支机构相似，且具有相同的VLAN/SSID映射，则可以使用单个配置文件进行这些分支机构的连接。或者，如果某些已配置的参数（如VLAN分配）不同，则可以创建多个配置文件。

步骤1:导航到配置>标签和配置文件> Flex，然后点击+添加。输入弹性配置文件名称和说明。

15. Flex Profile -常规

第二步：导航到VLAN选项卡并单击+Add。输入分支机构本地VLAN的VLAN名称和ID，AP必须使用这些名称在本地交换企业用户流量。单击Save按钮，如下图所示。

16. Flex Profile - VLAN -添加

第三步：验证并单击Apply to Device按钮（如图所示）。

17. Flex Profile - VLAN -应用

C9800 -站点标记

站点标签用于向接入点分配加入配置文件和Flex配置文件。如前所述，为了支持分支内的802.11r快速转换(FT)，必须对每个分支使用不同的站点标签，但仅限制在该分支的AP之间分配客户端PMK。重要的一点是，不要在多个分支机构重复使用相同的站点标记。

步骤1: 导航到配置>标签和配置文件>标签，选择站点选项卡，然后单击+添加。输入站点标签名称和说明，选择已创建的AP加入配置文件，取消选中启用本地站点框，最后选择之前创建的Flex配置文件。取消选中Enable Local Site 框以将接入点从Local Mode 更改为FlexConnect。最后，单击Apply to Device按钮，如下图所示。

18. 站点标签

C9800 - RF标记

步骤1: 导航到配置>标签和配置文件>标签，选择RF选项卡，然后单击+添加。 输入RF标签的名称和说明。从下拉菜单中选择系统定义的RF配置文件。单击Apply to Device按钮，如下图所示。

19. 射频标签

C9800 -为AP分配标记

现在创建的标记包括配置接入点所需的各种策略和配置文件，因此我们必须将它们分配给接入点。本节介绍如何根据接入点的以太网MAC地址手动执行静态标记。对于产品生产环境，建议使用Cisco DNA Center AP PNP工作流程，或使用9800中提供的静态批量CSV上传方法。

步骤1: 导航到配置>标签和配置文件>标签，选择AP选项卡，然后选择静态选项卡。单击+Add，然后输入AP MAC地址，并选择之前定义的策略标记、站点标记和RF标记。单击Apply to Device按钮，如下图所示。

20. 将标签关联到AP

配置Aruba CPPM

Aruba ClearPass策略管理器服务器初始配置

Aruba clearpass通过OVF模板在ESXi服务器上部署，具有以下资源：

2个保留的虚拟CPU
6 GB RAM
80 GB磁盘（必须在初始虚拟机部署后手动添加，然后才能打开计算机）

应用许可证

通过以下方式应用平台许可证：管理>服务器管理器>许可。添加访问和入网

添加C9800无线控制器作为网络设备

导航到配置>网络>设备>添加，如此图中所示。

21. CPPM -设备详细信息

配置CPPM以使用Windows AD作为身份验证源

导航到配置>身份验证>源>添加。从下拉菜单中选择Type： Active Directory，如此图中所示。

22. CPPM -身份验证源

配置CPPM Dot1X身份验证服务

步骤1: 创建与若干RADIUS属性匹配的“服务”：

Radius：IETF | 名称：NAS-IP-Address | 等于 | <IP地址>
Radius：IETF | 名称：Service-Type | 等于 | 1,2,8

第二步：对于生产环境，建议匹配SSID名称而非“NAS-IP-Address”，这样在多WLC部署中只需一个条件。 Radius：Cisco：Cisco-AVPair | cisco-wlan-ssid | Dot1XSSID

23. CPPPM -认证服务-条件

24. CPPPM -认证服务-认证

验证

当前没有可用于此配置的验证过程。

故障排除

请注意，对于给定的无线客户端RADIUS事务，9800 WLC不能可靠地使用相同的UDP源端口，这一点很重要。这是ClearPass可以敏感的信息。此外，将任何RADIUS负载均衡基于客户端calling-station-id也很重要，不要尝试依赖来自WLC端的UDP源端口。

版本	发布日期	备注
2.0	20-Jun-2024	添加了有关RADIUS源端口的小注释
1.0	24-Jun-2022	初始版本